分散控制系統信息安全方案探討

楊樂

(浙江中控技術股份有限公司，浙江 杭州 310053)

分散控制系統信息安全方案探討

楊樂

(浙江中控技術股份有限公司，浙江 杭州 310053)

根據信息安全問題的設計目標和原則，基于煉化一體化項目特征，提出將分散控制系統(DCS)信息安全分析、信息安全防護結構、信息安全管理體系建設等要素相結合的設計方案。通過信息安全分析對威脅、脆弱性以及影響給予全面評估，依據規范要求進行網絡分層后，在防護結構上設計逐級防護方案解決信息安全中企業易忽視的一些關鍵問題，討論以信息安全管理體系保障企業持續改進、實現企業信息安全管理的目標。

分散控制系統 信息安全 防護結構 管理體系

中國是石油生產和消費大國，煉油能力從2000年的2.76×108t/a提高到2015年底的7.10×108t/a[1]。在能源矛盾日益突出的大背景下，技術進步必然成為國內石油、石化行業發展的重要推動力，隨著煉油、乙烯及煉化一體化項目的應運而生，呈現出大型化、一體化和智能化的發展趨勢，要求控制系統必須符合大規模、高實時性、高可靠性、高效率等技術要求。

以分散控制系統(DCS)為代表的工業控制系統(ICS)已廣泛應用于石油化工行業，ICS逐步從封閉、孤立的系統走向互聯網。由于長期缺乏相關安全需求的推動，當前大多數的ICS都普遍存在著各種各樣的安全隱患，一旦面臨病毒、惡意軟件、黑客入侵等安全攻擊，將嚴重干擾甚至破壞控制系統甚至嚴重威脅基礎設施自身安全乃至國家安全。2010年針對伊朗布什爾核燃料提煉工廠的Stuxnet“震網”，2015年12月烏克蘭電力系統遭高度破壞性惡意軟件攻擊導致大規模停電事件等，均引起了巨大反響。ICS的安全威脅絕非杞人憂天，2011年9月，工業與信息化部發布“關于加強工業控制系統信息安全管理的通知”，明確了重點領域ICS信息安全管理的要求。2016年11月，全國人大常委會第二十四次會議通過《網絡安全法》等，政府及各相關部門對信息安全極為重視[2]。

鑒于大型煉化一體化項目在國民經濟中的地位，其信息安全問題至關重要，對于大型煉化一體化項目至今鮮有針對性的信息安全研究分析。結合筆者參與的安慶石化、九江石化等千萬噸級煉油等大型煉化一體化項目信息安全設計問題，文中對系統架構及方案設計進行了全面探討，以期對同類項目設計乃至石油、石化行業項目設計信息安全研究及實踐提供參考。

1 信息安全方案設計目標與原則

對于煉化一體化項目的信息安全問題，作為承擔主要設計任務的信息專業人員，因缺乏對ICS的了解而使信息安全問題容易成為工作界面的真空地帶，存在著重大的安全隱患。信息安全事件無一不是從小問題上被攻擊，繼而全面爆發造成嚴重后果。一些企業在信息安全事件的驅動下，在大型項目設計上考慮配置防火墻等硬件設備或防病毒軟件，認為這就實現了信息安全，顯然，這種理解是片面的。

筆者認為，DCS信息安全的設計關鍵目標應全面分析DCS以及與DCS相關的ICS的脆弱性，包括硬件、軟件、過程以及人為因素等，確定哪些措施能限制這些因素，最終保證系統運行的可用性、完整性、機密性，全面增強系統自身的魯棒性。因此，用戶應從以下幾個方面出發，針對信息安全問題建立有效的機制：

1) 人員的信息安全意識要到位。

2) 需要對設備管理與風險進行充分分析。

3) 需要設計滿足要求的防御體系進行防護。

4) 需要引入網絡監測或系統監視機制等。

5) 需要具備及時獲取信息、識別有潛在影響的威脅、提升脆弱性的識別能力。

6) 需要建立事件響應機制。

7) 需要建立災難恢復計劃。

2 煉化一體化項目信息安全方案設計

煉化一體化項目的DCS信息安全問題并不是單個業務部門、單套硬件設備等能解決的孤立問題，而是應從防護結構設計、安全評估、管理體系等要求出發，妥善考慮并持續改進的系統性問題。結合近期實施的一些大型煉化一體化項目，筆者認為安全分析是前提，防護結構設計是核心，管理體系是保障，三者缺一不可。

2.1 DCS信息安全分析

煉化一體化項目DCS安全評估涉及DCS設備、工藝特點、DCS脆弱性與威脅等要素，并充分考慮石油化工行業的復雜性、重要性、可用性要求、安全事件、殘余風險、安全需求等屬性，核心任務是對威脅、脆弱性及其影響進行評估，在此基礎上對風險進行分析并確定優先級排序，最終對DCS安全進行綜合評估，分析流程如圖1所示。

圖1 DCS信息安全分析流程示意

針對大型煉化一體化項目，應在安全評估后、投運前或檢修期間再次對DCS進行風險與脆弱性檢查，目的是在保證DCS安全評估的基礎上，通過對DCS的軟件和系統通信安全的風險和脆弱性檢測，發現現有DCS中潛在的安全風險和漏洞。通過對潛在風險的處置，進一步提高DCS的安全性，檢測內容包括：

1) DCS軟件安全風險與脆弱性檢測。涉及操作員站操作系統、實時數據庫軟件、OPC軟件、人機交互軟件、監控軟件等。

2) DCS網絡通信協議安全風險與脆弱性檢測。涉及以太網協議通信機制檢測、工業網絡協議通信機制檢測、DCS通信數據安全檢測、DCS通信服務檢測、DCS狀態及轉換檢測等。

結合系統安全要求，針對檢測出的潛在風險對DCS的安全影響進行分析，依照DCS的安全目標確定潛在風險是否可被接受；對于不可接受的潛在風險，進行相應的處理。

2.2 防護結構設計

2.2.1 網絡分層

根據SH/T 3092—2013《石油化工分散控制系統設計規范》[3]，DCS總體結構可分為過程控制層、操作監控層和數據服務層，向上通過接口連接生產運行管理層。規范規定工廠管理網與DCS的過程控制網之間應設置防火墻，要求工廠管理網在內的外部管理數據接口、與DCS功能相關的第三方的應用計算機及網絡等，應通過數據服務層的過程數據接口服務器交換數據，并規定了網絡分區辦法等，如圖2所示。

圖2 煉化一體化項目網絡分層設計示意

煉化一體化項目首先應規范網絡架構設計，嚴格將生產調度管理、生產分析、油品調和、罐區管

理、控制優化、OPC服務器、Web服務器等部署在數據服務層；將工程師站、操作員站、歷史記錄工作站、IDM操作站、ODS監控站、實時數據庫等，與現場監視控制實時相關的系統部署在同一層形成操作監控層，兩網之間采用技術手段保證不直接相連；同時將監控層以下的現場控制層進行細分。過程控制層和數據監控層按操作或管理進行網絡分區，劃分為不同的子網或虛擬局域網(VLAN)，確保數據傳輸至正確的節點。

DCS核心的控制網絡、通信網絡等必須進行冗余設計，關鍵的實時數據、歷史數據、OPC數據、組態數據等也需要定時備份。

2.2.2 威脅分析

簡要分析圖2所示在每一層所采用的協議與存在的威脅，可得表1所列的結果。

表1 煉化一體化項目DCS網絡分層設計及威脅分析

2.2.3 防護結構設計

在煉化一體化項目中，DCS強調的是工業自動化過程及相關設備的智能控制、監測與管理。DCS在系統架構、設備操作、通信協議等方面與普通IT信息系統存在較大差異，DCS更為關注系統的實時性與業務連續性。因此，僅依靠某一項單獨的防護技術不足以防御威脅，針對表1的分層設計及面臨的主要威脅分析，需要采用多層信息安全防護結構，在不同安全和可靠性需求的層次執行不同等級的通信機制，通常可以提出采用防護軟件的部署、防護設備的部署、技術防護以及深層防御等來實現防護。

對于圖2提出的煉化一體化項目網絡分層設計，文中提出了逐級防護結構。

1) 引入DMZ區。由于L4層與L1～L3層保護等級不同以及需求差異，因而在L4層和L3層之間引入L3.5層DMZ進行邊界防護，在DMZ區放置向L4層提供數據服務和向L3層下達生產指令的服務器，并采用雙防火墻架構分別保證向上L4層和向下L3層的數據通信安全。

2) 入侵容忍。作為直接與控制對象連接的L1層、可通過攻擊誘騙等進行間接攻擊的L2層、與L2互聯互通的L3層，這3層的防護可謂重中之重。但相比DCS的可用性、實時性、可靠性和安全性等系統性能，信息安全防護只能是次一級目標，如果一旦與性能目標沖突，信息安全防護往往只能被迫撤銷，這種機制被稱為“入侵容忍”[4]。“入侵容忍”并不意味在L1～L3層可以不設防，實際上許多企業在這三層的防護是最為薄弱的，一旦突破邊界防護進入則意味著攻擊者可以長驅直入，無疑存在安全隱患。因此，在確保系統性能目標的前提下，采用如下防御方案：

a) 在L3層設置入侵檢測與防護的審計平臺。設置入侵檢測與防護設備能夠監視邊界處的常見網絡攻擊行為，如端口掃描攻擊、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊、網絡蠕蟲等。在檢測到攻擊行為時，實時記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，并提供報警。目前網絡監控平臺大多由信息安全設備廠家提供，但由于缺乏對DCS控制網協議的深入解析，實際上這種檢測與防護功能并不完整，因而DCS廠商應開發并提供適用于DCS通信協議的網絡監測、審計與防護功能的平臺。

b) 在L2層提供統一管理平臺。具體策略可包括： 采用嚴格的身份認證，建立DCS組態修改監視模型，如發現非授權組態修改或非法修改則立即報警，在操作站安裝“白名單”技術的防病毒軟件，設置補丁管理服務器等。

c) 在L1層設置安全防護屏障。采用符合安全認證的控制器或控制防火墻、嵌入式設備、主機設備等系統部件，同時采用漏洞掃描和模糊測試的Achilles測試體系等，用戶可通過技術要求促使DCS廠商開發通過認證的核心部件。

3) 妥善應用物理層通信協議。在物理層，DCS的I/O通道和控制對象直接連接，是最終的攻擊對象，為了保護工業過程免除攻擊，往往通過設置安全儀表系統(SIS)來建立最終的物理安全保護線，因而在信息安全技術未完全成熟前，SIS應暫緩應用無線技術或采用未通過安全認證的通信協議進行通信，避免引入新的風險點。

2.3 信息安全管理體系

煉化一體化項目應在企業信息安全的管理體系總體框架或環境下，建立、實施、運行、監視、評審、保持與改進規范化的DCS信息安全管理體系，具體包括：

1) 建立信息安全管理體系。建立與管理DCS安全風險和改進DCS信息安全有關的方針、目標、過程和規程，識別DCS關鍵業務流程、技術流程，確定DCS與第三方的通信接口，對業務系統進行等級劃分，識別危害場景，開展風險評估，分析和評價風險等。

2) 實施與運行安全管理體系。建立安全政策、人員意識培訓，進行風險管理與實施，進行系統開發與維護，確定文件管理等制度，明確信息安全事件規劃與響應。

3) 監視與評審安全管理體系。對照方針、目標和實踐經驗，評估測量安全管理過程的執行情況，并將結果提交給管理者評審；建立符合信息安全管理的測量體系，審計文件跟蹤制度，建立懲罰性措施等。

4) 保持和改進安全管理體系。建立專門負責管理體系改進和實施的部門或團隊；定期評估管理體系，建立一系列的觸發條件評價體系，如重大信息安全事件、DCS結構重大變動等；識別改進與預防措施，可容忍風險評審，監視與評估策略，法律法規或行業標準監視以及安全建議反饋等。

3 結束語

結合大型煉化一體化項目對于信息安全問題的考慮，根據設計目標和原則，文中詳細研究了DCS信息安全的結構及防護設計、安全分析以及管理體系建設等問題。

信息安全成為近期討論的熱點話題，已受到越來越多的關注。DCS廠商正在逐步完善自身防護方案，展望未來，筆者認為有如下問題亟需得到解決：

1) 盡快推出適用于石油化工行業大型項目DCS的信息安全標準，規范DCS結構設計等，規范邊界防護設備選型和各層級安全配置，避免因招標成本限制出現防護功能缺失或漏配。

2) 推行適用于國內大型項目建設需求的產品安全認證，要求DCS廠商推出符合認證的核心部件，如控制器、內建網絡防火墻等；推出可適用于DCS的網絡檢測及審計平臺等。

3) 企業內儀表專業人員應與信息部門人員深入交流，推行適合本企業的信息安全管理體系建設，從根本上保障信息安全防護無疏漏，并將系統信息安全意識灌輸給企業全體人員。

[1] 白雪松.2013年中國煉油行業發展回顧及2014年展望[J].化工工業，2014，32(04)： 12-17.

[2] 中控信息安全測評中心.2015年ICS信息安全態勢分析[J].中國信息安全，2016(04)： 69-73.

[3] 楊剛，馮欣，葉向東，等.SH/T 3092—2013石油化工分散控制系統設計規范[S].北京： 中國石化出版社，2013.

[4] Huang Shuang, Zhou Chunjie, Yang Shuanghua, et al. Cyber-physical System Security for Networked Industrial Processes[J]. International Journal of Automation and Computing, 2015, 12(06)： 567-578.

[5] 肖建榮.ICS信息安全[M].北京： 電子工業出版社，2015.

[6] William K, Daniel P, David H, et al. A Survey of Cybersecurity Management in Industrial Control Systems[J]. International Journal of Critical Infrastructure Protection, 2015， 9(S1)： 52-80.

[7] 范宗海，于寶全.大型煉化一體化項目DCS網絡安全策略[J].石油化工自動化，2010，46(03)： 1-6.

[8] 鄭文奇，鐘晨，申屠久，洪，等.工業控制系統信息安全評估和改造[J].自動化應用，2016(11)： 90-92.

[9] 黃惠萍，肖世德，孟祥印.基于攻擊樹的工業控制系統信息安全風險評估[J].計算機應用研究，2015，32(10)： 3022-3025.

Discussion on Information Security Design of Distributed Control System

Yang Le

(Zhejiang SUPCON Technology Co.Ltd., Hangzhou, 310053, China)

According to design goals and principles of information security, based on characteristics of refinery and petrochemical integrated project, design scheme with combination of three factors of distributed control system (DCS) information security analysis, information security protection structure, and information security management system construction is put forward. Comprehensive assessment on threats, vulnerability and impact is studied through analysis on information security. After network layering according to specification requirements, layer protection for solving some key problems easily being neglected by enterprises is designed in protection structure. Management system to guarantee sustainable improvement and to realize information security management goal for enterprises is discussed.Key words： distributed control system; information security; protection structure; management system

楊樂(1974—)，男，浙江德清人，畢業于浙江大學控制理論與控制工程專業，獲博士學位，現就職于浙江中控技術股份有限公司，研究方向為自動化控制系統設計、工業控制系統信息安全等，任大客戶中心副總監。

TP273

B

1007-7324(2017)03-0001-04

稿件收到日期： 2016-12-21，修改稿收到日期： 2017-02-13。