大型煉化企業工控系統安全防御淺析

朱 健

（中國石油化工股份有限公司 揚子石化公司，南京 210048）

0 引言

隨著兩化融合在煉化行業中的加速推廣，工業控制系統中越來越多地采用信息化運維技術、自動化智能技術，與此同時也引入了新的安全問題，工業控制系統面臨越來越多的安全威脅和挑戰。煉化行業都是關乎國計民生的生產大企業，網絡信息安全防護[1]意義重大。針對煉化企業的網絡攻擊不是普通的“網絡黑客”，煉化企業如果被攻擊，或者被惡意控制企業的工控系統，可能帶來機密外泄，甚至造成重大事故。國內外近年來有多起被惡意控制煉化生產過程從而引發事故的案例，輕者造成控制系統操作站全面“黑屏”、數據中斷，嚴重的導致化工生產裝置停車，對工業生產和社會秩序造成惡劣影響。

1 煉化行業工業控制系統信息安全現狀

根據煉化行業現狀，煉化工控系統網絡可以劃分為多個層級：Level 1 基礎控制層、Level 2 生產操作層、Level 3 操作管理層、Level 3.5 安全數據交換層和Level 4 調度管理層，如圖1 所示。

圖1 煉化工控系統網絡架構Fig.1 Network architecture of refining and chemical control system

煉化企業的DCS 工控系統網絡結構一般是封閉且孤立的，生產流程也只在企業內部或者子公司建立。隨著“兩化融合”在工控領域的推廣實施，對底層控制系統數據的上傳、轉換等各自需求大幅增加，使工控系統由原本封閉式、孤島式轉變為開放式、聯通式。這樣一來，使得生產環境也轉變為基于信息化的網絡自動化形式。隨著智能化給煉化企業帶來便利和飛躍的同時，網絡安全風險也隨之而來。

1.1 基線配置風險

煉化企業的操作站基本都采用Microsoft Windows操作系統，但由于工控網絡不允許與外網通信，這些系統就無法第一時間獲得補丁更新和漏洞修復，基本上處于一旦投用就不再進行升級的狀況，甚至一些操作站還使用著官方早已停止支持的Windows XP 操作系統，工控系統操作站的脆弱性顯而易見，并且為了迎合工程人員對操作站維護方便等需求，這些操作站的防火墻、出入站規則等基本安全防護策略基本處于關閉狀態，開機口令、組態口令等一般為空口令、默認口令或者簡單口令，非常容易被他人輕易進入系統。更有甚者，別有用心或不法份子可以通過利用這些安全短板入侵控制系統，肆意竊取企業信息和破壞。

1.2 工業協議漏洞

為了趕上信息化的進程，工業通信協議在改造的過程中對安全性的設計很薄弱，只要精心構造一個數據包或者對數據包進行回放，便可以控制某些設備的啟停、參數等，譬如modbus tcp、S7、profinet、DNP3 等工業通信協議只是對串行數據包幀進行簡單封裝，而沒有加密和認證等安全機制，因此很容易被修改、截取和重放。

1.3 系統應用風險

工業控制系統結構復雜[2]，一般包括組態控制軟件、流程控制軟件、歷史趨勢服務器、數據庫服務、操作站、GPS 系統、OPC 網關、數據分析系統、組態軟件等系統應用，這些應用往往來源不一且難以形成統一安全配置規范，如日志配置、數據備份、質量體系、身份認證等，因此存在水平越權、權限泄露、數據丟失、被惡意篡改等安全風險。

1.4 系統設備風險

在系統設備的配置和選用方面，現場終端、PLC 控制器、DCS 等系統設備部分采用國外產品，并未實現自主可控，在沒有安全防護能力的現場控制網絡中可能會被不法分子利用，導致設備被惡意控制、篡改，甚至發生數據外泄事件。

1.5 便攜設備安全

操作站等工控設備的移動介質接口是非常容易被利用的，比如使用經過精心設置的U 盤就可以使操作站感染并傳播病毒，進而對控制系統進行控制、監聽和信息竊取，導致系統不可用、不受控。

1.6 管控風險

煉化企業對工控系統雖然都有相關的專業管控制度，但由于缺乏網絡安全管理控制的經驗，且網絡安全風險隨著網絡技術的發展處于動態變化過程，這就導致企業內部沒有特別專業的網絡安全小組，網絡安全意識和防護手段存在不足，甚至一些系統長期帶“毒”運行，存在重大的安全隱患。

2 煉化行業工控安全解決方案

通過對煉化企業工控系統安全風險現狀的分析，明確了工控系統本身存在的脆弱性及所面臨的威脅。基于此，亟需對工控系統做安全加固。

某大型煉化企業基于工業互聯網的安全防護體系，提出工控系統安全解決方案如圖2。方案中部署了工業操作系統supOS，各個DCS 系統操作網連接到supOS 網絡，而supOS 不能主動訪問各個DCS，在各個DCS 與supOS網絡之間部署了單向防火墻做網絡轉發訪問控制。在此方案中，需要在每個DCS 的操作網中部署supOS 采集器節點，該采集器從OPC 服務器中獲取相應的DCS 狀態數據，主動上傳到supOS 系統的采集服務器中，經由supOS 采集器服務器送至supOS 系統中。

圖3 安全防護設計Fig.3 Safety protection design

考慮到每個DCS 系統中都有大量的實時數據，而本項目只需要采集部分相關的狀態實時數據，為了減輕系統負荷，supOS 采集器提供了基于web 的組態能力。組態人員可以使用瀏覽器對每個supOS 采集器進行配置，以決定采集哪些數據。

3 煉化行業工業互聯網平臺安全防護架構設計

supOS 工業操作系統的工業信息安全防護體系架構設計遵循《國家網絡安全法》和《工業控制系統信息安全防護指南》的相關規定和要求，整個安全防護體系涵蓋多個層次，包括數據安全、物理安全、網絡安全、應用安全等。在工業信息安全一體化防護基礎上，采用系統的本質安全、設備過程安全、安全操作管理、內建安全與縱深防御、產品全生命周期管理、應急安全管理與危險源、環境監測預警等防御技術，提供安全可控的分層多點安全防護策略，支持深度防御安全，將安全防護能力分布在工廠的各個階段中，從“規劃設計”到“生產護航”再到“危機應對”進行全方位安全布防，避免安全事故發生，減少損失。

工業信息安全防護體系架構要素如下：

保密性：確保信息的采集、傳遞、存儲過程中不會被泄露。

完整性：確保信息不會被非授權用戶非法篡改，并保證授權用戶只能合理的使用數據，保證數據內外的一致性。

可用性：確保授權用戶可靠且及時地訪問信息和資源。

可靠性：保證平臺在正常條件下功能的正確性。

健壯性：確保系統中受到攻擊或破壞后，具有可自行恢復的能力。

私密性：確保平臺內用戶隔離能力，保證平臺內用戶的隱私安全。

3.1 DCS內建安全

針對計算環境、邊界防護、通信網絡、組織體系、管控體系、技術體系等多個方面，集中建立面向多級保護的統一安管審計平臺，統一安全運維平臺管理各級別的安全管理機制的實施。對于安全計算環境，通過對操作系統的策略優化、基線加固來實現訪問控制，以增強主機終端的安全性，形成基本防護層；然后，通過管理控制手段和技術控制手段，對終端行為進行管控，以實現有效的訪問控制和權限管理，保證工業控制系統的保密性和完整性。通過平臺API 使應用的主體和客體、保護區域的主體和客體相對應，使訪問控制策略的控制達到統一。

對于安全區域邊界，通過對出站信息和入站信息進行統一的安全核查，對區域內部的流量進行審計，以阻斷區域違反安全策略的信息與流量的傳播路徑。

對于安全通信網絡，在傳輸過程中對通信數據包進行加密，以確保數據包的完整性與保密性不會受損，做到數據傳輸安全。

在安全組織體系方面，建立為確保控制系統安全利益的組織，為整個工業控制系統的可用性、完整性、機密性負責，包括信息安全領導機構、安全工作小組、應急處理小組、協調小組等。

在安全管控體系方面，規范化安全策略，定義組織的安全范圍，討論需要保護的資產以及安全解決方案需要提供的必要保護程度，概括為保護控制系統安全而應采用的安全目標和做法，定義用于職責分配、定義角色、指定審計要求、概括實施過程、確定合規性要求和可接受風險，確保建立完整的管理控制體系。

在安全技術體系方面，采用成熟的產品應用、先進的安全設備。在物理層、網絡層、主機層、應用層、數據層，進行產品、服務的部署和實施，降低各層面安全風險。

3.2 網絡傳輸安全

由于supOS 工業操作系統需要采集流程控制生產中的信息，必須要讀取工業控制系統的相關數據，但是工業控制系統的可用性是必須放在第一位保證的，于是工業控制系統必須加強網絡安全以保證系統的可用性，通過采用硬件防護墻和數據傳輸控制方式，解除客戶對控制系統安全的擔憂。

3.3 系統應用安全

通過軟硬件設置保證了數據采集傳輸過程中的網絡安全，但是由于系統采集統計的數據為企業生產的核心數據，其生產運行信息需要通過統一授權的方法進行權限管理，所有訪問行為，只有通過權限管理和用戶授權并由具有管理系統建立角色并分配權限后，才能繼續執行，提供完成的授權、鑒權機制。通過用戶授權法[3]的方式進行權限管理，所有要訪問信息系統的用戶經審核批準后，由系統管理建立并進行相應的權限分配。只有授權的用戶才能訪問相應的信息，才可以進行相應的操作。

3.4 系統平臺安全

平臺提供了基于高級身份認證和訪問控制的多個維度保密技術，以保證整個平臺和信息的完整性和機密性[4]，確保平臺在防篡改、身份認證等方面具有高強度技術控制能力，使信息在傳輸、存儲、使用、銷毀等環節都保持安全、準確。系統采用高可靠的技術體系，若系統發生意外情況，可以使系統能夠在較短時間內恢復，并提供完整的數據備份與異地備份策略、日志跟蹤審計策略等，以記錄系統的所有操作。

4 方案應用

針對國內大型煉化企業需求，采用本項目提出的工業控制系統安全防護解決方案，形成面向多個安全分級保護區域的“統一架構、統一管控”一體化管理平臺，使各個業務體系的工控網絡安全實現集中管理、集中運維、集中審計等目標。在安全計算環境、區域邊界、安全通信網絡等各個方面實現多級分域安全防護[5]，使工控系統網絡安全措施得到切實有效的執行落實，持續審計大量的日志數據和網絡行為，及時發現網絡入侵事件與違規接入便攜設備等事件；保證系統可用性，確保數據能夠在意外發生后全面恢復正常運行。同時，也采取了相適應的安全防護基本策略如下：

1）儀表控制系統安全防護的管理措施及軟硬件的配置需要考慮的前提條件是不影響控制系統正常運行，在此基礎上要兼顧數據和網絡的安全性、可用性和可維護性；同時，與控制系統進行兼容性測試與驗證，確保使用過程不會產生沖突。控制網絡通信采用加密方式，同時還需開展完整性檢查，保證通信數據的安全私密，防止異常數據包攻擊。

2）對工控系統采用工業防火墻將控制系統與數據服務層進行隔離。對于第三方應用系統采用MODBUS TCP/IP通訊協議接入過程控制層交換機的設備和系統，都加裝工業防火墻。控制系統本身配置具備經過控制系統測試確認的進程和服務雙重防護的白名單策略軟件。

3）支持用戶口令的復雜度檢查，禁用空口令、弱口令；具備賬戶確認、權限變更、操作等操作行為日志功能；具備工程組態、歷史趨勢、歷史報警、操作日志等備份功能。

4）控制系統需全面開展病毒查殺，同時建立控制系統病毒感染應急預案，定期演練。儀表控制系統被病毒感染時，應第一時間中斷與數采網連接，防止事件擴大；禁止第三方對運行中的儀表控制系統進行滲透測試和攻擊測試。

5 結束語

大型煉化企業在搭建網絡安全防護體系時，應充分考慮行業生產特點和網絡結構的復雜情況，特別要考慮到煉化裝置長周期安穩運行的重要性，要從安全、環保兩個方面入手，厘清工控系統網絡架構和防護要點，設計與之相適應的網絡安全防護方案，輔之以專業管控基本策略，構建安全可靠的煉化企業工控系統網絡安全防護體系，全面提升工控系統的網絡安全防衛能力，從而保障煉化裝置安穩運行。