徐思宇，張志海，張 新，蔣林海，劉自強(qiáng)

（唐山三友化工股份有限公司，河北 唐山 063305）

0 引言

工業(yè)控制系統(tǒng)的信息安全，與國民經(jīng)濟(jì)發(fā)展、社會安寧穩(wěn)定乃至國家安全息息相關(guān)。隨著工業(yè)領(lǐng)域自動控制水平的不斷提升，生產(chǎn)系統(tǒng)信息化、智能化的不斷普及，企業(yè)越來越需要從生產(chǎn)控制層獲取相關(guān)數(shù)據(jù)來指導(dǎo)并制定戰(zhàn)略決策，打破工業(yè)控制系統(tǒng)長久以來的封閉狀態(tài)，和企業(yè)局域網(wǎng)甚至互聯(lián)網(wǎng)實(shí)現(xiàn)了互通。在滿足企業(yè)決策層要求的同時(shí)也引入了風(fēng)險(xiǎn)，工業(yè)控制系統(tǒng)邊界的完整性面臨著威脅[1]。為提升中國企業(yè)工業(yè)控制領(lǐng)域信息安全防護(hù)水平，國內(nèi)相繼出臺了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》《信息安全技術(shù)——工業(yè)控制系統(tǒng)安全管理基本要求》《工業(yè)控制系統(tǒng)信息安全防護(hù)建設(shè)實(shí)施規(guī)范》等一系列規(guī)范文件與標(biāo)準(zhǔn)[2]，并在網(wǎng)絡(luò)安全等級保護(hù)制度2.0中著重強(qiáng)調(diào)了工業(yè)控制領(lǐng)域的網(wǎng)絡(luò)安全[3]。由于應(yīng)用領(lǐng)域、行業(yè)規(guī)范、使用習(xí)慣、系統(tǒng)廠商等存在眾多不同，工業(yè)控制領(lǐng)域信息安全防護(hù)的建設(shè)與實(shí)施呈現(xiàn)出多樣化和復(fù)雜化的特點(diǎn)。同時(shí)，物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算等技術(shù)迅猛發(fā)展，萬物互聯(lián)時(shí)代的到來，使工業(yè)控制領(lǐng)域面臨的網(wǎng)絡(luò)安全形勢更趨嚴(yán)峻。據(jù)此，本公司實(shí)施了“OPC接口防火墻攻關(guān)升級”項(xiàng)目，使用“工業(yè)控制數(shù)據(jù)交換系統(tǒng)”替代了一批生產(chǎn)管理網(wǎng)數(shù)據(jù)采集段（內(nèi)網(wǎng)段）中的老式防火墻，提高了網(wǎng)絡(luò)安全防護(hù)水平。

1 生產(chǎn)管理網(wǎng)與安全現(xiàn)狀

本公司生產(chǎn)管理網(wǎng)投用于2004年，是工藝人員實(shí)時(shí)了解生產(chǎn)狀況，合理分配生產(chǎn)負(fù)荷的重要工具。按照功能，生產(chǎn)管理網(wǎng)分為數(shù)據(jù)采集部分（內(nèi)網(wǎng)）和公司局域網(wǎng)部分（外網(wǎng)）兩部分。在內(nèi)網(wǎng)中，選取每個(gè)工序DCS的一臺操作站（一般為工程師站）作為接口機(jī)，安裝PI系列OPC數(shù)據(jù)采集軟件，作為數(shù)據(jù)采集端；內(nèi)網(wǎng)服務(wù)器位于數(shù)據(jù)機(jī)房，安裝PI系列數(shù)據(jù)庫軟件，作為數(shù)據(jù)接收端，這樣生產(chǎn)數(shù)據(jù)即可通過OPC協(xié)議傳輸并存儲至服務(wù)器中。在外網(wǎng)中，部署與內(nèi)網(wǎng)服務(wù)器相對應(yīng)的鏡像服務(wù)器，接收和存儲來自內(nèi)網(wǎng)服務(wù)器的數(shù)據(jù)（兩者間部署有隔離網(wǎng)閘，數(shù)據(jù)單向傳輸），并與其它服務(wù)器協(xié)作運(yùn)行，局域網(wǎng)用戶可通過WEB端查看生產(chǎn)數(shù)據(jù)、回溯歷史趨勢、下載產(chǎn)量報(bào)表等。

在生產(chǎn)管理網(wǎng)早期的建設(shè)過程中，內(nèi)網(wǎng)中各接口機(jī)到服務(wù)器之間的網(wǎng)絡(luò)安裝了H3C的SecPath F100系列防火墻。但該款防火墻型號較老，且不是專為工控系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)，只能做到邏輯隔離而無法實(shí)現(xiàn)物理隔離。隨著網(wǎng)絡(luò)安全威脅的形式越來越隱蔽、多樣，病毒、黑客攻擊有很大幾率突破防護(hù)，感染整個(gè)內(nèi)網(wǎng)，甚至進(jìn)一步威脅DCS系統(tǒng)的網(wǎng)絡(luò)安全。因此，此類老式防火墻已無法滿足當(dāng)前的安全需求了。

2 工業(yè)控制數(shù)據(jù)交換系統(tǒng)

本公司使用的工業(yè)控制數(shù)據(jù)交換系統(tǒng)由神州云盾信息安全有限公司開發(fā)，有SZYD-EXCHANGE-F-3000和SZYD-FERRY-F-3000兩個(gè)系列。該設(shè)備可部署于既要求物理隔離，又需要交換數(shù)據(jù)的網(wǎng)絡(luò)之間，用于指定格式數(shù)據(jù)的單向安全傳輸。系統(tǒng)采用專有信息擺渡機(jī)制，解決了由于物理隔離引起的數(shù)據(jù)交換問題，既保持了網(wǎng)絡(luò)之間物理隔離的特性，同時(shí)提供了一種安全、有效的數(shù)據(jù)交換途徑。系統(tǒng)采用專用定制的OS，構(gòu)建非網(wǎng)絡(luò)數(shù)據(jù)交互機(jī)制，采用私有協(xié)議構(gòu)成安全隧道，保障數(shù)據(jù)傳輸安全[4]，徹底杜絕因網(wǎng)絡(luò)連接或移動存儲介質(zhì)混用，導(dǎo)致感染病毒、木馬帶來的安全隱患。

3 系統(tǒng)架構(gòu)

工業(yè)控制數(shù)據(jù)交換系統(tǒng)采用2+1結(jié)構(gòu)，由內(nèi)端機(jī)和外端機(jī)兩套獨(dú)立的高性能處理系統(tǒng)和高速隔離交換模塊構(gòu)成。

內(nèi)端機(jī)與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)相連，即內(nèi)網(wǎng)服務(wù)器端；外端機(jī)與可能帶有威脅的外部網(wǎng)絡(luò)相連，即接口機(jī)端；高速隔離交換模塊在內(nèi)端機(jī)和外端機(jī)之間按照特定的周期進(jìn)行安全數(shù)據(jù)的擺渡。這種雙系統(tǒng)模式徹底將網(wǎng)絡(luò)隔離開，即使外部網(wǎng)絡(luò)遭受惡意攻擊甚至癱瘓，也無法對內(nèi)部網(wǎng)絡(luò)造成危害，從而在保證內(nèi)外網(wǎng)隔離的情況下，實(shí)現(xiàn)可靠、安全、高效的數(shù)據(jù)交換。使用者只需依據(jù)自身業(yè)務(wù)需求定制安全策略，即可實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)的安全通訊。

圖2 超級終端配置界面Fig.2 Super terminal configuration interface

詳細(xì)產(chǎn)品架構(gòu)如圖1。

圖1 系統(tǒng)架構(gòu)圖Fig.1 System architecture diagram

4 系統(tǒng)配置與應(yīng)用

目前，本公司已在石灰、碳化等10余個(gè)工序的內(nèi)網(wǎng)網(wǎng)絡(luò)上使用了工業(yè)控制數(shù)據(jù)交換系統(tǒng)。下面以石灰工序所用設(shè)備的內(nèi)端機(jī)為例，介紹該系統(tǒng)的配置與應(yīng)用過程。

4.1 連接設(shè)備

工業(yè)控制數(shù)據(jù)交換系統(tǒng)使用交流220V供電。設(shè)備通電后，檢查電源指示燈是否正常顯示，檢查硬盤指示燈是否正常顯示。確認(rèn)顯示正常后，使用串口線，將計(jì)算機(jī)RS232接口與內(nèi)端機(jī)RS232接口相連接。

4.2 登錄系統(tǒng)，IP地址設(shè)置

步驟1：啟動超級終端

以微軟Windows系列操作系統(tǒng)為例，選擇“開始＞ 程序 ＞ 附件 ＞通訊 ＞超級終端”菜單項(xiàng)，啟動超級終端；或打開第三方超級終端軟件，如secure CRT，Putty等。

步驟2：新建連接

在“名稱”文本框中輸入新建連接的名稱，選擇圖標(biāo)，然后單擊“確定”按鈕。

步驟3：設(shè)置連接端口

圖5 登錄界面內(nèi)容Fig.5 Login interface content

圖6 IP地址設(shè)置完成Fig.6 IP Address setting completed

進(jìn)入如圖3所示的“連接到”窗口后，根據(jù)實(shí)際使用的計(jì)算機(jī)端口號在“連接時(shí)使用”下拉列表框中進(jìn)行選擇，然后單擊“確定”按鈕。

圖3 超級終端配置界面Fig.3 Super terminal configuration interface

步驟4：設(shè)置通信參數(shù)

進(jìn)入如圖4所示的“端口屬性”窗口，對通信參數(shù)進(jìn)行設(shè)置，設(shè)置完畢點(diǎn)擊“確定”，按“回車”鍵即可顯示該設(shè)備登錄界面的內(nèi)容。

圖4 通信參數(shù)配置界面Fig.4 Communication parameter configuration interface

步驟5：登錄

輸入數(shù)字3回車，輸入管理員賬號和口令即可登錄系統(tǒng)。

步驟6：接口IP地址設(shè)置

將eth0接口定為需要使用的以太網(wǎng)口，其IP地址與子網(wǎng)掩碼應(yīng)與石灰工序OPC接口機(jī)在內(nèi)網(wǎng)中的IP地址與子網(wǎng)掩碼一致，因此需要將eth0接口設(shè)置為192.158.5.34 255.255.255.0，設(shè)置方法如下。

首先，刪除eth0接口原有的IP地址與子網(wǎng)掩碼。eth0網(wǎng)口出廠默認(rèn)的地址為192.168.5.105 255.255.255.0。刪除IP地址的命令格式為：ipv4接口/網(wǎng)橋del IP地址 子網(wǎng)掩碼，執(zhí)行命令如下：

ipv4 eth0 del 192.168.5.105 255.255.255.0

或ipv4 eth0 del 192.168.5.105 24

下一步，即可添加需要使用的IP地址與子網(wǎng)掩碼。添加IP地址的命令格式為：ipv4接口/網(wǎng)橋add IP地址 子網(wǎng)掩碼，執(zhí)行命令如下：

ipv4 eth0 add 192.158.5.34 255.255.255.0

或ipv4 eth0 del 192.158.5.34 24

使用此命令除了可設(shè)置接口的IP地址外，還可在一個(gè)接口上配置多個(gè)IP地址，只需添加多次即可。

同樣，通過set參數(shù)也可以設(shè)置接口的IP地址，與add的區(qū)別是set只能配置一個(gè)IP地址，如果此前目標(biāo)接口已配置了地址，則使用set參數(shù)后會將原地址覆蓋。此命令參數(shù)格式為：ipv4 接口/網(wǎng)橋 set IP地址 子網(wǎng)掩碼。

回車后，輸入命令“ipv4”，可以查看確認(rèn)eth0接口的IP地址。

4.3 過濾規(guī)則設(shè)置

在管理員賬號登錄狀態(tài)下，輸入命令“ferry”進(jìn)入二級菜單，添加過濾規(guī)則，命令如下：

add tcp 135 192.158.5.34 135

add udp 137 192.158.5.34 137

add tcp 5450 192.158.5.34 5450

其中：tcp 135，udp 137為采用OPC協(xié)議進(jìn)行數(shù)據(jù)傳輸時(shí)缺省使用的端口號，tcp 5450為PI系列OPC數(shù)據(jù)采集軟件運(yùn)行所需的專用端口號。只需開啟以上3個(gè)端口，過濾其它端口，即可保障通過OPC協(xié)議進(jìn)行的數(shù)據(jù)傳輸業(yè)務(wù)的正常進(jìn)行，同時(shí)能夠防御黑客、病毒、惡意代碼等攻擊行為通過其他端口侵入網(wǎng)絡(luò)。

添加完成后，輸入命令“show”可以查看規(guī)則：

根據(jù)OPC協(xié)議的使用要求，需將tcp 135端口的動態(tài)端口類型設(shè)置為dcom。如圖7所示，tcp 135端口過濾規(guī)則的序號為1。輸入rule 1，即可進(jìn)入本條規(guī)則；輸入命令“dynamic dcom”，即完成配置動態(tài)端口類型為dcom的操作。

圖7 過濾規(guī)則設(shè)置完成Fig.7 Filter rule setting completed

配置完成后，輸入命令“exit”退出rule 1，回到“ferry”命令行下，輸入命令“commit”提交前面配置的規(guī)則，使規(guī)則生效，至此即完成了內(nèi)端機(jī)OPC規(guī)則的配置。

4.4 外端機(jī)配置

外端機(jī)配置與內(nèi)端機(jī)類似。使用串口線將計(jì)算機(jī)RS232接口與外端機(jī)RS232接口相連接，同樣將eth0接口設(shè)置為需要使用的以太網(wǎng)口，將其地址設(shè)置為192.158.5.250 255.255.255.0，與內(nèi)網(wǎng)服務(wù)器的IP地址與子網(wǎng)掩碼相同，過濾規(guī)則設(shè)置中除所有地址應(yīng)使用192.158.5.250之外，其他配置內(nèi)容均與配置內(nèi)端機(jī)時(shí)相同。

4.5 系統(tǒng)安裝與入網(wǎng)

工業(yè)控制數(shù)據(jù)交換系統(tǒng)為機(jī)架式機(jī)構(gòu)，將設(shè)備如圖8安裝到機(jī)柜中即可。

圖8 安裝示意圖Fig.8 Installation diagram

安裝上電，確認(rèn)電源指示燈和硬盤指示燈正常，將一根網(wǎng)線的一端接內(nèi)端機(jī)的eth0口，另一端連接交換機(jī)接入內(nèi)網(wǎng)；將另一根網(wǎng)線一端接外端機(jī)的eth0口，另一端接OPC接口機(jī)的網(wǎng)口。各網(wǎng)口指示燈閃爍正常后，啟動接口機(jī)上的OPC軟件，即可開始生產(chǎn)數(shù)據(jù)的實(shí)時(shí)傳輸。

4.6 系統(tǒng)工作狀態(tài)監(jiān)測

系統(tǒng)運(yùn)行過程中，將計(jì)算機(jī)RS232接口與內(nèi)端機(jī)或外端機(jī)的RS232接口相連接，使用管理員賬號和口令登錄系統(tǒng)，輸入命令“fstatus”即可查看內(nèi)端機(jī)或外端機(jī)的工作狀態(tài)。正常情況下，F(xiàn)erryWrite（寫）和FerryRead（讀）兩列都會有流量顯示，且Stat.列的狀態(tài)顯示ok，表示數(shù)據(jù)交互傳輸正常，如圖9。

圖9 工作狀態(tài)監(jiān)測Fig.9 Working status monitoring

5 應(yīng)用的先進(jìn)性

工業(yè)控制數(shù)據(jù)交換系統(tǒng)的應(yīng)用，不僅能夠按照公司決策需要最小化開放生產(chǎn)數(shù)據(jù)傳輸所需的端口，還可對內(nèi)網(wǎng)服務(wù)器和OPC接口機(jī)之間傳輸?shù)闹噶钫埱筮M(jìn)行實(shí)時(shí)檢測。對于不符合安全要求的指令請求進(jìn)行攔截和記錄，在實(shí)現(xiàn)防護(hù)功能的同時(shí)，方便維護(hù)人員查詢分析風(fēng)險(xiǎn)事件原因，大大提升了數(shù)據(jù)傳輸?shù)陌踩?、可靠性?/p>

6 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)事件處置措施

工業(yè)控制數(shù)據(jù)交換系統(tǒng)投用以來，公司生產(chǎn)管理網(wǎng)與DCS控制網(wǎng)的安全防護(hù)水平得到有效提升，至今未出現(xiàn)過信息安全風(fēng)險(xiǎn)事件。秉著“防患于未然”的原則，本公司結(jié)合實(shí)際情況，建立了一套工控系統(tǒng)信息安全風(fēng)險(xiǎn)事件處置措施，從制度和管理上對硬件設(shè)備實(shí)現(xiàn)的安全防護(hù)加以補(bǔ)充。下面對處置措施的具體操作內(nèi)容進(jìn)行介紹。

6.1 問題判斷的方法

通過主機(jī)安全軟件的攔截日志，查看是否存在惡意代碼、病毒企圖執(zhí)行的信息。

通過計(jì)算機(jī)病毒查殺軟件日志，查看是否存在惡意代碼、病毒的活動跡象。

通過查看計(jì)算機(jī)操作系統(tǒng)環(huán)境，查看是否存在顯著的異常，如頻繁地異常程序崩潰退出，頻繁地操作系統(tǒng)崩潰藍(lán)屏、錯(cuò)誤或重啟，計(jì)算機(jī)內(nèi)存、CPU資源占用過高導(dǎo)致系統(tǒng)運(yùn)行異常緩慢，計(jì)算機(jī)網(wǎng)絡(luò)負(fù)荷異常偏高等現(xiàn)象來判斷是否存在惡意代碼、病毒的活動跡象。

6.2 現(xiàn)場處理的措施

在確保安全的情況下，將確認(rèn)感染計(jì)算機(jī)病毒的主機(jī)從網(wǎng)絡(luò)中離線（斷開其所有網(wǎng)絡(luò)、網(wǎng)線連接）。

在確保安全的情況下，臨時(shí)關(guān)閉計(jì)算機(jī)操作系統(tǒng)（包括關(guān)閉電源）。

在確保安全的情況下，通過工業(yè)控制數(shù)據(jù)交換系統(tǒng)的策略變更，限制感染計(jì)算機(jī)網(wǎng)絡(luò)連接的范圍和權(quán)限。

在確保安全的情況下，通過網(wǎng)絡(luò)設(shè)備（交換機(jī)、網(wǎng)關(guān)）策略變更，限制感染計(jì)算機(jī)網(wǎng)絡(luò)連接的范圍和權(quán)限。

在確保安全的情況下，使用經(jīng)過驗(yàn)證且符合信息安全管理規(guī)定的“備份軟件”進(jìn)行磁盤及文件備份。

在確保安全的情況下，使用經(jīng)過驗(yàn)證且符合信息安全管理規(guī)定的移動介質(zhì)，安裝或運(yùn)行計(jì)算機(jī)病毒掃描查殺軟件，進(jìn)行病毒查殺。

在確保安全的情況下，使用經(jīng)過驗(yàn)證且符合信息安全管理規(guī)定的“補(bǔ)丁程序”進(jìn)行補(bǔ)丁安裝。

在確保安全的情況下，對被計(jì)算機(jī)病毒感染或影響的計(jì)算機(jī)進(jìn)行安全策略的臨時(shí)變更，以限制計(jì)算機(jī)病毒的影響范圍。

6.3 現(xiàn)場處理注意事項(xiàng)

在進(jìn)行現(xiàn)場處理時(shí)，應(yīng)注意以下事項(xiàng)：

1）應(yīng)安排至少1人進(jìn)行現(xiàn)場“監(jiān)護(hù)”以及協(xié)調(diào)溝通，包括操作票簽署。

2）計(jì)算機(jī)設(shè)備在開始操作前，應(yīng)使用內(nèi)存鏡像以及磁盤鏡像工具進(jìn)行備份。

3）病毒查殺使用“離線”形式，即對其中一臺進(jìn)行掃描處理時(shí)，該計(jì)算機(jī)臨時(shí)從網(wǎng)絡(luò)中離線（斷開所有網(wǎng)絡(luò)物理連接），確認(rèn)滿足使用要求后方可重新接入網(wǎng)絡(luò)“上線”。

4）為保證查殺效果，應(yīng)使用至少兩種不同供應(yīng)商的病毒特征庫的軟件對計(jì)算機(jī)進(jìn)行掃描。

5）對于清除“失敗”只能“刪除”的感染文件，應(yīng)使用經(jīng)過惡意代碼特征安全掃描的移動存儲設(shè)備從其他設(shè)備讀取拷貝進(jìn)行恢復(fù)。

6）完成病毒查殺后，應(yīng)由現(xiàn)場“監(jiān)護(hù)人”協(xié)調(diào)確認(rèn)功能滿足使用要求的情況，必要時(shí)可進(jìn)行單點(diǎn)調(diào)試。

7）全部完成后，應(yīng)進(jìn)行全網(wǎng)復(fù)查以確認(rèn)病毒清除情況。

6.4 調(diào)查與評估

信息安全風(fēng)險(xiǎn)事件處置結(jié)束后，應(yīng)出具總結(jié)調(diào)查報(bào)告?？偨Y(jié)調(diào)查報(bào)告應(yīng)對事件的起因、性質(zhì)、影響、責(zé)任等進(jìn)行分析評估，提出處理意見和改進(jìn)措施。事件的調(diào)查處理和總結(jié)評估工作，原則上在信息安全風(fēng)險(xiǎn)事件處置結(jié)束后30天內(nèi)完成[5]。

6.5 確認(rèn)歸檔

信息安全風(fēng)險(xiǎn)事件處置結(jié)束后，及時(shí)檢查事件處置記錄是否齊全，是否具備可塑性，并對事件處置過程進(jìn)行總結(jié)和分析?？偨Y(jié)和分析的具體工作包括但不限于以下幾項(xiàng)：

1）事件發(fā)生的現(xiàn)象總結(jié)。

2）事件發(fā)生的原因分析。

3）系統(tǒng)的損害程度評估。

4）事件損失估計(jì)。

5）采取的主要應(yīng)對措施。

6）相關(guān)的工具文檔歸檔。

7 結(jié)束語

工業(yè)控制數(shù)據(jù)交換系統(tǒng)的應(yīng)用，有效避免了病毒、黑客、惡意代碼等入侵生產(chǎn)管理網(wǎng)導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓事故的出現(xiàn)，保證了生產(chǎn)管理網(wǎng)數(shù)據(jù)庫的數(shù)據(jù)安全與數(shù)據(jù)完整；此外，作為OPC數(shù)據(jù)采集端的操作站，同時(shí)也是各工序DCS控制網(wǎng)中的網(wǎng)絡(luò)節(jié)點(diǎn)，工業(yè)控制數(shù)據(jù)交換系統(tǒng)的應(yīng)用也阻止了網(wǎng)絡(luò)攻擊經(jīng)操作站進(jìn)入DCS控制網(wǎng)，避免控制網(wǎng)癱瘓，導(dǎo)致生產(chǎn)操作無法進(jìn)行，甚至生產(chǎn)安全事故的發(fā)生。工業(yè)控制數(shù)據(jù)交換系統(tǒng)的應(yīng)用，使生產(chǎn)管理網(wǎng)、DCS控制網(wǎng)及各網(wǎng)絡(luò)節(jié)點(diǎn)的運(yùn)行穩(wěn)定性與可靠性顯著提高，確保了公司生產(chǎn)的安全、高效與穩(wěn)定，是本公司又一創(chuàng)新亮點(diǎn)。