徐麗，許小林

(中國(guó)石油天然氣股份有限公司 廣東石化分公司，廣東 揭陽(yáng) 515221)

隨著智能制造新模式在石油化工行業(yè)的全面普及，企業(yè)對(duì)于網(wǎng)絡(luò)化、信息化、智能化的技術(shù)需求日益迫切。作為工業(yè)生產(chǎn)核心的工業(yè)控制系統(tǒng)，其應(yīng)用環(huán)境的開(kāi)放性問(wèn)題受到關(guān)注。相比于傳統(tǒng)工業(yè)物理環(huán)境封閉、專用的特點(diǎn)，應(yīng)用通用協(xié)議、通用硬件和軟件的工業(yè)控制系統(tǒng)，遭受了信息安全事件影響。傳統(tǒng)防護(hù)不足的工業(yè)控制系統(tǒng)在信息安全問(wèn)題上存在脆弱性，因此必須建立控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)方案。

隨著煉化行業(yè)工藝裝置規(guī)模不斷擴(kuò)大，工藝日趨復(fù)雜，且該行業(yè)具有易燃、易爆、高溫、高壓、易腐蝕等特殊性，作為重要的能源支柱型產(chǎn)業(yè)，其發(fā)展長(zhǎng)期以來(lái)受到關(guān)注。石油化工行業(yè)控制系統(tǒng)的安全性問(wèn)題符合典型工業(yè)控制系統(tǒng)安全特性。2019年開(kāi)始實(shí)施的GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(本文簡(jiǎn)稱“等保2.0”)在原有GB/T 22239—2008基礎(chǔ)上進(jìn)行了細(xì)化、分類和加強(qiáng)。等級(jí)保護(hù)的對(duì)象不再局限于傳統(tǒng)意義上的計(jì)算機(jī)信息系統(tǒng)，而是包含網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施、工業(yè)控制系統(tǒng)、大數(shù)據(jù)安全等在內(nèi)的網(wǎng)絡(luò)空間安全。因此，在“等保2.0”要求下，如何建立健全有效的工業(yè)控制安全體系將成為每一個(gè)企業(yè)都應(yīng)該思考的問(wèn)題。

正在建設(shè)的南方某大型煉化一體化項(xiàng)目，在建設(shè)階段提出了“供應(yīng)鏈協(xié)同、生產(chǎn)管控、安全環(huán)保、設(shè)備管理、能源管控、預(yù)知決策”的目標(biāo)，控制系統(tǒng)網(wǎng)絡(luò)安全同樣也成為該項(xiàng)目的必然選擇。結(jié)合項(xiàng)目規(guī)劃及應(yīng)用實(shí)踐，本文提出基于“等保2.0”“一個(gè)中心，三重防護(hù)”的縱深防護(hù)思想的網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)方案，從通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境等各個(gè)層級(jí)進(jìn)行重重防護(hù)，通過(guò)安全管理中心進(jìn)行監(jiān)控、調(diào)度和管理，構(gòu)建工業(yè)控制系統(tǒng)安全措施。

1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全需求分析

該項(xiàng)目具有控制系統(tǒng)網(wǎng)絡(luò)規(guī)模大、結(jié)構(gòu)復(fù)雜，系統(tǒng)設(shè)備互聯(lián)眾多的特點(diǎn)，且是國(guó)家“十三五”能源規(guī)劃戰(zhàn)略布局項(xiàng)目，同時(shí)也是國(guó)內(nèi)近年來(lái)投資建設(shè)規(guī)模最大的煉化一體化項(xiàng)目，對(duì)控制系統(tǒng)可靠性、系統(tǒng)性能、供應(yīng)商工程服務(wù)能力要求高。項(xiàng)目的自動(dòng)化供應(yīng)商(MAC)為浙江中控技術(shù)股份有限公司，提供包括：分散控制系統(tǒng)(DCS)、儀表設(shè)備管理系統(tǒng)(IAMS)、PID整定、先進(jìn)控制(APC)、儲(chǔ)運(yùn)自動(dòng)化、高級(jí)報(bào)警管理(ALMS)、操作員培訓(xùn)仿真系統(tǒng)(OTS)、在線分析儀維護(hù)和數(shù)據(jù)采集系統(tǒng)(AMADAS)等工業(yè)控制系統(tǒng)。上述系統(tǒng)還需要與安全儀表系統(tǒng)(SIS)、可燃?xì)怏w和有毒氣體檢測(cè)報(bào)警系統(tǒng)(GDS)、機(jī)組控制系統(tǒng)(CCS)、腐蝕監(jiān)測(cè)系統(tǒng)(CDS)、轉(zhuǎn)動(dòng)設(shè)備狀態(tài)監(jiān)測(cè)系統(tǒng)(MMS)等異構(gòu)系統(tǒng)實(shí)現(xiàn)通信。實(shí)時(shí)數(shù)據(jù)存儲(chǔ)于操作數(shù)據(jù)采集系統(tǒng)(CDP)，關(guān)鍵數(shù)據(jù)上傳至企業(yè)信息網(wǎng)。

面對(duì)如此復(fù)雜控制系統(tǒng)網(wǎng)絡(luò)安全，在技術(shù)和管理兩方面均需充分考慮和認(rèn)真分析，例如在技術(shù)方案中需考慮如下問(wèn)題：

1)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全監(jiān)控及網(wǎng)絡(luò)審計(jì)?？刂葡到y(tǒng)網(wǎng)絡(luò)是否有統(tǒng)一監(jiān)控及審計(jì)手段，工業(yè)控制系統(tǒng)應(yīng)以網(wǎng)絡(luò)流量監(jiān)測(cè)和審計(jì)作為手段構(gòu)建防線，及時(shí)感知到網(wǎng)絡(luò)異常狀況，并且監(jiān)管是否有網(wǎng)絡(luò)入侵、違規(guī)操作、誤操作等行為。

2)網(wǎng)絡(luò)邊界防護(hù)問(wèn)題。由于控制系統(tǒng)網(wǎng)絡(luò)規(guī)模巨大，以及與企業(yè)信息網(wǎng)逐漸融合的需求眾多，如果安全防護(hù)措施不到位，很容易出現(xiàn)網(wǎng)絡(luò)邊界模糊。

3)工業(yè)控制系統(tǒng)漏洞。工業(yè)控制系統(tǒng)中控制器、工業(yè)協(xié)議、操作站的操作系統(tǒng)、各類工業(yè)應(yīng)用軟件等均存在一定程度上的安全漏洞，例如一些企業(yè)使用的操作系統(tǒng)因?yàn)楣?yīng)商已停止更新服務(wù)引發(fā)的系統(tǒng)漏洞風(fēng)險(xiǎn)。

4)運(yùn)維機(jī)制是否合規(guī)。從運(yùn)維便捷和成本考慮，有些工控產(chǎn)品存在遠(yuǎn)程運(yùn)維端口甚至后門(mén)的狀況，例如大型煉化一體化項(xiàng)目中往往會(huì)由設(shè)備廠商集成各類小型PLC控制系統(tǒng)作為就地控制設(shè)備，這些不同品牌的異構(gòu)系統(tǒng)該如何監(jiān)管，如果缺少監(jiān)測(cè)和管理手段，一旦出現(xiàn)安全問(wèn)題甚至無(wú)法定位和追溯。

5)網(wǎng)絡(luò)安全應(yīng)急預(yù)案是否已建立。許多企業(yè)中還未制訂工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全應(yīng)急預(yù)案，尚未建立容災(zāi)或備份/還原機(jī)制，缺少對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)時(shí)間的應(yīng)急處理機(jī)制和分析機(jī)制，這些問(wèn)題均應(yīng)引起企業(yè)足夠的重視。

6)企業(yè)網(wǎng)絡(luò)安全管理制度是否健全。因移動(dòng)存儲(chǔ)介質(zhì)不規(guī)范使用，造成如木馬等惡意軟件攻擊或系統(tǒng)被挾持以及因管理缺失引起工藝、配方泄密等安全問(wèn)題，在一些企業(yè)時(shí)有發(fā)生。

企業(yè)人員對(duì)于生產(chǎn)安全意識(shí)日益強(qiáng)烈，但是對(duì)于網(wǎng)絡(luò)安全的認(rèn)識(shí)相對(duì)較為模糊甚至意識(shí)淡薄，往往認(rèn)為網(wǎng)絡(luò)安全不會(huì)造成生產(chǎn)事故而關(guān)注較少。有些人員可能認(rèn)為單純依靠防病毒技術(shù)或通過(guò)防火墻進(jìn)行隔離就可以實(shí)現(xiàn)安全防護(hù)。甚至有些企業(yè)缺失網(wǎng)絡(luò)安全管理制度，或職責(zé)不清晰，責(zé)任不明確，這些問(wèn)題均會(huì)引起安全隱患。因此在管理方面，增強(qiáng)人員安全意識(shí)比技術(shù)方案更為重要。

2 基于“等保2.0”構(gòu)建的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)

大型煉化一體化項(xiàng)目控制系統(tǒng)整體網(wǎng)絡(luò)安全框架應(yīng)以《網(wǎng)絡(luò)安全法》為背景，參照“等保2.0”的通用要求和工業(yè)控制系統(tǒng)技術(shù)特點(diǎn)，根據(jù)縱深防御的設(shè)計(jì)思想制定符合項(xiàng)目的網(wǎng)絡(luò)安全的防護(hù)方案。

以該項(xiàng)目為例，基于“等保2.0”要求，從工業(yè)控制系統(tǒng)的特點(diǎn)分析，以安全管理為中心，分別針對(duì)計(jì)算環(huán)境安全、區(qū)域邊界安全、通信網(wǎng)絡(luò)安全的安全合規(guī)進(jìn)行方案設(shè)計(jì)，建立信息安全整體保障體系，達(dá)到項(xiàng)目建設(shè)要求?？刂葡到y(tǒng)網(wǎng)絡(luò)安全“等保2.0”技術(shù)體系結(jié)構(gòu)如圖1所示。

圖1 控制系統(tǒng)網(wǎng)絡(luò)安全“等保2.0”技術(shù)體系結(jié)構(gòu)示意

2.1 安全通信網(wǎng)絡(luò)設(shè)計(jì)

安全的網(wǎng)絡(luò)架構(gòu)是實(shí)現(xiàn)系統(tǒng)網(wǎng)絡(luò)安全的基礎(chǔ)。在方案設(shè)計(jì)上，通過(guò)縱向分層和橫向分區(qū)實(shí)現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)分散與數(shù)據(jù)隔離，核心理念是根據(jù)不同區(qū)域的安全等級(jí)需求劃分不同的安全區(qū)域，不同安全區(qū)域?qū)崿F(xiàn)隔離和可控的訪問(wèn)。

依據(jù)SH/T 3092—2013《石油化工分散控制系統(tǒng)設(shè)計(jì)規(guī)范》的要求，依據(jù)分層、分區(qū)的設(shè)計(jì)原則，將控制系統(tǒng)網(wǎng)絡(luò)縱向劃分為基礎(chǔ)控制層、生產(chǎn)操作層、操作管理層、安全數(shù)據(jù)交換層和信息管理層，如圖2所示。根據(jù)項(xiàng)目實(shí)際需求，橫向分為煉油區(qū)、化工區(qū)及公用工程區(qū)，各區(qū)以裝置為單元?jiǎng)澐肿泳W(wǎng)。關(guān)鍵通信節(jié)點(diǎn)、計(jì)算節(jié)點(diǎn)等均采用冗余架構(gòu)設(shè)計(jì)，通信網(wǎng)關(guān)等均需取得計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可。通過(guò)安全分區(qū)(縱向分層、橫向分域)，劃分安全邊界，并采取“總分”VLAN隔離的措施，裝置間網(wǎng)絡(luò)安全隔離，防止故障擴(kuò)散。

圖2 某大型煉化項(xiàng)目控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)示意

2.2 區(qū)域邊界安全設(shè)計(jì)

在區(qū)域邊界防護(hù)結(jié)構(gòu)設(shè)計(jì)依據(jù)縱深防御的原則，如下：

1)對(duì)各DCS控制系統(tǒng)各區(qū)域邊界通過(guò)部署工業(yè)級(jí)防火墻，解決管理信息網(wǎng)與控制網(wǎng)不同安全域之間違規(guī)訪問(wèn)與邏輯隔離，起到邊界防護(hù)和分區(qū)隔離的作用，對(duì)通信協(xié)議深度解析，只允許自有通信協(xié)議的數(shù)據(jù)包通過(guò)，隔離異常節(jié)點(diǎn)和異常數(shù)據(jù)，防止病毒的入侵和蔓延。并根據(jù)傳輸數(shù)據(jù)的屬性不同，保證實(shí)時(shí)通信的確定性和實(shí)時(shí)性。

2)對(duì)于在控制網(wǎng)中連接與APC，ALMS等通信的OPC服務(wù)器，應(yīng)通過(guò)獨(dú)立配置的工業(yè)防火墻實(shí)時(shí)獲取OPC流量，進(jìn)行OPC深度包解析，動(dòng)態(tài)端口識(shí)別與跟蹤，實(shí)時(shí)監(jiān)控OPC通信。

3)在煉油區(qū)、化工區(qū)、公用工程區(qū)內(nèi)配置工控安全審計(jì)系統(tǒng)，實(shí)時(shí)檢測(cè)針對(duì)工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、非法設(shè)備接入以及蠕蟲(chóng)、病毒等惡意軟件的傳播并實(shí)時(shí)報(bào)警，同時(shí)詳實(shí)記錄一切網(wǎng)絡(luò)通信行為，包括指令級(jí)的工業(yè)控制協(xié)議通信記錄，為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅(jiān)實(shí)的基礎(chǔ)。

4)在煉油區(qū)、化工區(qū)、公用工程區(qū)生產(chǎn)網(wǎng)與信息網(wǎng)邊界均需部署工控安全隔離網(wǎng)閘，提供針對(duì)工業(yè)協(xié)議的指令級(jí)深度檢測(cè)，同時(shí)支持對(duì)拒絕服務(wù)攻擊/分布式拒絕服務(wù)攻擊(DOS/DDOS)、異常數(shù)據(jù)包攻擊以及掃描攻擊防護(hù)，并支持橋接、靜態(tài)路由和策略路由等，作為生產(chǎn)網(wǎng)整體匯聚出口。

2.3 計(jì)算環(huán)境安全設(shè)計(jì)

DCS控制系統(tǒng)包括控制層和管理層的各個(gè)節(jié)點(diǎn)設(shè)備?？刂普矩?fù)責(zé)控制單元的現(xiàn)場(chǎng)控制部件的集合，其中控制器是最后的安全防線，其重要性不言而喻。因此，控制器應(yīng)通過(guò)網(wǎng)絡(luò)安全測(cè)試。同時(shí)，考慮到內(nèi)部建設(shè)安全的要求，控制器首先應(yīng)具有自主知識(shí)產(chǎn)權(quán)，包括芯片內(nèi)核、操作系統(tǒng)、通信總線等，不應(yīng)采用開(kāi)源或通用技術(shù)以防止非法侵入或攻擊；其次需要廠家具備通信健壯性、協(xié)議安全性、冗余容錯(cuò)能力、自主可控性、代碼可靠性等關(guān)鍵技術(shù)。

在該項(xiàng)目中設(shè)置控制系統(tǒng)完整性管理平臺(tái)，設(shè)置獨(dú)立的應(yīng)用服務(wù)器。建立所有控制系統(tǒng)主要部件，如控制器、I/O模塊、工作站、服務(wù)器、路由器和交換機(jī)等通信設(shè)備、電源等關(guān)鍵部件準(zhǔn)確的部件清單以及備品備件管理清單等，通過(guò)配置信息收集和管理幫助企業(yè)更好地管理控制系統(tǒng)。其次，對(duì)DCS等控制系統(tǒng)數(shù)據(jù)定期自動(dòng)備份，保障數(shù)據(jù)的有效性和系統(tǒng)恢復(fù)的可靠性。保持完整的組態(tài)數(shù)據(jù)，如控制策略、I/O卡件、硬件、安裝軟件和用戶自定義數(shù)據(jù)等，一旦系統(tǒng)出現(xiàn)崩潰等嚴(yán)重問(wèn)題，可以幫助用戶快速恢復(fù)系統(tǒng)。平臺(tái)定期掃描所有資產(chǎn)以確定配置、控制策略，圖形文件和邏輯文件是否已修改，同時(shí)系統(tǒng)自動(dòng)生成控制邏輯圖，快速有效分析組態(tài)錯(cuò)誤、快速故障排除，通過(guò)自動(dòng)定位邏輯組態(tài)變更位置進(jìn)行自動(dòng)記錄，從而通過(guò)對(duì)比防范控制系統(tǒng)的潛在風(fēng)險(xiǎn)。建立工作流程，對(duì)操作系統(tǒng)和控制系統(tǒng)軟件等補(bǔ)丁進(jìn)行主動(dòng)管控，對(duì)發(fā)現(xiàn)的漏洞等進(jìn)行及時(shí)處理。

對(duì)于系統(tǒng)中重要的歷史數(shù)據(jù)服務(wù)器和工程師站等，應(yīng)單獨(dú)定期備份數(shù)據(jù)，考慮采用備份和恢復(fù)解決方案，進(jìn)行快速可靠的備份與恢復(fù)引擎與存儲(chǔ)管理，保護(hù)物理與虛擬環(huán)境的重要信息。在方案設(shè)計(jì)中，應(yīng)考慮系統(tǒng)可支持多種備份介質(zhì)，操作及界面簡(jiǎn)單，可視化等。

2.4 安全管理中心設(shè)計(jì)

作為網(wǎng)絡(luò)安全體系的核心，安全管理中心承擔(dān)系統(tǒng)管理、審計(jì)管理、安全管理、集中管控等作用。

在該項(xiàng)目中，在煉油區(qū)、化工區(qū)、公用工程區(qū)配置工控安全管理平臺(tái)，用于管理全廠工控安全設(shè)備，存儲(chǔ)審計(jì)日志、分析事件行為、統(tǒng)一配置設(shè)備參數(shù)等重要信息。平臺(tái)由硬件設(shè)備及內(nèi)置平臺(tái)軟件組成，可通過(guò)WEB客戶端訪問(wèn)，用于查閱數(shù)據(jù)或配置參數(shù)等。支持工業(yè)控制系統(tǒng)資產(chǎn)清單管理，可集中展示主機(jī)安全衛(wèi)士及防火墻狀態(tài)總覽，包括：日志走勢(shì)、數(shù)量統(tǒng)計(jì)、占用資源統(tǒng)計(jì)等信息，并可對(duì)工控安全產(chǎn)品的批量配置與管理，采集主機(jī)安全衛(wèi)士日志、防火墻日志、Windows日志等，并根據(jù)規(guī)則分析采集日志，生成事件報(bào)警。

同時(shí)，在每個(gè)區(qū)內(nèi)配置由中控技術(shù)提供的全網(wǎng)診斷VxNetSight軟件，實(shí)現(xiàn)大型項(xiàng)目中整體網(wǎng)絡(luò)設(shè)備集中管理和網(wǎng)絡(luò)狀態(tài)實(shí)時(shí)監(jiān)測(cè)等功能，實(shí)施冗余工控網(wǎng)絡(luò)控制系統(tǒng)節(jié)點(diǎn)和網(wǎng)絡(luò)設(shè)備的自動(dòng)發(fā)現(xiàn)、映射、狀態(tài)一體化監(jiān)視及網(wǎng)絡(luò)故障排除，智能監(jiān)控、分析控制網(wǎng)絡(luò)行為，及時(shí)檢測(cè)工業(yè)網(wǎng)絡(luò)中出現(xiàn)的工業(yè)攻擊、非法入侵、設(shè)備異常等情況，支持根據(jù)預(yù)定義策略實(shí)時(shí)報(bào)警等。

3 結(jié)束語(yǔ)

根據(jù)該項(xiàng)目建設(shè)需求，本文提出了基于“等保2.0”的網(wǎng)絡(luò)安全防護(hù)體系技術(shù)方案設(shè)計(jì)，為控制系統(tǒng)乃至全廠信息化系統(tǒng)提供底層最堅(jiān)實(shí)的網(wǎng)絡(luò)安全技術(shù)保障。

在未來(lái)項(xiàng)目投產(chǎn)建成進(jìn)入運(yùn)維階段后，還將會(huì)迎來(lái)更多的挑戰(zhàn)，為此還需要同步落實(shí)以安全管理制度，安全管理機(jī)構(gòu)及人員，安全建設(shè)管理，安全運(yùn)維管理等建立安全管理體系，導(dǎo)入貫穿安全運(yùn)維全生命周期管理方法、標(biāo)準(zhǔn)/規(guī)范、管理模式、支撐工具、管理對(duì)象以及基于流程管理的安全運(yùn)維體系，尤其是企業(yè)管理人員及一線作業(yè)人員的網(wǎng)絡(luò)安全意識(shí)的形成將會(huì)是同樣重要的工作。