工業(yè)以太網(wǎng)實際應用中的安全對策

0 引言

20世紀90年代中期至21世紀初，各DCS廠商以信息技術(shù)的發(fā)展為依托，先后推出了集成高速工業(yè)以太網(wǎng)的第三代開放型DCS并已在現(xiàn)代化大工業(yè)中得到了大量的應用。由于工業(yè)以太網(wǎng)使用了通用以太網(wǎng)協(xié)議IEEE802.3，一方面使原來封閉的DCS變?yōu)殚_放的DCS網(wǎng)絡，使網(wǎng)絡中原來使用的專用設備變?yōu)榭扇我獠灏蔚墓I(yè)用通用設備，大大降低了系統(tǒng)運行中的備品備件成本和維護難度;另一方面，使得DCS作為基礎控制系統(tǒng)而進行控制系統(tǒng)集成(采用OPC，Modbus等協(xié)議與PLC，IT02，SIS，MMS等系統(tǒng)通信)，并作為所有生產(chǎn)信息數(shù)據(jù)匯總和上傳的集成化數(shù)據(jù)平臺;再者，使DCS與上層的信息管理網(wǎng)(MES和ERP及工程局域網(wǎng))和Internet的連接變得非常方便。同時，也正是由于工業(yè)以太網(wǎng)的廣泛應用，對DCS網(wǎng)絡運行的安全也造成了很大的沖擊：裝置事故狀態(tài)下的系統(tǒng)網(wǎng)絡通信安全及可能會受到包括病毒感染、黑客的非法入侵與非法操作等網(wǎng)絡安全威脅。為確保DCS網(wǎng)絡的安全運行，在系統(tǒng)選型、設計和實施過程中必須制訂一套切實可行的安全對策。

1 工業(yè)以太網(wǎng)的應用現(xiàn)狀及發(fā)展趨勢

一般來講，控制系統(tǒng)網(wǎng)絡叮分為3層：信息層、控制層和設備層(傳感/執(zhí)行層)。第三代DCS在信息層大都采用以太網(wǎng)，而在控制層和設備層一般采用不同的現(xiàn)場總線或其他專用網(wǎng)絡。目前，以太網(wǎng)已經(jīng)滲透到了控制層和設備層，很多的PLC和遠程I/O供應商都能提供支持TCP/IP以太網(wǎng)接口的產(chǎn)品。以太網(wǎng)之所以在自動化領域得到廣泛應用，主要因為：低成本的刺激和速度的提高;現(xiàn)代企業(yè)對實時生產(chǎn)信息有越來越多的要求;以太網(wǎng)的開放性和兼容性。

以太網(wǎng)原有的缺點則由于技術(shù)的不斷進步而獲得大幅改進和完善。從以太網(wǎng)的發(fā)展進程來看，以太網(wǎng)有兩種：共享以太網(wǎng)(Shared Ethernet)和交換以太網(wǎng)(Switched Ethernet)。早期使用的共享以太網(wǎng)是多節(jié)點共享同一個傳輸媒體，節(jié)點間通信采用廣播方式，易發(fā)生沖突，使網(wǎng)絡通信具有不確定性，不能用于強實時性場合?，F(xiàn)在常用的交換以太網(wǎng)克服了這一缺點，以太網(wǎng)的交換機(Switch)是數(shù)據(jù)鏈路層(ISO/0SI參考模型第二層)的多端口網(wǎng)橋，也可以說是智能分配器。交換機將其管理的網(wǎng)絡以星型拓撲結(jié)構(gòu)劃分為許多物理上互相隔離而邏輯上互相聯(lián)系的節(jié)點，每一節(jié)點單獨與交換機建立物理連接，在通信的時候交換機會在發(fā)送端口與接受端口間建立一個獨占的全雙工通道，它具有以太網(wǎng)的全部帶寬并避免沖突。

交換以太網(wǎng)在獲得確定性的同時，傳輸速度也有極大的提高。千兆以太網(wǎng)已普及，10 Gbit/s的交換以太網(wǎng)正在開發(fā)。當以太網(wǎng)用于信息技術(shù)時，應用層含有HTTP(超級文本傳輸協(xié)議)、FTP(文件傳輸協(xié)議)、SMTP(簡單電子郵件傳送協(xié)議)和Telnet(遠程登錄)。這些基于TCP/IP的協(xié)議簇已經(jīng)成為工業(yè)界事實上的網(wǎng)絡標準，在不同廠商的不同網(wǎng)絡系統(tǒng)互聯(lián)方面起著關鍵作用。但當以太網(wǎng)用于工業(yè)控制時，體現(xiàn)在應用層的是實時通信、用于系統(tǒng)組態(tài)的對象以及工程模型的應用協(xié)議。工業(yè)以太網(wǎng)和Internet技術(shù)的發(fā)展將完全改變傳統(tǒng)工業(yè)企業(yè)的網(wǎng)絡架構(gòu)。工業(yè)以太網(wǎng)已經(jīng)從信息層向下延伸到控制層和設備層，采用以太網(wǎng)架構(gòu)以后，控制器的位置已突破傳統(tǒng)網(wǎng)絡架構(gòu)的限制，既可以位于現(xiàn)場，也可以位于中央控制室。目前控制器甚至遠程I/0支持以太網(wǎng)的功能越來越強，在有些控制器和遠程I/0模塊中已經(jīng)集成了Web服務器，從而允許信息層的用戶也可以和控制層的用戶一樣直接獲取控制器和遠程I/0模塊中的當前狀態(tài)值。采用以太網(wǎng)架構(gòu)和開放的軟件系統(tǒng)的制造企業(yè)也被稱為“透明工廠”。此外，通過Internet可以實現(xiàn)對工業(yè)生產(chǎn)過程的實時遠程監(jiān)控，將實時生產(chǎn)數(shù)據(jù)與ERP系統(tǒng)以及實時的用戶需求結(jié)合起來，使生產(chǎn)不只是面向訂單的生產(chǎn)，而是直接面向機會和市場的“電子制造”，從而使企業(yè)能夠適應經(jīng)濟全球化的要求。

2 工業(yè)以太網(wǎng)在應用中的安全隱患

圖1為某大型石化項目成功實施的一套完整的工業(yè)以太網(wǎng)DCS網(wǎng)絡結(jié)構(gòu)及其與上層信息管理網(wǎng)接口界面圖。眾所周知，一套控制系統(tǒng)的安全隱患除了自身的影響外，就是來自外部界面的威脅。從圖1中可以看出，影響工業(yè)以太網(wǎng)DCS網(wǎng)絡安全的隱患主要有：以太網(wǎng)運行速度及負荷、網(wǎng)絡連接和服務器終端等設備的可靠性;工業(yè)以太網(wǎng)與上層信息管理網(wǎng)接口、工業(yè)以太網(wǎng)與第三方()PC接口子系統(tǒng)之間的界面;操作站、工程師站和服務器之間的界面。

點擊圖片查看大圖

圖1 工業(yè)以太網(wǎng)DCS網(wǎng)絡結(jié)構(gòu)及其與上層信息管理網(wǎng)接口界面

2.1 網(wǎng)絡自身問題帶來的安全隱患

工業(yè)以太網(wǎng)主要由網(wǎng)絡終端設備(服務器、工程師站、操作站及控制器等)和網(wǎng)絡連接設備(交換機、防火墻、路由器等)組成，但影響安全的因素主要是網(wǎng)速和設備的可靠性。

a)網(wǎng)速對安全的影響。由于工業(yè)以太網(wǎng)的介質(zhì)訪問控制(MAC)層協(xié)議采用帶碰撞檢測的載波偵聽多址訪問(CSMA/CD)方式，當網(wǎng)絡負荷較重時，網(wǎng)絡的確定性不能滿足工業(yè)控制的實時性要求。有資料顯示當一個網(wǎng)絡的負荷低于36%時，基本上不會發(fā)生沖突，在負荷為10%以下時，10 M以太網(wǎng)沖突幾率為每5年一次。100 M以太網(wǎng)沖突幾率為每15年一次。但超過36%后隨著負荷的增加發(fā)生沖突的幾率是以幾何級數(shù)的速度增加的。如果正常情況下的網(wǎng)速太高，在生產(chǎn)裝置事故狀態(tài)下則由于訪問量的急劇增加而大幅提高工業(yè)以太網(wǎng)的負荷，從而影響網(wǎng)絡數(shù)據(jù)傳輸速度和裝置事故的及時處理和安全。

b)工業(yè)以太網(wǎng)網(wǎng)絡設備的穩(wěn)定性對安全的影響。以太網(wǎng)用于工業(yè)控制必須具有很好的可靠性和運行穩(wěn)定性，否則將對連續(xù)生產(chǎn)的工業(yè)流程帶來嚴重的威脅。

2.2 網(wǎng)絡對外連接帶來的隱患

如圖1所示，由于作為DCS網(wǎng)絡的工業(yè)以太網(wǎng)需經(jīng)實時數(shù)據(jù)庫將裝置生產(chǎn)數(shù)據(jù)上傳至工廠信息管理網(wǎng)的MES和ERP，而工廠信息管理網(wǎng)又與Internet相連。這就難以避免來自Internet和工廠信息管理網(wǎng)的黑客攻擊、信息阻塞、病毒，從而導致工業(yè)以太網(wǎng)的工作異常或癱瘓，使DCS網(wǎng)絡運行速度大幅降低或控制器處于失控狀態(tài)，嚴重威脅裝置的生產(chǎn)安全。

2.3 網(wǎng)絡終端與操作及維護人員界面帶來的安全隱患

如前所述，工業(yè)以太網(wǎng)終端以操作站、服務器和工程師站為主，主要用于系統(tǒng)維護、組態(tài)和生產(chǎn)操作。在工藝操作人員和系統(tǒng)維護工程師實施操作和系統(tǒng)維護時，其開放的光驅(qū)、USB接口均可成為危及工業(yè)以太網(wǎng)及其終端安全運行的病毒的侵人途徑，人為的非法操作、維護也會直接危及生產(chǎn)裝置和工業(yè)以太網(wǎng)及控制系統(tǒng)的安全運行。