石油化工控制系统网络安全分析.docx

《石油化工控制系统网络安全分析.docx》由会员分享，可在线阅读，更多相关《石油化工控制系统网络安全分析.docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、石油化工控制系统网络安全分析（仪器仪表标准化与计量杂志）2014年第六期1经过控制系统网络的特点与风险点改革开放以来，我国石油化工企业的自动化和信息化水平，无论在装备上、技术水平上、功能与规模上都有了较大的发展。测量和控制装置不断更新升级，DCS、PLC和IPC已成为大中型石油和化工企业的主要控制手段3。而由DCS、PLC和FCS等控制系统构成的控制网络在石化行业中也得到了广泛的应用。1.1经过控制系统网络的特点经过控制系统的网络与传统的IT网络不同，具有下面特点。1较高的实时性和可靠性。经过控制系统网络主要需要保证所有传输数据的实时性以及网络的可靠性，在传输经过中不允许有中断出现，需要整个传

2、输经过始终在系统的可控范围内，不能出现失控的状态。2专有通信协议。早先每一个经过控制系统供给商都有本人单独研发的专有通信协议，但随着经过控制系统的网络面逐步扩大，而在相互的通信传输中需要进行转换，不同通讯协议导致的不便捷性逐步显露出来。近几年随着系统开放性呼声越来越高，在行业内部出现了一些开放的公用的专有通信协议，例如OPC，ModbusTCP，现场总线(FoundationHartProfibus)等。3相对的独立性。经过控制系统通常都是根据工艺设备的要求而进行独立设计，所以无论从前期网络设计到实际物理安装，整个控制系统网络都是相当独立的，不会与其他任何应用存在交联部分。在与外界交互的通道上

3、仅仅开放OPCServer一个接口，通过OPC工业通信协议与外部进行数据交换。4较长的产品更新周期。经过控制系统产品不以追求设备的先进性为目的，更多地是强调安全性与稳定性。所以结合实际工艺生产以及设备投资来进行综合考虑，经过控制系统通常具有较长的更新周期，这样就导致系统操作平台的安全漏洞得不到及时的维护。5与杀毒软件兼容性差。目前市场上的杀毒软件厂商基本都是针对常用的应用软件进行兼容性测试，针对市场上使用频率较高的软件进行病毒防治策略的研究。而在网络中基于Windows平台上安装的所有经过控制软件，几乎没有杀毒软件厂商对其进行过完好的兼容性测试。这种情况同样也适应于经过控制系统制造商，各家控制

4、系统制造商一般只认可少数几种防病毒软件，所以在工控领域的操作层级进行统一部署防护策略是一件很困难的事。1.2经过控制系统网络的风险点根据对经过控制系统构造的分析，通常易受病毒侵袭的主要风险点主要有“数据采集网络的连接，“先进经过控制站的连接，“操作站之间的三处连接。1与数据采集网络的通信安全隐患例如采用双网卡配置的OPC数据采集机，但无其他任何防护措施。固然OPC数据采集机采用双网卡配置，并已经将控制网与信息网进行隔离，信息网已经无法对控制网进行操纵攻击，但是双网卡构造的配置，对病毒的传播没有任何阻挡作用，所以来自上层信息网对控制网的病毒感染是目前的最大隐患。2先进控制经过站的病毒感染隐患例如

5、先进控制经过站通常能够由软件供给商进行自由操作，先进控制经过站本身并无任何防护措施，具有较高的病毒感染风险。首先先进控制经过站的安装、调试、运行一般需要较长的时间，而且需要项目工程师进行不断的调试、修改。期间先进控制经过站需要频繁与外界进行数据交换，这给先进控制经过站本身带来很大感染病毒的风险。一旦先进控制经过站遭到病毒感染，其对实时运行的控制系统安全会造成极大隐患。另外先进经过控制站是应用OPC通信协议进行数据通信的，所以采用常规IT策略例如常规的通用防火墙无法提供适宜的防护。3操作站相互感染的隐患目前大多数操作站都运行一个工作网络中，但在网络内部没有采取任何有效防护措施。而工业平台基本采用

6、PC+Windows架构，同时也广泛应用以太网进行连接，TCP，STMP，POP3，ICMP，Netbios等大量开放的通信协议被广泛应用。但活跃在这些通讯协议上的木马、蠕虫等计算机病毒也具有一定的规模。目前普通的防火墙无法实现工业通信协议的过滤，所以当网络中某个操作站或工程师站感染病毒时，可能会马上通过数据交换传播到该工作网络中的其他PC机上，这就容易造成网络上所有操作站同时发生故障，严重时可导致所有操作站同时失控，甚至造成不可估计的损失。2防护措施与建议通过考虑石油化工经过控制系统中的网络架构和安全设计，同时参考保护层理论，列出了硬件、网络通信预防手段、杀毒软件预防手段、网络管理规章制度、

7、良好的个人工作习惯等多个“保护层，下列图为石油化工经过控制系统网络的安全防护洋葱模型。图1石油化工经过控制系统网络的安全防护洋葱模型根据上图列出的各个风险点，能够参考下面措施进行有针对性的安全防护。2.1设置防火墙相关单位或部门应该针对经过控制系统设置防火墙。防火墙是一项信息安全的防护系统，按照特定的规则，允许或是限制传输的数据通过。在网络通信中采用防火墙，它能允许系统预设的人员和数据白名单进入你的网络，同时将系统未允许的人员和数据拒之门外，能够最大限度地阻止网络中的黑客访问公司内部网络，在内部网和外部网之间、专用网与公共网之间的界面上构造一道保护屏障，进而保护内部网免受非法用户的侵入。一般的

8、防火墙软件例如ComodoFirewall、ZoneAlarm、瑞星个人防火墙、卡巴斯基等均有完善的白名单以及黑名单设置，管理员能够根据相应的软件讲明书和本身状况进行具体设置。2.2安装专业杀毒软件在已联网的经过控制系统工业计算机上安装相应的杀毒软件，以降低电脑病毒、特洛伊木马和恶意软件等感染计算机的概率。杀毒软件通常集成监控识别、病毒扫描和去除和自动升级等功能，有的专业杀毒软件还带有数据恢复等功能，是计算机防御系统包含杀毒软件，防火墙，特洛伊木马和其他恶意软件的查杀程序，入侵预防系统等的重要组成部分。但是需要注意的是，有的时候杀毒软件会对工业计算机上的一些正常行为误报为病毒或木马。这时候就需要网络安全管理人员在安装杀毒软件的同时，将已确认的工业正常行为录入杀毒软件的信任列表，以避免误删重要程序或导致系统停机的情况发生。2.3建立完善的规章管理制度公司应建立完善的网络系统安全管理规章制度，安排专人网络安全管理人员负责公司内部网络系统的安全运行工作。同时设置一定的权限，以阻止管理员之外的人员进行随意操作与变更。2.4良好的个人工作习惯网络系统安全管理员应具有良好的工作习惯。包括对设备进行定期检维修；定期检查PC机的杀毒软件并更新病毒库数据；定期对网络系统进行病毒检查及清理；严格检查系统接入的外存储设备，确认无病毒后方能上机使用；严格控制磁盘的交换，保证系统的安全性与稳定性。