石化工业控制网络安全分析与防护

对于控制网络系统，由于安全漏洞可能带来的直接安全隐患有以下几种。

1、入侵

系统被入侵是系统常见的一种安全隐患。黑客侵入计算机和网络可以非法使用计算机和网络资源，甚至是完全掌控计算机和网络。

控制网络的计算机终端和网络往往可以控制诸如大型化工装置、公用工程设备，甚至核电站安全系统等大型工程化设备。黑客一旦控制该系统，对系统造成一些参数的修改，就可能导致生产运行的瘫痪，就意味着可能利用被感染的控制中心系统破坏生产过程、切断整个城市的供电系统、恶意污染饮用水甚至是破坏核电站的正常运行。随着近些年来越来越多的控制网络接入到互联网当中，这种可能就越来越大。

2、拒绝服务攻击

受到拒绝服务攻击是一种危害很大的安全隐患。常见的流量型攻击如Ping Flooding、UDP Flooding等，以及常见的连接型攻击如SYN Flooding、ACK Flooding等，通过消耗系统的资源，如网络带宽、连接数、CPU处理能力等使得正常的服务功能无法进行。拒绝服务攻击难以防范的原因是它的攻击对象非常普遍，从服务器到各种网络设备如路由器、交换机、防火墙等都可以被拒绝服务攻击。

控制网络一旦遭受严重的拒绝服务攻击就会导致操作站的服务瘫痪，与控制系统的通信完全中断等。可以想像，受到拒绝服务攻击后的控制网络可能导致网络中所有操作站和监控终端无法进行实时监控，其后果是非常严重的。而传统的安全技术对拒绝服务攻击几乎不可避免，缺乏有效的手段来解决。

3、病毒与恶意代码

病毒的泛滥是大家有目共睹的。全球范围内，每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒，并且还在以每天数十余种的速度增长。除了传统意义上的具有自我复制能力但必须寄生在其它实用程序中的病毒外，各种新型的恶意代码也层出不穷，如陷阱门、逻辑炸弹、特洛伊木马、蠕虫、Zombie等。新型的恶意代码具有更强的传播能力和破坏性。例如蠕虫，从广义定义来说也是一种病毒，但和传统病毒相比最大不同在于自我复制过程。传统病毒的自我复制过程需要人工干预，无论运行感染病毒的实用程序，或者是打开包含宏病毒的邮件等，没有人工干预病毒无法自我完成复制、传播。但蠕虫却可以自我独立完成以下过程：

1. 查找远程系统：能够通过检索已被攻陷的系统的网络邻居列表或其它远程系统地址列表找出下一个攻击对象。

2. 建立连接：能够通过端口扫描等操作过程自动和被攻击对象建立连接，如Telnet连接等。

3. 实施攻击：能够自动将自身通过已经建立的连接复制到被攻击的远程系统，并运行它。

一旦计算机和网络染上了恶意代码，安全问题就不可避免。

常规网络安全技术

石化企业随着信息系统的不断发展，大量IT技术被引入，同时也包括各种IT网络安全技术。目前以MES为代表的信息系统在实现控制网络接入信息网络时，也基本都考虑了对控制网络的安全防护。但目前对控制网络的防护，大部分采用的是常规网络安全技术，主要包括防火墙、IDS、VPN、防病毒等。这些技术主要面向商用网络应用。

在企业的信息化系统中，由办公网络、管理网络组成的信息网络与商用网络的运维特点比较相似，因此采用常规网络安全技术是适合的。而控制网络特点则有很大不同。

控制网络是控制系统如DCS各部件协同工作的通信网络。控制系统负责对生产装置的连续不间断地生产控制，因此控制网络同样具有连续不可间断的高可靠性要求。另一方面，控制网络也是操作人员对控制系统实时下发控制指令的重要途径，所以控制网络又具有不可延迟的高实时性要求。

在商用网络里可以存在病毒，几乎每天都有新的补丁出现，计算机可能会死机、暂停，而这些如果发生在控制网络里几乎是不可想象的。为了保证生产安全，在极端情况下，即便将控制网络与信息网络断开，停止与信息网络交换数据也要保证控制系统的安全。因此，过程生产的连续不可间断的高可靠性要求控制网络具备更高的安全性。

另外，从数据安全角度来看，商用网络往往对数据的私密性要求很高，要防止信息的泄露，而控制网络强调的是数据的可靠性。另外，商用网络的应用数据类型极其复杂，传输的通信标准多样化，如HTTP、SMTP、FTP、SOAP等；而控制网络的应用数据类型相对单一，以过程数据为主，传输的通信标准以工业通信标准为主，如OPC、Modbus等。

通过比较商用网络与控制网络的差异可以发现，常规的IT网络安全技术都不是专门针对控制网络需求设计的，用在控制网络上就会存在很多局限性。

比如防火墙产品，目前基本是以包过滤技术为基础的，它最大的局限性在于不能保证准许放行的数据的安全性。防火墙通过拒绝放行并丢弃数据包来实现自己的安全机制。但防火墙无法保证准许放行数据的安全性。从实际应用来看，防火墙较为明显的局限性包括以下几方面：

1）、防火墙不能阻止感染病毒的程序和文件的传输。就是防火墙只能做网络四层以下的控制，对于应用层内的病毒、蠕虫都没有办法。

2）、防火墙不能防范全新的威胁，更不能防止可接触的人为或自然的破坏。

3）、防火墙不能防止由自身安全漏洞引起的威胁。

4）、防火墙对用户不完全透明，非专业用户难于管理和配置，易造成安全漏洞。

5）、防火墙很难为用户在防火墙内外提供一致的安全策略，不能防止利用标准网络协议中的缺陷进行的攻击，也不能防止利用服务器系统漏洞所进行的攻击。

6）、由于防火墙设置在内网与外网通信的信道上，并执行规定的安全策略，所以防火墙在提供安全防护的同时，也变成了网络通信的瓶颈，增加了网络传输延时，如果防火墙出现问题，那么内部网络就会受到严重威胁。

7）、防火墙仅提供粗粒度的访问控制能力。它不能防止数据驱动式的攻击。

另一方面，防火墙由于其自身机理的原因，还存在很多先天不足，主要包括：

1）、由于防火墙本身是基于TCP/IP协议体系实现的，所以它无法解决TCP/IP协议体系中存在的漏洞。

2）、防火墙只是一个策略执行机构，它并不区分所执行政策的对错，更无法判别出一条合法政策是否真是管理员的本意。从这点上看，防火墙一旦被攻击者控制，由它保护的整个网络就无安全可言了。

3）、防火墙无法从流量上判别哪些是正常的，哪些是异常的，因此容易受到流量攻击。

4）、防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高，需要对数据包检查的项目（即防火墙的功能）就越多越细，对CPU和内存的消耗也就越大，从而导致防火墙的性能下降，处理速度减慢。

5）、防火墙准许某项服务，却不能保证该服务的安全性，它需要由应用安全来解决。

防火墙正是由于这些缺陷与不足，导致目前被攻破的几率已经接近50%。虽然目前最流行的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保障体系。然而，以防火墙为核心的安全防御体系未能有效地防止目前频频发生网络攻击。仅有防火墙的安全架构是远远不够的。

其它安全技术如IDS、VPN、防病毒产品等与产品与防火墙一样，也都有很强的针对性，只能管辖属于自己管辖的事情，出了这个边界就不再能发挥作用。IDS作为可审查性产品最大的局限性是漏报和误报严重，几乎不是一个可以依赖的安全工具，而是一个参考工具。漏报等于没有报，误报则是报错了，这两个特点几乎破坏了入侵检测的可用性。VPN作为一种加密类技术，不管哪种VPN技术，在设计之初都是为了保证传输安全问题而设计的，而没有动态、实时的检测接入的VPN主机的安全性，同时对其作“准入控制”。这样有可能因为一个VPN主机的不安全，导致其整个网络不安全。防病毒产品也有局限性，主要是对新病毒的处理总是滞后的，这导致每年都会大规模地爆发病毒，特别是新病毒。

网络隔离技术及防护产品

1、网络隔离技术

在防火墙的发展过程中，人们最终意识到防火墙在安全方面的局限性。高性能、高安全性、易用性方面的矛盾没有很好地解决。防火墙体系架构在高安全性方面的缺陷，驱使人们追求更高安全性的解决方案，人们期望更安全的技术手段，网络隔离技术应运而生。

网络隔离技术是安全市场上的一个分支。在经过漫长的市场概念澄清和技术演变进步之后，市场最终接受了网络隔离具有最高的安全性。目前存在的安全问题，对网络隔离技术而言在理论上都不存在。这就是各国政府和军方都大力推行网络隔离技术的主要原因。