本站小编为你精心准备了石油化工控制系统网络安全分析参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
《仪器仪表标准化与计量杂志》2014年第六期
1过程控制系统网络的特点与风险点
改革开放以来,我国石油化工企业的自动化和信息化水平,无论在装备上、技术水平上、功能与规模上都有了较大的发展。测量和控制装置不断更新升级,DCS、PLC和IPC已成为大中型石油和化工企业的主要控制手段[3]。而由DCS、PLC和FCS等控制系统构成的控制网络在石化行业中也得到了广泛的应用。
1.1过程控制系统网络的特点过程控制系统的网络与传统的IT网络不同,具有以下特点。1)较高的实时性和可靠性。过程控制系统网络主要需要保证所有传输数据的实时性以及网络的可靠性,在传输过程中不允许有中断出现,需要整个传输过程始终在系统的可控范围内,不能出现失控的状态。2)专有通信协议。早先每一个过程控制系统供应商都有自己独自研发的专有通信协议,但随着过程控制系统的网络面逐渐扩大,而在彼此的通信传输中需要进行转换,不同通讯协议导致的不便捷性逐渐显露出来。近几年随着系统开放性呼声越来越高,在行业内部出现了一些开放的公用的专有通信协议,例如OPC,ModbusTCP,现场总线(Foundation/Hart/Profibus)等。3)相对的独立性。过程控制系统通常都是根据工艺设备的要求而进行独立设计,所以无论从前期网络设计到实际物理安装,整个控制系统网络都是相当独立的,不会与其他任何应用存在交联部分。在与外界交互的通道上仅仅开放OPCServer一个接口,通过OPC工业通信协议与外部进行数据交换。4)较长的产品更新周期。过程控制系统产品不以追求设备的先进性为目标,更多地是强调安全性与稳定性。所以结合实际工艺生产以及设备投资来进行综合考虑,过程控制系统通常具有较长的更新周期,这样就导致系统操作平台的安全漏洞得不到及时的维护。5)与杀毒软件兼容性差。目前市场上的杀毒软件厂商基本都是针对常用的应用软件进行兼容性测试,针对市场上使用频率较高的软件进行病毒防治策略的研究。而在网络中基于Windows平台上安装的所有过程控制软件,几乎没有杀毒软件厂商对其进行过完整的兼容性测试。这种情况同样也适应于过程控制系统制造商,各家控制系统制造商一般只认可少数几种防病毒软件,所以在工控领域的操作层级进行统一部署防护策略是一件很困难的事。
1.2过程控制系统网络的风险点根据对过程控制系统结构的分析,通常易受病毒侵袭的主要风险点主要有“数据采集网络的连接”,“先进过程控制站的连接”,“操作站”之间的三处连接。1)与数据采集网络的通信安全隐患例如采用双网卡配置的OPC数据采集机,但无其他任何防护措施。虽然OPC数据采集机采用双网卡配置,并已经将控制网与信息网进行隔离,信息网已经无法对控制网进行操纵攻击,但是双网卡结构的配置,对病毒的传播没有任何阻挡作用,所以来自上层信息网对控制网的病毒感染是目前的最大隐患。2)先进控制过程站的病毒感染隐患例如先进控制过程站通常可以由软件供应商进行自由操作,先进控制过程站本身并无任何防护措施,具有较高的病毒感染风险。首先先进控制过程站的安装、调试、运行一般需要较长的时间,而且需要项目工程师进行不断的调试、修改。期间先进控制过程站需要频繁与外界进行数据交换,这给先进控制过程站本身带来很大感染病毒的风险。一旦先进控制过程站受到病毒感染,其对实时运行的控制系统安全会造成极大隐患。另外先进过程控制站是应用OPC通信协议进行数据通信的,所以采用常规IT策略(例如常规的通用防火墙)无法提供适宜的防护。3)操作站互相感染的隐患目前大多数操作站都运行一个工作网络中,但在网络内部没有采取任何有效防护措施。而工业平台基本采用PC+Windows架构,同时也广泛应用以太网进行连接,TCP,STMP,POP3,ICMP,Netbios等大量开放的通信协议被广泛应用。但活跃在这些通讯协议上的木马、蠕虫等计算机病毒也具有一定的规模。目前普通的防火墙无法实现工业通信协议的过滤,所以当网络中某个操作站或工程师站感染病毒时,可能会马上通过数据交换传播到该工作网络中的其他PC机上,这就容易造成网络上所有操作站同时发生故障,严重时可导致所有操作站同时失控,甚至造成不可估计的损失。
2防护措施与建议
通过考虑石油化工过程控制系统中的网络架构和安全设计,同时参考保护层理论,列出了硬件、网络通信预防手段、杀毒软件预防手段、网络管理规章制度、良好的个人工作习惯等多个“保护层”,下图为石油化工过程控制系统网络的安全防护洋葱模型。图1石油化工过程控制系统网络的安全防护洋葱模型根据上图列出的各个风险点,可以参考以下措施进行有针对性的安全防护。
2.1设置防火墙相关单位或部门应该针对过程控制系统设置防火墙。防火墙是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。在网络通信中采用防火墙,它能允许系统预设的人员和数据(白名单)进入你的网络,同时将系统未允许的人员和数据拒之门外,可以最大限度地阻止网络中的黑客访问公司内部网络,在内部网和外部网之间、专用网与公共网之间的界面上构造一道保护屏障,从而保护内部网免受非法用户的侵入。一般的防火墙软件例如ComodoFirewall、ZoneAlarm、瑞星个人防火墙、卡巴斯基等均有完善的白名单以及黑名单设置,管理员可以根据相应的软件说明书和自身状况进行详细设置。
2.2安装专业杀毒软件在已联网的过程控制系统工业计算机上安装相应的杀毒软件,以降低电脑病毒、特洛伊木马和恶意软件等感染计算机的概率。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的专业杀毒软件还带有数据恢复等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和其他恶意软件的查杀程序,入侵预防系统等)的重要组成部分。但是需要注意的是,有的时候杀毒软件会对工业计算机上的一些正常行为误报为病毒或木马。这时候就需要网络安全管理人员在安装杀毒软件的同时,将已确认的工业正常行为录入杀毒软件的信任列表,以避免误删重要程序或导致系统停机的情况发生。
2.3建立完善的规章管理制度公司应建立完善的网络系统安全管理规章制度,安排专人(网络安全管理人员)负责公司内部网络系统的安全运行工作。同时设置一定的权限,以阻止管理员之外的人员进行随意操作与变更。
2.4良好的个人工作习惯网络系统安全管理员应具有良好的工作习惯。包括对设备进行定期检维修;定期检查PC机的杀毒软件并更新病毒库数据;定期对网络系统进行病毒检查及清理;严格检查系统接入的外存储设备,确认无病毒后方能上机使用;严格控制磁盘的交换,保证系统的安全性与稳定性。
作者:庄腾宇单位:中国石油化工股份有限公司青岛安全工程研究院