分散控制系統(tǒng)信息安全方案探討

楊樂

(浙江中控技術(shù)股份有限公司，浙江 杭州 310053)

分散控制系統(tǒng)信息安全方案探討

楊樂

(浙江中控技術(shù)股份有限公司，浙江 杭州 310053)

根據(jù)信息安全問題的設(shè)計(jì)目標(biāo)和原則，基于煉化一體化項(xiàng)目特征，提出將分散控制系統(tǒng)(DCS)信息安全分析、信息安全防護(hù)結(jié)構(gòu)、信息安全管理體系建設(shè)等要素相結(jié)合的設(shè)計(jì)方案。通過信息安全分析對(duì)威脅、脆弱性以及影響給予全面評(píng)估，依據(jù)規(guī)范要求進(jìn)行網(wǎng)絡(luò)分層后，在防護(hù)結(jié)構(gòu)上設(shè)計(jì)逐級(jí)防護(hù)方案解決信息安全中企業(yè)易忽視的一些關(guān)鍵問題，討論以信息安全管理體系保障企業(yè)持續(xù)改進(jìn)、實(shí)現(xiàn)企業(yè)信息安全管理的目標(biāo)。

分散控制系統(tǒng) 信息安全 防護(hù)結(jié)構(gòu) 管理體系

中國(guó)是石油生產(chǎn)和消費(fèi)大國(guó)，煉油能力從2000年的2.76×108t/a提高到2015年底的7.10×108t/a[1]。在能源矛盾日益突出的大背景下，技術(shù)進(jìn)步必然成為國(guó)內(nèi)石油、石化行業(yè)發(fā)展的重要推動(dòng)力，隨著煉油、乙烯及煉化一體化項(xiàng)目的應(yīng)運(yùn)而生，呈現(xiàn)出大型化、一體化和智能化的發(fā)展趨勢(shì)，要求控制系統(tǒng)必須符合大規(guī)模、高實(shí)時(shí)性、高可靠性、高效率等技術(shù)要求。

以分散控制系統(tǒng)(DCS)為代表的工業(yè)控制系統(tǒng)(ICS)已廣泛應(yīng)用于石油化工行業(yè)，ICS逐步從封閉、孤立的系統(tǒng)走向互聯(lián)網(wǎng)。由于長(zhǎng)期缺乏相關(guān)安全需求的推動(dòng)，當(dāng)前大多數(shù)的ICS都普遍存在著各種各樣的安全隱患，一旦面臨病毒、惡意軟件、黑客入侵等安全攻擊，將嚴(yán)重干擾甚至破壞控制系統(tǒng)甚至嚴(yán)重威脅基礎(chǔ)設(shè)施自身安全乃至國(guó)家安全。2010年針對(duì)伊朗布什爾核燃料提煉工廠的Stuxnet“震網(wǎng)”，2015年12月烏克蘭電力系統(tǒng)遭高度破壞性惡意軟件攻擊導(dǎo)致大規(guī)模停電事件等，均引起了巨大反響。ICS的安全威脅絕非杞人憂天，2011年9月，工業(yè)與信息化部發(fā)布“關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知”，明確了重點(diǎn)領(lǐng)域ICS信息安全管理的要求。2016年11月，全國(guó)人大常委會(huì)第二十四次會(huì)議通過《網(wǎng)絡(luò)安全法》等，政府及各相關(guān)部門對(duì)信息安全極為重視[2]。

鑒于大型煉化一體化項(xiàng)目在國(guó)民經(jīng)濟(jì)中的地位，其信息安全問題至關(guān)重要，對(duì)于大型煉化一體化項(xiàng)目至今鮮有針對(duì)性的信息安全研究分析。結(jié)合筆者參與的安慶石化、九江石化等千萬(wàn)噸級(jí)煉油等大型煉化一體化項(xiàng)目信息安全設(shè)計(jì)問題，文中對(duì)系統(tǒng)架構(gòu)及方案設(shè)計(jì)進(jìn)行了全面探討，以期對(duì)同類項(xiàng)目設(shè)計(jì)乃至石油、石化行業(yè)項(xiàng)目設(shè)計(jì)信息安全研究及實(shí)踐提供參考。

1 信息安全方案設(shè)計(jì)目標(biāo)與原則

對(duì)于煉化一體化項(xiàng)目的信息安全問題，作為承擔(dān)主要設(shè)計(jì)任務(wù)的信息專業(yè)人員，因缺乏對(duì)ICS的了解而使信息安全問題容易成為工作界面的真空地帶，存在著重大的安全隱患。信息安全事件無一不是從小問題上被攻擊，繼而全面爆發(fā)造成嚴(yán)重后果。一些企業(yè)在信息安全事件的驅(qū)動(dòng)下，在大型項(xiàng)目設(shè)計(jì)上考慮配置防火墻等硬件設(shè)備或防病毒軟件，認(rèn)為這就實(shí)現(xiàn)了信息安全，顯然，這種理解是片面的。

筆者認(rèn)為，DCS信息安全的設(shè)計(jì)關(guān)鍵目標(biāo)應(yīng)全面分析DCS以及與DCS相關(guān)的ICS的脆弱性，包括硬件、軟件、過程以及人為因素等，確定哪些措施能限制這些因素，最終保證系統(tǒng)運(yùn)行的可用性、完整性、機(jī)密性，全面增強(qiáng)系統(tǒng)自身的魯棒性。因此，用戶應(yīng)從以下幾個(gè)方面出發(fā)，針對(duì)信息安全問題建立有效的機(jī)制：

1) 人員的信息安全意識(shí)要到位。

2) 需要對(duì)設(shè)備管理與風(fēng)險(xiǎn)進(jìn)行充分分析。

3) 需要設(shè)計(jì)滿足要求的防御體系進(jìn)行防護(hù)。

4) 需要引入網(wǎng)絡(luò)監(jiān)測(cè)或系統(tǒng)監(jiān)視機(jī)制等。

5) 需要具備及時(shí)獲取信息、識(shí)別有潛在影響的威脅、提升脆弱性的識(shí)別能力。

6) 需要建立事件響應(yīng)機(jī)制。

7) 需要建立災(zāi)難恢復(fù)計(jì)劃。

2 煉化一體化項(xiàng)目信息安全方案設(shè)計(jì)

煉化一體化項(xiàng)目的DCS信息安全問題并不是單個(gè)業(yè)務(wù)部門、單套硬件設(shè)備等能解決的孤立問題，而是應(yīng)從防護(hù)結(jié)構(gòu)設(shè)計(jì)、安全評(píng)估、管理體系等要求出發(fā)，妥善考慮并持續(xù)改進(jìn)的系統(tǒng)性問題。結(jié)合近期實(shí)施的一些大型煉化一體化項(xiàng)目，筆者認(rèn)為安全分析是前提，防護(hù)結(jié)構(gòu)設(shè)計(jì)是核心，管理體系是保障，三者缺一不可。

2.1 DCS信息安全分析

煉化一體化項(xiàng)目DCS安全評(píng)估涉及DCS設(shè)備、工藝特點(diǎn)、DCS脆弱性與威脅等要素，并充分考慮石油化工行業(yè)的復(fù)雜性、重要性、可用性要求、安全事件、殘余風(fēng)險(xiǎn)、安全需求等屬性，核心任務(wù)是對(duì)威脅、脆弱性及其影響進(jìn)行評(píng)估，在此基礎(chǔ)上對(duì)風(fēng)險(xiǎn)進(jìn)行分析并確定優(yōu)先級(jí)排序，最終對(duì)DCS安全進(jìn)行綜合評(píng)估，分析流程如圖1所示。

圖1 DCS信息安全分析流程示意

針對(duì)大型煉化一體化項(xiàng)目，應(yīng)在安全評(píng)估后、投運(yùn)前或檢修期間再次對(duì)DCS進(jìn)行風(fēng)險(xiǎn)與脆弱性檢查，目的是在保證DCS安全評(píng)估的基礎(chǔ)上，通過對(duì)DCS的軟件和系統(tǒng)通信安全的風(fēng)險(xiǎn)和脆弱性檢測(cè)，發(fā)現(xiàn)現(xiàn)有DCS中潛在的安全風(fēng)險(xiǎn)和漏洞。通過對(duì)潛在風(fēng)險(xiǎn)的處置，進(jìn)一步提高DCS的安全性，檢測(cè)內(nèi)容包括：

1) DCS軟件安全風(fēng)險(xiǎn)與脆弱性檢測(cè)。涉及操作員站操作系統(tǒng)、實(shí)時(shí)數(shù)據(jù)庫(kù)軟件、OPC軟件、人機(jī)交互軟件、監(jiān)控軟件等。

2) DCS網(wǎng)絡(luò)通信協(xié)議安全風(fēng)險(xiǎn)與脆弱性檢測(cè)。涉及以太網(wǎng)協(xié)議通信機(jī)制檢測(cè)、工業(yè)網(wǎng)絡(luò)協(xié)議通信機(jī)制檢測(cè)、DCS通信數(shù)據(jù)安全檢測(cè)、DCS通信服務(wù)檢測(cè)、DCS狀態(tài)及轉(zhuǎn)換檢測(cè)等。

結(jié)合系統(tǒng)安全要求，針對(duì)檢測(cè)出的潛在風(fēng)險(xiǎn)對(duì)DCS的安全影響進(jìn)行分析，依照DCS的安全目標(biāo)確定潛在風(fēng)險(xiǎn)是否可被接受；對(duì)于不可接受的潛在風(fēng)險(xiǎn)，進(jìn)行相應(yīng)的處理。

2.2 防護(hù)結(jié)構(gòu)設(shè)計(jì)

2.2.1 網(wǎng)絡(luò)分層

根據(jù)SH/T 3092—2013《石油化工分散控制系統(tǒng)設(shè)計(jì)規(guī)范》[3]，DCS總體結(jié)構(gòu)可分為過程控制層、操作監(jiān)控層和數(shù)據(jù)服務(wù)層，向上通過接口連接生產(chǎn)運(yùn)行管理層。規(guī)范規(guī)定工廠管理網(wǎng)與DCS的過程控制網(wǎng)之間應(yīng)設(shè)置防火墻，要求工廠管理網(wǎng)在內(nèi)的外部管理數(shù)據(jù)接口、與DCS功能相關(guān)的第三方的應(yīng)用計(jì)算機(jī)及網(wǎng)絡(luò)等，應(yīng)通過數(shù)據(jù)服務(wù)層的過程數(shù)據(jù)接口服務(wù)器交換數(shù)據(jù)，并規(guī)定了網(wǎng)絡(luò)分區(qū)辦法等，如圖2所示。

圖2 煉化一體化項(xiàng)目網(wǎng)絡(luò)分層設(shè)計(jì)示意

煉化一體化項(xiàng)目首先應(yīng)規(guī)范網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，嚴(yán)格將生產(chǎn)調(diào)度管理、生產(chǎn)分析、油品調(diào)和、罐區(qū)管

理、控制優(yōu)化、OPC服務(wù)器、Web服務(wù)器等部署在數(shù)據(jù)服務(wù)層；將工程師站、操作員站、歷史記錄工作站、IDM操作站、ODS監(jiān)控站、實(shí)時(shí)數(shù)據(jù)庫(kù)等，與現(xiàn)場(chǎng)監(jiān)視控制實(shí)時(shí)相關(guān)的系統(tǒng)部署在同一層形成操作監(jiān)控層，兩網(wǎng)之間采用技術(shù)手段保證不直接相連；同時(shí)將監(jiān)控層以下的現(xiàn)場(chǎng)控制層進(jìn)行細(xì)分。過程控制層和數(shù)據(jù)監(jiān)控層按操作或管理進(jìn)行網(wǎng)絡(luò)分區(qū)，劃分為不同的子網(wǎng)或虛擬局域網(wǎng)(VLAN)，確保數(shù)據(jù)傳輸至正確的節(jié)點(diǎn)。

DCS核心的控制網(wǎng)絡(luò)、通信網(wǎng)絡(luò)等必須進(jìn)行冗余設(shè)計(jì)，關(guān)鍵的實(shí)時(shí)數(shù)據(jù)、歷史數(shù)據(jù)、OPC數(shù)據(jù)、組態(tài)數(shù)據(jù)等也需要定時(shí)備份。

2.2.2 威脅分析

簡(jiǎn)要分析圖2所示在每一層所采用的協(xié)議與存在的威脅，可得表1所列的結(jié)果。

表1 煉化一體化項(xiàng)目DCS網(wǎng)絡(luò)分層設(shè)計(jì)及威脅分析

2.2.3 防護(hù)結(jié)構(gòu)設(shè)計(jì)

在煉化一體化項(xiàng)目中，DCS強(qiáng)調(diào)的是工業(yè)自動(dòng)化過程及相關(guān)設(shè)備的智能控制、監(jiān)測(cè)與管理。DCS在系統(tǒng)架構(gòu)、設(shè)備操作、通信協(xié)議等方面與普通IT信息系統(tǒng)存在較大差異，DCS更為關(guān)注系統(tǒng)的實(shí)時(shí)性與業(yè)務(wù)連續(xù)性。因此，僅依靠某一項(xiàng)單獨(dú)的防護(hù)技術(shù)不足以防御威脅，針對(duì)表1的分層設(shè)計(jì)及面臨的主要威脅分析，需要采用多層信息安全防護(hù)結(jié)構(gòu)，在不同安全和可靠性需求的層次執(zhí)行不同等級(jí)的通信機(jī)制，通常可以提出采用防護(hù)軟件的部署、防護(hù)設(shè)備的部署、技術(shù)防護(hù)以及深層防御等來實(shí)現(xiàn)防護(hù)。

對(duì)于圖2提出的煉化一體化項(xiàng)目網(wǎng)絡(luò)分層設(shè)計(jì)，文中提出了逐級(jí)防護(hù)結(jié)構(gòu)。

1) 引入DMZ區(qū)。由于L4層與L1～L3層保護(hù)等級(jí)不同以及需求差異，因而在L4層和L3層之間引入L3.5層DMZ進(jìn)行邊界防護(hù)，在DMZ區(qū)放置向L4層提供數(shù)據(jù)服務(wù)和向L3層下達(dá)生產(chǎn)指令的服務(wù)器，并采用雙防火墻架構(gòu)分別保證向上L4層和向下L3層的數(shù)據(jù)通信安全。

2) 入侵容忍。作為直接與控制對(duì)象連接的L1層、可通過攻擊誘騙等進(jìn)行間接攻擊的L2層、與L2互聯(lián)互通的L3層，這3層的防護(hù)可謂重中之重。但相比DCS的可用性、實(shí)時(shí)性、可靠性和安全性等系統(tǒng)性能，信息安全防護(hù)只能是次一級(jí)目標(biāo)，如果一旦與性能目標(biāo)沖突，信息安全防護(hù)往往只能被迫撤銷，這種機(jī)制被稱為“入侵容忍”[4]。“入侵容忍”并不意味在L1～L3層可以不設(shè)防，實(shí)際上許多企業(yè)在這三層的防護(hù)是最為薄弱的，一旦突破邊界防護(hù)進(jìn)入則意味著攻擊者可以長(zhǎng)驅(qū)直入，無疑存在安全隱患。因此，在確保系統(tǒng)性能目標(biāo)的前提下，采用如下防御方案：

a) 在L3層設(shè)置入侵檢測(cè)與防護(hù)的審計(jì)平臺(tái)。設(shè)置入侵檢測(cè)與防護(hù)設(shè)備能夠監(jiān)視邊界處的常見網(wǎng)絡(luò)攻擊行為，如端口掃描攻擊、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲等。在檢測(cè)到攻擊行為時(shí)，實(shí)時(shí)記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，并提供報(bào)警。目前網(wǎng)絡(luò)監(jiān)控平臺(tái)大多由信息安全設(shè)備廠家提供，但由于缺乏對(duì)DCS控制網(wǎng)協(xié)議的深入解析，實(shí)際上這種檢測(cè)與防護(hù)功能并不完整，因而DCS廠商應(yīng)開發(fā)并提供適用于DCS通信協(xié)議的網(wǎng)絡(luò)監(jiān)測(cè)、審計(jì)與防護(hù)功能的平臺(tái)。

b) 在L2層提供統(tǒng)一管理平臺(tái)。具體策略可包括： 采用嚴(yán)格的身份認(rèn)證，建立DCS組態(tài)修改監(jiān)視模型，如發(fā)現(xiàn)非授權(quán)組態(tài)修改或非法修改則立即報(bào)警，在操作站安裝“白名單”技術(shù)的防病毒軟件，設(shè)置補(bǔ)丁管理服務(wù)器等。

c) 在L1層設(shè)置安全防護(hù)屏障。采用符合安全認(rèn)證的控制器或控制防火墻、嵌入式設(shè)備、主機(jī)設(shè)備等系統(tǒng)部件，同時(shí)采用漏洞掃描和模糊測(cè)試的Achilles測(cè)試體系等，用戶可通過技術(shù)要求促使DCS廠商開發(fā)通過認(rèn)證的核心部件。

3) 妥善應(yīng)用物理層通信協(xié)議。在物理層，DCS的I/O通道和控制對(duì)象直接連接，是最終的攻擊對(duì)象，為了保護(hù)工業(yè)過程免除攻擊，往往通過設(shè)置安全儀表系統(tǒng)(SIS)來建立最終的物理安全保護(hù)線，因而在信息安全技術(shù)未完全成熟前，SIS應(yīng)暫緩應(yīng)用無線技術(shù)或采用未通過安全認(rèn)證的通信協(xié)議進(jìn)行通信，避免引入新的風(fēng)險(xiǎn)點(diǎn)。

2.3 信息安全管理體系

煉化一體化項(xiàng)目應(yīng)在企業(yè)信息安全的管理體系總體框架或環(huán)境下，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持與改進(jìn)規(guī)范化的DCS信息安全管理體系，具體包括：

1) 建立信息安全管理體系。建立與管理DCS安全風(fēng)險(xiǎn)和改進(jìn)DCS信息安全有關(guān)的方針、目標(biāo)、過程和規(guī)程，識(shí)別DCS關(guān)鍵業(yè)務(wù)流程、技術(shù)流程，確定DCS與第三方的通信接口，對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行等級(jí)劃分，識(shí)別危害場(chǎng)景，開展風(fēng)險(xiǎn)評(píng)估，分析和評(píng)價(jià)風(fēng)險(xiǎn)等。

2) 實(shí)施與運(yùn)行安全管理體系。建立安全政策、人員意識(shí)培訓(xùn)，進(jìn)行風(fēng)險(xiǎn)管理與實(shí)施，進(jìn)行系統(tǒng)開發(fā)與維護(hù)，確定文件管理等制度，明確信息安全事件規(guī)劃與響應(yīng)。

3) 監(jiān)視與評(píng)審安全管理體系。對(duì)照方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估測(cè)量安全管理過程的執(zhí)行情況，并將結(jié)果提交給管理者評(píng)審；建立符合信息安全管理的測(cè)量體系，審計(jì)文件跟蹤制度，建立懲罰性措施等。

4) 保持和改進(jìn)安全管理體系。建立專門負(fù)責(zé)管理體系改進(jìn)和實(shí)施的部門或團(tuán)隊(duì)；定期評(píng)估管理體系，建立一系列的觸發(fā)條件評(píng)價(jià)體系，如重大信息安全事件、DCS結(jié)構(gòu)重大變動(dòng)等；識(shí)別改進(jìn)與預(yù)防措施，可容忍風(fēng)險(xiǎn)評(píng)審，監(jiān)視與評(píng)估策略，法律法規(guī)或行業(yè)標(biāo)準(zhǔn)監(jiān)視以及安全建議反饋等。

3 結(jié)束語(yǔ)

結(jié)合大型煉化一體化項(xiàng)目對(duì)于信息安全問題的考慮，根據(jù)設(shè)計(jì)目標(biāo)和原則，文中詳細(xì)研究了DCS信息安全的結(jié)構(gòu)及防護(hù)設(shè)計(jì)、安全分析以及管理體系建設(shè)等問題。

信息安全成為近期討論的熱點(diǎn)話題，已受到越來越多的關(guān)注。DCS廠商正在逐步完善自身防護(hù)方案，展望未來，筆者認(rèn)為有如下問題亟需得到解決：

1) 盡快推出適用于石油化工行業(yè)大型項(xiàng)目DCS的信息安全標(biāo)準(zhǔn)，規(guī)范DCS結(jié)構(gòu)設(shè)計(jì)等，規(guī)范邊界防護(hù)設(shè)備選型和各層級(jí)安全配置，避免因招標(biāo)成本限制出現(xiàn)防護(hù)功能缺失或漏配。

2) 推行適用于國(guó)內(nèi)大型項(xiàng)目建設(shè)需求的產(chǎn)品安全認(rèn)證，要求DCS廠商推出符合認(rèn)證的核心部件，如控制器、內(nèi)建網(wǎng)絡(luò)防火墻等；推出可適用于DCS的網(wǎng)絡(luò)檢測(cè)及審計(jì)平臺(tái)等。

3) 企業(yè)內(nèi)儀表專業(yè)人員應(yīng)與信息部門人員深入交流，推行適合本企業(yè)的信息安全管理體系建設(shè)，從根本上保障信息安全防護(hù)無疏漏，并將系統(tǒng)信息安全意識(shí)灌輸給企業(yè)全體人員。

[1] 白雪松.2013年中國(guó)煉油行業(yè)發(fā)展回顧及2014年展望[J].化工工業(yè)，2014，32(04)： 12-17.

[2] 中控信息安全測(cè)評(píng)中心.2015年ICS信息安全態(tài)勢(shì)分析[J].中國(guó)信息安全，2016(04)： 69-73.

[3] 楊剛，馮欣，葉向東，等.SH/T 3092—2013石油化工分散控制系統(tǒng)設(shè)計(jì)規(guī)范[S].北京： 中國(guó)石化出版社，2013.

[4] Huang Shuang, Zhou Chunjie, Yang Shuanghua, et al. Cyber-physical System Security for Networked Industrial Processes[J]. International Journal of Automation and Computing, 2015, 12(06)： 567-578.

[5] 肖建榮.ICS信息安全[M].北京： 電子工業(yè)出版社，2015.

[6] William K, Daniel P, David H, et al. A Survey of Cybersecurity Management in Industrial Control Systems[J]. International Journal of Critical Infrastructure Protection, 2015， 9(S1)： 52-80.

[7] 范宗海，于寶全.大型煉化一體化項(xiàng)目DCS網(wǎng)絡(luò)安全策略[J].石油化工自動(dòng)化，2010，46(03)： 1-6.

[8] 鄭文奇，鐘晨，申屠久，洪，等.工業(yè)控制系統(tǒng)信息安全評(píng)估和改造[J].自動(dòng)化應(yīng)用，2016(11)： 90-92.

[9] 黃惠萍，肖世德，孟祥印.基于攻擊樹的工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)應(yīng)用研究，2015，32(10)： 3022-3025.

Discussion on Information Security Design of Distributed Control System

Yang Le

(Zhejiang SUPCON Technology Co.Ltd., Hangzhou, 310053, China)

According to design goals and principles of information security, based on characteristics of refinery and petrochemical integrated project, design scheme with combination of three factors of distributed control system (DCS) information security analysis, information security protection structure, and information security management system construction is put forward. Comprehensive assessment on threats, vulnerability and impact is studied through analysis on information security. After network layering according to specification requirements, layer protection for solving some key problems easily being neglected by enterprises is designed in protection structure. Management system to guarantee sustainable improvement and to realize information security management goal for enterprises is discussed.Key words： distributed control system; information security; protection structure; management system

楊樂(1974—)，男，浙江德清人，畢業(yè)于浙江大學(xué)控制理論與控制工程專業(yè)，獲博士學(xué)位，現(xiàn)就職于浙江中控技術(shù)股份有限公司，研究方向?yàn)樽詣?dòng)化控制系統(tǒng)設(shè)計(jì)、工業(yè)控制系統(tǒng)信息安全等，任大客戶中心副總監(jiān)。

TP273

B

1007-7324(2017)03-0001-04

稿件收到日期： 2016-12-21，修改稿收到日期： 2017-02-13。