化工生产控制系统信息安全防护
—以蒲城清洁能源化工有限责任公司为例

＊任志勇

（蒲城清洁能源化工有限责任公司 陕西 715500）

1.研究背景

化工生产控制系统是由各种自动化控制组件和实时数据进行采集、监测的过程控制组件共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统，是企业进行相关工作的根本保证。

本文将以蒲城清洁能源化工有限责任公司为研究对象，进行化工生产控制系统信息安全防护的研究，以达到为企业消除信息安全隐患的目的。蒲城清洁能源化工有限责任公司成立于2008年11月，是由陕西煤业化工集团公司和中国长江三峡集团公司共同出资设立的传统煤化工和石油化工深度融合的现代煤化工企业。生产控制系统是蒲城清洁能源化工有限责任公司正常运行的关键系统之一，而其信息安全则直接关系到了企业未来的发展，只有从根本上对生产控制系统信息安全做好防护工作，才能够更好的推动企业的发展。

2.蒲洁能化生产控制系统基础网络现状

生产控制系统基础网络是整个蒲洁能化的核心网络之一、重中之重，承载着安全、稳定、高效运营生产的最核心的生产控制系统。整个生产控制系统包括：DCS管制系统26套共300多台，全部采用霍尼韦尔公司产品，覆盖50000多节点。服务站PC采用DELL公司产品，交换机采用CISCO公司产品。SIS系统12套，全部采用霍尼韦尔公司产品，覆盖1-20000多节点。火灾报警系统采用霍尼韦尔公司产品，覆盖10000多点。TIC PKS系统9套，全部采用霍尼韦尔公司产品。PLC设备260多套、采用霍尼韦尔公司产品。GDS可燃气体报警系统共3套覆盖1100多点。另有工业视频监控、服务器、摄像头等。

生产控制系统基础网络机房位于生产区中央控制到一楼工控机房内，采用工业防磁机柜及工业温控系统等建设而成，除厂房外围及生产区域部署有工业用安防监控系统，中央控制室出入口、各机房及各楼层通道均没有部署安防监控系统。

目前生产控制系统基础网络机房机柜有一台网闸设备，但未启用。网安监测部门部署的统一安全接入网关为安监、消防、应急管理、能源管理、环保、网安等监管部门单向提供DCS控制系统相关数据。DCS控制系统部署有工业防病毒模块，病毒规则库更新升级周期约2-3年，通常是大修期才更新升级，病毒库服务端更新升级后下发各终端节点进行更新升级。

生产区网络内部署有防USB移动介质接入系统，可随时进行策略修改。SIS系统带有防病毒模块、黑白名单功能。GDS可燃气体报警系统带有黑白名单功能模块。工控视频监控系统带有防火墙模块。工程师站PC部署有McAfee防病毒软件，并连接防USB移动介质接入系统。生产区域网络CICSO交换机配置有ACL防止网络风暴及防止外联策略，办公网及生活网与生产网之间没有连接。生产网汇聚交换机、接入交换机、核心交换机、DCS控制系统、上位机全采用主备冗余配置，少量不重要系统没有冗余。

3.蒲洁能化生产控制系统信息安全防护存在的问题

(1)网络基础薄弱

从蒲洁能化基础网络调研情况来看，其生产控制系统信息安全防护状况薄弱，既不能保证现有网络通信畅通与冗余安全，更无法支撑公司未来信息化数据化管理的需求。

①网络带宽资源严重不足

蒲洁能化的网络带宽为百兆接入，千兆上联，主干网为万兆，与现阶段主流网络千兆到桌面，万兆上行的网络方案存在两个时代的差距。随着公司智慧工厂、ERP等信息化系统的不断建设，视频监控系统的不断增加，蒲洁能化各系统之间、各部门之间的大文件传输需求越来越多。对于网络的带宽的需求将会是刚性的，现有的网络带宽资源明显已经不能满足公司日常生产运营管理和未来“智慧工厂”的建设需求。

②网络设备落后

蒲洁能化在使用的汇聚交换机华为S9306系列、核心交换机华为S9312系列产品均已停产，由此导致设备的维修备换件、技术支持都将无以为继，而汇聚交换机、核心交换机是公司IP网络中的核心组网设备，任意一个设备出现了问题都将给公司带来不可预测、不可评估的风险。只有配备高系统容量、高传输速率、多容错机制、低延时的高性能网络设备，才能实现网络资源优化配置。

(2)网络风险突出

从蒲洁能化内部网络结构划分和当前安全防护状况来看，存在以下安全风险：

①整体缺少安全防护措施

蒲洁能化内部网络安全防护手段主要是在互联网与核心交换机网络边界之间部署防火墙系统，生产区与互联网网络边界之间部署统一安全网关，生活区与行政区之间未部署任何安全设备，防火墙设备已经年久未更新升级且无技术支持，生活区与行政区缺少必要的安全防护，生产区与互联网之间缺少重要的安全防护措施。部分安全设备未启用或者启用但未正确配置。例如关键区域网络未做隔离及部署安全设备，可导致非安全域向安全域出现风险渗透及其它未知风险因素出现的无法估量的财产损失及政治风险。安全设备系统及特征库未及时更新升级，甚至出现设备系统带病工作。可导致受到病毒木马攻击、服务器及电脑受到勒索病毒、挖矿程序及其它严重风险，造成无法估量的财产损失及政治风险。办公楼各楼层接入交换机机架间无门锁，交换机没做任何安全策略。存在人为破坏断网及非法接入风险。业务OA系统、官方网站等缺乏相应的安全防护措施，未部署相应抗DDOS攻击、防篡改、漏洞风险评估及实时监测手段等。

②安全策略及安全管理的缺失

追求可用性而牺牲安全，是能源化工生产控制系统普遍存在的问题，缺乏完整有效的安全策略与管理流程也带来了一系列的安全问题。如缺乏相应安全意识培训及相关安全应急演练，这可导致日常工作及生产过程中出现潜在风险及在突发事件时不能合理有序消除风险，进而造成无法估量的财产损失及政治风险。例如IP资源管理规划不合理、不明确，这可导致设备或系统冲突及非法接入出现影响生产，造成无法估量的财产损失及政治风险。资产管理流程不规范，资产明细不明确、资产状况不知晓，资产安全状况更无从掌握。技术支持及维护人员严重不足、无法充分保障办公、生产、生活网络基本运行及安全，移动存储介质（包括笔记本电脑、U盘等设备）随意接入使用，以及防火墙几乎为空的全策略，不完善的信息安全管理制度等，都会引发信息安全事件。

③化工生产控制系统自身存在漏洞、防护措施薄弱

化工生产控制系统在设计时主要考虑的是可用性和稳定性的问题，未充分考虑化工生产控制系统安全性的需求，导致化工生产控制系统安全性能较差，无信息安全防护机制，漏洞较多，国家信息安全漏洞共享平台（CNVD）、中国国家信息安全漏洞库（CNNVD）中已经发布了知名控制器厂家的PLC存在大量高危漏洞，国外厂商在获悉系统存在漏洞时，往往会延迟一代产品进行漏洞修复，漏洞修补周期较长，这就给化工生产控制系统运行带来了极大的安全隐患，作为化工生产控制系统其中的一种类型，同样面临着上述问题。

④操作系统漏洞

行政区的部分服务器及生产区的部分工程师站/操作员站/HMI采用的是Windows操作系统，Windows操作系统存在大量的安全漏洞，为保障系统运行的稳定性，一线系统操作及使用人员往往不会对Windows系统进行漏洞修补，这样就使采用Windows操作系统的工程师站/操作员站/HMI面临很大的安全威胁，之前曾爆出的Microsoft Windows SMB v3拒绝服务漏洞（CNNVD-201702-204），受此漏洞影响的操作系统版本有Microsoft Windows Server2012、Microsoft Windows 10、Microsoft Windows Server 2016，其中Server版在能源化工系统有大量的应用，部署在Server版操作系统上的众多数据库软件都可能遭受利用此漏洞发起的攻击行为，给正产生产活动造成影响。

⑤应用软件漏洞

由于能源化工生产控制系统的控制软件多为定制化产品，在软件开发阶段缺少安全设计，导致这类软件存在大量的安全漏洞。应用软件面向能源化工生产控制系统应用时，需要使用专用的能源化工生产控制系统网络协议及端口，常规的信息安全产品很难对其进行安全防护，特别是国外的主流控制系统厂商的软件已经暴出大量安全漏洞，如西门子的SIMATIC WinCC数据采集与监控系统存在信息泄露的安全漏洞（CNNVD-201607-905），远程攻击者可通过发送特制的数据包利用该漏洞读取任意WinCC工作站文件，这样一些工作站的重要文件就可能会被窃取或篡改，对系统的安全运行造成影响。

⑥杀毒软件兼容性问题

为了保证能源化工生产控制软件的可用性，许多工程师站/操作员站/HMI通常不会安装杀毒软件，即使安装了杀毒软件，也不会定期更新病毒库，并且在实际应用中，能源化工生产控制软件与杀毒软件不兼容的情况较多，杀毒软件在能源化工生产控制系统很难切实起到病毒防护的作用。

⑦多途径的威胁侵入

多种途径的威胁侵入是当前能源化工生产控制系统面临的主要安全问题，随意接入的USB移动存储介质、VPN远程维护通道，都可能将能源化工生产控制系统暴露在未知威胁面前。

基于以上安全性风险，还存在以下合规性风险：

⑧不满足陕煤司函〔2021〕29号《陕西煤业化工集团有限责任公司关于组织开展2021年网络安全监督自查及整改工作的通知》

随着国家对关键信息基础设施信息安全建设的愈加重视，以及作为建党100周年庆祝活动、中华人民共和国第十四届运动会暨残特奥会和冬奥会网络安全保卫重点单位，各地公安部门及集团也逐步加强了对网络安全防护建设的检查工作，如果无法完成自查、自改等工作，将面临被通报、限期整改的风险。

⑨机房基础设施缺失

机房巡检为人工巡检，出现问题无法实时监控及告警、工作强度大、没有办法实现精细化运维管理，机房无温湿度采集、水浸采集，空调系统控制，对电源无检测，对温度无精准控制，无视频监控或存在损坏目前无法正常运行，机房的环境状态处于空白地带，支撑信息化系统的IT硬件绝大部分都部署在信息化机房中，机房的环境如温、湿度、漏水、火灾、非法人员进入等会对IT硬件造成不可控的风险，甚至影响信息化系统的正常运行。

⑩无人员实时管控措施

基于传统流程作业票流程，无法做到实时有力的监控。在没有经过正规流程前对非法进入作业区域，违规作业行为无法做到实时监控，实时告警的管控，在发生需要做作业区内人员统计的情况时没有可用、可信手段，无法做到实时准确的人员核实。

4.增强蒲洁能化生产控制系统信息安全防护的具体措施

(1)增强基础网络

基础网络是公司信息化、智能化和数字化发展的高速公路，是现代企业管理的坚实底座，只有公司的基础网络增强、壮大了，公司的各类信息化系统才能有坚强有力的底层支持平台，才能稳定、可靠的运行。根据整体的蒲洁能化基础网络的调研情况，需要做如下两个方面的增强：

①增强带宽资源

将现有的百兆接入千兆上联、主干网络万兆增强到千兆接入，万兆上联、主干网络4×40G。这样可以很好满足现有的公司生产自动化系统支撑网络、安防监控系统支撑网络、管理信息化系统支撑网络等三套独立网络的需求，又可以支撑未来公司“智慧工厂”信息化系统建设的需求。

②升级更新停产网络设备

将目前在公司基础网络中使用厂商已经停产的华为S9306/S9312的汇聚、核心交换机升级换代为华为的S12708/S12712产品，该产品是华为推出面向下一代园区网核心设计开发的敏捷交换机，采用全可编程架构，灵活快速满足业务需求，新业务6个月即可上线，具备内置大容量WLAN AC控制器实现有线无线业务的深度融合，突破无线AC的容量瓶颈、提供高性能的L2/L3交换服务，百万级硬件表项，满足园区10年演进的特点，可满足公司基础网络带宽增强的需求，同时解决了设备停产带来的不可预测、不可评估的风险。

③接入交换机、改造一级汇聚交换机

为满足蒲洁能化带宽资源提升的需求，实现千兆接入、万兆上联的网络带宽，将现有的S5700系列的交换机定义为接入交换机，新增S6730交换机作为一级汇聚交换机。

④IT网络资源综合管理

建设部署一套IT网络资源综合管理系统，对公司的IT网络资源设备进行统一、集中、实时管控，实现网络可视化、业务可视化、机房可视化，以对网络、服务器、智能硬件、机房环境智能监控。使公司IT网络资源运行、健康情况一目了然。

(2)建设基础网络安全

目前蒲洁能化整个网络只有在互联网边界部署了防火墙产品，主要设备已经停产并且无技术支持，其它几款安全产品也已经停产无技术支持或未启用。考虑到未来业务系统的的增多，各种类型数据互联互通以及在内网和互联网之间相互，建议进行整体网络安全体系更新建设。

网络安全的整体目标是通过应急风险处置、网络安全策略配置、主动诱捕防御、可持续威胁检测及溯源、系统防火墙、Web应用防火墙、入侵检测、漏洞风险评估、防病毒、零信任访问控制等技术，对各网络边界出入口的信息进行严格的控制，对网络中所有的资产进行梳理、检测、分析和风险评估。发现并报告系统中存在的隐患及漏洞，评估安全风险，修复建议措施，并且有效地防止非法攻击者攻击破坏和病毒木马扩散，实时监控整个网络的运行状况。

(3)完善机房基础设施

蒲洁能化机房设置较多且分散，普遍面临基础设施薄弱，安全管控措施缺失，协同联动性不强等问题，建议公司统筹规划机房管理，建立大信息中心运营模式，提升机房基础设施完善，建立机房环境监控系统。

(4)建设人员管控系统

化工能源企业在现场施工作业中，存在着人员流动大、活动区域限定松散、作业过程缺乏管控、现场状况乱、安全隐患难以察觉等问题，每年因生产事故造成人员伤亡事件屡见不鲜，给企业运营带来了极大的损失和负面影响。在本次调研过程中，我们发现蒲洁能化同样存在此类问题隐患，建议公司结合自身生产管理特征建立一套行之有效的人员管控系统，杜绝作业现场人员管控缺失可能带来的人员及生产安全风险。

5.结束语

本文通过对蒲城清洁能源化工有限责任公司的生产控制系统信息安全进行具体的研究调查分析，并根据实际情况提供了相关的防治措施，最大程度上保证了其生产控制系统信息安全防护的可靠性。化工生产控制系统信息安全防护对于企业甚至是整个社会来说都有着极其重要的影响，我们应当根据现有条件不断加强自身信息安全防护，以此来达到快速推动社会经济发展的目的。