1. 前言
随着我国工业信息化建设的不断深入,信息化已经成为企业发展的重要推动力量,国外石化企业信息化建设和应用已经走在我们前面。经济全球化的发展以及WTO的加入,更对石化企业提出了新的挑战,就石化企业而言,信息化是生存和发展的必由之路。
信息化是一项系统工程,信息化安全也是信息化建设的关键环节。特别是随着互联网日新月异的发展和企业集团信息化整合的加强,企业网络应用的范围在不断扩大,如通过互联网获取信息、展现企业形象、开展电子商务等,通过广域网实现集团内部资源共享、统一集团管理等,企业信息化网络不再是单纯意义上的Intranet,而更多的则是基于Internet的网络和应用。但网络开放的同时,带来的安全问题就更加严峻了,各种安全问题如病毒、攻击和入侵等已经引起了人们的高度重视。
信息化安全是一个普遍问题,但是,不同行业信息化有自己的特点,信息化安全的重点和所采取的对策也不尽相同,因此,面向石化企业信息化的特点,本文专门针对MES系统涉及的控制网络安全问题进行了系统地分析,并结合在乌石化的实践情况,提出适合行业特点的安全对策。
2. 石化MES发展概述
石化企业信息化与其它行业相比有一个突出特点,就是以管控一体化为重点。这是由石化行业自身的特点决定的,并具有一定的时代特点。
石化企业是典型的资金和技术密集型企业,生产的连续性很强,装置和重要设备的意外停产都会导致巨大的经济损失,因此生产过程控制大多采用DCS等先进的控制系统,生产管理上也更注重安全和平稳运行。通过加强生产管理,可以实现管理与生产过程控制的融合,通过优化调度、先进控制和优化控制等手段,在保证生产平稳的基础上获取更大的经济效益,因此,石化企业信息化的重点是管控一体化。而作为石化生产主体的炼化企业是典型的流程工业企业,具有生产过程连续化、生产批量大、工艺规程相对固定和物料流向复杂等特点,随着原油价格的不断攀高及国内外企业竞争加剧,炼化企业对于提升生产增效空间、加强精细化管理水平有着越来越迫切的用户需求,在这个背景下,近几年MES系统在国内外炼化企业的开发和实施工作发展迅速。
当今的石化企业普遍采用基于ERP/SCM、MES和PCS三层架构的管控一体化信息模型,MES处于企业信息系统ERP/SCM和过程控制系统的中间位置。MES系统在整个信息系统中主要担当了两个方面的重要作用:一是数据双向通道的作用。即通过MES系统的实施,可以有效弥补企业PCS层及ERP/SCM层之间的数据间隙,由下至上,通过对底层PCS层数据的搜集、存储及校正,建立过程控制数据层次上的数字化工厂,结合生产调度层次上的调度事件信息数据等,为上层ERP/SCM计划管理层提供准确统一的生产数据;由上至下,通过对实时生产数据的总结,上层ERP/SCM层可以根据未来订单及现阶段生产状况调整生产计划,下发MES层进行计划的分解及产生调度指令,有效指导企业生产活动。因此,MES系统在数据层面上,起到了沟通PCS层和ERP/SCM层的桥梁作用,并保证了生产数据、调度事件等信息的一致性及准确性。另一方面,生产活动的复杂性产生了很多实际的用户需求,为了满足这些用户需求,MES系统也可以视为一个功能模块的集合。
国内炼化企业从 1999 年开始,逐步意识到MES系统的开发及实施工作对于工厂信息化建设的重要性,这个过程主要分为两个阶段。第一个阶段,炼化企业主要依据实际生产应用需求,在工厂开发实施一些独立非系统化的 MES 模块,例如:数据整合与物料平衡系统等;第二个阶段,炼化企业开始注重 MES 的系统及完整性,在 PCS 系统上架设统一的工厂实时/关系数据平台,向上连接 ERP/SCM 系统,形成完整的企业综合自动化系统三层结构;炼化企业在生产活动方面的用户需求通过功能模块的架构及实施得到解决。在这个阶段,以中石油和中石化两大大型国有企业的下属炼化厂最有代表性。
以中石油的炼化企业为例,早在 2000 年,中石油完成信息技术总体规划,确定了中国石油未来信息技术能力的蓝图。炼油与化工运行系统,即 MES 项目,2004 年中石油 MES 项目正式在全公司范围内启动,经过了一年多的试点实施,于 2005 年上线正式投入运行。试点实施成功上线之后,根据项目实施计划下一步安排,又在下属分公司进行一期项目推广工作,并于 2007 年 4 家同时成功上线。从 2006 年开始开展二期推广工作,并于 2007 年开始进行二期推广。目前,中石油 MES 系统二期推广工作接近尾声,三期工作于 2008 年开始在中石油国内 14 家炼化企业开展。
3. MES控制网络安全
3.1. 两网融合
石化企业MES的快速发展,从客观上加速了企业信息网络与控制网络的高度融合。
基于管控一体化的主导思想,石化MES的核心功能是基于实时数据库的生产调度管理,并以实现对控制系统的数据采集作为必要前提条件,否则其它内容都无从谈起。这意味着运行MES的信息网络必须要实现与控制网络之间的数据交换。此时,PCS层的控制网络也不再以一个独立的网络运行,而要与信息网络互通、互联。随着越来越多的石化企业推广、应用MES,就有越来越多的控制网络被接入到信息网络中,信息网络与控制网络的两网融合,已经成为大势所趋。
两网融合,给我们在建设MES时带来新的思考,那就是不能再将控制网络与MES割裂开来。特别是从网络安全的角度,控制网络已经成为MES的一部分,必须通盘考虑。
3.2. 控制网络开放性
由DCS、PLC和SCADA等控制系统构成的控制网络,在过去几十年的发展中呈现出整体开放的趋势。
以石化主流控制系统DCS为例,在信息技术发展的影响下,DCS已经进入了第四代,新一代DCS呈现的一个突出特点就是开放性的提高。过去的DCS厂商基本上是以自主开发为主,提供的系统也是自己的系统。当今的DCS厂商更强调开放系统集成性。各DCS厂商不再把开发组态软件或制造各种硬件单元视为核心技术,而是纷纷把DCS的各个组成部分采用第三方集成方式或OEM方式。例如,多数DCS厂商自己不再开发组态软件平台,而转入采用其它专业公司的通用组态软件平台,或其它公司提供的软件平台。这一思路的转变使得现代DCS的操作站完全呈现PC化与Windows化的趋势。在新一代DCS的操作站中,几乎清一色采用PC+Windows的技术架构,使用户的投资及维护成本大幅降低。
同时,DCS网络技术也呈现出开放的特征。过去,由于通信技术相对落后,网络技术开放性是困扰用户的一个重要问题。而当代网络技术、软件技术的发展为开放系统提供了可能。网络技术开放性体现在DCS可以从多个层面与第三方系统互联,同时支持多种网络协议。目前在与企业管理层信息平台互联时,大多采用基于TCP(UDP)/IP协议的以太网通信技术,使用OPC等开放接口标准。
3.3. 控制网络安全漏洞
开放性为用户带来的好处毋庸置疑,但由此引发的各种安全漏洞与传统的封闭系统相比却大大增加。对于一个控制网络系统,产生安全漏洞的因素是多方面的。
3.3.1. 网络通信协议安全漏洞
随着TCP(UDP)/IP协议被控制网络普遍采用,网络通信协议漏洞问题变得越来越突出。
TCP/IP协议簇最初设计的应用环境是美国国防系统的内部网络,这一网络是互相信任的,因此它原本只考虑互通互联和资源共享的问题,并未考虑也无法兼容解决来自网络中和网际间的大量安全问题。当其推广到社会的应用环境后,安全问题发生了。所以说,TCP/IP在先天上就存在着致命的安全漏洞。
(1)、缺乏对用户身份的鉴别
TCP/IP的机制性漏洞之一是缺乏对通信双方真实身份的鉴别机制。由于TCP/IP使用IP地址作为网络节点的唯一标识,而IP地址的使用和管理又存在很多问题,因而一方面很容易导致IP地址的暴露,另一方面IP地址很容易被伪造和更改。
(2)、缺乏对路由协议的鉴别认证
TCP/IP在IP层上缺乏对路由协议的安全认证机制,对路由信息缺乏鉴别与保护,因此可以通过互联网,利用路由信息修改网络传输路径,误导网络分组传输。
(3)、TCP/UDP自身缺陷
TCP/IP协议簇规定了TCP/UDP是基于IP协议上的传输协议,TCP分段和UDP数据包是封装在IP包在网上传输的,除了可能面临IP层所遇到的安全威胁外,还存在TCP/UDP实现中的安全隐患。例如,TCP建立连接时在客户机/服务器模式的“三次握手”中,假如客户的IP地址是假的,是不可达的,那么TCP无法完成该次连接并处于“半开”状态,攻击者利用这个弱点就可以实施如SYN Flooding的拒绝服务攻击;TCP提供可靠连接是通过初始序列号和鉴别机制来实现的。一个合法的TCP连接都有一个客户机/服务器双方共享的唯一序列号作为标识和鉴别。初始序列号一般由随机数发生器产生,但问题出在很多操作系统在实现TCP连接初始序列号的方法中,它所产生的序列号并不是真正的随机,而是一个具有一定规律、可猜测或计算的数字。对攻击者来说,猜出了初始序列号并掌握了IP地址后,就可以对目标实施IP Spoofing攻击,而且极难检测,危害巨大;而UDP是一个无连接的控制协议,极易受IP源路由和拒绝服务型攻击。
3.3.2. 操作系统安全漏洞
PC+Windows的技术架构现已成为控制系统上位机/操作站的主流。而在控制网络中,上位机/操作站是实现与MES通信的主要网络结点,因此其操作系统的漏洞就成为了整个控制网络信息安全中的一个短板。
Windows操作系统从推出至今,以其友好的用户界面、简单的操作方式得到了用户的认可,其版本也从最初的Windows 3.1发展到如今的XP、Windows Server2003、 Windows 7等。但是,微软在设计Windows操作系统时是本着简单易用为原则的,因而忽略了安全方面的考虑,留下了很多隐患。这些隐患在单机时代并没有显现出来,后来随着网络的出现和普及,越来越多地使用Windows操作系统的PC接入网络,微软埋下的隐患逐渐浮出水面。一时间Windows操作系统漏洞频繁出现,安全事故时有发生。虽然微软在Windows2000以后的版本中采用了Windows NT的核心,在一定程度上提高了Windows操作系统的安全性,但仍然不能避免安全漏洞的不断出现。另一方面,Windows作为主流的操作系统,也更容易成为众矢之的,每次Windows的系统漏洞被发现后,针对该漏洞的恶意代码很快就会出现在网上,从漏洞被发现到恶意代码的出现,中间的时差开始变得越来越短。以Windows2000版本为例,就曾被发现了大量漏洞,典型的如:输入法漏洞、IPC$漏洞、RPC漏洞、Unicode漏洞、IDA&IDQ缓冲区溢出漏洞、Printer溢出漏洞、Cookie漏洞等等。这些漏洞大部分危害巨大,恶意代码通过这些漏洞,可以获得Windows2000操作站的完全控制权,甚至为所欲为。
3.3.3. 应用软件安全漏洞
处于应用层的应用软件产生的漏洞是最直接、最致命的。一方面这是因为应用软件形式多样,很难形成统一的防护规范以应对安全问题;另一方面最严重的是,当应用软件面向网络应用时,就必须开放其应用端口。例如,要想实现与操作站OPC服务器软件的网络通信,控制网络就必须完全开放135端口,这时防火墙等安全设备已经无能为力了。而实际上,不同应用软件的安全漏洞还不止于此。
2008年国外媒体曾报道,总部位于美国波士顿的核心安全技术公司CST在经过安全评估后严正表示,互联网攻击者可能会利用一些大型工程自动化软件的安全漏洞获取诸如污水处理厂、天然气管道以及其他大型设备的控制权,一旦这些控制权被不良意图黑客所掌握,那么后果不堪设想。其中被告知的自动化软件系统CitectSCADA在五个月之后发布了该安全漏洞的补丁程序。但是这种安全漏洞也会出现在其他的监控软件或者类似于CitectSCADA系统的软件之上。此外是不是所有的Citect的客户都安装了这个安全补丁尚且不得而知。
目前黑客攻击应用软件漏洞常用的方法是“缓冲区溢出”,它通过向控制终端发送恶意数据包来获取控制权。一旦获取控制权,攻击者就可以如在本地一样去操控远程操作站上的监控软件,修改控制参数。
3.4. 控制网络安全隐患
控制网络的安全漏洞暴露了整个控制系统安全的脆弱性。由于网络通信协议、操作系统、应用软件、安全策略甚至硬件上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问和操控控制网络系统,形成了巨大的安全隐患。控制网络系统的安全性同样符合“木桶原则”,其整体安全性不在于其最强处,而取决于系统最薄弱之处,即安全漏洞所决定。只要这个漏洞被发现,系统就有可能成为网络攻击的牺牲品。
安全漏洞对控制网络的隐患体现在恶意攻击行为对系统的威胁。随着越来越多的控制网络系统通过信息网络连接到互联上,这种威胁就越来越大。目前互联网上已有几万个黑客站点,黑客技术不断创新,基本的攻击手法已达上千种。这些攻击技术一旦被不法之徒掌握,将产生不良的后果。
对于控制网络系统,由于安全漏洞可能带来的直接安全隐患有以下几种。
3.4.1. 入侵
系统被入侵是系统常见的一种安全隐患。黑客侵入计算机和网络可以非法使用计算机和网络资源,甚至是完全掌控计算机和网络。
控制网络的计算机终端和网络往往可以控制诸如大型化工装置、公用工程设备,甚至核电站安全系统等大型工程化设备。黑客一旦控制该系统,对系统造成一些参数的修改,就可能导致生产运行的瘫痪,就意味着可能利用被感染的控制中心系统破坏生产过程、切断整个城市的供电系统、恶意污染饮用水甚至是破坏核电站的正常运行。随着近些年来越来越多的控制网络接入到互联网当中,这种可能就越来越大。
3.4.2. 拒绝服务攻击
受到拒绝服务攻击是一种危害很大的安全隐患。常见的流量型攻击如Ping Flooding、UDP Flooding等,以及常见的连接型攻击如SYN Flooding、ACK Flooding等,通过消耗系统的资源,如网络带宽、连接数、CPU处理能力等使得正常的服务功能无法进行。拒绝服务攻击难以防范的原因是它的攻击对象非常普遍,从服务器到各种网络设备如路由器、交换机、防火墙等都可以被拒绝服务攻击。
控制网络一旦遭受严重的拒绝服务攻击就会导致操作站的服务瘫痪,与控制系统的通信完全中断等。可以想像,受到拒绝服务攻击后的控制网络可能导致网络中所有操作站和监控终端无法进行实时监控,其后果是非常严重的。而传统的安全技术对拒绝服务攻击几乎不可避免,缺乏有效的手段来解决。
3.4.3. 病毒与恶意代码
病毒的泛滥是大家有目共睹的。全球范围内,每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒,并且还在以每天数十余种的速度增长。除了传统意义上的具有自我复制能力但必须寄生在其它实用程序中的病毒外,各种新型的恶意代码也层出不穷,如陷阱门、逻辑炸弹、特洛伊木马、蠕虫、Zombie等。新型的恶意代码具有更强的传播能力和破坏性。例如蠕虫,从广义定义来说也是一种病毒,但和传统病毒相比最大不同在于自我复制过程。传统病毒的自我复制过程需要人工干预,无论运行感染病毒的实用程序,或者是打开包含宏病毒的邮件等,没有人工干预病毒无法自我完成复制、传播。但蠕虫却可以自我独立完成以下过程:
(1)、查找远程系统:能够通过检索已被攻陷的系统的网络邻居列表或其它远程系统地址列表找出下一个攻击对象。
(2)、建立连接:能够通过端口扫描等操作过程自动和被攻击对象建立连接,如Telnet连接等。
(3)、实施攻击:能够自动将自身通过已经建立的连接复制到被攻击的远程系统,并运行它。
一旦计算机和网络染上了恶意代码,安全问题就不可避免。
3.5. 常规网络安全技术
石化企业随着信息系统的不断发展,大量IT技术被引入,同时也包括各种IT网络安全技术。目前以MES为代表的信息系统在实现控制网络接入信息网络时,也基本都考虑了对控制网络的安全防护。但目前对控制网络的防护,大部分采用的是常规网络安全技术,主要包括防火墙、IDS、VPN、防病毒等。这些技术主要面向商用网络应用。
在企业的信息化系统中,由办公网络、管理网络组成的信息网络与商用网络的运维特点比较相似,因此采用常规网络安全技术是适合的。而控制网络特点则有很大不同。
控制网络是控制系统如DCS各部件协同工作的通信网络。控制系统负责对生产装置的连续不间断地生产控制,因此控制网络同样具有连续不可间断的高可靠性要求。另一方面,控制网络也是操作人员对控制系统实时下发控制指令的重要途径,所以控制网络又具有不可延迟的高实时性要求。
在商用网络里可以存在病毒,几乎每天都有新的补丁出现,计算机可能会死机、暂停,而这些如果发生在控制网络里几乎是不可想象的。为了保证生产安全,在极端情况下,即便将控制网络与信息网络断开,停止与信息网络交换数据也要保证控制系统的安全。因此,过程生产的连续不可间断的高可靠性要求控制网络具备更高的安全性。
另外,从数据安全角度来看,商用网络往往对数据的私密性要求很高,要防止信息的泄露,而控制网络强调的是数据的可靠性。另外,商用网络的应用数据类型极其复杂,传输的通信标准多样化,如HTTP、SMTP、FTP、SOAP等;而控制网络的应用数据类型相对单一,以过程数据为主,传输的通信标准以工业通信标准为主,如OPC、Modbus等。
通过比较商用网络与控制网络的差异可以发现,常规的IT网络安全技术都不是专门针对控制网络需求设计的,用在控制网络上就会存在很多局限性。
比如防火墙产品,目前基本是以包过滤技术为基础的,它最大的局限性在于不能保证准许放行的数据的安全性。防火墙通过拒绝放行并丢弃数据包来实现自己的安全机制。但防火墙无法保证准许放行数据的安全性。从实际应用来看,防火墙较为明显的局限性包括以下几方面:
1)、防火墙不能阻止感染病毒的程序和文件的传输。就是防火墙只能做网络四层以下的控制,对于应用层内的病毒、蠕虫都没有办法。
2)、防火墙不能防范全新的威胁,更不能防止可接触的人为或自然的破坏。
3)、防火墙不能防止由自身安全漏洞引起的威胁。
4)、防火墙对用户不完全透明,非专业用户难于管理和配置,易造成安全漏洞。
5)、防火墙很难为用户在防火墙内外提供一致的安全策略,不能防止利用标准网络协议中的缺陷进行的攻击,也不能防止利用服务器系统漏洞所进行的攻击。
6)、由于防火墙设置在内网与外网通信的信道上,并执行规定的安全策略,所以防火墙在提供安全防护的同时,也变成了网络通信的瓶颈,增加了网络传输延时,如果防火墙出现问题,那么内部网络就会受到严重威胁。
7)、防火墙仅提供粗粒度的访问控制能力。它不能防止数据驱动式的攻击。
另一方面,防火墙由于其自身机理的原因,还存在很多先天不足,主要包括:
1)、由于防火墙本身是基于TCP/IP协议体系实现的,所以它无法解决TCP/IP协议体系中存在的漏洞。
2)、防火墙只是一个策略执行机构,它并不区分所执行政策的对错,更无法判别出一条合法政策是否真是管理员的本意。从这点上看,防火墙一旦被攻击者控制,由它保护的整个网络就无安全可言了。
3)、防火墙无法从流量上判别哪些是正常的,哪些是异常的,因此容易受到流量攻击。
4)、防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高,需要对数据包检查的项目(即防火墙的功能)就越多越细,对CPU和内存的消耗也就越大,从而导致防火墙的性能下降,处理速度减慢。
5)、防火墙准许某项服务,却不能保证该服务的安全性,它需要由应用安全来解决。
防火墙正是由于这些缺陷与不足,导致目前被攻破的几率已经接近50%。虽然目前最流行的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保障体系。然而,以防火墙为核心的安全防御体系未能有效地防止目前频频发生的网络攻击。仅有防火墙的安全架构是远远不够的。
其它安全技术如IDS、VPN、防病毒产品等与产品与防火墙一样,也都有很强的针对性,只能管辖属于自己管辖的事情,出了这个边界就不再能发挥作用。IDS作为可审查性产品最大的局限性是漏报和误报严重,几乎不是一个可以依赖的安全工具,而是一个参考工具。漏报等于没有报,误报则是报错了,这两个特点几乎破坏了入侵检测的可用性。VPN作为一种加密类技术,不管哪种VPN技术,在设计之初都是为了保证传输安全问题而设计的,而没有动态、实时的检测接入的VPN主机的安全性,同时对其作“准入控制”。这样有可能因为一个VPN主机的不安全,导致其整个网络不安全。防病毒产品也有局限性,主要是对新病毒的处理总是滞后的,这导致每年都会大规模地爆发病毒,特别是新病毒。
3.6. 其它行业借鉴
在我国各大基础能源行业中,电力行业由于其特殊行业背景,其安全性往往上升到国家安全高度,因此在网络安全防护方面也有着较高的要求。
早在2002年,国家经贸委即发行了第30号令,即《电网和电厂计算机监控系统及调度数据网络安全防护的规定》。该行业法规颁布的主要目的是:“防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的安全稳定运行,建立和完善电网和电厂计算机监控系统及调度数据网络的安全防护体系。”该规定将电力监控系统、办公自动化系统或其他信息系统以及互联网之间的网络做了边界划分,并明确规定,电力监控系统在与其它系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施。
2003年,美国佛罗里达州以及东北部发生了大面积停电事件。当时一部分别有用心的美国和英国安全人士声称,是包括中国军方在内的中国黑客侵入了美国东北部电网的控制系统,导致了密歇根、俄亥俄、纽约等地区大面积停电。
2004年,国家电监会发行了5号令《电力二次系统安全防护规定》。规定指出,制定该规定的目的是:“为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故,建立电力二次系统安全防护体系,保障电力系统的安全稳定运行。”该规定将发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,划分为生产控制大区和管理信息大区,并强制要求,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认定认证的安全隔离装置。
电力行业在更高的网络安全性要求的背景下,一方面从行政角度明确地将连接各业务系统的网络划分为信息网络和控制网络;另一方面,为了解决防火墙等常规网络安全技术的局限性,在控制网络防护上采用了网络隔离技术。
4. 网络隔离技术及产品
4.1. 网络隔离技术
在防火墙的发展过程中,人们最终意识到防火墙在安全方面的局限性。高性能、高安全性、易用性方面的矛盾没有很好地解决。防火墙体系架构在高安全性方面的缺陷,驱使人们追求更高安全性的解决方案,人们期望更安全的技术手段,网络隔离技术应运而生。
网络隔离技术是安全市场上的一个分支。在经过漫长的市场概念澄清和技术演变进步之后,市场最终接受了网络隔离具有最高的安全性。目前存在的安全问题,对网络隔离技术而言在理论上都不存在。这就是各国政府和军方都大力推行网络隔离技术的主要原因。
网络隔离技术经过了长时间的发展,目前已经发展到了第五代技术。第一代隔离技术采用完全的隔离技术,实际上是将网络物理上的分开,形成信息孤岛;第二代隔离技术采用硬件卡隔离技术;第三代隔离技术采用数据转发隔离技术;第四代隔离技术采用空气开关隔离技术;第五代隔离技术采用安全通道隔离技术。
基于安全通道的最新隔离技术通过专用通信硬件和专有安全协议等安全机制,来实现内外部网络的隔离和数据交换,不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
网络隔离的指导思想与防火墙也有很大的不同,体现在防火墙的思路是在保障互联互通的前提下,尽可能安全;而网络隔离的思路是在必须保证安全的前提下,尽可能支持数据交换,如果不安全则断开。
网络隔离技术主要目标是解决目前信息安全中的各种漏洞:操作系统漏洞、TCP/IP漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等,网络隔离是目前唯一能解决上述问题的安全技术。
4.2. 网络隔离产品
基于网络隔离技术的网络隔离产品是互联网时代的产物。最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在我国,最初的应用也主要集中在政府、军队等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。国内的网络隔离产品也由此应运而生。
由于是应用在可能涉及国家安全的关键场合,为了统一规范网络隔离类的技术标准,国家质量监督检验总局及国家标准化管理委员及早制定了相应的国家标准,目前最新国标为GB/T 20279-2006和GB/T 20277-2006。
随着以电力为首的工业行业对网络安全提出了更高要求后,网络隔离产品也开始在工业领域逐渐得到应用。目前,已经在工业领域用于控制网络安全防护的网络隔离产品主要有网闸、工业网络安全防护网关等产品。这些产品大部分都是基于最新的第五代隔离技术开发出来了,其主要的技术原理是从OSI模型的七层上全面断开网络连接,同时采用“2+1”的三模块架构,即内置有两个主机系统,和一个用于建立安全通道可交换数据的隔离单元。这种架构可以实现连接到外网和内网的两主机之间是完全网络断开的,从物理上进行了网络隔离,消除了数据链路的通信协议,剥离了TCP/IP协议,剥离了应用协议,在安全交换后进行了协议的恢复和重建。通过TCP/IP协议剥离和重建技术消除了TCP/IP协议的漏洞。在应用层对应用协议进行剥离和重建,消除了应用协议漏洞,并可针对应用协议实现一些细粒度的访问控制。从TCP/IP的OSI数据模型的所有七层断开后,就可以消除目前TCP/IP存在的所有攻击。
(1)、网闸
网闸类产品诞生较早。产品最初是用来解决涉密网络与非涉密网络之间的安全数据交换问题。后来,网闸由于其高安全性,开始被广泛应用于政府、军队、电力、铁道、金融、银行、证券、保险、税务、海关、民航、社保等多个行业部门。
由于网闸产品的主要定位是各行业中对安全性要求较高的涉密业务的办公系统,因此它提供的应用也以通用的互联网功能为主。例如,目前大多数网闸都支持:文件数据交换、HTTP访问、WWW服务、FTP访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。
在工业领域,网闸也开始得到应用和推广。但除了用于办公系统外,当用于隔离控制网络时,由于网闸一般都不支持工业通信标准如OPC、Modbus,用户只能使用其TCP/UDP定制功能。这种方式需要在连接网闸的上、下游增加接口计算机或代理服务器,并定制通信协议转换接口软件才能实现通信。
(2)、工业网络安全防护网关
工业网络安全防护网关是近几年新兴的一种专门应用于工业领域的网络隔离产品,它同样采用“2+1”的三模块架构,内置双主机系统,隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。与网闸不同的是,工业网络安全防护网关提供的应用专门针对控制网络的安全防护,因此它只提供控制网络常用通信功能如OPC、Modbus等,而不提供通用互联网功能。因此工业网络安全防护网关更适合于控制网络的隔离,但不适合办公系统。
工业网络安全防护网关是网络隔离技术应用于工业网络安全防护的一种专业化安全产品。
5. 实践
5.1. 乌石化MES简况
乌石化 MES 项目从 2006 年启动,至 2008 年实施完成并成功上线投运以来,系统运行平稳,用户可熟练使用系统进行生产运行操作管理。该系统的建成,进一步提高了信息技术对下游业务的支持能力和水平,同时达到了为企业优化资源配置、提高整体效益和综合实力发挥积极作用的目的。
5.2. 控制网络安全性改造
采用分布式网络,通过核心交换机,连接二级单位局域网,千兆网络连接到各厂,百兆网络连接到汇聚层。网络基础状况良好,现有的信息网络已经涵盖企业办公楼区域和各个厂区及生产车间。全厂 DCS 系统主要装置都已具备数据采集接口,采用 OPC 标准。每个车间有交换机,网络布置到了各个办公室,和 DCS 数据连通。
MES 系统的实施,使得 DCS/PLC 控制网络和厂内的办公网络直接相连,这给网络安全带来了新的要求,即如何保证两者之间稳定而可靠的数据传输的同时,又能最大程度的限制办公系统网络对DCS/PLC 控制网络造成的不良影响。 原 MES 系统在实施时,也考虑了对控制网络的防护。对每一套 DCS/PLC 系统采集时,都部署了缓冲工作站;所有的工作站,都限定在一个单独的 VLAN 中,指向一台特定的防火墙设备;在防火墙上,制定相应的访问策略,实现网络访问的安全性。
在原有系统中,对控制网络的安全防护主要采用了以防火墙为核心的方案。考虑到防火墙技术的局限性,乌石化 MES 在 2009 年实施了对控制网络安全性的改造,并在改造项目中首次引入了网络隔离技术。
由于该项目为改造性项目,考虑到对原有系统的兼容性,并以不影响现有生产为原则,在产品选型及方案设计时特别提出几点要求:
(1)、所选产品须基于第五代先进网络隔离技术开发,并经国家指定部门检测认定、认证,符合国家标准(GB/T 20279-2006、GB/T 20277-2006)。
(2)、所选产品须支持现有 OPC 采集接口标准。
(3)、所选产品及方案须支持“无扰接入”方式。即在现有网络中加入网络隔离装置时,对现有已接入 MES 的 DCS/PLC 操作站的软、硬件无需做任何升级或改动,对操作站的参数配置无需做任何改动,包括:IP 地址、登录用户名/口令、DCOM 配置等;对 MES 系统现有 PHD 软件及 PHD 缓冲工作站的软、硬件无需做任何升级或改动,对参数配置无需做任何改动,包括:IP 地址、TAG 标签名、OPC 配置等。
(4)、所选产品须能提供数据的“细粒度”访问控制功能。例如对于 OPC 方式,网络隔离装置须能够控制 OPC 服务器中具体哪些 Item 项允许或禁止暴露给MES,同时对每个 Item项须支持只读式的单向访问功能以保证数据安全。
(5)、所选产品及方案须保证在加入网络隔离装置后数据交换实时性与原系统相当,不产生延时。
(6)、所选产品须保证自身安全与高可靠性。
根据以上设计要求,该项目最终选用了标准的工业网络安全防护网关型产品pSafetyLink。该产品在满足上述要求的同时,又提供了符合自控工程师使用习惯的操作方式,不需要实施人员了解太多网络技术的相关内容,就很容易完成对产品的调试和部署,提高了项目实施效率。
乌石化MES控制网络安全性改造方案示意图
6. 结束语
石化工业是国家的基础性能源支柱产业,信息安全在任何时期、任何国家地区都备受关注。能源系统的信息安全问题直接威胁到其它行业系统的安全、稳定、经济、优质的运行,影响着系统信息化的实现进程。维护网络安全,确保生产系统的稳定可靠、防止来自内部或外部攻击,采取高安全性的防护措施都是石化信息系统安全不可忽视的组成部分。
参考文献:
[1] 俞承杭﹒计算机网络与信息安全技术[M]﹒北京:机械工业出版社,2008﹒
[2] 万国平﹒网络隔离与网闸[M]﹒北京:机械工业出版社,2004﹒
[3] 袁德明,乔月圆﹒计算机网络安全[M]﹒北京:电子工业出版社,2007﹒
[4] 马宜兴﹒网络安全与病毒防范[M]﹒上海:上海交通大学出版社,2009﹒
[5] 王代潮,曾德超,刘岩﹒信息安全管理平台理论与实践[M]﹒北京:电子工业出版社,2007﹒
[6] 沈鑫剡﹒计算机网络安全[M]﹒北京:清华大学出版社,2009
[7] 张世永﹒网络安全原理与应用[M]﹒北京:科学出版社,2003