前言
石油、天燃气是一种重要的燃料和化工原料,已经被广泛的应用于我国国民经济的各个方面,被誉为“工业的血液”。同时,石油作为一种具有政治特性的特殊资源,一种现代战争不可或缺的重要战略物资,成为国际竞争争夺甚至引发战争的诱因。因此,保障石油石化行业的健康稳定发展对我国的政治、经济的发展以及社会稳定均具有重要意义。
中石化西北油田分公司雅克拉采气厂地处塔里木盆地北缘,这里曾是沙参二井取得重大油气突破的地方。昔日黄沙漫漫、人迹罕至的雅克拉采气厂,如今管理着雅克拉、大涝坝、轮台、巴楚 4 个油气田的 30 多口油气井,拥有两座现代化的天然气集气处理站。该厂天然气年产量达到 9.6 亿立方米,原油当前日产1015 吨,已成长为中国石化西部天然气开发的排头兵。在实现“数字油田”、“数 字石化”、“数字石油”信息化方面也不甘人后,但随着信息化与企业各个业务环节的深入融合企业面临的**隐患也日益凸显。如何确保信息系统及内容在存取、处理和传输过程中保持机密性、完整性和可用性是当下急需解决的问题。
企业系统现状分析
1. 基本网络结构
下图可见,企业网络结构在地理位置上有三部分构成,分别为:雅克拉基地、 采气一厂(大涝坝)采气二厂(雅克拉),网络拓扑由 Industrial network(工业 网控制网络)和 Enterprise Network(企业管理网络)组成,其中,企业管理网络三地通过核心路由互联,一厂 HoneyWell DCS 系统组成的工业网络及二厂 FoxBoro DCS 系统组成的工业控制网络各自物理隔离,各自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、 过程控制与监控的业务流程管控系统。
图 1 网络结构示意图
2. 需求分析
雅克拉采气厂是典型的资金和技术密集型企业,对信息系统依赖程度很高, 生产的连续性很强,装置和设备的意外停产都会导致巨大的经济和财产损失,生产过程控制采用先进的 DCS 控制系统,生产管理上也更注重**和平稳运行。 通过加强生产管理,实现管理与生产过程控制的融合,通过优化调度、先进控制和优化控制等手段,在保证生产平稳的基础上获取更大的经济效益,因此,企业信息化的重点是管控一体化。
要实现管理与控制的一体化,原始的企业工业控制网络和企业管理网络的物理隔离手段已无法满足当前“两化融合”的需求,为了提高企业信息化合综合自动化水平,实现生产和管理的高效率、高效益,管理信息网络与生产控制网络之间必须实现数据交换,一厂和二厂的生产控制信息及监测数据(共计 2000 余点)必须实时地传输到基地中控室为管理者提供准确统一的生产数据;由上至下,通过对实时生产数据的展现总结,基地领导可以根据现阶段生产状况调整生产计 划,下发产生调度指令,有效指导企业生产活动。
本次方案主要是针对雅克拉、大涝坝两采气场的现场数据通过力控华康工业隔离网关 pSafetyLink PSL-A1081 传输到雅克拉基地通过力控科技的 ForceCortol 6.1 Server 进行组态的解决办法。
3. **风险分析
随着信息技术的迅猛发展,信息化在企业中的应用取得了飞速发展,互联网技术的出现,使得工业控制网络中大量采用通用 TCP/IP 技术,ICS 网络和企业管理网的联系越来越紧密。另一方面,传统工业控制系统采用专用的硬件、软件和通信协议,设计基本没有考虑互联互通所必须考虑的通信**问题。企业管理网与工业控制网的防护功能都很弱或者甚至几乎没有隔离功能,因此在工控系统开放的同时,也减弱了控制系统与外界的隔离,在当前“两化整合”的应用需求下,工业控制网络同企业管理网络通必须进行数据交换,工控系统的**隐患问题就愈发突显也备受考验。系统中任何一点受到攻击都有可能导致整个系统的瘫痪,造成重在人员财产损失。典型工业控制系统入侵事件:
● 2007年,攻击者入侵加拿大的一个水利 SCADA 控制系统,通过安装恶意软件破坏了用于取水调度的控制计算机;
● 2008年,攻击者入侵波兰某城市的地铁系统,通过电视遥控器改变轨道扳道器,导致 4 节车厢脱轨;
● 2010年,“网络超级武器”Stuxnet 病毒通过针对性的入侵 ICS 系统,严重威胁到伊朗布什尔核电站核反应堆的**运营;
● 2011年,黑客通过入侵数据采集与监控系统 SCADA,使得美国伊利诺伊州城市供水系统的供水泵遭到破坏。
由上可见,在工业控制网络与企业管理网络之间如不进行**有效的隔离,势必对企事业的生命财产造成致命威胁,主要有以下方面:
通信协议漏洞
“两化融合”和物联网的发展使得 TCP/IP 协议和 OPC 协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。雅克拉采气厂数据的采集传输均采用 OPC 协议,OPC Classic 协议(OPC DA, OPC HAD 和 OPC A&E) 基于微软的 DCOM 协议,DCOM 协议是在网络**问题被广泛认识之前设计的,极易受到攻击,并且 OPC 通讯采用不固定的端口号,导致目前几乎无法使用传统的 IT 防火墙来确保其**性。因此必须使用有效专用的工业隔离网关 pSafetyLink 确保使用 OPC 通讯协议的工业控制系统的**性和可靠性。
操作系统漏洞
雅克拉采气厂目前工业控制系统的工程师站 / 操作站 /HMI /Server 都是 Windows 平台的,由于工业控制网络与互联网及企业网络的隔离,同时为保证过程控制系统的相对独立性,以及考虑到系统的稳定运行,现场工程师未对 Windows 平台安装任何补丁,但是存在的问题是,不安装补丁系统就存在被攻击的可能,从而埋下**隐患。
**策略和管理流程漏洞
追求可用性而牺牲**,是很多工业控制系统存在的普遍现象,缺乏完整有效的**策略与管理流程也给工业控制系统信息**带来了一定的威胁。现场实 际操作在工业控制系统中移动存储介质包括笔记本电脑、U 盘等设备的使用和不严格的访问控制策略。
应用软件漏洞
由于应用软件多种多样,很难形成统一的防护规范以应对**问题;另外当应用软件面向网络应用时,就必须开放其应用端口。因此常规的 IT 防火墙等**设备很难保障其**性。互联网攻击者很有可能会利用一些大型工程自动化软件的**漏洞获取诸如污水处理厂、天然气管道以及其他大型设备的控制权,一旦这些控制权被**意图黑客所掌握,那么后果不堪设想。
以 Stuxnet 蠕虫为例,其充分利用了伊朗布什尔核电站工控网络中工业 PC 与控制系统存在的**漏洞(LIK 文件处理漏洞、打印机漏洞、RPC 漏洞、WinCC 漏洞、S7 项目文件漏洞以及 Autorun.inf 漏洞),为攻击者入侵提供了七条隐蔽 的通道。
图 2
控制网络**隐患分析
控制网络的**漏洞暴露了整个控制系统**的脆弱性。由于网络通信协议、操作系统、应用软件、**策略甚至硬件上存在的**缺陷,从而使得攻击者能够在未授权的情况下��问和操控控制网络系统,形成了巨大的**隐患。控制网络系统的**性同样符合“木桶原则”,其整体**性不在于其强处,而取决于系统薄弱之处,即**漏洞所决定。只要这个漏洞被发现,系统就有可能成为网络攻击的牺牲品。
**漏洞对控制网络的隐患体现在恶意攻击行为对系统的威胁。随着越来越 多的控制网络系统通过信息网络连接到互联上,这种威胁就越来越大。目前互联网上已有几万个黑客站点,黑客技术不断**,基本的攻击手法已达上千种。这 些攻击技术一旦被不法之徒掌握,将产生**的后果。
项目目标
通过对网络结构、网络**风险分析,针对不同区域间数据通信**和整体 信息化建设要求,实施工业控制网络**建设,针对 DCS 网络管理的关键区域实施可靠的边界**设备及策略,实现分层级的纵深**防御策略,抵御各种已知的攻击威胁。
本项目的**目标是:
● 保护工业控制网络系统的可用性 ;
● 防范网络资源对工业控制网络的非法访问;
● 防范入侵者对工业控制网络的恶意攻击与破坏 ;
● 保护工业控制网络和企业管理网络之间数据传输的**;
网络**方案设计原则
在进行网络系统**方案设计、规划时,应遵循以下原则:
需求、风险、代价平衡分析的原则
对雅克拉采掘厂的网络进行了实际的研究(包括任务、性能、结构、可靠性、 可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的**策略。
综合性、整体性原则
应运用系统工程的观点、方法,分析网络的**及具体措施。**措施主要 包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以 及专业技术措施(访问控制、加密技术、认证技术、攻击检测技术、容错、防病 毒等)。一个较好的**措施往往是多种方法适当综合的应用结果。
计算机网络的各个环节,包括个人(使用、维护、管理)、设备(含设施)、软 件(含应用系统)、数据等,在网络**中的地位和影响作用,也只有从系统整体的角度去看待、分析,才可能得到有效、可行的措施。不同的**措施其代价、 效果对不同网络并不完全相同。计算机网络**应遵循整体**性原则,根据确定的**策略制定出合理的网络体系结构及网络**体系结构。
一致性原则
一致性原则主要是指网络**问题应与整个网络的工作周期(或生命周期) 同时存在,制定的**体系结构必须与网络的**需求相一致。**的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有** 的内容及措施。
易操作性原则
**措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了**性;其次,措施的采用不能影响系统的正常运行。
适应性及灵活性原则
**措施必须能随着网络性能及**需求的变化而变化,要容易适应、容易修改和升级。
多重保护原则
任何**措施都不是**的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的**。
解决方案
从雅克拉厂总体结构上看,系统网络可分为二层次:企业管理层和控制层。 企业管理层主要从控制层提取有关生产数据用于制定综合管理决策,从控制层获取数据,完成各种控制、运行参数的监测、报警和趋势分析等功能。控制层负责 通过组态设汁,完成数据采集、A/D 转换、数字滤波、温度压力补偿、PID 控制等各种功能。系统的每一个**漏洞都会导致不同的严重后果,所以将它们单独隔离防护十分必要。
参照 ANSI/ISA-99 标准,同时结合雅克拉厂的具体情况将企业系统结构划分成不同的区域可以帮助企业有效地建立“纵深防御”策略,如下图:
图 3
在工业控制网络同企业管理网络之间采用力控华康工业隔离网关 pSafetyLin PSL-A1081 主要起到在工业控制网络同企业管理网络之间隔离作用,隔离网关采用物理隔离和**通道隔离,将以太网进行物理级**隔离,**通道隔离即通过专用通信硬件和私有不可路由协议等**机制来实现内外部网络的隔离和数据交换,有效地把内外部网络隔离开来,而且高效地实现了内外网数据的**交换。
系统提供多种工业通信协议驱动接口可供选择,同时可提供对国内外主流平台软件如:WINCC、ForceControl、Intouch、iFix、PI、eDNA、iHistorian、PHD 等产品的底层快速通信接口。
可行性评估
企业管理网络和网络控制网络之间的**防护
本案中无论是采气一厂还是二厂都使用 OPC 通讯协议,由于 OPC 通讯采用不固定的端口号,使用传统的 IT 防火墙进行防护时,不得不开放大规模范围内的端口号。在这种情况下,防火墙提供的**保障被降至低。因此,在企业管理网络和工业控制网络之间应安装专业工业隔离网关 pSafetyLink PSL-A1081,解决 OPC 通讯采用动态端口带来的**防护瓶颈问题,阻止病毒和任何其它的非法访问,这样来自防护区域内的病毒感染就不会扩散到相邻的工控网络及其他网络,提升网络区域划分能力的同时从本质上保证了网络通讯**。
数据交换的同时进行有效的隔离
工业隔离网关 pSafetyLink 通过内部特殊的 2+1 的双独立主机架构,控制端接入工业控制网络,通过采集接口完成各子系统数据的采集;信息接入到企业管理网络,完成数据到调度中心的传输。双主机之间通过专有的 PSL 网络隔离传输技术,截断 TCP 连接,彻底割断穿透性的 TCP 连接。PSL 的物理层采用专用隔离硬件,链路层和应用层采用私有通信协议,数据流采用 128 位以上加密方式传输,更加充分保障数据**。PSL 技术实现了数据完全自我定义、自我解析、 自我审查,传输机制具有彻底不可攻击性,从根本上杜绝了非法数据的通过,确保子系统控制系统不会受到攻击、侵入及病毒感染。
产品介绍
工业隔离网关 pSafetyLink 系统采用“2+1”件架构:系统硬件平台由内网主机系统、外网主机系统、隔离交换系统三部分组成。内网/外网主机系统分别具有独立的运算单元和存储单元,隔离交换系统要求基于 PSL 技术及相应的隔离加密电路,不受主机系统控制,独立完成应用数据的封包、摆渡、拆包,从而实现内外网之间的数据隔离交换。保证数据交换延迟时间低于 1ms,从而满足用户对高性能**隔离的需求。
网络隔离技术与通用防火墙技术的区别和优势
防火墙一般在进行 IP 包转发的同时,通过对 IP 包的处理,实现对 TCP 会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。工业隔离网关在网络间进行**隔离的同时进行信息交换,是在网络之间不存在链路层连接的情况下进行的。工业隔离网关直 接处理网络间的应用层数据,利用存储转发的方法进行应用数据的交换。
防火墙是在网络层对数据包作**检查,并不切断网络连接,很多案例证明 无论包过滤还是代理防火墙都很难防止木马病毒的入侵内部网络,Nimda 绕过很多防火墙的检查并在全世界肆虐就是一个很好的例证,通常见到的木马大部分 是基于 TCP 的,木马的客户端和服务器端需要建立连接,而隔离网关从原理上切断所有的 TCP 连接,包括 UDP、ICMP 等其他各种协议,使各种木马无法通 过工业隔离网关进行通讯,从而可以防止未知和已知的木马攻击。
总结
工信部协【2011】451 号通知明确指出:“切实加强工业控制系统信息**管理。”石化工业是国家的基础性能源支柱产业,因此,本案必须不断加强信息**风险管理,通过提升基础设施产品的**防护能力,按照等级保护**管理要求积极开展信息**管理体系、信息**技术体系以及信息**运维体系的建设, 并通过教育培训等手段,提升行业就业人员的技能,加强**风险防范意识等方式,**提升企业的信息**水平,为企业石油石化业务生产的健康稳定发展保驾护航。