石化工业控制网络安全分析与防护

、连接数、CPU处理能力等使得正常的服务功能无法进行。拒绝服务攻击难以防范的原因是它的攻击对象非常普遍，从服务器到各种网络设备如路由器、交换机、防火墙等都可以被拒绝服务攻击。

控制网络一旦遭受严重的拒绝服务攻击就会导致操作站的服务瘫痪，与控制系统的通信完全中断等。可以想像，受到拒绝服务攻击后的控制网络可能导致网络中所有操作站和监控终端无法进行实时监控，其后果是非常严重的。而传统的安全技术对拒绝服务攻击几乎不可避免，缺乏有效的手段来解决。

3、病毒与恶意代码

病毒的泛滥是大家有目共睹的。全球范围内，每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒，并且还在以每天数十余种的速度增长。除了传统意义上的具有自我复制能力但必须寄生在其它实用程序中的病毒外，各种新型的恶意代码也层出不穷，如陷阱门、逻辑炸弹、特洛伊木马、蠕虫、Zombie等。新型的恶意代码具有更强的传播能力和破坏性。例如蠕虫，从广义定义来说也是一种病毒，但和传统病毒相比最大不同在于自我复制过程。传统病毒的自我复制过程需要人工干预，无论运行感染病毒的实用程序，或者是打开包含宏病毒的邮件等，没有人工干预病毒无法自我完成复制、传播。但蠕虫却可以自我独立完成以下过程：

1. 查找远程系统：能够通过检索已被攻陷的系统的网络邻居列表或其它远程系统地址列表找出下一个攻击对象。

2. 建立连接：能够通过端口扫描等操作过程自动和被攻击对象建立连接，如Telnet连接等。

3. 实施攻击：能够自动将自身通过已经建立的连接复制到被攻击的远程系统，并运行它。

一旦计算机和网络染上了恶意代码，安全问题就不可避免。

常规网络安全技术

石化企业随着信息系统的不断发展，大量IT技术被引入，同时也包括各种IT网络安全技术。目前以MES为代表的信息系统在实现控制网络接入信息网络时，也基本都考虑了对控制网络的安全防护。但目前对控制网络的防护，大部分采用的是常规网络安全技术，主要包括防火墙、IDS、VPN、防病毒等。这些技术主要面向商用网络应用。

在企业的信息化系统中，由办公网络、管理网络组成的信息网络与商用网络的运维特点比较相似，因此采用常规网络安全技术是适合的。而控制网络特点则有很大不同。

控制网络是控制系统如DCS各部件协同工作的通信网络。控制系统负责对生产装置的连续不间断地生产控制，因此控制网络同样具有连续不可间断的高可靠性要求。另一方面，控制网络也是操作人员对控制系统实时下发控制指令的重要途径，所以控制网络又具有不可延迟的高实时性要求。

在商用网络里可以存在病毒，几乎每天都有新的补丁出现，计算机可能会死机、暂停，而这些如果发生在控制网络里几乎是不可想象的。为了保证生产安全，在极端情况下，即便将控制网络与信息网络断开，停止与信息网络交换数据也要保证控制系统的安全。因此，过程生产的连续不可间断的高可靠性要求控制网络具备更高的安全性。

另外，从数据安全角度来看，商用网络往往对数据的私密性要求很高，要防止信息的泄露，而控制网络强调的是数据的可靠性。另外，商用网络的应用数据类型极其复杂，传输的通信标准多样化，如HTTP、SMTP、FTP、SOAP等；而控制网络的应用数据类型相对单一，以过程数据为主，传输的通信标准以工业通信标准为主，如OPC、Modbus等。

通过比较商用网络与控制网络的差异可以发现，常规的IT网络安全技术都不是专门针对控制网络需求设计的，用在控制网络上就会存在很多局限性。

比如防火墙产品，目前基本是以包过滤技术为基础的，它最大的局限性在于不能保证准许放行的数据的安全性。防火墙通过拒绝放行并丢弃数据包来实现自己的安全机制。但防火墙无法保证准许放行数据的安全性。从实际应用来看，防火墙较为明显的局限性包括以下几方面：

1）、防火墙不能阻止感染病毒的程序和文件的传输。就是防火墙只能做网络四层以下的控制，对于应用层内的病毒、蠕虫都没有办法。

2）、防火墙不能防范全新的威胁，更不能防止可接触的人为或自然的破坏。

3）、防火墙不能防止由自身安全漏洞引起的威胁。

4）、防火墙对用户不完全透明，非专业用户难于管理和配置，易造成安全漏洞。

5）、防火墙很难为用户在防火墙内外提供一致的安全策略，不能防止利用标准网络协议中的缺陷进行的攻击，也不能防止利用服务器系统漏洞所进行的攻击。

6）、由于防火墙设置在内网与外网通信的信道上，并执行规定的安全策略，所以防火墙在提供安全防护的同时，也变成了网络通信的瓶颈，增加