1. 前言
　　隨著我國(guó)工業(yè)信息化建設(shè)的不斷深入，信息化已經(jīng)成為企業(yè)發(fā)展的重要推動(dòng)力量,，國(guó)外石化企業(yè)信息化建設(shè)和應(yīng)用已經(jīng)走在我們前面。經(jīng)濟(jì)全球化的發(fā)展以及WTO的加入,，更對(duì)石化企業(yè)提出了新的挑戰(zhàn),，就石化企業(yè)而言，信息化是生存和發(fā)展的必由之路,。
　　信息化是一項(xiàng)系統(tǒng)工程,，信息化安全也是信息化建設(shè)的關(guān)鍵環(huán)節(jié)。特別是隨著互聯(lián)網(wǎng)日新月異的發(fā)展和企業(yè)集團(tuán)信息化整合的加強(qiáng),，企業(yè)網(wǎng)絡(luò)應(yīng)用的范圍在不斷擴(kuò)大,，如通過(guò)互聯(lián)網(wǎng)獲取信息、展現(xiàn)企業(yè)形象,、開展電子商務(wù)等,，通過(guò)廣域網(wǎng)實(shí)現(xiàn)集團(tuán)內(nèi)部資源共享、統(tǒng)一集團(tuán)管理等,，企業(yè)信息化網(wǎng)絡(luò)不再是單純意義上的Intranet,，而更多的則是基于Internet的網(wǎng)絡(luò)和應(yīng)用。但網(wǎng)絡(luò)開放的同時(shí),，帶來(lái)的安全問(wèn)題就更加嚴(yán)峻了,，各種安全問(wèn)題如病毒、攻擊和入侵等已經(jīng)引起了人們的高度重視,。
　　信息化安全是一個(gè)普遍問(wèn)題,，但是，不同行業(yè)信息化有自己的特點(diǎn),，信息化安全的重點(diǎn)和所采取的對(duì)策也不盡相同,，因此,，面向石化企業(yè)信息化的特點(diǎn)，本文專門針對(duì)MES系統(tǒng)涉及的控制網(wǎng)絡(luò)安全問(wèn)題進(jìn)行了系統(tǒng)地分析,，并結(jié)合在烏石化的實(shí)踐情況,，提出適合行業(yè)特點(diǎn)的安全對(duì)策。
　　

2. 石化MES發(fā)展概述
　　石化企業(yè)信息化與其它行業(yè)相比有一個(gè)突出特點(diǎn),，就是以管控一體化為重點(diǎn),。這是由石化行業(yè)自身的特點(diǎn)決定的，并具有一定的時(shí)代特點(diǎn),。
　　石化企業(yè)是典型的資金和技術(shù)密集型企業(yè),，生產(chǎn)的連續(xù)性很強(qiáng)，裝置和重要設(shè)備的意外停產(chǎn)都會(huì)導(dǎo)致巨大的經(jīng)濟(jì)損失,，因此生產(chǎn)過(guò)程控制大多采用DCS等先進(jìn)的控制系統(tǒng),，生產(chǎn)管理上也更注重安全和平穩(wěn)運(yùn)行。通過(guò)加強(qiáng)生產(chǎn)管理,，可以實(shí)現(xiàn)管理與生產(chǎn)過(guò)程控制的融合,，通過(guò)優(yōu)化調(diào)度、先進(jìn)控制和優(yōu)化控制等手段,，在保證生產(chǎn)平穩(wěn)的基礎(chǔ)上獲取更大的經(jīng)濟(jì)效益,，因此，石化企業(yè)信息化的重點(diǎn)是管控一體化,。而作為石化生產(chǎn)主體的煉化企業(yè)是典型的流程工業(yè)企業(yè),，具有生產(chǎn)過(guò)程連續(xù)化、生產(chǎn)批量大,、工藝規(guī)程相對(duì)固定和物料流向復(fù)雜等特點(diǎn),，隨著原油價(jià)格的不斷攀高及國(guó)內(nèi)外企業(yè)競(jìng)爭(zhēng)加劇，煉化企業(yè)對(duì)于提升生產(chǎn)增效空間,、加強(qiáng)精細(xì)化管理水平有著越來(lái)越迫切的用戶需求,，在這個(gè)背景下，近幾年MES系統(tǒng)在國(guó)內(nèi)外煉化企業(yè)的開發(fā)和實(shí)施工作發(fā)展迅速,。
　　當(dāng)今的石化企業(yè)普遍采用基于ERP/SCM,、MES和PCS三層架構(gòu)的管控一體化信息模型，MES處于企業(yè)信息系統(tǒng)ERP/SCM和過(guò)程控制系統(tǒng)的中間位置,。MES系統(tǒng)在整個(gè)信息系統(tǒng)中主要擔(dān)當(dāng)了兩個(gè)方面的重要作用：一是數(shù)據(jù)雙向通道的作用,。即通過(guò)MES系統(tǒng)的實(shí)施，可以有效彌補(bǔ)企業(yè)PCS層及ERP/SCM層之間的數(shù)據(jù)間隙,，由下至上,，通過(guò)對(duì)底層PCS層數(shù)據(jù)的搜集、存儲(chǔ)及校正，建立過(guò)程控制數(shù)據(jù)層次上的數(shù)字化工廠,，結(jié)合生產(chǎn)調(diào)度層次上的調(diào)度事件信息數(shù)據(jù)等,，為上層ERP/SCM計(jì)劃管理層提供準(zhǔn)確統(tǒng)一的生產(chǎn)數(shù)據(jù)；由上至下,，通過(guò)對(duì)實(shí)時(shí)生產(chǎn)數(shù)據(jù)的總結(jié),，上層ERP/SCM層可以根據(jù)未來(lái)訂單及現(xiàn)階段生產(chǎn)狀況調(diào)整生產(chǎn)計(jì)劃，下發(fā)MES層進(jìn)行計(jì)劃的分解及產(chǎn)生調(diào)度指令,，有效指導(dǎo)企業(yè)生產(chǎn)活動(dòng),。因此，MES系統(tǒng)在數(shù)據(jù)層面上,，起到了溝通PCS層和ERP/SCM層的橋梁作用,，并保證了生產(chǎn)數(shù)據(jù)、調(diào)度事件等信息的一致性及準(zhǔn)確性,。另一方面,，生產(chǎn)活動(dòng)的復(fù)雜性產(chǎn)生了很多實(shí)際的用戶需求，為了滿足這些用戶需求,，MES系統(tǒng)也可以視為一個(gè)功能模塊的集合,。　　　　
　　國(guó)內(nèi)煉化企業(yè)從 1999 年開始,，逐步意識(shí)到 MES 系統(tǒng)的開發(fā)及實(shí)施工作對(duì)于工廠信息化建設(shè)的重要性,，這個(gè)過(guò)程主要分為兩個(gè)階段。第一個(gè)階段,，煉化企業(yè)主要依據(jù)實(shí)際生產(chǎn)應(yīng)用需求，在工廠開發(fā)實(shí)施一些獨(dú)立非系統(tǒng)化的 MES 模塊,，例如：數(shù)據(jù)整合與物料平衡系統(tǒng)等,；第二個(gè)階段，煉化企業(yè)開始注重 MES 的系統(tǒng)及完整性,，在 PCS 系統(tǒng)上架設(shè)統(tǒng)一的工廠實(shí)時(shí)/關(guān)系數(shù)據(jù)平臺(tái),，向上連接 ERP/SCM 系統(tǒng)，形成完整的企業(yè)綜合自動(dòng)化系統(tǒng)三層結(jié)構(gòu),；煉化企業(yè)在生產(chǎn)活動(dòng)方面的用戶需求通過(guò)功能模塊的架構(gòu)及實(shí)施得到解決,。在這個(gè)階段，以中石油和中石化兩大大型國(guó)有企業(yè)的下屬煉化廠最有代表性,。
　　以中石油的煉化企業(yè)為例,，早在 2000 年，中石油完成信息技術(shù)總體規(guī)劃,，確定了中國(guó)石油未來(lái)信息技術(shù)能力的藍(lán)圖,。煉油與化工運(yùn)行系統(tǒng)，即 MES 項(xiàng)目，2004 年中石油 MES 項(xiàng)目正式在全公司范圍內(nèi)啟動(dòng),，經(jīng)過(guò)了一年多的試點(diǎn)實(shí)施,，于 2005 年上線正式投入運(yùn)行。試點(diǎn)實(shí)施成功上線之后,，根據(jù)項(xiàng)目實(shí)施計(jì)劃下一步安排,，又在下屬分公司進(jìn)行一期項(xiàng)目推廣工作，并于 2007 年 4 家同時(shí)成功上線,。從 2006 年開始開展二期推廣工作,，并于 2007 年開始進(jìn)行二期推廣。目前,，中石油 MES 系統(tǒng)二期推廣工作接近尾聲,，三期工作于 2008 年開始在中石油國(guó)內(nèi) 14 家煉化企業(yè)開展。
　　

3. MES控制網(wǎng)絡(luò)安全
3.1. 兩網(wǎng)融合
　　石化企業(yè)MES的快速發(fā)展,，從客觀上加速了企業(yè)信息網(wǎng)絡(luò)與控制網(wǎng)絡(luò)的高度融合,。
　　基于管控一體化的主導(dǎo)思想，石化MES的核心功能是基于實(shí)時(shí)數(shù)據(jù)庫(kù)的生產(chǎn)調(diào)度管理,，并以實(shí)現(xiàn)對(duì)控制系統(tǒng)的數(shù)據(jù)采集作為必要前提條件,，否則其它內(nèi)容都無(wú)從談起。這意味著運(yùn)行MES的信息網(wǎng)絡(luò)必須要實(shí)現(xiàn)與控制網(wǎng)絡(luò)之間的數(shù)據(jù)交換,。此時(shí),，PCS層的控制網(wǎng)絡(luò)也不再以一個(gè)獨(dú)立的網(wǎng)絡(luò)運(yùn)行，而要與信息網(wǎng)絡(luò)互通,、互聯(lián),。隨著越來(lái)越多的石化企業(yè)推廣、應(yīng)用MES,，就有越來(lái)越多的控制網(wǎng)絡(luò)被接入到信息網(wǎng)絡(luò)中,，信息網(wǎng)絡(luò)與控制網(wǎng)絡(luò)的兩網(wǎng)融合，已經(jīng)成為大勢(shì)所趨,。
　　兩網(wǎng)融合,，給我們?cè)诮ㄔO(shè)MES時(shí)帶來(lái)新的思考，那就是不能再將控制網(wǎng)絡(luò)與MES割裂開來(lái),。特別是從網(wǎng)絡(luò)安全的角度,，控制網(wǎng)絡(luò)已經(jīng)成為MES的一部分，必須通盤考慮,。
　　

3.2. 控制網(wǎng)絡(luò)開放性
　　由DCS,、PLC和SCADA等控制系統(tǒng)構(gòu)成的控制網(wǎng)絡(luò)，在過(guò)去幾十年的發(fā)展中呈現(xiàn)出整體開放的趨勢(shì),。
以石化主流控制系統(tǒng)DCS為例,，在信息技術(shù)發(fā)展的影響下,，DCS已經(jīng)進(jìn)入了第四代，新一代DCS呈現(xiàn)的一個(gè)突出特點(diǎn)就是開放性的提高,。過(guò)去的DCS廠商基本上是以自主開發(fā)為主,，提供的系統(tǒng)也是自己的系統(tǒng)。當(dāng)今的DCS廠商更強(qiáng)調(diào)開放系統(tǒng)集成性,。各DCS廠商不再把開發(fā)組態(tài)軟件或制造各種硬件單元視為核心技術(shù),，而是紛紛把DCS的各個(gè)組成部分采用第三方集成方式或OEM方式。例如,，多數(shù)DCS廠商自己不再開發(fā)組態(tài)軟件平臺(tái),，而轉(zhuǎn)入采用其它專業(yè)公司的通用組態(tài)軟件平臺(tái)，或其它公司提供的軟件平臺(tái),。這一思路的轉(zhuǎn)變使得現(xiàn)代DCS的操作站完全呈現(xiàn)PC化與Windows化的趨勢(shì),。在新一代DCS的操作站中，幾乎清一色采用PC+Windows的技術(shù)架構(gòu),，使用戶的投資及維護(hù)成本大幅降低,。
　　同時(shí)，DCS網(wǎng)絡(luò)技術(shù)也呈現(xiàn)出開放的特征,。過(guò)去,，由于通信技術(shù)相對(duì)落后，網(wǎng)絡(luò)技術(shù)開放性是困擾用戶的一個(gè)重要問(wèn)題,。而當(dāng)代網(wǎng)絡(luò)技術(shù),、軟件技術(shù)的發(fā)展為開放系統(tǒng)提供了可能。網(wǎng)絡(luò)技術(shù)開放性體現(xiàn)在DCS可以從多個(gè)層面與第三方系統(tǒng)互聯(lián),，同時(shí)支持多種網(wǎng)絡(luò)協(xié)議,。目前在與企業(yè)管理層信息平臺(tái)互聯(lián)時(shí)，大多采用基于TCP(UDP)/IP協(xié)議的以太網(wǎng)通信技術(shù),，使用OPC等開放接口標(biāo)準(zhǔn),。
　　

3.3. 控制網(wǎng)絡(luò)安全漏洞
　　開放性為用戶帶來(lái)的好處毋庸置疑，但由此引發(fā)的各種安全漏洞與傳統(tǒng)的封閉系統(tǒng)相比卻大大增加,。對(duì)于一個(gè)控制網(wǎng)絡(luò)系統(tǒng)，產(chǎn)生安全漏洞的因素是多方面的,。
　　

3.3.1. 網(wǎng)絡(luò)通信協(xié)議安全漏洞
　　隨著TCP(UDP)/IP協(xié)議被控制網(wǎng)絡(luò)普遍采用,，網(wǎng)絡(luò)通信協(xié)議漏洞問(wèn)題變得越來(lái)越突出。
　　TCP/IP協(xié)議簇最初設(shè)計(jì)的應(yīng)用環(huán)境是美國(guó)國(guó)防系統(tǒng)的內(nèi)部網(wǎng)絡(luò),，這一網(wǎng)絡(luò)是互相信任的,，因此它原本只考慮互通互聯(lián)和資源共享的問(wèn)題，并未考慮也無(wú)法兼容解決來(lái)自網(wǎng)絡(luò)中和網(wǎng)際間的大量安全問(wèn)題,。當(dāng)其推廣到社會(huì)的應(yīng)用環(huán)境后,，安全問(wèn)題發(fā)生了,。所以說(shuō)，TCP/IP在先天上就存在著致命的安全漏洞,。
　?。?）、缺乏對(duì)用戶身份的鑒別
　　TCP/IP的機(jī)制性漏洞之一是缺乏對(duì)通信雙方真實(shí)身份的鑒別機(jī)制,。由于TCP/IP使用IP地址作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí),，而IP地址的使用和管理又存在很多問(wèn)題，因而一方面很容易導(dǎo)致IP地址的暴露,，另一方面IP地址很容易被偽造和更改,。
　　（2）,、缺乏對(duì)路由協(xié)議的鑒別認(rèn)證
　　TCP/IP在IP層上缺乏對(duì)路由協(xié)議的安全認(rèn)證機(jī)制,，對(duì)路由信息缺乏鑒別與保護(hù)，因此可以通過(guò)互聯(lián)網(wǎng),，利用路由信息修改網(wǎng)絡(luò)傳輸路徑,，誤導(dǎo)網(wǎng)絡(luò)分組傳輸。
　?。?）,、TCP/UDP自身缺陷
　　TCP/IP協(xié)議簇規(guī)定了TCP/UDP是基于IP協(xié)議上的傳輸協(xié)議，TCP分段和UDP數(shù)據(jù)包是封裝在IP包在網(wǎng)上傳輸?shù)?，除了可能面臨IP層所遇到的安全威脅外,，還存在TCP/UDP實(shí)現(xiàn)中的安全隱患。例如,，TCP建立連接時(shí)在客戶機(jī)/服務(wù)器模式的“三次握手”中,，假如客戶的IP地址是假的，是不可達(dá)的,，那么TCP無(wú)法完成該次連接并處于“半開”狀態(tài),，攻擊者利用這個(gè)弱點(diǎn)就可以實(shí)施如SYN Flooding的拒絕服務(wù)攻擊；TCP提供可靠連接是通過(guò)初始序列號(hào)和鑒別機(jī)制來(lái)實(shí)現(xiàn)的,。一個(gè)合法的TCP連接都有一個(gè)客戶機(jī)/服務(wù)器雙方共享的唯一序列號(hào)作為標(biāo)識(shí)和鑒別,。初始序列號(hào)一般由隨機(jī)數(shù)發(fā)生器產(chǎn)生，但問(wèn)題出在很多操作系統(tǒng)在實(shí)現(xiàn)TCP連接初始序列號(hào)的方法中,，它所產(chǎn)生的序列號(hào)并不是真正的隨機(jī),，而是一個(gè)具有一定規(guī)律、可猜測(cè)或計(jì)算的數(shù)字,。對(duì)攻擊者來(lái)說(shuō),，猜出了初始序列號(hào)并掌握了IP地址后，就可以對(duì)目標(biāo)實(shí)施IP Spoofing攻擊,，而且極難檢測(cè),，危害巨大,；而UDP是一個(gè)無(wú)連接的控制協(xié)議，極易受IP源路由和拒絕服務(wù)型攻擊,。
　　

3.3.2. 操作系統(tǒng)安全漏洞
　　PC+Windows的技術(shù)架構(gòu)現(xiàn)已成為控制系統(tǒng)上位機(jī)/操作站的主流,。而在控制網(wǎng)絡(luò)中，上位機(jī)/操作站是實(shí)現(xiàn)與MES通信的主要網(wǎng)絡(luò)結(jié)點(diǎn),，因此其操作系統(tǒng)的漏洞就成為了整個(gè)控制網(wǎng)絡(luò)信息安全中的一個(gè)短板,。
　　Windows操作系統(tǒng)從推出至今，以其友好的用戶界面,、簡(jiǎn)單的操作方式得到了用戶的認(rèn)可,，其版本也從最初的Windows 3.1發(fā)展到如今的XP、Windows Server2003,、 Windows 7等,。但是，微軟在設(shè)計(jì)Windows操作系統(tǒng)時(shí)是本著簡(jiǎn)單易用為原則的,，因而忽略了安全方面的考慮,，留下了很多隱患。這些隱患在單機(jī)時(shí)代并沒(méi)有顯現(xiàn)出來(lái),，后來(lái)隨著網(wǎng)絡(luò)的出現(xiàn)和普及,，越來(lái)越多地使用Windows操作系統(tǒng)的PC接入網(wǎng)絡(luò)，微軟埋下的隱患逐漸浮出水面,。一時(shí)間Windows操作系統(tǒng)漏洞頻繁出現(xiàn),，安全事故時(shí)有發(fā)生。雖然微軟在Windows2000以后的版本中采用了Windows NT的核心,，在一定程度上提高了Windows操作系統(tǒng)的安全性,，但仍然不能避免安全漏洞的不斷出現(xiàn)。另一方面,，Windows作為主流的操作系統(tǒng),，也更容易成為眾矢之的，每次Windows的系統(tǒng)漏洞被發(fā)現(xiàn)后,，針對(duì)該漏洞的惡意代碼很快就會(huì)出現(xiàn)在網(wǎng)上,，從漏洞被發(fā)現(xiàn)到惡意代碼的出現(xiàn)，中間的時(shí)差開始變得越來(lái)越短,。以Windows2000版本為例,，就曾被發(fā)現(xiàn)了大量漏洞，典型的如：輸入法漏洞,、IPC$漏洞、RPC漏洞,、Unicode漏洞,、IDA&IDQ緩沖區(qū)溢出漏洞,、Printer溢出漏洞、Cookie漏洞等等,。這些漏洞大部分危害巨大,，惡意代碼通過(guò)這些漏洞，可以獲得Windows2000操作站的完全控制權(quán),，甚至為所欲為,。
　　

3.3.3. 應(yīng)用軟件安全漏洞
　　處于應(yīng)用層的應(yīng)用軟件產(chǎn)生的漏洞是最直接、最致命的,。一方面這是因?yàn)閼?yīng)用軟件形式多樣,，很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問(wèn)題；另一方面最嚴(yán)重的是,，當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí),，就必須開放其應(yīng)用端口。例如,，要想實(shí)現(xiàn)與操作站OPC服務(wù)器軟件的網(wǎng)絡(luò)通信,，控制網(wǎng)絡(luò)就必須完全開放135端口，這時(shí)防火墻等安全設(shè)備已經(jīng)無(wú)能為力了,。而實(shí)際上,，不同應(yīng)用軟件的安全漏洞還不止于此。
　　2008年國(guó)外媒體曾報(bào)道,，總部位于美國(guó)波士頓的核心安全技術(shù)公司CST在經(jīng)過(guò)安全評(píng)估后嚴(yán)正表示,，互聯(lián)網(wǎng)攻擊者可能會(huì)利用一些大型工程自動(dòng)化軟件的安全漏洞獲取諸如污水處理廠、天然氣管道以及其他大型設(shè)備的控制權(quán),，一旦這些控制權(quán)被不良意圖黑客所掌握,，那么后果不堪設(shè)想。其中被告知的自動(dòng)化軟件系統(tǒng)CitectSCADA在五個(gè)月之后發(fā)布了該安全漏洞的補(bǔ)丁程序,。但是這種安全漏洞也會(huì)出現(xiàn)在其他的監(jiān)控軟件或者類似于CitectSCADA系統(tǒng)的軟件之上,。此外是不是所有的Citect的客戶都安裝了這個(gè)安全補(bǔ)丁尚且不得而知。
　　目前黑客攻擊應(yīng)用軟件漏洞常用的方法是“緩沖區(qū)溢出”,，它通過(guò)向控制終端發(fā)送惡意數(shù)據(jù)包來(lái)獲取控制權(quán),。一旦獲取控制權(quán)，攻擊者就可以如在本地一樣去操控遠(yuǎn)程操作站上的監(jiān)控軟件,，修改控制參數(shù),。
　　

3.4. 控制網(wǎng)絡(luò)安全隱患
　　控制網(wǎng)絡(luò)的安全漏洞暴露了整個(gè)控制系統(tǒng)安全的脆弱性。由于網(wǎng)絡(luò)通信協(xié)議,、操作系統(tǒng),、應(yīng)用軟件、安全策略甚至硬件上存在的安全缺陷,，從而使得攻擊者能夠在未授權(quán)的情況下訪問(wèn)和操控控制網(wǎng)絡(luò)系統(tǒng),，形成了巨大的安全隱患,。控制網(wǎng)絡(luò)系統(tǒng)的安全性同樣符合“木桶原則”,，其整體安全性不在于其最強(qiáng)處,，而取決于系統(tǒng)最薄弱之處，即安全漏洞所決定,。只要這個(gè)漏洞被發(fā)現(xiàn),，系統(tǒng)就有可能成為網(wǎng)絡(luò)攻擊的犧牲品。
　　安全漏洞對(duì)控制網(wǎng)絡(luò)的隱患體現(xiàn)在惡意攻擊行為對(duì)系統(tǒng)的威脅,。隨著越來(lái)越多的控制網(wǎng)絡(luò)系統(tǒng)通過(guò)信息網(wǎng)絡(luò)連接到互聯(lián)上,，這種威脅就越來(lái)越大。目前互聯(lián)網(wǎng)上已有幾萬(wàn)個(gè)黑客站點(diǎn),，黑客技術(shù)不斷創(chuàng)新,，基本的攻擊手法已達(dá)上千種。這些攻擊技術(shù)一旦被不法之徒掌握,，將產(chǎn)生不良的后果,。
對(duì)于控制網(wǎng)絡(luò)系統(tǒng)，由于安全漏洞可能帶來(lái)的直接安全隱患有以下幾種,。
　　

3.4.1. 入侵
　　系統(tǒng)被入侵是系統(tǒng)常見的一種安全隱患,。黑客侵入計(jì)算機(jī)和網(wǎng)絡(luò)可以非法使用計(jì)算機(jī)和網(wǎng)絡(luò)資源，甚至是完全掌控計(jì)算機(jī)和網(wǎng)絡(luò),。
　　控制網(wǎng)絡(luò)的計(jì)算機(jī)終端和網(wǎng)絡(luò)往往可以控制諸如大型化工裝置,、公用工程設(shè)備，甚至核電站安全系統(tǒng)等大型工程化設(shè)備,。黑客一旦控制該系統(tǒng),，對(duì)系統(tǒng)造成一些參數(shù)的修改，就可能導(dǎo)致生產(chǎn)運(yùn)行的癱瘓,，就意味著可能利用被感染的控制中心系統(tǒng)破壞生產(chǎn)過(guò)程,、切斷整個(gè)城市的供電系統(tǒng)、惡意污染飲用水甚至是破壞核電站的正常運(yùn)行,。隨著近些年來(lái)越來(lái)越多的控制網(wǎng)絡(luò)接入到互聯(lián)網(wǎng)當(dāng)中,，這種可能就越來(lái)越大。
　　

3.4.2. 拒絕服務(wù)攻擊
　　受到拒絕服務(wù)攻擊是一種危害很大的安全隱患,。常見的流量型攻擊如Ping Flooding,、UDP Flooding等，以及常見的連接型攻擊如SYN Flooding,、ACK Flooding等,，通過(guò)消耗系統(tǒng)的資源，如網(wǎng)絡(luò)帶寬、連接數(shù),、CPU處理能力等使得正常的服務(wù)功能無(wú)法進(jìn)行,。拒絕服務(wù)攻擊難以防范的原因是它的攻擊對(duì)象非常普遍，從服務(wù)器到各種網(wǎng)絡(luò)設(shè)備如路由器,、交換機(jī)、防火墻等都可以被拒絕服務(wù)攻擊,。
　　控制網(wǎng)絡(luò)一旦遭受嚴(yán)重的拒絕服務(wù)攻擊就會(huì)導(dǎo)致操作站的服務(wù)癱瘓,，與控制系統(tǒng)的通信完全中斷等?？梢韵胂?，受到拒絕服務(wù)攻擊后的控制網(wǎng)絡(luò)可能導(dǎo)致網(wǎng)絡(luò)中所有操作站和監(jiān)控終端無(wú)法進(jìn)行實(shí)時(shí)監(jiān)控，其后果是非常嚴(yán)重的,。而傳統(tǒng)的安全技術(shù)對(duì)拒絕服務(wù)攻擊幾乎不可避免,，缺乏有效的手段來(lái)解決。
　　

3.4.3. 病毒與惡意代碼
　　病毒的泛濫是大家有目共睹的,。全球范圍內(nèi),，每年都會(huì)發(fā)生數(shù)次大規(guī)模的病毒爆發(fā)。目前全球已發(fā)現(xiàn)數(shù)萬(wàn)種病毒,，并且還在以每天數(shù)十余種的速度增長(zhǎng),。除了傳統(tǒng)意義上的具有自我復(fù)制能力但必須寄生在其它實(shí)用程序中的病毒外，各種新型的惡意代碼也層出不窮,，如陷阱門,、邏輯炸彈、特洛伊木馬,、蠕蟲,、Zombie等。新型的惡意代碼具有更強(qiáng)的傳播能力和破壞性,。例如蠕蟲,，從廣義定義來(lái)說(shuō)也是一種病毒，但和傳統(tǒng)病毒相比最大不同在于自我復(fù)制過(guò)程,。傳統(tǒng)病毒的自我復(fù)制過(guò)程需要人工干預(yù),，無(wú)論運(yùn)行感染病毒的實(shí)用程序，或者是打開包含宏病毒的郵件等,，沒(méi)有人工干預(yù)病毒無(wú)法自我完成復(fù)制,、傳播。但蠕蟲卻可以自我獨(dú)立完成以下過(guò)程：
　?。?）,、查找遠(yuǎn)程系統(tǒng)：能夠通過(guò)檢索已被攻陷的系統(tǒng)的網(wǎng)絡(luò)鄰居列表或其它遠(yuǎn)程系統(tǒng)地址列表找出下一個(gè)攻擊對(duì)象。
　　（2）,、建立連接：能夠通過(guò)端口掃描等操作過(guò)程自動(dòng)和被攻擊對(duì)象建立連接,，如Telnet連接等。
　?。?）,、實(shí)施攻擊：能夠自動(dòng)將自身通過(guò)已經(jīng)建立的連接復(fù)制到被攻擊的遠(yuǎn)程系統(tǒng)，并運(yùn)行它,。
　　一旦計(jì)算機(jī)和網(wǎng)絡(luò)染上了惡意代碼,，安全問(wèn)題就不可避免。
　　

3.5. 常規(guī)網(wǎng)絡(luò)安全技術(shù)
　　石化企業(yè)隨著信息系統(tǒng)的不斷發(fā)展,，大量IT技術(shù)被引入,，同時(shí)也包括各種IT網(wǎng)絡(luò)安全技術(shù)。目前以MES為代表的信息系統(tǒng)在實(shí)現(xiàn)控制網(wǎng)絡(luò)接入信息網(wǎng)絡(luò)時(shí),，也基本都考慮了對(duì)控制網(wǎng)絡(luò)的安全防護(hù),。但目前對(duì)控制網(wǎng)絡(luò)的防護(hù)，大部分采用的是常規(guī)網(wǎng)絡(luò)安全技術(shù),，主要包括防火墻,、IDS、VPN,、防病毒等,。這些技術(shù)主要面向商用網(wǎng)絡(luò)應(yīng)用。
　　在企業(yè)的信息化系統(tǒng)中,，由辦公網(wǎng)絡(luò),、管理網(wǎng)絡(luò)組成的信息網(wǎng)絡(luò)與商用網(wǎng)絡(luò)的運(yùn)維特點(diǎn)比較相似，因此采用常規(guī)網(wǎng)絡(luò)安全技術(shù)是適合的,。而控制網(wǎng)絡(luò)特點(diǎn)則有很大不同,。
　　控制網(wǎng)絡(luò)是控制系統(tǒng)如DCS各部件協(xié)同工作的通信網(wǎng)絡(luò)?？刂葡到y(tǒng)負(fù)責(zé)對(duì)生產(chǎn)裝置的連續(xù)不間斷地生產(chǎn)控制,，因此控制網(wǎng)絡(luò)同樣具有連續(xù)不可間斷的高可靠性要求。另一方面,，控制網(wǎng)絡(luò)也是操作人員對(duì)控制系統(tǒng)實(shí)時(shí)下發(fā)控制指令的重要途徑,，所以控制網(wǎng)絡(luò)又具有不可延遲的高實(shí)時(shí)性要求。
　　在商用網(wǎng)絡(luò)里可以存在病毒,，幾乎每天都有新的補(bǔ)丁出現(xiàn),，計(jì)算機(jī)可能會(huì)死機(jī)、暫停,，而這些如果發(fā)生在控制網(wǎng)絡(luò)里幾乎是不可想象的,。為了保證生產(chǎn)安全，在極端情況下，即便將控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)斷開,，停止與信息網(wǎng)絡(luò)交換數(shù)據(jù)也要保證控制系統(tǒng)的安全,。因此，過(guò)程生產(chǎn)的連續(xù)不可間斷的高可靠性要求控制網(wǎng)絡(luò)具備更高的安全性,。
　　另外,，從數(shù)據(jù)安全角度來(lái)看，商用網(wǎng)絡(luò)往往對(duì)數(shù)據(jù)的私密性要求很高,，要防止信息的泄露,，而控制網(wǎng)絡(luò)強(qiáng)調(diào)的是數(shù)據(jù)的可靠性。另外,，商用網(wǎng)絡(luò)的應(yīng)用數(shù)據(jù)類型極其復(fù)雜，傳輸?shù)耐ㄐ艠?biāo)準(zhǔn)多樣化,，如HTTP,、SMTP、FTP,、SOAP等,；而控制網(wǎng)絡(luò)的應(yīng)用數(shù)據(jù)類型相對(duì)單一，以過(guò)程數(shù)據(jù)為主,，傳輸?shù)耐ㄐ艠?biāo)準(zhǔn)以工業(yè)通信標(biāo)準(zhǔn)為主,，如OPC、Modbus等,。
　　通過(guò)比較商用網(wǎng)絡(luò)與控制網(wǎng)絡(luò)的差異可以發(fā)現(xiàn),，常規(guī)的IT網(wǎng)絡(luò)安全技術(shù)都不是專門針對(duì)控制網(wǎng)絡(luò)需求設(shè)計(jì)的，用在控制網(wǎng)絡(luò)上就會(huì)存在很多局限性,。
　　比如防火墻產(chǎn)品,，目前基本是以包過(guò)濾技術(shù)為基礎(chǔ)的，它最大的局限性在于不能保證準(zhǔn)許放行的數(shù)據(jù)的安全性,。防火墻通過(guò)拒絕放行并丟棄數(shù)據(jù)包來(lái)實(shí)現(xiàn)自己的安全機(jī)制,。但防火墻無(wú)法保證準(zhǔn)許放行數(shù)據(jù)的安全性。從實(shí)際應(yīng)用來(lái)看,，防火墻較為明顯的局限性包括以下幾方面：
　　1）,、防火墻不能阻止感染病毒的程序和文件的傳輸。就是防火墻只能做網(wǎng)絡(luò)四層以下的控制,，對(duì)于應(yīng)用層內(nèi)的病毒,、蠕蟲都沒(méi)有辦法。
　　2）,、防火墻不能防范全新的威脅,，更不能防止可接觸的人為或自然的破壞。
　　3）、防火墻不能防止由自身安全漏洞引起的威脅,。
　　4）,、防火墻對(duì)用戶不完全透明，非專業(yè)用戶難于管理和配置,，易造成安全漏洞,。
　　5）、防火墻很難為用戶在防火墻內(nèi)外提供一致的安全策略,，不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊,，也不能防止利用服務(wù)器系統(tǒng)漏洞所進(jìn)行的攻擊。
　　6）,、由于防火墻設(shè)置在內(nèi)網(wǎng)與外網(wǎng)通信的信道上,，并執(zhí)行規(guī)定的安全策略，所以防火墻在提供安全防護(hù)的同時(shí),，也變成了網(wǎng)絡(luò)通信的瓶頸,，增加了網(wǎng)絡(luò)傳輸延時(shí)，如果防火墻出現(xiàn)問(wèn)題,，那么內(nèi)部網(wǎng)絡(luò)就會(huì)受到嚴(yán)重威脅,。
　　7）、防火墻僅提供粗粒度的訪問(wèn)控制能力,。它不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊,。
　　另一方面，防火墻由于其自身機(jī)理的原因,，還存在很多先天不足,，主要包括：
　　1）、由于防火墻本身是基于TCP/IP協(xié)議體系實(shí)現(xiàn)的,，所以它無(wú)法解決TCP/IP協(xié)議體系中存在的漏洞,。
　　2）、防火墻只是一個(gè)策略執(zhí)行機(jī)構(gòu),，它并不區(qū)分所執(zhí)行政策的對(duì)錯(cuò),，更無(wú)法判別出一條合法政策是否真是管理員的本意。從這點(diǎn)上看,，防火墻一旦被攻擊者控制,，由它保護(hù)的整個(gè)網(wǎng)絡(luò)就無(wú)安全可言了。
　　3）,、防火墻無(wú)法從流量上判別哪些是正常的,，哪些是異常的，因此容易受到流量攻擊,。
　　4）,、防火墻的安全性與其速度和多功能成反比,。防火墻的安全性要求越高，需要對(duì)數(shù)據(jù)包檢查的項(xiàng)目（即防火墻的功能）就越多越細(xì),，對(duì)CPU和內(nèi)存的消耗也就越大,，從而導(dǎo)致防火墻的性能下降，處理速度減慢,。
　　5）,、防火墻準(zhǔn)許某項(xiàng)服務(wù)，卻不能保證該服務(wù)的安全性,，它需要由應(yīng)用安全來(lái)解決,。
　　防火墻正是由于這些缺陷與不足，導(dǎo)致目前被攻破的幾率已經(jīng)接近50%,。雖然目前最流行的安全架構(gòu)是以防火墻為核心的安全體系架構(gòu),。通過(guò)防火墻來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保障體系。然而,，以防火墻為核心的安全防御體系未能有效地防止目前頻頻發(fā)生的網(wǎng)絡(luò)攻擊,。僅有防火墻的安全架構(gòu)是遠(yuǎn)遠(yuǎn)不夠的。
　　其它安全技術(shù)如IDS,、VPN、防病毒產(chǎn)品等與產(chǎn)品與防火墻一樣,，也都有很強(qiáng)的針對(duì)性,，只能管轄屬于自己管轄的事情，出了這個(gè)邊界就不再能發(fā)揮作用,。IDS作為可審查性產(chǎn)品最大的局限性是漏報(bào)和誤報(bào)嚴(yán)重,，幾乎不是一個(gè)可以依賴的安全工具，而是一個(gè)參考工具,。漏報(bào)等于沒(méi)有報(bào),，誤報(bào)則是報(bào)錯(cuò)了，這兩個(gè)特點(diǎn)幾乎破壞了入侵檢測(cè)的可用性,。VPN作為一種加密類技術(shù),，不管哪種VPN技術(shù)，在設(shè)計(jì)之初都是為了保證傳輸安全問(wèn)題而設(shè)計(jì)的,，而沒(méi)有動(dòng)態(tài),、實(shí)時(shí)的檢測(cè)接入的VPN主機(jī)的安全性，同時(shí)對(duì)其作“準(zhǔn)入控制”,。這樣有可能因?yàn)橐粋€(gè)VPN主機(jī)的不安全,，導(dǎo)致其整個(gè)網(wǎng)絡(luò)不安全。防病毒產(chǎn)品也有局限性,，主要是對(duì)新病毒的處理總是滯后的,，這導(dǎo)致每年都會(huì)大規(guī)模地爆發(fā)病毒,，特別是新病毒。
　　

3.6. 其它行業(yè)借鑒
　　在我國(guó)各大基礎(chǔ)能源行業(yè)中,，電力行業(yè)由于其特殊行業(yè)背景,，其安全性往往上升到國(guó)家安全高度，因此在網(wǎng)絡(luò)安全防護(hù)方面也有著較高的要求,。
　　早在2002年,，國(guó)家經(jīng)貿(mào)委即發(fā)行了第30號(hào)令，即《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》,。該行業(yè)法規(guī)頒布的主要目的是：“防范對(duì)電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的攻擊侵害及由此引起的電力系統(tǒng)事故,，保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行，建立和完善電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)體系,。”該規(guī)定將電力監(jiān)控系統(tǒng),、辦公自動(dòng)化系統(tǒng)或其他信息系統(tǒng)以及互聯(lián)網(wǎng)之間的網(wǎng)絡(luò)做了邊界劃分，并明確規(guī)定,，電力監(jiān)控系統(tǒng)在與其它系統(tǒng)之間以網(wǎng)絡(luò)方式互聯(lián)時(shí),，必須采用經(jīng)國(guó)家有關(guān)部門認(rèn)證的專用、可靠的安全隔離設(shè)施,。
　　2003年,，美國(guó)佛羅里達(dá)州以及東北部發(fā)生了大面積停電事件。當(dāng)時(shí)一部分別有用心的美國(guó)和英國(guó)安全人士聲稱,，是包括中國(guó)軍方在內(nèi)的中國(guó)黑客侵入了美國(guó)東北部電網(wǎng)的控制系統(tǒng),，導(dǎo)致了密歇根、俄亥俄,、紐約等地區(qū)大面積停電,。
　　2004年，國(guó)家電監(jiān)會(huì)發(fā)行了5號(hào)令《電力二次系統(tǒng)安全防護(hù)規(guī)定》,。規(guī)定指出,，制定該規(guī)定的目的是：“為了防范黑客及惡意代碼等對(duì)電力二次系統(tǒng)的攻擊侵害及由此引發(fā)電力系統(tǒng)事故，建立電力二次系統(tǒng)安全防護(hù)體系,，保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行,。”該規(guī)定將發(fā)電企業(yè)、電網(wǎng)企業(yè),、供電企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng),，劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，并強(qiáng)制要求,，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國(guó)家指定部門檢測(cè)認(rèn)定認(rèn)證的安全隔離裝置,。
　　電力行業(yè)在更高的網(wǎng)絡(luò)安全性要求的背景下，一方面從行政角度明確地將連接各業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)劃分為信息網(wǎng)絡(luò)和控制網(wǎng)絡(luò),；另一方面,，為了解決防火墻等常規(guī)網(wǎng)絡(luò)安全技術(shù)的局限性,，在控制網(wǎng)絡(luò)防護(hù)上采用了網(wǎng)絡(luò)隔離技術(shù)。
　　

4. 網(wǎng)絡(luò)隔離技術(shù)及產(chǎn)品
4.1. 網(wǎng)絡(luò)隔離技術(shù)
　　在防火墻的發(fā)展過(guò)程中,，人們最終意識(shí)到防火墻在安全方面的局限性,。高性能、高安全性,、易用性方面的矛盾沒(méi)有很好地解決,。防火墻體系架構(gòu)在高安全性方面的缺陷，驅(qū)使人們追求更高安全性的解決方案,，人們期望更安全的技術(shù)手段,，網(wǎng)絡(luò)隔離技術(shù)應(yīng)運(yùn)而生。
　　網(wǎng)絡(luò)隔離技術(shù)是安全市場(chǎng)上的一個(gè)分支,。在經(jīng)過(guò)漫長(zhǎng)的市場(chǎng)概念澄清和技術(shù)演變進(jìn)步之后,，市場(chǎng)最終接受了網(wǎng)絡(luò)隔離具有最高的安全性。目前存在的安全問(wèn)題,，對(duì)網(wǎng)絡(luò)隔離技術(shù)而言在理論上都不存在,。這就是各國(guó)政府和軍方都大力推行網(wǎng)絡(luò)隔離技術(shù)的主要原因。
　　網(wǎng)絡(luò)隔離技術(shù)經(jīng)過(guò)了長(zhǎng)時(shí)間的發(fā)展,，目前已經(jīng)發(fā)展到了第五代技術(shù),。第一代隔離技術(shù)采用完全的隔離技術(shù)，實(shí)際上是將網(wǎng)絡(luò)物理上的分開,，形成信息孤島,；第二代隔離技術(shù)采用硬件卡隔離技術(shù)；第三代隔離技術(shù)采用數(shù)據(jù)轉(zhuǎn)發(fā)隔離技術(shù),；第四代隔離技術(shù)采用空氣開關(guān)隔離技術(shù)；第五代隔離技術(shù)采用安全通道隔離技術(shù),。
　　基于安全通道的最新隔離技術(shù)通過(guò)專用通信硬件和專有安全協(xié)議等安全機(jī)制,，來(lái)實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，不僅解決了以前隔離技術(shù)存在的問(wèn)題,，并有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來(lái),，而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用,，成為當(dāng)前隔離技術(shù)的發(fā)展方向,。
　　網(wǎng)絡(luò)隔離的指導(dǎo)思想與防火墻也有很大的不同，體現(xiàn)在防火墻的思路是在保障互聯(lián)互通的前提下,，盡可能安全,；而網(wǎng)絡(luò)隔離的思路是在必須保證安全的前提下，盡可能支持?jǐn)?shù)據(jù)交換,，如果不安全則斷開,。
　　網(wǎng)絡(luò)隔離技術(shù)主要目標(biāo)是解決目前信息安全中的各種漏洞：操作系統(tǒng)漏洞,、TCP/IP漏洞、應(yīng)用協(xié)議漏洞,、鏈路連接漏洞,、安全策略漏洞等，網(wǎng)絡(luò)隔離是目前唯一能解決上述問(wèn)題的安全技術(shù),。
　　

4.2. 網(wǎng)絡(luò)隔離產(chǎn)品
　　基于網(wǎng)絡(luò)隔離技術(shù)的網(wǎng)絡(luò)隔離產(chǎn)品是互聯(lián)網(wǎng)時(shí)代的產(chǎn)物,。最早出現(xiàn)在美國(guó)、以色列等國(guó)家的軍方,，用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時(shí)的安全,。在我國(guó)，最初的應(yīng)用也主要集中在政府,、軍隊(duì)等領(lǐng)域,，由于核心部門的信息安全關(guān)系著國(guó)家安全、社會(huì)穩(wěn)定,，因此迫切需要比傳統(tǒng)產(chǎn)品更為可靠的技術(shù)防護(hù)措施,。國(guó)內(nèi)的網(wǎng)絡(luò)隔離產(chǎn)品也由此應(yīng)運(yùn)而生。
　　由于是應(yīng)用在可能涉及國(guó)家安全的關(guān)鍵場(chǎng)合,，為了統(tǒng)一規(guī)范網(wǎng)絡(luò)隔離類的技術(shù)標(biāo)準(zhǔn),，國(guó)家質(zhì)量監(jiān)督檢驗(yàn)總局及國(guó)家標(biāo)準(zhǔn)化管理委員及早制定了相應(yīng)的國(guó)家標(biāo)準(zhǔn)，目前最新國(guó)標(biāo)為GB/T 20279-2006和GB/T 20277-2006,。
　　隨著以電力為首的工業(yè)行業(yè)對(duì)網(wǎng)絡(luò)安全提出了更高要求后,，網(wǎng)絡(luò)隔離產(chǎn)品也開始在工業(yè)領(lǐng)域逐漸得到應(yīng)用。目前,，已經(jīng)在工業(yè)領(lǐng)域用于控制網(wǎng)絡(luò)安全防護(hù)的網(wǎng)絡(luò)隔離產(chǎn)品主要有網(wǎng)閘,、工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)等產(chǎn)品。這些產(chǎn)品大部分都是基于最新的第五代隔離技術(shù)開發(fā)出來(lái)了,，其主要的技術(shù)原理是從OSI模型的七層上全面斷開網(wǎng)絡(luò)連接,，同時(shí)采用“2+1”的三模塊架構(gòu)，即內(nèi)置有兩個(gè)主機(jī)系統(tǒng),，和一個(gè)用于建立安全通道可交換數(shù)據(jù)的隔離單元,。這種架構(gòu)可以實(shí)現(xiàn)連接到外網(wǎng)和內(nèi)網(wǎng)的兩主機(jī)之間是完全網(wǎng)絡(luò)斷開的，從物理上進(jìn)行了網(wǎng)絡(luò)隔離,，消除了數(shù)據(jù)鏈路的通信協(xié)議,，剝離了TCP/IP協(xié)議，剝離了應(yīng)用協(xié)議,，在安全交換后進(jìn)行了協(xié)議的恢復(fù)和重建,。通過(guò)TCP/IP協(xié)議剝離和重建技術(shù)消除了TCP/IP協(xié)議的漏洞。在應(yīng)用層對(duì)應(yīng)用協(xié)議進(jìn)行剝離和重建,，消除了應(yīng)用協(xié)議漏洞,，并可針對(duì)應(yīng)用協(xié)議實(shí)現(xiàn)一些細(xì)粒度的訪問(wèn)控制,。從TCP/IP的OSI數(shù)據(jù)模型的所有七層斷開后，就可以消除目前TCP/IP存在的所有攻擊,。
　　

（1）,、網(wǎng)閘
　　網(wǎng)閘類產(chǎn)品誕生較早。產(chǎn)品最初是用來(lái)解決涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)之間的安全數(shù)據(jù)交換問(wèn)題,。后來(lái),，網(wǎng)閘由于其高安全性，開始被廣泛應(yīng)用于政府,、軍隊(duì),、電力、鐵道,、金融,、銀行、證券,、保險(xiǎn),、稅務(wù)、海關(guān),、民航,、社保等多個(gè)行業(yè)部門。
　　由于網(wǎng)閘產(chǎn)品的主要定位是各行業(yè)中對(duì)安全性要求較高的涉密業(yè)務(wù)的辦公系統(tǒng),，因此它提供的應(yīng)用也以通用的互聯(lián)網(wǎng)功能為主,。例如，目前大多數(shù)網(wǎng)閘都支持：文件數(shù)據(jù)交換,、HTTP訪問(wèn),、WWW服務(wù)、FTP訪問(wèn),、收發(fā)電子郵件,、關(guān)系數(shù)據(jù)庫(kù)同步以及TCP/UDP定制等。
　　在工業(yè)領(lǐng)域,，網(wǎng)閘也開始得到應(yīng)用和推廣。但除了用于辦公系統(tǒng)外,，當(dāng)用于隔離控制網(wǎng)絡(luò)時(shí),，由于網(wǎng)閘一般都不支持工業(yè)通信標(biāo)準(zhǔn)如OPC、Modbus,，用戶只能使用其TCP/UDP定制功能,。這種方式需要在連接網(wǎng)閘的上、下游增加接口計(jì)算機(jī)或代理服務(wù)器,，并定制通信協(xié)議轉(zhuǎn)換接口軟件才能實(shí)現(xiàn)通信,。
　　

（2）,、工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)
　　工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)是近幾年新興的一種專門應(yīng)用于工業(yè)領(lǐng)域的網(wǎng)絡(luò)隔離產(chǎn)品，它同樣采用“2+1”的三模塊架構(gòu),，內(nèi)置雙主機(jī)系統(tǒng),，隔離單元通過(guò)總線技術(shù)建立安全通道以安全地實(shí)現(xiàn)快速數(shù)據(jù)交換。與網(wǎng)閘不同的是,，工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)提供的應(yīng)用專門針對(duì)控制網(wǎng)絡(luò)的安全防護(hù),，因此它只提供控制網(wǎng)絡(luò)常用通信功能如OPC、Modbus等,，而不提供通用互聯(lián)網(wǎng)功能,。因此工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)更適合于控制網(wǎng)絡(luò)的隔離，但不適合辦公系統(tǒng),。
　　工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)是網(wǎng)絡(luò)隔離技術(shù)應(yīng)用于工業(yè)網(wǎng)絡(luò)安全防護(hù)的一種專業(yè)化安全產(chǎn)品,。
　　

5. 實(shí)踐
5.1. 烏石化MES簡(jiǎn)況
　　烏石化 MES 項(xiàng)目從 2006 年啟動(dòng)，至 2008 年實(shí)施完成并成功上線投運(yùn)以來(lái),，系統(tǒng)運(yùn)行平穩(wěn),，用戶可熟練使用系統(tǒng)進(jìn)行生產(chǎn)運(yùn)行操作管理。該系統(tǒng)的建成,，進(jìn)一步提高了信息技術(shù)對(duì)下游業(yè)務(wù)的支持能力和水平,，同時(shí)達(dá)到了為企業(yè)優(yōu)化資源配置、提高整體效益和綜合實(shí)力發(fā)揮積極作用的目的,。
　　

5.2. 控制網(wǎng)絡(luò)安全性改造
　　采用分布式網(wǎng)絡(luò),，通過(guò)核心交換機(jī)，連接二級(jí)單位局域網(wǎng),，千兆網(wǎng)絡(luò)連接到各廠,，百兆網(wǎng)絡(luò)連接到匯聚層。網(wǎng)絡(luò)基礎(chǔ)狀況良好,，現(xiàn)有的信息網(wǎng)絡(luò)已經(jīng)涵蓋企業(yè)辦公樓區(qū)域和各個(gè)廠區(qū)及生產(chǎn)車間,。全廠 DCS 系統(tǒng)主要裝置都已具備數(shù)據(jù)采集接口，采用 OPC 標(biāo)準(zhǔn),。每個(gè)車間有交換機(jī),，網(wǎng)絡(luò)布置到了各個(gè)辦公室，和 DCS 數(shù)據(jù)連通,。
　　MES 系統(tǒng)的實(shí)施,，使得 DCS/PLC 控制網(wǎng)絡(luò)和廠內(nèi)的辦公網(wǎng)絡(luò)直接相連，這給網(wǎng)絡(luò)安全帶來(lái)了新的要求,，即如何保證兩者之間穩(wěn)定而可靠的數(shù)據(jù)傳輸?shù)耐瑫r(shí),，又能最大程度的限制辦公系統(tǒng)網(wǎng)絡(luò)對(duì)DCS/PLC 控制網(wǎng)絡(luò)造成的不良影響。 原 MES 系統(tǒng)在實(shí)施時(shí)，也考慮了對(duì)控制網(wǎng)絡(luò)的防護(hù),。對(duì)每一套 DCS/PLC 系統(tǒng)采集時(shí),，都部署了緩沖工作站；所有的工作站,，都限定在一個(gè)單獨(dú)的 VLAN 中,，指向一臺(tái)特定的防火墻設(shè)備；在防火墻上,，制定相應(yīng)的訪問(wèn)策略,，實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)的安全性。
　　在原有系統(tǒng)中,，對(duì)控制網(wǎng)絡(luò)的安全防護(hù)主要采用了以防火墻為核心的方案,。考慮到防火墻技術(shù)的局限性,，烏石化 MES 在 2009 年實(shí)施了對(duì)控制網(wǎng)絡(luò)安全性的改造,，并在改造項(xiàng)目中首次引入了網(wǎng)絡(luò)隔離技術(shù)。
　　由于該項(xiàng)目為改造性項(xiàng)目,，考慮到對(duì)原有系統(tǒng)的兼容性,，并以不影響現(xiàn)有生產(chǎn)為原則，在產(chǎn)品選型及方案設(shè)計(jì)時(shí)特別提出幾點(diǎn)要求：
　?。?）,、所選產(chǎn)品須基于第五代先進(jìn)網(wǎng)絡(luò)隔離技術(shù)開發(fā)，并經(jīng)國(guó)家指定部門檢測(cè)認(rèn)定,、認(rèn)證,，符合國(guó)家標(biāo)準(zhǔn)（GB/T 20279-2006、GB/T 20277-2006）,。
　?。?）、所選產(chǎn)品須支持現(xiàn)有 OPC 采集接口標(biāo)準(zhǔn),。
　?。?）、所選產(chǎn)品及方案須支持“無(wú)擾接入”方式,。即在現(xiàn)有網(wǎng)絡(luò)中加入網(wǎng)絡(luò)隔離裝置時(shí),，對(duì)現(xiàn)有已接入 MES 的 DCS/PLC 操作站的軟、硬件無(wú)需做任何升級(jí)或改動(dòng),，對(duì)操作站的參數(shù)配置無(wú)需做任何改動(dòng),，包括：IP 地址、登錄用戶名/口令,、DCOM 配置等,；對(duì) MES 系統(tǒng)現(xiàn)有 PHD 軟件及 PHD 緩沖工作站的軟、硬件無(wú)需做任何升級(jí)或改動(dòng),，對(duì)參數(shù)配置無(wú)需做任何改動(dòng),，包括：IP 地址、TAG 標(biāo)簽名,、OPC 配置等,。
　　（4）,、所選產(chǎn)品須能提供數(shù)據(jù)的“細(xì)粒度”訪問(wèn)控制功能,。例如對(duì)于 OPC 方式，網(wǎng)絡(luò)隔離裝置須能夠控制 OPC 服務(wù)器中具體哪些 Item 項(xiàng)允許或禁止暴露給MES,，同時(shí)對(duì)每個(gè) Item項(xiàng)須支持只讀式的單向訪問(wèn)功能以保證數(shù)據(jù)安全,。
　　（5）,、所選產(chǎn)品及方案須保證在加入網(wǎng)絡(luò)隔離裝置后數(shù)據(jù)交換實(shí)時(shí)性與原系統(tǒng)相當(dāng),，不產(chǎn)生延時(shí)。
　?。?）,、所選產(chǎn)品須保證自身安全與高可靠性。
　　根據(jù)以上設(shè)計(jì)要求,，該項(xiàng)目最終選用了標(biāo)準(zhǔn)的工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)型產(chǎn)品pSafetyLink,。該產(chǎn)品在滿足上述要求的同時(shí)，又提供了符合自控工程師使用習(xí)慣的操作方式,，不需要實(shí)施人員了解太多網(wǎng)絡(luò)技術(shù)的相關(guān)內(nèi)容,，就很容易完成對(duì)產(chǎn)品的調(diào)試和部署，提高了項(xiàng)目實(shí)施效率,?！　?/p>

烏石化MES控制網(wǎng)絡(luò)安全性改造方案示意圖
　　

6. 結(jié)束語(yǔ)
　　石化工業(yè)是國(guó)家的基礎(chǔ)性能源支柱產(chǎn)業(yè)，信息安全在任何時(shí)期,、任何國(guó)家地區(qū)都備受關(guān)注,。能源系統(tǒng)的信息安全問(wèn)題直接威脅到其它行業(yè)系統(tǒng)的安全、穩(wěn)定,、經(jīng)濟(jì),、優(yōu)質(zhì)的運(yùn)行，影響著系統(tǒng)信息化的實(shí)現(xiàn)進(jìn)程,。維護(hù)網(wǎng)絡(luò)安全,，確保生產(chǎn)系統(tǒng)的穩(wěn)定可靠、防止來(lái)自內(nèi)部或外部攻擊,，采取高安全性的防護(hù)措施都是石化信息系統(tǒng)安全不可忽視的組成部分,。
　　

參考文獻(xiàn)：
[1] 俞承杭﹒計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)[M]﹒北京：機(jī)械工業(yè)出版社,，2008﹒
[2] 萬(wàn)國(guó)平﹒網(wǎng)絡(luò)隔離與網(wǎng)閘[M]﹒北京：機(jī)械工業(yè)出版社，2004﹒
[3] 袁德明,，喬月圓﹒計(jì)算機(jī)網(wǎng)絡(luò)安全[M]﹒北京：電子工業(yè)出版社,，2007﹒
[4] 馬宜興﹒網(wǎng)絡(luò)安全與病毒防范[M]﹒上海：上海交通大學(xué)出版社，2009﹒
[5] 王代潮,，曾德超,，劉巖﹒信息安全管理平臺(tái)理論與實(shí)踐[M]﹒北京：電子工業(yè)出版社，2007﹒
[6] 沈鑫剡﹒計(jì)算機(jī)網(wǎng)絡(luò)安全[M]﹒北京：清華大學(xué)出版社,，2009
[7] 張世永﹒網(wǎng)絡(luò)安全原理與應(yīng)用[M]﹒北京：科學(xué)出版社,，2003