康思偉，鄧 靜，薛海林，易 飛

(中海油上海分公司，上海 200335)

基于GB/T30976的海上油氣田工業(yè)控制系統(tǒng)安全研究

康思偉，鄧 靜，薛海林，易 飛

(中海油上海分公司，上海 200335)

本文從國家評估標準出發(fā)，針對企業(yè)工業(yè)控制系統(tǒng)應(yīng)用的主要風險，從網(wǎng)絡(luò)安全、主機安全、審計三方面提出海上油氣田工業(yè)控制系統(tǒng)安全整體防護設(shè)計。

工業(yè)控制系統(tǒng)安全；白名單

1 引言

海上油氣田生產(chǎn)過程控制系統(tǒng)是一套DCS工業(yè)控制系統(tǒng)，其原有的使用環(huán)境較為封閉，網(wǎng)絡(luò)獨立于其他網(wǎng)絡(luò)。隨著工業(yè)信息化的快速發(fā)展及工業(yè)4.0時代的到來，工業(yè)化與信息化的融合趨勢越來越明顯，工業(yè)控制系統(tǒng)也開始利用最新的計算機網(wǎng)絡(luò)技術(shù)來提高系統(tǒng)間的集成、互聯(lián)及信息化管理水平。為了提高生產(chǎn)效率和效益，工控網(wǎng)絡(luò)會越來越開放，不可能進行完全的隔離，如工控系統(tǒng)需要實時給MES/PIMS等系統(tǒng)提供數(shù)據(jù)等，這就給工控系統(tǒng)網(wǎng)絡(luò)安全防護帶來了挑戰(zhàn)。

2 GB/T30976闡述

推薦性國家標準GB/T30976-2014《工業(yè)控制系統(tǒng)信息安全》于2014年12月2日正式發(fā)布，該系列國家標準是我國工控領(lǐng)域首次發(fā)布的正式標準，標準的主要內(nèi)容包括安全分級、安全管理基本要求、技術(shù)要求、安全檢查測試方法等，適合于對工業(yè)控制系統(tǒng)的信息安全評估和驗收，對工業(yè)控制系統(tǒng)應(yīng)用安全予以很好的啟迪。

針對海上油氣田領(lǐng)域，該標準較為寬泛，只提出了通用工控信息安全的評估規(guī)范，未對工控系統(tǒng)的信息安全建設(shè)方案提供指引，基于標準要求的海上油氣田工控系統(tǒng)信息安全防護方案成為研究的新課題和新方向。

3 海上工控系統(tǒng)現(xiàn)狀分析

海上油氣田生產(chǎn)平臺主要以油氣采集、預(yù)處理、輸油、輔助控制系統(tǒng)及現(xiàn)場數(shù)據(jù)采集和第三方系統(tǒng)（如透平、海水淡化等系統(tǒng)）為代表，以海上某平臺為例，其工控系統(tǒng)框圖如圖1所示。

通過對照GB/T 30976標準的主要系統(tǒng)要求（FR），我們來分析海上工控系統(tǒng)安全目前存在的主要問題：

（1）FR1：標識和認證控制，要求所有用戶在被允許訪問控制系統(tǒng)之前，對他們進行標識和認證。目前海上工控系統(tǒng)已有具有該能力，但口令有效期、口令復(fù)雜度各平臺不完全一致。

（2）FR2：使用控制，要求為已認證用戶分配特權(quán)，以執(zhí)行所請求的操作，并對這些特權(quán)的使用進行監(jiān)視。目前各品牌的DCS系統(tǒng)均具有權(quán)限管理及工控系統(tǒng)事件審計功能，但對工程師站的審計較弱。

（3）FR3：系統(tǒng)完整性，要求確保工業(yè)控制系統(tǒng)完整性，以防止未經(jīng)授權(quán)的操縱。其中SR3.2惡意代碼的防護，需要在工程師站上部署相應(yīng)的防護軟件。目前由于殺毒軟件的誤殺、工控廠家認證等問題，部分海上工控系統(tǒng)未安裝終端防護軟件。

（4）FR4：數(shù)據(jù)保密性，要求確保通信信道和數(shù)據(jù)庫的保密性，防止信息散布。其中SR4.2 RE (2)區(qū)域邊界的機密性保護，要求控制系統(tǒng)應(yīng)有能力保護穿越所有區(qū)域邊界的信息的機密性。與之相對照，目前海上工控系統(tǒng)均部署了邊界防護設(shè)備，如防火墻/網(wǎng)閘等，對數(shù)據(jù)保密及邊界防護做到了較好的技術(shù)保障。

（5）FR5：限制的數(shù)據(jù)流，要求利用區(qū)域和管道對控制系統(tǒng)分區(qū)，來限制不必要的數(shù)據(jù)流。其中SR5.3區(qū)域邊界防護，要求控制系統(tǒng)應(yīng)提供監(jiān)控區(qū)域邊界通信的能力，以實現(xiàn)基于風險的區(qū)域和管道模型定義的劃分。目前海上平臺由于工控系統(tǒng)較為簡單，尚未進行分區(qū)防護。

（6）FR6：對事件的及時響應(yīng)，要求當事故發(fā)生時，通過以下方式對安全違背進行響應(yīng)：通知適當?shù)臋?quán)威、報告所需證據(jù)、采取及時的糾正行動。目前海上工控系統(tǒng)提供了部分審計日志的能力。

（7）FR7：資源可用性確保控制系統(tǒng)的可用性，防止拒絕基本服務(wù)。該部分主要有DSC系統(tǒng)本身功能保障。

圖1 海上平臺工控網(wǎng)絡(luò)示意圖

通過分析，可以將以上七個系統(tǒng)要求劃分成工控系統(tǒng)網(wǎng)絡(luò)信息安全、主機信息安全、安全審計、工控系統(tǒng)自身安全四部分，本文重點關(guān)注前三部分的研究。

4 海上平臺工控系統(tǒng)網(wǎng)絡(luò)信息安全

4.1 不同信息層之間的安全防護

在工控網(wǎng)絡(luò)中，各信息層定義著每層所包含的設(shè)備和功能，L1為控制器層，L2為操作層，L3為工程管理層，L3.5為隔離層，L4為企業(yè)層，通過在不同層級之間用物理防火墻進行隔離，以達到不同信息層之間的安全防護。如圖2所示，傳統(tǒng)控制系統(tǒng)中沒有L1與L2之間的物理隔離，而新型的控制系統(tǒng)已對其進行了完善。對于過程數(shù)據(jù)的網(wǎng)絡(luò)發(fā)布，最新的架構(gòu)是將其放置在隔離層，而不放置在企業(yè)層，通過兩層防火墻的隔離，最大限度的避免外網(wǎng)數(shù)據(jù)對過程數(shù)據(jù)產(chǎn)生影響。

圖2 工控網(wǎng)絡(luò)分層結(jié)構(gòu)

4.2 訪問控制

根據(jù)海上工控系統(tǒng)信息、網(wǎng)絡(luò)結(jié)構(gòu)、安全設(shè)備、服務(wù)器及主機設(shè)備的現(xiàn)狀，結(jié)合工控系統(tǒng)運行環(huán)境相對穩(wěn)定固化、系統(tǒng)更新頻率較低的特點，目前，各工控安全廠商提出了基于“白名單”機制的工控系統(tǒng)信息安全解決方案，通過對工控網(wǎng)絡(luò)流量、工程師站工作狀態(tài)等進行監(jiān)控，收集并分析工控網(wǎng)絡(luò)數(shù)據(jù)及軟件運行狀態(tài)，建立工控系統(tǒng)正常工作環(huán)境下的安全狀態(tài)基線和模型，進而構(gòu)筑工控安全“白環(huán)境”，以確保只有可信任的設(shè)備才能接入工控網(wǎng)絡(luò)，只有可信任的消息才能在工控網(wǎng)絡(luò)上傳輸，只有可信任的軟件才允許被安裝并執(zhí)行，只有可信任的控制指令才能進入控制器。邊界防護設(shè)備可以進行正常通信行為建模，通過對正常通信行為學習后，對工控指令攻擊、控制參數(shù)修改、病毒和蠕蟲等惡意代碼等攻擊行為進行有效防護，減少惡意攻擊行為給工業(yè)控制系統(tǒng)帶來的安全風險。

4.3 數(shù)據(jù)保密防護

海上工控系統(tǒng)對數(shù)據(jù)保密性有較高的要求。隨著數(shù)據(jù)泄露情況的愈演愈烈，傳統(tǒng)的防火墻、反病毒軟件、入侵檢測等信息安全防護措施已難以獨立應(yīng)對。數(shù)據(jù)泄露防護系統(tǒng)DLP以數(shù)據(jù)為焦點、風險為驅(qū)動，依據(jù)數(shù)據(jù)特點與應(yīng)用場景，在DLP平臺上按需靈活采用敏感內(nèi)容識別、加密、隔離等不同技術(shù)手段，防止敏感數(shù)據(jù)泄露和擴散。

國際自控標準“ISA99”、“IEC 62443-2-1 Ed.1.0”在針對工控網(wǎng)絡(luò)安全所提出的標準中，均提出了“縱深防御”的多層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計，工控系統(tǒng)網(wǎng)絡(luò)可通過定義多層網(wǎng)絡(luò)結(jié)構(gòu)以及相應(yīng)的訪問權(quán)限管理對外部訪問進行有效控制。例如，海上工控系統(tǒng)具有多平臺分布式特點，平臺間數(shù)據(jù)交換應(yīng)保持在過程控制網(wǎng)絡(luò)層面上（L1～L3層網(wǎng)絡(luò)），同時通過在L3.5上指定惟一數(shù)據(jù)通信出口與陸地數(shù)據(jù)中心或外部網(wǎng)絡(luò)進行數(shù)據(jù)交換，來提高數(shù)據(jù)保密性。

針對工控系統(tǒng)末端節(jié)點的數(shù)據(jù)保密，可以通過身份認證、加密控制以及使用日志的統(tǒng)計對內(nèi)部文件經(jīng)行控制。在辦公網(wǎng)與生產(chǎn)網(wǎng)之間加防泄密墻，實現(xiàn)對現(xiàn)場生產(chǎn)管理數(shù)據(jù)的安全防護。通過工控系統(tǒng)白名單的方式，在末端電腦上安裝管理軟件，可同時在軟件以及硬件層面上限制數(shù)據(jù)的傳播擴散。

4.4 邊界防護

為滿足海上工控系統(tǒng)對網(wǎng)絡(luò)區(qū)域邊界防護的要求，在每套工控系統(tǒng)接口處均需部署可信網(wǎng)關(guān)/工業(yè)防火墻/網(wǎng)閘，對進出的訪問行為進行有效的控制，防止非授權(quán)行為的任意接入，避免發(fā)生網(wǎng)絡(luò)惡意行為對工程師站、操作員等關(guān)鍵系統(tǒng)的破壞和非法操作。目前，工控系統(tǒng)主要包括過程控制、緊急停車、火氣報警系統(tǒng)以及集成包設(shè)備等，為保證各系統(tǒng)的安全性和可靠性，各系統(tǒng)的網(wǎng)絡(luò)應(yīng)相對獨立，安全系統(tǒng)應(yīng)獨立成網(wǎng)并具有對應(yīng)的安全認證。通常撬裝設(shè)備子系統(tǒng)有獨立的網(wǎng)絡(luò)，撬裝設(shè)備與控制網(wǎng)絡(luò)之間也應(yīng)設(shè)置如Modbus之類的邊界防護設(shè)備，以保證網(wǎng)絡(luò)安全。

常見的工控防火墻對工控協(xié)議做了深度的解析，可以對操作人員和外網(wǎng)非法訪問進行基于IP、MAC、工控協(xié)議或任意組合方式的訪問進行控制。另外，用戶可以根據(jù)具體需求設(shè)置更細粒度的策略，如對某個工控協(xié)議的只讀、讀寫或者禁用，防止數(shù)據(jù)被篡改或信息外泄。工控邊界防護設(shè)備應(yīng)支持通用防火墻會話狀態(tài)檢測、包過濾機制及工控協(xié)議的深度訪問控制，同時也支持專用防火墻（針對控制器級別的專用防火墻）對核心設(shè)備的保護，阻止各類非授權(quán)訪問行為。

4.5 Dos攻擊防護

按照FR7資源可用性系統(tǒng)要求，工控系統(tǒng)需滿足標準，以保證控制系統(tǒng)的可用性。工控系統(tǒng)對網(wǎng)絡(luò)的實時性和響應(yīng)速度有很高的要求，為了保證其可用性和高效性，可在邊界防護設(shè)備上開啟異常報文檢測與異常流量檢測功能，以防止land攻擊、Teardrop攻擊、Ping of death以及各種Flood攻擊所導(dǎo)致的網(wǎng)絡(luò)或工控系統(tǒng)的癱瘓。同時，為保證海上平臺間的關(guān)斷信號在網(wǎng)絡(luò)通道中的安全傳輸，工控系統(tǒng)需要滿足相應(yīng)的安全等級認證來確保緊急停車系統(tǒng)的安全關(guān)斷，確保緊急關(guān)斷信號傳輸?shù)陌踩?、可用性?/p>

5 主機信息安全

目前，海上平臺的工程師站均為Windows操作系統(tǒng)，工作站、DCS系統(tǒng)實時服務(wù)器等主機存在未使用的USB端口及光驅(qū)。為防止現(xiàn)場工程師使用未經(jīng)安全檢查的移動介質(zhì)，在工控網(wǎng)設(shè)備上進行上傳或下載數(shù)據(jù)信息操作，從而將病毒木馬帶入終端并通過終端擴散到工控網(wǎng)絡(luò)的各個區(qū)域，最終致使整個工控網(wǎng)絡(luò)癱瘓，甚至造成人身安全，需要在主機上部署相應(yīng)的防護系統(tǒng)，避免工作站受到未知漏洞威脅，同時阻止操作人員的異常操作所帶來的危害。主機信息安全的防護主要體現(xiàn)在以下三個方面：

（1）主機操作系統(tǒng)防護。需支持操作系統(tǒng)完整性檢查，包括注冊表保護、配置文件保護、防止操作系統(tǒng)被惡意軟件破環(huán)等。

（2）阻止惡意代碼的執(zhí)行和擴散。需滿足FR3中SR3.2惡意代碼的防護要求，采用防護機制來防止、檢測、報告和消減惡意代碼或非授權(quán)軟件的影響。通過白名單機制，可以有效阻止白名單外的程序、木馬、蠕蟲等惡意代碼的執(zhí)行，進而有效避免系統(tǒng)感染Flame、震網(wǎng)病毒、Havex、BlackEnergy等工控惡意代碼。同時，控制系統(tǒng)還應(yīng)提供更新防護機制的能力。

（3）移動存儲管理。根據(jù)需要靈活控制安全U盤和普通U盤的“禁用、只讀、可讀寫”權(quán)限。在信息安全源頭解決病毒、木馬、蠕蟲、等惡意代碼的入侵及傳播。

6 安全審計

為滿足FR6對事件的及時響應(yīng)要求，可在海上工控網(wǎng)絡(luò)中部署網(wǎng)絡(luò)安全審計系統(tǒng)，對工控網(wǎng)絡(luò)中的控制系統(tǒng)、主站系統(tǒng)和信息安全產(chǎn)品的操作行為進行審計，以保證觸發(fā)審計系統(tǒng)的事件存儲在審計系統(tǒng)內(nèi)，并且能夠根據(jù)存儲的記錄和操作者的權(quán)限進行查詢、統(tǒng)計、管理、維護等操作，并且能夠在必要時從記錄中抽取所需要的資料。

安全審計通過收集并分析系統(tǒng)日志等數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為。與防火墻相比，安全審計主要側(cè)重于事后分析，即當發(fā)生安全事故或者發(fā)生違反安全策略的行為之后，通過檢查、分析、比較審計系統(tǒng)收集的數(shù)據(jù)，從中發(fā)現(xiàn)違反安全策略（入侵檢測、惡意接入、流量監(jiān)控等）的行為。

采用具有報警分析能力的高級報警管理技術(shù)，通過報警分級等手段將最重要的信息展現(xiàn)在操作員面前，從而可對報警的產(chǎn)生進行多方面分析，并在生產(chǎn)工藝層面進行優(yōu)化，消除不必要報警，進一步提高響應(yīng)效率。

7 結(jié)束語

本文從GB/T30976標準出發(fā)，針對海上油氣田工業(yè)控制系統(tǒng)應(yīng)用的主要風險，提出海上油氣田工控系統(tǒng)安全整體防護設(shè)計理念，通過與標準對照，提出防護方案及設(shè)計要點要求，對企業(yè)工控系統(tǒng)信息安全的防御具有一定的現(xiàn)實意義?！?/p>

Research on the Safety of Offshore Oil & Gas Field Industrial Control System Based on GB / T 30976

Kang Siwei，Deng Jing，Xue Hailin, Yi Fei
(CNOOC China Limited Shanghai Branch, Shanghai, 200335)

Based on the national evaluation standards, this paper puts forward the design of the overall safety protection of the industrial control system for offshore oil and gas felds, from the aspects of network security, host security and audit, aiming at the main risks of the industrial control system.

industrial control system security; white list

10.3969/J.ISSN.1672-7274.2017.02.006

TN915.08，TP393

A

1672-7274（2017）02-0025-04