本站小編為你精心準(zhǔn)備了石油化工控制系統(tǒng)網(wǎng)絡(luò)安全分析參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

《儀器儀表標(biāo)準(zhǔn)化與計(jì)量雜志》2014年第六期

1過程控制系統(tǒng)網(wǎng)絡(luò)的特點(diǎn)與風(fēng)險(xiǎn)點(diǎn)

改革開放以來，我國石油化工企業(yè)的自動化和信息化水平，無論在裝備上、技術(shù)水平上、功能與規(guī)模上都有了較大的發(fā)展。測量和控制裝置不斷更新升級，DCS、PLC和IPC已成為大中型石油和化工企業(yè)的主要控制手段[3]。而由DCS、PLC和FCS等控制系統(tǒng)構(gòu)成的控制網(wǎng)絡(luò)在石化行業(yè)中也得到了廣泛的應(yīng)用。

1.1過程控制系統(tǒng)網(wǎng)絡(luò)的特點(diǎn)過程控制系統(tǒng)的網(wǎng)絡(luò)與傳統(tǒng)的IT網(wǎng)絡(luò)不同，具有以下特點(diǎn)。1）較高的實(shí)時(shí)性和可靠性。過程控制系統(tǒng)網(wǎng)絡(luò)主要需要保證所有傳輸數(shù)據(jù)的實(shí)時(shí)性以及網(wǎng)絡(luò)的可靠性，在傳輸過程中不允許有中斷出現(xiàn)，需要整個(gè)傳輸過程始終在系統(tǒng)的可控范圍內(nèi)，不能出現(xiàn)失控的狀態(tài)。2）專有通信協(xié)議。早先每一個(gè)過程控制系統(tǒng)供應(yīng)商都有自己獨(dú)自研發(fā)的專有通信協(xié)議，但隨著過程控制系統(tǒng)的網(wǎng)絡(luò)面逐漸擴(kuò)大，而在彼此的通信傳輸中需要進(jìn)行轉(zhuǎn)換，不同通訊協(xié)議導(dǎo)致的不便捷性逐漸顯露出來。近幾年隨著系統(tǒng)開放性呼聲越來越高，在行業(yè)內(nèi)部出現(xiàn)了一些開放的公用的專有通信協(xié)議，例如OPC，ModbusTCP，現(xiàn)場總線(Foundation／Hart／Profibus)等。3）相對的獨(dú)立性。過程控制系統(tǒng)通常都是根據(jù)工藝設(shè)備的要求而進(jìn)行獨(dú)立設(shè)計(jì)，所以無論從前期網(wǎng)絡(luò)設(shè)計(jì)到實(shí)際物理安裝，整個(gè)控制系統(tǒng)網(wǎng)絡(luò)都是相當(dāng)獨(dú)立的，不會與其他任何應(yīng)用存在交聯(lián)部分。在與外界交互的通道上僅僅開放OPCServer一個(gè)接口，通過OPC工業(yè)通信協(xié)議與外部進(jìn)行數(shù)據(jù)交換。4）較長的產(chǎn)品更新周期。過程控制系統(tǒng)產(chǎn)品不以追求設(shè)備的先進(jìn)性為目標(biāo)，更多地是強(qiáng)調(diào)安全性與穩(wěn)定性。所以結(jié)合實(shí)際工藝生產(chǎn)以及設(shè)備投資來進(jìn)行綜合考慮，過程控制系統(tǒng)通常具有較長的更新周期，這樣就導(dǎo)致系統(tǒng)操作平臺的安全漏洞得不到及時(shí)的維護(hù)。5）與殺毒軟件兼容性差。目前市場上的殺毒軟件廠商基本都是針對常用的應(yīng)用軟件進(jìn)行兼容性測試，針對市場上使用頻率較高的軟件進(jìn)行病毒防治策略的研究。而在網(wǎng)絡(luò)中基于Windows平臺上安裝的所有過程控制軟件，幾乎沒有殺毒軟件廠商對其進(jìn)行過完整的兼容性測試。這種情況同樣也適應(yīng)于過程控制系統(tǒng)制造商，各家控制系統(tǒng)制造商一般只認(rèn)可少數(shù)幾種防病毒軟件，所以在工控領(lǐng)域的操作層級進(jìn)行統(tǒng)一部署防護(hù)策略是一件很困難的事。

1.2過程控制系統(tǒng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)點(diǎn)根據(jù)對過程控制系統(tǒng)結(jié)構(gòu)的分析，通常易受病毒侵襲的主要風(fēng)險(xiǎn)點(diǎn)主要有“數(shù)據(jù)采集網(wǎng)絡(luò)的連接”，“先進(jìn)過程控制站的連接”，“操作站”之間的三處連接。1）與數(shù)據(jù)采集網(wǎng)絡(luò)的通信安全隱患例如采用雙網(wǎng)卡配置的OPC數(shù)據(jù)采集機(jī)，但無其他任何防護(hù)措施。雖然OPC數(shù)據(jù)采集機(jī)采用雙網(wǎng)卡配置，并已經(jīng)將控制網(wǎng)與信息網(wǎng)進(jìn)行隔離，信息網(wǎng)已經(jīng)無法對控制網(wǎng)進(jìn)行操縱攻擊，但是雙網(wǎng)卡結(jié)構(gòu)的配置，對病毒的傳播沒有任何阻擋作用，所以來自上層信息網(wǎng)對控制網(wǎng)的病毒感染是目前的最大隱患。2）先進(jìn)控制過程站的病毒感染隱患例如先進(jìn)控制過程站通常可以由軟件供應(yīng)商進(jìn)行自由操作，先進(jìn)控制過程站本身并無任何防護(hù)措施，具有較高的病毒感染風(fēng)險(xiǎn)。首先先進(jìn)控制過程站的安裝、調(diào)試、運(yùn)行一般需要較長的時(shí)間，而且需要項(xiàng)目工程師進(jìn)行不斷的調(diào)試、修改。期間先進(jìn)控制過程站需要頻繁與外界進(jìn)行數(shù)據(jù)交換，這給先進(jìn)控制過程站本身帶來很大感染病毒的風(fēng)險(xiǎn)。一旦先進(jìn)控制過程站受到病毒感染，其對實(shí)時(shí)運(yùn)行的控制系統(tǒng)安全會造成極大隱患。另外先進(jìn)過程控制站是應(yīng)用OPC通信協(xié)議進(jìn)行數(shù)據(jù)通信的，所以采用常規(guī)IT策略（例如常規(guī)的通用防火墻）無法提供適宜的防護(hù)。3）操作站互相感染的隱患目前大多數(shù)操作站都運(yùn)行一個(gè)工作網(wǎng)絡(luò)中，但在網(wǎng)絡(luò)內(nèi)部沒有采取任何有效防護(hù)措施。而工業(yè)平臺基本采用PC+Windows架構(gòu)，同時(shí)也廣泛應(yīng)用以太網(wǎng)進(jìn)行連接，TCP，STMP，POP3，ICMP，Netbios等大量開放的通信協(xié)議被廣泛應(yīng)用。但活躍在這些通訊協(xié)議上的木馬、蠕蟲等計(jì)算機(jī)病毒也具有一定的規(guī)模。目前普通的防火墻無法實(shí)現(xiàn)工業(yè)通信協(xié)議的過濾，所以當(dāng)網(wǎng)絡(luò)中某個(gè)操作站或工程師站感染病毒時(shí)，可能會馬上通過數(shù)據(jù)交換傳播到該工作網(wǎng)絡(luò)中的其他PC機(jī)上，這就容易造成網(wǎng)絡(luò)上所有操作站同時(shí)發(fā)生故障，嚴(yán)重時(shí)可導(dǎo)致所有操作站同時(shí)失控，甚至造成不可估計(jì)的損失。

2防護(hù)措施與建議

通過考慮石油化工過程控制系統(tǒng)中的網(wǎng)絡(luò)架構(gòu)和安全設(shè)計(jì)，同時(shí)參考保護(hù)層理論，列出了硬件、網(wǎng)絡(luò)通信預(yù)防手段、殺毒軟件預(yù)防手段、網(wǎng)絡(luò)管理規(guī)章制度、良好的個(gè)人工作習(xí)慣等多個(gè)“保護(hù)層”，下圖為石油化工過程控制系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)洋蔥模型。圖1石油化工過程控制系統(tǒng)網(wǎng)絡(luò)的安全防護(hù)洋蔥模型根據(jù)上圖列出的各個(gè)風(fēng)險(xiǎn)點(diǎn)，可以參考以下措施進(jìn)行有針對性的安全防護(hù)。

2.1設(shè)置防火墻相關(guān)單位或部門應(yīng)該針對過程控制系統(tǒng)設(shè)置防火墻。防火墻是一項(xiàng)信息安全的防護(hù)系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。在網(wǎng)絡(luò)通信中采用防火墻，它能允許系統(tǒng)預(yù)設(shè)的人員和數(shù)據(jù)（白名單）進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將系統(tǒng)未允許的人員和數(shù)據(jù)拒之門外，可以最大限度地阻止網(wǎng)絡(luò)中的黑客訪問公司內(nèi)部網(wǎng)絡(luò)，在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造一道保護(hù)屏障，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。一般的防火墻軟件例如ComodoFirewall、ZoneAlarm、瑞星個(gè)人防火墻、卡巴斯基等均有完善的白名單以及黑名單設(shè)置，管理員可以根據(jù)相應(yīng)的軟件說明書和自身狀況進(jìn)行詳細(xì)設(shè)置。

2.2安裝專業(yè)殺毒軟件在已聯(lián)網(wǎng)的過程控制系統(tǒng)工業(yè)計(jì)算機(jī)上安裝相應(yīng)的殺毒軟件，以降低電腦病毒、特洛伊木馬和惡意軟件等感染計(jì)算機(jī)的概率。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除和自動升級等功能，有的專業(yè)殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能，是計(jì)算機(jī)防御系統(tǒng)（包含殺毒軟件，防火墻，特洛伊木馬和其他惡意軟件的查殺程序，入侵預(yù)防系統(tǒng)等）的重要組成部分。但是需要注意的是，有的時(shí)候殺毒軟件會對工業(yè)計(jì)算機(jī)上的一些正常行為誤報(bào)為病毒或木馬。這時(shí)候就需要網(wǎng)絡(luò)安全管理人員在安裝殺毒軟件的同時(shí)，將已確認(rèn)的工業(yè)正常行為錄入殺毒軟件的信任列表，以避免誤刪重要程序或?qū)е孪到y(tǒng)停機(jī)的情況發(fā)生。

2.3建立完善的規(guī)章管理制度公司應(yīng)建立完善的網(wǎng)絡(luò)系統(tǒng)安全管理規(guī)章制度，安排專人（網(wǎng)絡(luò)安全管理人員）負(fù)責(zé)公司內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行工作。同時(shí)設(shè)置一定的權(quán)限，以阻止管理員之外的人員進(jìn)行隨意操作與變更。

2.4良好的個(gè)人工作習(xí)慣網(wǎng)絡(luò)系統(tǒng)安全管理員應(yīng)具有良好的工作習(xí)慣。包括對設(shè)備進(jìn)行定期檢維修；定期檢查PC機(jī)的殺毒軟件并更新病毒庫數(shù)據(jù)；定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行病毒檢查及清理；嚴(yán)格檢查系統(tǒng)接入的外存儲設(shè)備，確認(rèn)無病毒后方能上機(jī)使用；嚴(yán)格控制磁盤的交換，保證系統(tǒng)的安全性與穩(wěn)定性。

作者：莊騰宇單位：中國石油化工股份有限公司青島安全工程研究院