油氣處理廠工控系統網絡安全的方案討論

孟凡麗

中國石油工程建設有限公司西南分公司, 四川 成都 610041

0 前言

目前,大多數工控系統(ICS)和智能設備普遍存在各種安全隱患[1],所以任何工控系統都可能存在引起生產安全風險的缺陷,要保障工廠的工控系統安全運行,特別是油氣處理廠工控系統的安全,需要從工控系統的網絡架構建設上加強設置,對其系統的安全缺陷和漏洞進行全方位管控。

1 油氣處理廠工控系統網絡安全現狀

油氣處理廠工控系統主要包括分散控制系統(DCS)、安全儀表系統(SIS)及火氣系統(FGS)三套系統,三套系統完成了對全廠各工藝裝置及輔助生產設施的集中監視、數據采集、報警、控制和安全聯鎖功能。目前,已投產運行的工控系統網絡架構大多縱向分為三層:現場設備層、控制層、過程監控層。工控系統網絡安全防護方面的主要措施為:防病毒軟件的安裝,過程監控層數據與上一級調控中心之間的區域隔離保護,訪問權限的設置等。這些較少的防護手段,在工控系統本身的缺陷、漏洞管理及網絡實時監測方面較薄弱。

大多已建的工控系統網絡結構圖見圖1。

圖1 已建的工控系統網絡結構圖

隨著物聯網的發展,原本封閉的油氣處理廠工控系統也漸漸納入工業物聯網系統中,在油氣處理廠提高營運效率的同時,也使得物聯網中的木馬、病毒等安全風險向工控系統擴散,帶來了更多的網絡安全威脅[2]。工控系統網絡威脅的來源主要有:系統存在的高危漏洞、工業網絡病毒、關鍵設備的“后門”、高級持續性威脅(APT)以及無線技術應用的風險等[3-4]。近年來,國內外發生的工控系統遭受攻擊而癱瘓的案例,基本上為黑客利用工控系統網絡安全方面的漏洞及病毒進行的攻擊,因此做好工控系統網絡安全防護,在網絡高速發展時期尤為重要。目前，國家也提高了工控系統網絡安全防護方面的要求,2017年5月1日執行的GB/T 33009《工業自動化和控制系統網絡安全集散控制系統(DCS)》及GB/T 33008《工業自動化和控制系統網絡安全可編程序控制器(PLC)》,對工控系統的安全設置提出了更高要求,但對油氣處理廠工控系統并未給出明確固定的做法,也尚無成熟并正式運行的設置方案分享。

2 新建的工控系統設置

基于對標準規范的理解,同時通過與國內外知名工控系統制造商的技術交流與討論,提出油氣處理廠工控系統網絡架構及安全防護的設置方法和建議。

2.1 網絡架構

對新建的DCS/SIS系統工控系統,其網絡架構建議采用縱向分層、網絡安全采用縱深防御的原則進行設計[5-7]。工控系統網絡架構以區域劃分[8],縱向分層,基本設置為四層:現場設備層、控制層、過程監控層、生產管理層[9]。其中在新增的生產管理層上設置了一些用于工控系統網絡安全防護的設備,這一層級的設置與規范GB/T 50823《油氣田及管道工程計算機控制系統設計規范》上描述的DMZ區(隔離區)[10]隔離措施相符。

新建的工控系統網絡結構圖見圖2。

2.2 網絡安全防護策略

網絡安全防護策略是維護工控系統安全的首要屏障[11]。工控系統網絡分層搭建后需要對各層級進行安全防護設置。

2.2.1 邊界防護

在不同層級或者同一層級不同網段間部署安全防護設備,如設置硬件防火墻、網閘等。檢測界內界外所有網絡活動,識別可疑攻擊并報警,對不同網段進行有效隔離和阻斷[12-14]。

在控制層的控制器要求帶防火墻功能,或者設置控制器防火墻,對各控制器間及控制層和過程監控層間進行有效隔離。

對各類計算機、操作站、服務器的物理接口進行限制,拆除或封閉控制系統工業主機上不必要的USB、光驅、無線等接口,對工程師站及服務器等必須保留USB訪問接口的核心工業主機,以軟件方式部署USB終端防護系統,實現移動介質訪問控制,強化生產現場物理安全防護措施[15]。

同以往系統邊界防護相比,新建的工控系統方案主要增加了控制器防護功能、控制層或過程監控層不同網段間的防護功能,對整個工控系統各區設備起到更好的安全保護作用。

圖2 新建的工控系統網絡結構圖

2.2.2 設置防病毒架構—補丁管理

與已建的工控系統在各設備上安裝殺毒軟件并手動定期殺毒不同,建議新建的工控系統設置專門的防病毒服務器[16],在工程師站、操作員站、各類服務器、監控計算機等重要系統設備上部署經過驗證的防病毒軟件,并提供防病毒系統巡檢功能,這樣可實時監測工控系統安全狀況。同時定期下載經過兼容性、穩定性測試認證過的病毒庫及補丁,及時發現與本系統相關的漏洞等安全隱患,及時打補丁,通過補丁管理和病毒庫更新方案確保工控系統處于最新的安全防護狀態。

防病毒服務器設置于生產管理層,與整個過程控制層進行有效隔離,不會同時遭受攻擊,便于對工控系統所有設備進行安全下裝各類防病毒軟件及打補丁服務。

2.2.3 設置黑、白名單相結合的雙重防護模式

已建的工控系統基本只采用黑名單機制對已知病毒進行防護,對未知病毒缺少抵御措施,現增加白名單機制對未知病毒進行有效防護[17]。設置黑、白名單相結合的雙重防護模式,對任何非法訪問,都要產生實時報警信息,方便用戶及時發現、定位安全風險。

2.2.4 授權管理

無論是工控系統終端還是遠程訪問,均需要嚴格的授權及用戶身份登錄認證,對不同操作人員設置不同權限,授權不同則訪問權限不同[18]。

2.2.5 完善的網絡安全監控和相應措施

設置專門的網絡安全監控軟件,監控所有網絡和系統設備,進行實時數據采集和分析,檢查網絡流量,識別惡意設備及入侵者,不斷監視網絡安全風險指標,主動識別可能影響工控系統的安全漏洞和威脅,及時報警,同時生成日志[19],通知相關人員采取措施防范風險的發生。專門的網絡安全監控軟件彌補了已建的工控系統無法實時監控網絡設備及主動防范風險的缺點。

在各層級部署防護設備及防護軟件前,應采用線下測試等手段確保其上線后不影響工控系統正常運行的可用性、實時性、可靠性和安全性。

任何工控系統都不是堅不可摧,一旦事故發生,災難來臨,如何快速重建和恢復系統在油氣處理廠尤為重要[20]。已建的工控系統數據備份效率低、無法連續備份、系統恢復時間較長,即便恢復了系統,其數據可能是很久以前的,無法立即投入使用,還需要投入精力補充工控系統近期數據及程序的變化。如果油氣處理廠裝置數量較多或對生產運營時間有嚴格要求的,可設置一套實時數據備份與災難恢復軟件,配置專門的數據存儲服務器,此服務器可實時、在線、連續自動地對工控系統數據及程序進行備份,事故停車后,只要存儲設備還在,就可利用這些數據快速地進行系統恢復和重建,同已建的工控系統相比縮短了恢復系統重新開產的時間,為油氣處理廠爭取了效益。

以上安全策略對工控系統硬件、軟件以及網絡部署提出要求,每條安全策略都為工控系統網絡安全帶來防護效益,但網絡安全管理是個動態過程,不僅包含了項目設計階段的要求,還包含了項目執行時期及運行后期維護階段所需的各種網絡安全策略,如用戶對人員的培訓、定期對工控系統的風險評估和識別、定期對工控系統病毒庫及補丁的更新以及對整個過程的管理等,每個環節都至關重要。

對油氣處理廠新建的工控系統,網絡安全應全面考慮并設置。對目前正在運行的已建的工控系統,如進行升級改造,其用于安全防護的軟、硬件也應增設,不同層級間安全隔離也應部署,均需滿足現行標準規范的基本要求。

3 結論

工控系統根據油氣處理廠廠站的大小、級別設置有所不同,其網絡架構也有差異,但工控系統網絡安全防護是必須重視并設置的,其安全防護的硬件設備及軟件的配置必不可少。本文中油氣處理廠新建的工控系統方案是為確保工控網絡安全提出的安全策略,對工控系統的設計提供參考和選擇,隨著工控系統網絡安全方面的標準規范不斷更新及完善,工控系統將更加安全。