化工生產控制系統信息安全防護
—以蒲城清潔能源化工有限責任公司為例

＊任志勇

（蒲城清潔能源化工有限責任公司 陜西 715500）

1.研究背景

化工生產控制系統是由各種自動化控制組件和實時數據進行采集、監測的過程控制組件共同構成的確保工業基礎設施自動化運行、過程控制與監控的業務流程管控系統，是企業進行相關工作的根本保證。

本文將以蒲城清潔能源化工有限責任公司為研究對象，進行化工生產控制系統信息安全防護的研究，以達到為企業消除信息安全隱患的目的。蒲城清潔能源化工有限責任公司成立于2008年11月，是由陜西煤業化工集團公司和中國長江三峽集團公司共同出資設立的傳統煤化工和石油化工深度融合的現代煤化工企業。生產控制系統是蒲城清潔能源化工有限責任公司正常運行的關鍵系統之一，而其信息安全則直接關系到了企業未來的發展，只有從根本上對生產控制系統信息安全做好防護工作，才能夠更好的推動企業的發展。

2.蒲潔能化生產控制系統基礎網絡現狀

生產控制系統基礎網絡是整個蒲潔能化的核心網絡之一、重中之重，承載著安全、穩定、高效運營生產的最核心的生產控制系統。整個生產控制系統包括：DCS管制系統26套共300多臺，全部采用霍尼韋爾公司產品，覆蓋50000多節點。服務站PC采用DELL公司產品，交換機采用CISCO公司產品。SIS系統12套，全部采用霍尼韋爾公司產品，覆蓋1-20000多節點。火災報警系統采用霍尼韋爾公司產品，覆蓋10000多點。TIC PKS系統9套，全部采用霍尼韋爾公司產品。PLC設備260多套、采用霍尼韋爾公司產品。GDS可燃氣體報警系統共3套覆蓋1100多點。另有工業視頻監控、服務器、攝像頭等。

生產控制系統基礎網絡機房位于生產區中央控制到一樓工控機房內，采用工業防磁機柜及工業溫控系統等建設而成，除廠房外圍及生產區域部署有工業用安防監控系統，中央控制室出入口、各機房及各樓層通道均沒有部署安防監控系統。

目前生產控制系統基礎網絡機房機柜有一臺網閘設備，但未啟用。網安監測部門部署的統一安全接入網關為安監、消防、應急管理、能源管理、環保、網安等監管部門單向提供DCS控制系統相關數據。DCS控制系統部署有工業防病毒模塊，病毒規則庫更新升級周期約2-3年，通常是大修期才更新升級，病毒庫服務端更新升級后下發各終端節點進行更新升級。

生產區網絡內部署有防USB移動介質接入系統，可隨時進行策略修改。SIS系統帶有防病毒模塊、黑白名單功能。GDS可燃氣體報警系統帶有黑白名單功能模塊。工控視頻監控系統帶有防火墻模塊。工程師站PC部署有McAfee防病毒軟件，并連接防USB移動介質接入系統。生產區域網絡CICSO交換機配置有ACL防止網絡風暴及防止外聯策略，辦公網及生活網與生產網之間沒有連接。生產網匯聚交換機、接入交換機、核心交換機、DCS控制系統、上位機全采用主備冗余配置，少量不重要系統沒有冗余。

3.蒲潔能化生產控制系統信息安全防護存在的問題

(1)網絡基礎薄弱

從蒲潔能化基礎網絡調研情況來看，其生產控制系統信息安全防護狀況薄弱，既不能保證現有網絡通信暢通與冗余安全，更無法支撐公司未來信息化數據化管理的需求。

①網絡帶寬資源嚴重不足

蒲潔能化的網絡帶寬為百兆接入，千兆上聯，主干網為萬兆，與現階段主流網絡千兆到桌面，萬兆上行的網絡方案存在兩個時代的差距。隨著公司智慧工廠、ERP等信息化系統的不斷建設，視頻監控系統的不斷增加，蒲潔能化各系統之間、各部門之間的大文件傳輸需求越來越多。對于網絡的帶寬的需求將會是剛性的，現有的網絡帶寬資源明顯已經不能滿足公司日常生產運營管理和未來“智慧工廠”的建設需求。

②網絡設備落后

蒲潔能化在使用的匯聚交換機華為S9306系列、核心交換機華為S9312系列產品均已停產，由此導致設備的維修備換件、技術支持都將無以為繼，而匯聚交換機、核心交換機是公司IP網絡中的核心組網設備，任意一個設備出現了問題都將給公司帶來不可預測、不可評估的風險。只有配備高系統容量、高傳輸速率、多容錯機制、低延時的高性能網絡設備，才能實現網絡資源優化配置。

(2)網絡風險突出

從蒲潔能化內部網絡結構劃分和當前安全防護狀況來看，存在以下安全風險：

①整體缺少安全防護措施

蒲潔能化內部網絡安全防護手段主要是在互聯網與核心交換機網絡邊界之間部署防火墻系統，生產區與互聯網網絡邊界之間部署統一安全網關，生活區與行政區之間未部署任何安全設備，防火墻設備已經年久未更新升級且無技術支持，生活區與行政區缺少必要的安全防護，生產區與互聯網之間缺少重要的安全防護措施。部分安全設備未啟用或者啟用但未正確配置。例如關鍵區域網絡未做隔離及部署安全設備，可導致非安全域向安全域出現風險滲透及其它未知風險因素出現的無法估量的財產損失及政治風險。安全設備系統及特征庫未及時更新升級，甚至出現設備系統帶病工作。可導致受到病毒木馬攻擊、服務器及電腦受到勒索病毒、挖礦程序及其它嚴重風險，造成無法估量的財產損失及政治風險。辦公樓各樓層接入交換機機架間無門鎖，交換機沒做任何安全策略。存在人為破壞斷網及非法接入風險。業務OA系統、官方網站等缺乏相應的安全防護措施，未部署相應抗DDOS攻擊、防篡改、漏洞風險評估及實時監測手段等。

②安全策略及安全管理的缺失

追求可用性而犧牲安全，是能源化工生產控制系統普遍存在的問題，缺乏完整有效的安全策略與管理流程也帶來了一系列的安全問題。如缺乏相應安全意識培訓及相關安全應急演練，這可導致日常工作及生產過程中出現潛在風險及在突發事件時不能合理有序消除風險，進而造成無法估量的財產損失及政治風險。例如IP資源管理規劃不合理、不明確，這可導致設備或系統沖突及非法接入出現影響生產，造成無法估量的財產損失及政治風險。資產管理流程不規范，資產明細不明確、資產狀況不知曉，資產安全狀況更無從掌握。技術支持及維護人員嚴重不足、無法充分保障辦公、生產、生活網絡基本運行及安全，移動存儲介質（包括筆記本電腦、U盤等設備）隨意接入使用，以及防火墻幾乎為空的全策略，不完善的信息安全管理制度等，都會引發信息安全事件。

③化工生產控制系統自身存在漏洞、防護措施薄弱

化工生產控制系統在設計時主要考慮的是可用性和穩定性的問題，未充分考慮化工生產控制系統安全性的需求，導致化工生產控制系統安全性能較差，無信息安全防護機制，漏洞較多，國家信息安全漏洞共享平臺（CNVD）、中國國家信息安全漏洞庫（CNNVD）中已經發布了知名控制器廠家的PLC存在大量高危漏洞，國外廠商在獲悉系統存在漏洞時，往往會延遲一代產品進行漏洞修復，漏洞修補周期較長，這就給化工生產控制系統運行帶來了極大的安全隱患，作為化工生產控制系統其中的一種類型，同樣面臨著上述問題。

④操作系統漏洞

行政區的部分服務器及生產區的部分工程師站/操作員站/HMI采用的是Windows操作系統，Windows操作系統存在大量的安全漏洞，為保障系統運行的穩定性，一線系統操作及使用人員往往不會對Windows系統進行漏洞修補，這樣就使采用Windows操作系統的工程師站/操作員站/HMI面臨很大的安全威脅，之前曾爆出的Microsoft Windows SMB v3拒絕服務漏洞（CNNVD-201702-204），受此漏洞影響的操作系統版本有Microsoft Windows Server2012、Microsoft Windows 10、Microsoft Windows Server 2016，其中Server版在能源化工系統有大量的應用，部署在Server版操作系統上的眾多數據庫軟件都可能遭受利用此漏洞發起的攻擊行為，給正產生產活動造成影響。

⑤應用軟件漏洞

由于能源化工生產控制系統的控制軟件多為定制化產品，在軟件開發階段缺少安全設計，導致這類軟件存在大量的安全漏洞。應用軟件面向能源化工生產控制系統應用時，需要使用專用的能源化工生產控制系統網絡協議及端口，常規的信息安全產品很難對其進行安全防護，特別是國外的主流控制系統廠商的軟件已經暴出大量安全漏洞，如西門子的SIMATIC WinCC數據采集與監控系統存在信息泄露的安全漏洞（CNNVD-201607-905），遠程攻擊者可通過發送特制的數據包利用該漏洞讀取任意WinCC工作站文件，這樣一些工作站的重要文件就可能會被竊取或篡改，對系統的安全運行造成影響。

⑥殺毒軟件兼容性問題

為了保證能源化工生產控制軟件的可用性，許多工程師站/操作員站/HMI通常不會安裝殺毒軟件，即使安裝了殺毒軟件，也不會定期更新病毒庫，并且在實際應用中，能源化工生產控制軟件與殺毒軟件不兼容的情況較多，殺毒軟件在能源化工生產控制系統很難切實起到病毒防護的作用。

⑦多途徑的威脅侵入

多種途徑的威脅侵入是當前能源化工生產控制系統面臨的主要安全問題，隨意接入的USB移動存儲介質、VPN遠程維護通道，都可能將能源化工生產控制系統暴露在未知威脅面前。

基于以上安全性風險，還存在以下合規性風險：

⑧不滿足陜煤司函〔2021〕29號《陜西煤業化工集團有限責任公司關于組織開展2021年網絡安全監督自查及整改工作的通知》

隨著國家對關鍵信息基礎設施信息安全建設的愈加重視，以及作為建黨100周年慶祝活動、中華人民共和國第十四屆運動會暨殘特奧會和冬奧會網絡安全保衛重點單位，各地公安部門及集團也逐步加強了對網絡安全防護建設的檢查工作，如果無法完成自查、自改等工作，將面臨被通報、限期整改的風險。

⑨機房基礎設施缺失

機房巡檢為人工巡檢，出現問題無法實時監控及告警、工作強度大、沒有辦法實現精細化運維管理，機房無溫濕度采集、水浸采集，空調系統控制，對電源無檢測，對溫度無精準控制，無視頻監控或存在損壞目前無法正常運行，機房的環境狀態處于空白地帶，支撐信息化系統的IT硬件絕大部分都部署在信息化機房中，機房的環境如溫、濕度、漏水、火災、非法人員進入等會對IT硬件造成不可控的風險，甚至影響信息化系統的正常運行。

⑩無人員實時管控措施

基于傳統流程作業票流程，無法做到實時有力的監控。在沒有經過正規流程前對非法進入作業區域，違規作業行為無法做到實時監控，實時告警的管控，在發生需要做作業區內人員統計的情況時沒有可用、可信手段，無法做到實時準確的人員核實。

4.增強蒲潔能化生產控制系統信息安全防護的具體措施

(1)增強基礎網絡

基礎網絡是公司信息化、智能化和數字化發展的高速公路，是現代企業管理的堅實底座，只有公司的基礎網絡增強、壯大了，公司的各類信息化系統才能有堅強有力的底層支持平臺，才能穩定、可靠的運行。根據整體的蒲潔能化基礎網絡的調研情況，需要做如下兩個方面的增強：

①增強帶寬資源

將現有的百兆接入千兆上聯、主干網絡萬兆增強到千兆接入，萬兆上聯、主干網絡4×40G。這樣可以很好滿足現有的公司生產自動化系統支撐網絡、安防監控系統支撐網絡、管理信息化系統支撐網絡等三套獨立網絡的需求，又可以支撐未來公司“智慧工廠”信息化系統建設的需求。

②升級更新停產網絡設備

將目前在公司基礎網絡中使用廠商已經停產的華為S9306/S9312的匯聚、核心交換機升級換代為華為的S12708/S12712產品，該產品是華為推出面向下一代園區網核心設計開發的敏捷交換機，采用全可編程架構，靈活快速滿足業務需求，新業務6個月即可上線，具備內置大容量WLAN AC控制器實現有線無線業務的深度融合，突破無線AC的容量瓶頸、提供高性能的L2/L3交換服務，百萬級硬件表項，滿足園區10年演進的特點，可滿足公司基礎網絡帶寬增強的需求，同時解決了設備停產帶來的不可預測、不可評估的風險。

③接入交換機、改造一級匯聚交換機

為滿足蒲潔能化帶寬資源提升的需求，實現千兆接入、萬兆上聯的網絡帶寬，將現有的S5700系列的交換機定義為接入交換機，新增S6730交換機作為一級匯聚交換機。

④IT網絡資源綜合管理

建設部署一套IT網絡資源綜合管理系統，對公司的IT網絡資源設備進行統一、集中、實時管控，實現網絡可視化、業務可視化、機房可視化，以對網絡、服務器、智能硬件、機房環境智能監控。使公司IT網絡資源運行、健康情況一目了然。

(2)建設基礎網絡安全

目前蒲潔能化整個網絡只有在互聯網邊界部署了防火墻產品，主要設備已經停產并且無技術支持，其它幾款安全產品也已經停產無技術支持或未啟用。考慮到未來業務系統的的增多，各種類型數據互聯互通以及在內網和互聯網之間相互，建議進行整體網絡安全體系更新建設。

網絡安全的整體目標是通過應急風險處置、網絡安全策略配置、主動誘捕防御、可持續威脅檢測及溯源、系統防火墻、Web應用防火墻、入侵檢測、漏洞風險評估、防病毒、零信任訪問控制等技術，對各網絡邊界出入口的信息進行嚴格的控制，對網絡中所有的資產進行梳理、檢測、分析和風險評估。發現并報告系統中存在的隱患及漏洞，評估安全風險，修復建議措施，并且有效地防止非法攻擊者攻擊破壞和病毒木馬擴散，實時監控整個網絡的運行狀況。

(3)完善機房基礎設施

蒲潔能化機房設置較多且分散，普遍面臨基礎設施薄弱，安全管控措施缺失，協同聯動性不強等問題，建議公司統籌規劃機房管理，建立大信息中心運營模式，提升機房基礎設施完善，建立機房環境監控系統。

(4)建設人員管控系統

化工能源企業在現場施工作業中，存在著人員流動大、活動區域限定松散、作業過程缺乏管控、現場狀況亂、安全隱患難以察覺等問題，每年因生產事故造成人員傷亡事件屢見不鮮，給企業運營帶來了極大的損失和負面影響。在本次調研過程中，我們發現蒲潔能化同樣存在此類問題隱患，建議公司結合自身生產管理特征建立一套行之有效的人員管控系統，杜絕作業現場人員管控缺失可能帶來的人員及生產安全風險。

5.結束語

本文通過對蒲城清潔能源化工有限責任公司的生產控制系統信息安全進行具體的研究調查分析，并根據實際情況提供了相關的防治措施，最大程度上保證了其生產控制系統信息安全防護的可靠性。化工生產控制系統信息安全防護對于企業甚至是整個社會來說都有著極其重要的影響，我們應當根據現有條件不斷加強自身信息安全防護，以此來達到快速推動社會經濟發展的目的。