石化工控信息網絡安全區域識別與防護

甄濤

摘要：隨著兩化深度融合，加上互聯網技術和產品的廣泛應用，工控系統的信息安全面臨嚴峻考驗。以某石化企業的柴油加氫工藝系統為例，從安全區域的識別和分隔、區域邊界建立、區域邊界防護和區域內部防護等方面，提出深度防御關注的安全區域建立方法，并對安全區域識別和防護過程進行了探討。

關鍵詞：石化行業；工業控制系統；安全區域；深度防御；信息安全

DOIDOI：10.11907/rjdk.161739

中圖分類號：TP309

文獻標識碼：A文章編號文章編號：16727800（2016）009015103

基金項目基金項目：

作者簡介作者簡介：甄濤（1992-），男，河北石家莊人，上海理工大學光電信息與計算機工程學院碩士研究生，研究方向為工控信息安全。

0引言

信息時代，對石油化工等制造業而言，以震網蠕蟲為代表的木馬、病毒等對工業自動化生產安全帶來了極大威脅，工業控制系統安全成為信息化時代企業安全生產的重中之重。最初的工控系統被設計為獨立封閉的系統，其安全風險主要來自設備運行不穩定、操作不合理等方面。但是，隨著信息化的推進和工業化進程的加速，越來越多的計算機和網絡技術應用于工業控制系統，在為工業生產帶來極大推動作用的同時也帶來了諸如木馬、病毒、網絡攻擊等安全問題。

1石化行業工控系統面臨的信息安全問題

隨著石化行業信息化的不斷深入，管理的精細化和智能工廠的實施，都離不開實時的現場信息，因此管與控的結合就成為了必然趨勢。DCS控制系統與外界不再隔離，控制網絡和信息網絡之間廣泛采用OPC通信技術；此外，先進過程控制（APC）也需要OPC技術建立通訊。目前，常用的OPC通訊隨機使用1024～65535中的任意端口，采用傳統IT防火墻進行防護配置時，被迫需要開放大量端口，形成嚴重的安全漏洞；同時，OPC的訪問權限過于寬松，任意網絡中的任意計算機都可以運行OPC中的服務；且OPC使用的Windows的DCOM和RPC服務極易受到攻擊。普通IT方后勤無法實現工業通訊協議過濾，網絡中某個操作站/工程師站感染病毒，會馬上傳播到其它計算機，造成所有操作站同時故障，嚴重時可導致操作站失控甚至停車[1]。目前，存在的工控信息安全問題主要有[2]：

（1）操作系統漏洞。目前，工業計算機操作系統大多采用Windows操作系統，甚至還有XP系統，這些一般不允許安裝操作系統的安全補丁和防病毒軟件。針對性的網絡攻擊、病毒感染都會給系統造成嚴重后果，而且由于漏洞和病毒公布的滯后性，殺毒軟件并不能有效地進行防護。此外，不正當的操作，比如，在項目實施和后期維護中使用U盤、筆記本等外設，也會存在一定的安全隱患。

（2）隔離失效。大多數石化企業通過OPC的雙網卡結構對數據采集網絡與控制網之間進行了隔離，使得惡意程序無法直接攻擊控制網絡。但對于針對Windows系統漏洞的病毒，這種設置就失去了效果，造成病毒在數采網和控制網之間傳播。

（3）信息安全延遲性。若工業網絡遭受黑客攻擊，維護人員無法采取相應措施，并查詢故障點和分析原因。通常情況下，小的信息安全問題直至發展成大的安全事故才會被發現和解決。

2柴油加氫控制系統安全防護簡介

目前，我國煉油、石化等行業工業控制系統一般分為3部分：控制層、數據采集層和管理信息層，普遍采用DCS（分散控制系統）和PLC（可編程邏輯控制器）等數字化手段，自動化程度高，多以DCS系統為核心、PLC為輔機控制，形成對設備組命令的下達與控制，并對DCS和PLC反饋的數據進行分析以掌握設備組的整體運行狀況。

某石化公司的柴油加氫系統采取安全防護后的拓撲結構如圖1所示。

實時服務器和組態服務器組成管理信息層；監控層包括操作員站、工程師站、OPC應用站和異構系統工作站，控制層包括以DCS為主控制溫度顯示儀表、液位計、繼電器和閥門等儀表，PLC為輔控制報警器。其中，設備層與控制層通過模擬數字通信模塊通信。

其中：①信息層與數據采集層之間添加縱向隔離平臺，避免信息層向下采集數據時造成信息泄露；②異構系統應用站采用橫向隔離平臺，防止其它系統對加氫操作工藝產生不必要的影響；③引入智能防火墻，對工業協議和應用程序進行審計、監控。

3工業網絡中的安全區域

按照IEC 62443定義，“區域”由邏輯的或物理的資產組成，并且共享通用的信息安全要求。區域是代表需考慮系統分區的實體集合，基于功能、邏輯和物理關系[3]。

3.1使用操作域識別區域

安全區域的建立，第一步就是識別所有操作域，以確定每個區域的組成及邊界所在。一般在工業網絡中建立區域時，要考慮的操作域包括有網絡連接控制回路、監控系統、控制流程、控制數據存儲、交易通信、遠程訪問以及用戶群體和工業協議組之類。其目的是通過隔離使各操作域受到攻擊的風險最低，從而進一步使用各類安全產品和技術對每個操作域進行保護，成為安全區域。然而現實情況下，有必要使用操作域間功能共享來簡化操作域，從而有效地將重疊的操作域結合成一個獨立的更大的區域。

3.2區域邊界建立

理想情況下，每個操作域與其它區域都有明確的邊界，并且確保每個分區都采用獨特的安全防護設備，這樣邊界防御才能部署在正確的位置上。

識別區域后，將其映射到網絡，從而定義清晰的邊界，CIP-005-3[4]的NERC規則中提到該過程的要求。只有存在已被定義和管理的接入點，區域才會被保護。

3.3網絡架構調整

所有設備都應該直接連接到該區域或者該區域的任何設備上，然而，比如一臺打印機不屬于該區域，但是可能連接到本地交換機或路由器的接口或無線接入上。這種差錯可能是不當的網絡設計或網絡尋址的結果。當定義了安全區域的劃分并對網絡架構作出了必要的調整，這樣就具備了履行NERC CIP、ISA99、CFATS等符合規范性要求的必要信息。

3.4區域及其安全設備配置

防火墻、IDS（入侵檢測系統）和IPS（入侵防護系統）、安全信息和事件管理系統（SIEM）以及許多其它安全系統支持變量的使用，使得邊界安全控制與合規性要求相互關聯。

對于每一個區域，如下幾項都應保持在最低限度[5]：①通過IP地址，將設備劃分到特定區域；②通過用戶名或其它標志，獲得修改區域權限的用戶；③在區域中使用的協議、端口及服務。

創建這些變量將有助于制定用于增強區域邊界的防火墻和IDS規則，同時也會幫助安全監管工具檢測策略異常并發出警報。

4對安全區域邊界和內部的安全防護

CIP-005-4 R1要求在“任何關鍵網絡資產”邊界，以及該邊界上的所有訪問點都要建立通過對已建立、標識并記錄歸檔電子安全邊界（ESP）[6]。區域周圍建立電子安全邊界可以提供直接的保護，并且防止對封閉系統未經授權的訪問，同時防止從內部訪問外部系統，這是很容易忽略的一點。

要使建立的電子安全邊界能有效保護入站和出站流量，必須達到兩點要求[4]：①所有的入站和出站流量必須通過一個和多個已知的、能夠被監控和控制的網絡連接；②每個連接中應該部署一個或多個安全設備。

4.1區域邊界安全防護

對于臨界點，NERC CIP和NRC CFR 73.54[7]給出了安全評價標準以及建議的改進措施，如表1所示。

其中防火墻和IPS都被建議的原因是，防火墻和IPS設備具有不同的功能：防火墻限制了允許通過邊界的流量類型，而IPS則檢查已被允許通過的流量，目的是為了檢測惡意代碼或惡意軟件等帶有破壞目的的流量。這兩種設備的優勢在于：①IPS可以對所有經過防火墻的流量進行深度包檢測（DPI）；②防火墻基于定義的安全區域變量限制了通過的流量，使IPS可以專注于這部分流量，并因此可以執行更為全面和強大的IPS規則集。

4.2區域內部安全防護

區域內部由特定的設備以及這些設備之間各種各樣的網絡通信組成。區域內部安全主要是通過基于主機安全來實現，通過控制終端用戶對設備的身份認證、設備如何在網絡上通信、設備能訪問哪些文件以及可以通過設備執行什么應用程序。

主要的3種安全領域[5]：①訪問控制，包括用戶身份認證和服務的可用性；②基于主機的網絡安全，包括主機防火墻和主機入侵檢測系統（HIDS）；③反惡意軟件系統，如反病毒（AV）和應用程序白名單（AWL）。

5結語

石油化工等關鍵基礎設施和能源行業關系國計民生，在我國兩化融合深入發展的同時，如何確保工控系統信息安全是石化行業信息化建設的重要研究課題。本文以某石化行業柴油加氫系統架構為例，重點介紹了如何識別和分隔操作域，確定每個區域的邊界和組成，最終建立安全區域，并從外部使用防火墻、IDS、IPS以及應用程序監控器等安全設備，從內部使用主機防火墻、主機IDS和應用程序白名單等對工業控制系統進行保護。

參考文獻參考文獻：

[1]李東周.工控蠕蟲病毒威脅，化企如何應對？[N].中國化工報，20140527.

[2]溫克強.石化行業工控系統信息安全的縱深防御[J].中國儀器儀表，2014（9）：3738.

[3]肖建榮.工業控制系統信息安全[M].北京：電子工業出版社，2015.

[4]NORTH AMERICAN RELIABILITY CORPORATION.Standard CIP0053.cyber security—electronic security perimeter[S].2009.

[5]納普.工業網絡安全：智能電網，SCADA和其他工業控制系統等關鍵基礎設備的網絡安全[M].周秦，譯.北京：國防工業出版社，2014.

[6]NORTH AMERICAN RELIABILITY CORPORATION.Standard CIP0054.cyber security—electronic security perimeter[S].2011.

[7]U.S. NUCLEAR REGULATORY COMMISSION.73.54 Protection of digital computer and communication systems and networks[S].2009.

責任編輯（責任編輯：孫娟）