孟凡麗
中國(guó)石油工程建設(shè)有限公司西南分公司, 四川 成都 610041
目前,大多數(shù)工控系統(tǒng)(ICS)和智能設(shè)備普遍存在各種安全隱患[1],所以任何工控系統(tǒng)都可能存在引起生產(chǎn)安全風(fēng)險(xiǎn)的缺陷,要保障工廠的工控系統(tǒng)安全運(yùn)行,特別是油氣處理廠工控系統(tǒng)的安全,需要從工控系統(tǒng)的網(wǎng)絡(luò)架構(gòu)建設(shè)上加強(qiáng)設(shè)置,對(duì)其系統(tǒng)的安全缺陷和漏洞進(jìn)行全方位管控。
油氣處理廠工控系統(tǒng)主要包括分散控制系統(tǒng)(DCS)、安全儀表系統(tǒng)(SIS)及火氣系統(tǒng)(FGS)三套系統(tǒng),三套系統(tǒng)完成了對(duì)全廠各工藝裝置及輔助生產(chǎn)設(shè)施的集中監(jiān)視、數(shù)據(jù)采集、報(bào)警、控制和安全聯(lián)鎖功能。目前,已投產(chǎn)運(yùn)行的工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)大多縱向分為三層:現(xiàn)場(chǎng)設(shè)備層、控制層、過(guò)程監(jiān)控層。工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方面的主要措施為:防病毒軟件的安裝,過(guò)程監(jiān)控層數(shù)據(jù)與上一級(jí)調(diào)控中心之間的區(qū)域隔離保護(hù),訪問(wèn)權(quán)限的設(shè)置等。這些較少的防護(hù)手段,在工控系統(tǒng)本身的缺陷、漏洞管理及網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)方面較薄弱。
大多已建的工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖見(jiàn)圖1。
圖1 已建的工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖
隨著物聯(lián)網(wǎng)的發(fā)展,原本封閉的油氣處理廠工控系統(tǒng)也漸漸納入工業(yè)物聯(lián)網(wǎng)系統(tǒng)中,在油氣處理廠提高營(yíng)運(yùn)效率的同時(shí),也使得物聯(lián)網(wǎng)中的木馬、病毒等安全風(fēng)險(xiǎn)向工控系統(tǒng)擴(kuò)散,帶來(lái)了更多的網(wǎng)絡(luò)安全威脅[2]。工控系統(tǒng)網(wǎng)絡(luò)威脅的來(lái)源主要有:系統(tǒng)存在的高危漏洞、工業(yè)網(wǎng)絡(luò)病毒、關(guān)鍵設(shè)備的“后門(mén)”、高級(jí)持續(xù)性威脅(APT)以及無(wú)線技術(shù)應(yīng)用的風(fēng)險(xiǎn)等[3-4]。近年來(lái),國(guó)內(nèi)外發(fā)生的工控系統(tǒng)遭受攻擊而癱瘓的案例,基本上為黑客利用工控系統(tǒng)網(wǎng)絡(luò)安全方面的漏洞及病毒進(jìn)行的攻擊,因此做好工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù),在網(wǎng)絡(luò)高速發(fā)展時(shí)期尤為重要。目前,國(guó)家也提高了工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方面的要求,2017年5月1日?qǐng)?zhí)行的GB/T 33009《工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)(DCS)》及GB/T 33008《工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全可編程序控制器(PLC)》,對(duì)工控系統(tǒng)的安全設(shè)置提出了更高要求,但對(duì)油氣處理廠工控系統(tǒng)并未給出明確固定的做法,也尚無(wú)成熟并正式運(yùn)行的設(shè)置方案分享。
基于對(duì)標(biāo)準(zhǔn)規(guī)范的理解,同時(shí)通過(guò)與國(guó)內(nèi)外知名工控系統(tǒng)制造商的技術(shù)交流與討論,提出油氣處理廠工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)及安全防護(hù)的設(shè)置方法和建議。
對(duì)新建的DCS/SIS系統(tǒng)工控系統(tǒng),其網(wǎng)絡(luò)架構(gòu)建議采用縱向分層、網(wǎng)絡(luò)安全采用縱深防御的原則進(jìn)行設(shè)計(jì)[5-7]。工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)以區(qū)域劃分[8],縱向分層,基本設(shè)置為四層:現(xiàn)場(chǎng)設(shè)備層、控制層、過(guò)程監(jiān)控層、生產(chǎn)管理層[9]。其中在新增的生產(chǎn)管理層上設(shè)置了一些用于工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的設(shè)備,這一層級(jí)的設(shè)置與規(guī)范GB/T 50823《油氣田及管道工程計(jì)算機(jī)控制系統(tǒng)設(shè)計(jì)規(guī)范》上描述的DMZ區(qū)(隔離區(qū))[10]隔離措施相符。
新建的工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖見(jiàn)圖2。
網(wǎng)絡(luò)安全防護(hù)策略是維護(hù)工控系統(tǒng)安全的首要屏障[11]。工控系統(tǒng)網(wǎng)絡(luò)分層搭建后需要對(duì)各層級(jí)進(jìn)行安全防護(hù)設(shè)置。
2.2.1 邊界防護(hù)
在不同層級(jí)或者同一層級(jí)不同網(wǎng)段間部署安全防護(hù)設(shè)備,如設(shè)置硬件防火墻、網(wǎng)閘等。檢測(cè)界內(nèi)界外所有網(wǎng)絡(luò)活動(dòng),識(shí)別可疑攻擊并報(bào)警,對(duì)不同網(wǎng)段進(jìn)行有效隔離和阻斷[12-14]。
在控制層的控制器要求帶防火墻功能,或者設(shè)置控制器防火墻,對(duì)各控制器間及控制層和過(guò)程監(jiān)控層間進(jìn)行有效隔離。
對(duì)各類(lèi)計(jì)算機(jī)、操作站、服務(wù)器的物理接口進(jìn)行限制,拆除或封閉控制系統(tǒng)工業(yè)主機(jī)上不必要的USB、光驅(qū)、無(wú)線等接口,對(duì)工程師站及服務(wù)器等必須保留USB訪問(wèn)接口的核心工業(yè)主機(jī),以軟件方式部署USB終端防護(hù)系統(tǒng),實(shí)現(xiàn)移動(dòng)介質(zhì)訪問(wèn)控制,強(qiáng)化生產(chǎn)現(xiàn)場(chǎng)物理安全防護(hù)措施[15]。
同以往系統(tǒng)邊界防護(hù)相比,新建的工控系統(tǒng)方案主要增加了控制器防護(hù)功能、控制層或過(guò)程監(jiān)控層不同網(wǎng)段間的防護(hù)功能,對(duì)整個(gè)工控系統(tǒng)各區(qū)設(shè)備起到更好的安全保護(hù)作用。
圖2 新建的工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖
2.2.2 設(shè)置防病毒架構(gòu)—補(bǔ)丁管理
與已建的工控系統(tǒng)在各設(shè)備上安裝殺毒軟件并手動(dòng)定期殺毒不同,建議新建的工控系統(tǒng)設(shè)置專(zhuān)門(mén)的防病毒服務(wù)器[16],在工程師站、操作員站、各類(lèi)服務(wù)器、監(jiān)控計(jì)算機(jī)等重要系統(tǒng)設(shè)備上部署經(jīng)過(guò)驗(yàn)證的防病毒軟件,并提供防病毒系統(tǒng)巡檢功能,這樣可實(shí)時(shí)監(jiān)測(cè)工控系統(tǒng)安全狀況。同時(shí)定期下載經(jīng)過(guò)兼容性、穩(wěn)定性測(cè)試認(rèn)證過(guò)的病毒庫(kù)及補(bǔ)丁,及時(shí)發(fā)現(xiàn)與本系統(tǒng)相關(guān)的漏洞等安全隱患,及時(shí)打補(bǔ)丁,通過(guò)補(bǔ)丁管理和病毒庫(kù)更新方案確保工控系統(tǒng)處于最新的安全防護(hù)狀態(tài)。
防病毒服務(wù)器設(shè)置于生產(chǎn)管理層,與整個(gè)過(guò)程控制層進(jìn)行有效隔離,不會(huì)同時(shí)遭受攻擊,便于對(duì)工控系統(tǒng)所有設(shè)備進(jìn)行安全下裝各類(lèi)防病毒軟件及打補(bǔ)丁服務(wù)。
2.2.3 設(shè)置黑、白名單相結(jié)合的雙重防護(hù)模式
已建的工控系統(tǒng)基本只采用黑名單機(jī)制對(duì)已知病毒進(jìn)行防護(hù),對(duì)未知病毒缺少抵御措施,現(xiàn)增加白名單機(jī)制對(duì)未知病毒進(jìn)行有效防護(hù)[17]。設(shè)置黑、白名單相結(jié)合的雙重防護(hù)模式,對(duì)任何非法訪問(wèn),都要產(chǎn)生實(shí)時(shí)報(bào)警信息,方便用戶(hù)及時(shí)發(fā)現(xiàn)、定位安全風(fēng)險(xiǎn)。
2.2.4 授權(quán)管理
無(wú)論是工控系統(tǒng)終端還是遠(yuǎn)程訪問(wèn),均需要嚴(yán)格的授權(quán)及用戶(hù)身份登錄認(rèn)證,對(duì)不同操作人員設(shè)置不同權(quán)限,授權(quán)不同則訪問(wèn)權(quán)限不同[18]。
2.2.5 完善的網(wǎng)絡(luò)安全監(jiān)控和相應(yīng)措施
設(shè)置專(zhuān)門(mén)的網(wǎng)絡(luò)安全監(jiān)控軟件,監(jiān)控所有網(wǎng)絡(luò)和系統(tǒng)設(shè)備,進(jìn)行實(shí)時(shí)數(shù)據(jù)采集和分析,檢查網(wǎng)絡(luò)流量,識(shí)別惡意設(shè)備及入侵者,不斷監(jiān)視網(wǎng)絡(luò)安全風(fēng)險(xiǎn)指標(biāo),主動(dòng)識(shí)別可能影響工控系統(tǒng)的安全漏洞和威脅,及時(shí)報(bào)警,同時(shí)生成日志[19],通知相關(guān)人員采取措施防范風(fēng)險(xiǎn)的發(fā)生。專(zhuān)門(mén)的網(wǎng)絡(luò)安全監(jiān)控軟件彌補(bǔ)了已建的工控系統(tǒng)無(wú)法實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備及主動(dòng)防范風(fēng)險(xiǎn)的缺點(diǎn)。
在各層級(jí)部署防護(hù)設(shè)備及防護(hù)軟件前,應(yīng)采用線下測(cè)試等手段確保其上線后不影響工控系統(tǒng)正常運(yùn)行的可用性、實(shí)時(shí)性、可靠性和安全性。
任何工控系統(tǒng)都不是堅(jiān)不可摧,一旦事故發(fā)生,災(zāi)難來(lái)臨,如何快速重建和恢復(fù)系統(tǒng)在油氣處理廠尤為重要[20]。已建的工控系統(tǒng)數(shù)據(jù)備份效率低、無(wú)法連續(xù)備份、系統(tǒng)恢復(fù)時(shí)間較長(zhǎng),即便恢復(fù)了系統(tǒng),其數(shù)據(jù)可能是很久以前的,無(wú)法立即投入使用,還需要投入精力補(bǔ)充工控系統(tǒng)近期數(shù)據(jù)及程序的變化。如果油氣處理廠裝置數(shù)量較多或?qū)ιa(chǎn)運(yùn)營(yíng)時(shí)間有嚴(yán)格要求的,可設(shè)置一套實(shí)時(shí)數(shù)據(jù)備份與災(zāi)難恢復(fù)軟件,配置專(zhuān)門(mén)的數(shù)據(jù)存儲(chǔ)服務(wù)器,此服務(wù)器可實(shí)時(shí)、在線、連續(xù)自動(dòng)地對(duì)工控系統(tǒng)數(shù)據(jù)及程序進(jìn)行備份,事故停車(chē)后,只要存儲(chǔ)設(shè)備還在,就可利用這些數(shù)據(jù)快速地進(jìn)行系統(tǒng)恢復(fù)和重建,同已建的工控系統(tǒng)相比縮短了恢復(fù)系統(tǒng)重新開(kāi)產(chǎn)的時(shí)間,為油氣處理廠爭(zhēng)取了效益。
以上安全策略對(duì)工控系統(tǒng)硬件、軟件以及網(wǎng)絡(luò)部署提出要求,每條安全策略都為工控系統(tǒng)網(wǎng)絡(luò)安全帶來(lái)防護(hù)效益,但網(wǎng)絡(luò)安全管理是個(gè)動(dòng)態(tài)過(guò)程,不僅包含了項(xiàng)目設(shè)計(jì)階段的要求,還包含了項(xiàng)目執(zhí)行時(shí)期及運(yùn)行后期維護(hù)階段所需的各種網(wǎng)絡(luò)安全策略,如用戶(hù)對(duì)人員的培訓(xùn)、定期對(duì)工控系統(tǒng)的風(fēng)險(xiǎn)評(píng)估和識(shí)別、定期對(duì)工控系統(tǒng)病毒庫(kù)及補(bǔ)丁的更新以及對(duì)整個(gè)過(guò)程的管理等,每個(gè)環(huán)節(jié)都至關(guān)重要。
對(duì)油氣處理廠新建的工控系統(tǒng),網(wǎng)絡(luò)安全應(yīng)全面考慮并設(shè)置。對(duì)目前正在運(yùn)行的已建的工控系統(tǒng),如進(jìn)行升級(jí)改造,其用于安全防護(hù)的軟、硬件也應(yīng)增設(shè),不同層級(jí)間安全隔離也應(yīng)部署,均需滿(mǎn)足現(xiàn)行標(biāo)準(zhǔn)規(guī)范的基本要求。
工控系統(tǒng)根據(jù)油氣處理廠廠站的大小、級(jí)別設(shè)置有所不同,其網(wǎng)絡(luò)架構(gòu)也有差異,但工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)是必須重視并設(shè)置的,其安全防護(hù)的硬件設(shè)備及軟件的配置必不可少。本文中油氣處理廠新建的工控系統(tǒng)方案是為確保工控網(wǎng)絡(luò)安全提出的安全策略,對(duì)工控系統(tǒng)的設(shè)計(jì)提供參考和選擇,隨著工控系統(tǒng)網(wǎng)絡(luò)安全方面的標(biāo)準(zhǔn)規(guī)范不斷更新及完善,工控系統(tǒng)將更加安全。