朱 健

（中國石油化工股份有限公司 揚(yáng)子石化公司，南京 210048）

0 引言

隨著兩化融合在煉化行業(yè)中的加速推廣，工業(yè)控制系統(tǒng)中越來越多地采用信息化運(yùn)維技術(shù)、自動(dòng)化智能技術(shù)，與此同時(shí)也引入了新的安全問題，工業(yè)控制系統(tǒng)面臨越來越多的安全威脅和挑戰(zhàn)。煉化行業(yè)都是關(guān)乎國計(jì)民生的生產(chǎn)大企業(yè)，網(wǎng)絡(luò)信息安全防護(hù)[1]意義重大。針對(duì)煉化企業(yè)的網(wǎng)絡(luò)攻擊不是普通的“網(wǎng)絡(luò)黑客”，煉化企業(yè)如果被攻擊，或者被惡意控制企業(yè)的工控系統(tǒng)，可能帶來機(jī)密外泄，甚至造成重大事故。國內(nèi)外近年來有多起被惡意控制煉化生產(chǎn)過程從而引發(fā)事故的案例，輕者造成控制系統(tǒng)操作站全面“黑屏”、數(shù)據(jù)中斷，嚴(yán)重的導(dǎo)致化工生產(chǎn)裝置停車，對(duì)工業(yè)生產(chǎn)和社會(huì)秩序造成惡劣影響。

1 煉化行業(yè)工業(yè)控制系統(tǒng)信息安全現(xiàn)狀

根據(jù)煉化行業(yè)現(xiàn)狀，煉化工控系統(tǒng)網(wǎng)絡(luò)可以劃分為多個(gè)層級(jí)：Level 1 基礎(chǔ)控制層、Level 2 生產(chǎn)操作層、Level 3 操作管理層、Level 3.5 安全數(shù)據(jù)交換層和Level 4 調(diào)度管理層，如圖1 所示。

圖1 煉化工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)Fig.1 Network architecture of refining and chemical control system

煉化企業(yè)的DCS 工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)一般是封閉且孤立的，生產(chǎn)流程也只在企業(yè)內(nèi)部或者子公司建立。隨著“兩化融合”在工控領(lǐng)域的推廣實(shí)施，對(duì)底層控制系統(tǒng)數(shù)據(jù)的上傳、轉(zhuǎn)換等各自需求大幅增加，使工控系統(tǒng)由原本封閉式、孤島式轉(zhuǎn)變?yōu)殚_放式、聯(lián)通式。這樣一來，使得生產(chǎn)環(huán)境也轉(zhuǎn)變?yōu)榛谛畔⒒木W(wǎng)絡(luò)自動(dòng)化形式。隨著智能化給煉化企業(yè)帶來便利和飛躍的同時(shí)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也隨之而來。

1.1 基線配置風(fēng)險(xiǎn)

煉化企業(yè)的操作站基本都采用Microsoft Windows操作系統(tǒng)，但由于工控網(wǎng)絡(luò)不允許與外網(wǎng)通信，這些系統(tǒng)就無法第一時(shí)間獲得補(bǔ)丁更新和漏洞修復(fù)，基本上處于一旦投用就不再進(jìn)行升級(jí)的狀況，甚至一些操作站還使用著官方早已停止支持的Windows XP 操作系統(tǒng)，工控系統(tǒng)操作站的脆弱性顯而易見，并且為了迎合工程人員對(duì)操作站維護(hù)方便等需求，這些操作站的防火墻、出入站規(guī)則等基本安全防護(hù)策略基本處于關(guān)閉狀態(tài)，開機(jī)口令、組態(tài)口令等一般為空口令、默認(rèn)口令或者簡單口令，非常容易被他人輕易進(jìn)入系統(tǒng)。更有甚者，別有用心或不法份子可以通過利用這些安全短板入侵控制系統(tǒng)，肆意竊取企業(yè)信息和破壞。

1.2 工業(yè)協(xié)議漏洞

為了趕上信息化的進(jìn)程，工業(yè)通信協(xié)議在改造的過程中對(duì)安全性的設(shè)計(jì)很薄弱，只要精心構(gòu)造一個(gè)數(shù)據(jù)包或者對(duì)數(shù)據(jù)包進(jìn)行回放，便可以控制某些設(shè)備的啟停、參數(shù)等，譬如modbus tcp、S7、profinet、DNP3 等工業(yè)通信協(xié)議只是對(duì)串行數(shù)據(jù)包幀進(jìn)行簡單封裝，而沒有加密和認(rèn)證等安全機(jī)制，因此很容易被修改、截取和重放。

1.3 系統(tǒng)應(yīng)用風(fēng)險(xiǎn)

工業(yè)控制系統(tǒng)結(jié)構(gòu)復(fù)雜[2]，一般包括組態(tài)控制軟件、流程控制軟件、歷史趨勢(shì)服務(wù)器、數(shù)據(jù)庫服務(wù)、操作站、GPS 系統(tǒng)、OPC 網(wǎng)關(guān)、數(shù)據(jù)分析系統(tǒng)、組態(tài)軟件等系統(tǒng)應(yīng)用，這些應(yīng)用往往來源不一且難以形成統(tǒng)一安全配置規(guī)范，如日志配置、數(shù)據(jù)備份、質(zhì)量體系、身份認(rèn)證等，因此存在水平越權(quán)、權(quán)限泄露、數(shù)據(jù)丟失、被惡意篡改等安全風(fēng)險(xiǎn)。

1.4 系統(tǒng)設(shè)備風(fēng)險(xiǎn)

在系統(tǒng)設(shè)備的配置和選用方面，現(xiàn)場(chǎng)終端、PLC 控制器、DCS 等系統(tǒng)設(shè)備部分采用國外產(chǎn)品，并未實(shí)現(xiàn)自主可控，在沒有安全防護(hù)能力的現(xiàn)場(chǎng)控制網(wǎng)絡(luò)中可能會(huì)被不法分子利用，導(dǎo)致設(shè)備被惡意控制、篡改，甚至發(fā)生數(shù)據(jù)外泄事件。

1.5 便攜設(shè)備安全

操作站等工控設(shè)備的移動(dòng)介質(zhì)接口是非常容易被利用的，比如使用經(jīng)過精心設(shè)置的U 盤就可以使操作站感染并傳播病毒，進(jìn)而對(duì)控制系統(tǒng)進(jìn)行控制、監(jiān)聽和信息竊取，導(dǎo)致系統(tǒng)不可用、不受控。

1.6 管控風(fēng)險(xiǎn)

煉化企業(yè)對(duì)工控系統(tǒng)雖然都有相關(guān)的專業(yè)管控制度，但由于缺乏網(wǎng)絡(luò)安全管理控制的經(jīng)驗(yàn)，且網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展處于動(dòng)態(tài)變化過程，這就導(dǎo)致企業(yè)內(nèi)部沒有特別專業(yè)的網(wǎng)絡(luò)安全小組，網(wǎng)絡(luò)安全意識(shí)和防護(hù)手段存在不足，甚至一些系統(tǒng)長期帶“毒”運(yùn)行，存在重大的安全隱患。

2 煉化行業(yè)工控安全解決方案

通過對(duì)煉化企業(yè)工控系統(tǒng)安全風(fēng)險(xiǎn)現(xiàn)狀的分析，明確了工控系統(tǒng)本身存在的脆弱性及所面臨的威脅?；诖?，亟需對(duì)工控系統(tǒng)做安全加固。

某大型煉化企業(yè)基于工業(yè)互聯(lián)網(wǎng)的安全防護(hù)體系，提出工控系統(tǒng)安全解決方案如圖2。方案中部署了工業(yè)操作系統(tǒng)supOS，各個(gè)DCS 系統(tǒng)操作網(wǎng)連接到supOS 網(wǎng)絡(luò)，而supOS 不能主動(dòng)訪問各個(gè)DCS，在各個(gè)DCS 與supOS網(wǎng)絡(luò)之間部署了單向防火墻做網(wǎng)絡(luò)轉(zhuǎn)發(fā)訪問控制。在此方案中，需要在每個(gè)DCS 的操作網(wǎng)中部署supOS 采集器節(jié)點(diǎn)，該采集器從OPC 服務(wù)器中獲取相應(yīng)的DCS 狀態(tài)數(shù)據(jù)，主動(dòng)上傳到supOS 系統(tǒng)的采集服務(wù)器中，經(jīng)由supOS 采集器服務(wù)器送至supOS 系統(tǒng)中。

圖3 安全防護(hù)設(shè)計(jì)Fig.3 Safety protection design

考慮到每個(gè)DCS 系統(tǒng)中都有大量的實(shí)時(shí)數(shù)據(jù)，而本項(xiàng)目只需要采集部分相關(guān)的狀態(tài)實(shí)時(shí)數(shù)據(jù)，為了減輕系統(tǒng)負(fù)荷，supOS 采集器提供了基于web 的組態(tài)能力。組態(tài)人員可以使用瀏覽器對(duì)每個(gè)supOS 采集器進(jìn)行配置，以決定采集哪些數(shù)據(jù)。

3 煉化行業(yè)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)架構(gòu)設(shè)計(jì)

supOS 工業(yè)操作系統(tǒng)的工業(yè)信息安全防護(hù)體系架構(gòu)設(shè)計(jì)遵循《國家網(wǎng)絡(luò)安全法》和《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的相關(guān)規(guī)定和要求，整個(gè)安全防護(hù)體系涵蓋多個(gè)層次，包括數(shù)據(jù)安全、物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全等。在工業(yè)信息安全一體化防護(hù)基礎(chǔ)上，采用系統(tǒng)的本質(zhì)安全、設(shè)備過程安全、安全操作管理、內(nèi)建安全與縱深防御、產(chǎn)品全生命周期管理、應(yīng)急安全管理與危險(xiǎn)源、環(huán)境監(jiān)測(cè)預(yù)警等防御技術(shù)，提供安全可控的分層多點(diǎn)安全防護(hù)策略，支持深度防御安全，將安全防護(hù)能力分布在工廠的各個(gè)階段中，從“規(guī)劃設(shè)計(jì)”到“生產(chǎn)護(hù)航”再到“危機(jī)應(yīng)對(duì)”進(jìn)行全方位安全布防，避免安全事故發(fā)生，減少損失。

工業(yè)信息安全防護(hù)體系架構(gòu)要素如下：

保密性：確保信息的采集、傳遞、存儲(chǔ)過程中不會(huì)被泄露。

完整性：確保信息不會(huì)被非授權(quán)用戶非法篡改，并保證授權(quán)用戶只能合理的使用數(shù)據(jù)，保證數(shù)據(jù)內(nèi)外的一致性。

可用性：確保授權(quán)用戶可靠且及時(shí)地訪問信息和資源。

可靠性：保證平臺(tái)在正常條件下功能的正確性。

健壯性：確保系統(tǒng)中受到攻擊或破壞后，具有可自行恢復(fù)的能力。

私密性：確保平臺(tái)內(nèi)用戶隔離能力，保證平臺(tái)內(nèi)用戶的隱私安全。

3.1 DCS內(nèi)建安全

針對(duì)計(jì)算環(huán)境、邊界防護(hù)、通信網(wǎng)絡(luò)、組織體系、管控體系、技術(shù)體系等多個(gè)方面，集中建立面向多級(jí)保護(hù)的統(tǒng)一安管審計(jì)平臺(tái)，統(tǒng)一安全運(yùn)維平臺(tái)管理各級(jí)別的安全管理機(jī)制的實(shí)施。對(duì)于安全計(jì)算環(huán)境，通過對(duì)操作系統(tǒng)的策略優(yōu)化、基線加固來實(shí)現(xiàn)訪問控制，以增強(qiáng)主機(jī)終端的安全性，形成基本防護(hù)層；然后，通過管理控制手段和技術(shù)控制手段，對(duì)終端行為進(jìn)行管控，以實(shí)現(xiàn)有效的訪問控制和權(quán)限管理，保證工業(yè)控制系統(tǒng)的保密性和完整性。通過平臺(tái)API 使應(yīng)用的主體和客體、保護(hù)區(qū)域的主體和客體相對(duì)應(yīng)，使訪問控制策略的控制達(dá)到統(tǒng)一。

對(duì)于安全區(qū)域邊界，通過對(duì)出站信息和入站信息進(jìn)行統(tǒng)一的安全核查，對(duì)區(qū)域內(nèi)部的流量進(jìn)行審計(jì)，以阻斷區(qū)域違反安全策略的信息與流量的傳播路徑。

對(duì)于安全通信網(wǎng)絡(luò)，在傳輸過程中對(duì)通信數(shù)據(jù)包進(jìn)行加密，以確保數(shù)據(jù)包的完整性與保密性不會(huì)受損，做到數(shù)據(jù)傳輸安全。

在安全組織體系方面，建立為確?？刂葡到y(tǒng)安全利益的組織，為整個(gè)工業(yè)控制系統(tǒng)的可用性、完整性、機(jī)密性負(fù)責(zé)，包括信息安全領(lǐng)導(dǎo)機(jī)構(gòu)、安全工作小組、應(yīng)急處理小組、協(xié)調(diào)小組等。

在安全管控體系方面，規(guī)范化安全策略，定義組織的安全范圍，討論需要保護(hù)的資產(chǎn)以及安全解決方案需要提供的必要保護(hù)程度，概括為保護(hù)控制系統(tǒng)安全而應(yīng)采用的安全目標(biāo)和做法，定義用于職責(zé)分配、定義角色、指定審計(jì)要求、概括實(shí)施過程、確定合規(guī)性要求和可接受風(fēng)險(xiǎn)，確保建立完整的管理控制體系。

在安全技術(shù)體系方面，采用成熟的產(chǎn)品應(yīng)用、先進(jìn)的安全設(shè)備。在物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層、數(shù)據(jù)層，進(jìn)行產(chǎn)品、服務(wù)的部署和實(shí)施，降低各層面安全風(fēng)險(xiǎn)。

3.2 網(wǎng)絡(luò)傳輸安全

由于supOS 工業(yè)操作系統(tǒng)需要采集流程控制生產(chǎn)中的信息，必須要讀取工業(yè)控制系統(tǒng)的相關(guān)數(shù)據(jù)，但是工業(yè)控制系統(tǒng)的可用性是必須放在第一位保證的，于是工業(yè)控制系統(tǒng)必須加強(qiáng)網(wǎng)絡(luò)安全以保證系統(tǒng)的可用性，通過采用硬件防護(hù)墻和數(shù)據(jù)傳輸控制方式，解除客戶對(duì)控制系統(tǒng)安全的擔(dān)憂。

3.3 系統(tǒng)應(yīng)用安全

通過軟硬件設(shè)置保證了數(shù)據(jù)采集傳輸過程中的網(wǎng)絡(luò)安全，但是由于系統(tǒng)采集統(tǒng)計(jì)的數(shù)據(jù)為企業(yè)生產(chǎn)的核心數(shù)據(jù)，其生產(chǎn)運(yùn)行信息需要通過統(tǒng)一授權(quán)的方法進(jìn)行權(quán)限管理，所有訪問行為，只有通過權(quán)限管理和用戶授權(quán)并由具有管理系統(tǒng)建立角色并分配權(quán)限后，才能繼續(xù)執(zhí)行，提供完成的授權(quán)、鑒權(quán)機(jī)制。通過用戶授權(quán)法[3]的方式進(jìn)行權(quán)限管理，所有要訪問信息系統(tǒng)的用戶經(jīng)審核批準(zhǔn)后，由系統(tǒng)管理建立并進(jìn)行相應(yīng)的權(quán)限分配。只有授權(quán)的用戶才能訪問相應(yīng)的信息，才可以進(jìn)行相應(yīng)的操作。

3.4 系統(tǒng)平臺(tái)安全

平臺(tái)提供了基于高級(jí)身份認(rèn)證和訪問控制的多個(gè)維度保密技術(shù)，以保證整個(gè)平臺(tái)和信息的完整性和機(jī)密性[4]，確保平臺(tái)在防篡改、身份認(rèn)證等方面具有高強(qiáng)度技術(shù)控制能力，使信息在傳輸、存儲(chǔ)、使用、銷毀等環(huán)節(jié)都保持安全、準(zhǔn)確。系統(tǒng)采用高可靠的技術(shù)體系，若系統(tǒng)發(fā)生意外情況，可以使系統(tǒng)能夠在較短時(shí)間內(nèi)恢復(fù)，并提供完整的數(shù)據(jù)備份與異地備份策略、日志跟蹤審計(jì)策略等，以記錄系統(tǒng)的所有操作。

4 方案應(yīng)用

針對(duì)國內(nèi)大型煉化企業(yè)需求，采用本項(xiàng)目提出的工業(yè)控制系統(tǒng)安全防護(hù)解決方案，形成面向多個(gè)安全分級(jí)保護(hù)區(qū)域的“統(tǒng)一架構(gòu)、統(tǒng)一管控”一體化管理平臺(tái)，使各個(gè)業(yè)務(wù)體系的工控網(wǎng)絡(luò)安全實(shí)現(xiàn)集中管理、集中運(yùn)維、集中審計(jì)等目標(biāo)。在安全計(jì)算環(huán)境、區(qū)域邊界、安全通信網(wǎng)絡(luò)等各個(gè)方面實(shí)現(xiàn)多級(jí)分域安全防護(hù)[5]，使工控系統(tǒng)網(wǎng)絡(luò)安全措施得到切實(shí)有效的執(zhí)行落實(shí)，持續(xù)審計(jì)大量的日志數(shù)據(jù)和網(wǎng)絡(luò)行為，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)入侵事件與違規(guī)接入便攜設(shè)備等事件；保證系統(tǒng)可用性，確保數(shù)據(jù)能夠在意外發(fā)生后全面恢復(fù)正常運(yùn)行。同時(shí)，也采取了相適應(yīng)的安全防護(hù)基本策略如下：

1）儀表控制系統(tǒng)安全防護(hù)的管理措施及軟硬件的配置需要考慮的前提條件是不影響控制系統(tǒng)正常運(yùn)行，在此基礎(chǔ)上要兼顧數(shù)據(jù)和網(wǎng)絡(luò)的安全性、可用性和可維護(hù)性；同時(shí)，與控制系統(tǒng)進(jìn)行兼容性測(cè)試與驗(yàn)證，確保使用過程不會(huì)產(chǎn)生沖突?？刂凭W(wǎng)絡(luò)通信采用加密方式，同時(shí)還需開展完整性檢查，保證通信數(shù)據(jù)的安全私密，防止異常數(shù)據(jù)包攻擊。

2）對(duì)工控系統(tǒng)采用工業(yè)防火墻將控制系統(tǒng)與數(shù)據(jù)服務(wù)層進(jìn)行隔離。對(duì)于第三方應(yīng)用系統(tǒng)采用MODBUS TCP/IP通訊協(xié)議接入過程控制層交換機(jī)的設(shè)備和系統(tǒng)，都加裝工業(yè)防火墻?？刂葡到y(tǒng)本身配置具備經(jīng)過控制系統(tǒng)測(cè)試確認(rèn)的進(jìn)程和服務(wù)雙重防護(hù)的白名單策略軟件。

3）支持用戶口令的復(fù)雜度檢查，禁用空口令、弱口令；具備賬戶確認(rèn)、權(quán)限變更、操作等操作行為日志功能；具備工程組態(tài)、歷史趨勢(shì)、歷史報(bào)警、操作日志等備份功能。

4）控制系統(tǒng)需全面開展病毒查殺，同時(shí)建立控制系統(tǒng)病毒感染應(yīng)急預(yù)案，定期演練。儀表控制系統(tǒng)被病毒感染時(shí)，應(yīng)第一時(shí)間中斷與數(shù)采網(wǎng)連接，防止事件擴(kuò)大；禁止第三方對(duì)運(yùn)行中的儀表控制系統(tǒng)進(jìn)行滲透測(cè)試和攻擊測(cè)試。

5 結(jié)束語

大型煉化企業(yè)在搭建網(wǎng)絡(luò)安全防護(hù)體系時(shí)，應(yīng)充分考慮行業(yè)生產(chǎn)特點(diǎn)和網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜情況，特別要考慮到煉化裝置長周期安穩(wěn)運(yùn)行的重要性，要從安全、環(huán)保兩個(gè)方面入手，厘清工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)和防護(hù)要點(diǎn)，設(shè)計(jì)與之相適應(yīng)的網(wǎng)絡(luò)安全防護(hù)方案，輔之以專業(yè)管控基本策略，構(gòu)建安全可靠的煉化企業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系，全面提升工控系統(tǒng)的網(wǎng)絡(luò)安全防衛(wèi)能力，從而保障煉化裝置安穩(wěn)運(yùn)行。