后处理厂工控信息安全防护策略研究

杨庆彧，刘建伟，李晓薇，刘泽辰

（中国核电工程有限公司，北京 100840）

0 引言

工控系统在生产制造上有着广泛的应用，随着工业化、信息化的不断融合，智能制造已经成为席卷全球的趋势，成为全球制造业的主要发展方向和战略制高点。智能制造在融合新兴网络技术，如通用软件、通用硬件、通用协议，以实现更灵活的生产，更高效的运转和更强的竞争力生产模式的同时，工控系统以各种方式与其它网络相连，工控系统不再是完全独立的系统，而是由专用性向通用性演进，由封闭型向开放性演进，由硬到软演进。大量潜在的安全风险，包括物理场景安全风险、数据安全风险和网际安全风险等，造成了工控系统的网络安全问题日益严峻。

除网络安全事件，国内工控系统安全还面临涉及工业生产和管理的方方面面。一方面，网络安全问题不断从传统领域渗透到工业领域，传统的防护手段已经无法有效保障工业信息安全；另一方面，由于问题矛盾的不断发展，当前的工业信息安全管理机制、技术能力以及产业支撑力，企业安全责任意识都存在不足，具有较大安全隐患。从相关审评情况和经验反馈来看，虽然设施运营单位、设计单位、系统供应商、监管机构已经就工业设施网络安全防护开展了一些工作，取得了一些成绩，但当前仍存在一些问题，主要包括对网络安全紧迫性认识不足，国内法规标准尚不健全，核心技术装备受制于人，组织机构不健全以及复合型人才匮乏等，一定程度上制约了网络安全防护水平的提升。

随着计算机技术和控制技术的飞速发展，后处理厂工业控制系统大多采用数字化技术。为了加强后处理厂工控系统信息安全，防范外部非法目的的攻击对后处理厂工控系统的攻击及侵害，以及来自后处理厂工控系统内部正常运行管理过程中出现的威胁，防止后处理厂工控系统瘫痪和失控，和由此导致的后处理厂工控系统事故和其他事故，特对后处理工控网络安全策略进行研究[3-5]。

1 后处理厂工控信息安全防护设计原则

后处理厂应建立信息安全纵深防御架构，建立严格的通信边界，在边界上采取防御措施，评估、保护、预防、监测和缓解网络攻击，并在受到攻击后恢复系统。防御架构模型应采用信息安全设防措施逐层增强的防御层，实现多层边界防护的独立性和多样性，防止他人通过多层网络中相同或相似的安全漏洞，非法访问关键数字设备。

后处理厂信息安全的纵深防御设计应与仪控系统的纵深防御设计进行协同，信息安全功能的实现应不影响核安全功能的实现。通过与实物保护功能联动共同对厂区、系统和设备的安全进行设防，以具备相应信息安全设防等级安全能力水平[7]。

1.1 技术要求

对于不同信息安全设防等级的系统，应根据系统所要求的安全能力制定管理要求，满足等级保护标准和工信部《工业控制系统信息安全防护指南》中的技术要求。同时乏燃料后处理厂属于核化工行业，应结合自身厂区的核化工工艺、生产过程特点，可借鉴《工业控制系统信息安全防护指南》中对工业企业的信息安全防护技术方案指导性依据；信息安全防护架构可参考GB/ T40813-2021《信息安全技术工业控制系统安全防护技术要求和测试评价方法》中的网络安全边界防护典型应用参考场景-石油、化工、燃气行业部署方式[1]。

1.2 通用要求

下列要求适用于后处理厂数字化控制系统[2]：

1）应对系统内进行配置并参数化，以尽量减少系统的脆弱性。

2）应对预开发组件进行选择、配置并参数化，以尽量减少系统的脆弱性。

对系统的可编程设备参数赋值时，应包括以下保护措施：

①对软件功能和内存空间采取用户选择性访问控制。

②限制系统与较低安全等级系统的数据连接。

③软件或参数修改应具备可追溯性。

1.3 通用原则

1.3.1 纵深防御原则

在DCS 系统信息安全防护系统设计、实施过程中，建立等级保护纵深防御体系，对计算环境、网络边界、通信网络、用户和数据进行全面控制。

1.3.2 集中管理原则

统一管理是建设信息安全等级保护纵深防御系统的基本要求，是各单位横向集成、纵向DCS 系统信息安全技术方案贯通，信息共享的前提。同时，在全面推广信息安全等级保护纵深防御工程时，按照统一信息系统安全管理的规范进行规划和设计，确保信息安全防护水平的一致。对业务系统范围内的资源和用户进行统一标记，按照访问控制策略来进行实施，对于各个终端、服务器和边界的事件应统一由审计中心进行分析和响应。另外，应建立全系统范围的网络管理和监控系统，做到管理全局统一，监控严密，响应及时[6]。

1.3.3 适度防护原则

作为专用网络内部的控制系统，其防护重点与其他互联网有连接的信息系统有着较大的不同。在信息安全防御体系建设过程中，需要考虑对内部的防护，突出适度防护的原则。在考虑可用性和建设成本的前提下，对现有系统进行改造升级，建立满足高安全等级要求的信息系统。

1.3.4 技术管理并重原则

要把技术措施和管理措施结合起来，在一定情况下，依靠管理措施来弥补技术措施的缺陷，保障安全技术措施的正确实施，更有效保障工控系统调度业务的整体信息安全性。

1.3.5 自主可控原则

采取的安全措施和产品装备，应尽量采用国产化产品，降低关键位置的设备安全风险，构建满足核工业要求和国家高安全等级系统要求的网络信息系统。

2 后处理厂控制系统网络安全等级划分及架构

2.1 网络安全等级和分区划分原则

2.1.1 网络安全等级划分

按照GB/T22240 对网络安全等级保护定级的基本要求，核工业工控系统整体的网络安全防护能力应至少为等保3 级。为更好地区分核工业内不同工控系统网络安全防护的重要性，借鉴IEC62645 对不同工控系统的网络安全等级进一步划分为3 个等级。网络安全等级从高到低依次为S1、S2 和S3 级。

S1、S2 和S3 级的划分原则及对应的工控系统或设备定义如下：

1）S1 级：执行反应堆保护功能以及被恶意攻击后对安全功能的影响与保护功能等同的系统或设备。

2）S2 级：有实时性操作要求或电厂正常运行所必需的和安全相关的系统或设备。

3）S3 级：除了S1 和S2 级系统外，执行功能且不会对电厂安全性与可用性产生实时影响的系统。

第三方工控系统的功能分类和网络结构存在较大差异，但其网络安全等级的划分应遵循上述原则，相关防护措施参考纵深防御模型实施。

网络安全分级是为了简化网络安全防护的复杂性，对重要功能进行重点保护，采用分级划区的方式进行统一管控。对于核工业新增工控系统可以根据上述网络安全等级划分方法进行等级确定，也可以根据与已定级系统的功能进行类比，确定网络安全等级。

2.1.2 网络安全分区划分

针对同一网络安全等级内的工控系统，可以根据工控系统的固有属性或与其他工控系统的共同网络安全要求划分到一个安全分区。安全分区可以是工控系统逻辑上的划分，也可以是实体上的划分。一个安全分区内的所有系统应属于同一网络安全等级，而同一网络安全等级可能包含多个安全分区。安全分区的划分应满足如下条件：

1）属于同一安全分区的工控系统应该具有类似的网络安全防护需求。

2）属于同一安全分区的工控系统构成本安全分区内通信的可信区域。

3）每个安全分区内系统在功能安全和网络安全上应具有相同或相当的重要性。

4）安全分区的划分不应破坏工控系统已有的安全基准（例如，冗余性、多样性、实体和电气隔离，单一故障准则）。

5）应在不同网络安全分区的边界实施技术防护措施，限制工控系统间的数据流和通信。

6）对工控系统进行逻辑或物理访问的可移动介质、移动设备和其他临时设备应仅在某个安全分区或指定的分区内使用。

2.2 网络安全架构

从网络攻击的非法目的划分，可以将网络攻击分为窃听信息型、网络拒绝服务型和工艺特性破坏型。

工艺特性破坏型通过分析工艺系统特点，控制工控主机的主控模块误发虚假指令破坏厂区正常运行，甚至可能造成工艺设备的损坏，攻击后果对可用性影响最严重；网络拒绝服务型通过非法手段占用网络资源，导致通信系统无法正常运行，攻击后果对可用性影响次之；窃听信息型通过突破系统边界，监视网络流量，窃取网络数据，攻击后果对可用性影响最轻。工控系统以可用性作为网络安全防护的首要任务，针对上述攻击的特点通过边界防护——网络通信防护，保护仪控系统最重要的主机安全。后处理厂安全防护的网络架构如图1。

图1 后处理厂仪控系统网络安全防护示意图Fig.1 Schematic diagram of network security protection of the I&C system of the post-processing plant

3 后处理厂控制系统安全防护方案

安全加固方案从安全区域边界、安全网络通信、安全管理中心、安全计算环境和物理安全5 个方面阐述安全防护技术措施。

3.1 安全区域边界

3.1.1 边界防护

1）控制系统与后处理厂生产管理系统网络边界

DCS 与后处理厂生产管理系统的数据通信采取网关及单向隔离网闸进行隔离，网闸提供物理单向隔离功能，保证DCS 内部的数据单向传输到生产管理系统（如图2），生产管理系统的数据不向DCS 系统内传输。

图2 DCS与生产管理系统的单向隔离Fig.2 One-way isolation between DCS and production management system

2）控制系统与后处理厂第三方系统网络边界

经过对安全域间隔离和边界防护的全面分析，信息安全设计建议采取如下原则：

DCS 二层与后处理厂第三方系统的OPC 数据通信按规范要求执行，若实时性要求不强，则可采取工业防火墙进行逻辑隔离。

DCS 二层与后处理厂第三方系统的OPC 数据通信采取工业防火墙进行逻辑隔离（如图3），防火墙具备访问控制功能。

图3 DCS与第三方系统OPC数据的逻辑隔离Fig.3 Logical isolation of DCS and third-party system OPC data

3）控制系统内部工作域网络边界

DCS 内部不同安全域之间应部署具有访问控制功能或具有相当功能的安全隔离设备，针对工业控制系统所面临的安全风险，在系统内部不同子系统之间，部署具有边界防护和访问控制功能的设备，避免一个系统或区域里爆发的工控安全事件扩散到别的系统或区域中。

主要部署在区域出口，用于边界隔离（不部署在上位机与控制器之间），因此对于控制系统本身的稳定运行没有任何影响，不存在与系统兼容性问题，主要对区域间工业通讯协议进行重点防护。

3.1.2 访问控制

DCS 与后处理厂生产管理系统网络边界采取单向网闸进行隔离，仅允许信息流从DCS 向生产管理系统的单向传输。

DCS 系统二层节点，如操纵员站、服务器、工程师站、通讯网关等，对操作系统的网络安全进行配置。

操纵员站、工程师站、服务器等设备上运行的DCS 软件访问控制措施。

DCS 交换机需要根据实际情况配置访问控制措施。

3.1.3 恶意代码防范

对于DCS 系统交换机（包含关键网络节点交换机设备）宜及时更新其固件。

对于OPC 网关机和通信服务器等关键网络节点的恶意代码防范措施见安全计算环境的相关防护要求[8]。

3.1.4 安全审计

对各子项DCS 系统网络以旁路方式部署网络审计设备。在DCS 系统的交换机上建立镜像端口，将网络流量镜像到特定端口上，通过网线将镜像端口与审计设备连接。

审计设备具备如下功能：

1）采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的识别。

2）当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时提供报警。

3）审计记录包括事件的日期和时间、用户、事件类型、事件是否成功，及其它与审计相关的信息，审计记录至少保留6 个月。

4）对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。

根据DCS 系统网络架构及工程工艺的特点，选取关键数据进行网络审计，网络审计采用镜像的方式把数据汇总到入侵检测系统，抓取系统的关键网络通信数据流进行审计，关键数据流考虑从位于系统边界的主机、工程师站主机和上位机向控制站下发指令3 个角度进行选取，可结合应用条件选取如下网络数据流中的部分或全部进行抓取并分析。

3.2 安全通信网络

3.2.1 网络架构

所有连接至冗余网络的工作站均有两个相互独立的网络接口，分别连接至处于不同的交换机。冗余网络的切换由各个站点的通讯机制根据通讯数据的质量和有效状态进行选择。

为防止非法设备接入DCS 网络，根据实际使用情况对交换机配置以下参数：

1）已使用的端口绑定IP 地址和MAC 地址。

2）禁用未使用的端口。

3.2.2 通信传输

DCS 系统通信过程的完整性及保密性由DCS 负责提供保障措施。

3.2.3 安全管理网

控制网和操作网采用私有安全可靠协议，用于数据传输和操作。系统配置分布式冗余服务和冗余网络，每层网络同时工作，方式无主从之分，任一服务或任一网络故障，不会影响系统的正常运行。

入侵检测与关键交换机相连，关键交换机通过镜像方式将数据单向传输给入侵检测设备，入侵检测设备采用白名单机制进行网络监控。

3.3 安全计算环境

3.3.1 身份鉴别

从安全计算环境角度，对DCS 系统内的工程师站、系统内的操纵员站、服务器、三层通信网关、工程师站的操作系统做具体配置。

3.3.2 访问控制

DCS 与后处理厂生产管理系统网络边界采取单向网闸进行隔离，仅允许信息流从DCS 向管理生产管理系统的单向传输。

3.3.3 安全审计

在二层节点（操作员站、工程师站、服务器）上，安装主机防护软件，其具备主机操作审计和日志管理功能。按照日志的类型，可分为操作日志和防护日志。在操作日志列表中，每条日志记录的信息包括：操作发生的时间、使用人、事件类型、详细信息。在防护日志列表中，每条日志记录的信息包括：防护时间、报警次数、类型、拦截文件路径、详细信息、公司名、产品名和版本等。

3.3.4 入侵防范

后处理厂各子项的控制系统主机（包括工程师站、操纵员站、实时库服务器、历史库服务器等）采取具体措施。

3.3.5 恶意代码防范

在DCS 系统部署主机白名单软件，仅白名单内进程可以运行，仅白名单内网络访问允许执行，仅白名单内外接输入设备允许接入使用。

3.4 安全管理中心

在DCS 网络内部部署集中监控措施，集中监控满足如下要求：

1）安全监控中心汇总来自防火墙、网络审计系统的数据，对DCS 系统的信息安全状态进行监控。

2）安全监控中心对分布在网络中的安全设备或安全组件进行管控，管理分区专网专用，网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。

3）通过各二层网络对分散在各个设备上的审计数据进行收集汇总和集中分析，日志记录保留达到半年以上。

4）当DCS 网络内发生安全事件时，管理中心站可对事件进行识别、报警和分析。

集中管理通过网络安全专用网与入侵检测、防火墙和主机防护软件管理服务器的管理口相连，与单向隔离装置的日志口相连，网络安全专用网与过程信息网相互独立，具有独立的网段。

3.5 安全物理环境

物理安全一般指防盗窃和防破坏；防雷击、防火、防静电；温度控制、电力供应、电磁防护等方面具有的保护能力。

4 结论

通过深入研究后处理厂工控系统领域的安全现状和应对策略，对国内后处理厂工控系统存在的薄弱环节和安全风险进行针对性研究和分析，确定后处理厂工控信息安全防护设计原则，对后处理数字化仪控资产进行信息安全分级和分区以及架构研究，确定主要仪控资产的信息安全等级、区域，以及相互间的边界和接口，制定适应后处理厂工控系统特点和要求的信息安全管理体系和安全防护方案。