&

我國工業(yè)網(wǎng)絡(luò)安全的探索者

——— 訪混合流程工業(yè)自動化系統(tǒng)及裝備技術(shù)國家重點實驗室張云貴教授

2012/3/8 10:51:58

一則因“震網(wǎng)”(Stuxnet)病毒引發(fā)對伊朗核電站自動化系統(tǒng)的破壞，引起了全球?qū)I(yè)網(wǎng)絡(luò)安全的高度關(guān)注。然而，當我國流程工業(yè)中自動化的關(guān)鍵設(shè)備還處于依賴于進口的局面下，掌握并尋找一種百毒不侵，保證工業(yè)基礎(chǔ)設(shè)施信息安全的方法則顯得至關(guān)重要。

時事造就英雄。在我國流程工業(yè)中，有這么一支隊伍，他們主動承擔(dān)了我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全解決方案的研究探索，他們排除障礙，久經(jīng)驗證，憑借行業(yè)中深厚扎實的技術(shù)功底，成功的尋找到一把開啟保障我國工業(yè)網(wǎng)絡(luò)安全的鑰匙。他們就是冶金自動化研究設(shè)計院混合流程工業(yè)自動化系統(tǒng)及裝備技術(shù)國家重點實驗室。在工業(yè)化與信息化深度融合發(fā)展的今天，中國工控網(wǎng)記者懷著敬畏與喜悅之情，采訪了該課題的負責(zé)人張云貴教授，以期對目前我國工業(yè)網(wǎng)絡(luò)安全現(xiàn)狀及解決方案做詳細了解。

工業(yè)網(wǎng)絡(luò)安全更像“溫水煮青蛙”

在“兩化融合”的科學(xué)發(fā)展推動和激烈的市場競爭形勢下，越來越多的工業(yè)控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)連接在一起，來自工廠信息網(wǎng)絡(luò)、移動存儲介質(zhì)、因特網(wǎng)以及其他因素導(dǎo)致的網(wǎng)絡(luò)安全問題就像蠕蟲一般，逐漸在控制系統(tǒng)中擴散。它們潛伏在工業(yè)信息層，隨時有可能引起工業(yè)基礎(chǔ)設(shè)施的癱瘓，這對企業(yè)來說可謂是致命一擊。尤其是在復(fù)雜的生產(chǎn)工業(yè)環(huán)境下，諸如冶金、石油化工、天然氣等基礎(chǔ)領(lǐng)域，災(zāi)難一旦爆發(fā)，后果難以想象。這樣的隱患被張教授形象的稱為“溫水煮青蛙”。

事實證明，張教授的觀點有據(jù)可依。Stuxnet病毒作為一個標志性事件，該病毒主要通過U盤和局域網(wǎng)進行傳播，由于其安裝了SIMATIC WinCC系統(tǒng)的電腦，它一般會與互聯(lián)網(wǎng)物理隔絕，黑客特意強化了病毒的U盤傳播能力。如果企業(yè)沒有針對U盤等可移動設(shè)備進行嚴格管理，導(dǎo)致有人在局域網(wǎng)內(nèi)使用了帶毒U盤，通過U盤傳播，自動化識別攻擊對象，可以取得自動化系統(tǒng)的控制權(quán)限，從而發(fā)生竊取保密信息，破壞系統(tǒng)運行，甚至控制系統(tǒng)的運行等。

據(jù)了解，Stuxnet病毒專門針對西門子公司的SIMATIC WinCC監(jiān)控與數(shù)據(jù)采集(SCADA) 系統(tǒng)進行攻擊。由于該系統(tǒng)在我國的多個重要行業(yè)應(yīng)用廣泛，被用來進行鋼鐵、電力、能源、化工等重要行業(yè)的人機交互與監(jiān)控，一旦攻擊成功，則可能造成使用這些企業(yè)運行異常，甚至造成商業(yè)資料失竊、停工停產(chǎn)等嚴重事故。

知己知彼才能百戰(zhàn)不殆。在對抗工業(yè)病毒的這場戰(zhàn)役中，張教授以及他的團隊通過嘗試引入各種各樣的病毒專門針對西門子PLC應(yīng)用進行理論與實驗的論證，終于研發(fā)出了一條可取之道。

在我國流程工業(yè)領(lǐng)域95%的設(shè)備仍依賴于進口，這對國內(nèi)技術(shù)專家來說，從進口設(shè)備入手尋找一種行之有效的解決方案無疑是難上加難。但對于這個有著多年冶金行業(yè)技術(shù)的專家團隊來說，他們獨辟蹊徑選擇了走外圍的保證工業(yè)網(wǎng)絡(luò)安全防護路線。

根據(jù)客戶對安全防護等級的定義，在控制器與操作站之間安裝工業(yè)防火墻，能夠隱藏被保護對象的所有IP地址；在控制和數(shù)采網(wǎng)兩層增加OPC通信協(xié)議防火墻；其次在APC網(wǎng)絡(luò)和其它網(wǎng)絡(luò)之間安全安全設(shè)備模塊，主要解決APC網(wǎng)絡(luò)區(qū)域其它網(wǎng)絡(luò)之間的病毒互相感染問題，最后安裝工業(yè)安全管理平臺，通過一臺工作站集中組態(tài)、管理和監(jiān)測所有TSA及所在網(wǎng)絡(luò)，防止病毒入侵。

在這看似嚴加防護，重兵把守的隔離式解決方案的守護下，該解決方案具有滿足工業(yè)型的特點，內(nèi)置幾十種常見的工業(yè)通信協(xié)議，為工業(yè)通訊提供獨特的、工業(yè)級的專業(yè)隔離防護解決方案；安裝的該工業(yè)防火墻具有獨有的安全連接技術(shù)，它集防火墻與虛擬路由于一身，能夠像網(wǎng)絡(luò)警察一樣管控網(wǎng)絡(luò)數(shù)據(jù)通訊的路徑、對象以及數(shù)據(jù)流的方向；還可以達到實時網(wǎng)絡(luò)通訊透視鏡功能，為控制系統(tǒng)網(wǎng)絡(luò)故障分析、監(jiān)控、記錄提供簡單、有效的可靠工具，實現(xiàn)對非法通信的實時報警，來源確認、歷史積累，達到保證控制網(wǎng)絡(luò)的實時診斷。

張教授強調(diào)說：“該解決方案的實施從技術(shù)上最大程度地消除了因病毒感染、網(wǎng)絡(luò)故障、IP故障、線路故障引起的工業(yè)控制網(wǎng)絡(luò)安全隱患，并能阻止現(xiàn)有Stuxnet病毒的入侵，對非法網(wǎng)絡(luò)通信進行實時報警、來源確認，歷史記錄，對于這種能夠追本溯源、總攬大局的網(wǎng)絡(luò)化安全管理，可以稱為‘看得見的工業(yè)網(wǎng)絡(luò)安全’”。

據(jù)張教授介紹，目前國內(nèi)有幾家大型鋼鐵廠有意向采用該解決方案。在筆者看來，對鋼鐵企業(yè)來說，由于工業(yè)網(wǎng)絡(luò)安全故障導(dǎo)致的安全生產(chǎn)事故，動輒使企業(yè)損失數(shù)百萬，如果企業(yè)能夠防患于未然，盡早對其實施工業(yè)安全防護，則可以減少因網(wǎng)絡(luò)安全導(dǎo)致的生命財產(chǎn)的損失，同時體現(xiàn)了企業(yè)對高效生產(chǎn)、安全運行的重視，更顯示了企業(yè)對國家經(jīng)濟安全和人民生命財產(chǎn)安全的責(zé)任。

結(jié)束語： 青，取之于藍，而青于藍；冰，水為之，而寒于水。工業(yè)網(wǎng)絡(luò)安全的隱患來源于工業(yè)領(lǐng)域中一切可滋生其生存的工業(yè)環(huán)境以及工業(yè)設(shè)備，但其危害性足以讓整個工業(yè)功虧一簣。為此，張教授希望能夠與諸如西門子等自動化領(lǐng)軍企業(yè)合作，發(fā)揮各自在工業(yè)領(lǐng)域的不同優(yōu)勢，進行強強聯(lián)合，從根源上杜絕一切安全隱患的發(fā)生。（文/gongkong 張瑩）