基于GB/T30976的海上油氣田工業控制系統安全研究

康思偉，鄧 靜，薛海林，易 飛

(中海油上海分公司，上海 200335)

基于GB/T30976的海上油氣田工業控制系統安全研究

康思偉，鄧 靜，薛海林，易 飛

(中海油上海分公司，上海 200335)

本文從國家評估標準出發，針對企業工業控制系統應用的主要風險，從網絡安全、主機安全、審計三方面提出海上油氣田工業控制系統安全整體防護設計。

工業控制系統安全；白名單

1 引言

海上油氣田生產過程控制系統是一套DCS工業控制系統，其原有的使用環境較為封閉，網絡獨立于其他網絡。隨著工業信息化的快速發展及工業4.0時代的到來，工業化與信息化的融合趨勢越來越明顯，工業控制系統也開始利用最新的計算機網絡技術來提高系統間的集成、互聯及信息化管理水平。為了提高生產效率和效益，工控網絡會越來越開放，不可能進行完全的隔離，如工控系統需要實時給MES/PIMS等系統提供數據等，這就給工控系統網絡安全防護帶來了挑戰。

2 GB/T30976闡述

推薦性國家標準GB/T30976-2014《工業控制系統信息安全》于2014年12月2日正式發布，該系列國家標準是我國工控領域首次發布的正式標準，標準的主要內容包括安全分級、安全管理基本要求、技術要求、安全檢查測試方法等，適合于對工業控制系統的信息安全評估和驗收，對工業控制系統應用安全予以很好的啟迪。

針對海上油氣田領域，該標準較為寬泛，只提出了通用工控信息安全的評估規范，未對工控系統的信息安全建設方案提供指引，基于標準要求的海上油氣田工控系統信息安全防護方案成為研究的新課題和新方向。

3 海上工控系統現狀分析

海上油氣田生產平臺主要以油氣采集、預處理、輸油、輔助控制系統及現場數據采集和第三方系統（如透平、海水淡化等系統）為代表，以海上某平臺為例，其工控系統框圖如圖1所示。

通過對照GB/T 30976標準的主要系統要求（FR），我們來分析海上工控系統安全目前存在的主要問題：

（1）FR1：標識和認證控制，要求所有用戶在被允許訪問控制系統之前，對他們進行標識和認證。目前海上工控系統已有具有該能力，但口令有效期、口令復雜度各平臺不完全一致。

（2）FR2：使用控制，要求為已認證用戶分配特權，以執行所請求的操作，并對這些特權的使用進行監視。目前各品牌的DCS系統均具有權限管理及工控系統事件審計功能，但對工程師站的審計較弱。

（3）FR3：系統完整性，要求確保工業控制系統完整性，以防止未經授權的操縱。其中SR3.2惡意代碼的防護，需要在工程師站上部署相應的防護軟件。目前由于殺毒軟件的誤殺、工控廠家認證等問題，部分海上工控系統未安裝終端防護軟件。

（4）FR4：數據保密性，要求確保通信信道和數據庫的保密性，防止信息散布。其中SR4.2 RE (2)區域邊界的機密性保護，要求控制系統應有能力保護穿越所有區域邊界的信息的機密性。與之相對照，目前海上工控系統均部署了邊界防護設備，如防火墻/網閘等，對數據保密及邊界防護做到了較好的技術保障。

（5）FR5：限制的數據流，要求利用區域和管道對控制系統分區，來限制不必要的數據流。其中SR5.3區域邊界防護，要求控制系統應提供監控區域邊界通信的能力，以實現基于風險的區域和管道模型定義的劃分。目前海上平臺由于工控系統較為簡單，尚未進行分區防護。

（6）FR6：對事件的及時響應，要求當事故發生時，通過以下方式對安全違背進行響應：通知適當的權威、報告所需證據、采取及時的糾正行動。目前海上工控系統提供了部分審計日志的能力。

（7）FR7：資源可用性確保控制系統的可用性，防止拒絕基本服務。該部分主要有DSC系統本身功能保障。

圖1 海上平臺工控網絡示意圖

通過分析，可以將以上七個系統要求劃分成工控系統網絡信息安全、主機信息安全、安全審計、工控系統自身安全四部分，本文重點關注前三部分的研究。

4 海上平臺工控系統網絡信息安全

4.1 不同信息層之間的安全防護

在工控網絡中，各信息層定義著每層所包含的設備和功能，L1為控制器層，L2為操作層，L3為工程管理層，L3.5為隔離層，L4為企業層，通過在不同層級之間用物理防火墻進行隔離，以達到不同信息層之間的安全防護。如圖2所示，傳統控制系統中沒有L1與L2之間的物理隔離，而新型的控制系統已對其進行了完善。對于過程數據的網絡發布，最新的架構是將其放置在隔離層，而不放置在企業層，通過兩層防火墻的隔離，最大限度的避免外網數據對過程數據產生影響。

圖2 工控網絡分層結構

4.2 訪問控制

根據海上工控系統信息、網絡結構、安全設備、服務器及主機設備的現狀，結合工控系統運行環境相對穩定固化、系統更新頻率較低的特點，目前，各工控安全廠商提出了基于“白名單”機制的工控系統信息安全解決方案，通過對工控網絡流量、工程師站工作狀態等進行監控，收集并分析工控網絡數據及軟件運行狀態，建立工控系統正常工作環境下的安全狀態基線和模型，進而構筑工控安全“白環境”，以確保只有可信任的設備才能接入工控網絡，只有可信任的消息才能在工控網絡上傳輸，只有可信任的軟件才允許被安裝并執行，只有可信任的控制指令才能進入控制器。邊界防護設備可以進行正常通信行為建模，通過對正常通信行為學習后，對工控指令攻擊、控制參數修改、病毒和蠕蟲等惡意代碼等攻擊行為進行有效防護，減少惡意攻擊行為給工業控制系統帶來的安全風險。

4.3 數據保密防護

海上工控系統對數據保密性有較高的要求。隨著數據泄露情況的愈演愈烈，傳統的防火墻、反病毒軟件、入侵檢測等信息安全防護措施已難以獨立應對。數據泄露防護系統DLP以數據為焦點、風險為驅動，依據數據特點與應用場景，在DLP平臺上按需靈活采用敏感內容識別、加密、隔離等不同技術手段，防止敏感數據泄露和擴散。

國際自控標準“ISA99”、“IEC 62443-2-1 Ed.1.0”在針對工控網絡安全所提出的標準中，均提出了“縱深防御”的多層網絡結構設計，工控系統網絡可通過定義多層網絡結構以及相應的訪問權限管理對外部訪問進行有效控制。例如，海上工控系統具有多平臺分布式特點，平臺間數據交換應保持在過程控制網絡層面上（L1～L3層網絡），同時通過在L3.5上指定惟一數據通信出口與陸地數據中心或外部網絡進行數據交換，來提高數據保密性。

針對工控系統末端節點的數據保密，可以通過身份認證、加密控制以及使用日志的統計對內部文件經行控制。在辦公網與生產網之間加防泄密墻，實現對現場生產管理數據的安全防護。通過工控系統白名單的方式，在末端電腦上安裝管理軟件，可同時在軟件以及硬件層面上限制數據的傳播擴散。

4.4 邊界防護

為滿足海上工控系統對網絡區域邊界防護的要求，在每套工控系統接口處均需部署可信網關/工業防火墻/網閘，對進出的訪問行為進行有效的控制，防止非授權行為的任意接入，避免發生網絡惡意行為對工程師站、操作員等關鍵系統的破壞和非法操作。目前，工控系統主要包括過程控制、緊急停車、火氣報警系統以及集成包設備等，為保證各系統的安全性和可靠性，各系統的網絡應相對獨立，安全系統應獨立成網并具有對應的安全認證。通常撬裝設備子系統有獨立的網絡，撬裝設備與控制網絡之間也應設置如Modbus之類的邊界防護設備，以保證網絡安全。

常見的工控防火墻對工控協議做了深度的解析，可以對操作人員和外網非法訪問進行基于IP、MAC、工控協議或任意組合方式的訪問進行控制。另外，用戶可以根據具體需求設置更細粒度的策略，如對某個工控協議的只讀、讀寫或者禁用，防止數據被篡改或信息外泄。工控邊界防護設備應支持通用防火墻會話狀態檢測、包過濾機制及工控協議的深度訪問控制，同時也支持專用防火墻（針對控制器級別的專用防火墻）對核心設備的保護，阻止各類非授權訪問行為。

4.5 Dos攻擊防護

按照FR7資源可用性系統要求，工控系統需滿足標準，以保證控制系統的可用性。工控系統對網絡的實時性和響應速度有很高的要求，為了保證其可用性和高效性，可在邊界防護設備上開啟異常報文檢測與異常流量檢測功能，以防止land攻擊、Teardrop攻擊、Ping of death以及各種Flood攻擊所導致的網絡或工控系統的癱瘓。同時，為保證海上平臺間的關斷信號在網絡通道中的安全傳輸，工控系統需要滿足相應的安全等級認證來確保緊急停車系統的安全關斷，確保緊急關斷信號傳輸的安全性、可用性。

5 主機信息安全

目前，海上平臺的工程師站均為Windows操作系統，工作站、DCS系統實時服務器等主機存在未使用的USB端口及光驅。為防止現場工程師使用未經安全檢查的移動介質，在工控網設備上進行上傳或下載數據信息操作，從而將病毒木馬帶入終端并通過終端擴散到工控網絡的各個區域，最終致使整個工控網絡癱瘓，甚至造成人身安全，需要在主機上部署相應的防護系統，避免工作站受到未知漏洞威脅，同時阻止操作人員的異常操作所帶來的危害。主機信息安全的防護主要體現在以下三個方面：

（1）主機操作系統防護。需支持操作系統完整性檢查，包括注冊表保護、配置文件保護、防止操作系統被惡意軟件破環等。

（2）阻止惡意代碼的執行和擴散。需滿足FR3中SR3.2惡意代碼的防護要求，采用防護機制來防止、檢測、報告和消減惡意代碼或非授權軟件的影響。通過白名單機制，可以有效阻止白名單外的程序、木馬、蠕蟲等惡意代碼的執行，進而有效避免系統感染Flame、震網病毒、Havex、BlackEnergy等工控惡意代碼。同時，控制系統還應提供更新防護機制的能力。

（3）移動存儲管理。根據需要靈活控制安全U盤和普通U盤的“禁用、只讀、可讀寫”權限。在信息安全源頭解決病毒、木馬、蠕蟲、等惡意代碼的入侵及傳播。

6 安全審計

為滿足FR6對事件的及時響應要求，可在海上工控網絡中部署網絡安全審計系統，對工控網絡中的控制系統、主站系統和信息安全產品的操作行為進行審計，以保證觸發審計系統的事件存儲在審計系統內，并且能夠根據存儲的記錄和操作者的權限進行查詢、統計、管理、維護等操作，并且能夠在必要時從記錄中抽取所需要的資料。

安全審計通過收集并分析系統日志等數據，從而發現違反安全策略的行為。與防火墻相比，安全審計主要側重于事后分析，即當發生安全事故或者發生違反安全策略的行為之后，通過檢查、分析、比較審計系統收集的數據，從中發現違反安全策略（入侵檢測、惡意接入、流量監控等）的行為。

采用具有報警分析能力的高級報警管理技術，通過報警分級等手段將最重要的信息展現在操作員面前，從而可對報警的產生進行多方面分析，并在生產工藝層面進行優化，消除不必要報警，進一步提高響應效率。

7 結束語

本文從GB/T30976標準出發，針對海上油氣田工業控制系統應用的主要風險，提出海上油氣田工控系統安全整體防護設計理念，通過與標準對照，提出防護方案及設計要點要求，對企業工控系統信息安全的防御具有一定的現實意義。■

Research on the Safety of Offshore Oil & Gas Field Industrial Control System Based on GB / T 30976

Kang Siwei，Deng Jing，Xue Hailin, Yi Fei
(CNOOC China Limited Shanghai Branch, Shanghai, 200335)

Based on the national evaluation standards, this paper puts forward the design of the overall safety protection of the industrial control system for offshore oil and gas felds, from the aspects of network security, host security and audit, aiming at the main risks of the industrial control system.

industrial control system security; white list

10.3969/J.ISSN.1672-7274.2017.02.006

TN915.08，TP393

A

1672-7274（2017）02-0025-04