随着老机组的自动化技术改造,分散控制系统(以下简称DCS系统)得到了广泛的应用,机组的实时数据通过网关送入MIS系统。MIS系统中的实时管理程序对机组生产数据进行自动采集、处理、存储和统计分析,为生产指挥和管理人员提供科学依据,实现对发电机组的安全运行分析和经济运行指导。由于DCS系统与MIS系统直接连接,MIS系统对DCS系统形成很大的安全隐患。因此,必须在DCS系统和MIS系统之间实现有效的隔离,最大限度地减少由于网络系统互联造成的安全问题。?
1 DCS系统与MIS系统连接现状
?
马头发电总厂3#~7#发电机组DCS系统采用三总线以太网络,专用网关机与MIS网直接连接,通过网关软件将有关实时数据发送到MIS网内,2个网络之间的通信采用Netware的IPX协议(或TCP/IP协议)。在MIS网采集站,通过处理程序接受实时数据并转发到实时服务器,供各用户共享。?
专用网关机将2个安全级别不同的网络隔离开,并通过串口隔离程序,严格限制串行线上的数据类型,使串行线两端的机器从网络层隔离开。当一端的机器被侵害时,由于另一端不允许与其通过串行线建立网络层的访问通路,所以从网络层考虑另一端是安全的。但这绝非真正的“物理隔离”,两端的机器在链路层上是互通的,它未能实现物理上的隔离,逻辑上也未隔离,病毒程序仍可通过串口隔离程序与链路层协议达到入侵的目的。?
2 MIS系统对DCS系统的安全隐患分析
?
2.1 两系统连接中存在的安全隐患?
MIS系统在生产和经营管理中,得到了广泛应用。当MIS系统需要获得实时运行信息时,就需要与DCS系统进行信息交换。此时,DCS系统存在如下隐患。
a. MIS系统采用的均为使用广泛、受攻击最多、安全漏洞表现相对突出的操作系统。?
b. 几乎所有MIS网都与Internet相联,更增加了受攻击的可能性。
c. 与DCS系统连接的网桥采用的均为通用产品,未能很好解决通用性与安全性之间的关系,即通用性越高,安全性越低。
d. 在DCS控制系统侧,考虑到开发和应用上的方便性及其它因素,采用通用操作系统(嵌入)的越来越多,也同样增加了受同一病毒攻击的可能性。
e. 从计算机硬件而言,两系统所采用的计算机CPU都是同一计算机指令系统,这也为各种攻击增加了机会。
2.2 对安全隐患的分析
采用同类计算机,使用同种操作系统,会给网络攻击带来更多机会。虽然从网络结构上来讲,DCS系统与MIS系统是通过网关机及不同网卡来完成数据通讯的,但从网络底层驱动来讲,网络访问是完全透明的,在此基础上的网络访问是任意的。换句话说,网络的应用层只能防止常规编程人员开发的程序不能够随意访问不同网段、不同协议的计算机,如果从底层上访问,那就没有任何限制了,即只要物理上有连接,就能够进行数据的交流和访问。目前在电厂DCS系统实时数据的获取方法,通常采用在网关机中安装多块网卡,分别使用不同协议通过TCP/IP协议连接到DCS系统,通过IPX协议连接到MIS系统。这实际上为数据信息在硬件上提供了物理通路,假如此网关机受到恶意程序攻击,例如使其具备路由功能,那么DCS系统和MIS系统之间就等于处在同一网络中,操作就没有了限制。即使其它程序不对DCS系统进行恶意破坏,网络“垃圾包”也会造成网络通讯滞后或瘫痪。因此,采用这种网桥的方法存在着极大的安全隐患,其根本原因是由于采用了通用计算机、通用网卡、通用网络协议、通用操作系统,并且在物理连接上提供了数据的双向通讯。
?
2.3 应用防火墙技术的局限
防火墙是一种重要的网络安全产品,有硬件和软件防火墙。防火墙一般分3种类型:基于路由器的包过滤防火墙、基于通用操作系统的防火墙、基于专用安全操作系统的防火墙。除支持IP协议外,又支持AppleTalk、DECnet、IPX及NETBEUI等通用协议。它采取访问控制、包过滤防火墙的过滤、应用层提供代理支持病毒扫描、提供入侵实时警告、实时入侵防范、实时入侵响应等措施来抵御攻击。当发生入侵事件时,防火墙能够动态响应,调整安全策略,阻挡恶意报文,识别/记录/防止企图进行IP地址欺骗等手段。
采取防火墙技术后,数据通讯仍是双向的,无论哪种类型的防护手段,从本质上均处于“被动防御”,只有不断升级软件和硬件,才能防止已知病毒和常规攻击。而对未知病毒的防御方法是有限的、滞后的。同时,作为DCS系统与MIS系统间的网桥(或其它类似设备),如果受到攻击,即使没有攻击到DCS系统,也可能会在网络上增加额外数据处理量,最终将影响DCS系统的数据实时传递。对于安全性要求极高的发电设备而言,是绝对不允许发生任何一次对DCS系统攻击的。因此这些方法始终存在安全漏洞,不能从根本上杜绝网络安全隐患。?
3 安全隔离技术方案
?
3.1 专用安全隔离装置技术原理
专用安全隔离装置安装在DCS系统网关机与MIS系统之间,在物理上保障数据的单向传输和隔离,从DCS系统接收实时数据,并存储转发到MIS系统。
3.2 专用安全隔离装置结构
专用安全隔离装置采用双主板嵌入式计算机,每台嵌入式计算机具备常规计算机的功能。一个主板与DCS系统相连,另一个主板与MIS系统连接,运行常规的WindowsNT操作系统,可以很方便地与DCS系统和MIS系统连接。在每台计算机主板中,扩展一专用同步数据通讯传输卡,在两者之间进行数据通讯,并通过数据通讯传输卡实现数据的单向传输,支持IPX协议和TCP/IP协议。图1为安全隔离装置硬件结构原理图。
专用同步数据通讯传输卡,采用Hitachi HD64570芯片为核心,配以DMA和双口RAM,完成数据的高速通讯,通讯速率达到4Mbit/s,支持HDLC、SDLC、BSC等通讯协议,能充分满足数据通讯的实时性要求。
采用此种通讯卡,从硬件上能够保证数据只由DCS系统到MIS系统,并结合专用软件完成DCS数据的收集。由于采用非常规通用硬件,并在微机中单独插卡,需要配合相应软件才能完成通讯功能,因而攻击者或病毒不会对其造成影响。即使在MIS系统侧出现攻击或干扰,也不会对DCS系统构成威胁。
3.3 专用安全隔离装置的安装调试
专用安全隔离装置采用专为工业环境运行设计的产品,能够保证长期安全运行;装置机箱为标准工控机箱,便于现场安装。图2为每台机组DCS系统安装专用安全隔离装置后的网络示意图。
4 隔离装置的改进
目前,马头发电总厂在3#~7#机组的DCS系统与MIS系统之间安装了专用安全隔离装置。结合运行情况,提出如下改进建议。
a. 由于MIS系统中的数据采集站只接收IPX数据包,可将隔离装置DATA OUT侧嵌入式计算机中的TCP/IP协议去掉,只运行IPX协议,这样可以减少MIS系统对隔离装置的攻击。
b. 将嵌入式计算机中的硬盘换为半导体盘,以保证安全隔离装置的不间断运行。
c. 安全隔离装置中的双主板嵌入式计算机,可采用不同的操作系统,使2个装置间的串扰减少到最小。
d. 可将1个主控室中的2台网关与1台隔离装置相连,这样既避免了扩充实时网络的困难,又相对减少了设备投资。
e. 制作隔离装置应急恢复盘,一旦隔离装置发生故障,可及时恢复运行,使其影响降低到最小。?
5 结论?
专用安全隔离装置在马头发电总厂应用以来,DCS系统实时数据能够快速传输至MIS系统,装置运行稳定;在MIS网络侧,使用多种通讯协议均不能访问DCS系统。该装置采用的隔离技术实现了物理层面的有效隔离,能够满足电厂计算机监控系统的安全防护要求。?