項目背景

XX油田作為國內名列前茅的油田公司，其已探明的油氣儲量和每年的油氣產量在國內具有舉足輕重的戰略地位，一直以來，該公司在工業控制系統的安全方面也高度重視。面對日趨嚴重的工控安全問題，公司管理層將工控系統安全防護提升到戰略層面，同時選擇北京威努特技術有限公司作為合作伙伴，力求打造油田行業的工控安全標桿項目。項目背景

根據整個油田公司的工控系統現狀，威努特設計了涵蓋工控系統邊界防護、區域防護、

主機防護的縱深防御解決方案，部署了包括威努特工控可信網關（工業防火墻）、工控主機衛士（主機安全加固）、統一安全管理平臺等在內的一系列自主研發的安全防護產品。

項目自交付驗收后，系統整體運行穩定，也成功解決了原系統中存在的一些網絡攻擊行為、網絡安全隱患問題，客戶整體評價很高。

問題就是命令，現場就是戰場

油田公司某分廠有一個控制器需要增加讀取點數，信息中心的工程師進行加點操作，此時更改控制邏輯可以正常進行，但采集數據的動作沒有成功，通過工程師站查看數據存在壞點。工程師又通過ping控制器的方式發現控制器沒有響應，對應的通道也壞死，無論如何操作都無法恢復，只能冷重啟控制器。

面對該問題，信息中心的工程師試圖通過模擬環境來尋找問題根源，但多次嘗試最終還是無功而返。因為新部署了工業防火墻，也想可能是防火墻策略配置錯誤導致了該問題出現，因此隨后就將求助電話打到了威努特。問題就是命令，對于威努特而言，客戶現場的問題從來都是最高優先級處理，當接到客戶電話的第一時間，研發部就組織了精干力量進行了討論分析。為確保問題分析的準確性，也與客戶現場的工程師召開了電話會議并詳細溝通了問題產生的過程、現象等，在重新審核了現場的防火墻配置策略后，也基本上排除了是防火墻自身的原因導致。

兵貴神速，為了徹底幫用戶解決該問題，在電話會議結束后，公司立即安排相關研發人員到現場協助客戶進行問題定位。

嚴謹探求真相，專業贏得信任

復現問題

使用測試現場的控制器原有程序：開始使用模擬環境測試過程中，使用的是測試控制器原有的控制程序，將對應采集數據的范圍未加入白名單規則中進行測試時，一直無法復現當時的現象。

將現場程序下發給測試控制器：使用測試控制器原有的程序無法復現控制器無響應的問題，于是將出現問題的現場控制器程序下發給測試控制器，嘗試復現問題。

剛開始下發給測試控制器時并沒有增加采數點，而是跟原來采集數據的范圍一樣，這種情況下可信網關一直工作在防護模式，白名單一直有告警，但持續幾個小時問題并未復現。

于是更改思路，擴大控制器采集數據的范圍，提高數據刷新的頻率，并同時采集模擬量和數字量的數據，在這種情況下問題很快復現，出現了類似現場控制器當時出現的現象。

原因分析

初步分析：問題復現后針對現象和可信網關抓取的原始報文進行初步分析判斷，控制器出現無響應的原因可能有：

1. 接收緩存區太小造成堆積被占滿。當有部分Modbus報文過去后，后續的報文被白名單攔截，導致控制器不斷的接收部分報文而一直等待后續報文到來后釋放緩沖區內存，這樣緩存區一直堆積，最終導致緩存區滿，無法再接收報文，這樣ping包也無法響應。

2. 控制器并發連接數有限。服務器采集控制器的數據時，完整的請求動作因為違反可信網關的白名單規則而被攔截，這樣服務器就會不斷的重新建立會話來采集控制器的數據，而控制器的并發連接數有限，當服務器與控制器建立過多的連接時，導致控制器拒絕服務，從而出來無法ping通的現象。

實驗驗證

為了驗證上述分析具體哪種是真正的原因，分別設計了下面幾組實驗：

1. 僅連接數控制測試

2. 僅防護模式白名單控制測試

3. 白名單和并發連接數同時控制測試

4. 白名單部分Modbus報文阻斷

5. 白名單全部Modbus報文阻斷

6. 白名單控制中增加發送reset

現狀不容樂觀，責任重于泰山

實驗的過程嚴謹而細致，得到的結論詳實而準確。從各種實驗和結果分析來看，XX油田所使用的控制器（國外品牌）安全系數較低，正常建立連接速率的情況下，在連接數增加到2500左右時，必然導致控制器拒絕服務，最后只能通過冷重啟來釋放連接。威努特可信網關可以通過增加并發連接數控制的方式來增加控制器這方面的安全系數，并且可信網關可以配置會話老化時間，在白名單防護的同時，給原通信雙方發送reset報文，在合理阻斷非法的采集請求的同時，保證控制器的正常服務能力。

該問題得到解決，但是問題的根源還是值得我們思考。細想之下，工業控制設備是工業自動化的關鍵所在，但種種原因導致其遠沒有達到讓人放心的地步。“兩化融合”的大背景下，工控系統將會越來越多的從“待字深閨無人識”轉變成“一朝成名天下知”，互聯互通意味著機遇和風險并存，那么工控安全將會在這一偉大進程中承擔越來越重要的責任。