导言:
近几年,因网络病毒引起的工业事情层出不穷,工业网络安全问题现已日益严峻,针对现在我国工业操控体系信息安全面对的严峻形势,2011年10月27日,工信部下发《关于加强工业操控体系信息安全办理的告诉》,强调了加强工业操控体系信息安全办理的重要性和紧迫性,并清晰了要点范畴如:石油石化、电力、钢铁、化工等职业工业操控体系信息安全办理要求。石化工业是国家的基础性动力支柱产业,信息安全在任何时期、任何国家区域都备受重视。动力体系的信息安全问题直接要挟到其它职业体系的安全、安稳、经济、优质的运转,影响着体系信息化的完成进程。保护网络安全,确保出产体系的安稳牢靠、防止来自内部或外部进犯,采纳高安全性的防护办法都是石化信息体系安全不行忽视的组成部分。
跟着我国工业信息化建造的不断深入,信息化现已成为企业展开的重要推进力气,国外石化企业信息化建造和运用现已走在咱们前面。经济全球化的展开以及WTO的参加,更对石化企业提出了新的应战,就石化企业而言,信息化是生计和展开的必经之路。
信息化是一项体系工程,信息化安全也是信息化建造的关键环节。特别是跟着互联网一日千里的展开和企业集团信息化整合的加强,企业网络运用的范围在不断扩大,如经过互联网获取信息、展示企业形象、展开电子商务等,经过广域网完成集团内部资源共享、一致集团办理等,企业信息化网络不再是单纯意义上的Intranet,而更多的则是依据Internet的网络和运用。但网络敞开的一起,带来的安全问题就愈加严峻了,各种安全问题如病毒、进犯和侵略等现已引起了人们的高度重视。
石化企业信息化与其它职业比较有一个杰出特色,便是以管控一体化为要点。这是由石化职业本身的特色决议的,并具有必定的年代特色。
石化企业是典型的资金和技能密集型企业,出产的连续性很强,设备和重要设备的意外停产都会导致巨大的经济损失,因此出产进程操控大多选用DCS等先进的操控体系,出产办理上也更重视安全和平稳运转。经过加强出产办理,可以完成办理与出产进程操控的交融,经过优化调度、先进操控和优化操控等方法,在确保出产平稳的基础上获取更大的经济效益,因此,石化企业信息化的要点是管控一体化。当今的石化企业遍及选用依据ERP/SCM、MES和PCS三层架构的的管控一体化信息模型,MES处于企业信息体系ERP/SCM和进程操控体系的中心方位。MES体系在整个信息体系中首要担当了两个方面的重要效果:一是数据双向通道的效果。即经过MES体系的施行,可以有用补偿企业PCS层及ERP/SCM层之间的数据空隙,由下至上,经过对底层PCS层数据的收集、存储及校对,树立进程操控数据层次上的数字化工厂,结合出产调度层次上的调度事情信息数据等,为上层ERP/SCM方案办理层供给精确一致的出产数据;由上至下,经过对实时出产数据的总结,上层ERP/SCM层可以依据未来订单及现阶段出产情况调整出产方案,下发MES层进行方案的分化及发生调度指令,有用辅导企业出产活动。因此,MES体系在数据层面上,起到了交流PCS层和ERP/SCM层的桥梁效果,并确保了出产数据、调度事情等信息的一致性及精确性。另一方面,出产活动的复杂性发生了许多实践的用户需求,为了满意这些用户需求,MES体系也可以视为一个功能模块的调集。
由DCS、PLC和SCADA等操控体系构成的操控网络,在曩昔几十年的展开中呈现出全体敞开的趋势。以石化干流操控体系DCS为例,在信息技能展开的影响下,DCS现已进入了第四代,新一代DCS呈现的一个杰出特色便是敞开性的进步。曩昔的DCS厂商根本上是以自主开发为主,供给的体系也是自己的体系。当今的DCS厂商更强调敞开体系集成性。各DCS厂商不再把开发组态软件或制作各种硬件单元视为中心技能,而是纷繁把DCS的各个组成部分选用第三方集成方法或OEM方法。例如,大都DCS厂商自己不再开发组态软件渠道,而转入选用其它专业公司的通用组态软件渠道,或其它公司供给的软件渠道。这一思路的改变使得现代DCS的操作站彻底呈现PC化与Windows化的趋势。在新一代DCS的操作站中,简直清一色选用PC+Windows的技能架构,运用户的出资及保护本钱大幅下降。
一起,DCS网络技能也呈现出敞开的特征。曩昔,因为通讯技能相对落后,网络技能敞开性是困扰用户的一个重要问题。而今世网络技能、软件技能的展开为敞开体系供给了或许。网络技能敞开性体现在DCS可以从多个层面与第三方体系互联,一起支撑多种网络协议。现在在与企业办理层信息渠道互联时,大多选用依据TCP(UDP)/IP协议的以太网通讯技能,运用OPC等敞开接口标准。
敞开性为用户带来的优点毋庸置疑,但由此引发的各种安全缝隙与传统的封闭体系比较却大大添加。关于一个操控网络体系,发生安全缝隙的要素是多方面的。
1、网络通讯协议安全缝隙
跟着TCP(UDP)/IP协议被操控网络遍及选用,网络通讯协议缝隙问题变得越来越杰出。
TCP/IP协议簇开端规划的运用环境是美国国防体系的内部网络,这一网络是相互信赖的,因此它本来只考虑互通互联和资源共享的问题,并未考虑也无法兼容处理来自网络中和网际间的许多安全问题。当其推行到社会的运用环境后,安全问题发生了。所以说,TCP/IP在先天上就存在着丧命的安全缝隙。
1) 缺少对用户身份的辨别
2) 缺少对路由协议的辨别认证
3) TCP/UDP本身缺点
2、操作体系安全缝隙
PC+Windows的技能架构现已成为操控体系上位机/操作站的干流。而在操控网络中,上位机/操作站是完成与MES通讯的首要网络结点,因此其操作体系的缝隙就成为了整个操控网络信息安全中的一个短板。
Windows操作体系从推出至今,以其友爱的用户界面、简略的操作方法得到了用户的认可,其版别也从开端的Windows 3.1展开到现在的XP、Windows Server2003、 Windows 7等。可是,微软在规划Windows操作体系时是本着简略易用为准则的,因此疏忽了安全方面的考虑,留下了许多危险。这些危险在单机年代并没有显现出来,后来跟着网络的呈现和遍及,越来越多地运用Windows操作体系的PC接入网络,微软埋下的危险逐步浮出水面。一时间Windows操作体系缝隙频频呈现,安全事故时有发生。尽管微软在Windows2000今后的版别中选用了Windows NT的中心,在必定程度上进步了Windows操作体系的安全性,但仍然不能防止安全缝隙的不断呈现。另一方面,Windows作为干流的操作体系,也更简单成为众矢之的,每次Windows的体系缝隙被发现后,针对该缝隙的歹意代码很快就会呈现在网上,从缝隙被发现到歹意代码的呈现,中心的时差开端变得越来越短。以Windows2000版别为例,就曾被发现了许多缝隙,典型的如:输入法缝隙、IPC$缝隙、RPC缝隙、Unicode缝隙、IDA&IDQ缓冲区溢出缝隙、Printer溢出缝隙、Cookie缝隙等等。这些缝隙大部分损害巨大,歹意代码经过这些缝隙,可以获得Windows2000操作站的彻底操控权,乃至随心所欲。
3、运用软件安全缝隙
处于运用层的运用软件发生的缝隙是最直接、最丧命的。一方面这是因为运用软件形式多样,很难构成一致的防护标准以应对安全问题;另一方面最严峻的是,当运用软件面向网络运用时,就必须敞开其运用端口。例如,要想完成与操作站OPC服务器软件的网络通讯,操控网络就必须彻底敞开135端口,这时防火墙等安全设备现已力不从心了。而实践上,不同运用软件的安全缝隙还不止于此。
操控网络安全危险剖析
操控网络的安全缝隙暴露了整个操控体系安全的脆弱性。因为网络通讯协议、操作体系、运用软件、安全策略乃至硬件上存在的安全缺点,然后使得进犯者可以在未授权的情况下拜访和操控操控网络体系,构成了巨大的安全危险。操控网络体系的安全性相同契合“木桶准则”,其全体安全性不在于其最强处,而取决于体系最单薄之处,即安全缝隙所决议。只需这个缝隙被发现,体系就有或许成为网络进犯的牺牲品。
安全缝隙对操控网络的危险体现在歹意进犯行为对体系的要挟。跟着越来越多的操控网络体系经过信息网络连接到互联上,这种要挟就越来越大。现在互联网上已有几万个黑客站点,黑客技能不断创新,根本的进犯方法已达上千种。这些进犯技能一旦被不法之徒把握,将发生不良的结果。
