日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

    1　引言

    工業(yè)控制系統(tǒng)（Industrial Control Systems,ICS），包括SCADA系統(tǒng)、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠(yuǎn)程終端（RTU）、智能電子設(shè)備（IED）等，目前已廣泛應(yīng)用于石化、電力、水力、醫(yī)藥、食品、交通運(yùn)輸、航天等工業(yè)領(lǐng)域，其中超過80%涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動(dòng)化作業(yè)，已成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，關(guān)系到國家的戰(zhàn)略安全。

    隨著信息化與工業(yè)化進(jìn)程的不斷交叉融合，信息網(wǎng)絡(luò)技術(shù)在工業(yè)控制系統(tǒng)中得到了普及應(yīng)用，然而現(xiàn)有的工業(yè)控制系統(tǒng)大多是在未考慮安全因素或者未充分考慮安全因素的情況下組建的，因此針對(duì)工業(yè)控制系統(tǒng)的攻擊和威脅逐步顯現(xiàn)。2010年“震網(wǎng)”病毒事件破壞了伊朗核設(shè)施，震驚全球，這標(biāo)志著網(wǎng)絡(luò)攻擊從傳統(tǒng)“軟攻擊”階段升級(jí)為直接攻擊電力、金融、通信、核設(shè)施等核心關(guān)鍵系統(tǒng)的“硬摧毀”階段。

    ICS-CERT安全報(bào)告指出“近三年針對(duì)工業(yè)控制系統(tǒng)的安全事件呈明顯上升趨勢，據(jù)統(tǒng)計(jì)，2013年已達(dá)到257起”，并且伴隨著工業(yè)病毒日益更新，病毒變得更加隱蔽與復(fù)雜。同時(shí)工信部已在2011年底發(fā)布《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，標(biāo)志著我國對(duì)工業(yè)控制系統(tǒng)的安全管理上升為國家戰(zhàn)略。

    本文分析了工業(yè)控制系統(tǒng)的信息安全防護(hù)特性，闡述了設(shè)計(jì)的工業(yè)防火墻，以及在石化、煙草行業(yè)的解決方案。

    2　工業(yè)控制系統(tǒng)安全防護(hù)特性

    工業(yè)控制系統(tǒng)安全威脅主要來源已從內(nèi)部惡意篡改、環(huán)境因素、誤操作、集成商后門、錯(cuò)誤配置等逐漸變化為黑客攻擊、工業(yè)病毒、無線風(fēng)險(xiǎn)，以及設(shè)備漏洞等。傳統(tǒng)的互聯(lián)網(wǎng)安全防護(hù)技術(shù)無論在理論研究還是在實(shí)踐應(yīng)用上都已經(jīng)取得了不錯(cuò)的進(jìn)展，市場上充斥著各種互聯(lián)網(wǎng)安全防護(hù)產(chǎn)品，如防火墻、入侵檢測系統(tǒng)、防病毒軟件等。但是，由于工業(yè)控制系統(tǒng)的高可靠性、高實(shí)時(shí)性以及專用的網(wǎng)絡(luò)通信協(xié)議等特點(diǎn)，傳統(tǒng)的互聯(lián)網(wǎng)防護(hù)技術(shù)難以在工業(yè)控制系統(tǒng)實(shí)施，具體實(shí)施差距主要表現(xiàn)在以下幾個(gè)方面：

    （1）通訊協(xié)議的不同：工控網(wǎng)中有大量的工控系統(tǒng)專有協(xié)議。

    （2）系統(tǒng)環(huán)境不同：工控網(wǎng)中需要導(dǎo)軌式安裝、無風(fēng)扇設(shè)計(jì)等。

    （3）可靠性要求不同：工控網(wǎng)中誤報(bào)、數(shù)據(jù)丟失等同于攻擊。

    （4）實(shí)時(shí)性要求不同：工控網(wǎng)中網(wǎng)絡(luò)延時(shí)要求較高。

    （5）網(wǎng)絡(luò)拓?fù)洳煌汗た鼐W(wǎng)中的系統(tǒng)拓?fù)洳粫?huì)輕易變動(dòng)。

    3　工業(yè)防火墻設(shè)計(jì)

    中科工業(yè)防火墻針對(duì)上述問題，結(jié)合縱深防御的思想，開發(fā)了針對(duì)工業(yè)應(yīng)用層協(xié)議的安全防護(hù)技術(shù)，建立不同區(qū)域之間的數(shù)據(jù)通信管道，對(duì)管道內(nèi)的數(shù)據(jù)進(jìn)行安全管控。其中基于ISA的縱深防御主要指“白名單規(guī)則”的區(qū)域管控，包括：劃分控制系統(tǒng)安全區(qū)域，對(duì)安全區(qū)域的隔離保護(hù)；保護(hù)合法用戶訪問網(wǎng)絡(luò)資源。以及由于安全威脅主要來自于應(yīng)用層，傳統(tǒng)五元組（源IP、目的IP、協(xié)議、源端口、目的端口）方式的ACL將不能完全抵御高級(jí)可持續(xù)攻擊，中科工業(yè)防火墻同時(shí)針對(duì)工業(yè)專有應(yīng)用層協(xié)議進(jìn)行了深度的安全防護(hù)，包括Modbus、OPC協(xié)議。

    中科工業(yè)防火墻的Modbus訪問控制模塊提供了一種針對(duì)工業(yè)控制Modbus協(xié)議的訪問控制方法，Modbus協(xié)議訪問控制是工業(yè)控制系統(tǒng)安全防護(hù)中極其重要的環(huán)節(jié)，它建立在身份識(shí)別基礎(chǔ)上，限制了工業(yè)控制系統(tǒng)中訪問主體對(duì)客體的訪問，防止未經(jīng)授權(quán)使用（含以未授權(quán)方式使用）某資源，從而保障數(shù)據(jù)資源在合法范圍內(nèi)得以有效使用和管理，Modbus協(xié)議檢測范圍如圖1所示。

圖1 Modbus協(xié)議檢測

    中科工業(yè)防火墻的OPC協(xié)議模塊是用于保護(hù)工業(yè)控制系統(tǒng)中通過OPC協(xié)議進(jìn)行數(shù)采與傳輸?shù)倪^程，防護(hù)模塊以O(shè)PC基金會(huì)、工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)中心（ICSCERT）等組織提出的安全問題及防護(hù)建議為理論基礎(chǔ)，如有效的鎖定OPC客戶端與服務(wù)端、DCOM對(duì)象訪問、約束RPC協(xié)議端口最小權(quán)限、檢測沒有異常DCOM被使用等，實(shí)時(shí)捕獲OPC通信數(shù)據(jù)包，解析OPC數(shù)據(jù)包端口內(nèi)容，為端口設(shè)置一條私密規(guī)則，對(duì)端口進(jìn)行動(dòng)態(tài)跟蹤與授權(quán)管理，在建立連接之后對(duì)流經(jīng)的數(shù)據(jù)包進(jìn)行基于端口及協(xié)議進(jìn)行監(jiān)控，防止非法訪問，OPC防護(hù)模塊檢測原理如圖2所示。

圖2 OPC防護(hù)模塊檢測原理
   

    中科工業(yè)防火墻的設(shè)計(jì)要點(diǎn)如圖3所示，主要包括：基于“區(qū)域”與“管道”的安全防護(hù)模型；Modbus/TCP、Modbus/UDP、OPC等工控協(xié)議應(yīng)用數(shù)據(jù)的深度解析；基于規(guī)則策略的動(dòng)態(tài)包過濾和Syslog的實(shí)時(shí)報(bào)警技術(shù)；冗余電源設(shè)計(jì)；工業(yè)級(jí)的低功耗設(shè)計(jì)；兼容所有PLC、HMI、RTU等工業(yè)控制設(shè)備；支持時(shí)間同步、重啟自動(dòng)加載規(guī)則的高可用性設(shè)計(jì)；包含直通、管控和自學(xué)習(xí)模式設(shè)計(jì)，使用多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

圖3 工業(yè)防火墻功能特性

    以上設(shè)計(jì)要點(diǎn)符合工業(yè)級(jí)應(yīng)用的設(shè)計(jì)，并通過了公安部信息安全產(chǎn)品檢測中心的認(rèn)證，認(rèn)證型號(hào)為SIAIF1000-02TX/v1.0。  

    4　工業(yè)防火墻在石化、煙草行業(yè)的應(yīng)用

    4.1 石化控制系統(tǒng)安全解決方案

    以某石化行業(yè)的實(shí)際解決方案為例，現(xiàn)場網(wǎng)絡(luò)的結(jié)構(gòu)是底層溫度、壓力流速、計(jì)量數(shù)等采集表通過無線方式將數(shù)據(jù)傳遞到匯聚的RTU網(wǎng)關(guān)設(shè)備，多個(gè)RTU設(shè)備向OPC服務(wù)器以固定時(shí)間間隔傳遞采集數(shù)據(jù)，OPC服務(wù)器將數(shù)據(jù)存儲(chǔ)在本地實(shí)時(shí)數(shù)據(jù)庫中，之后在管理網(wǎng)絡(luò)中部署了Aspen，它作為OPC客戶端向現(xiàn)場網(wǎng)絡(luò)中OPC服務(wù)器數(shù)據(jù)請(qǐng)求采集數(shù)據(jù)。

    中科工業(yè)防火墻實(shí)際部署在OPC服務(wù)器與OPC客戶端之間，滿足用戶對(duì)OPC協(xié)議安全防護(hù)的需求，解決方案部署示意圖如圖4所示。 

圖4 石化行業(yè)實(shí)際部署示意圖

    通過部署中科工業(yè)防火墻，目前網(wǎng)絡(luò)中的阻態(tài)軟件的警告事件明顯減少，網(wǎng)絡(luò)中的廣播流量明顯減少。

    4.2　煙草控制系統(tǒng)安全解決方案

    以某煙草行業(yè)實(shí)際解決方案為例，現(xiàn)場網(wǎng)絡(luò)組成層次從下至上依次為：電控元器件、傳感器、執(zhí)行器等組成的現(xiàn)場設(shè)備層；主控制器組成的控制層；操作員站、工程師站組成的組態(tài)層?？刂茖优c現(xiàn)場設(shè)備層之間通過現(xiàn)場總線進(jìn)行控制，如485、232等，組態(tài)層與控制層主流以Modbus、Profinet協(xié)議控制。

    中科工業(yè)防火墻針對(duì)以Modbus協(xié)議的控制系統(tǒng)，增加中科工業(yè)防火墻，對(duì)網(wǎng)絡(luò)中的Modbus協(xié)議進(jìn)行深度解析，保護(hù)控制器，阻止任何對(duì)控制器的非法訪問及控制?，F(xiàn)場網(wǎng)絡(luò)與MES層之間主要通過OPC協(xié)議進(jìn)行現(xiàn)場網(wǎng)絡(luò)數(shù)據(jù)的向上傳遞，增加中科工業(yè)防火墻，對(duì)OPC協(xié)議進(jìn)行動(dòng)態(tài)端口開放及實(shí)現(xiàn)區(qū)域隔離，避免病毒利用端口傳遞后門及病毒擴(kuò)散，解決方案部署示意圖如圖5所示。

圖5 煙草行業(yè)實(shí)際部署示意圖

    通過部署工業(yè)防火墻完整顯示現(xiàn)場網(wǎng)絡(luò)的實(shí)時(shí)事件，獲得部署單位的認(rèn)可，能對(duì)單位網(wǎng)絡(luò)報(bào)警及消息進(jìn)行歷史存儲(chǔ)。網(wǎng)絡(luò)管理人員通過觀察警報(bào)事件，對(duì)某員工的偏離操作參數(shù)進(jìn)行管理與培訓(xùn)，避免一批部分生產(chǎn)任務(wù)的損失。

    5　結(jié)語

    本文分析了工業(yè)控制系統(tǒng)與傳統(tǒng)IT網(wǎng)絡(luò)信息安全防護(hù)的區(qū)別，說明了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的特殊性。闡述了Modbus和OPC工業(yè)防火墻的設(shè)計(jì)方案，并介紹了開發(fā)的中科工業(yè)防火墻在石化、煙草行業(yè)的解決方案。

    開發(fā)的中科工業(yè)防火墻產(chǎn)品SIA-IF1000-02TX/v1.0，通過了公安部信息安全產(chǎn)品檢測中心的認(rèn)證。該產(chǎn)品目前已經(jīng)在石油、石化和煙草等多個(gè)行業(yè)應(yīng)用，加固了工業(yè)控制系統(tǒng)的信息安全防護(hù)。


參考文獻(xiàn)：

[1] 彭杰, 劉力. 工業(yè)控制系統(tǒng)信息安全性分析[J]. 自動(dòng)化儀表, 2012, (12): 36 - 39.

[2] 夏春明, 劉濤, 王華忠, 吳清. 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及發(fā)展趨勢[J]. 信息安全與技術(shù), 2013, (02): 13 - 18.

[3] 于立業(yè), 薛向榮, 張?jiān)瀑F等. 工業(yè)控制系統(tǒng)信息安全解決方案[J]. 冶金自動(dòng)化, 2013, 37(1): 5 - 11.

[4] 宋慧欣. 破解“工業(yè)控制系統(tǒng)信息安全”迷局[J]. 自動(dòng)化博覽，2012, (07): 30 - 35.



作者簡介

尚文利（1974-），男，黑龍江北安人，副研究員，博士，碩士生導(dǎo)師，現(xiàn)就職于中國科學(xué)院沈陽自動(dòng)化研究所，中國科學(xué)院網(wǎng)絡(luò)化控制系統(tǒng)重點(diǎn)實(shí)驗(yàn)室，主要從事計(jì)算智能與機(jī)器學(xué)習(xí)、工業(yè)信息安全方向研究。

劉長江（1972-），男，吉林九臺(tái)人，工程師，現(xiàn)就職于吉林油田勘察設(shè)計(jì)院，主要從事計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備、物聯(lián)網(wǎng)系統(tǒng)方面的研究工作。

趙劍明（1988-），男，助理研究員，現(xiàn)就職于中國科學(xué)院沈陽自動(dòng)化研究所，中國科學(xué)院網(wǎng)絡(luò)化控制系統(tǒng)重點(diǎn)實(shí)驗(yàn)室，主要從事工業(yè)信息安全方面的研究工作。

曾鵬（1976-），男，山東青島人，研究員，博士、博士生導(dǎo)師，現(xiàn)就職于中國科學(xué)院沈陽自動(dòng)化研究所，中國科學(xué)院網(wǎng)絡(luò)化控制系統(tǒng)重點(diǎn)實(shí)驗(yàn)室，主要從事工業(yè)無線傳感網(wǎng)技術(shù)研究。