1 概述

化肥作为重要的农业生产物资，在国家的农业生产中起着重要作用。中国是化肥生产大国，化肥产量位居全球首位。在国家的“十二五”规划纲要提出信息化和工业化深度融合的要求后，我国化肥企业信息化的整体水平较过去有了一定的进展，但是在信息化建设投入、企业信息编码规范，尤其在工业安全意识方面远低于发达国家水平。在化肥生产企业，生产线与中控数据平台通常距离较远，数据平台一般通过以太网来远程获取生产数据，这样在内网和广域网之间的数据传输就存在很大的安全隐患，迫切需要升级信息安全策略来确保数据传输和控制系统的安全。

河南心连心化肥有限公司是国家百万吨化肥生产基地，河南省规模最大、生产成本最低的尿素生产企业，省政府列入的100户重点工业企业之一。拥有合成氨70万吨、尿素125万吨、复合肥60万吨、甲醇30万吨的年生产能力。2007年6月20日，河南心连心化肥有限公司成为中国第一家在新加坡上市的化肥生产企业。

本文分析了化肥企业的生产和控制网络的网络现状和安全风险，介绍了力控华康PSL系列工业隔离网关和ISG系列工业防火墙在以心连心化肥有限公司为代表的化肥生产企业中的应用。

2 化肥企业的网络现状及安全风险分析

心连心化肥有限公司的生产网络是基于ERP、MES和PCS三层架构的管控一体化信息模型。随着企业规模的不断扩大，迫切需要提高生产管理水平和应急响应水平，这就需要将生产系统中大量的实时数据及时、有效地采集、存储、分析、公布，同时加强对关键岗位和场所进行监视、监测及设备状态检测。在这种业务场景下，ERP系统、MES系统与底层工业控制系统之间的实时数据交换就是不可避免的。如图1所示。

目前在化肥生产企业的控制网络中，一般是通过以太网来实现数据的实时交换和共享。以太网具备广泛的开放性，遵照网络协议的不同，厂商设备可以很容易实现互联。借助以太网和TCP/IP技术很容易实现工业控制网络与企业信息网络的无缝连接，形成企业级管控一体化的全开放网络，极大方便了生产及控制数据的调用、汇总和存储。但以太网及TCP/IP技术的开放性，使得它比传统的总线技术更容易暴露于病毒、黑客非法入侵等网络安全威胁之下。工业控制系统如果遭受病毒入侵和黑客攻击，不仅会造成信息的丢失，还可能造成生产故障、人员损害及设备损坏，其直接财产的损失是巨大的，甚至有可能引起环境问题和社会问题。

根据化肥企业的实际情况来分析，其面临的网络安全风险主要包括：

（1）病毒与恶意代码

病毒的泛滥是大家有目共睹的。全球范围内，每年都会有数次大规模的病毒爆发。传统的病毒自我复制过程需要人工干预，无论运行感染病毒的实用程序，或者是打开包含宏病毒的邮件等，没有人工干预病毒无法自我完成复制、传播。但是现在的蠕虫病毒却可以自我独立完成以下过程：

·查找远程系统：能够通过检索已被攻陷的系统的网络邻居列表或其它远程系统地址列表找出下一个攻击对象。

·建立连接：能够通过端口扫描等操作过程自动和被攻击对象建立连接，如Telnet连接等。

·实施攻击：能够自动将自身通过已经建立的连接复制到被攻击的远程系统并运行。

一旦计算机中被植入恶意代码和蠕虫病毒，安全问题就不可避免。

（2）网络入侵

系统被入侵是另外一种常见的安全隐患。黑客侵入计算机和网络可以非法使用计算机和网络资源，甚至是完全掌控计算机和网络。如果黑客侵入控制网络，就意味着可以随时破坏企业的生产过程，甚至导致生产完全瘫痪。在化肥的生产过程中，涉及的生产资料往往都是有毒有害、易燃易爆的物质（如CO、H 2、NH 3、甲醇、甲醛等），生产环境也是高温高压，一旦生产过程被破坏，容易发生财产重大损失和人员伤亡事故。

图1 ERP、MES和PCS业务逻辑中的数据交互

（3）协议漏洞

以太网络是一种共享网络，任何主机发送的数据包都会到达同一网段的所有主机的以太网接口，不法人员稍做设置或修改，就可以使一个以太网接口接收不属于它的数据帧，从而实现对网络中关键数据的窃取。另外，在网络中如果某一台机器被植入病毒或木马，是很容易在整个网络中扩散的，从而导致整个网络及控制系统瘫痪。

在工业控制系统中，底层的DCS一般采用OPC协议与实时数据库进行通讯。OPC Classic协议（OPC DA, OPC HAD 和OPCA&E）是基于微软的DCOM技术开发的，而DCOM技术的安全隐患目前已经被广泛认识，经常发生安全漏洞问题并受到攻击。另外由于OPC通讯采用不固定的端口号，导致目前几乎无法使用传统的IT防火墙来确保其安全性。

（4）拒绝服务（DDOS）攻击

分布式拒绝服务（DDOS）攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段。常见的分布式拒绝服务攻击如TCP SYN、Ping Flood、UDP Flood等。拒绝服务攻击难以防范的原因是它的攻击对象非常普遍，从服务器到各种网络设备，如路由器、交换机、防火墙等都可以被拒绝服务攻击。

控制网络一旦遭受严重的拒绝服务攻击就会导致操作站的服务瘫痪，与控制系统的通信完全中断。可以想像，受到拒绝服务攻击后的控制网络可能导致网络中所有操作站和监控终端无法进行实时监控，其后果是非常严重的。

3 化肥企业的安全需求分析

化肥企业是典型的资金和技术密集型企业，对信息系统依赖程度很高，生产的连续性很强，装置和设备的意外停车都会导致巨大的经济和财产损失。通过前面对化肥企业网络安全风险的分析，总结出化肥企业信息安全建设的需求主要是通过建设具备纵深防御能力的信息安全保障体系，抵御来自内部、外部的入侵和攻击，及时发现病毒、漏洞，并抑制病毒在网络间的扩散，尤其要确保工业控制系统的安全，避免因为控制系统被入侵而出现生产事故。

通过在企业网络中实施安全策略，应达到如下安全目标：

（1）保护工业控制网络系统的可用性；

（2）防范从企业管理网络甚至互联网对工业控制网络的非法访问；

（3）防范入侵者对工业控制设备的恶意攻击与破坏；

（4）保护工业控制网络和企业管理网络之间数据传输的安全。

4 化肥企业的安全解决方案

参照ANSI/ISA-99标准，同时结合化肥行业的具体情况将企业系统结构划分成不同的区域，以帮助企业有效地建立“纵深防御”体系，如图2所示。

图2 化肥厂的信息安全防御架构

（1）横向分层，将企业的生产网络划分成企ERP、MES、PCS三层网络结构。在MES和PCS间部署了力控华康PSL系列工业隔离网关，主要实现了控制网络的物理隔离，有效屏蔽ERP和MES层面的网络威胁向生产控制系统传导，同时又实现了网络之间安全的数据交换。在管理网络和信息网络之间部署工业防火墙，主要用于弥补传统防火墙的不足，实现对工业协议的安全检测。

（2）在生产控制网络层内纵向分区，每个生产区内包含离散控制系统（DCS）、OPC服务器和不同的生产车间。在OPC服务器与DCS控制系统之间采用力控华康ISG工业防火墙进行安全防护，通过对工业协议的深度过滤确保DCS系统及控制设备的安全，并抑制安全威胁在不同生产区之间的扩散。

（3）在生产控制网络内布署工业漏洞扫描系统，定期对工业网络设备、系统及PLC等控制设备进行安全检测，让安全管理人员及时了解工业网络安全和运行的应用服务情况，及时发现安全漏洞，更新漏洞补丁，避免因此而带来的风险威胁。本方案的特点是：

（1）完全阻断ERP、MES系统的威胁向控制系统扩散

目前网络边界防御中最普遍应用的安全技术是通用防火墙。通用防火墙是在网络层对数据包做安全检查，并不切断网络连接，很多案例证明无论包过滤、状态检测还是代理防火墙技术都很难防止木马病毒入侵内部网络。Nimda绕过很多防火墙的检查并在全世界肆虐就是一个很好的例证。通常见到的木马大部分是基于TCP的，木马的客户端和服务器端需要建立连接，而PSL工业隔离网关从原理实现上就切断所有的TCP、UDP、ICMP等通用协议链接，使得蠕虫病毒和木马无法通过工业安全隔离网关进行通讯，从而可以防止已知和未知的木马攻击。

本方案中采用的力控华康PSL安全工业隔离网关内部特殊的2+1的双独立主机架构，控制端接入工业控制网络，通过采集接口完成各子系统数据的采集；信息接入到企业管理网络，完成数据到调度中心的传输。双主机之间通过专有的PSL网络隔离传输技术，彻底割断穿透性的TCP连接。PSL的物理层采用专用隔离硬件，链路层和应用层采用私有通信协议，数据流采用128位以上加密方式传输，更加充分保障数据安全。PSL技术实现了数据完全自我定义、自我解析、自我审查，传输机制具有彻底不可攻击性，从根本上杜绝了非法数据的通过，确保子系统控制系统不会受到攻击、侵入及病毒感染。

（2）通过安全分区实现不同DCS系统之间的安全自治

在工业控制系统中，控制网络数采机（OPC服务器）采用OPC通讯协议与实时数据库通讯进行数据上传，由于OPC通讯每次连接采用不固定的端口号，使用传统的IT防火墙进行防护时，不得不开放大规模范围内的端口号。在这种情况下，传统IT防火墙提供的安全保障被降至最低，上位实时数据库一旦感染病毒或被控制，控制网络的系统及设备就完全暴露。而通过部署工业防火墙，可以实现对OPC通讯中端口的动态管理，无需事先大规模开放端口。

本方案中采用了力控华康的ISG系列工业防火墙，除了支持商用防火墙的基础访问控制功能，ISG工业防火墙还实现了对工业协议的数据级深度过滤，实现了对Modbus、OPC等主流工业通讯协议和规约的细粒度检查和过滤，帮助用户阻断控制网络内部的病毒传播、黑客攻击等行为，避免其对控制网络的影响和对生产流程的破坏。例如：ISG系列工业防火墙的Modbus协议管控模块可以针对Modbus协议的设备地址、寄存器类型、寄存器范围和读写属性等进行检查。通过类似的管控模块能有效防范各种非法的操作和数据进入现场控制网络，最大限度地保护控制系统的安全。

在本方案中，针对DCS系统“集中管理、离散控制”的特点，将工业控制系统纵向划分为不同的安全分区，每个分区的DCS系统，均部署ISG工业防火墙进行纵向通信的防护，同时对于不同DCS系统之间的横向通信也有一定的防护作用。通过这种“安全自治”的策略，即使某一个DCS系统被侵入，也不会影响其他DCS系统，为后续的安全响应赢得了时间。

5 结语

工信部协[2011]451号通知明确指出：“SCADA、DCS、PCS、PLC等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。”

化肥工业是国家的基础性产业，必须强化信息安全风险管理，提升基础设施产品的安全防护能力。依照等级保护及工信部451号文的要求，对工业控制网络跟企业信息网络进行隔离防护，对工业控制系统内重要的DCS系统进行分区保护，可以有效提升工业控制系统的安全防护能力。项目在实施以后，保护目标清晰，运行稳定可靠，取得了良好的防护效果。

作者简介

李光朋（1979-），男，山东潍坊人，硕士。现任北京力控华康科技有限公司市场部经理，主要从事工业控制系统信息安全技术的研究和推广工作。

摘自《工业控制系统信息安全专刊（第二辑）》