淺析DCS/SIS工業控制系統安全風險及應對方法

趙春娟

【摘 要】DCS/SIS工業控制系統是指針對工業工藝流程建立一個連續運轉、具有高度智能的自動化集散控制系統和安全儀表系統。近年來，伴隨著技術變革的深入，工業控制也變得愈加復雜，每個工業控制項目都有各自特點，如何將風險管理貫穿始終，將成為近階段的重要課題，本文主要以DCS/SIS的安全風險及應對方法為對象加以分析，找出部分現場采取的應對方法，表明控制系統網絡安全風險是可以得到控制并提前防護的。

【關鍵詞】DCS；SIS；工業控制

一、DCS/SIS系統安全及現狀

典型的DCS/SIS控制通常由控制回路、HMI（人機接口）、遠程診斷與維護工具三部分組件共同完成，控制回路用以控制邏輯運算，HMI執行信息交互，遠程診斷與維護工具確保出現異常操作時的診斷和恢復。

與傳統的信息系統安全需求不同，DCS系統設計需要兼顧應用場景與控制管理等多方面因素，以優先確保系統的高可用性和業務連續性。在這種設計理念的影響下，缺乏有效的安全防御和數據通信保密措施是很多工業控制系統所面臨的難題。

二、DCS/SIS系統安全風險分析及應對方法

工業控制系統的安全性直接影響到生產過程的安全實施，為兼顧工業應用的場景和執行效率，在追求SIS系統高可用性和DCS系統業務連續性的過程中，用戶往往會被動地降低控制系統的安全防御需求。識別工業控制存在的風險與安全隱患，實施相應的安全保障策略是確保DCS/SIS系統穩定運行的有效手段。

（一）操作系統與外接設備交互的風險性

追求可用性而犧牲安全，這是很多工業控制系統存在普遍現象，很多已經實施了安全防御措施的DCS/SIS網絡仍然會因為管理或操作上的失誤，造成DCS/SIS系統出現潛在的安全短板。例如，工業控制系統中的移動存儲介質的使用和不嚴格的訪問控制策略。

應對方法：制定關鍵設備信息安全評測制度，防范關鍵設備中預留后門及多余功能。主要是對工業控制系統的設備、系統進行評測和檢測，確保關鍵設備、軟件沒有預埋的、不為我們所知的一些功能。首先，落實工業控制系統的信息安全檢查制度；再者，加強工業控制系統病毒防治工作，落實工業控制系統防治病毒管理規定，嚴格控制系統訪問權限及移動存儲介質的使用。

例如：天津LNG項目采用YOKOGAWA CENUM VP與PROSAFE-RS控制系統，廠家對該DCS系統和SIS系統進行了無縫整合，在硬件方面兩者處于同一控制網絡下，而SIS安全系統中的SENG也可以和DCS系統中的ENG整合在一起，在數據的傳輸中響應速度更快，處理數據的能力更強。但CENTUM VP與PROSAFE-RS系統在實際運用中開放性過高、且在安全方面過于依賴Windows平臺，從而給其自身的系統安全性帶來較大隱患。為此，歸納了當前運行版本的DCS（CENTUM VP）系統與SIS（PROSAFE-RS）在工程應用中涉及到的安全問題的實際處理方法。

該裝置的DCS控制系統軟件版本為R5.04.20，SIS系統的版本為R3.02.20，其操作系統為Windows 7 Professional?，F在采用的系統版本延續使用了自R3版本以來的“CENTUM Desktop”環境，可禁止用戶更改Windows系統設置。但是DCS/SIS系統安全措施做得不夠完善，未將與生產操作無關的功能徹底鎖死，即操作站仍可以進行生產相關操作以外的操作，給控制系統的安全運行帶來隱患，具體原因是Windows7的默認狀態不能為CENTUM VP系統提供安全的運行環境。

Windows 7 Professional安裝結束后，光驅與USB接口均處于“自動播放”狀態，即使在“CENTUM Desktop”環境下，當放入光盤或插入移動存儲設備時也可自動打開或自動運行，極有可能將病毒帶入操作站中。此外，自Windows 95問世以后，計算機鍵盤上增加了“Windows鍵”，Windows 7 Professional平臺賦予了“Windows鍵”與其它鍵組合出的多種快捷方式，提高了用戶操作的便捷性，但在“CENTUM Desktop”環境下，“Windows鍵”的組合功能未被完全屏蔽，用戶可通過“Windows鍵”的組合功能對系統設置進行修改。

雖然可以通過加強對操作員工的管理而盡量避免上述破壞性事件的發生，但系統組態與維護人員仍有必要制訂相應的技術防范措施，從根本上提高操作站的安全性。

技術防范措施：

1.將操作站的普通鍵盤改為專門用于操作的操作員鍵盤；

2.禁用鍵盤上的“Windows鍵”組合功能；

3.隱藏“CENTUM”用戶權限下開始菜單中影響系統安全無關組件；

4.屏蔽“CENTUM”用戶權限下由任務欄圖標進入硬盤目錄的途徑；

5.取消“CENTUM”用戶權限下光驅與USB接口的自動播放功能；

6.關閉USB接口的存儲設備接入功能；

7.禁用USB移動存儲設備。

（二）工控平臺的風險性

隨著TCP/IP等通用協議與開發標準引入工業控制系統，開放、透明的工業控制系統同樣為物聯網、云計算、移動互聯網等新興技術領域開辟出廣闊的想象空間。理論上，絕對的物理隔離網絡正因為需求和業務模式的改變而不再切實可行，目前，多數工業控制網絡僅通過部署防火墻來保證工業網絡與辦公網絡的相對隔離，各個工業自動化單元之間缺乏可靠的安全通信機制，工業控制系統的安全防御能力十分有限。

應對方法：就目前而言，傳統的IT防火墻已無法滿足工業控制系統的需求，但越來越多的控制系統廠家注重網絡安全，在控制層面就加裝了防火墻，同時，市面上也有工業級防火墻的出現，針對控制層的網絡協議作出相應的防護，對Modbus和OPC的協議內容進行檢查和連接管理。不管是控制系統本身自帶的防火墻還是專業的工業級防火墻，都可以針對工控平臺的風險性起到彌補作用。

（三）網絡的風險性

通用以太網技術的引入讓工業控制變得智能，也讓工業控制網絡愈發透明、開放、互聯，TCP/IP存在的威脅同樣會在工業網絡中重現，此外，工業控制網絡的專屬控制協議更為攻擊者提供了了解工業控制網絡內部環境的機會。為確保工業網絡的安全穩定運營，必須針對DCS/SIS網絡環境進行實時異常行為的"發現、檢測、清除、恢復、審計"一體化的保障機制。當前DCS/SIS網絡主要的風險性集中體現為：邊界安全策略缺失；系統安全防御機制缺失；管理制度缺失或不完善；網絡配置規范缺失；監控與應急響應制度缺失；網絡通信保障機制缺失。

應對方法：針對TCP/IP存在的威脅只運用原有的防火墻及防護方法采取應對措施，而工業控制網絡的專屬控制協議防護則應更加有針對性，控制層和數據層的隔離防護，控制層網絡的冗余化等，都是可以有針對性的起到保護作用。

三、結束語

綜上所述，工業控制系統網絡安全問題始終存在，而且由于TCP/IP技術的深入運用，對控制系統威脅越來越多，但是我們始終能找到應對方法，不管是從構建滿足工業控制系統的安全體系，從管理、流程、架構、設備等多個角度發展防護技術，把最新技術應用到實處，還是從落實相關制度方面，都應該不斷的改進并完善，這才是保證工業控制網絡安全的最有效手段。