采油廠站庫工控系統信息安全防護技術研究與應用

吳 軍，張新政，李 軍，楊 凱，魚小剛

（新疆油田公司采油二廠，新疆 克拉瑪依 834000）

1 引言

隨著工業信息化建設不斷加快，工業控制系統逐漸的以各種方式與辦公網、互聯網等公共網絡連接，實現數據交換，致使工控系統不再是一個獨立的運行系統，而是已經從封閉、孤立走向互聯。典型的DCS、PLC、RTU等工控系統正日益變得開放、通用和標準化，使得辦公網、互聯網中的木馬、病毒等安全風險向工控系統擴散。2010年的Stuxnet和2011年的NightDragon，Duqu，Nitro，以及2012年的Flame等事件，表明了工控系統信息安全的重要性。

2 采油廠站庫工控系統信息安全現狀

早期采油廠站庫工控制系統主要是針對專有的封閉環境而設計，只用于單臺設備或工藝段的生產控制，對外沒有互聯互通。系統在設計、實現與部署過程中，其主要指標是可用性、功能性、實時性等，沒過多考慮網絡攻擊、信息安全等問題。

隨著計算機和網絡技術的發展，特別是信息化與工業化深度融合，工控系統越來越多地采用通用協議、硬件、軟件，使其開放性越來越強，開始面臨安全威脅，包括：①病毒、惡意軟件的破壞；②數據被竊取；③關鍵工控生產流程被破壞；④惡意操縱工控數據或應用；⑤對工控系統功能未經授權的訪問等。

目前，采油廠站庫使用的工控系統大部分是多年前開發的，系統大都使用專有的硬件、軟件和通信協議，系統在設計上主要考慮了其性能、可靠性要求，忽略了對安全措施的需要。隨著基于互聯網的技術開始進入工控系統的設計中，工控系統也暴露出了一些漏洞，使其容易遭受攻擊。工控系統安全漏洞及因素主要包括：系統安全策略和管理規程的缺失與不健全；越來越多的通用協議和應用軟件；控制系統操作站不安裝殺毒軟件，或對殺毒軟件的病毒庫更新不及時；通用以太網技術的引入，使工控網絡面對以太網的通訊威脅；大量使用基于Windows系統PC機作為工程師站、服務器等的硬件平臺，面臨與普通PC類似的安全威脅。

3 采油廠站庫工控系統的特點

工控系統的安全風險來源于信息、網絡技術廣泛的應用，但其仍具有自身的特點，只采用標準的IT安全技術很難應用于工控系統下的各類控制協議、應用、設備及標準的特殊安全需求。以采油廠典型的站庫工控系統為例，具體分析工控系統的特點。

（1）系統封閉性強。作為采油廠管理網內的一個業務子系統，工控系統涉及關鍵工藝和站庫生產的大量敏感數據，只能適度的開放。

（2）系統對可用性和實時性要求高。工控系統必須保證持續的可用性、穩定的系統訪問、系統性能、專用工控系統安全保護技術。同時，對實時響應時間要求大多在1ms內完成。

（3）工業通信協議和通用TCP／IP協議共存。工控系統存在兩種不同類型的協議，即工控通信協議和TCP／IP協議。一些協議在設計之初未考慮安全方面的需求，需要針對性地部署安全解決方案。

（4）工控系統的安全與辦公網的安全互為依存。隨著兩化深度融合，工控生產網與辦公網之間的數據互連變得越來越常態化，兩個網絡互聯帶來了更高的安全需求。

（5）系統長周期內保持結構固定。工控系統與設備和生產密不可分，系統執行現場控制操作的常為DCS、分布式I／O等嵌入式設備，專為現場控制環境而設計制造。設備運行時間通常很長，除非影響到正常的生產，否則長周期內穩定運行的工控系統將不會進行輕易調整和改變。

4 工控系統信息安全需求分析

工控系統信息安全是一個復雜的系統工程，涉及到技術、產品、系統，更取決于企業的安全管理的水平。與傳統IT信息安全相比，工控系統信息安全有著其自身的特點，主要體現為安全防護的重點有所不同。IT安全一般針對的是辦公環境，需要首先保證機密性，其次才是完整性和可用性。

工控系統信息安全的防護對象是現場的DCS、PLC等控制設備，實時網絡通信，以及工業控制應用，其特點可以總結為：

（1）必須優先保障24／7／365時間的可用性，提供不間斷的可操作性，并確保工控系統可訪問；

（2）保證系統性能；

（3）保證數據的實時傳輸；

（4）系統與數據的完整性；

（5）為實現無縫的通信與功能交互而采用開放標準；

（6）采用通用組件作為自動化解決方案的基礎；

（7）辦公網與生產網間的不間斷通信以保障對生產的實時監控；

（8）防止誤操作與蓄意破壞；

（9）保護專有技術；

（10）安全日志與變更管理等。

對工控系統信息安全而言，首先需要滿足系統的高可用性的要求，其次是完整性，最后為機密性。工控系統信息安全的關鍵需求總結為：

（1）提高方案設計質量。目前在工控系統建設中，系統設計方案還存在許多不確定的安全風險，如哪些工藝裝置必須獨立設置SIS、哪些必須設置第三方信息安全加固系統，還處于經驗判斷階段，找不到標準答案。

（2）提高系統成套設計、安裝與調試質量。工控系統的質量有高低，建設初期必定經過成套設計、安裝、調試，這些通常由供應商負責完成。供應商技術能力、經驗的不同，得到的系統完善程度也不同。用戶工程設計人員以及相關專業人員參與的深度不同，也會影響系統的質量，帶來安全風險。

（3）加強日常運行維護質量。工控系統建成后，需要通過日常維護、定期檢修等一系列工作，使工其持續發揮功效，這些工作的質量問題會帶來安全風險。

（4）對信息安全措施的需求。傳統工控系統通常是封閉的，功能也相對單一。隨著技術的發展，工控系統逐步開放，使得工業設備接口更簡單，互聯更容易，系統缺乏相關抵御病毒或黑客攻擊的安全策略，系統構建的信息安全措施愈顯重要。

（5）如何面臨新挑戰的需求。隨著兩化融合的不斷推進，計算機和網絡新技術層出不窮，工控系統通過各種接口技術，實現網絡互聯，使得工控系統網絡架構越來越復雜。伴隨工控系統信息安全面臨的新挑戰，迫切需要建立工控系統網絡規劃與標準，實現系統安全的可持續發展。

5 工控系統信息安全防護解決方案

現代工控制系統安全防護工作，要求在加強企業安全策略、規程建設、增強員工安全意識、全面提高企業信息安全管理水平的同時，必須規劃基礎設施的安全配置，從不同的層面分區域、分功能、分重點的加強安全防護。通過部署多層次的，包括物理安全、制定安全策略與流程，部署防火墻進行隔離、防護不同的安全單元、采用VPN保護單元間通信、系統加固、補丁管理、部署賬號管理等訪問控制措施、惡意軟件檢測與防護等一系列的防御體系，保護關鍵的工控過程與應用的安全。防御體系措施架構如圖1所示。

（1）建立系統的物理防護邊界：物理安全是工控系統信息安全的前提，首先確保系統處于可控的物理環境中，在企業辦公網和工業生產網之間部署安全隔離系統。

（2）安全策略與流程：建立完備的安全策略與規范的安全流程。在工程師站與工控網之間部署審計系統，嚴格進行訪問控制，審計工程師站的操作。

（3）建立安全的控制單元，確保系統的邊界安全：將系統按其用途、通信業務等劃分為不同的安全域，并在安全域之間的接口處部署防火墻、安全網關等隔離設備。

圖1 工控系統防御體系措施

（4）采用VPN技術保護不同控制單元之間的通信：通過在安全單元之間部署VPN，保護單元間的通信，保證相關業務通信的認證、完整性與機密性，阻止非法業務通信。

（5）系統加固與補丁管理：及時對工程師站、應用服務器進行補丁升級與系統加固。僅保證制造商專有協議數據通過，對一切不符合標準和合法功能需求的工業協議通訊進行攔截。

（6）賬號管理：對DCS、PLC等工控應用、過程，建立系統的賬號管理，強化基于口令的訪問控制。

（7）惡意軟件防護技術：不僅要在工控網絡中的PC主機上部署病毒監控，還要在安全域的入口處部署防病毒網關。

6 結語

工控系統信息安全不是一個單純的技術問題，而是一個從意識培養開始，涉及管理、流程、架構、技術、產品等各方面的系統工程，需要管理方、運營方、集成商與組件供應商的共同參與、協同工作、提高全體人員的信息安全意識，充分認識到信息安全的重要性。工控系統的信息安全，需要在系統生命周期的各個階段中持續實施、不斷改進，才能最終保障企業工業控制系統的安全運營。

［1］鐘嵐．石油化工行業工控系統安全保障實踐探究［J］．信息安全與通信保密，2014（6）.

［2］李玉敏．工業控制網絡信息安全的防護措施與應用［J］．中國儀器儀表，2012（11）.