欢迎访问苏州乐泽自动化科技有限公司网站!
联系我们 contacts us
苏州乐泽自动化科技有限公司
联系人:钟经理
手 机:18662271834

传 真:0512-65400654

Q     Q:158108097

邮   箱:sz_leze@163.com
地 址:苏州市相城区渭塘镇珍珠湖路23号
公司新闻

看不见的风险:石化业工控系统怎能“裸奔”?

2015-11-24 点击数:3253
随着“互联网+”行动计划的推进,移动互联网、云计算、大数据、物联网等先进的信息传输和处理技术在石化领域的应用越来越普及。毫无疑问,先进的信息通讯技术不仅大幅提升了行业的运营效率,同时也是行业节能减排、绿色发展、转型升级的重要抓手,为行业带来了新的升级空间和发展动力。但与此同时,在信息化与工业化融合过程中,网络信息安全、工业控制系统安全等问题也随之凸显出来。

日前有信息安全方面的专家对记者表示,目前我国石化行业的工业控制系统几乎是在没有任何防护的状态下,暴露在万网互联、万物互联的环境中,这无异于一个人在人头攒动的大街上“裸奔”。而更让人担忧的不是这种“裸奔”状态本身,而是绝大多数的企业管理者对此一无所知。

风险看不见,更危险!

“我一直对行业的工控系统信息安全有一种担心。”作为石化自动化行业的专家,中国石油和化工自动化应用协会秘书长陈明海表示,“这种担心来自于两方面:一是石化行业肩负着国家石化能源和基础原材料供给重任,在保障国民经济安全运行中发挥着举足轻重的作用,生产中一旦出现任何的异常,都有可能造成严重的安全事故或重大的社会影响;二是目前国内大型的石化装置所采用的高端控制系统和信息系统的软硬件大多是进口的,几乎被国外所垄断,这就好比是自家的房门钥匙拿在外人手里,让我们毫无安全感可言。只要有人想恶意入侵,我们就毫无防御能力。”

据介绍,过去,石化企业作为一个独立的运营单位,其生产系统与外界是隔离的,外面的威胁不会通过企业内部的网络进入到生产系统。但随着两化融合的推进以及互联网技术的应用,原来独立运行的控制设备全部进行了大规模联网和集中式管理,与互联网等公共网络的连接使得病毒、木马等威胁轻而易举地扩散到了工业控制系统,网络安全问题也随之而来。但这些风险都是潜在的,并不像生产现场安全隐患那样看得见摸得着。

“联网后,过程控制系统就变成了开放的状态,办公系统的网络病毒会对生产系统产生威胁,原来企业生产安全主要面对现场的管理,而现在,还要考虑来自于互联网的各种威胁。如果工控系统没有防护体系,工厂里的机器设备就会直接暴露在公共网络上。目前在互联网上,就可以直接扫描到许多的工控系统和设备以及软件,外部人员可以直接联入系统内部,如果将来一旦爆发网络空间战,一个国家的关键基础设施将是被攻击的对象。”北京力控华康科技有限公司市场部经理李光朋在接受中国化工报记者采访时这样表示。

陈明海也强调了互联网给生产系统带来的隐患:“石化行业是一个高危行业,企业生产中涉及到有毒有害、易燃易爆、腐蚀、易挥发等化学品,多数的企业涉及高温高压工艺,同时,工艺复杂,生产过程又是环环相扣的连续化生产,每道工序间相互关联、相互影响,控制系统一旦出问题就会产生重大影响。目前我国的炼油、石化等行业普遍采用DCS(分散控制系统)和PLC(可编程逻辑控制器)等数字化手段,自动化程度高,原本独立运行的控制体系联网后很容易受到来自互联网的各种病毒和漏洞的影响。如果一个关键的大型石化装置遭到恶意攻击,后果将不堪设想。”

有着多年信息安全工作经验的中国电子科技集团公司专家张建军则认为,工业控制系统的大规模联网带来的安全问题不容忽视,且不说工控系统的安全性问题,光是联网本身就有许多问题。原来两个生产厂之间的控制系统是各自独立运行的,控制系统的信息只在企业内部传输,但在信息联网后,在没有做任何隔离的情况下,两个工厂的控制系统之间多了一个后门。“这就好像我家和邻居家本来各走各的门,互不相通。但忽然有一天发现,有一个通道可以直接把我家和邻居家联通。可想而知这种情况有多危险!”

张建军介绍说:“目前我国的工业控制系统信息安全比较薄弱,与十几年前的商用网络信息安全的水平相当。十几年前我们计算机用户没有几个人知道什么是防火墙,什么是入侵检测,仅有的一点安全知识就是防病毒。目前,工业控制领域网络技术的应用许多还处于起步阶段,相关人员对这方面的知识知之甚少。”

尽管行业管理者对工控系统安全了解还不多,但在工业系统发生的安全事故却已经向我们发出警告。早在2009年和2010年间,伊朗核设施曾遭遇震网(Stuxnet)病毒攻击,导致伊朗1000多台离心机瘫痪。近几年,石化企业因网络病毒引起的安全事件层出不穷,美国的4家石油公司曾对外宣称,他们的计算机系统感染了Stuxnet病毒;我国青岛某炼厂的控制系统也曾因感染蠕虫病毒导致装置停产。工业控制系统的网络安全问题已经日益凸显。

行业情况复杂,升级难!

然而,专家们表示,与传统企业信息化的安全不同,石化行业有自身的特点,其工业控制系统十分复杂,传统IT安全产品对石化领域的适应性不强,解决问题的能力非常有限,很难满足石化行业的特殊要求,要想解决好石化行业工控系统信息安全问题并不是一件容易的事。

“石化领域的工控系统信息安全问题太复杂了!行业与行业之间、企业与企业之间,甚至是一个企业的内部情况都是千差万别的,企业生产现场的产品种类繁多,出现的问题常常是IT领域中没有遇到过的情况。”在工控系统领域打拼了多年的李光朋对石化行业工控系统信息安全问题的复杂性有着深刻的理解。

张建军对此也表达了同样的观点:“石化行业的情况十分复杂,企业的性质不同,生产的产品不同,其所需的解决方案也就不同。比如分散的油田和集中的石化厂需要的方案就会有所区别,而危险化学品和一般化学品的生产对安全防护的要求级别也不同,系统安全解决方案提供商要针对不同系统提供定制化的解决方案。”

关于石化行业工控信息安全复杂性的原因,业内专家将其归纳为3类。

石化生产的连续性让系统升级变得十分困难。多数石化装置特别是大型的石化装置只要一开车就是长周期的连续运行,一旦发生计划外停车,就会造成巨大的损失。这就使得企业即使发现了系统安全漏洞,也根本没有时间来对系统进行升级和修复,而病毒与防护系统却是实时更新的。

其次,管理人员的主观因素让系统升级变得困难。现场的技术人员一般情况下是不敢贸然对系统进行主动更新和修补的,只要生产装置不出问题,能不动就不动,因为系统升级会带来一些不确定因素,有可能导致装置运行不稳定,而造成经济损失。因此,大量的工控系统存在已知却无法得到修复的低级漏洞。

再次,石化行业的装置寿命都比较长,有的一用就是几十年,因此其控制网络或控制系统的技术和产品跨代时间也就比较长。目前在一些企业应用的产品和技术还是30年前的,因此造成工控领域的网络环境类型复杂多样,新开发的信息安全技术很难全面适应不同类型的系统。同时,就网络架构而言,不同的供应商提供的网络系统不同,不同生产企业搭建的网络不同,即使是同一供应商为不同用户提供的网络系统也是五花八门,这就使得石化行业的工控系统信息安全越发难做。

“石化系统的复杂性要求一定要有专业的公司针对行业的特点开发针对性强的产品来满足行业的需求,而且一个安全产品不可能包打天下,只能是先开发客户需求最为迫切的产品。控制系统及生产网络的安全防护是当下企业要优先考虑和解决的问题,我们开发的隔离网关系列产品pSafetyLink,就是针对连续生产的安全性和可靠性有着极高要求的石化和化工等行业的。”李光朋对记者说。

据悉,力控华康工业隔离网关系列产品pSafetyLink,在双主机之间采用专有网络隔离技术PSL,可彻底阻断任何网络形式的连接,从物理层面断开了控制网络和信息网络的直接网络连接,同时保证生产数据的安全交换。pSafetyLink通过内嵌的高性能工业通信软件,支持各种主流工业SCADA通信标准(如OPC、Modbus、DNP3等),在为工业控制系统网络间的实时数据交换提供绿色通道的同时,又有效解决了工业控制网络外连时面临的安全问题。

目前国内开发的可用于石化行业的工控安全产品还有工业通讯隔离网关、工业防火墙、安全监控装置、工控可信技术安全平台、安全数采网关等。
Copyright © 2015 szleze.com All Rights Reserved 苏州乐泽自动化科技有限公司 版权所有

 地址:苏州市相城区渭塘镇珍珠湖路 技术支持:仕德伟科技 苏ICP备15055293 网站建设仕网云智能建站
友链|机制岩棉板 |玻璃感应门 |螺杆真空泵 |天车滑触线 |高效送风口|平板离心机|地下室防水堵漏