煤化工行業工業控制系統安全防護技術規范探索

許冬濤 李桂蘭

摘 ?要：文章針對煤制油化工行業工業控制系統信息安全防護方面，進行了防護技術規范探索研究，提供加強工業控制系統網絡安全防護體系安全性的優化對策，為煤制油化工行業各單位工業控制安全防御提供管理和技術依據，指導各單位工業控制系統安全防護工作，確保工業控制系統安全運行的合規性、穩定性，符合國家工業控制系統安全相關標準、規范和最佳實踐。

關鍵詞：煤制油化工行業;工業控制系統網絡信息安全;防護技術規范

中圖分類號：TP273;TP309 ? ? ?文獻標識碼：A 文章編號：2096-4706（2020）12-0136-04

Abstract：In this paper，the coal to liquid chemical industry industrial control system information security protection aspects of the exploration and research，to strengthen the industrial control system network security protection system optimization countermeasures，for the coal to liquid chemical industry units industrial control security defense to provide management and technical basis，guide each unit industrial control system security protection work，to ensure the compliance and stability of industrial control system safe operation，and comply with national industrial control system safety related standards，specifications and best practices.

Keywords：coal to liquid chemical industry;information security of industrial control system;technical specification for protection

0 ?引 ?言

當前，新一輪科技革命和產業變革加速演進，5G、大數據、云計算、邊緣計算、工業互聯網、人工智能、區塊鏈等新興技術加快向經濟社會各領域滲透融合，工業領域向數字化、網絡化、智能化邁進的步伐不斷加快，隨著工業體系從封閉系統走向互聯開放，加強工業體系信息安全建設越來越成為事關經濟發展、社會穩定、人民福祉和國家安全的重大問題，共建工業安全生態，不僅是推動“制造強國”和“網絡強國”建設的關鍵支撐，更是制造業高質量發展的新動能、經濟社會創新發展的新引擎。

自2010年起，全球重大工業控制系統（以下簡稱：工控系統）信息安全事故大幅度增加，由2012年的197起直接增加到了2019年的329起。7年時間里，工控系統信息安全事故發生的次數逐年增長，給工控系統的安全使用和防護管理帶來了嚴重挑戰。如圖1所示。

僅2020上半年，網絡攻擊工控系統重大事件頻發，涉及電力、水利、能源、交通等關鍵信息基礎設施領域，提高安全意識、加強安全防護勢在必行。例如2020年5月9日，瑞士鐵路機車制造商遭到了網絡攻擊，攻擊者設法滲透了它的IT網絡，并用惡意軟件感染了部分計算機，很可能已經竊取到部分數據。2020年5月5日委內瑞拉國家電網干線遭到攻擊，造成全國大面積停電。2020年5月，臺灣石油，汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司（FPCC）在過去兩天內都受到了網絡攻擊;2020年4月葡萄牙跨國能源公司EDP遭到勒索軟件攻擊。工控安全事件所屬行業細分如圖2所示。

面對目前工控系統信息安全面臨的重大挑戰，2011年工信部下發《關于加強工業控制系統信息安全管理的通知》，強調了加強工控系統信息安全管理的重要性和緊迫性，并明確了重點領域如：石油石化、電力、化工等行業工控系統信息安全管理要求。

1 ?煤制油化工行業工控系統信息安全現狀

工業與IT的高度融合一體化迅速發展，越來越多的工控系統采用通用硬件和通用軟件，與企業網中運行的生產管理信息系統之間實現了互聯、互通、互操作，甚至可以通過互聯網、移動互聯網等直接或間接地訪問，導致工控系統信息安全被攻擊的可能性增高。煤制油化工行業各生產單位工控系統網絡安全防護薄弱，導致工控系統網絡安全問題直接威脅到生產運行的安全、穩定運行。

2017年6月1日，《中華人民共和國網絡安全法》正式頒布施行，2019年12月1日，國家頒布《信息安全技術網絡安全等級保護基本要求》（GB/T 22239—2019），《國家能源集團2020年度科技創新重點研發方向指南》指出發展工控系統網絡安全技術。

國家能源集團寧夏煤業公司煤制油化工板塊各生產單位均為連續性生產，生產過程控制采用DCS、PLC、SIS、SCADA等工控系統，一旦有工控安全事件發生，裝置和重要設備的意外停車都會導致巨大的安全事故和經濟損失，工控系統網絡安全問題直接威脅到生產運行的的安全、穩定運行。

國家能源集團依據國家相關政策文件要求，已積極開展工控系統安全防護工作，工控系統安全國際標準主要集中在電力系統信息安全領域，符合煤制油化工行業工控系統網絡信息安全防護實際需求的信息技術標準處于空白狀態，日常維護、升級改造缺乏可操作性技術標準。急需在國家工控系統網絡信息安全相關法規、政策、標準基礎上，結合煤制油化工行業生產實際需求，制定煤制油化工行業工控系統網絡安全防護技術規范。

2 ?煤制油化工行業工控系統信息安全防護技術規范體系建設規范要求

2.1 ?工控系統信息安全防護分層分級依據

應在國家法律法規及標準框架內，采用國際國內成熟技術對工控網絡進行有效防護，在不對現有工控系統網絡作大改動的情況下進行網絡的分隔和隔離，加固系統的防御能力。依據《信息安全技術網絡安全等級保護基本要求》（GB/T 22239—2019）進行分層分級。分別是分為層級0現場設備層（傳感器，執行器）、層級1現場控制層（分布式控制DCS和邏輯控制PLC等）、層級2過程監控層（SCADA數據采集和監控）、層級3生產管理層（MES、生產調度和維護）、層級4企業資源層（OA系統、ERP系統等）。如圖3所示。

2.2 ?工控系統信息安全防護體系原則要求

工控系統是一個內部強耦合、關聯作用緊密的整體。工控安全必須結合工藝業務要求進行安全保障，簡單以“零和思維”“木桶理論”等思路或試圖用一個統一的技術思路來解決工控安全問題都有失偏頗。解決安全防護整體化，構建工控系統安全可信環境，應實現工控系統物理、網絡、終端、管理和數據的多角度、全方位保護。建立和實施適合的工控系統安全防護體系以應對工控系統安全風險。煤制油化工行業工控系統安全防護體系包括：安全戰略與合規、風險評估與管理、安全治理與架構、威脅與脆弱性管理、安全應急管理5個部分。企業建立工控系統安全體系可參考以下模型，如圖4所示。

3 ?煤制油化工行業工控系統信息安全防護技術要求

3.1 ?分層分級技術規范要求

根據實際情況允許將圖3所示的部分層級合并。工控系統過程監控層與生產管理層在保證安全的情況下可實現數據傳輸。工控系統網絡配置應符合“橫向分區、縱向分層、綜合防護”的原則。應在過程監控層各級交換機配置網絡審計，應在過程監控層核心交換機配置具有網絡安全審計、日志審計、和工業入侵檢測功能等網絡安全監控設備或者系統，部署工控安全態勢感知系統。如圖5所示。

3.1.1 ?分區原則

應明確工控系統的防護邊界，采用工業防火墻、工業網閘等網絡隔離設備，在工控系統內部邊界進行橫向隔離，在工控系統與企業資源層之間進行縱向隔離。

工控系統“橫向分區”應根據工藝操作需要和數據交換最小原則進行網絡分區。分區之間禁止互相操作并控制變量傳遞。各分區網絡和設備應能獨立運行、獨立啟動，數據應能獨立存儲。工控系統縱向各層級、橫向各區域間應加裝網絡隔離設備，網絡隔離設備應具有旁路模式。

DCS與第三方設備之間采用Modbus TCP、S7、OPC等通信協議，應增加工業防火墻或工業網閘，嚴格控制對控制器的寫入權限。

3.1.2 ?工控系統網絡間安全防護

工控系統各系統間應加裝網絡隔離設備。DCS、PLC、SCADA等控制系統的OPC服務器應通過工業防火墻等網絡隔離設備與數據采集系統（如實時數據庫系統）相連。OPC服務器與數據采集系統接口采集機相連的網卡應獨立設置，OPC服務器應通過工業防火墻等網絡隔離設備與接口機傳輸數據。不同應用的OPC服務器應獨立設置，禁止OPC服務器與工程師站共用。

3.2 ?工控系統信息安全邊界防護要求

過程監控層與生產管理層的邊界部署單向網絡隔離設備，實現工控系統與企業資源層之間的隔離。嚴格禁止E-mail、Web、Telnet、Rlogin、FTP等安全風險高的網絡服務和以B/S或C/S方式的數據庫訪問穿越網絡隔離設備。應針對工控系統的開發、測試和生產分別提供獨立環境，避免將開發、測試環境中的安全風險引入生產系統。

工控系統生產業務系統若需與第三方環保、安監、能耗等政府部門進行數據傳輸，應部署單向網絡隔離設備。

3.3 ?工控系統網絡安全監測配置要求

通過采集工業網絡流量、計算環境、業務應用、資產、審計日志、運行狀況、脆弱性、安全事件和威脅情報等數據，利用大數據技術和自學習模式技術，分析工業網絡行為及用戶行為等因素構成的整個工業網絡當前狀態和變化趨勢，獲取、理解、回溯、顯示能夠引起工業網絡態勢變化的安全要素，建立預測工業網絡安全態勢發展趨勢的平臺，及時發現異常訪問、非法外聯、外部入侵等安全事件并告警。

3.4 ?安全物理環境

工控系統機房所在建筑應采用有效防水、防潮、防火、防靜電、防雷擊、防盜竊、防破壞措施，建議配置電子門禁系統以加強物理訪問控制，并對關鍵設備及磁介質實施電磁屏蔽。

3.5 ?主機加固

DCS、SIS等關鍵應用系統的服務器工程師站、操作站、歷史服務器、APC服務器、OPC服務器等，應對其進行安全加固，包括惡意代碼防范、防病毒軟件、白名單機制、系統漏洞補丁升級、外設管控等技術手段。

3.6 ?數據備份及應急演練

應定期對關鍵業務的數據進行備份，定期進行備份數據恢復測試。

應制訂工控系統網絡信息安全應急處置預案，每年至少進行一次應急預案演練。

3.7 ?工控系統安全防護管理體系要求

各單位應按照“誰主管、誰負責，誰運營、誰負責”的原則，建立工控系統網絡安全管理制度，各單位負責所轄范圍內工控系統網絡的安全管理。

4 ?主要創新點

（1）依據《信息安全技術網絡安全等級保護基本要求》（GB/T 22239—2019）等國家標準，探索制定煤制油化工領域工控系統網絡安全防護技術規范標準;（2）研究工控系統網絡安全防護技術規范標準，指導各生產單位提升工控安全防護等級，筑牢網絡信息安全防火墻;（3）提供加強工控系統網絡安全防護體系安全性提升的優化對策，為煤制油化工行業各單位工控安全防御提供管理和技術依據;（4）逐步構建起完整的、有針對性的工控系統網絡安全防護體系，橫向分區、縱向分層、綜合防護。

5 ?煤制油化工行業工控系統信息安全防護目標

工控系統的安全防護目標主要包含：（1）抵御外部發起的惡意攻擊和破壞;（2）防止病毒、木馬、蠕蟲對工控系統造成不利影響和破壞;（3）保障工控系統的安全、可靠、穩定運行。

6 ?結 ?論

通過煤制油化工行業工控系統網絡安全防護技術規范的探索與研究，將有助于指導煤制油化工行業各生產單位提升工控安全防護，確保工控系統的信息安全及其運行的合規性、穩定性，符合國家工控系統的系統安全相關標準、規范和最佳實踐，確保防護范圍內工控系統業務數據的“可用性、完整性、機密性”。

參考文獻：

[1] 工業信息安全產業發展聯盟.工業控制系統信息安全標準白皮書（2019版） [R/OL].（2019-12-23）.http：//nisia.org.cn/filedownload/194706.

[2] 全國信息安全標準化技術委員會.信息安全技術 網絡安全等級保護基本要求：GB/T 22239—2019 [S].北京：中國標準出版社，2019.

[3] 傅一帆，霍玉鮮.網絡安全等級保護工業控制系統安全防護技術體系設計 [J].警察技術，2017（5）：19-22.

[4] 趙峰，馬躍強.基于等保2.0工業控制系統網絡安全技術防護方案的設計 [J].網絡安全技術與應用，2020（5）：109-111.

[5] 朱勝濤.把握戰略創新“四新”特征：新時代、新形勢、新探索、新路徑 [J].中國信息安全，2016（8）：56-57.

[6] 吳世忠，李斌，張曉菲，等.信息安全技術 [M].北京：機械工業出版社，2014.

作者簡介：許冬濤（1978.10—），男，漢族，寧夏銀川人，工程師，本科，主要研究方向：互聯網+化工安全;李桂蘭（1984. 08—），女，回族，寧夏銀川人，工程師，研究生，主要研究方向：信息技術及應用。