1. 前言
隨著我國工業信息化建設的不斷深入,信息化已經成為企業發展的重要推動力量,國外石化企業信息化建設和應用已經走在我們前面。經濟全球化的發展以及WTO的加入,更對石化企業提出了新的挑戰,就石化企業而言,信息化是生存和發展的必由之路。
信息化是一項系統工程,信息化安全也是信息化建設的關鍵環節。特別是隨著互聯網日新月異的發展和企業集團信息化整合的加強,企業網絡應用的范圍在不斷擴大,如通過互聯網獲取信息、展現企業形象、開展電子商務等,通過廣域網實現集團內部資源共享、統一集團管理等,企業信息化網絡不再是單純意義上的Intranet,而更多的則是基于Internet的網絡和應用。但網絡開放的同時,帶來的安全問題就更加嚴峻了,各種安全問題如病毒、攻擊和入侵等已經引起了人們的高度重視。
信息化安全是一個普遍問題,但是,不同行業信息化有自己的特點,信息化安全的重點和所采取的對策也不盡相同,因此,面向石化企業信息化的特點,本文專門針對MES系統涉及的控制網絡安全問題進行了系統地分析,并結合在烏石化的實踐情況,提出適合行業特點的安全對策。
2. 石化MES發展概述
石化企業信息化與其它行業相比有一個突出特點,就是以管控一體化為重點。這是由石化行業自身的特點決定的,并具有一定的時代特點。
石化企業是典型的資金和技術密集型企業,生產的連續性很強,裝置和重要設備的意外停產都會導致巨大的經濟損失,因此生產過程控制大多采用DCS等先進的控制系統,生產管理上也更注重安全和平穩運行。通過加強生產管理,可以實現管理與生產過程控制的融合,通過優化調度、先進控制和優化控制等手段,在保證生產平穩的基礎上獲取更大的經濟效益,因此,石化企業信息化的重點是管控一體化。而作為石化生產主體的煉化企業是典型的流程工業企業,具有生產過程連續化、生產批量大、工藝規程相對固定和物料流向復雜等特點,隨著原油價格的不斷攀高及國內外企業競爭加劇,煉化企業對于提升生產增效空間、加強精細化管理水平有著越來越迫切的用戶需求,在這個背景下,近幾年MES系統在國內外煉化企業的開發和實施工作發展迅速。
當今的石化企業普遍采用基于ERP/SCM、MES和PCS三層架構的管控一體化信息模型,MES處于企業信息系統ERP/SCM和過程控制系統的中間位置。MES系統在整個信息系統中主要擔當了兩個方面的重要作用:一是數據雙向通道的作用。即通過MES系統的實施,可以有效彌補企業PCS層及ERP/SCM層之間的數據間隙,由下至上,通過對底層PCS層數據的搜集、存儲及校正,建立過程控制數據層次上的數字化工廠,結合生產調度層次上的調度事件信息數據等,為上層ERP/SCM計劃管理層提供準確統一的生產數據;由上至下,通過對實時生產數據的總結,上層ERP/SCM層可以根據未來訂單及現階段生產狀況調整生產計劃,下發MES層進行計劃的分解及產生調度指令,有效指導企業生產活動。因此,MES系統在數據層面上,起到了溝通PCS層和ERP/SCM層的橋梁作用,并保證了生產數據、調度事件等信息的一致性及準確性。另一方面,生產活動的復雜性產生了很多實際的用戶需求,為了滿足這些用戶需求,MES系統也可以視為一個功能模塊的集合。
國內煉化企業從 1999 年開始,逐步意識到 MES 系統的開發及實施工作對于工廠信息化建設的重要性,這個過程主要分為兩個階段。第一個階段,煉化企業主要依據實際生產應用需求,在工廠開發實施一些獨立非系統化的 MES 模塊,例如:數據整合與物料平衡系統等;第二個階段,煉化企業開始注重 MES 的系統及完整性,在 PCS 系統上架設統一的工廠實時/關系數據平臺,向上連接 ERP/SCM 系統,形成完整的企業綜合自動化系統三層結構;煉化企業在生產活動方面的用戶需求通過功能模塊的架構及實施得到解決。在這個階段,以中石油和中石化兩大大型國有企業的下屬煉化廠最有代表性。
以中石油的煉化企業為例,早在 2000 年,中石油完成信息技術總體規劃,確定了中國石油未來信息技術能力的藍圖。煉油與化工運行系統,即 MES 項目,2004 年中石油 MES 項目正式在全公司范圍內啟動,經過了一年多的試點實施,于 2005 年上線正式投入運行。試點實施成功上線之后,根據項目實施計劃下一步安排,又在下屬分公司進行一期項目推廣工作,并于 2007 年 4 家同時成功上線。從 2006 年開始開展二期推廣工作,并于 2007 年開始進行二期推廣。目前,中石油 MES 系統二期推廣工作接近尾聲,三期工作于 2008 年開始在中石油國內 14 家煉化企業開展。
3. MES控制網絡安全
3.1. 兩網融合
石化企業MES的快速發展,從客觀上加速了企業信息網絡與控制網絡的高度融合。
基于管控一體化的主導思想,石化MES的核心功能是基于實時數據庫的生產調度管理,并以實現對控制系統的數據采集作為必要前提條件,否則其它內容都無從談起。這意味著運行MES的信息網絡必須要實現與控制網絡之間的數據交換。此時,PCS層的控制網絡也不再以一個獨立的網絡運行,而要與信息網絡互通、互聯。隨著越來越多的石化企業推廣、應用MES,就有越來越多的控制網絡被接入到信息網絡中,信息網絡與控制網絡的兩網融合,已經成為大勢所趨。
兩網融合,給我們在建設MES時帶來新的思考,那就是不能再將控制網絡與MES割裂開來。特別是從網絡安全的角度,控制網絡已經成為MES的一部分,必須通盤考慮。
3.2. 控制網絡開放性
由DCS、PLC和SCADA等控制系統構成的控制網絡,在過去幾十年的發展中呈現出整體開放的趨勢。
以石化主流控制系統DCS為例,在信息技術發展的影響下,DCS已經進入了第四代,新一代DCS呈現的一個突出特點就是開放性的提高。過去的DCS廠商基本上是以自主開發為主,提供的系統也是自己的系統。當今的DCS廠商更強調開放系統集成性。各DCS廠商不再把開發組態軟件或制造各種硬件單元視為核心技術,而是紛紛把DCS的各個組成部分采用第三方集成方式或OEM方式。例如,多數DCS廠商自己不再開發組態軟件平臺,而轉入采用其它專業公司的通用組態軟件平臺,或其它公司提供的軟件平臺。這一思路的轉變使得現代DCS的操作站完全呈現PC化與Windows化的趨勢。在新一代DCS的操作站中,幾乎清一色采用PC+Windows的技術架構,使用戶的投資及維護成本大幅降低。
同時,DCS網絡技術也呈現出開放的特征。過去,由于通信技術相對落后,網絡技術開放性是困擾用戶的一個重要問題。而當代網絡技術、軟件技術的發展為開放系統提供了可能。網絡技術開放性體現在DCS可以從多個層面與第三方系統互聯,同時支持多種網絡協議。目前在與企業管理層信息平臺互聯時,大多采用基于TCP(UDP)/IP協議的以太網通信技術,使用OPC等開放接口標準。
3.3. 控制網絡安全漏洞
開放性為用戶帶來的好處毋庸置疑,但由此引發的各種安全漏洞與傳統的封閉系統相比卻大大增加。對于一個控制網絡系統,產生安全漏洞的因素是多方面的。
3.3.1. 網絡通信協議安全漏洞
隨著TCP(UDP)/IP協議被控制網絡普遍采用,網絡通信協議漏洞問題變得越來越突出。
TCP/IP協議簇最初設計的應用環境是美國國防系統的內部網絡,這一網絡是互相信任的,因此它原本只考慮互通互聯和資源共享的問題,并未考慮也無法兼容解決來自網絡中和網際間的大量安全問題。當其推廣到社會的應用環境后,安全問題發生了。所以說,TCP/IP在先天上就存在著致命的安全漏洞。
(1)、缺乏對用戶身份的鑒別
TCP/IP的機制性漏洞之一是缺乏對通信雙方真實身份的鑒別機制。由于TCP/IP使用IP地址作為網絡節點的唯一標識,而IP地址的使用和管理又存在很多問題,因而一方面很容易導致IP地址的暴露,另一方面IP地址很容易被偽造和更改。
(2)、缺乏對路由協議的鑒別認證
TCP/IP在IP層上缺乏對路由協議的安全認證機制,對路由信息缺乏鑒別與保護,因此可以通過互聯網,利用路由信息修改網絡傳輸路徑,誤導網絡分組傳輸。
(3)、TCP/UDP自身缺陷
TCP/IP協議簇規定了TCP/UDP是基于IP協議上的傳輸協議,TCP分段和UDP數據包是封裝在IP包在網上傳輸的,除了可能面臨IP層所遇到的安全威脅外,還存在TCP/UDP實現中的安全隱患。例如,TCP建立連接時在客戶機/服務器模式的“三次握手”中,假如客戶的IP地址是假的,是不可達的,那么TCP無法完成該次連接并處于“半開”狀態,攻擊者利用這個弱點就可以實施如SYN Flooding的拒絕服務攻擊;TCP提供可靠連接是通過初始序列號和鑒別機制來實現的。一個合法的TCP連接都有一個客戶機/服務器雙方共享的唯一序列號作為標識和鑒別。初始序列號一般由隨機數發生器產生,但問題出在很多操作系統在實現TCP連接初始序列號的方法中,它所產生的序列號并不是真正的隨機,而是一個具有一定規律、可猜測或計算的數字。對攻擊者來說,猜出了初始序列號并掌握了IP地址后,就可以對目標實施IP Spoofing攻擊,而且極難檢測,危害巨大;而UDP是一個無連接的控制協議,極易受IP源路由和拒絕服務型攻擊。
3.3.2. 操作系統安全漏洞
PC+Windows的技術架構現已成為控制系統上位機/操作站的主流。而在控制網絡中,上位機/操作站是實現與MES通信的主要網絡結點,因此其操作系統的漏洞就成為了整個控制網絡信息安全中的一個短板。
Windows操作系統從推出至今,以其友好的用戶界面、簡單的操作方式得到了用戶的認可,其版本也從最初的Windows 3.1發展到如今的XP、Windows Server2003、 Windows 7等。但是,微軟在設計Windows操作系統時是本著簡單易用為原則的,因而忽略了安全方面的考慮,留下了很多隱患。這些隱患在單機時代并沒有顯現出來,后來隨著網絡的出現和普及,越來越多地使用Windows操作系統的PC接入網絡,微軟埋下的隱患逐漸浮出水面。一時間Windows操作系統漏洞頻繁出現,安全事故時有發生。雖然微軟在Windows2000以后的版本中采用了Windows NT的核心,在一定程度上提高了Windows操作系統的安全性,但仍然不能避免安全漏洞的不斷出現。另一方面,Windows作為主流的操作系統,也更容易成為眾矢之的,每次Windows的系統漏洞被發現后,針對該漏洞的惡意代碼很快就會出現在網上,從漏洞被發現到惡意代碼的出現,中間的時差開始變得越來越短。以Windows2000版本為例,就曾被發現了大量漏洞,典型的如:輸入法漏洞、IPC$漏洞、RPC漏洞、Unicode漏洞、IDA&IDQ緩沖區溢出漏洞、Printer溢出漏洞、Cookie漏洞等等。這些漏洞大部分危害巨大,惡意代碼通過這些漏洞,可以獲得Windows2000操作站的完全控制權,甚至為所欲為。
3.3.3. 應用軟件安全漏洞
處于應用層的應用軟件產生的漏洞是最直接、最致命的。一方面這是因為應用軟件形式多樣,很難形成統一的防護規范以應對安全問題;另一方面最嚴重的是,當應用軟件面向網絡應用時,就必須開放其應用端口。例如,要想實現與操作站OPC服務器軟件的網絡通信,控制網絡就必須完全開放135端口,這時防火墻等安全設備已經無能為力了。而實際上,不同應用軟件的安全漏洞還不止于此。
2008年國外媒體曾報道,總部位于美國波士頓的核心安全技術公司CST在經過安全評估后嚴正表示,互聯網攻擊者可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如污水處理廠、天然氣管道以及其他大型設備的控制權,一旦這些控制權被不良意圖黑客所掌握,那么后果不堪設想。其中被告知的自動化軟件系統CitectSCADA在五個月之后發布了該安全漏洞的補丁程序。但是這種安全漏洞也會出現在其他的監控軟件或者類似于CitectSCADA系統的軟件之上。此外是不是所有的Citect的客戶都安裝了這個安全補丁尚且不得而知。
目前黑客攻擊應用軟件漏洞常用的方法是“緩沖區溢出”,它通過向控制終端發送惡意數據包來獲取控制權。一旦獲取控制權,攻擊者就可以如在本地一樣去操控遠程操作站上的監控軟件,修改控制參數。
3.4. 控制網絡安全隱患
控制網絡的安全漏洞暴露了整個控制系統安全的脆弱性。由于網絡通信協議、操作系統、應用軟件、安全策略甚至硬件上存在的安全缺陷,從而使得攻擊者能夠在未授權的情況下訪問和操控控制網絡系統,形成了巨大的安全隱患。控制網絡系統的安全性同樣符合“木桶原則”,其整體安全性不在于其最強處,而取決于系統最薄弱之處,即安全漏洞所決定。只要這個漏洞被發現,系統就有可能成為網絡攻擊的犧牲品。
安全漏洞對控制網絡的隱患體現在惡意攻擊行為對系統的威脅。隨著越來越多的控制網絡系統通過信息網絡連接到互聯上,這種威脅就越來越大。目前互聯網上已有幾萬個黑客站點,黑客技術不斷創新,基本的攻擊手法已達上千種。這些攻擊技術一旦被不法之徒掌握,將產生不良的后果。
對于控制網絡系統,由于安全漏洞可能帶來的直接安全隱患有以下幾種。
3.4.1. 入侵
系統被入侵是系統常見的一種安全隱患。黑客侵入計算機和網絡可以非法使用計算機和網絡資源,甚至是完全掌控計算機和網絡。
控制網絡的計算機終端和網絡往往可以控制諸如大型化工裝置、公用工程設備,甚至核電站安全系統等大型工程化設備。黑客一旦控制該系統,對系統造成一些參數的修改,就可能導致生產運行的癱瘓,就意味著可能利用被感染的控制中心系統破壞生產過程、切斷整個城市的供電系統、惡意污染飲用水甚至是破壞核電站的正常運行。隨著近些年來越來越多的控制網絡接入到互聯網當中,這種可能就越來越大。
3.4.2. 拒絕服務攻擊
受到拒絕服務攻擊是一種危害很大的安全隱患。常見的流量型攻擊如Ping Flooding、UDP Flooding等,以及常見的連接型攻擊如SYN Flooding、ACK Flooding等,通過消耗系統的資源,如網絡帶寬、連接數、CPU處理能力等使得正常的服務功能無法進行。拒絕服務攻擊難以防范的原因是它的攻擊對象非常普遍,從服務器到各種網絡設備如路由器、交換機、防火墻等都可以被拒絕服務攻擊。
控制網絡一旦遭受嚴重的拒絕服務攻擊就會導致操作站的服務癱瘓,與控制系統的通信完全中斷等。可以想像,受到拒絕服務攻擊后的控制網絡可能導致網絡中所有操作站和監控終端無法進行實時監控,其后果是非常嚴重的。而傳統的安全技術對拒絕服務攻擊幾乎不可避免,缺乏有效的手段來解決。
3.4.3. 病毒與惡意代碼
病毒的泛濫是大家有目共睹的。全球范圍內,每年都會發生數次大規模的病毒爆發。目前全球已發現數萬種病毒,并且還在以每天數十余種的速度增長。除了傳統意義上的具有自我復制能力但必須寄生在其它實用程序中的病毒外,各種新型的惡意代碼也層出不窮,如陷阱門、邏輯炸彈、特洛伊木馬、蠕蟲、Zombie等。新型的惡意代碼具有更強的傳播能力和破壞性。例如蠕蟲,從廣義定義來說也是一種病毒,但和傳統病毒相比最大不同在于自我復制過程。傳統病毒的自我復制過程需要人工干預,無論運行感染病毒的實用程序,或者是打開包含宏病毒的郵件等,沒有人工干預病毒無法自我完成復制、傳播。但蠕蟲卻可以自我獨立完成以下過程:
(1)、查找遠程系統:能夠通過檢索已被攻陷的系統的網絡鄰居列表或其它遠程系統地址列表找出下一個攻擊對象。
(2)、建立連接:能夠通過端口掃描等操作過程自動和被攻擊對象建立連接,如Telnet連接等。
(3)、實施攻擊:能夠自動將自身通過已經建立的連接復制到被攻擊的遠程系統,并運行它。
一旦計算機和網絡染上了惡意代碼,安全問題就不可避免。
3.5. 常規網絡安全技術
石化企業隨著信息系統的不斷發展,大量IT技術被引入,同時也包括各種IT網絡安全技術。目前以MES為代表的信息系統在實現控制網絡接入信息網絡時,也基本都考慮了對控制網絡的安全防護。但目前對控制網絡的防護,大部分采用的是常規網絡安全技術,主要包括防火墻、IDS、VPN、防病毒等。這些技術主要面向商用網絡應用。
在企業的信息化系統中,由辦公網絡、管理網絡組成的信息網絡與商用網絡的運維特點比較相似,因此采用常規網絡安全技術是適合的。而控制網絡特點則有很大不同。
控制網絡是控制系統如DCS各部件協同工作的通信網絡。控制系統負責對生產裝置的連續不間斷地生產控制,因此控制網絡同樣具有連續不可間斷的高可靠性要求。另一方面,控制網絡也是操作人員對控制系統實時下發控制指令的重要途徑,所以控制網絡又具有不可延遲的高實時性要求。
在商用網絡里可以存在病毒,幾乎每天都有新的補丁出現,計算機可能會死機、暫停,而這些如果發生在控制網絡里幾乎是不可想象的。為了保證生產安全,在極端情況下,即便將控制網絡與信息網絡斷開,停止與信息網絡交換數據也要保證控制系統的安全。因此,過程生產的連續不可間斷的高可靠性要求控制網絡具備更高的安全性。
另外,從數據安全角度來看,商用網絡往往對數據的私密性要求很高,要防止信息的泄露,而控制網絡強調的是數據的可靠性。另外,商用網絡的應用數據類型極其復雜,傳輸的通信標準多樣化,如HTTP、SMTP、FTP、SOAP等;而控制網絡的應用數據類型相對單一,以過程數據為主,傳輸的通信標準以工業通信標準為主,如OPC、Modbus等。
通過比較商用網絡與控制網絡的差異可以發現,常規的IT網絡安全技術都不是專門針對控制網絡需求設計的,用在控制網絡上就會存在很多局限性。
比如防火墻產品,目前基本是以包過濾技術為基礎的,它最大的局限性在于不能保證準許放行的數據的安全性。防火墻通過拒絕放行并丟棄數據包來實現自己的安全機制。但防火墻無法保證準許放行數據的安全性。從實際應用來看,防火墻較為明顯的局限性包括以下幾方面:
1)、防火墻不能阻止感染病毒的程序和文件的傳輸。就是防火墻只能做網絡四層以下的控制,對于應用層內的病毒、蠕蟲都沒有辦法。
2)、防火墻不能防范全新的威脅,更不能防止可接觸的人為或自然的破壞。
3)、防火墻不能防止由自身安全漏洞引起的威脅。
4)、防火墻對用戶不完全透明,非專業用戶難于管理和配置,易造成安全漏洞。
5)、防火墻很難為用戶在防火墻內外提供一致的安全策略,不能防止利用標準網絡協議中的缺陷進行的攻擊,也不能防止利用服務器系統漏洞所進行的攻擊。
6)、由于防火墻設置在內網與外網通信的信道上,并執行規定的安全策略,所以防火墻在提供安全防護的同時,也變成了網絡通信的瓶頸,增加了網絡傳輸延時,如果防火墻出現問題,那么內部網絡就會受到嚴重威脅。
7)、防火墻僅提供粗粒度的訪問控制能力。它不能防止數據驅動式的攻擊。
另一方面,防火墻由于其自身機理的原因,還存在很多先天不足,主要包括:
1)、由于防火墻本身是基于TCP/IP協議體系實現的,所以它無法解決TCP/IP協議體系中存在的漏洞。
2)、防火墻只是一個策略執行機構,它并不區分所執行政策的對錯,更無法判別出一條合法政策是否真是管理員的本意。從這點上看,防火墻一旦被攻擊者控制,由它保護的整個網絡就無安全可言了。
3)、防火墻無法從流量上判別哪些是正常的,哪些是異常的,因此容易受到流量攻擊。
4)、防火墻的安全性與其速度和多功能成反比。防火墻的安全性要求越高,需要對數據包檢查的項目(即防火墻的功能)就越多越細,對CPU和內存的消耗也就越大,從而導致防火墻的性能下降,處理速度減慢。
5)、防火墻準許某項服務,卻不能保證該服務的安全性,它需要由應用安全來解決。
防火墻正是由于這些缺陷與不足,導致目前被攻破的幾率已經接近50%。雖然目前最流行的安全架構是以防火墻為核心的安全體系架構。通過防火墻來實現網絡的安全保障體系。然而,以防火墻為核心的安全防御體系未能有效地防止目前頻頻發生的網絡攻擊。僅有防火墻的安全架構是遠遠不夠的。
其它安全技術如IDS、VPN、防病毒產品等與產品與防火墻一樣,也都有很強的針對性,只能管轄屬于自己管轄的事情,出了這個邊界就不再能發揮作用。IDS作為可審查性產品最大的局限性是漏報和誤報嚴重,幾乎不是一個可以依賴的安全工具,而是一個參考工具。漏報等于沒有報,誤報則是報錯了,這兩個特點幾乎破壞了入侵檢測的可用性。VPN作為一種加密類技術,不管哪種VPN技術,在設計之初都是為了保證傳輸安全問題而設計的,而沒有動態、實時的檢測接入的VPN主機的安全性,同時對其作“準入控制”。這樣有可能因為一個VPN主機的不安全,導致其整個網絡不安全。防病毒產品也有局限性,主要是對新病毒的處理總是滯后的,這導致每年都會大規模地爆發病毒,特別是新病毒。
3.6. 其它行業借鑒
在我國各大基礎能源行業中,電力行業由于其特殊行業背景,其安全性往往上升到國家安全高度,因此在網絡安全防護方面也有著較高的要求。
早在2002年,國家經貿委即發行了第30號令,即《電網和電廠計算機監控系統及調度數據網絡安全防護的規定》。該行業法規頒布的主要目的是:“防范對電網和電廠計算機監控系統及調度數據網絡的攻擊侵害及由此引起的電力系統事故,保障電力系統的安全穩定運行,建立和完善電網和電廠計算機監控系統及調度數據網絡的安全防護體系。”該規定將電力監控系統、辦公自動化系統或其他信息系統以及互聯網之間的網絡做了邊界劃分,并明確規定,電力監控系統在與其它系統之間以網絡方式互聯時,必須采用經國家有關部門認證的專用、可靠的安全隔離設施。
2003年,美國佛羅里達州以及東北部發生了大面積停電事件。當時一部分別有用心的美國和英國安全人士聲稱,是包括中國軍方在內的中國黑客侵入了美國東北部電網的控制系統,導致了密歇根、俄亥俄、紐約等地區大面積停電。
2004年,國家電監會發行了5號令《電力二次系統安全防護規定》。規定指出,制定該規定的目的是:“為了防范黑客及惡意代碼等對電力二次系統的攻擊侵害及由此引發電力系統事故,建立電力二次系統安全防護體系,保障電力系統的安全穩定運行。”該規定將發電企業、電網企業、供電企業內部基于計算機和網絡技術的業務系統,劃分為生產控制大區和管理信息大區,并強制要求,在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認定認證的安全隔離裝置。
電力行業在更高的網絡安全性要求的背景下,一方面從行政角度明確地將連接各業務系統的網絡劃分為信息網絡和控制網絡;另一方面,為了解決防火墻等常規網絡安全技術的局限性,在控制網絡防護上采用了網絡隔離技術。
4. 網絡隔離技術及產品
4.1. 網絡隔離技術
在防火墻的發展過程中,人們最終意識到防火墻在安全方面的局限性。高性能、高安全性、易用性方面的矛盾沒有很好地解決。防火墻體系架構在高安全性方面的缺陷,驅使人們追求更高安全性的解決方案,人們期望更安全的技術手段,網絡隔離技術應運而生。
網絡隔離技術是安全市場上的一個分支。在經過漫長的市場概念澄清和技術演變進步之后,市場最終接受了網絡隔離具有最高的安全性。目前存在的安全問題,對網絡隔離技術而言在理論上都不存在。這就是各國政府和軍方都大力推行網絡隔離技術的主要原因。
網絡隔離技術經過了長時間的發展,目前已經發展到了第五代技術。第一代隔離技術采用完全的隔離技術,實際上是將網絡物理上的分開,形成信息孤島;第二代隔離技術采用硬件卡隔離技術;第三代隔離技術采用數據轉發隔離技術;第四代隔離技術采用空氣開關隔離技術;第五代隔離技術采用安全通道隔離技術。
基于安全通道的最新隔離技術通過專用通信硬件和專有安全協議等安全機制,來實現內外部網絡的隔離和數據交換,不僅解決了以前隔離技術存在的問題,并有效地把內外部網絡隔離開來,而且高效地實現了內外網數據的安全交換,透明支持多種網絡應用,成為當前隔離技術的發展方向。
網絡隔離的指導思想與防火墻也有很大的不同,體現在防火墻的思路是在保障互聯互通的前提下,盡可能安全;而網絡隔離的思路是在必須保證安全的前提下,盡可能支持數據交換,如果不安全則斷開。
網絡隔離技術主要目標是解決目前信息安全中的各種漏洞:操作系統漏洞、TCP/IP漏洞、應用協議漏洞、鏈路連接漏洞、安全策略漏洞等,網絡隔離是目前唯一能解決上述問題的安全技術。
4.2. 網絡隔離產品
基于網絡隔離技術的網絡隔離產品是互聯網時代的產物。最早出現在美國、以色列等國家的軍方,用以解決涉密網絡與公共網絡連接時的安全。在我國,最初的應用也主要集中在政府、軍隊等領域,由于核心部門的信息安全關系著國家安全、社會穩定,因此迫切需要比傳統產品更為可靠的技術防護措施。國內的網絡隔離產品也由此應運而生。
由于是應用在可能涉及國家安全的關鍵場合,為了統一規范網絡隔離類的技術標準,國家質量監督檢驗總局及國家標準化管理委員及早制定了相應的國家標準,目前最新國標為GB/T 20279-2006和GB/T 20277-2006。
隨著以電力為首的工業行業對網絡安全提出了更高要求后,網絡隔離產品也開始在工業領域逐漸得到應用。目前,已經在工業領域用于控制網絡安全防護的網絡隔離產品主要有網閘、工業網絡安全防護網關等產品。這些產品大部分都是基于最新的第五代隔離技術開發出來了,其主要的技術原理是從OSI模型的七層上全面斷開網絡連接,同時采用“2+1”的三模塊架構,即內置有兩個主機系統,和一個用于建立安全通道可交換數據的隔離單元。這種架構可以實現連接到外網和內網的兩主機之間是完全網絡斷開的,從物理上進行了網絡隔離,消除了數據鏈路的通信協議,剝離了TCP/IP協議,剝離了應用協議,在安全交換后進行了協議的恢復和重建。通過TCP/IP協議剝離和重建技術消除了TCP/IP協議的漏洞。在應用層對應用協議進行剝離和重建,消除了應用協議漏洞,并可針對應用協議實現一些細粒度的訪問控制。從TCP/IP的OSI數據模型的所有七層斷開后,就可以消除目前TCP/IP存在的所有攻擊。
(1)、網閘
網閘類產品誕生較早。產品最初是用來解決涉密網絡與非涉密網絡之間的安全數據交換問題。后來,網閘由于其高安全性,開始被廣泛應用于政府、軍隊、電力、鐵道、金融、銀行、證券、保險、稅務、海關、民航、社保等多個行業部門。
由于網閘產品的主要定位是各行業中對安全性要求較高的涉密業務的辦公系統,因此它提供的應用也以通用的互聯網功能為主。例如,目前大多數網閘都支持:文件數據交換、HTTP訪問、WWW服務、FTP訪問、收發電子郵件、關系數據庫同步以及TCP/UDP定制等。
在工業領域,網閘也開始得到應用和推廣。但除了用于辦公系統外,當用于隔離控制網絡時,由于網閘一般都不支持工業通信標準如OPC、Modbus,用戶只能使用其TCP/UDP定制功能。這種方式需要在連接網閘的上、下游增加接口計算機或代理服務器,并定制通信協議轉換接口軟件才能實現通信。
(2)、工業網絡安全防護網關
工業網絡安全防護網關是近幾年新興的一種專門應用于工業領域的網絡隔離產品,它同樣采用“2+1”的三模塊架構,內置雙主機系統,隔離單元通過總線技術建立安全通道以安全地實現快速數據交換。與網閘不同的是,工業網絡安全防護網關提供的應用專門針對控制網絡的安全防護,因此它只提供控制網絡常用通信功能如OPC、Modbus等,而不提供通用互聯網功能。因此工業網絡安全防護網關更適合于控制網絡的隔離,但不適合辦公系統。
工業網絡安全防護網關是網絡隔離技術應用于工業網絡安全防護的一種專業化安全產品。
5. 實踐
5.1. 烏石化MES簡況
烏石化 MES 項目從 2006 年啟動,至 2008 年實施完成并成功上線投運以來,系統運行平穩,用戶可熟練使用系統進行生產運行操作管理。該系統的建成,進一步提高了信息技術對下游業務的支持能力和水平,同時達到了為企業優化資源配置、提高整體效益和綜合實力發揮積極作用的目的。
5.2. 控制網絡安全性改造
采用分布式網絡,通過核心交換機,連接二級單位局域網,千兆網絡連接到各廠,百兆網絡連接到匯聚層。網絡基礎狀況良好,現有的信息網絡已經涵蓋企業辦公樓區域和各個廠區及生產車間。全廠 DCS 系統主要裝置都已具備數據采集接口,采用 OPC 標準。每個車間有交換機,網絡布置到了各個辦公室,和 DCS 數據連通。
MES 系統的實施,使得 DCS/PLC 控制網絡和廠內的辦公網絡直接相連,這給網絡安全帶來了新的要求,即如何保證兩者之間穩定而可靠的數據傳輸的同時,又能最大程度的限制辦公系統網絡對DCS/PLC 控制網絡造成的不良影響。 原 MES 系統在實施時,也考慮了對控制網絡的防護。對每一套 DCS/PLC 系統采集時,都部署了緩沖工作站;所有的工作站,都限定在一個單獨的 VLAN 中,指向一臺特定的防火墻設備;在防火墻上,制定相應的訪問策略,實現網絡訪問的安全性。
在原有系統中,對控制網絡的安全防護主要采用了以防火墻為核心的方案。考慮到防火墻技術的局限性,烏石化 MES 在 2009 年實施了對控制網絡安全性的改造,并在改造項目中首次引入了網絡隔離技術。
由于該項目為改造性項目,考慮到對原有系統的兼容性,并以不影響現有生產為原則,在產品選型及方案設計時特別提出幾點要求:
(1)、所選產品須基于第五代先進網絡隔離技術開發,并經國家指定部門檢測認定、認證,符合國家標準(GB/T 20279-2006、GB/T 20277-2006)。
(2)、所選產品須支持現有 OPC 采集接口標準。
(3)、所選產品及方案須支持“無擾接入”方式。即在現有網絡中加入網絡隔離裝置時,對現有已接入 MES 的 DCS/PLC 操作站的軟、硬件無需做任何升級或改動,對操作站的參數配置無需做任何改動,包括:IP 地址、登錄用戶名/口令、DCOM 配置等;對 MES 系統現有 PHD 軟件及 PHD 緩沖工作站的軟、硬件無需做任何升級或改動,對參數配置無需做任何改動,包括:IP 地址、TAG 標簽名、OPC 配置等。
(4)、所選產品須能提供數據的“細粒度”訪問控制功能。例如對于 OPC 方式,網絡隔離裝置須能夠控制 OPC 服務器中具體哪些 Item 項允許或禁止暴露給MES,同時對每個 Item項須支持只讀式的單向訪問功能以保證數據安全。
(5)、所選產品及方案須保證在加入網絡隔離裝置后數據交換實時性與原系統相當,不產生延時。
(6)、所選產品須保證自身安全與高可靠性。
根據以上設計要求,該項目最終選用了標準的工業網絡安全防護網關型產品pSafetyLink。該產品在滿足上述要求的同時,又提供了符合自控工程師使用習慣的操作方式,不需要實施人員了解太多網絡技術的相關內容,就很容易完成對產品的調試和部署,提高了項目實施效率。
烏石化MES控制網絡安全性改造方案示意圖
6. 結束語
石化工業是國家的基礎性能源支柱產業,信息安全在任何時期、任何國家地區都備受關注。能源系統的信息安全問題直接威脅到其它行業系統的安全、穩定、經濟、優質的運行,影響著系統信息化的實現進程。維護網絡安全,確保生產系統的穩定可靠、防止來自內部或外部攻擊,采取高安全性的防護措施都是石化信息系統安全不可忽視的組成部分。
參考文獻:
[1] 俞承杭﹒計算機網絡與信息安全技術[M]﹒北京:機械工業出版社,2008﹒
[2] 萬國平﹒網絡隔離與網閘[M]﹒北京:機械工業出版社,2004﹒
[3] 袁德明,喬月圓﹒計算機網絡安全[M]﹒北京:電子工業出版社,2007﹒
[4] 馬宜興﹒網絡安全與病毒防范[M]﹒上海:上海交通大學出版社,2009﹒
[5] 王代潮,曾德超,劉巖﹒信息安全管理平臺理論與實踐[M]﹒北京:電子工業出版社,2007﹒
[6] 沈鑫剡﹒計算機網絡安全[M]﹒北京:清華大學出版社,2009
[7] 張世永﹒網絡安全原理與應用[M]﹒北京:科學出版社,2003