1 引言

工业控制系统（Industrial Control Systems, ICS），包括SCADA系统、分布式控制系统（DCS）、可编程逻辑控制器（PLC）、远程终端（RTU）、智能电子设备（IED）等，目前已广泛应用于石化、电力、水力、医药、食品、交通运输、航天等工业领域，其中超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业，已成为国家关键基础设施的重要组成部分，关系到国家的战略安全。

随着信息化与工业化进程的不断交叉融合，信息网络技术在工业控制系统中得到了普及应用，然而现有的工业控制系统大多是在未考虑安全因素或者未充分考虑安全因素的情况下组建的，因此针对工业控制系统的攻击和威胁逐步显现。2010年“震网”病毒事件破坏了伊朗核设施，震惊全球，这标志着网络攻击从传统“软攻击”阶段升级为直接攻击电力、金融、通信、核设施等核心关键系统的“硬摧毁”阶段。

ICS-CERT安全报告指出“近三年针对工业控制系统的安全事件呈明显上升趋势，据统计，2013年已达到257起”，并且伴随着工业病毒日益更新，病毒变得更加隐蔽与复杂。同时工信部已在2011年底发布《关于加强工业控制系统信息安全管理的通知》，标志着我国对工业控制系统的安全管理上升为国家战略。

本文分析了工业控制系统的信息安全防护特性，阐述了设计的工业防火墙，以及在石化、烟草行业的解决方案。

2 工业控制系统安全防护特性

工业控制系统安全威胁主要来源已从内部恶意篡改、环境因素、误操作、集成商后门、错误配置等逐渐变化为黑客攻击、工业病毒、无线风险，以及设备漏洞等。传统的互联网安全防护技术无论在理论研究还是在实践应用上都已经取得了不错的进展，市场上充斥着各种互联网安全防护产品，如防火墙、入侵检测系统、防病毒软件等。但是，由于工业控制系统的高可靠性、高实时性以及专用的网络通信协议等特点，传统的互联网防护技术难以在工业控制系统实施，具体实施差距主要表现在以下几个方面：

（1）通讯协议的不同：工控网中有大量的工控系统专有协议。

（2）系统环境不同：工控网中需要导轨式安装、无风扇设计等。

（3）可靠性要求不同：工控网中误报、数据丢失等同于攻击。

（4）实时性要求不同：工控网中网络延时要求较高。

（5）网络拓扑不同：工控网中的系统拓扑不会轻易变动。

3 工业防火墙设计

中科工业防火墙针对上述问题，结合纵深防御的思想，开发了针对工业应用层协议的安全防护技术，建立不同区域之间的数据通信管道，对管道内的数据进行安全管控。其中基于ISA的纵深防御主要指“白名单规则”的区域管控，包括：划分控制系统安全区域，对安全区域的隔离保护；保护合法用户访问网络资源。以及由于安全威胁主要来自于应用层，传统五元组（源IP、目的IP、协议、源端口、目的端口）方式的ACL将不能完全抵御高级可持续攻击，中科工业防火墙同时针对工业专有应用层协议进行了深度的安全防护，包括Modbus、OPC协议。

中科工业防火墙的Modbus访问控制模块提供了一种针对工业控制Modbus协议的访问控制方法，Modbus协议访问控制是工业控制系统安全防护中极其重要的环节，它建立在身份识别基础上，限制了工业控制系统中访问主体对客体的访问，防止未经授权使用（含以未授权方式使用）某资源，从而保障数据资源在合法范围内得以有效使用和管理，Modbus协议检测范围如图1所示。

图1 Modbus协议检测

中科工业防火墙的OPC协议模块是用于保护工业控制系统中通过OPC协议进行数采与传输的过程，防护模块以OPC基金会、工业控制系统应急响应中心（ICS-CERT）等组织提出的安全问题及防护建议为理论基础，如有效的锁定OPC客户端与服务端、DCOM对象访问、约束RPC协议端口最小权限、检测没有异常DCOM被使用等，实时捕获OPC通信数据包，解析OPC数据包端口内容，为端口设置一条私密规则，对端口进行动态跟踪与授权管理，在建立连接之后对流经的数据包进行基于端口及协议进行监控，防止非法访问，OPC防护模块检测原理如图2所示。

图2 OPC防护模块检测原理

中科工业防火墙的设计要点如图3所示，主要包括：基于“区域”与“管道”的安全防护模型；Modbus/TCP、Modbus/UDP、OPC等工控协议应用数据的深度解析；基于规则策略的动态包过滤和Syslog的实时报警技术；冗余电源设计；工业级的低功耗设计；兼容所有PLC、HMI、RTU等工业控制设备；支持时间同步、重启自动加载规则的高可用性设计；包含直通、管控和自学习模式设计，使用多种网络拓扑结构。

以上设计要点符合工业级应用的设计，并通过了公安部信息安全产品检测中心的认证，认证型号为SIA-IF1000-02TX/v1.0。

图3 工业防火墙功能特性

4 工业防火墙在石化、烟草行业的应用

4.1石化控制系统安全解决方案

以某石化行业的实际解决方案为例，现场网络的结构是底层温度、压力流速、计量数等采集表通过无线方式将数据传递到汇聚的RTU网关设备，多个RTU设备向OPC服务器以固定时间间隔传递采集数据，OPC服务器将数据存储在本地实时数据库中，之后在管理网络中部署了Aspen，它作为OPC客户端向现场网络中OPC服务器数据请求采集数据。

中科工业防火墙实际部署在OPC服务器与OPC客户端之间，满足用户对OPC协议安全防护的需求，解决方案部署示意图如图4所示。

通过部署中科工业防火墙，目前网络中的阻态软件的警告事件明显减少，网络中的广播流量明显减少。

图4 石化行业实际部署示意图

4.2 烟草控制系统安全解决方案

以某烟草行业实际解决方案为例，现场网络组成层次从下至上依次为：电控元器件、传感器、执行器等组成的现场设备层；主控制器组成的控制层；操作员站、工程师站组成的组态层。控制层与现场设备层之间通过现场总线进行控制，如485、232等，组态层与控制层主流以Modbus、Profinet协议控制。

中科工业防火墙针对以Modbus协议的控制系统，增加中科工业防火墙，对网络中的Modbus协议进行深度解析，保护控制器，阻止任何对控制器的非法访问及控制。现场网络与MES层之间主要通过OPC协议进行现场网络数据的向上传递，增加中科工业防火墙，对OPC协议进行动态端口开放及实现区域隔离，避免病毒利用端口传递后门及病毒扩散，解决方案部署示意图如图5所示。

图5 烟草行业实际部署示意图

通过部署工业防火墙完整显示现场网络的实时事件，获得部署单位的认可，能对单位网络报警及消息进行历史存储。网络管理人员通过观察警报事件，对某员工的偏离操作参数进行管理与培训，避免一批部分生产任务的损失。

5 结语

本文分析了工业控制系统与传统IT网络信息安全防护的区别，说明了工业控制系统网络安全防护的特殊性。阐述了Modbus和OPC工业防火墙的设计方案，并介绍了开发的中科工业防火墙在石化、烟草行业的解决方案。

开发的中科工业防火墙产品SIA-IF1000-02TX/v1.0，通过了公安部信息安全产品检测中心的认证。该产品目前已经在石油、石化和烟草等多个行业应用，加固了工业控制系统的信息安全防护。

作者简介

尚文利（1974-），男，黑龙江北安人，副研究员，博士，硕士生导师，现就职于中国科学院沈阳自动化研究所，中国科学院网络化控制系统重点实验室，主要从事计算智能与机器学习、工业信息安全方向研究。

刘长江（1972-），男，吉林九台人，工程师，现就职于吉林油田勘察设计院，主要从事计算机及网络设备、物联网系统方面的研究工作。

赵剑明（1988-），男，助理研究员，现就职于中国科学院沈阳自动化研究所，中国科学院网络化控制系统重点实验室，主要从事工业信息安全方面的研究工作。

曾鹏（1976-），男，山东青岛人，研究员，博士、博士生导师，现就职于中国科学院沈阳自动化研究所，中国科学院网络化控制系统重点实验室，主要从事工业无线传感网技术研究。

参考文献：

[1]彭杰,刘力.工业控制系统信息安全性分析[J].自动化仪表, 2012, (12): 36 -39.

[2]夏春明,刘涛,王华忠,吴清.工业控制系统信息安全现状及发展趋势[J].信息安全与技术, 2013, (02): 13 -18.

[3]于立业,薛向荣,张云贵等.工业控制系统信息安全解决方案[J].冶金自动化, 2013, 37(1): 5 -11.

[4]宋慧欣.破解“工业控制系统信息安全”迷局[J].自动化博览，2012, (07): 30 -35.

摘自《工业控制系统信息安全专刊（第二辑）》