浅析DCS/SIS工业控制系统安全风险及应对方法

赵春娟

【摘 要】DCS/SIS工业控制系统是指针对工业工艺流程建立一个连续运转、具有高度智能的自动化集散控制系统和安全仪表系统。近年来，伴随着技术变革的深入，工业控制也变得愈加复杂，每个工业控制项目都有各自特点，如何将风险管理贯穿始终，将成为近阶段的重要课题，本文主要以DCS/SIS的安全风险及应对方法为对象加以分析，找出部分现场采取的应对方法，表明控制系统网络安全风险是可以得到控制并提前防护的。

【关键词】DCS；SIS；工业控制

一、DCS/SIS系统安全及现状

典型的DCS/SIS控制通常由控制回路、HMI（人机接口）、远程诊断与维护工具三部分组件共同完成，控制回路用以控制逻辑运算，HMI执行信息交互，远程诊断与维护工具确保出现异常操作时的诊断和恢复。

与传统的信息系统安全需求不同，DCS系统设计需要兼顾应用场景与控制管理等多方面因素，以优先确保系统的高可用性和业务连续性。在这种设计理念的影响下，缺乏有效的安全防御和数据通信保密措施是很多工业控制系统所面临的难题。

二、DCS/SIS系统安全风险分析及应对方法

工业控制系统的安全性直接影响到生产过程的安全实施，为兼顾工业应用的场景和执行效率，在追求SIS系统高可用性和DCS系统业务连续性的过程中，用户往往会被动地降低控制系统的安全防御需求。识别工业控制存在的风险与安全隐患，实施相应的安全保障策略是确保DCS/SIS系统稳定运行的有效手段。

（一）操作系统与外接设备交互的风险性

追求可用性而牺牲安全，这是很多工业控制系统存在普遍现象，很多已经实施了安全防御措施的DCS/SIS网络仍然会因为管理或操作上的失误，造成DCS/SIS系统出现潜在的安全短板。例如，工业控制系统中的移动存储介质的使用和不严格的访问控制策略。

应对方法：制定关键设备信息安全评测制度，防范关键设备中预留后门及多余功能。主要是对工业控制系统的设备、系统进行评测和检测，确保关键设备、软件没有预埋的、不为我们所知的一些功能。首先，落实工业控制系统的信息安全检查制度；再者，加强工业控制系统病毒防治工作，落实工业控制系统防治病毒管理规定，严格控制系统访问权限及移动存储介质的使用。

例如：天津LNG项目采用YOKOGAWA CENUM VP与PROSAFE-RS控制系统，厂家对该DCS系统和SIS系统进行了无缝整合，在硬件方面两者处于同一控制网络下，而SIS安全系统中的SENG也可以和DCS系统中的ENG整合在一起，在数据的传输中响应速度更快，处理数据的能力更强。但CENTUM VP与PROSAFE-RS系统在实际运用中开放性过高、且在安全方面过于依赖Windows平台，从而给其自身的系统安全性带来较大隐患。为此，归纳了当前运行版本的DCS（CENTUM VP）系统与SIS（PROSAFE-RS）在工程应用中涉及到的安全问题的实际处理方法。

该装置的DCS控制系统软件版本为R5.04.20，SIS系统的版本为R3.02.20，其操作系统为Windows 7 Professional。现在采用的系统版本延续使用了自R3版本以来的“CENTUM Desktop”环境，可禁止用户更改Windows系统设置。但是DCS/SIS系统安全措施做得不够完善，未将与生产操作无关的功能彻底锁死，即操作站仍可以进行生产相关操作以外的操作，给控制系统的安全运行带来隐患，具体原因是Windows7的默认状态不能为CENTUM VP系统提供安全的运行环境。

Windows 7 Professional安装结束后，光驱与USB接口均处于“自动播放”状态，即使在“CENTUM Desktop”环境下，当放入光盘或插入移动存储设备时也可自动打开或自动运行，极有可能将病毒带入操作站中。此外，自Windows 95问世以后，计算机键盘上增加了“Windows键”，Windows 7 Professional平台赋予了“Windows键”与其它键组合出的多种快捷方式，提高了用户操作的便捷性，但在“CENTUM Desktop”环境下，“Windows键”的组合功能未被完全屏蔽，用户可通过“Windows键”的组合功能对系统设置进行修改。

虽然可以通过加强对操作员工的管理而尽量避免上述破坏性事件的发生，但系统组态与维护人员仍有必要制订相应的技术防范措施，从根本上提高操作站的安全性。

技术防范措施：

1.将操作站的普通键盘改为专门用于操作的操作员键盘；

2.禁用键盘上的“Windows键”组合功能；

3.隐藏“CENTUM”用户权限下开始菜单中影响系统安全无关组件；

4.屏蔽“CENTUM”用户权限下由任务栏图标进入硬盘目录的途径；

5.取消“CENTUM”用户权限下光驱与USB接口的自动播放功能；

6.关闭USB接口的存儲设备接入功能；

7.禁用USB移动存储设备。

（二）工控平台的风险性

随着TCP/IP等通用协议与开发标准引入工业控制系统，开放、透明的工业控制系统同样为物联网、云计算、移动互联网等新兴技术领域开辟出广阔的想象空间。理论上，绝对的物理隔离网络正因为需求和业务模式的改变而不再切实可行，目前，多数工业控制网络仅通过部署防火墙来保证工业网络与办公网络的相对隔离，各个工业自动化单元之间缺乏可靠的安全通信机制，工业控制系统的安全防御能力十分有限。

应对方法：就目前而言，传统的IT防火墙已无法满足工业控制系统的需求，但越来越多的控制系统厂家注重网络安全，在控制层面就加装了防火墙，同时，市面上也有工业级防火墙的出现，针对控制层的网络协议作出相应的防护，对Modbus和OPC的协议内容进行检查和连接管理。不管是控制系统本身自带的防火墙还是专业的工业级防火墙，都可以针对工控平台的风险性起到弥补作用。

（三）网络的风险性

通用以太网技术的引入让工业控制变得智能，也让工业控制网络愈发透明、开放、互联，TCP/IP存在的威胁同样会在工业网络中重现，此外，工业控制网络的专属控制协议更为攻击者提供了了解工业控制网络内部环境的机会。为确保工业网络的安全稳定运营，必须针对DCS/SIS网络环境进行实时异常行为的"发现、检测、清除、恢复、审计"一体化的保障机制。当前DCS/SIS网络主要的风险性集中体现为：边界安全策略缺失；系统安全防御机制缺失；管理制度缺失或不完善；网络配置规范缺失；监控与应急响应制度缺失；网络通信保障机制缺失。

应对方法：针对TCP/IP存在的威胁只运用原有的防火墙及防护方法采取应对措施，而工业控制网络的专属控制协议防护则应更加有针对性，控制层和数据层的隔离防护，控制层网络的冗余化等，都是可以有针对性的起到保护作用。

三、结束语

综上所述，工业控制系统网络安全问题始终存在，而且由于TCP/IP技术的深入运用，对控制系统威胁越来越多，但是我们始终能找到应对方法，不管是从构建满足工业控制系统的安全体系，从管理、流程、架构、设备等多个角度发展防护技术，把最新技术应用到实处，还是从落实相关制度方面，都应该不断的改进并完善，这才是保证工业控制网络安全的最有效手段。