西門子縱深防御DCS信息安全方案在青島煉化項目的應用

西門子工廠自動化工程有限公司 張波

西門子縱深防御DCS信息安全方案在青島煉化項目的應用

西門子工廠自動化工程有限公司 張波

編輯解讀：

青島煉化項目是石化行業非常典型的工業控制系統信息安全解決方案，雖然此項目完成于2011年，但如今看來，依然有很多值得借鑒的地方，所以，在本期專題中，記者將再次通過闡述這一具體項目，為石化行業用戶實施信息安全解決方案提供參考。

隨著計算機和網絡技術的發展，信息化與工業化深度融合以及物聯網的快速發展，工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件。網絡化浪潮又將諸如嵌入式技術、多標準工業控制網絡互聯、無線技術等新興技術融合進來，從而拓展了工業控制的發展空間，帶來新的發展機遇，同時也帶來了工業控制系統的信息安全等問題。對此，西門子提出了縱深防御信息安全解決方案，并且將其成功應用到了青島煉化項目中。

圖1 網絡結構圖

項目背景

青島煉化公司一期1000萬噸/年煉油項目是我國批準建設的第一個單系列千萬噸級煉油項目，是中國石化調整國內煉化產業布局、打造環渤海灣煉化產業集群的重大戰略項目。青島煉化公司位于青島經濟技術開發區重化工園區，位置優越，配套完備，交通便捷。工藝路線采用“焦化＋CFB鍋爐＋催化”方案，設計加工進口原油1000萬噸/年，擁有16套工藝生產裝置和相應的公用工程、輔助設施，占地220公頃，總投資125億元，總定員500人。年產汽、煤、柴成品油708萬噸，液化氣、聚丙烯、苯、混苯等化工產品203萬噸。青島大煉油項目按照“大型化、系列化、集約化、信息化”理念進行規劃建設，具有規模經濟、技術先進、環保領先和效益顯著等四個鮮明特征。

青島煉化公司一期1000萬噸/年煉油裝置采用西門子PCS 7 V6.1過程控制系統作為過程控制系統系統，控制I/O點數在23000點左右。二期擴建部分包括苯乙烯、加氫裂化、制氫等裝置，采用西門子PCS 7 V7.0過程控制系統作為過程控制系統系統，控制I/O點數在5500點左右。青島煉化DCS系統網絡結構圖如圖1所示。

信息安全需求

青島煉化DCS系統自2008年5月投用以來運行良好。但從2009年底開始，在調用趨勢時，有零星的操作員站死機現象出現。青島煉化聯合西門子的技術人員，對該細節進行認真的分析和判斷，最終發現故障原因是由于系統內感染了多種網絡病毒。

在確認故障原因后，青島煉化、中石化工程建設有限公司（SEI）、西門子共同研究制定解決方案。

青島煉化信息安全方案

在深入分析青島煉化過程控制系統的系統架構、應用特點、安全現狀、安全威脅以及安全需求的基礎上，我們將縱深防御理念引入到過程控制信息安全領域，結合過程控制的系統特點，重點研究了網絡分區與防護、系統加固與補丁管理等關鍵技術，提出了一個切實可行的過程控制系統信息安全解決方案。

本技術方案在IEC62443標準所提出的縱深防御理念基礎上，研究工業領域的工程化解決方案。通過深入研究青島煉化公司的系統特點與安全需求，將縱深防御的理念引入到過程控制系統安全領域并工程化，提出了石化行業工控系統分層及安全防護的參考模型。該模型不僅適用于青島煉化項目，在石化行業作為最佳實踐具有很高的推廣價值，方案總體架構圖如圖2所示。

圖2 縱深防御信息安全解決方案的總體架構

維護網絡安全，確保石油石化過程控制系統的穩定可靠、防止來自內部或外部攻擊，就需要在過程控制系統安全防護領域引入縱深防御的理念，研究如通過風險評估定制符合不同過程控制系統的系統架構、應用特點、安全現狀、安全威脅以及安全需求的安全解決方案，在不干擾過程控制業務的前提下，針對不同性質的安全威脅，分層次、系統地在石化過程控制系統中部署上述高安全性的防護措施，這是石油石化過程控制系統信息安全的核心需求，也是本技術方案的研究目標所在，安全網絡架構方案示例如圖3所示。

圖3 安全網絡架構方案示例圖

（1）物理安全

通過門禁系統等實現工廠的生產裝置、設備、系統等的物理安全，未經授權人員不能接觸或靠近生產裝置。

（2）安全策略與流程

過程控制系統信息安全不是一個單純的技術問題，而是一個從意識培養開始，涉及到管理、流程、架構、技術、產品等各方面的系統工程。

（3）網絡分區與邊界防護

規劃安全單元：安全單元是工廠中一個具備獨立功能的部分；在安全單元內部的成員相互信任；對于安全單元的訪問只能通過明確定義的訪問點；訪問點受到監控并且有記錄；安全單元內的所有成員是直接連接的；造成高網絡負荷的成員直接集成在安全單元內部。如圖4所示。

（4）用防火墻分隔不同的安全單元

防火墻根據一定的規則檢查和過濾數據；通過防火墻保障安全單元的訪問點；在安全單元內部無需防火墻。如圖5所示。

（5）安全的單元間通信

采用VPN系統等技術實現安全的單元間通信。虛擬專用網絡（Virtual Private Network，簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM(異步傳輸模式〉、Frame Relay （幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。

（6）活動目錄域（如圖6所示）和工作組

目前大多數工業控制系統的計算機操作系統均基于微軟公司的Windows平臺。Windows組成網絡的模式有兩種：工作組（Workgroup）和域（Domain）。大多數系統的組網方式是工作組模式，這帶來了很大的安全隱患。而只有域模式是更加安全的組網模式，也是本技術方案所推薦采用的組網模式。

在工作組模式下，所有計算機是對等的，任何一臺電腦只要接入網絡，其他機器就都可以訪問共享資源，如共享上網等。盡管對等網絡上的共享文件可以加訪問密碼，但是非常容易被破解。因此在工作組構成的對等網中，數據的傳輸是非常不安全的。在工作組模式下，每臺計算機均有自己的Windows系統安全配置，不利于全廠統一安全配置，不利于檢查和修改安全配置。每臺計算機均有自己的用戶賬號，不利于對賬號和密碼進行管理和維護。

域的真正含義指的是域控制器控制網絡上的計算機能否加入本網絡。所有已授權的、合法的計算機信息和用戶賬號信息均儲存在域控制器中，因此，任何人在任何計算機上要登陸網絡和計算機，均需要經過身份驗證。域控制器管理了網絡上所有計算機的安全配置，可以制定全廠統一的安全策略，實現網絡上所有計算機的安全配置同步功能。在域控制器可以集中管理和維護域內所有計算機的用戶賬號和密碼，對于需要定期修改密碼的用戶提供了很大的便利。

圖4 劃分工業網絡單元

圖5 防火墻分隔網絡單元

圖6 活動目錄域

（7）系統加固與補丁管理

為了最大限度地保護計算機不受到病毒的侵害，需要安裝與DCS系統兼容的殺毒軟件，并且及時更新病毒庫。另外，Windows的補丁也需要及時更新才能保持操作系統的穩定和健康運行。西門子在德國的測試中心會將最新的Windows補丁與PCS 7系統的兼容性測試結果發布在網站上，維護人員根據這些信息可以選擇安裝補丁，如圖7所示。

圖7 更新安全補丁

（8）惡意軟件的檢測和防護

惡意軟件的種類繁多、變種更新頻率很快。通常的防范措施包括：安裝防毒軟件及防火墻。但是，這些措施都只能對惡意軟件的清除起到有限的作用。防病毒軟件的病毒庫只對已知的病毒起作用，因此需要及時更新病毒庫。但更新病毒庫的過程中如果操作不當，也會增加惡意軟件的入侵來源。因此，惡意軟件的檢測和防護措施中最重要的是從源頭上檢測、控制惡意的入侵，從源頭上堵住惡意軟件。一旦惡意軟件入侵了系統，如何阻斷和限制在惡意軟件在系統內的傳播。如何在不影響系統運行的情況下，清除系統內的病毒。

（9）訪問控制與賬號管理

執行嚴格的用戶管理和統一的訪問控制是整個信息安全方案中和核心部分，本方案采取域服務器對整個過程控制系統進行安全策略的統一管理。

訪問控制與賬號管理的定義是確保任何人未經授權就無法訪問、操作過程控制系統的資源。嚴格的用戶/訪問管理是整個安全策略和核心部分之一。需要遵循最小權限原則；需要定期檢查角色分配和權限；集中管理用戶，密碼和權限；確定明確的角色和權限的分配。

遠程訪問推薦的方法：遠程訪問通過VPN（虛擬專用網）和隔離網絡接入；結合不同的安全技術認證和加密。

方案的實施過程

本項目實施過程包括五個階段（如圖8所示）：

第一階段：青島煉化與西門子、SEI簽訂了項目實施合同，并召開開工會，明確項目的人員安排、實施進度和節點。

第二階段：西門子和SEI進行項目前期設計，制定方案，規劃方案的實施細節：如何實施縱深防御的解決方案。并在辦公室完成整個系統初步設計、詳細設計、軟件編程組態、硬件集成、內部測試和文檔工作。

第三階段：青島煉化和SEI到西門子工程公司所在地上海，進行信息安全系統出廠測試工作。對設計的各項指標進行測試和驗證工作，經過測試，各項性能滿足設計要求，達到了發貨的條件。

第四階段：軟硬件設備發貨到現場，進行安裝調試。為所有計算機配置信息安全設置，安裝域服務器、安裝殺毒服務器、安裝補丁更新服務器、網絡交換機、安裝相關的軟件系統，配置域、配置防火墻、配置工業控制系統聯合安全網關，配置DMZ區內的計算機、開通網絡支持等。

第五階段：經過現場安裝調試過程，所有系統內的計算機病毒被清除，青島煉化各個工段依次順利開車運行。

圖8 項目執行流程圖

應用效果

2011年8月中旬，青島煉化大檢修完畢，所有裝置開始投運。開車以來，PCS 7系統運行穩定，操作員站運行正常，經過反復測試，在調用趨勢時不再出現死機現象。

經過實施預定的信息安全措施，青島煉化PCS 7系統的信息安全等級得到了質的提高，為長期的穩定提供了堅實的保障。

[1] 張波. 基于PCS 7的信息安全概念在青島煉化項目的應用[C]. 2011西門子自動化專家會議論文集, 北京：機械工業出版社.

張波（1977-）男，河北人，高級工程師，本科，現就職于西門子工廠自動化工程有限公司，主要研究方向為過程自動化。