摘要：介紹了石化行業(yè)工業(yè)控制系統(tǒng)信息安全的現(xiàn)狀及面臨的信息安全問題。基于縱深綜合防御理念，結(jié)合某石化企業(yè)工控系統(tǒng)的現(xiàn)狀及特點，提出了一種工控信息安全解決方案，并對方案的實施過程進(jìn)行了詳細(xì)論述。實際運行效果表明：該方案能夠保障工控系統(tǒng)的信息安全，同時為工控系統(tǒng)信息安全問題的研究提供了思路，對其他企業(yè)工控信息安全建設(shè)具有一定的參考和指導(dǎo)意義。

關(guān)鍵詞：工業(yè)控制系統(tǒng) 信息安全 縱深綜合防御

隨著工業(yè)控制系統(tǒng)在能源開采、石油化工、鋼鐵冶煉等關(guān)鍵領(lǐng)域廣泛應(yīng)用，工業(yè)控制系統(tǒng)已成為中國關(guān)鍵基礎(chǔ)設(shè)置的重要組成部分。近年來，伴隨著國家工業(yè)化、信息化的“兩化”融合，現(xiàn)代工業(yè)控制系統(tǒng)廣泛采用通用網(wǎng)絡(luò)設(shè)備和IT設(shè)施，并且以各種方式接入互聯(lián)網(wǎng)，從而打破了這些系統(tǒng)原有的封閉性和專用性。由于工業(yè)控制系統(tǒng)在初期建設(shè)時更多考慮的是各自系統(tǒng)的可用性,并未考慮系統(tǒng)之間互聯(lián)互通的安全風(fēng)險和防護(hù)建設(shè)，因而病毒、木馬等各種安全威脅向工控領(lǐng)域迅速擴(kuò)散[1]。

針對工業(yè)控制系統(tǒng)信息安全風(fēng)險日益加劇的情況，國家工信部先后發(fā)布《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等系列文件，指導(dǎo)企業(yè)優(yōu)化工控安全管理與技術(shù)防護(hù)手段。對于如何應(yīng)對工控系統(tǒng)信息安全問題，各企業(yè)也開始進(jìn)行探索嘗試[2-4]。2017年4月，某石化企業(yè)利用檢修時機(jī)，結(jié)合自身特點，因地制宜，制訂了安全防御措施對焦化分廠區(qū)工控系統(tǒng)進(jìn)行了信息安全防護(hù)試點應(yīng)用。

1 工控系統(tǒng)信息安全現(xiàn)狀

1.1 工業(yè)控制系統(tǒng)定義與典型結(jié)構(gòu)

工業(yè)控制系統(tǒng)由各種自動化控制組件以及對實時數(shù)據(jù)進(jìn)行采集、監(jiān)測的過程控制組件共同構(gòu)成，主要用于確保工業(yè)基礎(chǔ)設(shè)施自動化運行、過程控制與監(jiān)控。其核心組件包括數(shù)據(jù)采集及監(jiān)控系統(tǒng)(SCADA)、分散控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠(yuǎn)程終端(RTU)、智能電子設(shè)備(IED)以及確保各組件通信的接口技術(shù)。

廣義上典型的工業(yè)控制系統(tǒng)如圖1所示，主要由過程級、操作級、管理級三部分組成。

1) 過程級。位于工控系統(tǒng)最底層，主要由過程控制站、I/O單元和現(xiàn)場儀表組成，是系統(tǒng)控制功能的主要實施部分。

2) 操作級。是連接上、下兩層網(wǎng)絡(luò)的橋梁和紐帶，主要由操作員站、工程師站、數(shù)據(jù)站等組成，實現(xiàn)系統(tǒng)操作與組態(tài)。該操作級一方面根據(jù)上層生產(chǎn)指令控制和調(diào)度底層的現(xiàn)場控制設(shè)備，另一方面對工業(yè)現(xiàn)場的生產(chǎn)情況進(jìn)行實時監(jiān)測和數(shù)據(jù)統(tǒng)計，為上層調(diào)控提供信息反饋。

3) 管理級。主要是指工廠管理系統(tǒng)(MIS)具有傳統(tǒng)IT網(wǎng)絡(luò)的屬性，用以執(zhí)行郵件收發(fā)、網(wǎng)頁瀏覽、企業(yè)資源計劃(ERP)和制造執(zhí)行系統(tǒng)(MES)等功能。

1.2 工業(yè)控制系統(tǒng)信息安全概述

近年來，網(wǎng)絡(luò)信息技術(shù)被廣泛應(yīng)用于工業(yè)控制系統(tǒng)，如DCS，PLC，PCS，SCADA等，它們采用現(xiàn)場總線技術(shù)、OPC等技術(shù)，使工業(yè)設(shè)備接口更為簡單方便，但也打破工控系統(tǒng)與外界的隔離，導(dǎo)致工業(yè)控制系統(tǒng)的安全性越來越弱[5]。就近幾年頻發(fā)的系統(tǒng)安全問題來看，主要包括信息泄露、病毒入侵等，直接影響著企業(yè)生產(chǎn)以及人身和設(shè)備安全[6]。讓人印象最為深刻的是2010年伊朗爆發(fā)的“超級工廠病毒(Stuxnet蠕蟲)”，該病毒利用微軟系統(tǒng)漏洞攻擊Siemens DCS，使伊朗損失巨大，伊朗核計劃也因此遭受重挫。如何對工控系統(tǒng)進(jìn)行必要和可行的安全加固、防范高級持續(xù)威脅(APT)、保護(hù)國家關(guān)鍵基礎(chǔ)設(shè)施已成為當(dāng)前工業(yè)領(lǐng)域亟待探究和解決的重要問題[7-8]。

2 工業(yè)控制系統(tǒng)的信息安全問題

2.1 石化行業(yè)工控系統(tǒng)普遍存在的信息安全問題

1) 網(wǎng)絡(luò)節(jié)點間無有效隔離。過程控制網(wǎng)與管理網(wǎng)的OPC數(shù)據(jù)采集站連接處，過程控制網(wǎng)與先進(jìn)控制系統(tǒng)(APC)連接處，操作員站之間的連接處，無訪問控制措施和入侵防范措施。一旦某個節(jié)點出現(xiàn)問題，會迅速通過交換機(jī)互聯(lián)擴(kuò)展至其他節(jié)點，蔓延至整個網(wǎng)絡(luò)。

2) 通信協(xié)議漏洞。OPC Server多采用Windows平臺，投產(chǎn)后一般不更新補丁。OPC Server和Buffer機(jī)之間的通信采用的是DCOM技術(shù)，其通信端口在1024～65535內(nèi)不固定，常規(guī)IT類防火墻在這個層面難以有效隔離。另外，OPC Server 端和多個OPC Client端使用相同用戶名和口令。OPC Client端對Server端具有數(shù)據(jù)讀取、修改等全部的訪問權(quán)限，不滿足最小授權(quán)原則。

3) 工程師站無身份認(rèn)證和訪問控制。工程師站對操作站、DCS控制器的組態(tài)行為一般無身份認(rèn)證和訪問控制，并且擁有最高操作權(quán)限，可以任意修改控制邏輯和流程。主機(jī)中存儲的文件一般未加密，容易造成核心數(shù)據(jù)丟失。非法的工程師站成為工控安全的重大隱患。

4) Windows平臺漏洞，主機(jī)防護(hù)不足。工程師站、操作員站多基于Windows平臺，如NT4.0，2000，XP，Win7，Server2003等。由于操作系統(tǒng)補丁和殺毒軟件對控制系統(tǒng)穩(wěn)定性可能造成影響，即使安裝殺毒軟件也會面臨病毒庫過期等問題，所以一般不安裝殺毒軟件和更新系統(tǒng)補丁。并且，多數(shù)企業(yè)無移動存儲介質(zhì)管理、操作站軟件運行權(quán)限管理，這種情況下控制系統(tǒng)安全性極其脆弱，容易感染病毒。

5) APC自身無防護(hù)措施，具有病毒感染的高風(fēng)險。APC一般運行調(diào)試周期較長，且該期間APC需要頻繁與外界進(jìn)行數(shù)據(jù)交換，感染病毒的風(fēng)險較大。一旦 APC受到病毒感染，會對其控制系統(tǒng)安全造成極大威脅。

2.2 某石化企業(yè)焦化分廠區(qū)原工控系統(tǒng)信息安全狀況

該企業(yè)焦化分廠區(qū)目前有焦化、加氫、制氫3套生產(chǎn)裝置，3套工控系統(tǒng)。其中，焦化加氫DCS采用浙江中控ECS700，制氫DCS采用Honeywell PKS R201，緊急停車系統(tǒng)(ESD)采用Siemens S7-400。所有操作員站、工程師站均采用Windows平臺，無殺毒軟件；4臺工程師站兼做現(xiàn)場OPC服務(wù)器。對于前述信息安全問題，除5)外，其余均存在。網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

3 工控信息安全解決方案

3.1 當(dāng)前普遍的解決方案

目前普遍認(rèn)可的工控安全防御體系是由邊界系統(tǒng)、防御系統(tǒng)、防危系統(tǒng)等三部分組成的縱深綜合防御體系。邊界系統(tǒng)，是指結(jié)合工控系統(tǒng)性能特點，利用工控防火墻、工控網(wǎng)閘、工控網(wǎng)關(guān)等安全隔離設(shè)備，在工控系統(tǒng)的邊界上構(gòu)筑安全防線。防御系統(tǒng)，包括入侵檢測系統(tǒng)、入侵誘捕系統(tǒng)和安全態(tài)勢感知等安全部件，用以檢測和抵御入侵工控系統(tǒng)的攻擊行為[9-10]。防危系統(tǒng)是保證即使攻擊行為已經(jīng)突破了前面兩道防線，侵入到工控系統(tǒng)的內(nèi)部，工控系統(tǒng)仍可以維持自身的物理安全，不至于導(dǎo)致嚴(yán)重的人身傷亡和重大財產(chǎn)損失事故。

3.2 某石化企業(yè)采用的解決方案

基于縱深綜合防御理念，結(jié)合自身工控信息安全的現(xiàn)狀及特點，該石化企業(yè)分廠區(qū)采用了“縱深防護(hù)，實時監(jiān)測，在線備份”的三重安全機(jī)制，網(wǎng)絡(luò)結(jié)構(gòu)如圖3所示。

3.2.1網(wǎng)絡(luò)分區(qū)隔離

由圖3可知，交換機(jī)H3C 3100根據(jù)IP地址進(jìn)行VLAN劃分配置，對連接各個端口的OPC Server進(jìn)行網(wǎng)絡(luò)隔離，相互之間不允許通信訪問。另外，將過程控制網(wǎng)的普通型交換機(jī)全部更換為安全交換機(jī)SUP3000，并對SUP3000做VLAN劃分配置和訪問控制列表ACL (access control list)配置。通過訪問控制策略允許特定設(shè)備訪問、限制網(wǎng)絡(luò)流量、指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等保障網(wǎng)絡(luò)性能。

3.2.2入侵檢測防御

在交換機(jī)H3C 3100處部署入侵檢測系統(tǒng)IDS(intrusion detection systems)，并連接1臺IDS管理站，IDS采用DPtechIPS2000。為不影響現(xiàn)有網(wǎng)絡(luò)狀況及運行，對H3C 3100v2核心交換機(jī)進(jìn)行端口鏡像配置，通過鏡像端口接入IPS 2000，實時檢測網(wǎng)絡(luò)數(shù)據(jù)流量。同時，在網(wǎng)段上偵聽、采集網(wǎng)絡(luò)數(shù)據(jù)，使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源，及時檢測網(wǎng)絡(luò)中出現(xiàn)的異常數(shù)據(jù)、非法入侵，并根據(jù)預(yù)定義策略實時報警，同時對網(wǎng)絡(luò)中所有活動進(jìn)行行為審計與內(nèi)容審計，生成完整記錄，便于事件追溯。

3.2.3邊界隔離防護(hù)

在每臺OPC服務(wù)器與企業(yè)信息網(wǎng)交換機(jī)之間部署TofinoEX工控防火墻進(jìn)行邊界隔離防護(hù)。Tofino EX工控防火墻支持OPC，Modbus-TCP，SCnet等應(yīng)用協(xié)議的深度包檢測，防火墻上配置策略只允許OPC協(xié)議通過，其他全部禁止，阻斷來自外部的安全威脅，保護(hù)控制系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全以及OPC服務(wù)器與PI實時數(shù)據(jù)庫之間的通信安全。

3.2.4工業(yè)主機(jī)防護(hù)

過程控制網(wǎng)內(nèi)所有主機(jī)包括工程師站、操作員站、OPC服務(wù)器等全部安裝“工控安全衛(wèi)士”軟件VxDefender。通過白名單技術(shù)手段實現(xiàn)進(jìn)程管理、網(wǎng)絡(luò)管理、USB管理、安全事件管理等，實時監(jiān)控工控主機(jī)的進(jìn)程狀態(tài)、網(wǎng)絡(luò)端口狀態(tài)、USB 端口狀態(tài)，實現(xiàn)對各主機(jī)的全面安全防護(hù)。根據(jù)白名單的配置，工控安全衛(wèi)士自動禁止非法進(jìn)程運行，禁止非法 USB設(shè)備的接入，從而切斷病毒和木馬的傳播與破壞路徑，同時也阻斷了數(shù)據(jù)泄密。另外，探測到非法進(jìn)程、非法網(wǎng)絡(luò)端口、非法USB設(shè)備時，報警提醒，產(chǎn)生安全事件日志，方便問題排查，事故溯源。

3.2.5實時在線備份

為防御工業(yè)數(shù)據(jù)容災(zāi)，部署1臺ABR備份服務(wù)器，并安裝Acronis Backup組件，通過對各臺工程師站分別制訂備份策略，實現(xiàn)其關(guān)鍵數(shù)據(jù)自動在線備份，確保即使發(fā)生故障，也可快速恢復(fù)系統(tǒng)，保證生產(chǎn)的連續(xù)性。其中，磁盤級備份可在出現(xiàn)嚴(yán)重數(shù)據(jù)損壞或硬件故障時恢復(fù)整個系統(tǒng)。當(dāng)設(shè)定僅保護(hù)特定數(shù)據(jù)時(例如，當(dāng)前項目)，可進(jìn)行文件級備份。文件級備份不足以進(jìn)行操作系統(tǒng)恢復(fù)，要在恢復(fù)操作系統(tǒng)的同時恢復(fù)所有設(shè)置和應(yīng)用程序，必須執(zhí)行磁盤級備份。

另外，工控信息安全從來都不是孤立的，在進(jìn)行技術(shù)防御的同時，還必須從管理入手建立起一套有針對性的工控安全管理體系，杜絕安全隱患。

4 結(jié)束語

方案實施半年來，工控系統(tǒng)運行穩(wěn)定。實際運行效果表明：該方案能夠保障工控系統(tǒng)的信息安全，同時為工控系統(tǒng)信息安全問題的研究提供了思路，對其他企業(yè)工控信息安全建設(shè)具有一定的參考和指導(dǎo)意義。

作者：

付相松，王維濤

(中國化工集團(tuán)公司 山東昌邑石化有限公司)

來源：自控中心站