铝工业控制系统网络安全分析及策略

轻金属

2019年第9期

•相关技术•

铝工业控制系统网络安全分析及策略

张宇亮、金忠新、李杨2

(1.沈阳铝镁设计研究院有限公司，辽宁沈阳110001;

2.辽宁省科学技术情报研究所，辽宁沈阳110168)

摘要：工业控制系统分为三层，即设备层、控制层和信息管理层。软硬件均采用各个自动化公司自己的软硬件系统，

网络大多都是基于以太网协议和各厂商各自开发的通讯协议。近些年，由于工业控制网络安全事件频发，各个系统厂

商也没有相应的解决方案，使得这一问题显得尤为突出。通过分析国内铝厂控制系统网络的现状和铝工业生产管理 的特点，在生产管理、网络架构和监控等方面，提出了安全防范策略。关键词：铝工业；控制系统；网络安全；安全防范策略

中图分类号：TP393 文献标识码：A文章编号：1002-1752(2019)09-00-08

DOI ： 10. 13662/j. cnki. qjs. 2019. 09.012

Analysis and strategies for cyber security

of industrial control system in aluminum industry

Zhang Yuliang1 , Jin Zhongxin1 and Li Yang2

(1. Shenyang Aluminum and Magnesium Engineering and Research Institute Co., Ltd., Shenyang

110001, China；2. Institute of Scientific and Technical Information of Liaoning Province, Shenyang 110168, China)Abstract：Industrial Control System (ICS)covers three layers, which are equipment layer, control layer and information management layer. Software and

hardware are all based on the software and hardware systems of each automation company. Most of the networks are based on TCP/IP and communication protocols developed by each manufacturer. In the recent decade, the incidents about ICS occur frequently and there are no corresponding solutions for each main automation vendor, which makes this problem particularly prominent. By analyzing the status quo of ICS in domestic aluminium plants and the char­acteristics of production management in aluminium industry, it puts forward safety precautionary strategies in production management, ICS architecture and monitoring.Key words ： aluminum industry, industrialcontrol system, cyber security, safety strategies

随着互联网的融入，工业控制网络安全事件频 发。比如伊朗布什尔核电站遭到“震网”病毒攻击， 1/5的离心机报废。一种名为“震网”（Stuxnet)的蠕 虫病毒，侵入了伊朗工厂企业甚至进人西门子为核 电站设计的工业控制软件，并可夺取一系列核心生 产设备尤其是核电设备的关键控制权。[1 ]

对于我国所有的氧化铝厂和电解铝厂,如果因 为控制系统崩溃造成停槽，其损失不可估量。

络结构已是比较先进的，但其控制系统和生产管理 都存在脆弱性，这也是铝行业的共同特征，体现在以 下几方面:一是管理制度不完善，执行力度不够，缺 乏有效的监管手段;二是网络结构单一，不能有效的 防范威胁,入侵者一旦进人网络中的某一结点，就会 肆意的对网络上任意设备进行破坏;三是硬件系统 不稳定。现在很多兼容机仍在服役状态中，而其稳 定性较工控机有很大差距。另外，即便是工控机，不 同品牌之间的稳定性也参差不齐，在外界环境或者 畸形数据包的干扰下很可能出现问题；四是操作系 统漏洞修补不及时。现阶段工控机和服务器的冗余 率仍然不高，非冗余设备的操作系统打补丁也时常 被放弃，因为一旦进行修补，会影响生产监控，也会 对补丁后的操作系统的兼容性提出挑战;五是防病 毒软件普及率不高，不能对病毒进行有效的查

o

1 铝工业控制系统安全现状

1.1我国铝工业控制系统的安全现状

我国氧化铝厂和电解铝厂均采用工业控制系统 对生产流程进行监控，系统网络分为三层，即现场设 备层、控制层、信息管理层。图1所示为某氧化铝厂 控制系统图。

由于某氧化铝厂在2013年投产，其控制系统网

收稿日期:2018 -02 -26

2019年第9期

张宇亮等:铝工业控制系统网络安全分析及策略

• 55 •

信息管理层

工程师站及操作站|

控制层 —现场设备层1

交换机_ _

_

_

交换机

一

—

□rODOOODODODODODOO 又i1□tsaoaoo 〇〇 〇〇〇〇〇〇〇□〇 伏々

厕1^11嚼丨

gg]

f

gg]交换机

sc| plcWd

I-ifT

|i/o|{plc1 |PLC) 1i/〇1[i/〇1 1i/o|Hplc1 1 i/o 1 Ipscll产]cPLC| |l/〇l >LC| PLC ftt r

LCl Li)PLCiPLC||PLC| 丨PLCl [PLCl 丨 I/〇| ll/OllPLcH

'^DSC^HpLC] |PLC]=^sJ-.PLCI Dsc]-|pix] ；DSCj

图1

某氧化铝厂控制系统网络结构图

1.2美国工业控制系统的安全现状

美国工业控制系统安全相对完善，但也存在很 多问题。一是管理制度比较完善,员工执行力好，但 也缺乏有效的监管手段;二是网络结构相对灵活，不 同层包含不同区域，但防范来自网络的威胁手段也 不多;三是硬件系统稳定性好,美国各工业都采用可 靠性很高的知名国际品牌工控机和服务器；四是操 作系统更新和修补漏洞不及时;五是防病毒软件普

及率不高;六是美国近年来出台一些安全标准，比如 《工业控制系统安全指南》[3],关于生产管理问题上 给出了措施；《改进SCADA网络安全的21项 措施》[4]，从生产管理、软件监控和网络结构三方面 给出了二十一条措施。所以，虽然美国工业控制系 统比较规范，在信息化和管理上做得比较好，但其对 于来自外部和内部威胁也没有有效的应对措施。

本文将在网络结构，网络监控和生产管理三方 面进行论述，并给出解决方案。

策略和相同的信任等级。这种网络分区结构能有效 减少外界访问敏感信息的次数，比如系统配置等信 息;能有效防范恶意软件或者误操作带来的影响。

每个安全区域边界的保护通常有网关，路由器， 防火墙，恶意代码分析和虚拟系统，入侵检测系统， 加密通道，可管理的接口，邮件网关和单向网关等。

2. 1. 1 对络（Demilitarized Zone，DMZ)

DMZ，即“边界网络”、“周边网络”、“对 络”，是一种网络架构的布置方案，常用的架设方案 是在不信任的外部网络和可信任的内部网络外创建 一个面向外部网络的物理或者逻辑子网，该子网能 设置于对外部网络的服务器主机。其原理是将部分 用于提供对外服务的服务器主机划分到一个特定的 子网-DMZ内，DMZ的主机能与同处DMZ内的主 机和外部网络的主机通信，而同内部网络主机的通 信会被受到。这使DMZ的主机能被内部网络 和外部网络所访问，而内部网络又能避免外部网络 所得知。[5]

图2中包含两个DMZ,分别是边界DMZ和控 制系统（ICS)DMZ。前者是为公司信息网服务，包 括了认证服务器、网络服务器、DNS服务器、电子邮 件服务器和无线网络服务器;后者是为控制网服务， 包括了认证服务器、数据服务器、历史数据服务器、 安全服务器和策略服务器。

2网络结构解决方案

2.1网络分区

网络分区就是把整个网络分为若干个区域，分 区依据管理权限，相同的访问策略和信任等级，功能 的重要性和这个小区域边界处的访问量。每个安全 区域一般都有相同的被管理权限，相同的网络访问

.56 .

轻金属

2019年第9期

图2工业控制系统深度防御网络结构图

2.1.2 防火墙

防火墙最基本的功能就是隔离网络，通过将网 络划分成不同的区域（通常情况下称为ZONE),制 定出不同区域之间的访问控制策略来控制不同信任 程度区域间传送的数据流。例如互联网是不可信任 的区域，而内部网络是高度信任的区域。以避免安 全策略中禁止的一些通信。它有控制信息基本的任 务在不同信任的区域。典型信任的区域包括互联网 (一个没有信任的区域）和一个内部网络（一个高 信任的区域）。

在图2中的防火墙1有两个接口，用来连接互 联网和公司信息网，可以拦截来自外部的攻击;图中 的路由器用来过滤接人端MAC地址，建立访问白名 单来保护网络。

在图2中的防火墙2和防火墙3都各有两个接

Linux Webserver (System rule set) Default policy: DENY

口，是设置在公司信息网和控制系统网之间的一对 防火墙。防火墙2能拦截进人到ICS DMZ和控制 系统的无关数据包；防火墙3能拦截被骇客控制的 服务器向控制系统网络发送的数据包。防火墙2和 3都设置成能过滤从DMZ和控制网流出的伪造IP 数据包，这是通过核对数据源的IP地址和防火墙网 络接口的地址是否一致。

三个防火墙最好是三个不同品牌的产品，因为 每个产品的技术原理不尽相同，这会给外部攻击者 带来了很大的麻烦。这也划清了控制小组和IT小 组的管理职责。

防火墙内的设置规则如图3所示，将所信任的 设备列人允许列表，反之将不可信的设备列入禁止 列表。

I

M M M M M M M

…

nao

449

lTCPi

i

Hiiiiii

IBs

吻

E

图3防火墙设置图

2019年第9期2. 1.3 远程登录

张宇亮等:铝工业控制系统网络安全分析及策略

.57 •

远程登录用户使用加密协议登录，比如运行公 司的VPN客户端，应用服务器或者安全的HTTP接 人和口令登录。连接到公司网络后，若想登录到控

制系统网络，还需要提供额外的登录口令。

实现公司VPN只需VPN登录软件，VPN路由 器和VPN服务器或集中路由器，如图4所示。

图4 VPN硬件结构图

2.2网络通讯2.2.1

通讯协议的选择

据服务器和公司信息网中的客户端之间使用HTTP 协议。虽然两种通讯协议都有安全缺陷，但在这种 情况下可以这样使用是因为这两种协议都没有直接 连接公司信息网和控制网。所以，这种不连续的网 络协议可以很大程度的降低被攻击的风险。[6]基于 此，公司网络以HTTP协议访问服务器,PLC等设备 以TCP/IP协议访问服务器，如图5所示。

现在流行的网络协议都有各自的安全缺陷，比

如SQL就会被Slammer蠕虫病毒攻击。DMZ结构 中，公司信息网和控制网之间不能有直接的通讯 (个别情况除外），其通讯必须要经过且终止于 DMZ,这就使网络中的通讯协议多样了。比如PLC 和历史数据服务器之间使用TCP/IP协议，历史数

〇at«

Historian Dat« Server Security S*fv®f PoikyServer

图5网络协议示意图

.58 .轻金属2019年第9期

2. 2.2 通讯设置

的网络进行;定期测试和备份防火墙的防护策略。氧化铝厂的每一个大型生产车间都占用一个网 段，比如原料区域的网段为10.63. 112. X，溶出区域 的网段为10. 63. 113. x。同样，公司网、DMZ也都有 各自的网段。每个区域都设有网关和所属网络设 备，如图6所示。

网络中每个IP地址（端口）都用于其对应的数 据种类通过;控制网和其DMZ的通讯数据包都必须 有来自控制网和其DMZ的源IP地址，这样的数据 包才能通过;控制网中的设备禁止与互联网连接;控 制网和其防火墙也不能直接连接互联网；所有防火 墙的数据管理应该在一个隔离的，或者有安全保障

Outbound 0MZ 网关1063>121.1

Autf*n«c.ttonWebSefver 〇NSSefver

j H 4 «

Email

Cofporaf IAN W

Firewall-2

关IOlSS.122.1

Wireless

la^Va ia611213 ia6il2t4 taS^ts ia61m.6

ICS DMZ 网关 10.6& 120.1

Workstation

舰

咖

Printer

Authentication Data Data Security

Server Htstorian Server Server ia&3wl2a2 ia63.12a3 ia63.120.4 ia63.12as

k s s d ^HOdCDI

Si料麽区域H 关 1〇1这112.1

洧出区域网关10.63> 113.1

累料堆场

顸脱硅

压煮洧出

1〇^3

細

214

Firewall-B

Policy

Server ia6B.120.6

HggOHODI

神分区域

培供区域网关1〇1议11&1

赤郷•区域

H 关 ML6S.1U4H关1〇必mi

种子分解

服料*赤泥沉降 神子过泜m氧化培过泜氧化培傭运

DCS

10.63ull2.2

麽机

PIC

1&63.112.3

石灰破碎

DCS

ia63.113.2

隔膜泵

0CSia63.113.3

5压机

0CSia63.114.2

絮礙剂

ia63.115.2

叶滤机

1Q63.1153

各循环水

0CS 10.63.116^

燃诀器机

PICia63.116.3

备循环水

PIC10.63.112.4PLCia63.112.5

PLC

PLCia63.113j(PLCia63.114.BPLCia63.115.4PIC1Q63.115JCPIC ia63.116.4 PLCia63.11&x

图6各区域网络地址配置图

2.3冗余和容错

控制系统必须有极高的可用性,就是不管发生 什么，控制系统不能瘫痪。实现其高可用性的重要 手段是冗余，如图1所示，服务器，原料区域、溶出区 域、赤泥区域、种分区域和焙烧区域的DCS CPU要 做冗余。

所谓冗余就是互为备用，如图7所示。两台服 务器A、B有各自的IP地址，既可以在一个网段上， 又可以在不同的网段上；主服务器需要将本地数据 同步到备用服务器上；同时备用服务器在实时监视 主服务器的状态，如果发现主服务器不可用，则备用 服务器立刻切换成主服务器。

大多数的自动化应用平台都可以通过软件设置

实现主从服务器之间的数据同步、监视状态和自动 切换;如果应用平台不能实现此功能，也可以通过

windows脚本程序实现。

服务器A 10. 63. 120. 6

服务器B10.63.121.6

图7冗余服务器工作原理图

2019年第9期张宇亮等：铝工业控制系统网络安全分析及策略

• 59 .

DCS/PLC的冗余就是指CPU冗余和10冗余， 10冗余的成本很高，结合氧化铝厂的生产特点，仅

做到CPU冗余即可。

(NAC)结构，如图8所示。此结构由五部分组成， 即网络接入点（AR)、策略实施点（PEP)、策略决策 点（PDP)、元数据接人点（MAP)和元数据接入客户 端（MAP Client)0[7]

网络接人点（AR)，就是要进入受保护网络的设 备;策略服务器是整个系统的核心，按照制定好的策 略决定接入设备的访问权限,然后告知策略执行设 备（路由器和防火墙）实施其指令;元数据接入点在 安全服务器中存放所有用户信息，包括在线用户，他 们的设备信息、行为记录和其他信息；网络传感器， 流量控制器和管理客户端是MAP客户端，他们和

3 网络监控解决方案

随着工业控制系统网络安全越来越受到重视，

各网络公司也都纷纷推出其解决方案，比如CISCO,

TCG,FIREEYE等公司。其核心都是在网络上监控数 据包和操作行为，并通过执行端控制用户的访问权 限。

3.1监控系统结构

绝大多数网络监控是基于网络接入控制

MAP配合工作。

Policy

Decision(PDP)

MetadataAccess(MAP)

id

Policy Server

-

\"S

Security Server

图8网络接入控制系统结构图

3. 2 安全内容自动化协议（Security Content Auto­SCAP包含很多开放标准，用来列举软件漏洞和配 置问题。网络监控软件就是这样工作的，并给网络 系统的安全情况打分。所用的网络监控软件都必须 经过SCAP验证，证明软件能和其他监控软件兼容, 其检测结果也须是标准格式，如图9所示。

mation Protocol)

SCAP用特定标准使自动漏洞管理，检测和策 略评估系统实施到一个对象上。其目标是防范安全 威胁，持续监控电脑和应用，升级监控软件和配置。

图9

SCAP系统结构图

.60 •

轻金属2019年第9期

3.3检测手段

3.3. 1

安全意识,发现疑似问题马上上报讨论研究。4.2用户分级管理

不同级别的操作人员对控制系统有不同的权 健康检测

健康检测就是检测接入端设备操作系统的安全 情况，在策略服务器中设置检查项目，比如所用操作 系统的补丁情况，防毒软件和防火墙等。如果接人 客户端的操作系统不符合安全要求，根据其严重情 况降低其访问权限。

3.3.2 操作行为检测

操作行为检测就是通过网络传感器和流量控制 器检测所有数据包，一旦发现异常情况，报告给元数 据接人点MAP，再上报给策略服务器。经过分析， 如果数据包中包含病毒，策略服务器则通知策略执 行端的设备阻断此接人端设备的连接。3.3.3 用户权限检测

用户权限检测就是根据用户登录信息，赋予其 相应的访问权限。比如操作员只有控制设备启停的 权限;工艺工程师会额外有设置参数的权限;控制工 程师有更改程序的权限；高层管理人员只有浏览部 分数据的权限等。

如果用户登录设备与其所在的位置不一致，则 拒绝此用户登录。比如某用户在控制室的操作站上 登录，但其员工卡未进人控制室，则说明此人登录口 令被盗用，禁止其登录系统。3.3.4 可信硬件完整性检测

可信硬件[8]完整性检测要求接人端设备的主 板上安装有可信硬件,这个可信硬件在每次启动时 检测接入端设备的BIOS、操作系统、驱动程序和防 毒软件等，并将检测信息上报给策略服务器，策略服 务器根据其安全情况发放其相应的访问权限。可信 硬件上报的信息是加密的，不易被解密或者篡改。

4 生产管理解决方案

4.1组建专门的控制系统安全小组

因为控制系统网络安全是个跨专业的新兴领 域,所以这个安全小组需要包括以下专业的人员：信 息安全经理、IT人员、控制工程师、操作员、安全问 题专家和企业风险管理人员，必要时系统供应商和 集成商要提供技术支持。上述所有人都向信息安全 经理汇报工作，其中控制工程师是主角，负责大部分 工作，其他人员都要配合控制工程师。

定期培训安全小组所有人员，可使他们掌握基 础理论知识;学习研究各种应用；了解工业控制系统 网络安全相关技术的最新动态。提高所有人的网络

限，比如操作员只有操作设备启停的权限，工艺工程 师还有额外的修改参数的权限，但都不能有插人移 动存储设备的权限。

管理这些用户数据既可以集中，也可以分散。 所谓集中管理，就是在企业总部（整体网络的顶层） 建立数据库,管理用户信息，用户每次登陆系统都要 向数据库发送身份验证请求，增加了通讯量;分散管 理，就是在基层网络控制层的数据服务器上管理相 应单位内的身份信息,用户每次登陆系统只需向所 在网段的数据服务器发送身份验证信息，这种方式 更直接快捷,但给企业的集中管理带来了不便。4.3用户身份认证

现状主流的企业员工身份认证有射频卡

(RFID)、生物识别技术（指纹，视网膜识别等）、手 机NFC技术和用户口令等。上述每种身份认证技 术都有漏洞,都可以被盗取、复制或者破解,所以建 议同时使用两种或两种以上认证方式作为进人控制 系统的通行证，这样会大大提高系统的安全性。而 对于远程登陆的用户，建议用口令+手机验证码的 方式，而且远程登陆的用户仅能获得浏览的权限。 4.4更新操作系统

各自动化软件平台无一例外都是基于微软视窗 操作系统,微软视窗操作系统并不完美，时常有新漏 洞被发现、被骇客利用，微软官方经常发布最新补 丁，用以修补漏洞。

由于新发布的补丁与控制系统软件可能存在兼 容性问题，各控制系统商大多会发布针对微软补丁 的测试结果。此外作为生产企业，必须准备各一台 以上的离线工控机和服务器专用于测试，其中安装 的软件必须与在线的同种设备完全一致。安全小组 中的IT人员先将原系统备份，再将补丁分别安装在 用来测试工控机和服务器上，连续运行两周以上，不 断进行操作，测试新系统的稳定性;与此同时还需进 行网络调研，来确认其他用户是否遇到兼容性问题。 经过上述测试和调研，确认没有问题之后，再将补丁 择机安装在在线工控机和服务器中。4.5设备管理

现在的控制系统网络再也不是与世隔绝的世外 桃源了，与外界的联系日益增多，每个接入控制系统 网络的设备是否安全，会直接影响整个网络的安全。

2019年第9期

张宇亮等:铝工业控制系统网络安全分析及策略

• 61 •

无论是现场接入设备，如工控机,服务器，还是远程 网络结构和网络监控的解决方案，并详细论述了组 接入设备，包括平板电脑，手机，笔记本电脑等，都要 件的功能和原理。此外，由于铝工业生产过程中操 经过安全审核（所谓安全审核，就是严格禁止用户 作人员参与度高的特点,给出了生产管理解决方案。 对设备软件和硬件的改动，并监视用户行为），并将

在实际应用中需根据生产流程的重要性，适度配置， 其MAC地址加人到交换机的可信列表。避免增加不必要的成本。

4.6突发事件应急响应机制

参考文献：

首先，列出铝厂控制系统中的资产，包括硬件、 [1] 张帅.工业控制系统现状及风险分析[J].计算机安全,2012

软件、控制进程、过程控制信息，用户信息等，对应确 (1).

定的资产标明它所需要的安全目标,对资产的重要 [2] 刘威，李冬，孙波.工业控制系统安全分析[C]//第27次全国计

算机安全学术交流会.2012.

程度进行排序，针对不同的资产和其重要性制定出 [3] KEITH STOUFFER, JOE FALCO, KAREN SCARFONE. SP800 -

相应的安全对策（可为多项对策）；其次，根据网络 82 - final; Guide to Industrial Control Systems (ICS) Security[R]. 监控软件提供的信息确定攻击来源;最后，根据受攻 NIST. Gaitherburg, M D. , USA： 2011.

击资产和攻击来源（来自网络监控软件）及时采取 [4] HOMELAND SECURITY CPNI CENTER. Cyber Security Assess­

有效措施（软件建议的措施和软件之外的措施）进 ments of Industrial Control Systems [ R ]. Homeland Security CPNI Center for the Protection Of National Infrastructure. 2010.行补救。事后与相关人员（安全小组人员,设备供 [5 ] DMZ[ OL].维基百科，https://zh. wikipedia. org/wiki/DMZ.应商/集成商，软件供应商的技术支持人员）进行讨 [6] KEITH STOUFFER, VICTORIA PILLITTERI, SUZANNE LIGHT-

论、总结教训、完善防御措施。

MAN, MARSHALL ABRAMS, ADAM HAHN. Guide to Industrial Control System ( ICS ) Security [ S ]. National Institute of Standards 5 结语

and Technology, 2015 ：

63.介绍了国内铝工业控制系统的安全防护现状及 [7 ] Trusted Computing Group. Architect * s Guide ： Mobile Security Using

TNC Technology. 2011.

国外安全事件的后果,分析了保护铝工业控制系统 [8 ] Trusted Computing Group. Trusted Platform Module (TPM) Summa­

网络安全的重要性。由于工业控制系统网络包含传 ry. 2008.

统IT网络和控制网络的特点，根据二者不同的功能 (责任编辑崔丽文）

性和不同的网络协议，基于流行的网络技术提出了

* * * *

* * 於 >v

•行业资讯•

阿曼苏哈尔铝车轮厂开建

阿曼（Oman)苏哈尔铭业公司（Sohar Aluminium)伙同苏内杰铸造公司（Synergy Castings LLC)将建一车轮厂，该厂的建设 投资1亿美元。苏内杰铸造公司是一个主要的铝合金车轮厂。苏哈尔铝厂每年将向新建的铝合金车轮厂提供24 kt原铝。新 建的车轮厂可于2020年投产。

〔王祝堂供稿〕

•书讯.

2000年度、2005年度~2017年度《轻金属》杂志合订本（2001 ~ 2004年每期都有单行本，价格是全年240元，含邮费），分 别收录了当年刊栽的轻金属业界的新技术、新工艺及先进的生产管理方面的论文数百篇。主要内容包括轻金属原料矿山、氧 化铝氟化盐、电解铝、铝用炭素、镁钛工业硅、轻合金及其加工、轻金属材料等，还刊栽了大量的国际、国内轻金属行业的技术信息。

每年度合订本工本费260元/套，需要订阅的单位或个人请直接与《轻金属》编辑部联系。电话、传真:〇24 - 23261062