1 工業(yè)系統(tǒng)網絡安全現狀

　　工業(yè)控制系統(tǒng)的原始設計是以高可靠性， 高實時性，高控制性為目標進行設計安裝和運行的。其中影響系統(tǒng)安全性最大隱患莫過于內部和外部干擾。隨著計算網絡技術在工業(yè)控制系統(tǒng)普及和發(fā)展，工業(yè)控制系統(tǒng)包括（DCS、PLC、TCS、SCADA）系統(tǒng)網絡已經普及到工業(yè)產業(yè)的所有領域，其工控系統(tǒng)網絡及其所承載的數據流、人機交互UI等空間載體所構成工控系統(tǒng)所造成的安全威脅呈現隱蔽性高、危害性大乃至會影響到國家安全的特點。

　　目前，國內外的工控制系統(tǒng)制造企業(yè)，對其工控系統(tǒng)安全性設計、制造、運行和維護，缺乏統(tǒng)一的設計標準和相關管理規(guī)定；同時，由于其工程實施和系統(tǒng)使用偏重于控制系統(tǒng)功能的實現，對工控安全意識的淡薄和輕視，給國內已經部署的工控系統(tǒng)造成了很大的安全隱患。

　　主要表現在：

　　1、缺乏網絡技術常識、設計、施工和使用中只注重系統(tǒng)功能的實現，未考慮其安全的需要和整體規(guī)劃。

　　2、缺乏工控安全意識，研發(fā)、設計、施工、運行和維護中，嚴重缺乏對安全的控制和執(zhí)行基本的安全管理規(guī)定。

　　3、工控安全的體系建設處于摸索和成長階段，其相關標準和管理規(guī)定未盡完善。

　　這就要求我們不斷的探索工控安全領域的未知，汲取經驗和教訓，在探索中求得共識，在發(fā)展中取得進步。

　　2 工控安全研究的內容和背景

　　2.1 背景及意義

　　工控安全，從世界范圍看， 作為信息產業(yè)發(fā)展的領導者，美國很早就十分重視工控安全。2009年頒布《保護工業(yè)控制系統(tǒng)戰(zhàn)略》，涵蓋能源、電力、交通等14個行業(yè)工控系統(tǒng)的安全。而美國國家標準與技術研究院、能源局則分別發(fā)布了《工業(yè)控制系統(tǒng)安全指南》（SP800-82 2013年推出最新修訂版本）[NIST]、《改進SCADA網絡安全的21項措施》等相關的工控安全建設標準指南或最佳實踐文檔。同時其國內的傳統(tǒng)信息安全廠商賽門鐵克、MCAFEE、思科以及傳統(tǒng)工控廠商羅克韋爾、通用電氣以及一些新興的專業(yè)安全廠商在工控的安全防護及產品服務提供方面也都展開了深入研究、實踐及產業(yè)化工作，并總體上處于領先的地位。

　　在歐洲則以德國西門子、法國施耐德電氣為代表的工業(yè)控制系統(tǒng)提供商為主；而工控系統(tǒng)的信息化、智能化以及所帶來安全問題的解決離不開工控廠商的支持，自然西門子等企業(yè)的市場和技術優(yōu)勢也將奠定未來很長一段時間內在工控安全領域的領先地位。

　　在專業(yè)的工控安全廠商方面，加拿大Tofino（多芬諾）公司曾以其業(yè)內著名的工控系統(tǒng)防火墻成為業(yè)內領先的工控系統(tǒng)信息安全的專業(yè)廠商，其產品在石化等多個行業(yè)應用廣泛?？浦Z康公司（Codenomicon）則以其用于漏洞發(fā)現的fuzzing 測試工具而在工控系統(tǒng)安全領域擁有重要的地位。

　　在國內：自從工信部451號文發(fā)布之后，國內各行各業(yè)都對工控安全的認識提高到一個新的高度。電力、石化、交通、制造、煙草等多個行業(yè)，陸續(xù)制定了相應的指導性文件，來指導相應行業(yè)的安全檢查與整改活動。國家標準相關的組織TC260、TC124等標準組也已經啟動了相應標準的研究制定工作，最新的網絡安全等級保護2.0對工控安全定級部分增加了明文規(guī)定。

　　在工控安全領域，一批致力于工控網絡安全系統(tǒng)設備國內提供商，在設備研發(fā)上做出了巨大的努力。國內的相關組織和行業(yè)機構也正在為工控安全制定相應的指導性文件。

　　在國內相關行業(yè)中，供電及發(fā)電行業(yè)由于其行業(yè)的特點和重要性，在工控安全領域起步早，且已經形成初步體系，但具體應用案例尚未形成群體優(yōu)勢。在石油、化工、鋼鐵、煤礦、公共事業(yè)中的鐵路、地鐵、供水、供氣、供熱等涉及工控系統(tǒng)的行業(yè)，雖然起步晚，但其應用規(guī)模和應用范圍相比電力行業(yè)具有明顯的優(yōu)勢。

　　上述這些行業(yè)中，工控安全的重要性是不言而喻的。其行業(yè)的重要性、網絡互聯(lián)的規(guī)模、信息共享的需要又造成了行業(yè)間工控系統(tǒng)信息安全應用的不平衡。

　　北京能源集團有限責任公司，為了穩(wěn)妥的推進工控的安全和建設，選取必要的現實場景，對國內的工控安全設備進行必要的實地驗證。依據集團京能集團辦字[2106]311號文件《關于合作建設工控系統(tǒng)信息安全實驗基地的批復》和中國信息協(xié)會信息安全專業(yè)委員會《關于開展CIES工控系統(tǒng)信息安全實驗基地方案測試工作的通知》；2016年4月9日中國信息協(xié)會信息安全專業(yè)委員會和北京華源熱力管網有限公司共同成立的“CIES工控系統(tǒng)信息安全實驗基地”在京舉行了揭牌儀式。

　　2017年夏季，共有四個國內廠家的工控安全產品，在該實驗基地分別進行了測試和驗證，使大家對工控安全設備及其軟件系統(tǒng)功能等方面，有了一個比較深入的認識。無論是設備制造商和參加測試單位，對工控安全系統(tǒng)的認識得到了顯著的提高。在當前的背景下，具有現實的意義

　　2.2 集中控制系統(tǒng)安全所面臨的問題

　　不言而喻，工控集中控制系統(tǒng)相比于非集中控制系統(tǒng)的優(yōu)勢是非常明顯的，隨著國內的DCS、SCADA等系統(tǒng)的大規(guī)模工業(yè)化應用，人們發(fā)現，在一些特定的領域和條件下，將分散的DCS、SCADA等系統(tǒng)通過網絡互聯(lián)，并將其控制權集中到一個控制中心，是一個非常有意義的選擇；其最大的特點是可以集中運行人員的技術優(yōu)勢，多數據源的集合和統(tǒng)計分析實現對工控系統(tǒng)優(yōu)化控制和調度；提高系統(tǒng)運行安全性和經濟性。特別是在國家電網大力推廣‘泛在物聯(lián)網建設’的大背景下，不可避免的向工控安全提出了挑戰(zhàn)；從目前的實際情況分析，有如下幾個方面問題：

　　1、工控的安全具有失控風險

　　我們大家知道，工控安全在現今條件下，其安全維護人員面臨嚴重的缺位；人們只是關心系統(tǒng)正常運行和維護，對于其隱蔽性很強的安全威脅，對人員的技術素質要求高。企業(yè)很難為其提供必要的崗位和合理的薪資。

　　2、工控安全設備和系統(tǒng)尚在探索和不斷完善階段

　　由于，工控系統(tǒng)的特殊性，一般認為，現今互聯(lián)網普及的安全設備無法完全復制到工控；其安全分區(qū)理念所形成的那堵墻，如同一個高懸的大壩將整個工控與互聯(lián)進行了‘物理隔離’。使得一大批安全產品研發(fā)企業(yè)前仆后繼去參加這“最后的盛宴”。走了很多的彎路，至今也無法形成一群體共識。

　　3、工控相關管理規(guī)定、制度和標準的缺失

　　工控安全最缺乏的是沒有一個具有針對性的管理制度或規(guī)定，盡管行業(yè)管理部門相繼推出一些指導性文件，但其可執(zhí)行度差，是不爭的事實；其相關指導性意見，涵蓋面大，有些具體措施又難于執(zhí)行，企業(yè)因此付出的成本又很高，造成工控安全工作，至今沒有形成規(guī)模性的部署，沒有為大家普遍接受。

　　3 工業(yè)集中控制系統(tǒng)安全的實踐

　　工業(yè)集中控制系統(tǒng)不同于一般的相對獨立的DCS、SCADA系統(tǒng)，其最大的特點是網絡節(jié)點多，網絡層級多；冗余性要求高。

　　一般的DCS系統(tǒng)，其網絡架構相對簡單，一個網絡IP段就可完全滿足其實際的需要。其網絡核心不外乎兩個冗余核心交換機組成的上位監(jiān)控管理層和下位數據傳輸控制層；也有一些系統(tǒng)采用了環(huán)網或雙環(huán)網技術組成了DCS控制系統(tǒng)網絡架構；如圖：

　　Scada系統(tǒng)的網絡架構，一般遵循比較普遍的星形網絡架構體系；通過雙網冗余滿足對上位監(jiān)控管理層安全需求；其它下位數據采集和控制層（PLC或RTU）自成網絡體系和控制體系，通過網絡專線或數據加密認證傳輸實現組網。如圖：

　　從圖中我們可以看到，DCS系統(tǒng)網絡與SCADA系統(tǒng)比較相對簡單，但冗余性高；DCS系統(tǒng)網絡節(jié)點少，SCADA系統(tǒng)網路節(jié)點多；DCS系統(tǒng)一般無需路由器或防火墻配置；SCADA系統(tǒng)一般需要路由器和防火墻配置；嚴格意義講SCADA系統(tǒng)就是一種集中控制與數據采集系統(tǒng)；

　　如何將多個DCS系統(tǒng)或是多個SCADA系統(tǒng)構架成一個集中控制系統(tǒng)，其安全如何保障，是在我們面前的課題：

　　3.1 構建DCS系統(tǒng)集控網絡所必備的條件

　　多個DCS系統(tǒng)構建一個集中控制網絡架構體系，必須具備如下幾個條件；

　　1、各個DCS系統(tǒng)必須進行網絡IP地址的統(tǒng)一規(guī)劃，要求在DCS系統(tǒng)設計時，設計單位或設備提供商和業(yè)主單位就必須有一個統(tǒng)一的要求；否則，事后調整時，是一件耗時、耗人、耗資源得不償失的事。

　　2、在DCS系統(tǒng)與集中控制系統(tǒng)間網絡通訊線路，為了保證其有效冗余，要求其采用專有線路，并采用不同的路徑。集中控制中心網絡的冗余等級與dcs系統(tǒng)保持一致。

　　3、必須在集中控制系統(tǒng)網絡與各DCS系統(tǒng)間增加網絡路由設備，以實現其網絡間相互訪問，不產地址沖突，便于集控系統(tǒng)的統(tǒng)一部署。

　　3.2 工業(yè)集中控制系統(tǒng)所必須的安全設備

　　工業(yè)集中控制系統(tǒng)網絡的特點，要求我們必須在集中控制網絡與各DCS系統(tǒng)間增加防火墻（工業(yè)防火墻），其主要目的是為了在保證集中控制網絡與各DCS系統(tǒng)間正常通訊的前提下，通過其路由和策略的配置，實現各DCS網絡系統(tǒng)間，不因各自的網絡故障和安全風險波及到集控或其它DCS系統(tǒng)網絡。對于各獨立的DCS系統(tǒng)網絡和集控網絡，目前的做法是，通過各網絡交換機的鏡像功能，部署探針設備，將其網絡數據進行采集和分析；實現對其各個DCS系統(tǒng)網絡的監(jiān)視。某些情況下，當控制數據需要上傳到管理的時候，按照國家現有的要求，一般設置隔離網閘，實現對工控與管理的單向隔離。

　　3.3 工業(yè)集中控制系統(tǒng)所必須的安全策略

　　3.3.1 工控防火墻的安全策略：

　　作為工控網絡邊界安全設備，其安全策略規(guī)劃和配置合理是確保邊界安全的關鍵，一般工業(yè)級防火墻應具有如下功能：

　　1、防火墻兼具路由功能，客觀上可以實現了對ip地址訪問進行路由限制；一般的規(guī)則是只允許集中控制網絡設備與各DCS系統(tǒng)可控的設備實現路由訪問，但各DCS系統(tǒng)間，不能通過集中控制網絡進行相互訪問。

　　2、工業(yè)防火墻在集中控制網絡與Dcs系統(tǒng)網絡通訊時，具有典型的病毒傳輸攔截功能和網絡攻擊行為過濾功能；

　　3、防火墻在集中控制網絡與Dcs系統(tǒng)網絡通訊時進行通訊協(xié)議和端口限制；一般情況下，可采用白名單或黑名單進行控制。

　　4、防火墻在集中控制網絡與Dcs系統(tǒng)網絡通訊時對IP源、目地址進行限制；可采用白名單或黑名單進行控制。

　　3.3.2 網絡探針的安全策略：

　　與防火墻的主動防御不同，網絡探針完成的被動防御；通過網絡鏡像數據的解析分析，在病毒層，通訊協(xié)議和端口，以及源、目的IP地址，通過白名單或黑名單實現對過網數據的實時分析；當發(fā)現問題時，以報警或報告的方式通知維護人員。

　　3.3.3 單向隔離網閘的安全策略：

　　單向隔離網閘的安全策略比較簡單，只是包括其網閘源側IP源、目的及端口號；網閘目的側ip源、目地及端口號；

　　3.3.4 工控安全集中管理平臺：

　　考慮到工業(yè)集中控制系統(tǒng)安全設備多，部署地域不集中。部署安全集中管控設備用于實現對整個集中控制網絡安全空間的安全設備和管理是十分必要的。目前，工業(yè)態(tài)勢感知安全產品和橫空出世，也契合工控領域安全管理的實際需要；包括工控集控系統(tǒng)安全設備的管理功能；工業(yè)安全集中管理平臺應可以遠程管理部署其網絡中的探針設備和防火墻，統(tǒng)一登陸管理各設備的參設配置和系統(tǒng)日志查詢功能；發(fā)現資產和可利用率分析功能；

　　1、各探針和防火墻的非正常數據處理和展示功能；態(tài)勢分析和統(tǒng)計報表功能；

　　2、集控安全設備自身的管理功能，網絡拓撲和設備運行狀態(tài)分析功能；

　　3.3.5 單向隔離網閘

　　單向隔離網閘是工控與管理的邊界防護設備，其具有數據單向傳輸1bit回位的特征；一般情況下，采用其標準配置即可。

　　3.4 實例分析

　　下圖：為某企業(yè)集中監(jiān)控系統(tǒng)拓撲圖。

　　從圖中我們可以看出，該集中監(jiān)控系統(tǒng)分為兩部分：一是基于三套DCS系統(tǒng)的集中控制部分；二是基于98套PLC系統(tǒng)的SCADA系統(tǒng)集中監(jiān)控部分；現分別說明；

　　3.4.1 DCS集中控制系統(tǒng)架構：

　　該集中控制網絡系統(tǒng)由兩臺核心交換機組成冗余雙網，配備6臺操作員站和一臺工程師站實現對下屬一套本地、兩套異地的DCS系統(tǒng)的集中控制；每套DCS系統(tǒng)由兩臺上位核心交換機和下位數臺數據采集控制設備組成冗余雙網；每套DCS系統(tǒng)配備了操作員站和工程師站；

　　SCADA系統(tǒng)作為單網系統(tǒng)，為了保證實現與DCS系統(tǒng)實現數據交互通過防火墻與集中控制系統(tǒng)網絡實現互聯(lián)；三套DCS系統(tǒng)分通過本地雙絞線、聯(lián)通和移動SDH光纖、自建遠程雙環(huán)網分別通過兩臺工業(yè)防火墻實現與集中控制網路的冗余連接。

　　每套DCS系統(tǒng)的兩臺核心交換機上部署了一套網絡鏡像探針設備；其數據傳輸回路借用了B網進行傳輸。集中控制系統(tǒng)探針由一套網絡鏡像探針設備與SCADA核心網絡設備共用。

　　3.4.2 SCADA集中控制系統(tǒng)架構

　　SCADA集中控制系統(tǒng)由上位核心交換機組成單網，其下位由不同區(qū)域98套PLC系統(tǒng)組成，每套PLC配備一臺IPsecVPN防火墻，通過聯(lián)通4M匯聚網絡與SCADA IPsecVPN防火墻實現隧道連接；另外五套DCS系統(tǒng)通過單條網絡光纖專線與SCADA IPsecVPN防火墻實現連接實現DCS數據向SCADA系統(tǒng)傳送；將另外一套數據干線數據采集系統(tǒng)（SCADA）的數據通過單環(huán)網實現與SCADA IPsecVPN防火墻實現連接，實現SCADA系統(tǒng)間的數據傳送。；

　　在SCADA網絡上，通過接口服務器與一臺單向隔離網閘實現向上級單位MES進行單向數據傳送。

　　3.4.3 工控安全集中管理平臺架構

　　實現將兩臺工控防火墻和4臺網絡探針設備的數據，通過借用DCS系統(tǒng)B網和專用網絡，將安全設備和數據匯聚到一個虛擬專網，在專網上部署一套工業(yè)安全集中管理平臺；用于對安全設備的管理和數據趨勢分析。

　　4 結論

　　工控安全是關系國計民生的重大戰(zhàn)略問題，在當今形勢下，如何對工控行防護，防止來自內部、外部的安全威脅和惡意攻擊，是工控安全領域面臨的重大挑戰(zhàn)。本文在CIES工控實驗基地所取得成果的基礎上，以三套DCS系統(tǒng)進行集中控制位核心，將SCADA系統(tǒng)與其它系統(tǒng)混合構建一套數據監(jiān)控系統(tǒng)。應用計算機及網絡技術手段實現工控安全系統(tǒng)的部署。

　　工控的安全保障，任重而道遠；工控安全的實踐使我們對其整體建設思路和后續(xù)發(fā)展方向有了一個清晰的認識；為今后類似系統(tǒng)的建設提供了依據。對于進一步增強工控安全，建立健全的安全防護體系，具有重大的推動作用。