★ 白彥茹 北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司

摘要：化工行業(yè)是國民經(jīng)濟中不可或缺的重要組成部分。化工工業(yè)控制系統(tǒng)作為國家關(guān)鍵信息基礎(chǔ)設(shè)施，對穩(wěn)定性和安全性要求很高。本文對化工工控系統(tǒng)面臨的網(wǎng)絡(luò)安全風(fēng)險進行了分析，提出了基于安全風(fēng)險動態(tài)管控理念的安全建設(shè)思路，并對化工工控系統(tǒng)構(gòu)建縱深安全防御體系，以及其中的安全技術(shù)應(yīng)用進行了探討。

關(guān)鍵詞：化工；安全基線；關(guān)鍵信息基礎(chǔ)設(shè)施；工業(yè)信息安全體系

1 引言

隨著化工企業(yè)數(shù)字化轉(zhuǎn)型的持續(xù)推進，化工工控系統(tǒng)呈現(xiàn)開放互聯(lián)的發(fā)展趨勢，與此同時也面臨更多的安全威脅。由于化工生產(chǎn)過程存在諸多易燃易爆的高危環(huán)節(jié)，一旦發(fā)生故障不僅會造成巨大的經(jīng)濟損失和安全沖擊，還可能造成人員傷亡，因此需重點加強化工工控系統(tǒng)信息安全建設(shè)工作，針對化工業(yè)務(wù)流程特征和安全風(fēng)險構(gòu)建縱深安全防護體系，進一步保障國家關(guān)鍵信息基礎(chǔ)設(shè)施安全。

2 網(wǎng)絡(luò)安全風(fēng)險分析

化工行業(yè)屬于典型的流程型行業(yè)，各生產(chǎn)環(huán)節(jié)關(guān)聯(lián)性較強。為滿足生產(chǎn)控制過程及時、穩(wěn)定、可靠等業(yè)務(wù)需求，化工企業(yè)通常采取調(diào)度中心集控、現(xiàn)場操作站分控以及現(xiàn)場控制設(shè)備程控相結(jié)合的控制模式，應(yīng)用分散型控制系統(tǒng)（DCS）、聯(lián)鎖保護系統(tǒng)（SIS）、生產(chǎn)環(huán)境監(jiān)測系統(tǒng)（GDS）等控制系統(tǒng)，生產(chǎn)過程控制技術(shù)較為成熟。但是我國化工行業(yè)控制網(wǎng)絡(luò)安全體系建設(shè)起步較晚，業(yè)內(nèi)技術(shù)人員網(wǎng)絡(luò)安全意識淡薄，存在較多安全威脅和風(fēng)險。

2.1 網(wǎng)絡(luò)架構(gòu)安全風(fēng)險

典型化工工控系統(tǒng)架構(gòu)[1]參考IEC62264-1功能層次模型，如圖1所示，可劃分為0~4共五個層級。

圖1 典型化工工控系統(tǒng)架構(gòu)

目前化工工控系統(tǒng)整體網(wǎng)絡(luò)架構(gòu)在設(shè)計之初并未充分考慮網(wǎng)絡(luò)安全，網(wǎng)絡(luò)中各區(qū)域之間沒有明顯的邊界，不同控制區(qū)域間的設(shè)備和網(wǎng)絡(luò)存在互聯(lián)互通現(xiàn)象。可能存在以下風(fēng)險：

（1）調(diào)度中心被越權(quán)訪問，導(dǎo)致調(diào)度中心數(shù)據(jù)被惡意刪除或篡改，嚴重影響調(diào)度中心決策。

（2）現(xiàn)場操作站被越權(quán)訪問或其它誤操作等行為，造成監(jiān)控數(shù)據(jù)被竊取、濫用甚至損壞，導(dǎo)致重要工藝參數(shù)或重要指令被篡改，嚴重影響生產(chǎn)控制系統(tǒng)，甚至導(dǎo)致整個控制過程異常或停滯。

（3）調(diào)度中心服務(wù)器遭受來自辦公網(wǎng)的病毒、木馬等攻擊，造成調(diào)度中心操作員站及現(xiàn)場工程師站被入侵，導(dǎo)致現(xiàn)場控制單元（即DCS、PLC）遭到破壞，影響現(xiàn)場控制設(shè)備的正常運行。

2.2 工業(yè)漏洞安全風(fēng)險

化工工控系統(tǒng)大多采用國外品牌的控制系統(tǒng)（例如Honeywell、Emerson、Yokogawa、Siemens等），在控制單元或工業(yè)應(yīng)用軟件中可能存在木馬后門等安全漏洞，為控制系統(tǒng)的穩(wěn)定運行埋下安全隱患。針對這些漏洞的攻擊手段也是多種多樣的，基于漏洞的網(wǎng)絡(luò)攻擊同樣會引發(fā)較多安全問題。典型攻擊手段如下：

（1）利用應(yīng)用軟件對用戶身份的鑒別缺失發(fā)起攻擊。

（2）利用控制系統(tǒng)的網(wǎng)絡(luò)協(xié)議漏洞發(fā)起攻擊。

（3）利用提供給第三方設(shè)備廠商的遠程維護通道發(fā)起攻擊。

（4）利用傳統(tǒng)安全設(shè)備無法鑒別工業(yè)協(xié)議的缺陷發(fā)起攻擊。

2.3 病毒感染安全風(fēng)險

考慮到化工工控系統(tǒng)運行的穩(wěn)定性，通常工業(yè)主機很少進行操作系統(tǒng)和應(yīng)用軟件的補丁更新[2]，也很少安裝殺毒軟件，更不會及時更新殺毒軟件的病毒庫。化工企業(yè)大多缺少對外設(shè)、進程的管控措施，病毒或木馬程序可能通過USB外設(shè)接口、文件傳輸?shù)确绞綆牍I(yè)主機中，對主機造成破壞或通過感染工業(yè)主機對PLC等控制單元發(fā)起攻擊，導(dǎo)致控制系統(tǒng)故障或造成經(jīng)濟損失。

2.4 未授權(quán)訪問安全風(fēng)險

化工工控系統(tǒng)內(nèi)各網(wǎng)絡(luò)層級之間大多沒有采用有效的區(qū)域隔離管控手段，面對工業(yè)領(lǐng)域中的攻擊，如通過調(diào)度中心或其他合法源地址發(fā)起的異常操作行為，無法進行有效的阻斷或報警，從而導(dǎo)致安全事故的發(fā)生。此外，化工工控系統(tǒng)各系統(tǒng)間的訪問控制策略存在空白，未對不同安全域之間設(shè)備和數(shù)據(jù)的非授權(quán)訪問行為進行禁止，可能造成惡意代碼的入侵，或者內(nèi)外部非法人員或非法組織對控制系統(tǒng)的攻擊和破壞。

2.5 運維管理安全風(fēng)險

化工工控系統(tǒng)現(xiàn)場站點數(shù)量較多，地理位置分散，但是在安全監(jiān)控及維護過程中缺少統(tǒng)一的安全集中管理手段，造成運維管理難度增大，降低了整體效率和實用性，且未設(shè)置完整有效的安全策略與管理流程，應(yīng)急響應(yīng)機制不完善，在管理層面存在較多安全隱患。

3 安全體系建設(shè)思路

化工工控系統(tǒng)作為國家關(guān)鍵信息基礎(chǔ)設(shè)施，其生產(chǎn)運營過程是一個復(fù)雜的過程，其中不僅有設(shè)備、網(wǎng)絡(luò)的因素，還包括生產(chǎn)流程、業(yè)務(wù)保障等因素。面對化工行業(yè)諸多的網(wǎng)絡(luò)安全風(fēng)險，僅依靠訪問控制、安全審計、入侵檢測、主機白名單等單點防御技術(shù)手段無法應(yīng)對復(fù)雜多變的網(wǎng)絡(luò)安全形勢。

化工工控系統(tǒng)安全體系建設(shè)需遵循《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》[3]《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》[4]《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》[5]等國家相關(guān)法規(guī)要求，從保障業(yè)務(wù)系統(tǒng)可用性、完整性和保密性角度出發(fā)，深入調(diào)研業(yè)務(wù)系統(tǒng)流程和資產(chǎn)狀況，切實分析網(wǎng)絡(luò)安全風(fēng)險，貼合化工行業(yè)業(yè)務(wù)特征構(gòu)建安全基線，基于安全風(fēng)險動態(tài)管控建設(shè)思路為化工工控系統(tǒng)構(gòu)建動態(tài)、縱深的工業(yè)信息安全防御體系，如圖2所示。

圖2 化工工控系統(tǒng)安全體系建設(shè)思路

4 縱深安全防御體系建設(shè)

4.1 安全防護原則

本文以增強化工工控系統(tǒng)安全防護能力、抵御外部威脅、消除內(nèi)部隱患為建設(shè)目標開展防護體系建設(shè)，并遵循以下安全防護原則：

（1）分層分域防護原則

根據(jù)化工工控系統(tǒng)業(yè)務(wù)流程合理劃分網(wǎng)絡(luò)層級和安全域，旨在切割風(fēng)險，即任意一點遭受攻擊或網(wǎng)絡(luò)風(fēng)暴不會對其它生產(chǎn)過程產(chǎn)生影響，同時方便管理策略的執(zhí)行。

（2）以關(guān)鍵業(yè)務(wù)為核心的整體防控

化工工控系統(tǒng)安全保護應(yīng)以保護關(guān)鍵業(yè)務(wù)為目標，對業(yè)務(wù)所涉及的一個或多個網(wǎng)絡(luò)和信息系統(tǒng)進行體系化安全設(shè)計，構(gòu)建整體安全防控體系。

（3）以風(fēng)險管理為導(dǎo)向的動態(tài)防護

對化工工控系統(tǒng)所面臨的安全威脅態(tài)勢進行持續(xù)監(jiān)測，并根據(jù)風(fēng)險監(jiān)測分析結(jié)果調(diào)整安全控制措施，形成動態(tài)的安全防護機制，及時有效地防范安全風(fēng)險。

（4）以信息共享為基礎(chǔ)的協(xié)同聯(lián)防

加強與化工企業(yè)、研究機構(gòu)、網(wǎng)絡(luò)安全服務(wù)機構(gòu)及業(yè)界專家之間的溝通與合作，構(gòu)建信息共享、協(xié)同聯(lián)動的共同防護機制，提升化工工控系統(tǒng)應(yīng)對大規(guī)模網(wǎng)絡(luò)攻擊的能力。

4.2 安全防護體系框架

本文從風(fēng)險識別、風(fēng)險防御、風(fēng)險檢測、風(fēng)險分析和響應(yīng)處置等維度開展化工工控系統(tǒng)縱深安全防御體系建設(shè)。體系框架如圖3所示。

圖3 化工工控系統(tǒng)縱深安全防御體系框架

4.3 風(fēng)險識別能力建設(shè)

風(fēng)險識別能力建設(shè)包括化工工控系統(tǒng)資產(chǎn)識別、脆弱性識別、威脅識別、安全策略識別等內(nèi)容，是開展風(fēng)險防御、風(fēng)險檢測、風(fēng)險分析、響應(yīng)處置等活動的基礎(chǔ)。

化工工控系統(tǒng)風(fēng)險識別通常采用人工分析與專業(yè)檢測工具相結(jié)合的方式進行，對系統(tǒng)中的資產(chǎn)、脆弱性、威脅、策略等進行識別，清晰定義各資產(chǎn)的安全風(fēng)險。例如采用專業(yè)的工控漏洞檢測工具，對化工工控網(wǎng)絡(luò)進行全面的漏洞檢測，發(fā)現(xiàn)安全漏洞和脆弱性，檢測關(guān)鍵業(yè)務(wù)系統(tǒng)和重要設(shè)備存在的安全風(fēng)險；采用基線核查工具和人工核查方式識別化工工控系統(tǒng)采用的安全技術(shù)防護策略及安全配置信息等內(nèi)容中的安全隱患。

4.4 風(fēng)險防御能力建設(shè)

風(fēng)險防御即采用邊界隔離、訪問控制、惡意代碼防范、主機管控等一切可能的措施來保護化工工控系統(tǒng)網(wǎng)絡(luò)安全。

化工工控系統(tǒng)風(fēng)險防御能力建設(shè)應(yīng)基于業(yè)務(wù)中存在的安全風(fēng)險及脆弱性，結(jié)合業(yè)務(wù)流程建立安全基線，采用以“白名單”為主要防護措施，以“黑名單”為輔助驗證措施的技術(shù)手段，從不同的安全防護點入手降低化工工控網(wǎng)絡(luò)系統(tǒng)完整性及可用性被破壞的可能性。

在訪問控制方面，應(yīng)基于工業(yè)協(xié)議深度解析技術(shù)并結(jié)合白名單機制，對化工工控系統(tǒng)中的訪問內(nèi)容進行細粒度控制，防范非授權(quán)訪問行為；在主機管控層面，應(yīng)安裝基于“白名單”的主機安全防護軟件，以最小化原則配置相應(yīng)的安全策略，實現(xiàn)對化工工控系統(tǒng)主機終端的服務(wù)、進程和外設(shè)接口的安全管控，阻止惡意程序、病毒木馬以及與系統(tǒng)運行無關(guān)的應(yīng)用程序的運行。

4.5 風(fēng)險檢測能力建設(shè)

風(fēng)險檢測可以了解和評估化工工控系統(tǒng)的安全狀態(tài)，為后續(xù)進行安全防護策略優(yōu)化和安全事件響應(yīng)提供依據(jù)，從而有效阻止網(wǎng)絡(luò)攻擊。

化工工控系統(tǒng)風(fēng)險檢測能力建設(shè)涵蓋設(shè)備狀態(tài)檢測、數(shù)據(jù)變化率檢測、異常流量檢測、外來入侵檢測等層面，通過部署適用于工控環(huán)境的安全檢測類設(shè)備實現(xiàn)對以上內(nèi)容的檢測，基于安全基線實時監(jiān)測、識別網(wǎng)絡(luò)安全中的灰色行為，獲取各個節(jié)點的安全數(shù)據(jù)和異常數(shù)據(jù)，作為風(fēng)險分析和響應(yīng)處置的基礎(chǔ)數(shù)據(jù)來源，從工業(yè)信息安全本質(zhì)出發(fā)解決安全問題。

4.6 風(fēng)險分析能力建設(shè)

風(fēng)險分析目標旨在對化工工控網(wǎng)絡(luò)中的異常行為、安全事件、未知威脅等信息進行多維度統(tǒng)計與分析，從而及時發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險隱患并進行威脅溯源。

化工工控系統(tǒng)在業(yè)務(wù)應(yīng)用流程和應(yīng)用方式方面與傳統(tǒng)IT網(wǎng)絡(luò)相比存在較大差異，傳統(tǒng)的基于五元組和協(xié)議分析的技術(shù)手段不適用于化工工控系統(tǒng)安全風(fēng)險分析。基于五元組的分析手段存在漏報和誤報的可能，無法鑒別基于正常操作流程的異常違規(guī)行為；協(xié)議分析只能將此類行為對應(yīng)的零散數(shù)據(jù)報文截獲出來，生成一條條的事件信息，而無法對這些事件信息進行關(guān)聯(lián)分析，無法將其轉(zhuǎn)化為有意義的事件告警信息。

因此化工工控系統(tǒng)風(fēng)險分析能力構(gòu)建首先需要找出存在業(yè)務(wù)流程中的用戶訪問行為、操作行為等不同行為的規(guī)律和特征，從業(yè)務(wù)角度配置安全基線，作為評判異常事件的參考依據(jù)；其次需要構(gòu)建安全態(tài)勢分析中心，采集化工工控系統(tǒng)中的安全監(jiān)測數(shù)據(jù)，利用大數(shù)據(jù)手段對所有監(jiān)測信息進行整合分析，發(fā)現(xiàn)針對業(yè)務(wù)系統(tǒng)的違規(guī)行為，真正發(fā)現(xiàn)安全事件并進行告警；最后依據(jù)風(fēng)險分析結(jié)果下發(fā)策略至安全防護設(shè)備、安全審計設(shè)備以及應(yīng)急響應(yīng)團隊執(zhí)行安全策略的落地，形成基于關(guān)聯(lián)分析技術(shù)手段的縱向安全防護體系。

4.7 響應(yīng)處置能力建設(shè)

響應(yīng)處置是化工工控系統(tǒng)安全防御體系中重要的一個環(huán)節(jié)，通過對安全事件的及時響應(yīng)和處置恢復(fù)，阻止網(wǎng)絡(luò)攻擊破壞并降低經(jīng)濟損失，恢復(fù)化工工控系統(tǒng)安全狀態(tài)和丟失的數(shù)據(jù)信息。

化工工控系統(tǒng)可從安全事件應(yīng)急響應(yīng)、系統(tǒng)安全加固、安全策略優(yōu)化、系統(tǒng)脆弱性修復(fù)等方面開展響應(yīng)處置能力建設(shè)。

（1）安全事件應(yīng)急響應(yīng)

建設(shè)覆蓋化工工控網(wǎng)絡(luò)的應(yīng)急響應(yīng)服務(wù)支撐體系，對基礎(chǔ)通信網(wǎng)絡(luò)、重點應(yīng)用、核心業(yè)務(wù)系統(tǒng)等進行實時的安全態(tài)勢分析和應(yīng)急監(jiān)控，在遇到安全風(fēng)險時及時發(fā)出預(yù)警，采取應(yīng)急處置措施，保障化工業(yè)務(wù)系統(tǒng)穩(wěn)定可靠運行。

（2）系統(tǒng)安全加固

依據(jù)化工工控系統(tǒng)安全風(fēng)險監(jiān)測和分析結(jié)果，識別系統(tǒng)中可能被攻擊的路徑，采取增加安全防護設(shè)備等方式對系統(tǒng)進行合理的安全加固。

（3）安全策略優(yōu)化

針對化工工控系統(tǒng)自身脆弱性和安全風(fēng)險對安全配置信息作出調(diào)整，優(yōu)化并更新安全策略，提高化工工控系統(tǒng)健壯性。

（4）系統(tǒng)脆弱性修復(fù)

通過工控漏洞掃描、安全基線核查等方式準確定位化工工控系統(tǒng)中存在的脆弱點和潛在威脅，根據(jù)風(fēng)險分析結(jié)果給出漏洞修復(fù)建議和預(yù)防措施，以便及時采取安全措施進行脆弱性修復(fù)，提升化工工控系統(tǒng)抗攻擊能力。

5 安全防護價值

（1）提升化工工控網(wǎng)絡(luò)抗攻擊能力

建立多維度安全防御能力，使化工工控系統(tǒng)網(wǎng)絡(luò)能夠有效防護內(nèi)部和外部網(wǎng)絡(luò)惡意代碼、病毒木馬、ATP等攻擊，將安全風(fēng)險降低到可控范圍內(nèi)，減少安全事件的發(fā)生，保障化工工控系統(tǒng)高效、穩(wěn)定運行，減少因為安全事件帶來的經(jīng)濟損失。

（2）實現(xiàn)化工生產(chǎn)控制環(huán)境實時安全監(jiān)測

應(yīng)用基于安全基線的監(jiān)測技術(shù)對化工工控網(wǎng)絡(luò)中的異常流量和異常行為進行監(jiān)測、對策略外的協(xié)議進行報警、對外來訪問流量進行回溯，以便對已發(fā)生的安全事件進行追蹤溯源，并分析判斷安全事件的起因，為事件應(yīng)急處置和事件處理提供依據(jù)。

（3）構(gòu)建化工工控系統(tǒng)脆弱性檢查評估能力

應(yīng)用脆弱性檢測評估工具，實現(xiàn)化工工控系統(tǒng)的安全漏洞和脆弱性檢查，對現(xiàn)有控制系統(tǒng)和新增設(shè)備進行脆弱性檢測，構(gòu)建脆弱性檢查評估能力，對化工工控系統(tǒng)的安全性進行管控。

（4）增強化工工控網(wǎng)絡(luò)安全管理能力

通過化工工控網(wǎng)絡(luò)安全防護體系的建設(shè)，將生產(chǎn)控制網(wǎng)絡(luò)進行安全域劃分，方便企業(yè)以安全域為最小管理單元進行安全策略制定、安全檢查等安全管理，增強化工工控系統(tǒng)的信息安全管理能力。

（5）構(gòu)建化工工控網(wǎng)絡(luò)安全風(fēng)險動態(tài)防御能力為化工工控網(wǎng)絡(luò)構(gòu)建了集成風(fēng)險識別、防御、檢測、響應(yīng)、處置能力的閉環(huán)安全體系，實現(xiàn)了對網(wǎng)絡(luò)安全風(fēng)險的動態(tài)安全管控，有效保障了化工工控系統(tǒng)完整性及可用性。

6 結(jié)語

化工行業(yè)工業(yè)信息安全體系建設(shè)應(yīng)以提升化工工控系統(tǒng)安全防護水平，保障生產(chǎn)業(yè)務(wù)穩(wěn)定運行為核心目標，基于安全風(fēng)險動態(tài)管控的安全建設(shè)思路構(gòu)建可持續(xù)優(yōu)化的縱深安全防御體系，實現(xiàn)網(wǎng)絡(luò)安全風(fēng)險的持續(xù)監(jiān)測和動態(tài)防護能力、網(wǎng)絡(luò)安全事件的響應(yīng)恢復(fù)能力以及網(wǎng)絡(luò)安全威脅抵抗能力的持續(xù)優(yōu)化與提升，從工業(yè)信息安全的本質(zhì)出發(fā)，切實保障國家關(guān)鍵信息基礎(chǔ)設(shè)施安全運營。

作者簡介

白彥茹（1983-），女，河北人，中級工程師，學(xué)士，現(xiàn)就職于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司，主要研究方向為工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)安全相關(guān)技術(shù)和標準。

參考文獻：

[1] 許冬濤, 李桂蘭. 煤化工行業(yè)工業(yè)控制系統(tǒng)安全防護技術(shù)規(guī)范探索[J]. 現(xiàn)代信息科技, 2020, 12 : 136 - 139.

[2] 張曉明, 王麗宏, 何躍鷹, 何世平. 工業(yè)控制系統(tǒng)信息安全風(fēng)險分析及漏洞檢測[J]. 物聯(lián)網(wǎng)學(xué)報, 2017, 1 : 34 - 39.

[3] GB/T 22239-2019. 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求[S].

[4] 中華人民共和國國務(wù)院. 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例[Z]. 2021.

[5] GB/T 39204-2022. 信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求[S].

《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊（第九輯）》