大型煉化廠工控系統安全防護方案研究

◆李 季

（廣州地鐵集團有限公司 廣東 510330）

隨著兩化融合在煉化行業中加速發展，石化和化工企業普遍采用了高度自動化的生產技術裝備和高度信息化的運營管理手段，極大地提升了生產效率。與此同時，嚴峻的網絡安全風險也如影隨形。煉化廠工控系統的網絡化、智能化在提高生產效率和管理效率的同時，也為惡意攻擊者增加了新的攻擊途徑，針對工控系統的攻擊技術和手段不斷發展，各種工控系統惡意軟件以及安全事件層出不窮，使得工控系統面臨越來越多的安全威脅和挑戰。煉油行業網絡信息安全防護有其特殊性。一是其防護的攻擊主體特殊，與以謀財、牟利為目的的網絡詐騙、網絡入侵等傳統網絡攻擊所不同，產業入侵者不會是一般意義上的“黑客”，而很可能是恐怖組織甚至是敵對國家力量支撐的組織；二是遭受攻擊破壞后果嚴重，大型煉油或化工裝置的關鍵設施一旦遭受攻擊，會直接威脅到國民經濟的發展和社會安定[1]。

1 煉化廠工控系統現狀分析

1.1 脆弱性分析

（1）操作系統

煉化廠工作站多數采用 Windows操作系統，一般系統上線后，很少對工作站和服務器很少打補丁，存在系統漏洞，系統安全配置未啟用或配置薄弱，從而埋下安全隱患。另一方面，防病毒軟件的安裝不全面，即使安裝后也不及時更新防惡意代碼軟件版本和惡意代碼庫[2]。

（2）應用軟件

工控系統的監控軟件（組態軟件）、OPC軟件、APC優化控制軟件、網絡管理軟件等應用系統，由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問題，有可能存在較大的權限泄露風險[2]。

（3）控制設備

在煉化廠的工控系統中，絕大多數采用的是國外的品牌，如霍尼韋爾、橫河、西門子、羅杰康等。這些設備已暴露出大量的漏洞甚至后門，一方面在網絡互聯狀態下存在生產數據泄漏風險，另一方面現場控制設備基本沒有安全防護能力，不法人員利用設備漏洞可以對現場設備進行篡改和惡意控制。這些漏洞一旦被利用，造成的攻擊不堪設想、損失不可估計。

（4）工業協議

在煉化系統中大量采用OPC協議通信，而OPCClassic協議(OPCDA，OPCHAD和OPCA&E)基于微軟的DCOM協議，DCOM協議是在網絡安全問題被廣泛認識之前設計的，極易受到攻擊，并且OPC通訊采用不固定的端口號。同時，DCOM配置要求OPC服務端和多個OPC客戶端使用相同用戶名和口令，OPC客戶端有對服務端數據進行讀取、修改等全部的訪問權限，不滿足最小授權原則，造成采集數據安全性無法得到保障[3]。

（5）工程師站

工程師站缺少身份認證和接入控制策略，且操作權限大，便攜式工程師站成為工控安全的重大隱患。工程師站對操作站、DCS控制器的組態行為一般無身份認證和訪問控制，并且擁有最高的操作權限，可以任意修改控制邏輯和流程，非法的工程師站成為工控安全的重大隱患。有些行業工程師站登陸過程缺少身份認證，且工程師站對操作站、控制器等進行組態時均缺乏身份認證，存在任意工程師站可以對操作站、現場設備直接組態的可能性。

（6）廣播風暴

在一些較大型的煉化網絡中，當大量廣播信息，如地址查詢等同時在網絡中傳播時，會發生數據包的碰撞。隨后，網絡試圖緩解這些碰撞并重傳更多的數據包，結果導致全網的可用帶寬阻塞，并最終使得網絡失去鏈接而癱瘓，該過程稱為廣播風暴[4]。另外現在的蠕蟲病毒往往占據計算機的資源，使應用程序無法響應系統的要求，造成系統的堵塞或崩潰。

1.2 安全分析

（1）網絡邊界模糊，缺少控制措施

煉化廠過程控制層與生產監控層之間、各生產車間之間以及不同功能監控系統之間，系統邊界不清晰，邊界訪問控制策略缺失，無法保障工控網絡、生產設備安全。

例如，煉化系統DCS過程監控層與生產管理網的OPC數采機連接處、先進控制系統的連接處以及操作員站之間的連接處缺少訪問控制措施，網絡連接處易受病毒侵襲風險。OPC協議在使用過程中，OPC服務端和多個OPC客戶端使用相同用戶名和口令。OPC客戶端有對服務端數據進行讀取、修改等全部的訪問權限，不滿足最小授權原則[5]。

（2）缺少網絡安全審計

煉化廠內部控制系統及網絡缺乏安全監測與審計機制，不能及時了解網絡狀況（如違規操作、病毒木馬入侵、關鍵配置變更、網絡風暴等），一旦發生問題不能及時確定問題所在，不能及時排查到故障點，排查過程耗費大量人力成本、時間成本。

（3）主機帶“洞”運行，存在諸多安全隱患

煉化系統現場工程師站、操作員站大多數安裝的是Windows操作系統，由于傳統 DCS控制系統內外網的完全隔離的網絡結構特點及應用軟件兼容性等方面的考慮，操作系統基本上不進行任何補丁的更新，這也為針對操作系統漏洞的攻擊提供了可能。

另外，用于工控系統的 Windows操作系統基于工控軟件與殺毒軟件的兼容性的考慮，通常不安裝殺毒軟件，給病毒與惡意代碼傳染與擴散留下了空間[6-7]。

（4）缺少安全日志收集手段

像DCS、PLC、SCADA等系統都存有日志，定期進行管理；而對交換機、防火墻等網絡設備、安全設備的運行日志沒用過多關注，缺乏對日志的審計，無法第一時間感知系統威脅。

（5）缺少運維審計手段

大型DCS系統的運維服務一般交由廠商或系統集成商委托運維，如先進控制系統（APC）一般由第三方軟件供應商提供，針對第三方對系統的運維缺少必要的運維審計措施，運維行為不可控，是否合規無法感知，存在重大的安全隱患，需要加強監管。

（6）上線前未測試，系統帶“病”運行

一些煉化的工控系統在上線前未進行安全性測試，系統上線后存在大量安全風險漏洞，安全配置薄弱，甚至有的系統帶毒工作。

存在使用移動存儲介質不規范問題，易引入病毒及黑客攻擊程序。在工控系統運維和使用過程中，存在隨意使用U盤、光盤、移動硬盤等移動存儲介質現象，有可能傳染病毒、木馬等威脅工控系統。

2 煉化廠工控系統安全防護設計

2.1 防護思路

（1）安全分區

根據工控系統業務的重要性、功能等因素劃分不同安全區，在各安全區之間采取相應的隔離措施；另外也要從綜合成本的角度，提出針對不同工控系統特點的保護強度，在不影響整體安全性的前提下，有效控制安全成本。

（2）“白名單”基線

應從工控系統設備準入、操作行為、通訊鏈路、主機進程等方面構建白名單安全基線。

（3）縱深防御體系

應構建多方面、多層次、多手段的技術安全防護體系（涉及邊界防護、訪問控制、接入管控、異常檢測、終端加固、流量基線、行為白名單、進程白名單以及U盤管控等方面）。

（4）綜合審計

建立多方面綜合立體審計體系，包括設備接入審計、網絡審計、操作審計及安全運維審計等。

（5）統一安全管理

通過統一安全管理平臺實時搜集，大數據關聯分析，實時動態發現工控系統網絡中的風險并預警。有效提高信息安全工作效率，降低人員安全維護成本，提升企業生產業務系統的整體安全防護水平。

2.2 安全架構設計

依據上述安全現狀和防護思路，煉化廠工控系統安全架構設計如圖1所示。

（1）邊界防護

邊界在防護產品通常以串接方式接入，部署在工控以太網與企業管理網絡之間、工廠的不同區域之間，或者控制層與現場設備層之間。通過一定的訪問控制策略，對工控系統邊界、工控系統內部區域邊界進行保護。

在生產管理層與企業資源層之間部署網閘設備，進行APC網絡與生產網進行邊界安全防護。過程監控網和生產管理層之間部署工業防火墻設備，基于工控協議配置合理的主機訪問規則，并針對工業控制網絡在同一個大網的情況，通過ACL等安全訪問策略的配置對生產網絡進行邏輯分區。

圖1 煉化廠工控系統安全防護架構設計

（2）網絡審計

部署在過程監控層與過程控制層之間的交換機上的監測引擎通過鏡像接口分析 DCS系統中的網絡流量，及時發現網絡流量或設備的異常情況并告警，通常不會主動阻斷通信，產品自身的故障不會直接影響工控系統的正常運行。

工控網絡監測與審計系統對工控網絡中的網絡流量進行采集、監測和分析，有效識別工控網絡中的安全隱患、惡意攻擊以及違規操作等安全風險。

工控網絡監測與審計系統可以有效預警類似伊朗“震網”事件、烏克蘭電網事件的惡意攻擊。

工控網絡監測與審計系統旁路接入各控制系統網絡，只抓取現場控制系統網絡數據包進行分析處理，不向現場控制系統發送任何命令和數據包。

通過部署監測引擎，對流經各分區系統網絡交換機的數據流量進行實時解析并與工控安全監測與審計系統下發的黑、白名單、關鍵事件等策略智能匹配，確定每條報文歸屬類型，并將審計結果上傳至位于生產管理層的監測與審計管理平臺做進一步的展現及白名單自學習。

（3）主機防護

工控系統中會部署一定數量的主機設備，如工程師站、操作員站等。這些設備往往是工控系統的風險點，病毒的入侵、人為的誤操作等威脅主要都是通過主機設備進入工控系統。因此，對這些主機設備進行安全防護尤為重要。通過部署終端安全管理系統，在主機上安裝代理程序（工控安全衛士），限制只有可信的程序、進程才允許執行，防止惡意程序的侵入。同時，對移動存儲介質進行管控，防止通過移動存儲介質引入蠕蟲、病毒等惡意攻擊。

（4）運維審計

針對網絡設備、服務器、工控設備部署遠程運維審計系統，對各系統運維人員進行資源授權，權限分配，有效防范第三方維護人員對非授權設備的操作，同時通過策略配置，可以對正在操作的違規流量進行有效阻斷，對運維行為對事后發生的問題能夠準確定位。

通過邏輯上將人與目標設備分離，建立“人-＞主賬號（堡壘機用戶賬號）-＞授權-＞從賬號（目標設備賬號）-＞目標設備”的管理模式；在此模式下，通過基于唯一身份標識的集中賬號與訪問控制策略，與各服務器、網絡設備、安全設備、數據庫服務器等無縫連接，實現集中精細化運維操作管控與審計。

（5）統一管理

通過部署安全管理平臺系統，形成集工業防火墻、網閘、工控監測審計、網絡邊界檢查、運維堡壘機、終端安全管理系統等為一體的綜合安全防護系統，對網絡設備、安全設備進行統一管理、集中展現，利用大數據關聯分析，實時動態發現工控系統網絡中的風險并預警。并在此基礎上進行關聯分析、追蹤溯源、風險預測，形成對安全威脅、風險隱患的動態持續態勢感知。

實現全面展現公司工控網絡當前安全狀況及未來一段時間的發展態勢，為信息安全人員開展信息安全態勢分析、安全預警和處置提供支持，同時為客戶提供直觀的信息安全決策依據，提升工作效率，節省運維人力，提升整體安全管理水平。

3 結束語

本文通過對煉化廠工控系統的安全現狀進行分析，并提出對煉化廠工控系統安全防護的思路，基于安全現狀和防護思路，對大型煉化廠典型工控系統進行安全防護技術方案設計，對網絡邊界、網絡流量審計、主機加固以及運維審計等方面進行了安全防護與異常監測告警。