油田工业控制的信息安全浅析

1、油田工业控制系统安全分析目前平台的技术架构已成为工业控 制系统操作站的主流， 任何一个版本的自发布以来都在不停的发布漏 洞补丁，为保证过程控制系统相对的独立性， 现场工程师通常在系统投入运行后不会对平台打任何补丁， 更为重要的是打过补丁的操作系统没有经过制造商测试， 存在安全运行风险。与之相矛盾的是，系统不打补丁就会存在被攻击的漏洞， 即使是普通常见病毒也会遭受感染，可能造成平台乃至控制网络的瘫痪。著名的震网病毒就是利用借助了 4 个 0- 漏洞进行针对西门子系统进行传播和感染。在油田工业控制系统中， 自动化厂商众多， 上位机应用软件也是多种多样，很难形成统一的防护规范以应对安全问题。美国工业

2、控制系统网络紧急响应小组就曾经发出警告， 中国开发的工业控制系统软件发现两个安全漏洞，可能会被攻击者远程使用。另外当应用软件面向网络应用时，常需要开放其应用端口。常规的防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些工程自动化软件的安全漏洞获取现场生产设备的控制权。信息平台也常常由于程序编写不规范带来安全缺陷， 典型的如信息泄露、目录遍历、命令执行漏洞、文件包含漏洞、注入攻击、跨站脚本漏洞等，此类入侵是防火墙产品无法抵御的。在油田企业中，在控制网络与办公网络、 互联网之间一般采用防火墙进行隔离， 但防 火墙并不是专为工业网络应用设计的产品， 在防护工业网络时存在较多缺陷由于防火

3、墙本身是基于协议体系实现的， 所以它无法解决协议体系中存在的漏洞。防火墙只是一个策略执行机构，它并不区分所执行政策的对错，更无法判别出一条合法政策是否真是管理员的本意。从这点上看，防火墙一旦被攻击者控制，由它保护的整个网络就无安全可言了。防火墙无法从流量上判别哪些是正常的，哪些是异常的，因此容易受到流量攻击。防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高，需要对数据包检查的项目即防火墙的功能就越多越细,对和内存的消耗也就越大，从而导致防火墙的性能下降，处理速度减慢。防火墙准许某项服务，却不能保证该服务的安全性，它需要由应用安全来解决。所以，从防火墙的实际使用情况来看，通过防火墙很

4、难在根本上保证生产控制区的网络安全。拒绝服务攻击是一种危害极大的安全隐患，它可以认为操纵也可以由病毒自动执行，常见的流量型攻击如、 等，以及常见的连接型攻击如、等，通过消耗系统的资源，如网络带 宽、连接数、处理能力、缓冲内存等使得正常的服务功能无法进行。拒绝服务攻击非常难以防范，原因是它的攻击对象非常普遍，从服务 器到各种网络设备如路由器、交换机、防火墙等都可以被拒绝服务攻击。控制网络一旦遭受严重的拒绝服务攻击就会导致严重后果,轻则控制系统的通信完全中断，重则可导致控制器死机等。前这种现象已经在多家工业控制系统中已经出现， 并且造成严重后果。可以想象，一套失控的控制系统可能导致的后果是非常严重

5、的。而传统的安全技术对拒绝服务攻击几乎不可避免，缺乏有效的手段来解决。由于无线网络具有传统有线网络无法比拟的特点，如组网灵活、成本低、移动性好、易安装维护等优势，在油田井口通信设备越来越多的使用无线通信设备。但也由于无线网络传输媒介方面的特殊性， 使得一些攻击更容易实施， 其安全威胁的具体表现主 要有攻击者伪装成合法用户， 通过无线接入非法访问网络资源； 无线 链路上传输的未被加密的数据被攻击者截获； 针对无线连接或设备实 施拒绝服务攻击； 不适当的数据同步可能破坏数据的完整性； 恶意实 体可能得到合法用户的隐私； 某些节点设备容易丢失， 从而泄露敏感 信息；设备的不适当配置可能造成数据的泄露

6、； 恶意用户可能通过无线网络连接到他想攻击的网络上去实施攻击； 恶意用户可能通过无线网络，获得对网络的管理控制权限。在先天上就存在着致命的安全漏洞协议簇最初设计的应用环境是美国国防系统的内部网络， 这 一网络是互相信任的， 因此它原本只考虑互通互联和资源共享的问题， 并未考虑也无法兼容解决来自网络中和网际间的大量安全问题， 存在 缺乏对用户身份的鉴别、缺乏对路由协议的鉴别等先天性缺陷。油田工业控制系统中由于历史的原因， 还大量使用各种非安全工业协 议，如控制层协议，该协议设计初期一般以优化实时为主，而并不提供加强的网络连接安全防护功能， 任意通过网络连接到控制器的设备可以改变控制器的点或寄存器

7、数值。许多控制器甚至可以被复位、禁止运行、或被下装新的逻辑。协议由于其通用性在工业现场大量使用，但其使用的端口号是由服务器以一个虚拟随机序列动态分配的，因此没有办法提前知道服务器返回给客户端的端口号。而服务器可以分配的端口号范围很广2008 下超过 16000 个端口号，早期的端版本则超过了 48000 个端口号。所以，传统的防火墙在保护服务器时， 不得不允许客户端和服务器之间如此大范围内的任何端口号的连接。在这种情况下，防火墙提供的安全保障被降至最低。因此，目前绝大多数的服务器都在没有任何防火墙保护的情况下运行， 从而很容易受到恶意软件和其他安全威胁的攻击。 37 病毒与恶意代码基于平台的在

8、工业控制系统中广泛应用，病毒也随之而泛滥。全球范围内，每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒，并且还在以每天数十余种的速度增长。这些恶意代码具有更强的传播能力和破坏性。例如蠕虫， 从广义定义来说也是一种病毒， 但和传统病毒相比最大不同在于自我复制过程。它能够通过端口扫描等操作过程自动和被攻击对象建立连接， 如连接等， 自动将自身通过已经建立的连接复制到被攻击的远程系统，并运行它。其中著名的震网病毒就具有异常精巧的传播与感染机制，借助 4 个 0- 漏洞，窃取 2 个有效的软件证书，共 60000余行代码，而且制作该病毒需要非常丰富的编程及工业现场的专家知识。油田工业控制系统

9、安全对策基于目前油田工业控制系统现状， 由于当前投用的控制系统通常需要每周 7 天，每天 24 小时的长期运行，所以宜采用循序渐进的方法，对现有工业控制系统有步骤的进行安全升级改造。安全对策可以分三步走，首先要建立安全的策略和流程， 使后续的安全措施有章可循； 其次建 立初步防御战略， 根据当前有明显漏洞易解决、 急需解决的关键点加以实施；最后建立工业控制系统的纵深防御体系， 切实保证油田信息安全，保障平稳安全生产。工业控制系统的脆弱性通常是由于缺少完整而合理的策略文档或有效的实施过程而引起的，安全策略文档和管理支持是系统安全的基础，有效的安全策略在系统中的强制实施是减少系统而临的安全风险的前

10、提。无论哪种先进的安全设备和健壮无漏洞的安全体系，一旦脱离了健全的安全策略和流程，依旧是一套脆弱不堪的信息安全系统。建议油田企业从以下几方面建立安全策略和流程建设安全管理机构；制定工业控制系统的安全 策略；进行工业控制系统的安全培训与培养安全意识； 采用安全的系 统架构与设计；根据安全策略制定正规、可备案的安全流程；制定工 业控制系统设备安全部署的实施指南；加强工业控制系统的安全审计;制定针对工业控制系统的业务连续性与灾难恢复计划；加强针对工业控制系统配置变更管理。操作系统补丁升级在局域网内部署台微软的软件升级服务器，通过可以在局域网中建立一个升级服务器,以后局域网中的电脑就可以通过这个服务器

11、来自动升级预，所有的更新活动都是通过后台自动更新进行的， 不需要任何人的干预，非常方便。注意目前还不能为或者其它微软软件提供更新服务。杀毒软件升级在局域网内部署一台企业版杀毒软件服务器， 允许其连接互联网完成自动升级，局域网中的其它计算机或服务器上安装同品牌的支持局域网自动升级杀毒软件客户端。为了追求可用性而牺牲安全，是很多工业控制系统存在的普遍现象， 缺乏完整有效的安 全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质包括笔记本电脑、盘等设备的使用 和不严格的访问控制策略，给整个工业控制系统信息安全带来很大的破坏作用，如伊朗的震网安全事件最初就是通过盘传

12、播至控制网络的。控制未经授权用户进行访问可以通过多种手段， 比如通过有效的密码和完善的身份认证制度。有效的密码用户不能使用生日、电话号码等别人容易猜出的密码。密码应该输入至少 6 位字符，建议混合使用数字、大写、小写和特殊的字符。另外一种硬件加密锁的方式更为有效， 硬件加密锁使用一个硬件设备， 象盘一样的东西，里面存放了登陆者的认证信息，当登陆时，必须插上钥匙才能进行密码的验证。在企业内部实施认证制度，可从物理上阻止未经授权人员进行访问。由于漏洞攻击有时可以绕过防火墙实现入侵，所以对已有信息发布平台进行网页漏洞扫描相当必要。页漏洞扫描是利用专用的应用漏洞扫描程序构建的自动化扫描平台，模拟前端可

13、以与实际的应用程序通信， 从而可以发现应用程序中的安全缺陷。其工作原理非常类似一个黑匣子测试器，也就是说它并不需要访问源代码，真正实现远程的安全检测。应用漏洞扫描程序分析来自网站程序结构中的每一个网站功能脚本程序的应用 状况，借助于专用的漏洞检测数据库， 能够自动构造各种类型的异常果。提交参数，能够对响应消息进行内容分析，结合状态码，判断测试结同时，还会模拟大多数普遍存在的攻击手段，探测各种已知漏洞和未知漏洞， 针对所有可能为黑客所利用的项目进行多样化多层次的探测和分析。测试结果最终形成安全隐患报告，和大多数检测工具一样， 自动化的应用漏洞扫描程序的扫描结果也存在相应 的误报，因此对于网页漏洞

14、扫描的结果还需要通过安全专家的精心审核，最终保证网页漏洞检测的准确性。方式普通的网络传输采用的是协议，如上面所述， 协议是明文协议，只要截取网络数据就可以反转过来，而协议是通过私钥认证的，即使获得了网络数据流，如果没有相应的密钥，也无法反编译出数据。方式如果要跨区域使用，数据可能需要在公网上传输，为了保证转输的安全性，方式提供了非明文协议方式。提供也另外一种形式的非明文传输协议。数据加密存储数据库中存放的数据及用户信息大多数是明文存放， 如果黑客一旦有机会侵入系统， 如果是明文存放的， 该数据很容易暴露出来。所以对一些核心数据，需要在数据库存储时，必须进行数据加密。数据库的默认密码请务必设定和

15、修改数据库的默认密码，现在很多系统的默认密码为空或简单密码， 这会造成很大的安全隐患。拒绝服务器攻击和分布式的分散式拒绝服务攻击通过大量合法的请求占用大量的网络资源，以达到瘫痪网络的目的。以下是针对应对的一些建议在计算机主机上关闭不必要的服务， 限制 同时打开的半连接数目，缩短半连接的时间，及时更新系统补丁。利用防火墙禁止对主机的非开放服务的访问， 限制同时打开的最大连接数限制特定地址的访问， 启用防火墙的防的属性， 严格限制对外开放的服务器的向外访问。使用- 访问控制列表过滤设置数据包流量速率，升级版本过低的，为路由器建立。工业网络中同时存在保障工业系统的工业控制网络和保障生产经营的办公网络

16、， 考虑到 不同业务终端的安全性与故障容忍程度的不同， 对其防御的策略和保 障措施应该按照等级进行划分， 实施分层次的纵深防御体系。照业务职能和安全需求的不同，工业网络可划分为以下几个区域满足 办公终端业务需要的办公区域；满足在线业务需要隔离区区域；满足工业控制系统管理与监控需要的管理区域； 满足自动化作业需要的控制区域。针对不同区域间数据通信安全和整体信息化建设要求,实施工业控制网络安全建设，首先需要针对工业控制系统网络管理的关键区域实施可靠的边界安全策略，实现分层级的纵深安全防御策略,抵御各种已知的攻击威胁。在企业管理层和中心之间加入防火墙，一方面提升了网络的区域划分，另一方面更重要的是只

17、允许两个 网络之间合法的数据交换，阻挡企业管理层对数采监控层的未经授权 的非法访问，同时也防止管理层网络的病毒感染扩散到数采网络。考虑到企业管理层一般采用通用以太网， 要求较高的通讯速率和带宽等因素，对此部位的安全防护建议使用常规的防火墙。另外企业管理层在进行数据应用时不建议将中心的实时数据库、关系数据库 的服务端口暴露在办公网中进行使用，而应该提供一种一致性数据访 问能力的接口服务，该服务除了提供实时历史数据访问外， 还能进行用户身份及权限认证，这样既避免了已知常用端口入侵攻击， 又能够有比较好的安全权限升级扩展能力。在企业管理层和中心之间通常使用通讯协议，由于通讯采用不固定的端口号，使用传

18、统的防火墙进行防护时，不得不开放大规模范围内的端口号。在这种情况下，防火墙提供的安全保障被降至最低。因此，在数采监控层和控制层之间应安装专业的工业防火墙， 解决通讯采用动态端口带 来的安全防护瓶颈问题，阻止病毒和任何其它的非法访问，这样来自防护区域内的病毒感染就不会扩散到其他网络， 提升网络区域划分能力的同时从本质上保证了网络通讯安全。考虑到和控制器之间的通讯一般都采用制造商专有工业通讯协议，或者其它工业通信标准如等。由于常规的防火墙和网闸等安全防护产品都不支持工业通讯协议，因此，对关键的控制器的保护应使用专业的工业防火墙。阻挡来一方面对防火墙进行规则组态时只允许制造商专有协议通过, 自操作站

19、的任何非法访问；另一方面可以对网络通讯流量进行管控, 可以指定只有某个专有操作站才能访问指定的控制器；第三方面也可以管控局部网络的通讯速率，防止控制器遭受网络风暴及其它攻击的影响，从而避免控制器死机。工业控制系统信息安全问题已迫在眉睫，本文针对油田企业流程工业的特点， 同时结合工业控制系统 网络结构和安全需求，提出工业控制系统信息安全分三步走的策略。将工业系统网络划分为不同的安全区域，在区域之间执行管道通信,从而通过管控区域间管道中的通信内容,实现保证工厂控制网络安全稳定运行的三个目标通讯可控、 区域隔离和报警追踪，进而全方位地 保障工业控制系统信息安全，最终实现信息安全的纵深防御策略。值得强

20、调的是建立安全策略与流程是很重要的一个环节，切实做好工业控制系统的安全培训工作与培养安全意识， 用三分技术，七分管理来形容工业控制系统信息安全不无道理。本文作者岳妍瑛王彬工作单位中国石油长庆油田分公司第一采油厂PEP 小学英语五年级下册Unit four When is Easter? 教学设计教学内容 : PEP 小学英语五年级下册 Unit four When is Easter？ Part A: Lets spell教材分析 :unit4 的主题是 When is Easter? 主题是东西方节日及个人的生日。主题图通过学生们在教室里谈论母亲节、中秋节和生日的情境，呈现出本单元要学习的核

21、心词汇和句型及其语用环境，拉开了本单元学习的序幕。为学习单元A.B部分的各个板块做好准备。而Let s spell板块为我们呈现了字母组合th在单词中发/ e /和/ e /的规则。通过听音圈词活动，强化记忆 th 的发音规则，巩固学习 th 的音形拼写对应关系。第三部分通过选择单词写句子，帮助学生按照发音规则拼写句子。这些设计符合英语新课程标准的要求，有效的突出了英语核心素养。学情分析 : 五年级学生学习英语已经有二年半的时间了，对于教材的特点和结构都比较熟悉。此阶段的学生活泼好动、好奇心强、勇于尝试，具有一定的逻辑思维能力和语言表达能力，并有很强的自尊心和求知欲，对于学习英语的兴趣已经逐渐

22、显示出自己独特的个性。设计理念： 根据英语新课程标准的要求以及突出英语核心素养，本节课我设计以情境教学为支撑，以学生小组合作为方法，在合作学习的基础上经过老师的点拨轻松掌握th 的发音规则，并能在不同形式的练习中巩固学习 th 的音形拼写对应关系。发展学生的自主学习能力以及引导学生进行发现式的学习，观察，感知体验并自己归纳，突出以教师为引导，学生为主体的教学理念。教学目标 :1.学生能够掌握字母组合th在单词中发/ e /和/ e /的规则。2. 学生能够根据 th 的发音规则读出生词。3. 学生能够按照 th 的发音规则拼读单词，并进一步提高在单线上抄写句子的能力。4. 引导学会发现、观察、

23、体验学习的学习方法。教学重难点 :重点 ：学生能够掌握字母组合 th 在单词中发 / 0 / 和 / e /的规则。难点： 学生能够根据 th 的发音规则读出生词学习方法： 情境学习法、小组合作法。教具准备 : 多媒体教学课件、单词卡片、评价奖章等。教学过程 :一、 Warm Up1 绕口令游戏。口舌之争。设计意图】拉近师生距离，愉悦学生心情。增进对彼此的认识，以便让课堂顺利开展，同时锻炼学生的齿舌灵活能力。2. GreetingT: Hello, boys and girls.Ss: Hello, teacher.lead-in1. 看情境图，引出三只小猪进考场的故事。学生发现这个故事中的每

24、句话都有什么特点，小组合作读一读说说自己的发现。设计意图】 : 通过情境图的展示，让学生在情境中发现问题，思考问题，引出课题。Presentation1. 出示学习目标，明确本节课的学习任务。th 有几种不同的发音，交流。2. 继续看情境，小组合作读句子，说说你发现了字母组合The first pig is thirteen.He likes maths.The second pig is three years old.He is thin.The third pig has a birthdayon the fifth of April.3. 老师解疑，出示 th 在单词中的两种正确发音。清辅音：/ 0/舌尖放在上下齿之间，气流由舌尖间的缝隙挤出，声带不振动。浊辅音： /e /舌尖放在上下齿之间，气流由舌尖间的缝隙挤出，声带振动。教师示范，学生模仿。学生以各种形式自由练习发音，展示学习成果。th 的正确发音。设计意图】 : 通过仔细观察发现疑问，提出疑问。带着疑问学习新授，主题突出，学生的学习中心