吳 軍，張新政，李 軍，楊 凱，魚小剛

（新疆油田公司采油二廠，新疆 克拉瑪依 834000）

1 引言

隨著工業(yè)信息化建設(shè)不斷加快，工業(yè)控制系統(tǒng)逐漸的以各種方式與辦公網(wǎng)、互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，實現(xiàn)數(shù)據(jù)交換，致使工控系統(tǒng)不再是一個獨立的運行系統(tǒng)，而是已經(jīng)從封閉、孤立走向互聯(lián)。典型的DCS、PLC、RTU等工控系統(tǒng)正日益變得開放、通用和標準化，使得辦公網(wǎng)、互聯(lián)網(wǎng)中的木馬、病毒等安全風(fēng)險向工控系統(tǒng)擴散。2010年的Stuxnet和2011年的NightDragon，Duqu，Nitro，以及2012年的Flame等事件，表明了工控系統(tǒng)信息安全的重要性。

2 采油廠站庫工控系統(tǒng)信息安全現(xiàn)狀

早期采油廠站庫工控制系統(tǒng)主要是針對專有的封閉環(huán)境而設(shè)計，只用于單臺設(shè)備或工藝段的生產(chǎn)控制，對外沒有互聯(lián)互通。系統(tǒng)在設(shè)計、實現(xiàn)與部署過程中，其主要指標是可用性、功能性、實時性等，沒過多考慮網(wǎng)絡(luò)攻擊、信息安全等問題。

隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合，工控系統(tǒng)越來越多地采用通用協(xié)議、硬件、軟件，使其開放性越來越強，開始面臨安全威脅，包括：①病毒、惡意軟件的破壞；②數(shù)據(jù)被竊??；③關(guān)鍵工控生產(chǎn)流程被破壞；④惡意操縱工控數(shù)據(jù)或應(yīng)用；⑤對工控系統(tǒng)功能未經(jīng)授權(quán)的訪問等。

目前，采油廠站庫使用的工控系統(tǒng)大部分是多年前開發(fā)的，系統(tǒng)大都使用專有的硬件、軟件和通信協(xié)議，系統(tǒng)在設(shè)計上主要考慮了其性能、可靠性要求，忽略了對安全措施的需要。隨著基于互聯(lián)網(wǎng)的技術(shù)開始進入工控系統(tǒng)的設(shè)計中，工控系統(tǒng)也暴露出了一些漏洞，使其容易遭受攻擊。工控系統(tǒng)安全漏洞及因素主要包括：系統(tǒng)安全策略和管理規(guī)程的缺失與不健全；越來越多的通用協(xié)議和應(yīng)用軟件；控制系統(tǒng)操作站不安裝殺毒軟件，或?qū)⒍拒浖牟《編旄虏患皶r；通用以太網(wǎng)技術(shù)的引入，使工控網(wǎng)絡(luò)面對以太網(wǎng)的通訊威脅；大量使用基于Windows系統(tǒng)PC機作為工程師站、服務(wù)器等的硬件平臺，面臨與普通PC類似的安全威脅。

3 采油廠站庫工控系統(tǒng)的特點

工控系統(tǒng)的安全風(fēng)險來源于信息、網(wǎng)絡(luò)技術(shù)廣泛的應(yīng)用，但其仍具有自身的特點，只采用標準的IT安全技術(shù)很難應(yīng)用于工控系統(tǒng)下的各類控制協(xié)議、應(yīng)用、設(shè)備及標準的特殊安全需求。以采油廠典型的站庫工控系統(tǒng)為例，具體分析工控系統(tǒng)的特點。

（1）系統(tǒng)封閉性強。作為采油廠管理網(wǎng)內(nèi)的一個業(yè)務(wù)子系統(tǒng)，工控系統(tǒng)涉及關(guān)鍵工藝和站庫生產(chǎn)的大量敏感數(shù)據(jù)，只能適度的開放。

（2）系統(tǒng)對可用性和實時性要求高。工控系統(tǒng)必須保證持續(xù)的可用性、穩(wěn)定的系統(tǒng)訪問、系統(tǒng)性能、專用工控系統(tǒng)安全保護技術(shù)。同時，對實時響應(yīng)時間要求大多在1ms內(nèi)完成。

（3）工業(yè)通信協(xié)議和通用TCP／IP協(xié)議共存。工控系統(tǒng)存在兩種不同類型的協(xié)議，即工控通信協(xié)議和TCP／IP協(xié)議。一些協(xié)議在設(shè)計之初未考慮安全方面的需求，需要針對性地部署安全解決方案。

（4）工控系統(tǒng)的安全與辦公網(wǎng)的安全互為依存。隨著兩化深度融合，工控生產(chǎn)網(wǎng)與辦公網(wǎng)之間的數(shù)據(jù)互連變得越來越常態(tài)化，兩個網(wǎng)絡(luò)互聯(lián)帶來了更高的安全需求。

（5）系統(tǒng)長周期內(nèi)保持結(jié)構(gòu)固定。工控系統(tǒng)與設(shè)備和生產(chǎn)密不可分，系統(tǒng)執(zhí)行現(xiàn)場控制操作的常為DCS、分布式I／O等嵌入式設(shè)備，專為現(xiàn)場控制環(huán)境而設(shè)計制造。設(shè)備運行時間通常很長，除非影響到正常的生產(chǎn)，否則長周期內(nèi)穩(wěn)定運行的工控系統(tǒng)將不會進行輕易調(diào)整和改變。

4 工控系統(tǒng)信息安全需求分析

工控系統(tǒng)信息安全是一個復(fù)雜的系統(tǒng)工程，涉及到技術(shù)、產(chǎn)品、系統(tǒng)，更取決于企業(yè)的安全管理的水平。與傳統(tǒng)IT信息安全相比，工控系統(tǒng)信息安全有著其自身的特點，主要體現(xiàn)為安全防護的重點有所不同。IT安全一般針對的是辦公環(huán)境，需要首先保證機密性，其次才是完整性和可用性。

工控系統(tǒng)信息安全的防護對象是現(xiàn)場的DCS、PLC等控制設(shè)備，實時網(wǎng)絡(luò)通信，以及工業(yè)控制應(yīng)用，其特點可以總結(jié)為：

（1）必須優(yōu)先保障24／7／365時間的可用性，提供不間斷的可操作性，并確保工控系統(tǒng)可訪問；

（2）保證系統(tǒng)性能；

（3）保證數(shù)據(jù)的實時傳輸；

（4）系統(tǒng)與數(shù)據(jù)的完整性；

（5）為實現(xiàn)無縫的通信與功能交互而采用開放標準；

（6）采用通用組件作為自動化解決方案的基礎(chǔ)；

（7）辦公網(wǎng)與生產(chǎn)網(wǎng)間的不間斷通信以保障對生產(chǎn)的實時監(jiān)控；

（8）防止誤操作與蓄意破壞；

（9）保護專有技術(shù)；

（10）安全日志與變更管理等。

對工控系統(tǒng)信息安全而言，首先需要滿足系統(tǒng)的高可用性的要求，其次是完整性，最后為機密性。工控系統(tǒng)信息安全的關(guān)鍵需求總結(jié)為：

（1）提高方案設(shè)計質(zhì)量。目前在工控系統(tǒng)建設(shè)中，系統(tǒng)設(shè)計方案還存在許多不確定的安全風(fēng)險，如哪些工藝裝置必須獨立設(shè)置SIS、哪些必須設(shè)置第三方信息安全加固系統(tǒng)，還處于經(jīng)驗判斷階段，找不到標準答案。

（2）提高系統(tǒng)成套設(shè)計、安裝與調(diào)試質(zhì)量。工控系統(tǒng)的質(zhì)量有高低，建設(shè)初期必定經(jīng)過成套設(shè)計、安裝、調(diào)試，這些通常由供應(yīng)商負責(zé)完成。供應(yīng)商技術(shù)能力、經(jīng)驗的不同，得到的系統(tǒng)完善程度也不同。用戶工程設(shè)計人員以及相關(guān)專業(yè)人員參與的深度不同，也會影響系統(tǒng)的質(zhì)量，帶來安全風(fēng)險。

（3）加強日常運行維護質(zhì)量。工控系統(tǒng)建成后，需要通過日常維護、定期檢修等一系列工作，使工其持續(xù)發(fā)揮功效，這些工作的質(zhì)量問題會帶來安全風(fēng)險。

（4）對信息安全措施的需求。傳統(tǒng)工控系統(tǒng)通常是封閉的，功能也相對單一。隨著技術(shù)的發(fā)展，工控系統(tǒng)逐步開放，使得工業(yè)設(shè)備接口更簡單，互聯(lián)更容易，系統(tǒng)缺乏相關(guān)抵御病毒或黑客攻擊的安全策略，系統(tǒng)構(gòu)建的信息安全措施愈顯重要。

（5）如何面臨新挑戰(zhàn)的需求。隨著兩化融合的不斷推進，計算機和網(wǎng)絡(luò)新技術(shù)層出不窮，工控系統(tǒng)通過各種接口技術(shù)，實現(xiàn)網(wǎng)絡(luò)互聯(lián)，使得工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)越來越復(fù)雜。伴隨工控系統(tǒng)信息安全面臨的新挑戰(zhàn)，迫切需要建立工控系統(tǒng)網(wǎng)絡(luò)規(guī)劃與標準，實現(xiàn)系統(tǒng)安全的可持續(xù)發(fā)展。

5 工控系統(tǒng)信息安全防護解決方案

現(xiàn)代工控制系統(tǒng)安全防護工作，要求在加強企業(yè)安全策略、規(guī)程建設(shè)、增強員工安全意識、全面提高企業(yè)信息安全管理水平的同時，必須規(guī)劃基礎(chǔ)設(shè)施的安全配置，從不同的層面分區(qū)域、分功能、分重點的加強安全防護。通過部署多層次的，包括物理安全、制定安全策略與流程，部署防火墻進行隔離、防護不同的安全單元、采用VPN保護單元間通信、系統(tǒng)加固、補丁管理、部署賬號管理等訪問控制措施、惡意軟件檢測與防護等一系列的防御體系，保護關(guān)鍵的工控過程與應(yīng)用的安全。防御體系措施架構(gòu)如圖1所示。

（1）建立系統(tǒng)的物理防護邊界：物理安全是工控系統(tǒng)信息安全的前提，首先確保系統(tǒng)處于可控的物理環(huán)境中，在企業(yè)辦公網(wǎng)和工業(yè)生產(chǎn)網(wǎng)之間部署安全隔離系統(tǒng)。

（2）安全策略與流程：建立完備的安全策略與規(guī)范的安全流程。在工程師站與工控網(wǎng)之間部署審計系統(tǒng)，嚴格進行訪問控制，審計工程師站的操作。

（3）建立安全的控制單元，確保系統(tǒng)的邊界安全：將系統(tǒng)按其用途、通信業(yè)務(wù)等劃分為不同的安全域，并在安全域之間的接口處部署防火墻、安全網(wǎng)關(guān)等隔離設(shè)備。

圖1 工控系統(tǒng)防御體系措施

（4）采用VPN技術(shù)保護不同控制單元之間的通信：通過在安全單元之間部署VPN，保護單元間的通信，保證相關(guān)業(yè)務(wù)通信的認證、完整性與機密性，阻止非法業(yè)務(wù)通信。

（5）系統(tǒng)加固與補丁管理：及時對工程師站、應(yīng)用服務(wù)器進行補丁升級與系統(tǒng)加固。僅保證制造商專有協(xié)議數(shù)據(jù)通過，對一切不符合標準和合法功能需求的工業(yè)協(xié)議通訊進行攔截。

（6）賬號管理：對DCS、PLC等工控應(yīng)用、過程，建立系統(tǒng)的賬號管理，強化基于口令的訪問控制。

（7）惡意軟件防護技術(shù)：不僅要在工控網(wǎng)絡(luò)中的PC主機上部署病毒監(jiān)控，還要在安全域的入口處部署防病毒網(wǎng)關(guān)。

6 結(jié)語

工控系統(tǒng)信息安全不是一個單純的技術(shù)問題，而是一個從意識培養(yǎng)開始，涉及管理、流程、架構(gòu)、技術(shù)、產(chǎn)品等各方面的系統(tǒng)工程，需要管理方、運營方、集成商與組件供應(yīng)商的共同參與、協(xié)同工作、提高全體人員的信息安全意識，充分認識到信息安全的重要性。工控系統(tǒng)的信息安全，需要在系統(tǒng)生命周期的各個階段中持續(xù)實施、不斷改進，才能最終保障企業(yè)工業(yè)控制系統(tǒng)的安全運營。

［1］鐘嵐．石油化工行業(yè)工控系統(tǒng)安全保障實踐探究［J］．信息安全與通信保密，2014（6）.

［2］李玉敏．工業(yè)控制網(wǎng)絡(luò)信息安全的防護措施與應(yīng)用［J］．中國儀器儀表，2012（11）.