現(xiàn)代煤化工智能化建設(shè)過(guò)程中的網(wǎng)絡(luò)信息安全問(wèn)題淺析

2021-03-07 10:52:03高鈺

網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2021年11期

◆高鈺

◆高鈺

（蒲城清潔能源化工有限責(zé)任公司陜西 715506）

兩化融合的快速發(fā)展和工業(yè)4.0的提出，推動(dòng)著煤化工行業(yè)逐步走向智能化、數(shù)字化建設(shè)的道路，隨之帶來(lái)的是網(wǎng)絡(luò)信息安全問(wèn)題日益凸顯。近幾年，煤化工領(lǐng)域存在的網(wǎng)絡(luò)信息漏洞和安全隱患不斷暴露，網(wǎng)絡(luò)信息安全事故數(shù)目呈上升態(tài)勢(shì)。本文就目前煤化工行業(yè)的特點(diǎn)，對(duì)其在智能化建設(shè)過(guò)程中所面臨的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)進(jìn)行細(xì)致的剖析，并提出一些解決方案。

現(xiàn)代煤化工；智能化；工業(yè)控制系統(tǒng)；網(wǎng)絡(luò)信息安全

1 前言

隨著工業(yè)4.0的不斷推進(jìn)，現(xiàn)代煤化工行業(yè)也在逐步進(jìn)行智能化建設(shè)的嘗試和探索，行業(yè)內(nèi)普遍使用的工業(yè)控制系統(tǒng)和“大數(shù)據(jù)”、“云端”、“MES”等智能化系統(tǒng)將產(chǎn)生大量信息交互需求，這使得以往相對(duì)封閉的工控系統(tǒng)會(huì)和公用網(wǎng)絡(luò)直接建立連接，系統(tǒng)遭受外界攻擊的可能性大大提高。工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)信息安全問(wèn)題直接威脅到煤化工行業(yè)的安全、穩(wěn)定、經(jīng)濟(jì)、優(yōu)質(zhì)的運(yùn)行，也將嚴(yán)重制約企業(yè)智能化建設(shè)的進(jìn)程。因此，如何提高工業(yè)控制系統(tǒng)在各個(gè)階段的安全，確保生產(chǎn)系統(tǒng)穩(wěn)定可靠，防止來(lái)自內(nèi)部或者外部的攻擊，是煤化工企業(yè)在智能化建設(shè)過(guò)程中要考慮的重點(diǎn)。

2 工業(yè)領(lǐng)域及煤化工行業(yè)內(nèi)的網(wǎng)絡(luò)信息安全事故案例

2.1 工業(yè)領(lǐng)域的網(wǎng)絡(luò)信息安全事故案例

2003年1月，美國(guó)俄亥俄州Davis-Besse核電站和其他電力設(shè)備受到SQLSlammer蠕蟲(chóng)病毒攻擊，網(wǎng)絡(luò)數(shù)據(jù)傳輸量劇增，導(dǎo)致該核電站計(jì)算機(jī)處理速度變緩、安全參數(shù)顯示系統(tǒng)和過(guò)程控制計(jì)算機(jī)系統(tǒng)癱瘓；

2010年10月，肆虐伊朗的“震網(wǎng)病毒”造成伊朗布什爾核電站推遲發(fā)電，該病毒是世界上首個(gè)專門(mén)針對(duì)工業(yè)控制系統(tǒng)編寫(xiě)的破壞性病毒，在全世界工業(yè)領(lǐng)域引起了多次的感染事故并造成了持續(xù)數(shù)年的恐慌；

2012年5月開(kāi)始，“火焰病毒”在中東地區(qū)的軍事和工業(yè)領(lǐng)域大范圍傳播；

2018年8月3日，全球晶圓代工龍頭企業(yè)臺(tái)積電遭受“勒索病毒”攻擊，導(dǎo)致三條生產(chǎn)線全部停擺，企業(yè)在三天內(nèi)虧損約17.7億元。

2.2 煤化工行業(yè)內(nèi)的網(wǎng)絡(luò)信息安全事故案例

2010年5月，山東某化工廠某裝置控制系統(tǒng)感染Conficker病毒，造成控制系統(tǒng)服務(wù)器與控制器通訊中斷，操作人員無(wú)法正常監(jiān)控；

2011年3月，大慶某煉油廠某裝置控制系統(tǒng)感染Conficker病毒，造成控制系統(tǒng)服務(wù)器與控制器通訊中斷，操作人員無(wú)法正常監(jiān)控；

2019年3月，包頭某化工廠部分裝置DCS系統(tǒng)感染挖礦類病毒，造成部分裝置停車(chē)。

3 目前存在的網(wǎng)絡(luò)信息安全問(wèn)題

3.1 煤化工行業(yè)人員對(duì)網(wǎng)絡(luò)信息安全的重要性認(rèn)識(shí)不足

主要表現(xiàn)在四點(diǎn)，一是大部分煤化工企業(yè)缺乏完善的網(wǎng)絡(luò)信息安全管理組織體系，相關(guān)的制度建立、落實(shí)不到位。二是企業(yè)大都沒(méi)有編制翔實(shí)可行的網(wǎng)絡(luò)信息安全事故預(yù)案，也缺少相關(guān)的應(yīng)急演練；三是網(wǎng)絡(luò)信息安全管理人員長(zhǎng)期得不到培訓(xùn)和學(xué)習(xí)的機(jī)會(huì)，信息技術(shù)知識(shí)儲(chǔ)備量有限、業(yè)務(wù)能力處在較低的一個(gè)水平，所以只能依靠外部服務(wù)公司。四是煤化工從業(yè)人員大都缺乏網(wǎng)絡(luò)信息安全防范意識(shí)，認(rèn)為沒(méi)有人會(huì)攻擊工業(yè)控制系統(tǒng)，或者是黑客不懂工控協(xié)議，計(jì)算機(jī)病毒攻擊只是互聯(lián)網(wǎng)行業(yè)的事情，離我們煤化工行業(yè)很遙遠(yuǎn)。

3.2 工業(yè)控制系統(tǒng)因?yàn)樽陨硖攸c(diǎn)存在著諸多漏洞

在煤化工行業(yè)，工業(yè)控制系統(tǒng)一直是以穩(wěn)定運(yùn)行作為維護(hù)的要點(diǎn)，因此存在諸多的漏洞。如Windows操作系統(tǒng)更新不及時(shí)甚至完全不更新；工業(yè)控制網(wǎng)絡(luò)常用的OPC協(xié)議、Modbus協(xié)議簡(jiǎn)單，易遭受攻擊；系統(tǒng)安全策略配置不完善，邊界訪問(wèn)控制缺失、安全防護(hù)設(shè)備缺失；工控計(jì)算機(jī)普遍開(kāi)啟遠(yuǎn)程訪問(wèn)；工控設(shè)備弱口令及使用默認(rèn)密碼等等。與互聯(lián)網(wǎng)行業(yè)、金融行業(yè)相比，煤化工領(lǐng)域在網(wǎng)絡(luò)信息安全程度上可以說(shuō)是弱不禁風(fēng)，上面的每一個(gè)問(wèn)題都可能讓黑客輕松的攻入系統(tǒng)。

3.3 針對(duì)工業(yè)控制系統(tǒng)的病毒越來(lái)越多，病毒破壞性極強(qiáng)

例如，近年來(lái)造成巨大轟動(dòng)的“勒索病毒”，目前發(fā)現(xiàn)它的攻擊目的主要是對(duì)系統(tǒng)文件進(jìn)行加密，如果煤化工行業(yè)工業(yè)控制系統(tǒng)感染此類病毒，且沒(méi)有有效的手段在短時(shí)間之內(nèi)恢復(fù)系統(tǒng)，最壞的結(jié)果可能是系統(tǒng)所有的控制策略、安全聯(lián)鎖數(shù)據(jù)被鎖死，工藝裝置在瞬間倒退回調(diào)試初期，歷年來(lái)的優(yōu)化、技改會(huì)化為烏有，想要恢復(fù)可能又要經(jīng)過(guò)漫長(zhǎng)的時(shí)間，這損失對(duì)于煤化工企業(yè)來(lái)說(shuō)基本是不可接受的。另外，雖然目前已曝光的案例中，“勒索病毒”對(duì)工業(yè)控制系統(tǒng)的威脅還暫時(shí)停留在加密文件的勒索階段，但從專家對(duì)它的攻擊模式分析來(lái)看，“勒索病毒”完全具備操控DCS、PLC等系統(tǒng)來(lái)控制現(xiàn)場(chǎng)閥門(mén)、設(shè)備的能力，或者修改操作站畫(huà)面的監(jiān)控參數(shù)“欺騙”工藝操作人員，這對(duì)煤化工裝置的安全生產(chǎn)來(lái)說(shuō)是重大的隱患。

3.4 煤化工行業(yè)的網(wǎng)絡(luò)信息安全設(shè)計(jì)規(guī)范缺失，企業(yè)想改進(jìn)也只能摸石頭過(guò)河

以往的工業(yè)控制系統(tǒng)在設(shè)計(jì)之初并未考慮網(wǎng)絡(luò)信息安全問(wèn)題。2016年10月，工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》指導(dǎo)工業(yè)企業(yè)開(kāi)展工控安全防護(hù)工作。但目前國(guó)內(nèi)的各大煤化工設(shè)計(jì)院還沒(méi)建立起完善的網(wǎng)絡(luò)信息安全設(shè)計(jì)規(guī)范。隨著工業(yè)智能化逐步發(fā)展，原本脆弱的工業(yè)控制系統(tǒng)要同時(shí)面臨來(lái)自內(nèi)部和外部的更為復(fù)雜的安全風(fēng)險(xiǎn)。而企業(yè)面臨的問(wèn)題是即便想改進(jìn)，也沒(méi)有完善的設(shè)計(jì)依據(jù)和成功的應(yīng)用案例來(lái)借鑒，只能按照網(wǎng)絡(luò)安全服務(wù)公司的建議逐步進(jìn)行嘗試，這無(wú)異于摸著石頭過(guò)河。

4 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)措施

4.1 重新規(guī)劃工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

常規(guī)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)使得系統(tǒng)內(nèi)某一個(gè)節(jié)點(diǎn)感染病毒后容易快速擴(kuò)散至其他區(qū)域，因此，合理的規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)至關(guān)重要。按照工藝裝置、設(shè)備的分布及其重要性、關(guān)聯(lián)性重新劃分子網(wǎng)絡(luò)區(qū)域，在確保工業(yè)控制系統(tǒng)正常運(yùn)行的前提下，實(shí)現(xiàn)各個(gè)區(qū)域、系統(tǒng)之間的相對(duì)獨(dú)立。在各個(gè)子網(wǎng)區(qū)域之間架設(shè)工業(yè)級(jí)邊界網(wǎng)關(guān)，并采用防火墻等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)隔離，若某個(gè)子區(qū)域遭受了病毒攻擊后，有效的區(qū)域隔離措施可以阻止病毒的進(jìn)一步擴(kuò)散。

4.2 針對(duì)工業(yè)控制系統(tǒng)特點(diǎn)采取有針對(duì)性的防護(hù)措施

USB接口是目前工業(yè)控制系統(tǒng)從內(nèi)部感染計(jì)算機(jī)病毒的最主要途徑。增加專業(yè)的USB接口管理系統(tǒng)及防病毒軟件，USB接口管理系統(tǒng)會(huì)將系統(tǒng)網(wǎng)絡(luò)上所有工業(yè)計(jì)算機(jī)的USB接口管理起來(lái)，當(dāng)U盤(pán)等移動(dòng)存儲(chǔ)設(shè)備在接入系統(tǒng)前需要經(jīng)過(guò)管理軟件的掃描和認(rèn)證，確認(rèn)其中沒(méi)有病毒，再給予準(zhǔn)入許可，從而保證系統(tǒng)不會(huì)被USB病毒攻擊感染。未經(jīng)認(rèn)證或者無(wú)準(zhǔn)入許可的U盤(pán)將無(wú)法接入系統(tǒng)。

4.3 建立系統(tǒng)的白名單管理

系統(tǒng)白名單可以用來(lái)阻止未經(jīng)認(rèn)證的程序運(yùn)行，既可以在某種程度上保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)不受威脅，也可以對(duì)系統(tǒng)運(yùn)行的必要應(yīng)用程序加以管理。對(duì)于正在運(yùn)行的應(yīng)用、工具和進(jìn)程來(lái)說(shuō)，白名單技術(shù)可以提供對(duì)系統(tǒng)的全面可視性。在系統(tǒng)遭受攻擊時(shí)，也可以提供程序警報(bào)，同時(shí)還有利于保持系統(tǒng)以最佳性能運(yùn)行，提高工作效率。

4.4 建立網(wǎng)絡(luò)安全審計(jì)機(jī)制，構(gòu)建工業(yè)級(jí)網(wǎng)絡(luò)信息安全報(bào)警管理平臺(tái)

對(duì)于系統(tǒng)內(nèi)部操作權(quán)限管理、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與智能化系統(tǒng)之間的數(shù)據(jù)交換進(jìn)行嚴(yán)格的審計(jì)工作，在防止病毒進(jìn)入系統(tǒng)內(nèi)部同時(shí)，還可以避免企業(yè)內(nèi)部的重要工藝流程、參數(shù)等關(guān)鍵信息被竊取。同時(shí)要建立工業(yè)級(jí)網(wǎng)絡(luò)信息安全報(bào)警管理平臺(tái)，對(duì)于審計(jì)出的異常情況和工業(yè)防火墻、網(wǎng)關(guān)的通訊信道中的攻擊信息進(jìn)行匯總，詳細(xì)顯示攻擊來(lái)源、攻擊目標(biāo)及其使用的通訊協(xié)議，并劃分報(bào)警等級(jí)，根據(jù)不同的報(bào)警等級(jí)來(lái)制定工作的優(yōu)先級(jí)，為工業(yè)網(wǎng)絡(luò)故障的及時(shí)排查、分析提供可靠依據(jù)。

4.5 建立異地災(zāi)備系統(tǒng)

異地災(zāi)備系統(tǒng)，顧名思義就是在不同的地域，構(gòu)建一套或者多套相同的系統(tǒng)或者數(shù)據(jù)庫(kù)，起到災(zāi)難后立刻接管或是快速恢復(fù)的作用。當(dāng)企業(yè)工業(yè)控制系統(tǒng)遭受致命性破壞時(shí)，通過(guò)異地災(zāi)備系統(tǒng)可以在短時(shí)間內(nèi)恢復(fù)系統(tǒng)功能，避免企業(yè)財(cái)產(chǎn)損失進(jìn)一步擴(kuò)大。

5 結(jié)論

在當(dāng)今激烈的市場(chǎng)競(jìng)爭(zhēng)環(huán)境下，智能化建設(shè)會(huì)給煤化工行業(yè)帶來(lái)新的生機(jī)，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)信息安全是順利開(kāi)展安全生產(chǎn)的前提。本文只是針對(duì)目前煤化工行業(yè)現(xiàn)狀給出了工業(yè)網(wǎng)絡(luò)信息安全的一些安全解決意見(jiàn)。隨著企業(yè)智能化的不斷發(fā)展，企業(yè)使用的信息化設(shè)備越來(lái)越多，新的網(wǎng)絡(luò)安全問(wèn)題也會(huì)不斷出現(xiàn)，這給煤化工的智能化發(fā)展也帶來(lái)了嚴(yán)峻的考驗(yàn)。面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境，只有采取科學(xué)、合理的安全管控措施，不斷完善企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系，實(shí)現(xiàn)工業(yè)控制系統(tǒng)的安全性、高效性和穩(wěn)定性，才能為企業(yè)的安全生產(chǎn)創(chuàng)造有利的環(huán)境。

[1]中國(guó)科學(xué)院沈陽(yáng)自動(dòng)化研究所.工業(yè)控制系統(tǒng)信息安全防護(hù)技術(shù)[R].2014.

[2]李玉敏. 工業(yè)控制網(wǎng)絡(luò)信息安全的防護(hù)措施與應(yīng)用[J].中國(guó)儀器儀表，2012.

[3]董棟，王寧.網(wǎng)絡(luò)信息安全存在的問(wèn)題及對(duì)策研究[J].網(wǎng)絡(luò)安全技術(shù)及應(yīng)用，2015.

[4]權(quán)京濤，郎偉.工業(yè)控制系統(tǒng)信息安全淺析[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2018.

[5]劉麗娜.工業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析及安全防護(hù)系統(tǒng)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017.