信息化后的控制系统安全分析|计算机系统安全控制的方法

　　摘 要：在当今这个病毒、蠕虫、黑客和****横行的世界里，公司的计算机系统安全问题尤为突出。企业的计算机网络大体可以分为两类：一种是支持企业信息系统功能的日常办公网络（如OA、ERP、MES、门户网站及电子邮件等等）；另一种是实时的与工业生产直接相关的过程控制网络（像DCS、ESD、PLC等）。对第一类网络也就是传统的IT网络的安全问题已经为人们熟知，且屡被媒体报道。但第二类网络即过程控制网络的安全问题人们却不甚了解，然而它的危害却更为严重。
　　关键词：信息化；控制系统；安全
　　中图分类号：U285.49 文献标识码：A
　　曾经一段时间，这两种网络是异构的，分开的，独立运行的，然而随着工业化和信息化的浪潮席卷全国，这两种网络逐渐开始互连、融合。这样一来，最大的好处就是信息资源共享，工业现场的实
　　时过程数据可以随时为任何一台接入公司局域网的电脑所共享，这些宝贵的实时数据可以为工厂的管理和决策提供信息支持。但同样安全风险也随之而来，原来的过程控制网络是独立隔离的，现在却通过公司办公网与外网连通了，虽然采取了防火墙等一系列安全措施但被入侵被攻击的可能性还是大大增加了，且过控网络一旦被入侵攻击，其危害更为严重，可能导致工厂所有自动化的设备停车，使整个生产陷入瘫痪，甚至造成伤亡事故，这对一个生产类企业来说，无疑是致命的。
　　有调查显示在电力（包括输配电、水力发电、火力发电、核电等）、供排水、石油/天然气、化学、制造业等行业都发生过针对控制系统的信息安全事故。黑客论坛上关于控制系统弱点的聊天交流也在不断增加。目前还没有一份由独立机构完成的关于控制系统所受到计算机攻击的精确统计报告，但是我们至少可以得出一个结论：与传统IT行业所暴露出来的问题一样，随着我国工业化和信息化的不断深入，控制系统的信息安全事故也呈上升趋势。
　　对信息化的过程控制系统如何保证它的安全可靠性呢？这是一个日益迫切的安全现实问题。个人认为这个问题需要企业多方的共同努力，解决思路大致可以分为思想管理和技术手段两个方面，二者相辅相成。
　　思想管理方面，首先，公司领导和安全主管部门要对过程控制系统的潜在安全风险引起足够的重视，给予相关基层单位（像仪表和自控部门）一定人力、资金和设备支持。
　　其次，自控部门的控制人员要加强和工艺人员的交流，熟悉工艺流程和现场环境，对控制对象的关键点和敏感点予以特别重视，制定安全可行的控制方案增强控制系统的抗入侵抗风险能力。
　　再次，系统控制人员要和公司IT人员要相互理解信任，通力协作，确保过程控制网络的安全。外界普遍认为过程控制和IT有着行业文化隔阂。一般来说，公司的IT部门了解信息安全相关知识并且有相应的预算资金来处理此类问题，但是IT人员不了解过程控制系统。而负责操作和维护过程控制系统的人员对信息安全的了解以及可以应用于此项目的预算资金都比IT部门要少得多。另外，技术和行业文化的不同也使两者之间存在巨大差异。但我个人认为这不是问题，在共同的安全威胁下，双方更能增进理解，相互学习，悉心协作，共同筑好企业的安全防火墙。
　　在技术手段方面，要从信息系统网络结构的特点出发，布置最为安全的防护策略。对大多数生产企业来说，正如图1所示一般与过程控制系统紧密相连的是一个称之为制造执行系统（Manufacturing Execution System，简称MES），像石化等有些行业称之为生产运行系统，它是一个“技术+管理”的系统。MES系统位于企业信息化建设的中间层，向上支撑ERP，向下连接过程控制层PCS，起着承上启下的作用。一般外界对控制网络的入侵都得通过MES系统，毕竟如图2所示只有MES网络与控制网络是直接相连的。
　　我们的生产控制网防护手段就从图2和图3所示的网络结构特点入手，步步为营；
　　首先，做好BUFFER机安全设计
　　如图3所示，BUFFER机是DCS等过程控制网络与MES网络的联接点，它的安全对生产控制网络的安全至关重要，作为Buffer Server的操作系统应从以下几方面进行的安全设计，以确保生产网的稳定。
　　(1)需要配备双网卡，且与控制网络连接的每个BUFFER机划分单独的VLAN；(2)安装最新的操作系统补丁程序；(3)使用NTFS文件系统；(4)BUFFER服务器在生产环境中运行不能安装成多操作系统；(5)禁用或删除不是应用必须的默认帐号，及时清除不再使用的用户帐号；(6)建立访问控制权限；(7)删除系统所有的不必要的文件共享，限制用户对共享文件的访问权限。
　　其次，建立专用的OPC服务器，避免从DCS 操作站读取数据，更严格禁止直接从DCS控制器提取数据；建立专用的OPC服务器可一方面减轻DCS的通讯负荷，另一方面可避免从DCS操作站或控制站读取数据所带来的安全隐患。本人所在的单位就发生过一次MES OPC服务器直接从 DCS控制器读取数据引起的DCS控制器假死的事故，所以我们要引以为鉴。
　　再次，如图3所示增加防火墙，建立DMZ区来保证过程控制网的安全。
　　在网络中，非军事区(DMZ)是指为不信任系统提供服务的孤立网段，其目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止内网和外网直接通信，以保证内网安全。DMZ网络访问控制策略可参考图3所示各个网络之间的访问关系，可以确定以下六条访问控制策略：(1)内网可以访问外网。内网的用户显然需要自由地访问外网。在这一策略中，防火墙需要进行源地址转换。（２）内网可以访问DMZ。此策略是为了方便内网用户使用和管理DMZ中的服务器。（３）外网不能访问内网。很显然，内网中存放的是公司内部数据，这些数据不允许外网的用户进行访问。（４）外网可以访问DMZ。DMZ中的服务器本身就是要给外界提供服务的，所以外网必须可以访问DMZ。同时，外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。（５）DMZ不能访问内网。很明显，如果违背此策略，则当入侵者攻陷DMZ时，就可以进一步进攻到内网的重要数据。（６）DMZ不能访问外网。此条策略也有例外，比如DMZ中放置邮件服务器时，就需要访问外网，否则将不能正常工作。
　　综上所述，过程控制系统的维护人员要不断完善作业规章建设和加强自身的业务学习。控制系统安全问题要制度和技术两个方面同时着手，两手都要硬。作业规程和制度的建设可以防范人为过失事故和隐患，技术的进步和力量在成熟规章的保证下更能发挥威力。尤其在这个日新月异的信息时代，控制人员必须密切关注行业动态，不但学习新的技术和标准，与时俱进，未雨绸缪才能确保控制系统安全可靠，为企业的安全平稳生产作做好保障。
　　参考文献
　　[1]焦雪峰.西山煤矿总公司安全教育信息化建设研究[J].山西大学，2009（06）.
　　[2]王起全，王永柱.我国安全生产信息化现状及发展方向分析，2010（09）.