霍尼韋爾MES系統(tǒng)在石化行業(yè)的應(yīng)用

　　引言：本文以霍尼韋爾的MES系統(tǒng)在石化行業(yè)的應(yīng)用為例，針對(duì)管理網(wǎng)和生產(chǎn)網(wǎng)逐漸融合給控制網(wǎng)帶來(lái)的安全威脅，分析了當(dāng)前MES對(duì)實(shí)時(shí)數(shù)據(jù)采集集中的安全需求和目前安全防護(hù)產(chǎn)品，提出的石化行業(yè)對(duì)MES系統(tǒng)實(shí)時(shí)數(shù)據(jù)采集的安全方案。

　　1 研究背景

　　隨著生產(chǎn)執(zhí)行系統(tǒng)(簡(jiǎn)稱MES)在我國(guó)煉油與化工企業(yè)的實(shí)施應(yīng)用，大部分石化企業(yè)逐步實(shí)現(xiàn)了數(shù)據(jù)采集自動(dòng)化、操作日志電子化、生產(chǎn)管理精細(xì)化、績(jī)效考核標(biāo)準(zhǔn)化等目標(biāo)，MES系統(tǒng)逐漸成為煉化企業(yè)生產(chǎn)運(yùn)行不可或缺的信息平臺(tái)，深受廣大生產(chǎn)管理人員的歡迎。另一方，MES系統(tǒng)的實(shí)施推進(jìn)了管理網(wǎng)與生產(chǎn)網(wǎng)的兩網(wǎng)融合，企業(yè)網(wǎng)絡(luò)應(yīng)用的范圍不斷擴(kuò)大，網(wǎng)絡(luò)越來(lái)越開(kāi)放，安全問(wèn)題也日加突出和嚴(yán)峻，各種安全問(wèn)題諸如病毒攻擊、網(wǎng)絡(luò)入侵和數(shù)據(jù)泄露等已廣泛引起各國(guó)政府和企業(yè)管理層的高度重視，尤其對(duì)對(duì)生產(chǎn)控制系統(tǒng)的安全構(gòu)成了重大威脅。

　　2011年9月，工信部下發(fā)了045號(hào)文件《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，明確要求工業(yè)控制系統(tǒng)與公共網(wǎng)絡(luò)連接時(shí)，必須設(shè)置防火墻、單向隔離等措施，確保系統(tǒng)自身安全，避免對(duì)工業(yè)生產(chǎn)帶來(lái)重大損失。

　　2 現(xiàn)狀分析

　　2.1 安全隱患突出

　　隨著信息化的不斷發(fā)展，基于PC架構(gòu)的計(jì)算機(jī)應(yīng)用越來(lái)越普及，Windows平臺(tái)也廣泛應(yīng)用;MES系統(tǒng)管理實(shí)時(shí)數(shù)據(jù)的實(shí)時(shí)數(shù)據(jù)庫(kù)、實(shí)時(shí)數(shù)據(jù)采集服務(wù)器(BUFFER機(jī))、OPC Server機(jī)、DCS系統(tǒng)等均為Windows平臺(tái)，這些平臺(tái)相互之間存在TCP/IP協(xié)議的雙向數(shù)據(jù)通訊，給病毒攻擊帶來(lái)了可能。

　　Honeywell公司MES中PHD的Buffer-Shadow架構(gòu)體系(如圖1)導(dǎo)致Buffer機(jī)必須開(kāi)放1521、3100等網(wǎng)絡(luò)通訊端口。盡管管理網(wǎng)與生產(chǎn)網(wǎng)之間有防火墻等網(wǎng)絡(luò)安全設(shè)備，但由于通訊端口的開(kāi)放，Buffer機(jī)也存在感染計(jì)算機(jī)病毒的可能。

　　OPC Server與Buffer通訊使用Microsoft的DCOM協(xié)議，OPC Server機(jī)須開(kāi)放135遠(yuǎn)程訪問(wèn)端口(病毒經(jīng)常攻擊的端口);在Buffer機(jī)中毒的情況下，OPC Server機(jī)(工程師站)很容易被病毒攻擊，從而導(dǎo)致工業(yè)控制系統(tǒng)(DCS等)反應(yīng)滯后或死機(jī)，甚至感染病毒，給生產(chǎn)帶來(lái)安全隱患。

　　圖1 MES 系統(tǒng)Buffer&Shadow 結(jié)構(gòu)圖

　　這樣的安全事故非常多。2010年9月伊朗的布什爾核電站受到針對(duì)工業(yè)控制系統(tǒng)編寫(xiě)的破壞性Stuxnet震網(wǎng)病毒攻擊，Stuxnet利用對(duì)Windows系統(tǒng)和西門子自動(dòng)控制系統(tǒng)的默認(rèn)密碼，繞過(guò)漏洞程序進(jìn)行攻擊。2011年11月黑客通過(guò)一臺(tái)位于俄羅斯的電腦入侵了美國(guó)伊利諾伊州斯普林菲爾德市(Springfield)的公共供水網(wǎng)絡(luò)系統(tǒng)，毀掉了一個(gè)向數(shù)千戶家庭供水的水泵。

　　2.2 主流的安全防護(hù)技術(shù)

　　目前，網(wǎng)絡(luò)安全技術(shù)、入侵檢測(cè)技術(shù)(IDS)、虛擬專用網(wǎng)絡(luò)(VPN)、防病毒、防火墻等，均不能實(shí)現(xiàn)網(wǎng)絡(luò)在OSI 7層上的完全隔離，不能有效保證MES對(duì)DCS控制系統(tǒng)不造成安全性風(fēng)險(xiǎn)。當(dāng)前，業(yè)內(nèi)主要是采用網(wǎng)絡(luò)隔離技術(shù)解決兩個(gè)不同安全域網(wǎng)絡(luò)的互聯(lián)問(wèn)題，各國(guó)政府和跨國(guó)型企業(yè)都在大力研發(fā)和應(yīng)用該技術(shù)。網(wǎng)絡(luò)隔離技術(shù)經(jīng)過(guò)長(zhǎng)期的發(fā)展和應(yīng)用，目前已經(jīng)發(fā)展到了第五代。第一代隔離技術(shù)采取的是絕對(duì)的物理隔離，將不同網(wǎng)絡(luò)從物理上隔開(kāi)，從而產(chǎn)生了信息孤島;第二代網(wǎng)絡(luò)隔離技術(shù)采用的是硬件卡;第三代隔離技術(shù)采用將數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā);第四代網(wǎng)絡(luò)隔離技術(shù)中引進(jìn)了空氣開(kāi)關(guān)進(jìn)行隔離;最新的第五代隔離技術(shù)采用的是安全通道隔離技術(shù)。

　　第五代網(wǎng)絡(luò)隔離技術(shù)使用專用通信硬件，采用私有安全協(xié)議來(lái)實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)傳遞，這種方式解決了前幾代隔離技術(shù)的不足，不但安全地將內(nèi)部外部網(wǎng)絡(luò)分離，同時(shí)還保證了兩網(wǎng)之間數(shù)據(jù)傳遞的高效安全，已成為當(dāng)前隔離技術(shù)的主流發(fā)展方向。這種數(shù)據(jù)傳輸技術(shù)的核心是采用信息擺渡，物理傳輸信道只是在傳輸進(jìn)行時(shí)建立，信息傳輸時(shí)先由信息源所在區(qū)域一端傳輸?shù)街虚g緩存區(qū)域，同時(shí)物理上斷開(kāi)中間緩存區(qū)域與信息目的地所在區(qū)域的網(wǎng)絡(luò)連接，然后連通中間緩存區(qū)域與信息目的地所在區(qū)域的數(shù)據(jù)傳輸信道，將信息安全傳輸至目的區(qū)域，此時(shí)在信道上物理斷開(kāi)信息源所在區(qū)域與中間緩存區(qū)域的連接。這保證了在任意時(shí)刻，中間緩存區(qū)域只與一個(gè)區(qū)域安全相連。與防火墻技術(shù)相比，防火墻技術(shù)是在保證信息傳輸?shù)那闆r下，盡力保證系統(tǒng)的安全性;而網(wǎng)絡(luò)隔離技術(shù)正好與之相反，是在保證系統(tǒng)安全的情況下，實(shí)現(xiàn)與外部的數(shù)據(jù)交換，一旦出現(xiàn)不安全的情形則斷開(kāi)連接，網(wǎng)絡(luò)隔離的任務(wù)是解決和防范當(dāng)前信息系統(tǒng)存在中的各種安全隱患：操作系統(tǒng)漏洞、TCP/IP漏洞、應(yīng)用協(xié)議漏洞、鏈路連接漏洞、安全策略漏洞等。因此，網(wǎng)絡(luò)隔離技術(shù)是目前解決上述安全問(wèn)題的唯一有效技術(shù)手段。

　　圖2 網(wǎng)絡(luò)隔離硬件結(jié)構(gòu)示意圖

　　目前，工業(yè)領(lǐng)域用于保護(hù)控制網(wǎng)絡(luò)安全的網(wǎng)絡(luò)隔離產(chǎn)品有網(wǎng)閘、工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)等。這些隔離設(shè)備幾乎都是采用了本文所提到的第五代隔離技術(shù)，在此基礎(chǔ)上進(jìn)行了開(kāi)發(fā)和應(yīng)用。這些隔離設(shè)備的核心是在OSI模型的七層上斷開(kāi)網(wǎng)絡(luò)連接，利用“2+1”式的三模塊架構(gòu)，也就是產(chǎn)品內(nèi)包括兩種系統(tǒng)和一個(gè)私有的安全通道隔離單元用于交換數(shù)據(jù)。這種架構(gòu)的好處是連接內(nèi)部與外網(wǎng)的兩個(gè)主機(jī)的網(wǎng)絡(luò)是完全斷開(kāi)的，剝離了TCP/IP協(xié)議，剝離了應(yīng)用協(xié)議，在完成數(shù)據(jù)的安全交換后再進(jìn)行通信協(xié)議的恢復(fù)和重建。通過(guò)TCP/IP協(xié)議的剝離和重建技術(shù)消除了TCP/IP協(xié)議存在的漏洞。通過(guò)在應(yīng)用層對(duì)應(yīng)用協(xié)議進(jìn)行剝離和重建，防范了應(yīng)用協(xié)議漏洞，與此同時(shí)還可以達(dá)到針對(duì)應(yīng)用協(xié)議實(shí)現(xiàn)一些更為有效的訪問(wèn)控制，從而阻擋當(dāng)前TCP/IP存在的所有攻擊。

　　2.3 典型安全隔離產(chǎn)品介紹

　　一類是網(wǎng)閘。網(wǎng)閘產(chǎn)品的出現(xiàn)比較早，主要用于解決涉密網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間的數(shù)據(jù)傳遞問(wèn)題。網(wǎng)閘產(chǎn)品主要用于政府和企業(yè)中涉密業(yè)務(wù)比較多的辦公系統(tǒng)，它提供的功能也以通用的互聯(lián)網(wǎng)為主。

　　二是工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)。工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)是近幾年新發(fā)展的的專門應(yīng)用于工業(yè)領(lǐng)域的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，主要采用“2+1”的三模塊架構(gòu)，內(nèi)置雙套操作系統(tǒng)，通信隔離單元通過(guò)總線技術(shù)建立安全通道來(lái)保障數(shù)據(jù)交換的安全和高效。網(wǎng)關(guān)產(chǎn)品與網(wǎng)閘產(chǎn)品比較，網(wǎng)關(guān)更是作為提供專門用于工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)，因此網(wǎng)關(guān)只提供控制網(wǎng)絡(luò)所必需的通信需求，諸如OPC通信等，但不具備通用的互聯(lián)網(wǎng)功能。

　　3 安全方案設(shè)計(jì)

　　3.1 設(shè)計(jì)原則

　　對(duì)于MES系統(tǒng)而言，既要滿足應(yīng)用的需要，又要保證工業(yè)控制系統(tǒng)安全，在實(shí)時(shí)數(shù)據(jù)采集安全方案中必須要增加安全防護(hù)硬件設(shè)備，該設(shè)備應(yīng)具備第五代隔離技術(shù)的以對(duì)控制系統(tǒng)進(jìn)行保護(hù)。該產(chǎn)品應(yīng)該是一個(gè)非TCP/IP協(xié)議、跨平臺(tái)應(yīng)用、具備單向傳輸?shù)群诵募夹g(shù)，以此效解決MES系統(tǒng)實(shí)施后的“兩網(wǎng)融合”產(chǎn)生的安全隱患。同時(shí)，該設(shè)備應(yīng)該具備集中監(jiān)控、一鍵恢復(fù)等功能，提高系統(tǒng)穩(wěn)定性，且降低現(xiàn)場(chǎng)運(yùn)維人員的工作量。

　　3.2 MES 系統(tǒng)數(shù)采安全方案

　　技術(shù)上，增加采用網(wǎng)絡(luò)隔離技術(shù)的安全防護(hù)設(shè)備，架設(shè)于MES實(shí)施數(shù)據(jù)采集機(jī)與OPC服務(wù)器之間，確保MES系統(tǒng)數(shù)據(jù)采集不影響DCS控制系統(tǒng)的安全性。該設(shè)備應(yīng)該具備以下四個(gè)功能：

　　1)內(nèi)外網(wǎng)處理單元為跨平臺(tái)系統(tǒng)。為了保證系統(tǒng)的安全性，內(nèi)網(wǎng)處理單元應(yīng)該為非Windows系統(tǒng)平臺(tái)，以屏蔽Windows操作系統(tǒng)的安全漏洞，阻止惡意代碼和病毒對(duì)控制系統(tǒng)的攻擊。

　　2)內(nèi)外網(wǎng)處理單元之間為非TCP/IP協(xié)議。為了防止外網(wǎng)處理單元向內(nèi)網(wǎng)處理單元傳輸惡意代碼和病毒，網(wǎng)絡(luò)隔離硬件中的專用傳輸通道使用私有網(wǎng)絡(luò)傳輸協(xié)議，以此規(guī)避TCP/IP協(xié)議的漏洞。

　　3)內(nèi)外網(wǎng)處理單元之間只能進(jìn)行單向傳輸。即只能由內(nèi)網(wǎng)處理單元向外網(wǎng)處理單元傳輸數(shù)據(jù)，而不接受從外網(wǎng)處理單元向內(nèi)網(wǎng)處理單元傳輸數(shù)據(jù)，從根本上杜絕病毒向控制網(wǎng)傳輸?shù)目赡堋?/FONT>