大型石化控制系统替换升级过程中网络安全防护策略设计

王子洋，何 文

（1.中国石油化工股份有限公司茂名分公司，茂名525000；2.浙江中控技术股份有限公司，杭州310052）

《网络安全法》2017年正式出台，成为网络安全基础性法律。近年等保2.0 的发布则是网络安全的一次重大升级，对象范围扩大到云计算、移动互联、控制系统等方面，其中，控制系统的安全隐患一旦被利用必将造成巨大社会危害和损失[1]。石化是较早采用工控系统进行自动化生产的行业，存在大量使用年限已超过15年的旧有工控系统，这些旧系统在应用之初较多关注的是控制功能的实现，对网络信息安全关注度很少。在当前新型网络安全形势下，企业必须在对旧系统进行更换升级的时候考虑全面、有效的网络信息安全防护策略。

茂名石化乙烯装置原控制系统为国外品牌DCS 系统，运行超过15年以上，存在硬件老化、故障率高等安全隐患，迫切需要进行控制系统国产化替换升级工作，同时环氧乙烷等装置控制系统此次一并在CCR 内并网，规划中1 号乙烯等其他装置预计在2022年一并改造，全厂控制系统统一。借控制系统改造的契机，企业精心设计，同步完成了系统网络安全防护的改造工作，建立起系统网络的“纵深防御体系”，防止由于病毒感染、恶意攻击等造成非计划停车所带来的损失，从而构建“本质安全”的生产控制网。

1 旧有控制系统网络安全隐患

本次DCS 改造之初，各方对旧系统的网络架构和网络安全现状做了详细评估和分析，旧系统网络架构见图1。网络架构中各装置设有独立的机柜间，机柜间与操作间通过光缆连接，各个装置在控制上满足分区管理要求。

图1 旧有控制系统工控网络拓扑示意图Fig.1 Network topology of the old control system

通过对旧系统网络架构和安全防护手段评估，结合运行过程中网络安全事故分析，旧系统在网络安全上存在以下问题：

（1）网络边界模糊。各装置DCS 之间未进行安全分区，缺少相应二层网络到三层网络的防火墙。同时，部分装置在DCS 与APC 两个网络之间缺少防火墙的防护。

（2）缺少网络安全审计。不论是二层网络还是三层网络都没有设立安全监测与审计机制，不能及时了解网络状况。

（3）主机带“洞”运行。系统投产后，Windows 7经历过一次升级，其后操作系统极少升级，操作系统不断曝出的漏洞导致操作站暴露在风险中。

（4）缺少安全日志收集手段。在运行网络、安全设备多数是没有系统记录功能的自适应型设备，缺乏对日志的审计，不能通过可视化图形分析运行情况，无法第一时间感知系统威胁。

（5）缺少运维审计手段。DCS 的运维由企业自行维护，但涉及上层控制，如APC、RTO 等还是由供应商提供服务实施，由于涉及DCS 与APC、RTO 的互联，实施过程无法审计，易出现运维不可控等风险。

2 升级后控制系统网络安全策略

根据旧系统网络安全现状评估结果，结合近年来等保要求和网络安全技术发展，本次DCS 改造对网络安全方面做了提升：以建立纵深防御策略为主要思想，确保控制系统网络中即使某一点发生网络安全事故，也能保证控制系统正常运行，同时专业人员能够迅速分析、查询并及时处理问题，使工控网络安全防护系统切实做到稳定、高效、可靠[2]。主要措施包括：

（1）区域隔离。对系统横向分区，各区域网络间通信能够过滤隔离，使网络故障被控制在各自发生的区域内，而不会影响到其它区域。

（2）深度检查。对系统纵向分层，面向各应用层对特有的工业通讯协议进行深度检查，对存在缺陷的病毒库进行升级。

（3）管控通信。通过管理平台进行在线组态和测试，对通讯进行管控。

（4）数据审计。对系统网络运行日志、操作运行日志等信息进行集中收集、自动分析，及时发现各种违规行为以及病毒和黑客的攻击行为。

（5）威胁检查。能够快速准确地发现网络中存在的漏洞，能够对网络进行定期自我检查，及时发现漏洞。

（6）实时报警。网络中部署的所有安全产品都能由管理平台统一进行实时监控，任何非法访问，都可以在管理平台产生实时报警信息，故障问题在原始发生区域被迅速发现和解决。

根据上述需求，按照“一个中心”管理下的“三重防护”体系框架，构建安全机制和策略。“一个中心”指安全管理中心，能对网络中发生的各类安全事件进行识别、报警和分析。“三重防护”指采用加密及校验码等技术确保数据的完整性和保密性的安全网络通信防护，采取技术措施对网络行为进行分析以实现对网络攻击防御的安全区域边界防护，能够检测到对重点节点进行入侵的行为并在发生严重入侵事件时提供报警的安全计算环境防护。这个设计策略是装置进行控制系统网络安全改造的核心依据，能够完成从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变[3]。

3 控制系统网络改造方案及其安全防护

本次DCS 改造采用浙江中控技术股份有限公司的ECS-700 控制系统。该系统作为国产化控制系统的代表，已广泛应用于各类新建和改造大型乙烯联合装置，首先需要解决的关键问题是大规模网络构架时，既要实现各装置信息的互联互通以及集中监控管理，又要特别关注网络可用性，绝对不能因局部故障或网络因素使整个系统出现波动、故障甚至瘫痪的状态[4]。此外，旧系统改造升级的网络安全设计与新建项目存在较大的区别，需基于以下几个方面考虑：新系统与APC 的深度嵌合的控制功能重现和安全保护；新系统数据的分区保护应适应工艺操作和企业生产管理需要；新系统适应已有企业信息化系统，对外数据服务做到稳定和安全；旧系统存在的重大安全隐患，针对性补足和加强；已有网络资产的利旧以减少投资，保护用户资产价值等。

3.1 控制系统替换升级后的网络方案概述

为配合本次DCS 改造，茂名石化新建化工厂CCR，各生产装置将在CCR 内进行集中操作、监视及管理，控制站设置在相应装置的FAR 内，现场仪控信号通过电缆连接至FAR，CCR 和FAR 间的信号传输通过冗余光缆。升级后的系统网络架构如图2所示。

图2 控制系统改造升级后的网络拓扑示意图Fig.2 Network topology of the upgraded control system

整个项目网络层级清晰，L1 基础控制层、L2 监控层、L3 调度管理层以及专为数据服务的L2.5 的DMZ 区。其中将L1 及L2 层采用了按装置分LAN的方式进行组网设计，各LAN 映射对应装置自成一套相对独立的系统，具备独立的组态数据库。具体VLAN 划分情况如表1所示。

表1 详细分LAN 情况Tab.1 Detailed LAN situation

基于安全考虑，L3 层与L2 层之间设计了L2.5层的数据服务DMZ 区，其中配置OPC 服务器、AAS采集器，并在服务器的出口/入口均配置了防火墙，以确保所有L3 层的外部节点只能使用L2.5 层的映射数据，而不能直接访问L2 层数据。

3.2 “一个中心”及“三重防护”网络安全防护策略设计和实现

3.2.1 安全管理中心设计方案

DCS 具备日志和报警信息记录功能，但缺乏统一的管理和分析，发生事故后，无法判断是否是误操作还是攻击行为。本项目在L3 与L2 之间建立单独的安全管理区，并在安全管理区集中部署安全管控设备，设计方案见图3。

图3 安全管理区域示意图Fig.3 Schematic diagram of the safety management area

部署安管平台系统，对各装置系统网络设备运行状态、资源利用情况以及主要链路状态进行管理，对设备及链路异常进行报警。

部署日志审计系统，实现对各装置系统、网络设备的集中日志审计，并配合系统操作日志、报警记录，实现对系统全方位的资产、配置、日志管理和审计。

部署入侵检测& 流量审计系统，在L2、L3 的交换机以及安全管理区域防火墙交换机上以端口镜像方式接入到入侵检测系统、流量审计系统，通过该设备对工控网络进行全流量收集、并进行本地原数据分析。

部署控制系统备份服务器，定期针对DCS 工程师站进行组态数据备份及操作系统备份，帮助用户在发生应急情况下，可以快速地恢复生产运行能力。

部署补丁服务器，在离线环境中对重大操作系统安全漏洞及补丁进行严格的安全评估和测试验证，确保控制系统及时针对已知安全漏洞采取安全防护措施，最大程度地保护用户生产装置安全。

3.2.2 安全通信网络设计方案

根据功能以及安全需求的不同，安全通信网络方案将系统网络划分为不同的安全区域。项目中使用的控制系统结合大型乙烯联合装置的应用需求，设计了“操作域、控制域”的数据分区概念[5]，以匹配项目中的CCR 操作分区、FAR 的实际DCS 监控的物理分区的要求，具体的分域原则如表2所示。

表2 装置分域原则Tab.2 Division principle for the device

由于ECS-700 系统最大支持64 个控制域和64个操作域，为后续1 号乙烯联合装置的改造提供良好的扩展性。安全通信网络设计方案中还为项目提供完善的网络监控方案，通过部署全网诊断软件，对系统网络进行诊断监控和流量监控，并针对设备的故障节点发出报警。网络区域设计图如图4所示。

图4 网络区域设计图Fig.4 Design diagram of network area

3.2.3 安全区域边界设计方案

针对旧系统网络边界模糊的问题，本次改造对系统网络进行纵向分层、横向分区，防止危险在不同层次间和各区域内扩散，设计方案如图5所示。

图5 网络边界防护示意图Fig.5 Schematic diagram of the network border protection

在DMZ 区与非控制系统网络边界，即OPC 服务器、AAS 服务器出口部署富岛工业级防火墙，实现DMZ 区与非控制系统网络隔离。

在系统网络与DMZ 区边界，部署PALO ALTO工业级防火墙，实现控制系统网络与DMZ 区网络隔离。

在各装置边界，部署中控工业级防火墙，保护装置系统网络边界安全。

3.2.4 安全计算环境设计方案

原有DCS 只采用黑名单机制对已知病毒进行防护，缺乏对未知病毒抵御措施。本次改造针对DCS 的L1～L3 层次设计了不同的防病毒方案。防病毒服务器设置在L2.5 层，防病毒策略为L2.5 层及以上以黑名单技术为主，L1、L2 层平时运行的时候以白名单技术为主，但是停车检修的时候可用杀毒软件将所有主机进行杀毒。同时，在L1 层，控制系统的控制器内置网络防火墙和协议解析、接入设备论证，具有一定的防病毒能力，提高了该层次网络的安全性。

4 效果评价

根据项目网络安全测试的结果，相对改造前，网络安全防护方案做到了以下明显提升：

（1）系统安全措施落实到位。实现了对4 套装置系统网络安全状况实现集中监测，实时掌握网络遭受外部攻击和出现内部异常事件的总体情况，动态收集网络存在的漏洞和配置缺陷，及时制定相应措施。

（2）安全事件可实现精确定位。实现从海量的监测数据中准确发现已产生危害后果的安全事件，提高了前端监测手段和后台分析能力。

（3）在线管控和防护能力得以强化。系统安全数据采集措施的部署可发现系统网络通信、区域边界的风险隐患等问题，强化全局监管各装置系统网络安全的能力。

（4）网络行为得到监测审计。对系统环境中的网络攻击和异常行为进行监视和审计，及时发现、并对入侵渗透、违规操作过程进行记录，及时报警与应急处理。

（5）定向威胁攻击得到监测。依靠恶意代码检测引擎、黑名单控制库等检测机制构建的定向威胁攻击检测设备，针对监测到的某一特定安全事件，通过溯源其攻击源、攻击目标、攻击路径，对网内受影响的风险节点进行精确定位，锁定IP 和MAC 地址，协助需方对事件进行快速处理。

5 结语

通过对大型乙烯联合装置的旧系统网络安全问题进行研究分析，按照国家等保二级及行业相关标准规范，针对装置生产分区的特点及网络数据交互要求，提出了以“一个中心”管理下的“三重防护”体系为基础的网络安全等级保护技术体系，并据此开展替换后系统网络的各项防护技术设计和工程实施方案。随着网络安全技术体系在控制系统替换升级过程中成功同步实施，大型乙烯联合装置控制系统形成了一套全面的安全防护体系，防止由于病毒感染、恶意攻击等造成非计划停车所带来的损失，从而构建“本质安全”的生产控制网。同时，为后续项目的成功复制与推广奠定了坚实的基础，在石化、煤化工行业都具有很高的推广价值。