一种新型DCS系统信息安全设计方案

金亚东　毕艳梅

【摘 要】工控系统信息安全越来越受到国家和社会的重视，信息安全设计能够增加工控系统对信息威胁的免疫力，提升抵抗力。本文通过分析传统DCS系统在信息安全方面的“薄弱环节”，引入一种全新的信息安全设计方案。

【关键词】DCS；信息安全

0 引言

DCS系统在我国工控行业应用广泛，一旦系统信息安全出现漏洞，将会对我国的工业生产和经济造成极大的破坏。伴随着计算机技术和网络技术的不断发展，信息化和工业化融合的不断推进，DCS系统越来越多的采用通用硬件、通用软件、通用协议，使得系统在开放的同时，也减弱了系统与外界的隔离。DCS系统的安全隐患问题日益严峻，系统中任何一点受到攻击都有可能导致整个系统的瘫痪。

2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。本文以DCS系统为分析基础，介绍了一种全新的信息安全设计概念，在不改变系统架构的前提下解决当前传统DCS系统在信息安全方面的“薄弱环节”。

1 传统DCS系统的“薄弱环节”分析

下图为传统的双层网络DCS系统架构

传统的DCS系统的“薄弱环节”主要包括：

1.1 通信协议漏洞

TCP/IP协议和OPC协议等通用协议在DCS系统网络中被广泛地应用，随之而来的通信协议漏洞问题也日益突出。例如，OPC Classic协议（OPCDA，OPCHAD和OPCA&E）基于微软的DCOM协议，DCOM协议是在网络安全问题被广泛认识之前设计的，极易受到攻击。而且OPC通讯采用不固定的端口号，目前传统的IT防火墙几乎无法确保其安全性。

1.2 操作系统漏洞

目前大多数DCS系统的工程师站、操作员站、HMI都是基于Windows平台的，在系统开车后，为保证过程控制系统的相对独立性，同时兼顾到系统的稳定运行，将不会对Windows平台继续安装任何补丁。这样势必存在的问题是，系统不加装补丁就存在被攻击的可能，从而埋下安全隐患。

1.3 应用软件漏洞

DCS系统中安装的应用软件多种多样，很难形成统一的防护规范以应对安全问题；另外当应用软件面向网络应用时，就必须开放其应用端口。因此常规的IT防火墙等安全设备很难保障其安全性。某些别有用心的人员很有可能会利用一些应用软件的安全漏洞获取DCS系统的控制权限从而进行破坏、获利等非法活动。

1.4 安全策略和管理流程漏洞

为了更好的满足系统的可用性而牺牲安全，是很多DCS系统存在的普遍现象，缺乏完整有效的安全策略与管理流程也给DCS系统信息安全带来了一定的威胁。例如DCS系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。

1.5 杀毒软件漏洞

为了确保应用软件的可用性，许多DCS系统通常不会安装杀毒软件。即使安装了杀毒软件，在使用过程中也有很大的局限性，原因在于使用杀毒软件很关键的一点是，其病毒库需要不定期的经常更新，这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的，导致每年都会爆发大规模的病毒攻击，特别是新病毒。

2 新概念设计方案

针对传统DCS系统在信息安全方面的“薄弱环节”，提出一种全新概念的解决方案。以典型的二层网络架构为例：

2.1 过程控制网络采用POWERLINK现场总线方案替换传统的工业以太网。

该方案的特点：

1）基于标准硬件，完全兼容标准以太网；

2）确定性的实时通讯，在技术方面采用了SCNM时间槽通信管理机制，由此能够准确预测数据通讯的时间，从而实现了实时通讯的确定性；

3）适用系统广泛，POWERLINK适用于PLC，传感器，I/O模块，运动控制，安全控制，安全传感器、执行机构以及HMI系统等。

2.2 过程监控网络采用光纤通道交换机替换传统的以太网交换机。

该方案的特点：

1）采用光纤通道协议；

2）高数据传输速率（800和1600MB/S）；

3）高带宽低延迟（8Gbps/16Gbps）；

4）可靠性传输误码率<10-12。

2.3 采用国产操作系统：用国产操作系统（中标麒麟、Deepin等）替代国外操作系统能够极大提高信息安全，倪光南院士说过“国产操作系统最重要的优势是安全”

2.4 工程师站、操作员站中专用软件

1）安装应用程序白名单软件，只允许经过授权和安全评估的软件运行；

2）工程师、操作员站中专用软件进行权限管理，设置登录密码，敏感动作例如下装等设置口令。避免使用默认口令和弱口令，并且定期更新。

2.5 安全策略

1）工程师站、操作员站、服务器等主机拆除或禁用USB、光驱、无线等接口；

2）静态存储的重要数据进行加密存储；

3）动态传输的重要数据进行加密传输；

4）关键业务数据定期备份；

5）采用端口绑定技术，使交换机各应用端口与连接设备一一绑定，未进行绑定的设备交换机不识别，无法接入到网络中来。交换机上闲置的物理端口通过管理软件给予关闭；

6）禁止HTTP、FTP、Telnet等高风险通用网络服务；

7）禁止访问方在远程访问期间进行非法操作；

8）访问日志、操作日志等备份并能够追踪定位非授权访问行为；

9）通过工业防火墙、工业网闸等防护设备对控制网络安全区域之间进行逻辑隔离；

10）信息安全审计，对系统行为、应用程序活动、用（下转第69页）（上接第20页）户活动等进行安全审计从而发现系统漏洞、入侵行为等危害系统安全的隐患或行为；

11）设置镜像端口，对网络数据和网络流量进行监控；

12）网络攻击和异常行为识别、告警、记录；

13）发现、报告并处理包括木马病毒、端口扫描、暴力破解、异常流量、异常指令、伪造协议包等。

2.6 杀毒软件专设计算机

设置专用电脑用于安装杀毒软件，该计算机不与DCS系统连接，外部数据需经过杀毒软件扫描确认后方可拷贝到工程师站主机中。

2.7 嵌入式操作系統和芯片固件

采用国产嵌入式操作系统，例如：DeltaSystem和国产龙芯芯片替代国外的相关产品，从而避免国外厂商预留的后门和系统漏洞。

3 结论与展望

本文通过对传统DCS系统信息安全“薄弱环节”进行分析，给出了一种全新的设计方案。该方案在不改变传统架构的基础上，针对传统DCS系统的“薄弱环节”给出相应的设计方法，为DCS系统信息安全设计提供一条新的设计思路。

受到设备成本、国产设备性能等制约，本方案还处在概念阶段。期待不久的将来，随着我国工业水平的不断提升，方案的不断完善，能够真正应用到DCS系统，为DCS系统信息安全发挥其应有的作用。

【参考文献】

[1]工业和信息化部协[2011]451号通知.

[2]工业和信息化部.工业控制系统信息安全防护指南[S].2016（10）.

[责任编辑：田吉捷]