油田工業(yè)控制的信息安全淺析

1、油田工業(yè)控制系統(tǒng)安全分析目前平臺的技術架構已成為工業(yè)控 制系統(tǒng)操作站的主流， 任何一個版本的自發(fā)布以來都在不停的發(fā)布漏 洞補丁，為保證過程控制系統(tǒng)相對的獨立性， 現(xiàn)場工程師通常在系統(tǒng)投入運行后不會對平臺打任何補丁， 更為重要的是打過補丁的操作系統(tǒng)沒有經(jīng)過制造商測試， 存在安全運行風險。與之相矛盾的是，系統(tǒng)不打補丁就會存在被攻擊的漏洞， 即使是普通常見病毒也會遭受感染，可能造成平臺乃至控制網(wǎng)絡的癱瘓。著名的震網(wǎng)病毒就是利用借助了 4 個 0- 漏洞進行針對西門子系統(tǒng)進行傳播和感染。在油田工業(yè)控制系統(tǒng)中， 自動化廠商眾多， 上位機應用軟件也是多種多樣，很難形成統(tǒng)一的防護規(guī)范以應對安全問題。美國工業(yè)

2、控制系統(tǒng)網(wǎng)絡緊急響應小組就曾經(jīng)發(fā)出警告， 中國開發(fā)的工業(yè)控制系統(tǒng)軟件發(fā)現(xiàn)兩個安全漏洞，可能會被攻擊者遠程使用。另外當應用軟件面向網(wǎng)絡應用時，常需要開放其應用端口。常規(guī)的防火墻等安全設備很難保障其安全性。互聯(lián)網(wǎng)攻擊者很有可能會利用一些工程自動化軟件的安全漏洞獲取現(xiàn)場生產設備的控制權。信息平臺也常常由于程序編寫不規(guī)范帶來安全缺陷， 典型的如信息泄露、目錄遍歷、命令執(zhí)行漏洞、文件包含漏洞、注入攻擊、跨站腳本漏洞等，此類入侵是防火墻產品無法抵御的。在油田企業(yè)中，在控制網(wǎng)絡與辦公網(wǎng)絡、 互聯(lián)網(wǎng)之間一般采用防火墻進行隔離， 但防 火墻并不是專為工業(yè)網(wǎng)絡應用設計的產品， 在防護工業(yè)網(wǎng)絡時存在較多缺陷由于防火

3、墻本身是基于協(xié)議體系實現(xiàn)的， 所以它無法解決協(xié)議體系中存在的漏洞。防火墻只是一個策略執(zhí)行機構，它并不區(qū)分所執(zhí)行政策的對錯，更無法判別出一條合法政策是否真是管理員的本意。從這點上看，防火墻一旦被攻擊者控制，由它保護的整個網(wǎng)絡就無安全可言了。防火墻無法從流量上判別哪些是正常的，哪些是異常的，因此容易受到流量攻擊。防火墻的安全性與其速度和多功能成反比。防火墻的安全性要求越高，需要對數(shù)據(jù)包檢查的項目即防火墻的功能就越多越細,對和內存的消耗也就越大，從而導致防火墻的性能下降，處理速度減慢。防火墻準許某項服務，卻不能保證該服務的安全性，它需要由應用安全來解決。所以，從防火墻的實際使用情況來看，通過防火墻很

4、難在根本上保證生產控制區(qū)的網(wǎng)絡安全。拒絕服務攻擊是一種危害極大的安全隱患，它可以認為操縱也可以由病毒自動執(zhí)行，常見的流量型攻擊如、 等，以及常見的連接型攻擊如、等，通過消耗系統(tǒng)的資源，如網(wǎng)絡帶 寬、連接數(shù)、處理能力、緩沖內存等使得正常的服務功能無法進行。拒絕服務攻擊非常難以防范，原因是它的攻擊對象非常普遍，從服務 器到各種網(wǎng)絡設備如路由器、交換機、防火墻等都可以被拒絕服務攻擊?？刂凭W(wǎng)絡一旦遭受嚴重的拒絕服務攻擊就會導致嚴重后果,輕則控制系統(tǒng)的通信完全中斷，重則可導致控制器死機等。前這種現(xiàn)象已經(jīng)在多家工業(yè)控制系統(tǒng)中已經(jīng)出現(xiàn)， 并且造成嚴重后果?？梢韵胂螅惶资Э氐目刂葡到y(tǒng)可能導致的后果是非常嚴重

5、的。而傳統(tǒng)的安全技術對拒絕服務攻擊幾乎不可避免，缺乏有效的手段來解決。由于無線網(wǎng)絡具有傳統(tǒng)有線網(wǎng)絡無法比擬的特點，如組網(wǎng)靈活、成本低、移動性好、易安裝維護等優(yōu)勢，在油田井口通信設備越來越多的使用無線通信設備。但也由于無線網(wǎng)絡傳輸媒介方面的特殊性， 使得一些攻擊更容易實施， 其安全威脅的具體表現(xiàn)主 要有攻擊者偽裝成合法用戶， 通過無線接入非法訪問網(wǎng)絡資源； 無線 鏈路上傳輸?shù)奈幢患用艿臄?shù)據(jù)被攻擊者截獲； 針對無線連接或設備實 施拒絕服務攻擊； 不適當?shù)臄?shù)據(jù)同步可能破壞數(shù)據(jù)的完整性； 惡意實 體可能得到合法用戶的隱私； 某些節(jié)點設備容易丟失， 從而泄露敏感 信息；設備的不適當配置可能造成數(shù)據(jù)的泄露

6、； 惡意用戶可能通過無線網(wǎng)絡連接到他想攻擊的網(wǎng)絡上去實施攻擊； 惡意用戶可能通過無線網(wǎng)絡，獲得對網(wǎng)絡的管理控制權限。在先天上就存在著致命的安全漏洞協(xié)議簇最初設計的應用環(huán)境是美國國防系統(tǒng)的內部網(wǎng)絡， 這 一網(wǎng)絡是互相信任的， 因此它原本只考慮互通互聯(lián)和資源共享的問題， 并未考慮也無法兼容解決來自網(wǎng)絡中和網(wǎng)際間的大量安全問題， 存在 缺乏對用戶身份的鑒別、缺乏對路由協(xié)議的鑒別等先天性缺陷。油田工業(yè)控制系統(tǒng)中由于歷史的原因， 還大量使用各種非安全工業(yè)協(xié) 議，如控制層協(xié)議，該協(xié)議設計初期一般以優(yōu)化實時為主，而并不提供加強的網(wǎng)絡連接安全防護功能， 任意通過網(wǎng)絡連接到控制器的設備可以改變控制器的點或寄存器

7、數(shù)值。許多控制器甚至可以被復位、禁止運行、或被下裝新的邏輯。協(xié)議由于其通用性在工業(yè)現(xiàn)場大量使用，但其使用的端口號是由服務器以一個虛擬隨機序列動態(tài)分配的，因此沒有辦法提前知道服務器返回給客戶端的端口號。而服務器可以分配的端口號范圍很廣2008 下超過 16000 個端口號，早期的端版本則超過了 48000 個端口號。所以，傳統(tǒng)的防火墻在保護服務器時， 不得不允許客戶端和服務器之間如此大范圍內的任何端口號的連接。在這種情況下，防火墻提供的安全保障被降至最低。因此，目前絕大多數(shù)的服務器都在沒有任何防火墻保護的情況下運行， 從而很容易受到惡意軟件和其他安全威脅的攻擊。 37 病毒與惡意代碼基于平臺的在

8、工業(yè)控制系統(tǒng)中廣泛應用，病毒也隨之而泛濫。全球范圍內，每年都會發(fā)生數(shù)次大規(guī)模的病毒爆發(fā)。目前全球已發(fā)現(xiàn)數(shù)萬種病毒，并且還在以每天數(shù)十余種的速度增長。這些惡意代碼具有更強的傳播能力和破壞性。例如蠕蟲， 從廣義定義來說也是一種病毒， 但和傳統(tǒng)病毒相比最大不同在于自我復制過程。它能夠通過端口掃描等操作過程自動和被攻擊對象建立連接， 如連接等， 自動將自身通過已經(jīng)建立的連接復制到被攻擊的遠程系統(tǒng)，并運行它。其中著名的震網(wǎng)病毒就具有異常精巧的傳播與感染機制，借助 4 個 0- 漏洞，竊取 2 個有效的軟件證書，共 60000余行代碼，而且制作該病毒需要非常豐富的編程及工業(yè)現(xiàn)場的專家知識。油田工業(yè)控制系統(tǒng)

9、安全對策基于目前油田工業(yè)控制系統(tǒng)現(xiàn)狀， 由于當前投用的控制系統(tǒng)通常需要每周 7 天，每天 24 小時的長期運行，所以宜采用循序漸進的方法，對現(xiàn)有工業(yè)控制系統(tǒng)有步驟的進行安全升級改造。安全對策可以分三步走，首先要建立安全的策略和流程， 使后續(xù)的安全措施有章可循； 其次建 立初步防御戰(zhàn)略， 根據(jù)當前有明顯漏洞易解決、 急需解決的關鍵點加以實施；最后建立工業(yè)控制系統(tǒng)的縱深防御體系， 切實保證油田信息安全，保障平穩(wěn)安全生產。工業(yè)控制系統(tǒng)的脆弱性通常是由于缺少完整而合理的策略文檔或有效的實施過程而引起的，安全策略文檔和管理支持是系統(tǒng)安全的基礎，有效的安全策略在系統(tǒng)中的強制實施是減少系統(tǒng)而臨的安全風險的前

10、提。無論哪種先進的安全設備和健壯無漏洞的安全體系，一旦脫離了健全的安全策略和流程，依舊是一套脆弱不堪的信息安全系統(tǒng)。建議油田企業(yè)從以下幾方面建立安全策略和流程建設安全管理機構；制定工業(yè)控制系統(tǒng)的安全 策略；進行工業(yè)控制系統(tǒng)的安全培訓與培養(yǎng)安全意識； 采用安全的系 統(tǒng)架構與設計；根據(jù)安全策略制定正規(guī)、可備案的安全流程；制定工 業(yè)控制系統(tǒng)設備安全部署的實施指南；加強工業(yè)控制系統(tǒng)的安全審計;制定針對工業(yè)控制系統(tǒng)的業(yè)務連續(xù)性與災難恢復計劃；加強針對工業(yè)控制系統(tǒng)配置變更管理。操作系統(tǒng)補丁升級在局域網(wǎng)內部署臺微軟的軟件升級服務器，通過可以在局域網(wǎng)中建立一個升級服務器,以后局域網(wǎng)中的電腦就可以通過這個服務器

11、來自動升級預，所有的更新活動都是通過后臺自動更新進行的， 不需要任何人的干預，非常方便。注意目前還不能為或者其它微軟軟件提供更新服務。殺毒軟件升級在局域網(wǎng)內部署一臺企業(yè)版殺毒軟件服務器， 允許其連接互聯(lián)網(wǎng)完成自動升級，局域網(wǎng)中的其它計算機或服務器上安裝同品牌的支持局域網(wǎng)自動升級殺毒軟件客戶端。為了追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象， 缺乏完整有效的安 全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來了一定的威脅。例如工業(yè)控制系統(tǒng)中移動存儲介質包括筆記本電腦、盤等設備的使用 和不嚴格的訪問控制策略，給整個工業(yè)控制系統(tǒng)信息安全帶來很大的破壞作用，如伊朗的震網(wǎng)安全事件最初就是通過盤傳

12、播至控制網(wǎng)絡的?？刂莆唇?jīng)授權用戶進行訪問可以通過多種手段， 比如通過有效的密碼和完善的身份認證制度。有效的密碼用戶不能使用生日、電話號碼等別人容易猜出的密碼。密碼應該輸入至少 6 位字符，建議混合使用數(shù)字、大寫、小寫和特殊的字符。另外一種硬件加密鎖的方式更為有效， 硬件加密鎖使用一個硬件設備， 象盤一樣的東西，里面存放了登陸者的認證信息，當?shù)顷憰r，必須插上鑰匙才能進行密碼的驗證。在企業(yè)內部實施認證制度，可從物理上阻止未經(jīng)授權人員進行訪問。由于漏洞攻擊有時可以繞過防火墻實現(xiàn)入侵，所以對已有信息發(fā)布平臺進行網(wǎng)頁漏洞掃描相當必要。頁漏洞掃描是利用專用的應用漏洞掃描程序構建的自動化掃描平臺，模擬前端可

13、以與實際的應用程序通信， 從而可以發(fā)現(xiàn)應用程序中的安全缺陷。其工作原理非常類似一個黑匣子測試器，也就是說它并不需要訪問源代碼，真正實現(xiàn)遠程的安全檢測。應用漏洞掃描程序分析來自網(wǎng)站程序結構中的每一個網(wǎng)站功能腳本程序的應用 狀況，借助于專用的漏洞檢測數(shù)據(jù)庫， 能夠自動構造各種類型的異常果。提交參數(shù)，能夠對響應消息進行內容分析，結合狀態(tài)碼，判斷測試結同時，還會模擬大多數(shù)普遍存在的攻擊手段，探測各種已知漏洞和未知漏洞， 針對所有可能為黑客所利用的項目進行多樣化多層次的探測和分析。測試結果最終形成安全隱患報告，和大多數(shù)檢測工具一樣， 自動化的應用漏洞掃描程序的掃描結果也存在相應 的誤報，因此對于網(wǎng)頁漏洞

14、掃描的結果還需要通過安全專家的精心審核，最終保證網(wǎng)頁漏洞檢測的準確性。方式普通的網(wǎng)絡傳輸采用的是協(xié)議，如上面所述， 協(xié)議是明文協(xié)議，只要截取網(wǎng)絡數(shù)據(jù)就可以反轉過來，而協(xié)議是通過私鑰認證的，即使獲得了網(wǎng)絡數(shù)據(jù)流，如果沒有相應的密鑰，也無法反編譯出數(shù)據(jù)。方式如果要跨區(qū)域使用，數(shù)據(jù)可能需要在公網(wǎng)上傳輸，為了保證轉輸?shù)陌踩?，方式提供了非明文協(xié)議方式。提供也另外一種形式的非明文傳輸協(xié)議。數(shù)據(jù)加密存儲數(shù)據(jù)庫中存放的數(shù)據(jù)及用戶信息大多數(shù)是明文存放， 如果黑客一旦有機會侵入系統(tǒng)， 如果是明文存放的， 該數(shù)據(jù)很容易暴露出來。所以對一些核心數(shù)據(jù)，需要在數(shù)據(jù)庫存儲時，必須進行數(shù)據(jù)加密。數(shù)據(jù)庫的默認密碼請務必設定和

15、修改數(shù)據(jù)庫的默認密碼，現(xiàn)在很多系統(tǒng)的默認密碼為空或簡單密碼， 這會造成很大的安全隱患。拒絕服務器攻擊和分布式的分散式拒絕服務攻擊通過大量合法的請求占用大量的網(wǎng)絡資源，以達到癱瘓網(wǎng)絡的目的。以下是針對應對的一些建議在計算機主機上關閉不必要的服務， 限制 同時打開的半連接數(shù)目，縮短半連接的時間，及時更新系統(tǒng)補丁。利用防火墻禁止對主機的非開放服務的訪問， 限制同時打開的最大連接數(shù)限制特定地址的訪問， 啟用防火墻的防的屬性， 嚴格限制對外開放的服務器的向外訪問。使用- 訪問控制列表過濾設置數(shù)據(jù)包流量速率，升級版本過低的，為路由器建立。工業(yè)網(wǎng)絡中同時存在保障工業(yè)系統(tǒng)的工業(yè)控制網(wǎng)絡和保障生產經(jīng)營的辦公網(wǎng)絡

16、， 考慮到 不同業(yè)務終端的安全性與故障容忍程度的不同， 對其防御的策略和保 障措施應該按照等級進行劃分， 實施分層次的縱深防御體系。照業(yè)務職能和安全需求的不同，工業(yè)網(wǎng)絡可劃分為以下幾個區(qū)域滿足 辦公終端業(yè)務需要的辦公區(qū)域；滿足在線業(yè)務需要隔離區(qū)區(qū)域；滿足工業(yè)控制系統(tǒng)管理與監(jiān)控需要的管理區(qū)域； 滿足自動化作業(yè)需要的控制區(qū)域。針對不同區(qū)域間數(shù)據(jù)通信安全和整體信息化建設要求,實施工業(yè)控制網(wǎng)絡安全建設，首先需要針對工業(yè)控制系統(tǒng)網(wǎng)絡管理的關鍵區(qū)域實施可靠的邊界安全策略，實現(xiàn)分層級的縱深安全防御策略,抵御各種已知的攻擊威脅。在企業(yè)管理層和中心之間加入防火墻，一方面提升了網(wǎng)絡的區(qū)域劃分，另一方面更重要的是只

17、允許兩個 網(wǎng)絡之間合法的數(shù)據(jù)交換，阻擋企業(yè)管理層對數(shù)采監(jiān)控層的未經(jīng)授權 的非法訪問，同時也防止管理層網(wǎng)絡的病毒感染擴散到數(shù)采網(wǎng)絡?？紤]到企業(yè)管理層一般采用通用以太網(wǎng)， 要求較高的通訊速率和帶寬等因素，對此部位的安全防護建議使用常規(guī)的防火墻。另外企業(yè)管理層在進行數(shù)據(jù)應用時不建議將中心的實時數(shù)據(jù)庫、關系數(shù)據(jù)庫 的服務端口暴露在辦公網(wǎng)中進行使用，而應該提供一種一致性數(shù)據(jù)訪 問能力的接口服務，該服務除了提供實時歷史數(shù)據(jù)訪問外， 還能進行用戶身份及權限認證，這樣既避免了已知常用端口入侵攻擊， 又能夠有比較好的安全權限升級擴展能力。在企業(yè)管理層和中心之間通常使用通訊協(xié)議，由于通訊采用不固定的端口號，使用傳

18、統(tǒng)的防火墻進行防護時，不得不開放大規(guī)模范圍內的端口號。在這種情況下，防火墻提供的安全保障被降至最低。因此，在數(shù)采監(jiān)控層和控制層之間應安裝專業(yè)的工業(yè)防火墻， 解決通訊采用動態(tài)端口帶 來的安全防護瓶頸問題，阻止病毒和任何其它的非法訪問，這樣來自防護區(qū)域內的病毒感染就不會擴散到其他網(wǎng)絡， 提升網(wǎng)絡區(qū)域劃分能力的同時從本質上保證了網(wǎng)絡通訊安全。考慮到和控制器之間的通訊一般都采用制造商專有工業(yè)通訊協(xié)議，或者其它工業(yè)通信標準如等。由于常規(guī)的防火墻和網(wǎng)閘等安全防護產品都不支持工業(yè)通訊協(xié)議，因此，對關鍵的控制器的保護應使用專業(yè)的工業(yè)防火墻。阻擋來一方面對防火墻進行規(guī)則組態(tài)時只允許制造商專有協(xié)議通過, 自操作站

19、的任何非法訪問；另一方面可以對網(wǎng)絡通訊流量進行管控, 可以指定只有某個專有操作站才能訪問指定的控制器；第三方面也可以管控局部網(wǎng)絡的通訊速率，防止控制器遭受網(wǎng)絡風暴及其它攻擊的影響，從而避免控制器死機。工業(yè)控制系統(tǒng)信息安全問題已迫在眉睫，本文針對油田企業(yè)流程工業(yè)的特點， 同時結合工業(yè)控制系統(tǒng) 網(wǎng)絡結構和安全需求，提出工業(yè)控制系統(tǒng)信息安全分三步走的策略。將工業(yè)系統(tǒng)網(wǎng)絡劃分為不同的安全區(qū)域，在區(qū)域之間執(zhí)行管道通信,從而通過管控區(qū)域間管道中的通信內容,實現(xiàn)保證工廠控制網(wǎng)絡安全穩(wěn)定運行的三個目標通訊可控、 區(qū)域隔離和報警追蹤，進而全方位地 保障工業(yè)控制系統(tǒng)信息安全，最終實現(xiàn)信息安全的縱深防御策略。值得強

20、調的是建立安全策略與流程是很重要的一個環(huán)節(jié)，切實做好工業(yè)控制系統(tǒng)的安全培訓工作與培養(yǎng)安全意識， 用三分技術，七分管理來形容工業(yè)控制系統(tǒng)信息安全不無道理。本文作者岳妍瑛王彬工作單位中國石油長慶油田分公司第一采油廠PEP 小學英語五年級下冊Unit four When is Easter? 教學設計教學內容 : PEP 小學英語五年級下冊 Unit four When is Easter？ Part A: Lets spell教材分析 :unit4 的主題是 When is Easter? 主題是東西方節(jié)日及個人的生日。主題圖通過學生們在教室里談論母親節(jié)、中秋節(jié)和生日的情境，呈現(xiàn)出本單元要學習的核

21、心詞匯和句型及其語用環(huán)境，拉開了本單元學習的序幕。為學習單元A.B部分的各個板塊做好準備。而Let s spell板塊為我們呈現(xiàn)了字母組合th在單詞中發(fā)/ e /和/ e /的規(guī)則。通過聽音圈詞活動，強化記憶 th 的發(fā)音規(guī)則，鞏固學習 th 的音形拼寫對應關系。第三部分通過選擇單詞寫句子，幫助學生按照發(fā)音規(guī)則拼寫句子。這些設計符合英語新課程標準的要求，有效的突出了英語核心素養(yǎng)。學情分析 : 五年級學生學習英語已經(jīng)有二年半的時間了，對于教材的特點和結構都比較熟悉。此階段的學生活潑好動、好奇心強、勇于嘗試，具有一定的邏輯思維能力和語言表達能力，并有很強的自尊心和求知欲，對于學習英語的興趣已經(jīng)逐漸

22、顯示出自己獨特的個性。設計理念： 根據(jù)英語新課程標準的要求以及突出英語核心素養(yǎng)，本節(jié)課我設計以情境教學為支撐，以學生小組合作為方法，在合作學習的基礎上經(jīng)過老師的點撥輕松掌握th 的發(fā)音規(guī)則，并能在不同形式的練習中鞏固學習 th 的音形拼寫對應關系。發(fā)展學生的自主學習能力以及引導學生進行發(fā)現(xiàn)式的學習，觀察，感知體驗并自己歸納，突出以教師為引導，學生為主體的教學理念。教學目標 :1.學生能夠掌握字母組合th在單詞中發(fā)/ e /和/ e /的規(guī)則。2. 學生能夠根據(jù) th 的發(fā)音規(guī)則讀出生詞。3. 學生能夠按照 th 的發(fā)音規(guī)則拼讀單詞，并進一步提高在單線上抄寫句子的能力。4. 引導學會發(fā)現(xiàn)、觀察、

23、體驗學習的學習方法。教學重難點 :重點 ：學生能夠掌握字母組合 th 在單詞中發(fā) / 0 / 和 / e /的規(guī)則。難點： 學生能夠根據(jù) th 的發(fā)音規(guī)則讀出生詞學習方法： 情境學習法、小組合作法。教具準備 : 多媒體教學課件、單詞卡片、評價獎章等。教學過程 :一、 Warm Up1 繞口令游戲?？谏嘀疇帯ＴO計意圖】拉近師生距離，愉悅學生心情。增進對彼此的認識，以便讓課堂順利開展，同時鍛煉學生的齒舌靈活能力。2. GreetingT: Hello, boys and girls.Ss: Hello, teacher.lead-in1. 看情境圖，引出三只小豬進考場的故事。學生發(fā)現(xiàn)這個故事中的每

24、句話都有什么特點，小組合作讀一讀說說自己的發(fā)現(xiàn)。設計意圖】 : 通過情境圖的展示，讓學生在情境中發(fā)現(xiàn)問題，思考問題，引出課題。Presentation1. 出示學習目標，明確本節(jié)課的學習任務。th 有幾種不同的發(fā)音，交流。2. 繼續(xù)看情境，小組合作讀句子，說說你發(fā)現(xiàn)了字母組合The first pig is thirteen.He likes maths.The second pig is three years old.He is thin.The third pig has a birthdayon the fifth of April.3. 老師解疑，出示 th 在單詞中的兩種正確發(fā)音。清輔音：/ 0/舌尖放在上下齒之間，氣流由舌尖間的縫隙擠出，聲帶不振動。濁輔音： /e /舌尖放在上下齒之間，氣流由舌尖間的縫隙擠出，聲帶振動。教師示范，學生模仿。學生以各種形式自由練習發(fā)音，展示學習成果。th 的正確發(fā)音。設計意圖】 : 通過仔細觀察發(fā)現(xiàn)疑問，提出疑問。帶著疑問學習新授，主題突出，學生的學習中心