引言：本文以霍尼韋爾的MES系統(tǒng)在石化行業(yè)的應用為例，針對管理網和生產網逐漸融合給控制網帶來的安全威脅，分析了當前MES對實時數(shù)據采集集中的安全需求和目前安全防護產品，提出的石化行業(yè)對MES系統(tǒng)實時數(shù)據采集的安全方案。

　　1 研究背景

　　隨著生產執(zhí)行系統(tǒng)(簡稱MES)在我國煉油與化工企業(yè)的實施應用，大部分石化企業(yè)逐步實現(xiàn)了數(shù)據采集自動化、操作日志電子化、生產管理精細化、績效考核標準化等目標，MES系統(tǒng)逐漸成為煉化企業(yè)生產運行不可或缺的信息平臺，深受廣大生產管理人員的歡迎。另一方，MES系統(tǒng)的實施推進了管理網與生產網的兩網融合，企業(yè)網絡應用的范圍不斷擴大，網絡越來越開放，安全問題也日加突出和嚴峻，各種安全問題諸如病毒攻擊、網絡入侵和數(shù)據泄露等已廣泛引起各國政府和企業(yè)管理層的高度重視，尤其對對生產控制系統(tǒng)的安全構成了重大威脅。

　　2011年9月，工信部下發(fā)了045號文件《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，明確要求工業(yè)控制系統(tǒng)與公共網絡連接時，必須設置防火墻、單向隔離等措施，確保系統(tǒng)自身安全，避免對工業(yè)生產帶來重大損失。

　　2 現(xiàn)狀分析

　　2.1 安全隱患突出

　　隨著信息化的不斷發(fā)展，基于PC架構的計算機應用越來越普及，Windows平臺也廣泛應用;MES系統(tǒng)管理實時數(shù)據的實時數(shù)據庫、實時數(shù)據采集服務器(BUFFER機)、OPC Server機、DCS系統(tǒng)等均為Windows平臺，這些平臺相互之間存在TCP/IP協(xié)議的雙向數(shù)據通訊，給病毒攻擊帶來了可能。

　　Honeywell公司MES中PHD的Buffer-Shadow架構體系(如圖1)導致Buffer機必須開放1521、3100等網絡通訊端口。盡管管理網與生產網之間有防火墻等網絡安全設備，但由于通訊端口的開放，Buffer機也存在感染計算機病毒的可能。

　　OPC Server與Buffer通訊使用Microsoft的DCOM協(xié)議，OPC Server機須開放135遠程訪問端口(病毒經常攻擊的端口);在Buffer機中毒的情況下，OPC Server機(工程師站)很容易被病毒攻擊，從而導致工業(yè)控制系統(tǒng)(DCS等)反應滯后或死機，甚至感染病毒，給生產帶來安全隱患。

　　圖1 MES 系統(tǒng)Buffer&Shadow 結構圖

　　這樣的安全事故非常多。2010年9月伊朗的布什爾核電站受到針對工業(yè)控制系統(tǒng)編寫的破壞性Stuxnet震網病毒攻擊，Stuxnet利用對Windows系統(tǒng)和西門子自動控制系統(tǒng)的默認密碼，繞過漏洞程序進行攻擊。2011年11月黑客通過一臺位于俄羅斯的電腦入侵了美國伊利諾伊州斯普林菲爾德市(Springfield)的公共供水網絡系統(tǒng)，毀掉了一個向數(shù)千戶家庭供水的水泵。

　　2.2 主流的安全防護技術

　　目前，網絡安全技術、入侵檢測技術(IDS)、虛擬專用網絡(VPN)、防病毒、防火墻等，均不能實現(xiàn)網絡在OSI 7層上的完全隔離，不能有效保證MES對DCS控制系統(tǒng)不造成安全性風險。當前，業(yè)內主要是采用網絡隔離技術解決兩個不同安全域網絡的互聯(lián)問題，各國政府和跨國型企業(yè)都在大力研發(fā)和應用該技術。網絡隔離技術經過長期的發(fā)展和應用，目前已經發(fā)展到了第五代。第一代隔離技術采取的是絕對的物理隔離，將不同網絡從物理上隔開，從而產生了信息孤島;第二代網絡隔離技術采用的是硬件卡;第三代隔離技術采用將數(shù)據包進行轉發(fā);第四代網絡隔離技術中引進了空氣開關進行隔離;最新的第五代隔離技術采用的是安全通道隔離技術。

　　第五代網絡隔離技術使用專用通信硬件，采用私有安全協(xié)議來實現(xiàn)內部網絡與外部網絡的隔離和數(shù)據傳遞，這種方式解決了前幾代隔離技術的不足，不但安全地將內部外部網絡分離，同時還保證了兩網之間數(shù)據傳遞的高效安全，已成為當前隔離技術的主流發(fā)展方向。這種數(shù)據傳輸技術的核心是采用信息擺渡，物理傳輸信道只是在傳輸進行時建立，信息傳輸時先由信息源所在區(qū)域一端傳輸?shù)街虚g緩存區(qū)域，同時物理上斷開中間緩存區(qū)域與信息目的地所在區(qū)域的網絡連接，然后連通中間緩存區(qū)域與信息目的地所在區(qū)域的數(shù)據傳輸信道，將信息安全傳輸至目的區(qū)域，此時在信道上物理斷開信息源所在區(qū)域與中間緩存區(qū)域的連接。這保證了在任意時刻，中間緩存區(qū)域只與一個區(qū)域安全相連。與防火墻技術相比，防火墻技術是在保證信息傳輸?shù)那闆r下，盡力保證系統(tǒng)的安全性;而網絡隔離技術正好與之相反，是在保證系統(tǒng)安全的情況下，實現(xiàn)與外部的數(shù)據交換，一旦出現(xiàn)不安全的情形則斷開連接，網絡隔離的任務是解決和防范當前信息系統(tǒng)存在中的各種安全隱患：操作系統(tǒng)漏洞、TCP/IP漏洞、應用協(xié)議漏洞、鏈路連接漏洞、安全策略漏洞等。因此，網絡隔離技術是目前解決上述安全問題的唯一有效技術手段。

　　圖2 網絡隔離硬件結構示意圖

　　目前，工業(yè)領域用于保護控制網絡安全的網絡隔離產品有網閘、工業(yè)網絡安全防護網關等。這些隔離設備幾乎都是采用了本文所提到的第五代隔離技術，在此基礎上進行了開發(fā)和應用。這些隔離設備的核心是在OSI模型的七層上斷開網絡連接，利用“2+1”式的三模塊架構，也就是產品內包括兩種系統(tǒng)和一個私有的安全通道隔離單元用于交換數(shù)據。這種架構的好處是連接內部與外網的兩個主機的網絡是完全斷開的，剝離了TCP/IP協(xié)議，剝離了應用協(xié)議，在完成數(shù)據的安全交換后再進行通信協(xié)議的恢復和重建。通過TCP/IP協(xié)議的剝離和重建技術消除了TCP/IP協(xié)議存在的漏洞。通過在應用層對應用協(xié)議進行剝離和重建，防范了應用協(xié)議漏洞，與此同時還可以達到針對應用協(xié)議實現(xiàn)一些更為有效的訪問控制，從而阻擋當前TCP/IP存在的所有攻擊。

　　2.3 典型安全隔離產品介紹

　　一類是網閘。網閘產品的出現(xiàn)比較早，主要用于解決涉密網絡與外部網絡間的數(shù)據傳遞問題。網閘產品主要用于政府和企業(yè)中涉密業(yè)務比較多的辦公系統(tǒng)，它提供的功能也以通用的互聯(lián)網為主。

　　二是工業(yè)網絡安全防護網關。工業(yè)網絡安全防護網關是近幾年新發(fā)展的的專門應用于工業(yè)領域的網絡安全防護產品，主要采用“2+1”的三模塊架構，內置雙套操作系統(tǒng)，通信隔離單元通過總線技術建立安全通道來保障數(shù)據交換的安全和高效。網關產品與網閘產品比較，網關更是作為提供專門用于工業(yè)控制網絡的安全防護，因此網關只提供控制網絡所必需的通信需求，諸如OPC通信等，但不具備通用的互聯(lián)網功能。

　　3 安全方案設計

　　3.1 設計原則

　　對于MES系統(tǒng)而言，既要滿足應用的需要，又要保證工業(yè)控制系統(tǒng)安全，在實時數(shù)據采集安全方案中必須要增加安全防護硬件設備，該設備應具備第五代隔離技術的以對控制系統(tǒng)進行保護。該產品應該是一個非TCP/IP協(xié)議、跨平臺應用、具備單向傳輸?shù)群诵募夹g，以此效解決MES系統(tǒng)實施后的“兩網融合”產生的安全隱患。同時，該設備應該具備集中監(jiān)控、一鍵恢復等功能，提高系統(tǒng)穩(wěn)定性，且降低現(xiàn)場運維人員的工作量。

　　3.2 MES 系統(tǒng)數(shù)采安全方案

　　技術上，增加采用網絡隔離技術的安全防護設備，架設于MES實施數(shù)據采集機與OPC服務器之間，確保MES系統(tǒng)數(shù)據采集不影響DCS控制系統(tǒng)的安全性。該設備應該具備以下四個功能：

　　1)內外網處理單元為跨平臺系統(tǒng)。為了保證系統(tǒng)的安全性，內網處理單元應該為非Windows系統(tǒng)平臺，以屏蔽Windows操作系統(tǒng)的安全漏洞，阻止惡意代碼和病毒對控制系統(tǒng)的攻擊。

　　2)內外網處理單元之間為非TCP/IP協(xié)議。為了防止外網處理單元向內網處理單元傳輸惡意代碼和病毒，網絡隔離硬件中的專用傳輸通道使用私有網絡傳輸協(xié)議，以此規(guī)避TCP/IP協(xié)議的漏洞。

　　3)內外網處理單元之間只能進行單向傳輸。即只能由內網處理單元向外網處理單元傳輸數(shù)據，而不接受從外網處理單元向內網處理單元傳輸數(shù)據，從根本上杜絕病毒向控制網傳輸?shù)目赡堋?/FONT>