介紹工業以太網的應用現狀及發展趨勢,并在詳細分析工業以太網安全隱患的基礎上,根據近年來幾個大型合資石化項目的成功經驗,結合儀表自動化領域控制技術發展趨勢總結出了一套相對完整的、經過實際生產檢驗的工業以太網安全對策,對相關控制對象具有很好的安全保護作用。隨著以太網技術的進一步發展。有線、無線網絡的混合應用,對工業以太網的安全考驗會越來越多。從而也要求相應的更為嚴密的安全措施相距配。 20世紀90年代中期至21世紀初,各DCS廠商以信息技術的發展為依托,先后推出了集成高速工業以太網的第三代開放型DCS并已在現代化大工業中得到了大量的應用。由于工業以太網使用了通用以太網協議IEEE 802.3,一方面使原來封閉的DCS變為開放的DCS網絡,使網絡中原來使用的專用設備變為可任意插拔的工業用通用設備,大大降低了系統運行中的備品備件成本和維護難度;另一方面,使得DCS作為基礎控制系統而進行控制系統集成(采用OPC,Modbus等協議與PLC,ITCC,SIS,MMS 等系統通信),并作為所有生產信息數據匯總和上傳的集成化數據平臺;再者,使DCS與上層的信息管理網(MES和ERP及工程局域網)和Internet 的連接變得非常方便。同時,也正是由于工業以太網的廣泛應用,對DCS網絡運行的安全也造成了很大的沖擊:裝置事故狀態下的系統網絡通信安全及可能會受到包括病毒感染、黑客的非法入侵與非法操作等網絡安全威脅。為確保DCS網絡的安全運行,在系統選型、設計和實施過程中必須制訂一套切實可行的安全對策。
一、工業以太網的應用現狀及發展趨勢
一般來講,控制系統網絡可分為3層:信息層、控制層和設備層(傳感/執行層)。第三代DCS在信息層大都采用以太網,而在控制層和設備層一般采用不同的現場總線或其他專用網絡。目前,以太網已經滲透到了控制層和設備層,很多的PLC和遠程I/O供應商都能提供支持TCP/IP以太網接口的產品。以太網之所以在自動化領域得到廣泛應用,主要因為:低成本的刺激和速度的提高;現代企業對實時生產信息有越來越多的要求;以太網的開放性和兼容性。
以太網原有的缺點則由于技術的不斷進步而獲得大幅改進和完善。從以太網的發展進程來看,以太網有兩種:共享以太網(Shared Ethernet)和交換以太網(Switched Ethernet)。早期使用的共享以太網是多節點共享同一個傳輸媒體,節點間通信采用廣播方式,易發生沖突,使網絡通信具有不確定性,不能用于強實時性場合。現在常用的交換以太網克服了這一缺點,以太網的交換機(Switch)是數據鏈路層(ISO/OSI參考模型第二層)的多端口網橋,也可以說是智能分配器。交換機將其管理的網絡以星型拓撲結構劃分為許多物理上互相隔離而邏輯上互相聯系的節點,每一節點單獨與交換機建立物理連接,在通信的時候交換機會在發送端口與接受端口間建立一個獨占的全雙工通道,它具有以太網的全部帶寬并避免沖突。
交換以太網在獲得確定性的同時,傳輸速度也有極大的提高。千兆以太網已普及,10Gbit/s的交換以太網正在開發。當以太網用于信息技術時,應用層含有 HTTP(超級文本傳輸協議)、FTP(文件傳輸協議)、SMTP(簡單電子郵件傳送協議)和Telnet(遠程登錄)。這些基于TCP/IP的協議簇已經成為工業界事實上的網絡標準,在不同廠商的不同網絡系統互聯方面起著關鍵作用。但當以太網用于工業控制時,體現在應用層的是實時通信、用于系統組態的對象以及工程模型的應用協議。工業以太網和Internet技術的發展將完全改變傳統工業企業的網絡架構。工業以太網已經從信息層向下延伸到控制層和設備層,采用以太網架構以后,控制器的位置已突破傳統網絡架構的限制,既可以位于現場,也可以位于中央控制室。
目前控制器甚至遠程I/O支持以太網的功能越來越強,在有些控制器和遠程I/O模塊中已經集成了Web服務器,從而允許信息層的用戶也可以和控制層的用戶一樣直接獲取控制器和遠程I/O模塊中的當前狀態值。采用以太網架構和開放的軟件系統的制造企業也被稱為“透明工廠”。此外,通過Internet可以實現對工業生產過程的實時遠程監控,將實時生產數據與ERP系統以及實時的用戶需求結合起來,使生產不只是面向訂單的生產,而是直接面向機會和市場的“電子制造”,從而使企業能夠適應經濟全球化的要求。
二、工業以太網在應用中的安全隱患
某大型石化項目成功實施的一套完整的工業以太網DCS網絡結構及其與上層信息管理網接口界面圖。眾所周知,一套控制系統的安全隱患除了自身的影響外,就是來自外部界面的威脅。從圖1中可以看出,影響工業以太網 DCS網絡安全的隱患主要有:以太網運行速度及負荷、網絡連接和服務器終端等設備的可靠性;工業以太網與上層信息管理網接口、工業以太網與第三方OPC接口子系統之間的界面;操作站、工程師站和服務器之間的界面。
2.1 網絡自身問題帶來的安全隱患
工業以太網主要由網絡終端設備(服務器、工程師站、操作站及控制器等)和網絡連接設備(交換機、防火墻、路由器等)組成,但影響安全的因素主要是網速和設備的可靠性。
2.1.1 網速對安全的影響
由于工業以太網的介質訪問控制(MAC)層協議采用帶碰撞檢測的載波偵聽多址訪問(CSMA/CD)方式,當網絡負荷較重時,網絡的確定性不能滿足工業控制的實時性要求。有資料顯示當一個網絡的負荷低于36%時,基本上不會發生沖突,在負荷為10%以下時,10M以太網沖突幾率為每5年一次。100M以太網沖突幾率為每15年一次。但超過36%后隨著負荷的增加發生沖突的幾率是以幾何級數的速度增加的。如果正常情況下的網速太高,在生產裝置事故狀態下則由于訪問量的急劇增加而大幅提高工業以太網的負荷,從而影響網絡數據傳輸速度和裝置事故的及時處理和安全。
2.1.2 工業以太網網絡設備的穩定性對安全的影響
以太網用于工業控制必須具有很好的可靠性和運行穩定性,否則將對連續生產的工業流程帶來嚴重的威脅。
2.2 網絡對外連接帶來的隱患
由于作為DCS網絡的工業以太網需經實時數據庫將裝置生產數據上傳至工廠信息管理網的MES和ERP,而工廠信息管理網又與Internet相連。這就難以避免來自Internet和工廠信息管理網的黑客攻擊、信息阻塞、病毒,從而導致工業以太網的工作異常或癱瘓,使DCS網絡運行速度大幅降低或控制器處于失控狀態,嚴重威脅裝置的生產安全。
2.3 網絡終端與操作及維護人員界面帶來的安全隱患
如前所述,工業以太網終端以操作站、服務器和工程師站為主,主要用于系統維護、組態和生產操作。在工藝操作人員和系統維護工程師實施操作和系統維護時,其開放的光驅、USB接口均可成為危及工業以太網及其終端安全運行的病毒的侵人途徑,人為的非法操作、維護也會直接危及生產裝置和工業以太網及控制系統的安全運行。
三、安全對策
根據以上分析,在項目執行的不同階段應設計并實施相應的安全對策:
(1)項目規劃和DCS選型階段(總體設計階段)
此階段對所選DCS工業以太網的安全運行提出具體要求:網絡負荷、與MES等上層信息管理網的連接接口、終端界面的安全措施、系統使用賬戶管理、系統的在線可維護性要求及控制系統設備的具體選型等。
(2)基礎設計階段
對所選工業以太網的所有安全內容均提出具體要求和技術方案,編制設計文件作為后續工作的指南。
(3)詳細設計階段
按照上一階段的基礎設計文件進行系統配置、組態和測試。
(4)現場調試和驗收階段
在系統調試完成后對各界面接口的安全對策實施檢查確認,與生產和維護單位一起共同制訂合理的用戶管理策略、編制用戶等級和組態實施。
3.1 網絡負荷限制和設備穩定性要求
為確保項目DCS網絡在任何時候都能安全運行,有必要在系統選型時明確選用冗余容錯工業以太網,要求正常時不要超過網絡負荷的30%,系統響應時間不超過 1s,控制器負荷正常時不超過50%并留有一定的擴展空間等;同時,盡可能選用網速較高的工業以太網,現在1G的網絡已在工業生產中得到了廣泛的應用。對于網絡設備在選型時必須要求經過實際生產驗證的工業用通用設備,這樣既保證了設備的穩定性、安全性,也保證了高可用性和可維護性。
3.2 工業以太網與信息管理網接口的安全策略
工業以太網作為上層信息管理網的數據平臺,將盡可能多的生產裝置上實時數據采集到實時數據庫中并經防火墻傳送數據至MES和ERP:具體接口連接為工業以太網、防火墻、DMZ中間區域防護和MES數據采集服務器等,如圖2所示。由于MES和ERP與商用Internet相連,為保證工業以太網的切實安全,現在的大型項目一般采用如圖2所示的DMZ(demilitarized zone隔離區,內網和外網的緩沖區)中間防護策略。
將上層信息管理網需要訪問的實時數據庫容錯服務器置于DMZ層,使來自上層的信息管理網只能通過外部防火墻訪問到實時數據庫服務器,而不能通過內部防火墻至工業以太網。這樣來自Internet的攻擊將要通過外部防火墻、堡壘主機和內部防火墻等三道相互獨立的防線才能到達工業以太網,使攻擊難度大大加強,相應內部網絡的安全性也就大大加強。
3.3 全面加強工業以太網的安全管理
在安全管理上主要是防病毒網絡的設置和用戶管理策略的制訂及實施。由于現在以DCS為基礎控制系統,其工業以太網上集成了幾乎所有的控制系統,所以要保證工業以太網不受病毒攻擊,就必須使所有連接在工業以太網上的終端均受到防病毒軟件的保護,并實時更新病毒庫。具體措施:在DCS信息集成的工業以太網上配置一臺防病毒軟件服務器并安裝防病毒中心軟件,而相應需保護的工業以太網終端設備上則安裝客戶端軟件(常用的防病毒軟件為西門鐵克),并根據需要由服務器直接從Internet實時升級病毒庫或由相關維護工程師手動及時更新病毒庫。用戶管理策略一般可以采取以下措施:
(1)加強工藝操作人員和系統維護工程師的培訓工作,嚴格計算機操作及維護紀律,力爭將誤操作降到零水準。
(2)將安裝有開放的光驅和USB接口的操作站主機與顯示器及操作鍵盤異地放置,對不利于異地放置的地方則需對操作員賬戶屏蔽其對光驅和USB接口的操作功能;對服務器、工程師站則應對維護工程師的工作制訂嚴格的紀律以確保病毒不從光驅和USB接口進入工業以太網。
(3)根據使用者工作職責的不同建立不同級別的賬戶,使之操作行為受到相應的限制以保護DCS及其網絡的安全運行。
四、結束語
由于行業不同,對工業以太網應用安全的要求也不盡相同,各用戶可以根據自己的經驗和項目實際要求在應用以太網控制系統時配置自己的安全對策。上述對策是根據近年來幾個大型合資石化項目的成功經驗,結合儀表自動化領域控制技術發展總結而來的,經過實際生產的檢驗,對相關控制對象具有很好的安全保護作用。隨著以太網技術的進一步發展,有線、無線網絡的混合應用,對工業以太網的安全考驗會越來越多,從而也要求相應的更為嚴密的安全措施相匹配。