大型炼化一体化项目控制系统网络安全设计

徐丽，许小林

(中国石油天然气股份有限公司 广东石化分公司，广东 揭阳 515221)

随着智能制造新模式在石油化工行业的全面普及，企业对于网络化、信息化、智能化的技术需求日益迫切。作为工业生产核心的工业控制系统，其应用环境的开放性问题受到关注。相比于传统工业物理环境封闭、专用的特点，应用通用协议、通用硬件和软件的工业控制系统，遭受了信息安全事件影响。传统防护不足的工业控制系统在信息安全问题上存在脆弱性，因此必须建立控制系统网络安全设计方案。

随着炼化行业工艺装置规模不断扩大，工艺日趋复杂，且该行业具有易燃、易爆、高温、高压、易腐蚀等特殊性，作为重要的能源支柱型产业，其发展长期以来受到关注。石油化工行业控制系统的安全性问题符合典型工业控制系统安全特性。2019年开始实施的GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》(本文简称“等保2.0”)在原有GB/T 22239—2008基础上进行了细化、分类和加强。等级保护的对象不再局限于传统意义上的计算机信息系统，而是包含网络安全基础设施、工业控制系统、大数据安全等在内的网络空间安全。因此，在“等保2.0”要求下，如何建立健全有效的工业控制安全体系将成为每一个企业都应该思考的问题。

正在建设的南方某大型炼化一体化项目，在建设阶段提出了“供应链协同、生产管控、安全环保、设备管理、能源管控、预知决策”的目标，控制系统网络安全同样也成为该项目的必然选择。结合项目规划及应用实践，本文提出基于“等保2.0”“一个中心，三重防护”的纵深防护思想的网络安全防护体系设计方案，从通信网络、区域边界、计算环境等各个层级进行重重防护，通过安全管理中心进行监控、调度和管理，构建工业控制系统安全措施。

1 工业控制系统网络安全需求分析

该项目具有控制系统网络规模大、结构复杂，系统设备互联众多的特点，且是国家“十三五”能源规划战略布局项目，同时也是国内近年来投资建设规模最大的炼化一体化项目，对控制系统可靠性、系统性能、供应商工程服务能力要求高。项目的自动化供应商(MAC)为浙江中控技术股份有限公司，提供包括：分散控制系统(DCS)、仪表设备管理系统(IAMS)、PID整定、先进控制(APC)、储运自动化、高级报警管理(ALMS)、操作员培训仿真系统(OTS)、在线分析仪维护和数据采集系统(AMADAS)等工业控制系统。上述系统还需要与安全仪表系统(SIS)、可燃气体和有毒气体检测报警系统(GDS)、机组控制系统(CCS)、腐蚀监测系统(CDS)、转动设备状态监测系统(MMS)等异构系统实现通信。实时数据存储于操作数据采集系统(CDP)，关键数据上传至企业信息网。

面对如此复杂控制系统网络安全，在技术和管理两方面均需充分考虑和认真分析，例如在技术方案中需考虑如下问题：

1)工业控制系统网络安全监控及网络审计。控制系统网络是否有统一监控及审计手段，工业控制系统应以网络流量监测和审计作为手段构建防线，及时感知到网络异常状况，并且监管是否有网络入侵、违规操作、误操作等行为。

2)网络边界防护问题。由于控制系统网络规模巨大，以及与企业信息网逐渐融合的需求众多，如果安全防护措施不到位，很容易出现网络边界模糊。

3)工业控制系统漏洞。工业控制系统中控制器、工业协议、操作站的操作系统、各类工业应用软件等均存在一定程度上的安全漏洞，例如一些企业使用的操作系统因为供应商已停止更新服务引发的系统漏洞风险。

4)运维机制是否合规。从运维便捷和成本考虑，有些工控产品存在远程运维端口甚至后门的状况，例如大型炼化一体化项目中往往会由设备厂商集成各类小型PLC控制系统作为就地控制设备，这些不同品牌的异构系统该如何监管，如果缺少监测和管理手段，一旦出现安全问题甚至无法定位和追溯。

5)网络安全应急预案是否已建立。许多企业中还未制订工业控制系统的网络安全应急预案，尚未建立容灾或备份/还原机制，缺少对工业控制系统网络时间的应急处理机制和分析机制，这些问题均应引起企业足够的重视。

6)企业网络安全管理制度是否健全。因移动存储介质不规范使用，造成如木马等恶意软件攻击或系统被挟持以及因管理缺失引起工艺、配方泄密等安全问题，在一些企业时有发生。

企业人员对于生产安全意识日益强烈，但是对于网络安全的认识相对较为模糊甚至意识淡薄，往往认为网络安全不会造成生产事故而关注较少。有些人员可能认为单纯依靠防病毒技术或通过防火墙进行隔离就可以实现安全防护。甚至有些企业缺失网络安全管理制度，或职责不清晰，责任不明确，这些问题均会引起安全隐患。因此在管理方面，增强人员安全意识比技术方案更为重要。

2 基于“等保2.0”构建的网络安全防护系统

大型炼化一体化项目控制系统整体网络安全框架应以《网络安全法》为背景，参照“等保2.0”的通用要求和工业控制系统技术特点，根据纵深防御的设计思想制定符合项目的网络安全的防护方案。

以该项目为例，基于“等保2.0”要求，从工业控制系统的特点分析，以安全管理为中心，分别针对计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计，建立信息安全整体保障体系，达到项目建设要求。控制系统网络安全“等保2.0”技术体系结构如图1所示。

图1 控制系统网络安全“等保2.0”技术体系结构示意

2.1 安全通信网络设计

安全的网络架构是实现系统网络安全的基础。在方案设计上，通过纵向分层和横向分区实现网络风险分散与数据隔离，核心理念是根据不同区域的安全等级需求划分不同的安全区域，不同安全区域实现隔离和可控的访问。

依据SH/T 3092—2013《石油化工分散控制系统设计规范》的要求，依据分层、分区的设计原则，将控制系统网络纵向划分为基础控制层、生产操作层、操作管理层、安全数据交换层和信息管理层，如图2所示。根据项目实际需求，横向分为炼油区、化工区及公用工程区，各区以装置为单元划分子网。关键通信节点、计算节点等均采用冗余架构设计，通信网关等均需取得计算机信息系统安全专用产品销售许可。通过安全分区(纵向分层、横向分域)，划分安全边界，并采取“总分”VLAN隔离的措施，装置间网络安全隔离，防止故障扩散。

图2 某大型炼化项目控制系统网络结构示意

2.2 区域边界安全设计

在区域边界防护结构设计依据纵深防御的原则，如下：

1)对各DCS控制系统各区域边界通过部署工业级防火墙，解决管理信息网与控制网不同安全域之间违规访问与逻辑隔离，起到边界防护和分区隔离的作用，对通信协议深度解析，只允许自有通信协议的数据包通过，隔离异常节点和异常数据，防止病毒的入侵和蔓延。并根据传输数据的属性不同，保证实时通信的确定性和实时性。

2)对于在控制网中连接与APC，ALMS等通信的OPC服务器，应通过独立配置的工业防火墙实时获取OPC流量，进行OPC深度包解析，动态端口识别与跟踪，实时监控OPC通信。

3)在炼油区、化工区、公用工程区内配置工控安全审计系统，实时检测针对工业协议的网络攻击、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。

4)在炼油区、化工区、公用工程区生产网与信息网边界均需部署工控安全隔离网闸，提供针对工业协议的指令级深度检测，同时支持对拒绝服务攻击/分布式拒绝服务攻击(DOS/DDOS)、异常数据包攻击以及扫描攻击防护，并支持桥接、静态路由和策略路由等，作为生产网整体汇聚出口。

2.3 计算环境安全设计

DCS控制系统包括控制层和管理层的各个节点设备。控制站负责控制单元的现场控制部件的集合，其中控制器是最后的安全防线，其重要性不言而喻。因此，控制器应通过网络安全测试。同时，考虑到内部建设安全的要求，控制器首先应具有自主知识产权，包括芯片内核、操作系统、通信总线等，不应采用开源或通用技术以防止非法侵入或攻击；其次需要厂家具备通信健壮性、协议安全性、冗余容错能力、自主可控性、代码可靠性等关键技术。

在该项目中设置控制系统完整性管理平台，设置独立的应用服务器。建立所有控制系统主要部件，如控制器、I/O模块、工作站、服务器、路由器和交换机等通信设备、电源等关键部件准确的部件清单以及备品备件管理清单等，通过配置信息收集和管理帮助企业更好地管理控制系统。其次，对DCS等控制系统数据定期自动备份，保障数据的有效性和系统恢复的可靠性。保持完整的组态数据，如控制策略、I/O卡件、硬件、安装软件和用户自定义数据等，一旦系统出现崩溃等严重问题，可以帮助用户快速恢复系统。平台定期扫描所有资产以确定配置、控制策略，图形文件和逻辑文件是否已修改，同时系统自动生成控制逻辑图，快速有效分析组态错误、快速故障排除，通过自动定位逻辑组态变更位置进行自动记录，从而通过对比防范控制系统的潜在风险。建立工作流程，对操作系统和控制系统软件等补丁进行主动管控，对发现的漏洞等进行及时处理。

对于系统中重要的历史数据服务器和工程师站等，应单独定期备份数据，考虑采用备份和恢复解决方案，进行快速可靠的备份与恢复引擎与存储管理，保护物理与虚拟环境的重要信息。在方案设计中，应考虑系统可支持多种备份介质，操作及界面简单，可视化等。

2.4 安全管理中心设计

作为网络安全体系的核心，安全管理中心承担系统管理、审计管理、安全管理、集中管控等作用。

在该项目中，在炼油区、化工区、公用工程区配置工控安全管理平台，用于管理全厂工控安全设备，存储审计日志、分析事件行为、统一配置设备参数等重要信息。平台由硬件设备及内置平台软件组成，可通过WEB客户端访问，用于查阅数据或配置参数等。支持工业控制系统资产清单管理，可集中展示主机安全卫士及防火墙状态总览，包括：日志走势、数量统计、占用资源统计等信息，并可对工控安全产品的批量配置与管理，采集主机安全卫士日志、防火墙日志、Windows日志等，并根据规则分析采集日志，生成事件报警。

同时，在每个区内配置由中控技术提供的全网诊断VxNetSight软件，实现大型项目中整体网络设备集中管理和网络状态实时监测等功能，实施冗余工控网络控制系统节点和网络设备的自动发现、映射、状态一体化监视及网络故障排除，智能监控、分析控制网络行为，及时检测工业网络中出现的工业攻击、非法入侵、设备异常等情况，支持根据预定义策略实时报警等。

3 结束语

根据该项目建设需求，本文提出了基于“等保2.0”的网络安全防护体系技术方案设计，为控制系统乃至全厂信息化系统提供底层最坚实的网络安全技术保障。

在未来项目投产建成进入运维阶段后，还将会迎来更多的挑战，为此还需要同步落实以安全管理制度，安全管理机构及人员，安全建设管理，安全运维管理等建立安全管理体系，导入贯穿安全运维全生命周期管理方法、标准/规范、管理模式、支撑工具、管理对象以及基于流程管理的安全运维体系，尤其是企业管理人员及一线作业人员的网络安全意识的形成将会是同样重要的工作。