石化MES控制网络安全分析与实践

0 引言

    随着互联网日新月异的发展和企业集团信息化整合的加强，企业网络应用的范围在不断扩大，通过广域网实现集团内部资源共享、统一管理等，企业信息化网络不再是单纯意义上的Intranet，而更多的则是基于Internet的网络和应用。但网络开放的同时，带来的安全问题就更加严峻了，各种安全问题如病毒、攻击和入侵等已经引起了人们的高度重视。

1 石化MES发展概述

    当今石化企业普遍采用基于ERP／SCM，MES和PCS三层架构的管控一体化信息模型，MES处于企业信息系统ERP／SCM和过程控制系统的中间位置。MES在整个信息系统中主要担当了两个方面的重要作用：一是数据双向通道的作用。即通过MES的实施，可以有效弥补企业PCS层及ERP／SCM层之问的数据间隙，由下至上，通过对底层PCS层数据的搜集、存储及校正，建立过程控制数据层次上的数字化工厂，结合生产调度层次上的调度事件信息数据等，为上层ERP／SCM计划管理层提供准确统一的生产数据；由上至下，通过对实时生产数据的总结，上层ERP／SCM层可以根据未来订单及现阶段生产状况调整生产计划，下发MES层进行计划的分解及产生调度指令，有效指导企业生产活动。因此，MES在数据层面上，起到了沟通PCS层和ERP／SCM层的桥梁作用，并保证了生产数据、调度事件等信息的一致性及准确性。另一方面，生产活动的复杂性产生了很多实际的用户需求，为了满足这些用户需求，MES也可以视为一个功能模块的集合。

    国内炼化企业从1999年开始，逐步意识到MES的开发及实施工作对于工厂信息化建设的重要性，这个过程主要分为两个阶段：炼化企业主要依据实际生产应用需求，在工厂开发实施一些独立非系统化的MES模块(例如：数据整合与物料平衡系统等)；炼化企业开始注重MES的完整性，在PCS系统上架设统一的工厂实时／关系数据平台，向上连接ERP／SCM系统，形成完整的企业综合自动化系统三层结构，在生产活动方面的用户需求通过功能模块的架构及实施得到解决。以中石油的炼化企业为例，2004年中石油MES项目正式启动以来，目前三期工作于2008年在全行业展开。

2 MES控制网络安全

    2．1 两网融合

    基于管控一体化的主导思想，石化MES的核心功能是基于实时数据库的生产调度管理，并以实现对控制系统的数据采集作为必要前提条件。这意味着运行MES的信息网络必须要实现与控制网络之间的数据交换。此时，PCS层的控制网络也不再以一个独立的网络运行，而要与信息网络互通、互联。

    两网融合，为我们在建设MES时带来新的思考，既不能再将控制网络与MES割裂开来。特别是从网络安全的角度，控制网络已经成为MES的一部分，必须通盘考虑。

    2．2 控制网络开放性

    以石化主流控制系统DCS为例，过去的DCS厂商基本上是以自主开发为主，提供的系统也是自己的系统。当今的DCS厂商更强调开放系统集成性，纷纷把DCS的各个组成部分采用第三方集成方式或OEM方式，在新一代DCS的操作站中，几乎清一色采用PC+Windows的技术架构，使用户的投资及维护成本大幅降低。

    同时，DCS网络技术也呈现出开放的特征。过去，由于通信技术相对落后，网络技术开放性是困扰用户的一个重要问题。而当代网络技术、软件技术的发展为开放系统提供了可能。网络技术开放性体现在DCS可以从多个层面与第三方系统互联，同时支持多种网络协议。目前在与企业管理层信息平台互联时，大多采用基于TCP(UDP)／IP协议的以太网通信技术，使用OPC等开放接口标准。

    2．3 控制网络安全漏洞

    2．3．1 网络通信协议安全漏洞

    随着TCP(UDP)／IP协议被控制网络普遍采用，网络通信协议漏洞问题变得越来越突出。TCP／IP协议簇最初设计的应用环境是美国国防系统的内部网络，这一网络是互相信任的，因此它原本只考虑互通互联和资源共享的问题，并未考虑也无法兼容解决来自网络中和网际间的大量安全问题。

    a)缺乏对用户身份的鉴别。TCP／IP的机制性漏洞之一是缺乏对通信双方真实身份的鉴别机制。由于TCP／IP使用IP地址作为网络节点的唯一标识，而IP地址的使用和管理又存在很多问题，因而一方面很容易导致IP地址的暴露，另一方面IP地址很容易被伪造和更改。

    b)缺乏对路由协议的鉴别认证。TCP／IP在IP层上缺乏对路由协议的安全认证机制，对路由信息缺乏鉴别与保护，因此可以通过互联网，利用路由信息修改网络传输路径，误导网络分组传输。

    c)TCP／UDP自身缺陷。TCP／IP协议簇规定了TCP／UDP是基于IP协议上的传输协议，TCP分段和UDP数据包是封装成IP包在网上传输的，除了可能面I临IP层所遇到的安全威胁外，还存在TCP／UDP实现中的安全隐患。

    2．3．2 操作系统安全漏洞

    PC+Windows的技术架构现已成为控制系统上位机／操作站的主流。而在控制网络中，上位机／操作站是实现与MES通信的主要网络结点，因此其操作系统的漏洞就成为了整个控制网络信息安全中的一个薄弱环节。

    2．3．3 应用软件安全漏洞

    处于应用层的应用软件产生的漏洞是最直接、最致命的。一方面这是因为应用软件形式多样，很难形成统一的防护规范以应对安全问题；另一方面最严重的是，当应用软件面向网络应用时，就必须开放其应用端口。

    目前黑客攻击应用软件漏洞常用的方法是“缓冲区溢出”，它通过向控制终端发送恶意数据包来获取控制权。一旦获取控制权，攻击者就可以如在本地一样去操控远程操作站上的监控软件，修改控制参数。

    2．4 控制网络安全隐患

    控制网络的安全漏洞暴露了整个控制系统安全的脆弱性。由于网络通信协议、操作系统、应用软件、安全策略甚至硬件上存在的安全缺陷，从而使得攻击者能够在未授权的情况下访问和操控控制网络系统，形成了巨大的安全隐患。控制网络系统的安全性同样符合“木桶原则”，其整体安全性不在于其最强处，而取决于系统最薄弱之处，即安全漏洞所决定。只要这个漏洞被发现，系统就有可能成为网络攻击的牺牲品。主要安全隐患有以下几种。

    2．4．1 入侵

    系统被入侵是系统常见的一种安全隐患。黑客侵入计算机和网络可以非法使用计算机和网络资源，甚至是完全掌控计算机和网络。

    控制网络的计算机终端和网络往往可以控制诸如大型化工装置、公用工程设备，甚至核电站安全系统等大型工程化设备。黑客一旦控制该系统，对系统造成一些参数的修改，就可能导致生产运行的瘫痪。随着近些年来越来越多的控制网络接入到互联网当中，这种可能性就越来越大。

    2．4．2 拒绝服务攻击

    受到拒绝服务攻击是一种危害很大的安全隐患。常见的流量型攻击如Ping Flooding，UDPFlooding等，以及常见的连接型攻击如SYNFlooding，ACK Flooding等，通过消耗系统的资源，如网络带宽、连接数、CPU处理能力等使得正常的服务功能无法进行。拒绝服务攻击难以防范的原因是它的攻击对象非常普遍，从服务器到各种网络设备如路由器、交换机、防火墙等都可以被拒绝服务攻击。控制网络一旦遭受严重的拒绝服务攻击就会导致操作站的服务瘫痪，与控制系统的通信完全中断等。

    2．4．3 病毒与恶意代码

    病毒的泛滥是大家有目共睹的。全球范围内，每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒，并且还在以每天数十余种的速度增长。除了传统意义上的具有自我复制能力但必须寄生在其他实用程序中的病毒外，各种新型的恶意代码也层出不穷，如陷阱门、逻辑炸弹、特洛伊木马、蠕虫、Zombie等。新型的恶意代码具有更强的传播能力和破坏性。例如蠕虫，却可以自我独立完成以下过程：

    a)查找远程系统：能够通过检索已被攻陷的系统的网络邻居列表或其他远程系统地址列表找出下一个攻击对象。

    b)建立连接：能够通过端口扫描等操作过程自动和被攻击对象建立连接，如Telnet连接等。

    C)实施攻击：能够自动将自身通过已经建立的连接复制到被攻击的远程系统，并运行它。一旦计算机和网络染上了恶意代码，安全问题就不可避免。

    2．5 常规网络安全技术

    石化企业随着信息系统的不断发展，大量IT技术被引入，同时也包括各种IT网络安全技术。目前以MES为代表的信息系统在实现控制网络接入信息网络时，也基本都考虑了对控制网络的安全防护。但目前对控制网络的防护，大部分采用的是常规网络安全技术，主要包括防火墙，IDS，VPN，防病毒等。这些技术主要面向商用网络应用。

    在企业的信息化系统中，由办公网络、管理网络组成的信息网络与商用网络的运维特点比较相似，因此采用常规网络安全技术是适合的。而控制网络特点则有很大不同。

    控制网络是控制系统如DCS各部件协同工作的通信网络。控制系统负责对生产装置的连续不问断地生产控制，因此控制网络同样具有连续不可间断的高可靠性要求。另一方面，控制网络也是操作人员对控制系统实时下发控制指令的重要途径，所以控制网络又具有不可延迟的高实时性要求。通过比较商用网络与控制网络的差异可以发现，常规的IT网络安全技术都不是专门针对控制网络需求设计的，用在控制网络上就会存在很多局限性。

    比如防火墙产品，目前基本是以包过滤技术为基础的，它最大的局限性在于不能保证准许放行的数据的安全性。防火墙通过拒绝放行并丢弃数据包来实现自己的安全机制。但防火墙无法保证准许放行数据的安全性。从实际应用来看，防火墙较为明显的局限性包括以下几方面：

    a)防火墙不能阻止感染病毒的程序和文件的传输。

    b)防火墙不能防范全新的威胁，更不能防止可接触的人为或自然的破坏。

    C)防火墙不能防止由自身安全漏洞引起的威胁。

    d)防火墙对用户不完全透明，非专业用户难以管理和配置，易造成安全漏洞。

    e)防火墙很难为用户在防火墙内外提供一致的安全策略，不能防止利用标准网络协议中的缺陷进行的攻击，也不能防止利用服务器系统漏洞所进行的攻击。

    f)由于防火墙设置在内网与外网通信的信道上，并执行规定的安全策略，所以防火墙在提供安全防护的同时，也变成了网络通信的瓶颈，使网络传输延时，如果防火墙出现问题，那么内部网络就会受到严重威胁。

    g)防火墙仅提供粗粒度的访问控制能力，它不能防止数据驱动式的攻击。另一方面，防火墙由于其自身机理的原因，还存在很多先天不足，主要包括：

    a)由于防火墙本身是基于TCP／IP协议体系实现的，所以它无法解决TCP／IP协议体系中存在的漏洞。

    b)防火墙只是一个策略执行机构，它并不区分所执行政策的对错，更无法判别出一条合法政策是否真是管理员的本意。

    c)防火墙无法从流量上判别哪些是正常的，哪些是异常的，因此容易受到流量攻击。

    d)防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高，需要对数据包检查的项目(即防火墙的功能)就越多越细，对CPU和内存的消耗也就越大，从而导致防火墙的性能下降，处理速度减慢。

    e)防火墙准许某项服务，却不能保证该服务的安全性，它需要由应用安全来解决。防火墙正是由于这些缺陷与不足，导致目前被攻破的几率已经接近50％。

3 网络隔离技术及产品

    3．1 网络隔离技术

    在防火墙的发展过程中，人们最终意识到防火墙在安全方面的局限性。高性能、高安全性、易用性方面的矛盾没有很好地解决。防火墙体系架构在高安全性方面的缺陷，驱使人们追求更高安全性的解决方案，人们期望更安全的技术手段，网络隔离技术应运而生。

    网络隔离技术是安全市场上的一个分支。在经过漫长的市场概念澄清和技术演变进步之后，市场最终接受了网络隔离具有最高的安全性。网络隔离技术经过长时间的发展，目前已经到了第五代技术。第一代采用完全的隔离技术，实际上是将网络物理上的分开，形成信息孤岛；第二代采用硬件卡隔离技术；第三代采用数据转发隔离技术；第四代采用空气开关隔离技术；第五代采用安全通道隔离技术。

    基于安全通道的最新隔离技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换。透明支持多种网络应用，成为当前隔离技术的发展方向。网络隔离的指导思想与防火墙也有很大的不同，体现在防火墙的思路是在保障互联互通的前提下，尽可能安全；而网络隔离的思路是在必须保证安全的前提下，尽可能支持数据交换，如果不安全则断开。

    网络隔离技术主要目标是解决目前信息安全中的各种漏洞：操作系统漏洞、TCP／IP漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等，网络隔离是目前唯一能解决上述问题的安全技术。

    3．2 网络隔离产品

    基于网络隔离技术的网络隔离产品是互联网时代的产物。目前，已经在工业领域用于控制网络安全防护的网络隔离产品主要有网闸、工业网络安全防护网关等产品。这些产品大部分都是基于最新的第五代隔离技术开发出来的，其主要的技术原理是从OSI模型的七层上全面断开网络连接，同时采用“2+1”的三模块架构，如图1所示，即内置有两个主机系统，和一个用于建立安全通道可交换数据的隔离单元。这种架构可以实现连接到外网和内网的两主机之间是完全网络断开的，从物理上进行了网络隔离，消除了数据链路的通信协议，剥离了TCP／IP协议和应用协议，在安全交换后进行了协议的恢复和重建。通过TCP／IP协议剥离和重建技术消除了TCP／IP协议的漏洞。在应用层对应用协议进行剥离和重建，消除了应用协议漏洞，并可针对应用协议实现一些细粒度的访问控制。从TCP／IP的OSI数据模型的所有七层断开后，就可以消除目前TCP／IP存在的所有攻击。

图1“2+1”的三模块架构示意

    a)网闸。网闸类产品诞生较早。产品最初是用来解决涉密网络与非涉密网络之间的安全数据交换问题。后来，网闸由于其高安全性，开始被广泛应用于政府、军队、电力、铁道、金融、银行、证券、保险、税务、海关、民航、社保等多个行业部门。

    在工业领域，网闸也开始得到应用和推广。但除了用于办公系统外，当用于隔离控制网络时，由于网闸一般都不支持工业通信标准如OPC，Modbus，用户只能使用其TCP／UDP定制功能。这种方式需要在连接网闸的上、下游增加接口计算机或代理服务器，并定制通信协议转换接口软件才能实现通信。

    b)工业网络安全防护网关。该网关是近几年新兴的一种专门应用于工业领域的网络隔离产品，它同样采用“2+1”的三模块架构，内置双主机系统，隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。与网闸不同的是，工业网络安全防护网关提供的应用专门针对控制网络的安全防护，因此它只提供控制网络常用通信功能如OPC，Modbus等，而不提供通用互联网功能。因此工业网络安全防护网关更适合于控制网络的隔离，但不适合办公系统。

    工业网络安全防护网关是网络隔离技术应用于工业网络安全防护的一种专业化安全产品。

4 实践

    4．1 MES简况

    中国石油乌鲁木齐石化分公司MES项目从2006年启动，至2008年实施完成并成功上线投运以来，系统运行平稳，用户可熟练使用系统进行生产运行操作管理。该系统的建成，进一步提高了信息技术对下游业务的支持能力和水平，同时达到了为企业优化资源配置、提高整体效益和综合实力发挥积极作用的目的。

    4．2 控制网络安全性改造

    采用分布式网络，通过核心交换机，连接二级单位局域网，千兆网络连接到各厂，百兆网络连接到汇聚层。网络基础状况良好，现有的信息网络已经涵盖企业办公楼区域和各个厂区及生产车间。全厂DCS主要装置都已具备数据采集接口，采用OPC标准。每个车间有交换机，网络布置到了各个办公室，和DCS数据连通。

    MES的实施，使得DCS／PLC控制网络和厂内的办公网络直接相连，这给网络安全带来了新的要求，即如何保证两者之间稳定、可靠传输数据的同时，又能最大程度地限制办公系统网络对DCS／PLC控制网络造成的不良影响。原MES在实时，也考虑了对控制网络的防护。对每一套DCS／PLC采集时，都部署了缓冲工作站；所有的工作站，都限定在一个单独的VLAN中，指向一台特定的防火墙设备；在防火墙上，制定相应的访问策略，实现网络访问的安全性。

    在原有系统中，对控制网络的安全防护主要采用了以防火墙为核心的方案。考虑到防火墙技术的局限性，该MES在2009年实施了对控制网络安全性的改造，并在改造项目中首次引入了网络隔离技术。

    由于该项目为改造性项目，考虑到对原有系统的兼容性，并以不影响现有生产为原则，在产品选型及方案设计时特别提出几点要求：

    a)所选产品须基于第五代先进网络隔离技术开发，并经国家指定部门检测认定、认证，符合国家标准(GB／T 20279—2006，GB／T 20277—2006)。

    b)所选产品须支持现有OPC采集接口标准。

    C)所选产品及方案须支持“无扰接入”方式。即在现有网络中加入网络隔离装置时，对现有已接入MES的DCS／PLC操作站的软、硬件无需做任何升级或改动，对操作站的参数配置无需做任何改动。

    d)所选产品须能提供数据的“细粒度”访问控制功能。例如对于OPC方式，网络隔离装置须能够控制OPC服务器中具体哪些Item项允许或禁止暴露给MES，同时对每个Item项须支持只读式的单向访问功能以保证数据安全。

    e)所选产品及方案须保证在加入网络隔离装置后数据交换实时性与原系统相当，不产生延时。

    f)所选产品须保证自身安全与高可靠性。根据以上设计要求，该项目最终选用了标准的工业网络安全防护网关型产品pSafetyI ink。该产品在满足上述要求的同时，又提供了符合自控工程师使用习惯的操作方式，不需要实施人员了解太多网络技术的相关内容，就很容易完成对产品的调试和部署，提高了项目实施效率。

5 结束语

    石化工业是国家的基础性能源支柱产业，信息安全在任何时期、任何国家和地区都备受关注。能源系统的信息安全问题直接威胁到其他行业系统的安全、稳定、经济、优质的运行，影响着系统信息化的实现进程。维护网络安全，确保生产系统的稳定可靠、防止来自内部或外部攻击，采取高安全性的防护措施都是石化信息系统安全不可忽视的组成部分。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：石化MES控制网络安全分析与实践

本文网址：http://www.toberp.com/html/consultation/1083952337.html