信息化油气田自动控制技术

《信息化油气田自动控制技术》由会员分享，可在线阅读，更多相关《信息化油气田自动控制技术（82页珍藏版）》请在装配图网上搜索。

1、油气田自动化系统油气田自动化系统安全防护技术安全防护技术 西南石油大学电气信息学院西南石油大学电气信息学院 青青 小小 渠渠 2015.09石油石化工业控石油石化工业控制系统网络安全制系统网络安全1概述概述 工业控制系统（工业控制系统（ICS）包括数据采集）包括数据采集系统（系统（SCADA），分布式控制系统），分布式控制系统（DCS），程序逻辑控制（），程序逻辑控制（PLC）以及其）以及其他控制系统等，目前已应用于电力、水力、他控制系统等，目前已应用于电力、水力、石化、医药、食品以及汽车、航天等工业石化、医药、食品以及汽车、航天等工业领域，成为国家关键基础设施的重要组成领域，成为国家关键基础

2、设施的重要组成部分，关系到国家的战略安全。部分，关系到国家的战略安全。法 规v国家信息安全技术指南国家信息安全技术指南v中华人民共和国计算机信息系统安全保护中华人民共和国计算机信息系统安全保护条例条例v国际上有国际上有ANSI/ISA-99控制系统网络安全控制系统网络安全指引等法规指引等法规v2011年年10月月27日，工信部协日，工信部协2011451号文号文件件关于加强工业控制系统信息安全管理的关于加强工业控制系统信息安全管理的通知通知v强调了加强工业控制系统信息安全管理的重强调了加强工业控制系统信息安全管理的重要性和紧迫性，并明确了重点领域如：石油要性和紧迫性，并明确了重点领域如：石油石

3、化、电力、钢铁、化工等行业工业控制系石化、电力、钢铁、化工等行业工业控制系统信息安全管理要求。统信息安全管理要求。1.1工业控制网络安全问题的危害工业控制网络安全问题的危害v（1）系统性能下降，影响系统可用性；）系统性能下降，影响系统可用性；v（2）关键控制数据被篡改或丧失；）关键控制数据被篡改或丧失；v（3）失去控制；）失去控制；v（4）严重的经济损失；）严重的经济损失；v（5）环境灾难；）环境灾难；v（6）人员伤亡；）人员伤亡；v（7）破坏基础设施；）破坏基础设施；v（8）危及公众安全及国家安全。）危及公众安全及国家安全。典型工业控制系统入侵事件典型工业控制系统入侵事件v1982年的夏天，

4、前苏联西伯利亚一条天然气输送管道发生年的夏天，前苏联西伯利亚一条天然气输送管道发生了大爆炸。了大爆炸。“这场爆炸可谓是迄今为止最为壮观的非核弹爆这场爆炸可谓是迄今为止最为壮观的非核弹爆炸，爆炸引起的熊熊大火甚至可以从太空中观测到。苏联通炸，爆炸引起的熊熊大火甚至可以从太空中观测到。苏联通往西欧国家的输气管线大面积中断，前苏联的国内经济几乎往西欧国家的输气管线大面积中断，前苏联的国内经济几乎因此一蹶不振。美国专家评估这次爆炸等级相当于因此一蹶不振。美国专家评估这次爆炸等级相当于3000吨吨TNT。”这是由里根时期的白宫官员托马斯这是由里根时期的白宫官员托马斯.里德所著的个人里德所著的个人回忆录在

5、深渊：一个内幕人的冷战历史解密的内容。回忆录在深渊：一个内幕人的冷战历史解密的内容。v当时根据美国政府的计划，美国中情局在天然气管道的操作当时根据美国政府的计划，美国中情局在天然气管道的操作软件上做了手脚，对那些关系到油泵、涡轮和阀门运作的软软件上做了手脚，对那些关系到油泵、涡轮和阀门运作的软件程序进行了特定的编程，特意安置了件程序进行了特定的编程，特意安置了“定时炸弹定时炸弹”。这些软。这些软件可以正常运作一段时间，但不久就会重新调整油泵的速度件可以正常运作一段时间，但不久就会重新调整油泵的速度和阀门的设置，产生大大超过油管接头和焊接承受的压力，和阀门的设置，产生大大超过油管接头和焊接承受的

6、压力，最终破坏整个管道系统。最终破坏整个管道系统。v2010年，以美国为首的西方国家通过网络对伊朗核设施发年，以美国为首的西方国家通过网络对伊朗核设施发动了攻击。国际核能组织观察到伊朗浓缩铀工厂在接下来的动了攻击。国际核能组织观察到伊朗浓缩铀工厂在接下来的几个月内就有两千个离心机报废。占伊朗浓缩铀工厂离心机几个月内就有两千个离心机报废。占伊朗浓缩铀工厂离心机的四分之一。伊朗核发展因此受到严重阻碍。而致使离心机的四分之一。伊朗核发展因此受到严重阻碍。而致使离心机报废的原因，就是受到了著名的报废的原因，就是受到了著名的“震网震网”病毒武器的攻击。病毒武器的攻击。v这种病毒首先由被感染的这种病毒首先

7、由被感染的U盘带入伊朗，当优盘插入计算机盘带入伊朗，当优盘插入计算机的时候，通过的时候，通过Windows系统自动播放而进入计算机。通过系统自动播放而进入计算机。通过盗用的合法电子签名躲过计算机病毒软件的安全保护。然后盗用的合法电子签名躲过计算机病毒软件的安全保护。然后在计算机中寻找西门子公司的一个控制软件，并经过该控制在计算机中寻找西门子公司的一个控制软件，并经过该控制软件的数据库传染到局域网内其它节点。软件的数据库传染到局域网内其它节点。v西门子公司的这个控制软件是用来控制伺服系统的电动机、西门子公司的这个控制软件是用来控制伺服系统的电动机、电路开关和气体液体阀门，广泛应用于各行各业。该病

8、毒找电路开关和气体液体阀门，广泛应用于各行各业。该病毒找到西门子控制软件以后，截获控制软件给可编程逻辑控制设到西门子控制软件以后，截获控制软件给可编程逻辑控制设备备(PLC)的指令，找出并识别应用在离心机上的软件，然后的指令，找出并识别应用在离心机上的软件，然后发出虚假指令，让离心机转速不正常造成设备损坏。发出虚假指令，让离心机转速不正常造成设备损坏。典型工业控制系统入侵事件典型工业控制系统入侵事件v2007年，攻击者入侵加拿大的一个水利年，攻击者入侵加拿大的一个水利SCADA控制系统，控制系统，通过安装恶意软件破坏了用于取水调度的控制计算机；通过安装恶意软件破坏了用于取水调度的控制计算机；v

9、2008年，攻击者入侵波兰某城市的地铁系统，通过电视遥年，攻击者入侵波兰某城市的地铁系统，通过电视遥控器改变轨道扳道器，导致控器改变轨道扳道器，导致4节车厢脱轨；节车厢脱轨；v2010年，年，“网络超级武器网络超级武器”Stuxnet病毒通过针对性的入侵病毒通过针对性的入侵ICS系统，严重威胁到伊朗布什尔核电站核反应堆的安全运系统，严重威胁到伊朗布什尔核电站核反应堆的安全运营；营；v2011年，黑客通过入侵数据采集与监控系统年，黑客通过入侵数据采集与监控系统SCADA，使得，使得美国伊利诺伊州城市供水系统的供水泵遭到破坏。美国伊利诺伊州城市供水系统的供水泵遭到破坏。工业控制系统网络安全防护九大

10、误区工业控制系统网络安全防护九大误区v误区一：工业控制系统误区一：工业控制系统(ICS)是与外界隔离的是与外界隔离的v实际上，基础设施领域不仅包括生产和控制系统，还包括市实际上，基础设施领域不仅包括生产和控制系统，还包括市场分析、财务计划等信息管理系统。生产系统与管理系统的场分析、财务计划等信息管理系统。生产系统与管理系统的互联已经成为互联已经成为ICS的基本架构，与外界完全隔离几乎不可能的基本架构，与外界完全隔离几乎不可能。另外，维护用的移动设备或移动电脑也会打破系统与外界。另外，维护用的移动设备或移动电脑也会打破系统与外界的隔离，打开网络安全风险之门。的隔离，打开网络安全风险之门。v事实证

11、明，不管多严格的隔离措施也会有隐患发生。事实证明，不管多严格的隔离措施也会有隐患发生。2003年年Davis-Besse核电站被核电站被Slammer蠕虫病毒侵入；蠕虫病毒侵入；2006年年13家家Daimler-Chrysler汽车企业因感染汽车企业因感染Zotob蠕虫病毒被迫蠕虫病毒被迫停工；停工；2008年有超过千万台的设备，包括所谓隔离了的设年有超过千万台的设备，包括所谓隔离了的设备，受到备，受到Conficker蠕虫病毒的攻击。即使在太空也不能做蠕虫病毒的攻击。即使在太空也不能做到完全隔离：到完全隔离：2008年美国宇航局证实其国际太空站笔记本年美国宇航局证实其国际太空站笔记本电脑遭

12、到病毒入侵。电脑遭到病毒入侵。2010年震惊世界的伊朗震网病毒。年震惊世界的伊朗震网病毒。v误区二：没有人会袭击我们误区二：没有人会袭击我们 v上个世纪，虽然有些零星事件发生，公众对上个世纪，虽然有些零星事件发生，公众对ICS网络安全问网络安全问题并没有足够认识。直到题并没有足够认识。直到2000年澳大利亚年澳大利亚MaroochyShire排水系统受攻击事件报道之后，人们才意识到排水系统受攻击事件报道之后，人们才意识到ICS系统一旦系统一旦受袭击有可能造成严重后果。该次事件中，由于数据采集和受袭击有可能造成严重后果。该次事件中，由于数据采集和监控系统监控系统(SCADA)受到攻击，导致受到攻

13、击，导致800，000升污水直接排升污水直接排放到环境中。放到环境中。v另外，另外，ICS系统并不是坚不可摧。系统并不是坚不可摧。2006年以来，美国计算机年以来，美国计算机应急响应小组对外公布的应急响应小组对外公布的ICS系统安全漏洞越来越多。系统安全漏洞越来越多。2009底其数据库显示的底其数据库显示的24条条SCADA相关漏洞都是已经预警的，相关漏洞都是已经预警的，而且，主流黑客工具如而且，主流黑客工具如MetasploitFramework中已经集成中已经集成有其中一些漏洞的攻击方法。有其中一些漏洞的攻击方法。v越来越多的迹象表明，越来越多的迹象表明，ICS系统已经受到黑客、政治对手、

14、系统已经受到黑客、政治对手、不满的员工或犯罪组织等各类攻击者的目标关注。不满的员工或犯罪组织等各类攻击者的目标关注。v误区三：黑客不懂我们的协议误区三：黑客不懂我们的协议/系统，系统非系统，系统非常安全常安全 v实际上，工业环境中已广泛使用商业标准件实际上，工业环境中已广泛使用商业标准件(COTS)和和IT技技术；除开某些特殊环境，大部分通讯采用的是以太网和术；除开某些特殊环境，大部分通讯采用的是以太网和TCP/IP协议；协议；ICS、监控站以及嵌入式设备的操作系统也多、监控站以及嵌入式设备的操作系统也多以以Microsoft和和Linux为主。其中，为主。其中，Microsoft已通过智能能

15、已通过智能能源参考架构源参考架构(SERA)打进电力行业，意图将微软技术安插到打进电力行业，意图将微软技术安插到未来智能电网架构的核心中。未来智能电网架构的核心中。v那些特殊环境采用的内部协议其实也有公开的文档可查。典那些特殊环境采用的内部协议其实也有公开的文档可查。典型的电力系统通讯协议定义在型的电力系统通讯协议定义在IEC和和IEEE标准中都可以找到标准中都可以找到。象。象Modbus这些工业协议，不仅可以轻易找到详细说明，这些工业协议，不仅可以轻易找到详细说明，其内容也早已被黑客圈子熟知。其内容也早已被黑客圈子熟知。v另外，由于另外，由于ICS设备功能简单、设计规范，只需少许计算机设备功

16、能简单、设计规范，只需少许计算机知识和耐心就可以完成其逆向工程，何况大部分的工业协议知识和耐心就可以完成其逆向工程，何况大部分的工业协议都不具备安全防护特征。甚至某些应急工具都可以自动完成都不具备安全防护特征。甚至某些应急工具都可以自动完成逆向工程。逆向工程。v即使经过加密处理的协议也可以实施逆向工程。例如，即使经过加密处理的协议也可以实施逆向工程。例如，GSM手机全球系统、缴费终端及汽车点火装置的射频信号手机全球系统、缴费终端及汽车点火装置的射频信号、DVD反复制保护机制，他们都采用专门的加密技术，但最反复制保护机制，他们都采用专门的加密技术，但最终都被破解。终都被破解。v误区四：误区四：I

17、CS系统不需要防病毒软件或有防系统不需要防病毒软件或有防病毒软件就可以了；我们的防火墙会自动提病毒软件就可以了；我们的防火墙会自动提供保护等供保护等v认为认为ICS系统不需要防病毒和误区一系统不需要防病毒和误区一(系统是隔离的系统是隔离的)和误区和误区三三(黑客不了解系统黑客不了解系统)有关。实际上，除了有关。实际上，除了Window平台易受平台易受攻击，攻击，Unix/Linux都有过病毒或跨平台病毒攻击的经历。都有过病毒或跨平台病毒攻击的经历。Proof-of-concept病毒则是专门针对病毒则是专门针对SCADA和和AMI系统的系统的。所以对。所以对ICS系统，防病毒软件不可或缺，并且

18、需要定时更系统，防病毒软件不可或缺，并且需要定时更新。新。v那么，有了防病毒软件是否就高枕无忧了？虽然有效管理的那么，有了防病毒软件是否就高枕无忧了？虽然有效管理的防病毒措施可以抵御大部分已知的恶意软件，但对更隐蔽或防病毒措施可以抵御大部分已知的恶意软件，但对更隐蔽或鲜为人知的病毒的防御还远远不够。而且，防病毒软件本身鲜为人知的病毒的防御还远远不够。而且，防病毒软件本身也有弱点存在。从最近一次安全会议得知，在对目前使用最也有弱点存在。从最近一次安全会议得知，在对目前使用最多的多的7个防病毒软件进行防病毒能力挑战时，有个防病毒软件进行防病毒能力挑战时，有6个可以在个可以在2分钟内被攻破。分钟内被

19、攻破。v另外，虽然防火墙也是应用最广泛的安全策略之一，但其发另外，虽然防火墙也是应用最广泛的安全策略之一，但其发挥效用的前提是必须正确设置了防火墙的安全规则。即使智挥效用的前提是必须正确设置了防火墙的安全规则。即使智能型防火墙，也需要自定义安全规则。研究表明，由于设置能型防火墙，也需要自定义安全规则。研究表明，由于设置规则比较复杂，目前规则比较复杂，目前80%的防火墙都没有正确配置，都没有的防火墙都没有正确配置，都没有真正起到安全防护的作用。真正起到安全防护的作用。v误区五：网络安全事件不会影响系统运行误区五：网络安全事件不会影响系统运行 v事实证明，事实证明，ICS系统遭受攻击后不仅可能影响

20、运行，还可能系统遭受攻击后不仅可能影响运行，还可能导致严重后果。前面提到的澳大利亚导致严重后果。前面提到的澳大利亚MaroochyShire排水排水系统受攻击事件就是一例；系统受攻击事件就是一例；2003年年Davis-Besse核电站因核电站因Slammer蠕虫病毒入侵导致系统计算机停机蠕虫病毒入侵导致系统计算机停机6小时以上；小时以上；2007年美国爱达荷国家实验室一台为年美国爱达荷国家实验室一台为13.8KV网格测试台供网格测试台供电的柴油发电的柴油发电机电机因网络攻击而被毁；因网络攻击而被毁；2008年年Hatch核电厂一核电厂一工程师在数据采集服务器上测试软件更新时，在其不知情的工程

21、师在数据采集服务器上测试软件更新时，在其不知情的情况下，测试值被供应商软件同步设置到生产系统上，结果情况下，测试值被供应商软件同步设置到生产系统上，结果导致反应堆自动停机事故。另外，攻击者也会想法设法接近导致反应堆自动停机事故。另外，攻击者也会想法设法接近ICS设备，如将携有恶意软件的设备，如将携有恶意软件的U盘以礼相送；或是向收集盘以礼相送；或是向收集到的目标企业工作人员邮寄地址发送电子邮件，一旦邮件内到的目标企业工作人员邮寄地址发送电子邮件，一旦邮件内链接被打开，恶意软件就会下载到工作站。攻击者声称，通链接被打开，恶意软件就会下载到工作站。攻击者声称，通过这些恶意软件，他们可以全面控制工作

22、站和过这些恶意软件，他们可以全面控制工作站和SCADA系统系统。v误区六：误区六：ICS组件不需要特别的安全防护，组件不需要特别的安全防护，供应商会保证产品的安全性供应商会保证产品的安全性v人们能够理解人们能够理解ICS系统核心组件系统核心组件(如数据库、应用软件、服务如数据库、应用软件、服务器等器等)安全性的重要，但常常会忽视安全性的重要，但常常会忽视ICS系统外围组件系统外围组件(如传如传感器、传动器、智能电子设备、可编程逻辑控制器、智能仪感器、传动器、智能电子设备、可编程逻辑控制器、智能仪表、远程终端设备等表、远程终端设备等)的安全防护。其实这些外围设备很多的安全防护。其实这些外围设备很

23、多都内置有与局域网相联的网络接口，采用的也是都内置有与局域网相联的网络接口，采用的也是TCP/IP协协议。这些设备运行时可能还有一些调试命令，如议。这些设备运行时可能还有一些调试命令，如telnet和和FTP等，未及时屏蔽。这种情况在网络服务器上也很常见。等，未及时屏蔽。这种情况在网络服务器上也很常见。网络服务器一般隐含有一项特殊功能，即允许用户通过定位网络服务器一般隐含有一项特殊功能，即允许用户通过定位某个网址重新启动远程终端设备某个网址重新启动远程终端设备(RTU)。v用户通常以为供应商会对他们产品的缺陷和安全性了如指掌用户通常以为供应商会对他们产品的缺陷和安全性了如指掌，实际上供应商对他

24、们产品的认识仅限于产品所能提供的功，实际上供应商对他们产品的认识仅限于产品所能提供的功能方面，而且对出现的安全问题也做不到快速响应。能方面，而且对出现的安全问题也做不到快速响应。2008年研究人员发现年研究人员发现ICS特有的数据通讯协议特有的数据通讯协议(WonderwareSuitlink)存在漏洞后，立即联系了供应商存在漏洞后，立即联系了供应商Wonderware，但是，但是Wonderware1个月后才开始回应；等个月后才开始回应；等到到Wonderware认识到产品缺陷，并知会认识到产品缺陷，并知会Suitlink用户相关用户相关补救措施时，已是三个月以后的事了。这件事让很多供应商补

25、救措施时，已是三个月以后的事了。这件事让很多供应商开始关注自己产品的安全性，但对大部分供应商来说，还是开始关注自己产品的安全性，但对大部分供应商来说，还是任重道远。任重道远。v误区七：误区七：ICS系统的接入点容易控制系统的接入点容易控制vICS系统存在很多未知或已知但不安全的接入点，系统存在很多未知或已知但不安全的接入点，如维护用的手提电脑可以直接和如维护用的手提电脑可以直接和ICS网络联接、可网络联接、可不经过防火墙的接入点、远程支持和维护接入点、不经过防火墙的接入点、远程支持和维护接入点、ICS设备和非设备和非ICS设备的连接点、设备的连接点、ICS网络设备中的网络设备中的可接入端口等。

26、实际上，可接入端口等。实际上，ICS系统的所有者并不知系统的所有者并不知晓有多少个接入点存在以及有多少个接入点正在使晓有多少个接入点存在以及有多少个接入点正在使用，也不知道个人可以通过这种方式访问用，也不知道个人可以通过这种方式访问ICS系统系统。v误区八：系统安全可以一次性解决或是可以误区八：系统安全可以一次性解决或是可以等到项目结束再解决等到项目结束再解决v以前，以前，ICS系统功能简单，外部环境稳定，现场维护设备也系统功能简单，外部环境稳定，现场维护设备也非智能型，所以，针对某一问题的解决方案可以维持很长一非智能型，所以，针对某一问题的解决方案可以维持很长一段时间不变。然而，现在的段时间

27、不变。然而，现在的ICS系统功能复杂，外部环境经系统功能复杂，外部环境经常变化，现场维护设备也需要定期更新和维护。不仅常变化，现场维护设备也需要定期更新和维护。不仅ICS系系统和现场维护设备需要安全防护，其管理和维护工作也需要统和现场维护设备需要安全防护，其管理和维护工作也需要安全防护，而且是动态管理的安全防护，即一旦有新的威胁安全防护，而且是动态管理的安全防护，即一旦有新的威胁或漏洞产生，就要及时采取安全措施。或漏洞产生，就要及时采取安全措施。v近些年，虽然近些年，虽然ICS项目建设开始关注系统安全，但是由于工项目建设开始关注系统安全，但是由于工期较长，通常在最后阶段才开始考虑安全防护问题，

28、但此时期较长，通常在最后阶段才开始考虑安全防护问题，但此时不仅实施不易，而且成本颇高。因为需求变更越晚或漏洞发不仅实施不易，而且成本颇高。因为需求变更越晚或漏洞发现越迟，更改或弥补的费用越高。现越迟，更改或弥补的费用越高。v误区九：单向通信误区九：单向通信100%安全安全 v某些情况下，极重要的某些情况下，极重要的ICS系统允许以单向通讯方式与其他系统允许以单向通讯方式与其他安全区域联接。但是，这种联接方式是很不严密的，其安全安全区域联接。但是，这种联接方式是很不严密的，其安全程度高低取决于单向通信的实现方式。方式一为限制发起方程度高低取决于单向通信的实现方式。方式一为限制发起方方式，即通信只

29、能由某一方发起，然后双方可以互相通信；方式，即通信只能由某一方发起，然后双方可以互相通信；方式二为限制负载流方式，即在方式一基础上，对方只能发方式二为限制负载流方式，即在方式一基础上，对方只能发送控制信号，不能发送数据或应用信息；方式三最严格，仅送控制信号，不能发送数据或应用信息；方式三最严格，仅允许一方发送信息，不允许另一方发送任何信息。允许一方发送信息，不允许另一方发送任何信息。v方式一采用基本防火墙就能实现，方式二需要进行信息包检方式一采用基本防火墙就能实现，方式二需要进行信息包检测，方式三需要采用特殊设备实现。通常认为，将前两种方测，方式三需要采用特殊设备实现。通常认为，将前两种方式结

30、合起来将是最安全的防护措施。但是，即使它们可以提式结合起来将是最安全的防护措施。但是，即使它们可以提供很强的安全保护，网络攻击还是有可能发生。因为控制和供很强的安全保护，网络攻击还是有可能发生。因为控制和信号信息允许进入受保护区域，经过设备编译后，恶意代码信号信息允许进入受保护区域，经过设备编译后，恶意代码就有可能得到运行。所以，单向通信并不能提供就有可能得到运行。所以，单向通信并不能提供100%的安的安全保护。全保护。1.2工业控制系统的安全分析工业控制系统的安全分析 v首先，传统工业控制系统的出现时间要早于首先，传统工业控制系统的出现时间要早于互联网，它需要采用专用的硬件、软件和通互联网，

31、它需要采用专用的硬件、软件和通信协议，设计上基本没有考虑互联互通所必信协议，设计上基本没有考虑互联互通所必须考虑的通信安全问题。须考虑的通信安全问题。v其次，互联网技术的出现，导致工业控制网其次，互联网技术的出现，导致工业控制网络中大量采用通用络中大量采用通用TCP/IP技术，工业控制系技术，工业控制系统与各种业务系统的协作成为可能，愈加智统与各种业务系统的协作成为可能，愈加智能的能的ICS网络中各种应用、工控设备以及办网络中各种应用、工控设备以及办公用公用PC系统逐渐形成一张复杂的网络拓扑。系统逐渐形成一张复杂的网络拓扑。v另一方面，系统复杂性、人为事故、操作失误、设备故障和另一方面，系统复

32、杂性、人为事故、操作失误、设备故障和自然灾害等也会对自然灾害等也会对ICS造成破坏。造成破坏。v在现代计算机和网络技术融合进在现代计算机和网络技术融合进ICS后，传统后，传统ICP/IP网络上网络上常见的安全问题已经纷纷出现在常见的安全问题已经纷纷出现在ICS之上。例如用户可以随之上。例如用户可以随意安装、运行各类应用软件、访问各类网站信息，这类行为意安装、运行各类应用软件、访问各类网站信息，这类行为不仅影响工作效率、浪费系统资源，而且还是病毒、木马等不仅影响工作效率、浪费系统资源，而且还是病毒、木马等恶意代码进入系统的主要原因和途径。以恶意代码进入系统的主要原因和途径。以Stuxnet蠕虫为

33、例蠕虫为例，其充分利用了伊朗布什尔核电站工控网络中工业，其充分利用了伊朗布什尔核电站工控网络中工业PC与控与控制系统存在的安全漏洞（制系统存在的安全漏洞（LIK文件处理漏洞、打印机漏洞、文件处理漏洞、打印机漏洞、RPC漏洞、漏洞、WinCC漏洞、漏洞、S7项目文件漏洞以及项目文件漏洞以及Autorun.inf漏洞）。漏洞）。1.3工业控制系统的安全解决方案工业控制系统的安全解决方案 v（1）安全管理体系：建立适应工业控制系统安全目标、策安全管理体系：建立适应工业控制系统安全目标、策略、流程，内容包括：安全管理平台建设、安全管理制度规略、流程，内容包括：安全管理平台建设、安全管理制度规范建设；范

34、建设；v（2）安全运行维护体系：建立有效的运行维护、漏洞发现安全运行维护体系：建立有效的运行维护、漏洞发现与预警、应急响应体系，内容包括：模拟环境下安全风险评与预警、应急响应体系，内容包括：模拟环境下安全风险评估、模拟环境下安全整改措施验证、事件响应应急预案、操估、模拟环境下安全整改措施验证、事件响应应急预案、操作人员安全技术培训等；作人员安全技术培训等；v（3）安全技术体系：建立工业控制系统的技术防护体系、安全技术体系：建立工业控制系统的技术防护体系、安全审计跟踪体系，内容包括：身份鉴别、边界访问控制、安全审计跟踪体系，内容包括：身份鉴别、边界访问控制、攻击检测预警、行为审计跟踪、数据加密与

35、备份等。攻击检测预警、行为审计跟踪、数据加密与备份等。2石油石化工业控制网络的特点石油石化工业控制网络的特点v管控一体化管控一体化 系统结构系统结构 3工业控制网络系统的安全隐患工业控制网络系统的安全隐患v3.1网络通信协议安全漏洞网络通信协议安全漏洞v3.2操作系统安全漏洞操作系统安全漏洞 v3.3安全策略和管理流程漏洞安全策略和管理流程漏洞v3.4杀毒软件漏洞杀毒软件漏洞v3.5应用软件安全漏洞应用软件安全漏洞3.6控制网络的安全隐患控制网络的安全隐患v 入侵、组织性攻击入侵、组织性攻击v拒绝服务攻击拒绝服务攻击v病毒与恶意代码病毒与恶意代码v(1)控制器和操作站之间无隔离防护控制器和操作

36、站之间无隔离防护 PLC、DCS、IED和RTU等现场设备非常脆弱，一般的病毒攻击就可能造成死机。v(2)DCS控制系统与上层数采网无隔离防护控制系统与上层数采网无隔离防护 基于Windows平台的控制系统工作站发生病毒感染和传播的影响极大。目前国内没有用于工业协议的防火墙。v(3)APC与其它网络无隔离与其它网络无隔离 APC网络经常和外界接触，感染病毒的风险比较大，需要和别的网络隔离开来。v(4)OPCServer无操作权限管理无操作权限管理 工厂环境中，不同角色的用户需要对每个OPC数据项的添加、浏览、读/写定义不同的权限，而目前的防护方式做不到深度检查。v(5)网络安全事件无法追踪网络

37、安全事件无法追踪对网络故障进行快速的诊断，并记录、存储、分析，为减少事故带来的损失和加强日后的事件管理带来很大的方便。3.7常规网络安全技术的局限性常规网络安全技术的局限性v常规网络安全技术的作用常规网络安全技术的作用 v防火墙的局限性与不足防火墙的局限性与不足 v其他安全技术的局限其他安全技术的局限 4网络隔离技术及防护产品网络隔离技术及防护产品v4.1网络隔离技术网络隔离技术 v4.2网络隔离防护产品网络隔离防护产品v（1）网闸）网闸 v（2）工业隔离网关）工业隔离网关 5工业控制系统安全解决方案工业控制系统安全解决方案v5.1工业控制系统安全防护目标工业控制系统安全防护目标v(1)通讯可

38、控通讯可控v能够直观的观察、监控、管理通讯电缆中流过的数据，这是首先要达到的目标。对控制网络而言仅需要保证制造商专有协议数据通过即可，对其它通讯一律禁止，创造一个私有通信网络环境。v(2)区域隔离区域隔离v现代计算机网络最可怕的是病毒的急速扩散，它会瞬间令整个网络瘫痪。所以即使在控制网局部出现问题，也需要保持装置或工厂的安全稳定运行。通过在关键通道上部署网络隔离，为控制系统创造了一个相对独立的网络环境。v(3)报警追踪报警追踪v能及时发现网络中存在的感染及其它问题，准确找到故障的发生点，是维护控制网络安全的前提。把网络安全问题消灭在萌芽中，同时通过对报警事件记录存储，为已发生过的安全事件提供分

39、析依据，告别以前主观经验推断的模式。5.2“纵深防御纵深防御”策略策略v（1）即使在某一点发生网络安全事故，也能）即使在某一点发生网络安全事故，也能保证装置或工厂的正常安全稳定运行保证装置或工厂的正常安全稳定运行v（2）工厂操作人员能够及时准确的确认故障）工厂操作人员能够及时准确的确认故障点，并排除问题点，并排除问题5.2.1工业系统网络结构及安全区域的工业系统网络结构及安全区域的划分划分 5.2.2基于纵深防御策略的基于纵深防御策略的工业控制系统信息安全工业控制系统信息安全v（1）企业管理层和数采监控层之间的安全防护）企业管理层和数采监控层之间的安全防护v（2）数采监控层和控制层之间的安全防

40、护）数采监控层和控制层之间的安全防护v（3）保护关键控制器）保护关键控制器v（4）隔离工程师站，保护）隔离工程师站，保护APC先控站先控站v（5）与第三方控制系统之间的安全防护）与第三方控制系统之间的安全防护v5.2.3报警管理平台报警管理平台v报警管理平台的功能包括集成系统中所有的事件和报警信息，并对报警信息进行等级划分。提供实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能。报警管理平台还负责捕获现场所有安装有工业防火墙的通讯信道中的攻击，并详细显示攻击来自哪里、使用何种通信协议、攻击目标是谁，以总揽大局的方式为工厂网络故障的及时排查、分析提供了可靠依据。v5.2.4“

41、测试测试”模式模式v系统工程师可以利用工业防火墙提供的“测试”模式功能，在真正部署防火墙之前，在真实工厂操作环境中对防火墙规则进行测试。通过分析确认每一条报警信息，实现全面的控制功能，从而确保工控需求的完整性和可靠性。5.3工控网络安全解决方案工控网络安全解决方案v5.3.1安全解决方案组件安全解决方案组件v加拿大Byres Security公司推出的Tofino工业网络安全解决方案，由Tofino安全设备模块(Tofino Security Appliance,TSA)、可装载安全软插件(Loadable Security Modules,LSM)和中央管理平台(Central Manage

42、ment Platform,CMP)三部分构成。v(1)安全设备模块安全设备模块(TSA)图图4 Tofino安全模块（安全模块（TSA-100）图图5 Tofino安全模块（安全模块（TSA-220）v(2)可装载安全软插件可装载安全软插件(LSM)v专为专为TSA设计的功能性安全软插件，通过组设计的功能性安全软插件，通过组态软件下装至态软件下装至TSA，提供安全服务。，提供安全服务。v包括工业通信防火墙包括工业通信防火墙(Firewall)、事件与报警、事件与报警管理管理(EventLogger)、OPC/ModbusTCP通通信深度检查信深度检查(OPC/ModbusTCPEnforce

43、r)、资产管理资产管理(SecureAssetManagement)、VPN加密等加密等 v(3)中央管理平台中央管理平台(CMP)v窗口化的中央管理平台系统，用于窗口化的中央管理平台系统，用于TSA的配置、组的配置、组态和管理，并能进行报警的实时显示和查看。态和管理，并能进行报警的实时显示和查看。v通过一个工作站进行配置、管理和监测网络上的所通过一个工作站进行配置、管理和监测网络上的所有有TSA。v使用使用CMP，可以快速创建整个控制网络模型。可视，可以快速创建整个控制网络模型。可视的拖放式编辑工具可以帮助您轻松地创建、编辑和的拖放式编辑工具可以帮助您轻松地创建、编辑和测试测试TSA。通过。

44、通过CMP可以看到整个系统的运行状态可以看到整个系统的运行状态，并用一系列措施应对网络遇到的威胁。独特的三，并用一系列措施应对网络遇到的威胁。独特的三种操作模式，可以保证在对系统无扰动的情况下在种操作模式，可以保证在对系统无扰动的情况下在线添加。线添加。vCMP是基于实时网络安全报警的全新安全管理平台是基于实时网络安全报警的全新安全管理平台，具有实时画面显示、历史数据存储、报警确认、，具有实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能，可集成所有报警细目查询、历史数据查询等功能，可集成所有事件报警信息，并划分等级进行报警，用手机短信事件报警信息，并划分等级进行报警，用手

45、机短信、电子邮件等方式实时通知相关主管人员。该平台、电子邮件等方式实时通知相关主管人员。该平台能够准确捕获现场所有安装能够准确捕获现场所有安装TSA的通讯信道中的网的通讯信道中的网络攻击，并且详细显示攻击来自哪里、使用怎样的络攻击，并且详细显示攻击来自哪里、使用怎样的通讯协议以及攻击目标是谁，以总揽大局的方式为通讯协议以及攻击目标是谁，以总揽大局的方式为工厂网络故障的及时排查、分析提供了可靠依据。工厂网络故障的及时排查、分析提供了可靠依据。v（4）安全管理平台（）安全管理平台（SMP）vSMPServer接收接收CMP或或TSA的日志和报警的日志和报警记录，并将日志和报警存储在服务器数据库记录

46、，并将日志和报警存储在服务器数据库中。中。SMPClient安装在办公局域网上的办公安装在办公局域网上的办公电脑中，支持以图形的方式实时显示电脑中，支持以图形的方式实时显示CMP或或TSA收集的日志和报警记录，并且支持日志收集的日志和报警记录，并且支持日志和报警的查询。和报警的查询。5.3.2安全解决方案实施安全解决方案实施v第一步：创建网络安全分区，确定在何处放置第一步：创建网络安全分区，确定在何处放置TOFINO安全设备安全设备TSA。v第二步：确定需要哪些可装载安全功能软插件第二步：确定需要哪些可装载安全功能软插件(LSMs)，以确保每个区域安全不同的要求。，以确保每个区域安全不同的要求

47、。v第三步：选择一个服务器或工作站安装第三步：选择一个服务器或工作站安装TOFINO中中央管理平台央管理平台CMP和和Tofino安全管理平台安全管理平台SMP，CMP和和SMP也可以分别安装在不同的机器。也可以分别安装在不同的机器。3安全解决方案特点安全解决方案特点v(1)工业型工业型v内置内置50多种专有工业通信协议。与常规防火墙不同的是，多种专有工业通信协议。与常规防火墙不同的是，TSA不仅是在端口上的防护，更重要的是基于应用层上数据不仅是在端口上的防护，更重要的是基于应用层上数据包深度检查，属于新一代工业通讯协议防火墙，为工业通讯包深度检查，属于新一代工业通讯协议防火墙，为工业通讯提供

48、独特的、工业级的专业隔离防护解决方案。提供独特的、工业级的专业隔离防护解决方案。v具备在线修改防火墙组态功能，可以实时对组态的防火墙策具备在线修改防火墙组态功能，可以实时对组态的防火墙策略进行修改，而且不影响工厂实时通讯。无需工厂停车就可略进行修改，而且不影响工厂实时通讯。无需工厂停车就可在线直接插入使用，启动时对控制网络是在线直接插入使用，启动时对控制网络是“透明的透明的”，不存在，不存在安全规则配置错误，阻断有效工业通讯的风险。安全规则配置错误，阻断有效工业通讯的风险。v工业型设计，导轨式安装，低功耗无风扇，具备二区防爆认工业型设计，导轨式安装，低功耗无风扇，具备二区防爆认证。证。v(2)

49、特有的安全连接技术特有的安全连接技术vTSA自身是基于非自身是基于非IP的独有专利安全连接技术进行的独有专利安全连接技术进行管理，能够阻挡任何欺骗式攻击。管理，能够阻挡任何欺骗式攻击。vTSA能够隐藏后端所有设备的能够隐藏后端所有设备的IP地址，让入侵者无地址，让入侵者无法发现目标，更无从谈起发动任何攻击。法发现目标，更无从谈起发动任何攻击。vTSA集防火墙与虚拟路由于一身，能够像网络交通集防火墙与虚拟路由于一身，能够像网络交通警察一样管控通讯网络数据通讯的路径、对象以及警察一样管控通讯网络数据通讯的路径、对象以及数据流的方向，可以设定数据流入、流出的单向或数据流的方向，可以设定数据流入、流出

50、的单向或双向。双向。v(3)实时网络通讯透视镜功能实时网络通讯透视镜功能vA.能够为目前控制系统网络故障分析、监控、记录能够为目前控制系统网络故障分析、监控、记录提供一个简单、有效的可靠工具。提供一个简单、有效的可靠工具。vB.能够确切的观察、分析、控制系统网络通信电缆能够确切的观察、分析、控制系统网络通信电缆中所使用的通讯协议、数据速度、访问对象等。中所使用的通讯协议、数据速度、访问对象等。vC.实现对非法通信的实时报警、来源确认、历史记实现对非法通信的实时报警、来源确认、历史记录，保证控制网络通讯的实时诊断。录，保证控制网络通讯的实时诊断。6工业控制系统安工业控制系统安全防护解决方案全防护

51、解决方案案例一案例一（炼化企业）（炼化企业）v某石化公司是一家特大型炼化企业，其企业某石化公司是一家特大型炼化企业，其企业网支撑着网支撑着ERP、MES、OA等多种应用，基等多种应用，基本涵盖了整个企业管理和生产控制单元。根本涵盖了整个企业管理和生产控制单元。根据企业网络建设现状，结合业内工业安全的据企业网络建设现状，结合业内工业安全的先进安全技术，制定和实施管理网和控制网先进安全技术，制定和实施管理网和控制网整体安全解决方案有两部分。整体安全解决方案有两部分。6.1现有控制网和管理网架构体系现有控制网和管理网架构体系6.2现有架构体系下的安全隐患风险现有架构体系下的安全隐患风险va目前许多控

52、制系统的工程师站目前许多控制系统的工程师站/操作站操作站(HMI)都是都是Windows平台平台vb基于工控软件与杀毒软件的兼容性问题，在操作站上通基于工控软件与杀毒软件的兼容性问题，在操作站上通常不安装杀毒软件。常不安装杀毒软件。vcOPC是基于是基于Microsoft的分布式组件对象模式（的分布式组件对象模式（DCOM）技术，该技术使用了远程过程调用（）技术，该技术使用了远程过程调用（RPC）网络协议来实）网络协议来实现工业网络中的以太网连接。现工业网络中的以太网连接。vd在实现数据采集的过程中，数据采集服务器虽然采用了在实现数据采集的过程中，数据采集服务器虽然采用了双网卡技术，管理信息网

53、与控制网通过该服务器进行了隔离双网卡技术，管理信息网与控制网通过该服务器进行了隔离，部分恶意程序不能直接攻击到控制网络，但对于能够利用，部分恶意程序不能直接攻击到控制网络，但对于能够利用Windows系统漏洞的网络蠕虫及病毒等，这种配置没有作系统漏洞的网络蠕虫及病毒等，这种配置没有作用，病毒会在信息网和控制网之间互相传播。安装杀毒软件用，病毒会在信息网和控制网之间互相传播。安装杀毒软件可以对部分病毒或攻击有所抑制，但病毒库存在滞后，所以可以对部分病毒或攻击有所抑制，但病毒库存在滞后，所以不能从根本上进行防护。不能从根本上进行防护。6.3控制网安全防护解决方案控制网安全防护解决方案v目前，该公司

54、使用目前，该公司使用Tofino技术实施整体网络安全解技术实施整体网络安全解决方案，现以烯烃厂为例进行说明。针对烯烃厂网决方案，现以烯烃厂为例进行说明。针对烯烃厂网络结构及具体应用要求，分别在过程控制网内部、络结构及具体应用要求，分别在过程控制网内部、数采网和过程控制网之间、数采网和过程控制网之间、APC控制站与过程控制控制站与过程控制网之间、网之间、DCS与数采网之间安装防火墙，并安装相与数采网之间安装防火墙，并安装相应的应的LSM软插件，然后在数采网安装中央管理平台软插件，然后在数采网安装中央管理平台（CentralManagementPlatform，CMP）对）对TSA进行管理和组态，

55、最后在办公局域网内安装安全管进行管理和组态，最后在办公局域网内安装安全管理平台，对整个网络进行实时在线监控。具体方案理平台，对整个网络进行实时在线监控。具体方案拓扑图如图拓扑图如图10所示。所示。6.3.1DCS控制网安全防护解决方案控制网安全防护解决方案6.3.2工厂信息数采网与控制网之间的工厂信息数采网与控制网之间的安全防护解决方案安全防护解决方案6.3.3中央管理平台和安全管理平台中央管理平台和安全管理平台v中央管理平台中央管理平台CMP通过一台工作站来配置和管理控制网络通过一台工作站来配置和管理控制网络安全。安全。CMP的专用软件能够通过一个工作站进行配置、管的专用软件能够通过一个工作

56、站进行配置、管理和监测网络上的所有安全设备。这样既可快速创建整个控理和监测网络上的所有安全设备。这样既可快速创建整个控制网络模型。可视的拖放式编辑工具可以轻松地创建、编辑制网络模型。可视的拖放式编辑工具可以轻松地创建、编辑和测试安全设备。取得此安全系统的授权后，和测试安全设备。取得此安全系统的授权后，CMP可以立可以立刻看到整个系统的运行状态，并用一系列措施应对网络遇到刻看到整个系统的运行状态，并用一系列措施应对网络遇到的威胁。的威胁。v在办公局域网内安装安全管理平台在办公局域网内安装安全管理平台SMP，可以集成所有来自，可以集成所有来自CMP平台的所有事件报警信息，并可划分等级进行报警，平台

57、的所有事件报警信息，并可划分等级进行报警，通过采用手机短信及电子邮件等方式进行实时通知相关主管通过采用手机短信及电子邮件等方式进行实时通知相关主管人员。该平台能够准确捕获现场所有安装防火墙的通讯信道人员。该平台能够准确捕获现场所有安装防火墙的通讯信道中的攻击，并且详细显示攻击源、通讯协议和攻击目标，以中的攻击，并且详细显示攻击源、通讯协议和攻击目标，以总揽大局的方式为工厂网络故障的及时排查与分析提供可靠总揽大局的方式为工厂网络故障的及时排查与分析提供可靠依据。依据。7工业控制系统安工业控制系统安全防护解决方案全防护解决方案案例二案例二（DCS）8工业控制系统安工业控制系统安全防护解决方案全防护

58、解决方案案例三案例三（SCADA）9工业控制系统安工业控制系统安全防护解决方案全防护解决方案案例四案例四（DCS）vTofino工业网络安全解决方案针对控制系统网络特别设计，旨在为其提工业网络安全解决方案针对控制系统网络特别设计，旨在为其提供一种分区的安全解决方案。供一种分区的安全解决方案。Tofino拥有极高的性价比，它能够在工厂拥有极高的性价比，它能够在工厂车间中建立深层防护架构，因此，即使有黑客或病毒通过主要的企业防车间中建立深层防护架构，因此，即使有黑客或病毒通过主要的企业防火墙，他们也将面对基于控制网络特点而设计的专业安全设备，只有穿火墙，他们也将面对基于控制网络特点而设计的专业安全

59、设备，只有穿过这些设备才能进而造成损害。过这些设备才能进而造成损害。vTofino模块采用模块采用TofinoCentralManagementPlatform(CMP，中央管，中央管理平台理平台)进行集中配置、组态和管理（可远程甚至跨国使用），控制网或进行集中配置、组态和管理（可远程甚至跨国使用），控制网或企业网均可以在适当位置安装使用企业网均可以在适当位置安装使用CMP。并装载各种必要的。并装载各种必要的LSM使之满使之满足所保护区域及设备的安全要求。足所保护区域及设备的安全要求。vTofinoSecuritySystem一方面是一个完整的分布式的安全解决方案，一方面是一个完整的分布式的安

60、全解决方案，另一方面又可以简单、安全地进行集中管理。对大型工业企业来说，另一方面又可以简单、安全地进行集中管理。对大型工业企业来说，TofinoSecuritySystem更意味着最佳的安全效益和技术支持，并不只更意味着最佳的安全效益和技术支持，并不只是简单满足了独立的关键控制设备的安全需求。是简单满足了独立的关键控制设备的安全需求。v不同于传统的不同于传统的IT防火墙，防火墙，Tofino专为工业环境控制网络通信安全要求而专为工业环境控制网络通信安全要求而设计。现场技术人员只需简单为设计。现场技术人员只需简单为Tofino接入电源，并连接两个网络的电接入电源，并连接两个网络的电缆即可，无需其他任何操作。一旦安装成功，安全缆即可，无需其他任何操作。一旦安装成功，安全/技术人员即可毫不费技术人员即可毫不费力地管理任何系统，以总揽公司大局的方式对网络威胁作出反应。最重力地管理任何系统，以总揽公司大局的方式对网络威胁作出反应。最重要的是，要的是，Tofino既可以灵活运用在单纯由既可以灵活运用在单纯由PLC构成的小型工厂中，又能构成的小型工厂中，又能够满足那些拥有成千上万个设备并且分布全球各地的大型跨国公司的使够满足那些拥有成千上万个设备并且分布全球各地的大型跨国公司的使用要求。用要求。演讲完毕，谢谢观看！