大型炼化企业工控系统安全防御浅析

朱 健

（中国石油化工股份有限公司 扬子石化公司，南京 210048）

0 引言

随着两化融合在炼化行业中的加速推广，工业控制系统中越来越多地采用信息化运维技术、自动化智能技术，与此同时也引入了新的安全问题，工业控制系统面临越来越多的安全威胁和挑战。炼化行业都是关乎国计民生的生产大企业，网络信息安全防护[1]意义重大。针对炼化企业的网络攻击不是普通的“网络黑客”，炼化企业如果被攻击，或者被恶意控制企业的工控系统，可能带来机密外泄，甚至造成重大事故。国内外近年来有多起被恶意控制炼化生产过程从而引发事故的案例，轻者造成控制系统操作站全面“黑屏”、数据中断，严重的导致化工生产装置停车，对工业生产和社会秩序造成恶劣影响。

1 炼化行业工业控制系统信息安全现状

根据炼化行业现状，炼化工控系统网络可以划分为多个层级：Level 1 基础控制层、Level 2 生产操作层、Level 3 操作管理层、Level 3.5 安全数据交换层和Level 4 调度管理层，如图1 所示。

图1 炼化工控系统网络架构Fig.1 Network architecture of refining and chemical control system

炼化企业的DCS 工控系统网络结构一般是封闭且孤立的，生产流程也只在企业内部或者子公司建立。随着“两化融合”在工控领域的推广实施，对底层控制系统数据的上传、转换等各自需求大幅增加，使工控系统由原本封闭式、孤岛式转变为开放式、联通式。这样一来，使得生产环境也转变为基于信息化的网络自动化形式。随着智能化给炼化企业带来便利和飞跃的同时，网络安全风险也随之而来。

1.1 基线配置风险

炼化企业的操作站基本都采用Microsoft Windows操作系统，但由于工控网络不允许与外网通信，这些系统就无法第一时间获得补丁更新和漏洞修复，基本上处于一旦投用就不再进行升级的状况，甚至一些操作站还使用着官方早已停止支持的Windows XP 操作系统，工控系统操作站的脆弱性显而易见，并且为了迎合工程人员对操作站维护方便等需求，这些操作站的防火墙、出入站规则等基本安全防护策略基本处于关闭状态，开机口令、组态口令等一般为空口令、默认口令或者简单口令，非常容易被他人轻易进入系统。更有甚者，别有用心或不法份子可以通过利用这些安全短板入侵控制系统，肆意窃取企业信息和破坏。

1.2 工业协议漏洞

为了赶上信息化的进程，工业通信协议在改造的过程中对安全性的设计很薄弱，只要精心构造一个数据包或者对数据包进行回放，便可以控制某些设备的启停、参数等，譬如modbus tcp、S7、profinet、DNP3 等工业通信协议只是对串行数据包帧进行简单封装，而没有加密和认证等安全机制，因此很容易被修改、截取和重放。

1.3 系统应用风险

工业控制系统结构复杂[2]，一般包括组态控制软件、流程控制软件、历史趋势服务器、数据库服务、操作站、GPS 系统、OPC 网关、数据分析系统、组态软件等系统应用，这些应用往往来源不一且难以形成统一安全配置规范，如日志配置、数据备份、质量体系、身份认证等，因此存在水平越权、权限泄露、数据丢失、被恶意篡改等安全风险。

1.4 系统设备风险

在系统设备的配置和选用方面，现场终端、PLC 控制器、DCS 等系统设备部分采用国外产品，并未实现自主可控，在没有安全防护能力的现场控制网络中可能会被不法分子利用，导致设备被恶意控制、篡改，甚至发生数据外泄事件。

1.5 便携设备安全

操作站等工控设备的移动介质接口是非常容易被利用的，比如使用经过精心设置的U 盘就可以使操作站感染并传播病毒，进而对控制系统进行控制、监听和信息窃取，导致系统不可用、不受控。

1.6 管控风险

炼化企业对工控系统虽然都有相关的专业管控制度，但由于缺乏网络安全管理控制的经验，且网络安全风险随着网络技术的发展处于动态变化过程，这就导致企业内部没有特别专业的网络安全小组，网络安全意识和防护手段存在不足，甚至一些系统长期带“毒”运行，存在重大的安全隐患。

2 炼化行业工控安全解决方案

通过对炼化企业工控系统安全风险现状的分析，明确了工控系统本身存在的脆弱性及所面临的威胁。基于此，亟需对工控系统做安全加固。

某大型炼化企业基于工业互联网的安全防护体系，提出工控系统安全解决方案如图2。方案中部署了工业操作系统supOS，各个DCS 系统操作网连接到supOS 网络，而supOS 不能主动访问各个DCS，在各个DCS 与supOS网络之间部署了单向防火墙做网络转发访问控制。在此方案中，需要在每个DCS 的操作网中部署supOS 采集器节点，该采集器从OPC 服务器中获取相应的DCS 状态数据，主动上传到supOS 系统的采集服务器中，经由supOS 采集器服务器送至supOS 系统中。

图3 安全防护设计Fig.3 Safety protection design

考虑到每个DCS 系统中都有大量的实时数据，而本项目只需要采集部分相关的状态实时数据，为了减轻系统负荷，supOS 采集器提供了基于web 的组态能力。组态人员可以使用浏览器对每个supOS 采集器进行配置，以决定采集哪些数据。

3 炼化行业工业互联网平台安全防护架构设计

supOS 工业操作系统的工业信息安全防护体系架构设计遵循《国家网络安全法》和《工业控制系统信息安全防护指南》的相关规定和要求，整个安全防护体系涵盖多个层次，包括数据安全、物理安全、网络安全、应用安全等。在工业信息安全一体化防护基础上，采用系统的本质安全、设备过程安全、安全操作管理、内建安全与纵深防御、产品全生命周期管理、应急安全管理与危险源、环境监测预警等防御技术，提供安全可控的分层多点安全防护策略，支持深度防御安全，将安全防护能力分布在工厂的各个阶段中，从“规划设计”到“生产护航”再到“危机应对”进行全方位安全布防，避免安全事故发生，减少损失。

工业信息安全防护体系架构要素如下：

保密性：确保信息的采集、传递、存储过程中不会被泄露。

完整性：确保信息不会被非授权用户非法篡改，并保证授权用户只能合理的使用数据，保证数据内外的一致性。

可用性：确保授权用户可靠且及时地访问信息和资源。

可靠性：保证平台在正常条件下功能的正确性。

健壮性：确保系统中受到攻击或破坏后，具有可自行恢复的能力。

私密性：确保平台内用户隔离能力，保证平台内用户的隐私安全。

3.1 DCS内建安全

针对计算环境、边界防护、通信网络、组织体系、管控体系、技术体系等多个方面，集中建立面向多级保护的统一安管审计平台，统一安全运维平台管理各级别的安全管理机制的实施。对于安全计算环境，通过对操作系统的策略优化、基线加固来实现访问控制，以增强主机终端的安全性，形成基本防护层；然后，通过管理控制手段和技术控制手段，对终端行为进行管控，以实现有效的访问控制和权限管理，保证工业控制系统的保密性和完整性。通过平台API 使应用的主体和客体、保护区域的主体和客体相对应，使访问控制策略的控制达到统一。

对于安全区域边界，通过对出站信息和入站信息进行统一的安全核查，对区域内部的流量进行审计，以阻断区域违反安全策略的信息与流量的传播路径。

对于安全通信网络，在传输过程中对通信数据包进行加密，以确保数据包的完整性与保密性不会受损，做到数据传输安全。

在安全组织体系方面，建立为确保控制系统安全利益的组织，为整个工业控制系统的可用性、完整性、机密性负责，包括信息安全领导机构、安全工作小组、应急处理小组、协调小组等。

在安全管控体系方面，规范化安全策略，定义组织的安全范围，讨论需要保护的资产以及安全解决方案需要提供的必要保护程度，概括为保护控制系统安全而应采用的安全目标和做法，定义用于职责分配、定义角色、指定审计要求、概括实施过程、确定合规性要求和可接受风险，确保建立完整的管理控制体系。

在安全技术体系方面，采用成熟的产品应用、先进的安全设备。在物理层、网络层、主机层、应用层、数据层，进行产品、服务的部署和实施，降低各层面安全风险。

3.2 网络传输安全

由于supOS 工业操作系统需要采集流程控制生产中的信息，必须要读取工业控制系统的相关数据，但是工业控制系统的可用性是必须放在第一位保证的，于是工业控制系统必须加强网络安全以保证系统的可用性，通过采用硬件防护墙和数据传输控制方式，解除客户对控制系统安全的担忧。

3.3 系统应用安全

通过软硬件设置保证了数据采集传输过程中的网络安全，但是由于系统采集统计的数据为企业生产的核心数据，其生产运行信息需要通过统一授权的方法进行权限管理，所有访问行为，只有通过权限管理和用户授权并由具有管理系统建立角色并分配权限后，才能继续执行，提供完成的授权、鉴权机制。通过用户授权法[3]的方式进行权限管理，所有要访问信息系统的用户经审核批准后，由系统管理建立并进行相应的权限分配。只有授权的用户才能访问相应的信息，才可以进行相应的操作。

3.4 系统平台安全

平台提供了基于高级身份认证和访问控制的多个维度保密技术，以保证整个平台和信息的完整性和机密性[4]，确保平台在防篡改、身份认证等方面具有高强度技术控制能力，使信息在传输、存储、使用、销毁等环节都保持安全、准确。系统采用高可靠的技术体系，若系统发生意外情况，可以使系统能够在较短时间内恢复，并提供完整的数据备份与异地备份策略、日志跟踪审计策略等，以记录系统的所有操作。

4 方案应用

针对国内大型炼化企业需求，采用本项目提出的工业控制系统安全防护解决方案，形成面向多个安全分级保护区域的“统一架构、统一管控”一体化管理平台，使各个业务体系的工控网络安全实现集中管理、集中运维、集中审计等目标。在安全计算环境、区域边界、安全通信网络等各个方面实现多级分域安全防护[5]，使工控系统网络安全措施得到切实有效的执行落实，持续审计大量的日志数据和网络行为，及时发现网络入侵事件与违规接入便携设备等事件；保证系统可用性，确保数据能够在意外发生后全面恢复正常运行。同时，也采取了相适应的安全防护基本策略如下：

1）仪表控制系统安全防护的管理措施及软硬件的配置需要考虑的前提条件是不影响控制系统正常运行，在此基础上要兼顾数据和网络的安全性、可用性和可维护性；同时，与控制系统进行兼容性测试与验证，确保使用过程不会产生冲突。控制网络通信采用加密方式，同时还需开展完整性检查，保证通信数据的安全私密，防止异常数据包攻击。

2）对工控系统采用工业防火墙将控制系统与数据服务层进行隔离。对于第三方应用系统采用MODBUS TCP/IP通讯协议接入过程控制层交换机的设备和系统，都加装工业防火墙。控制系统本身配置具备经过控制系统测试确认的进程和服务双重防护的白名单策略软件。

3）支持用户口令的复杂度检查，禁用空口令、弱口令；具备账户确认、权限变更、操作等操作行为日志功能；具备工程组态、历史趋势、历史报警、操作日志等备份功能。

4）控制系统需全面开展病毒查杀，同时建立控制系统病毒感染应急预案，定期演练。仪表控制系统被病毒感染时，应第一时间中断与数采网连接，防止事件扩大；禁止第三方对运行中的仪表控制系统进行渗透测试和攻击测试。

5 结束语

大型炼化企业在搭建网络安全防护体系时，应充分考虑行业生产特点和网络结构的复杂情况，特别要考虑到炼化装置长周期安稳运行的重要性，要从安全、环保两个方面入手，厘清工控系统网络架构和防护要点，设计与之相适应的网络安全防护方案，辅之以专业管控基本策略，构建安全可靠的炼化企业工控系统网络安全防护体系，全面提升工控系统的网络安全防卫能力，从而保障炼化装置安稳运行。