油田工业控制的信息安全浅析油田工业控制系统安全分析目前Windows平台的技术架构已成为工业控制系统操作站的主流，任何一个版本的Windows自发布以来都在不停的发布漏洞补丁，为保证过程控制系统相对的独立性，现场工程师通常在系统投入运行后不会对Windows平台打任何补丁，更为重要的是打过补丁的操作系统没有经过制造商测试，存在安全运行风险。与之相矛盾的是，系统不打补丁就会存在被攻击的漏洞，即使是普通常见病毒也会遭受感染，可能造成Windows平台乃至控制网络的瘫痪。著名的“震网”病毒就是利用借助了4个0-daywindows漏洞进行针对西门子系统进行传播和感染。在油田工业控制系统中，自动化厂商众多，上位机应用软件也是多种多样，很难形成统一的防护规范以应对安全问题。美国工业控制系统网络紧急响应小组就曾经发出警告，中国开发的工业控制系统软件（SCADA）发现两个安全漏洞，可能会被攻击者远程使用。另外当应用软件面向网络应用时，常需要开放其应用端。常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些工程自动化软件的安全漏洞获取现场生产设备的控制权。Web信息平台也常常由于程序编写不规范带来安全缺陷，典型的如信息泄露、目录遍历、命令执行漏洞、文件包含漏洞、SQL注入攻击、跨站脚本漏洞等，此类入侵是防火墙产品无法抵御的。在油田企业中，在控制网络与办公网络、互联网之间一般采用IT防火墙进行隔离，但IT防火墙并不是专为工业网络应用设计的产品，在防护工业网络时存在较多缺陷：由于防火墙本身是基于TCP/IP协议体系实现的，所以它无法解决TCP/IP协议体系中存在的漏洞。防火墙只是一个策略执行机构，它并不区分所执行政策的对错，更无法判别出一条合法政策是否真是管理员的本意。从这点上看，防火墙一旦被攻击者控制，由它保护的整个网络就无安全可言了。防火墙无法从流量上判别哪些是正常的，哪些是异常的，因此容易受到流量攻击。防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高，需要对数据包检查的项目（即防火墙的功能）就越多越细，对CPU和内存的消耗也就越大，从而导致防火墙的性能下降，处理速度减慢。防火墙准许某项服务，却不能保证该服务的安全性，它需要由应用安全来解决。所以，从防火墙的实际使用情况来看，通过IT防火墙很难在根本上保证生产控制区的网络安全。拒绝服务攻击是一种危害极大的安全隐患，它可以认为操纵也可以由病毒自动执行，常见的流量型攻击如PingFlooding、UDPFlooding等，以及常见的连接型攻击如SYNFlooding、ACKFlooding等，通过消耗系统的资源，如网络带宽、连接数、CPU处理能力、缓冲内存等使得正常的服务功能无法进行。拒绝服务攻击非常难以防范，原因是它的攻击对象非常普遍，从服务器到各种网络设备如路由器、交换机、IT防火墙等都可以被拒绝服务攻击。控制网络一旦遭受严重的拒绝服务攻击就会导致严重后果，轻则控制系统的通信完全中断，重则可导致控制器死机等。目前这种现象已经在多家工业控制系统中已经出现，并且造成严重后果。可以想象，一套失控的控制系统可能导致的后果是非常严重的。而传统的安全技术对拒绝服务攻击几乎不可避免，缺乏有效的手段来解决。由于无线网络具有传统有线网络无法比拟的特点，如组网灵活、成本低、移动性好、易安装维护等优势，在油田井通信设备越来越多的使用无线通信设备。但也由于无线网络传输媒介方面的特殊性，使得一些攻击更容易实施，其安全威胁的具体表现主要有：攻击者伪装成合法用户，通过无线接入非法访问网络资源；无线链路上传输的未被加密的数据被攻击者截获；针对无线连接或设备实施拒绝服务攻击；不适当的数据同步可能破坏数据的完整性；恶意实体可能得到合法用户的隐私；某些节点设备容易丢失，从而泄露敏感信息；设备的不适当配置可能造成数据的泄露；恶意用户可能通过无线网络连接到他想攻击的网络上去实施攻击；恶意用户可能通过无线网络，获得对网络的管理控制权限。TCP/IP在先天上就存在着致命的安全漏洞：TCP/IP协议簇最初设计的应用环境是美国国防系统的内部网络，这一网络是互相信任的，因此它原本只考虑互通互联和资源共享的问题，并未考虑也无法兼容解决来自网络中和网际间的大量安全问题，存在缺乏对用户身份的鉴别、缺乏对路由协议的鉴别等先天性缺陷。油田工业控制系统中由于历史的原因，还大量使用各种非安全工业协议，如控制层ModbusTcp协议，该协议设计初期一般以优化实时I/O为主，而并不提供加强的网络连接安全防护功能，任意通过网络连接到Modbus控制器的设备可以改变控制器的I/O点或寄存器数值。许多控制器甚至可以被复位、禁止运行、或被下装新的逻辑。OPC协议由于其通用性在工业现场大量使用，但其使用的端号是由OPC服务器以一个虚