大型石化控制系統替換升級過程中網絡安全防護策略設計

王子洋，何 文

（1.中國石油化工股份有限公司茂名分公司，茂名525000；2.浙江中控技術股份有限公司，杭州310052）

《網絡安全法》2017年正式出臺，成為網絡安全基礎性法律。近年等保2.0 的發布則是網絡安全的一次重大升級，對象范圍擴大到云計算、移動互聯、控制系統等方面，其中，控制系統的安全隱患一旦被利用必將造成巨大社會危害和損失[1]。石化是較早采用工控系統進行自動化生產的行業，存在大量使用年限已超過15年的舊有工控系統，這些舊系統在應用之初較多關注的是控制功能的實現，對網絡信息安全關注度很少。在當前新型網絡安全形勢下，企業必須在對舊系統進行更換升級的時候考慮全面、有效的網絡信息安全防護策略。

茂名石化乙烯裝置原控制系統為國外品牌DCS 系統，運行超過15年以上，存在硬件老化、故障率高等安全隱患，迫切需要進行控制系統國產化替換升級工作，同時環氧乙烷等裝置控制系統此次一并在CCR 內并網，規劃中1 號乙烯等其他裝置預計在2022年一并改造，全廠控制系統統一。借控制系統改造的契機，企業精心設計，同步完成了系統網絡安全防護的改造工作，建立起系統網絡的“縱深防御體系”，防止由于病毒感染、惡意攻擊等造成非計劃停車所帶來的損失，從而構建“本質安全”的生產控制網。

1 舊有控制系統網絡安全隱患

本次DCS 改造之初，各方對舊系統的網絡架構和網絡安全現狀做了詳細評估和分析，舊系統網絡架構見圖1。網絡架構中各裝置設有獨立的機柜間，機柜間與操作間通過光纜連接，各個裝置在控制上滿足分區管理要求。

圖1 舊有控制系統工控網絡拓撲示意圖Fig.1 Network topology of the old control system

通過對舊系統網絡架構和安全防護手段評估，結合運行過程中網絡安全事故分析，舊系統在網絡安全上存在以下問題：

（1）網絡邊界模糊。各裝置DCS 之間未進行安全分區，缺少相應二層網絡到三層網絡的防火墻。同時，部分裝置在DCS 與APC 兩個網絡之間缺少防火墻的防護。

（2）缺少網絡安全審計。不論是二層網絡還是三層網絡都沒有設立安全監測與審計機制，不能及時了解網絡狀況。

（3）主機帶“洞”運行。系統投產后，Windows 7經歷過一次升級，其后操作系統極少升級，操作系統不斷曝出的漏洞導致操作站暴露在風險中。

（4）缺少安全日志收集手段。在運行網絡、安全設備多數是沒有系統記錄功能的自適應型設備，缺乏對日志的審計，不能通過可視化圖形分析運行情況，無法第一時間感知系統威脅。

（5）缺少運維審計手段。DCS 的運維由企業自行維護，但涉及上層控制，如APC、RTO 等還是由供應商提供服務實施，由于涉及DCS 與APC、RTO 的互聯，實施過程無法審計，易出現運維不可控等風險。

2 升級后控制系統網絡安全策略

根據舊系統網絡安全現狀評估結果，結合近年來等保要求和網絡安全技術發展，本次DCS 改造對網絡安全方面做了提升：以建立縱深防御策略為主要思想，確?？刂葡到y網絡中即使某一點發生網絡安全事故，也能保證控制系統正常運行，同時專業人員能夠迅速分析、查詢并及時處理問題，使工控網絡安全防護系統切實做到穩定、高效、可靠[2]。主要措施包括：

（1）區域隔離。對系統橫向分區，各區域網絡間通信能夠過濾隔離，使網絡故障被控制在各自發生的區域內，而不會影響到其它區域。

（2）深度檢查。對系統縱向分層，面向各應用層對特有的工業通訊協議進行深度檢查，對存在缺陷的病毒庫進行升級。

（3）管控通信。通過管理平臺進行在線組態和測試，對通訊進行管控。

（4）數據審計。對系統網絡運行日志、操作運行日志等信息進行集中收集、自動分析，及時發現各種違規行為以及病毒和黑客的攻擊行為。

（5）威脅檢查。能夠快速準確地發現網絡中存在的漏洞，能夠對網絡進行定期自我檢查，及時發現漏洞。

（6）實時報警。網絡中部署的所有安全產品都能由管理平臺統一進行實時監控，任何非法訪問，都可以在管理平臺產生實時報警信息，故障問題在原始發生區域被迅速發現和解決。

根據上述需求，按照“一個中心”管理下的“三重防護”體系框架，構建安全機制和策略?！耙粋€中心”指安全管理中心，能對網絡中發生的各類安全事件進行識別、報警和分析?！叭胤雷o”指采用加密及校驗碼等技術確保數據的完整性和保密性的安全網絡通信防護，采取技術措施對網絡行為進行分析以實現對網絡攻擊防御的安全區域邊界防護，能夠檢測到對重點節點進行入侵的行為并在發生嚴重入侵事件時提供報警的安全計算環境防護。這個設計策略是裝置進行控制系統網絡安全改造的核心依據，能夠完成從被動防御的安全體系向事前預防、事中響應、事后審計的動態保障體系轉變[3]。

3 控制系統網絡改造方案及其安全防護

本次DCS 改造采用浙江中控技術股份有限公司的ECS-700 控制系統。該系統作為國產化控制系統的代表，已廣泛應用于各類新建和改造大型乙烯聯合裝置，首先需要解決的關鍵問題是大規模網絡構架時，既要實現各裝置信息的互聯互通以及集中監控管理，又要特別關注網絡可用性，絕對不能因局部故障或網絡因素使整個系統出現波動、故障甚至癱瘓的狀態[4]。此外，舊系統改造升級的網絡安全設計與新建項目存在較大的區別，需基于以下幾個方面考慮：新系統與APC 的深度嵌合的控制功能重現和安全保護；新系統數據的分區保護應適應工藝操作和企業生產管理需要；新系統適應已有企業信息化系統，對外數據服務做到穩定和安全；舊系統存在的重大安全隱患，針對性補足和加強；已有網絡資產的利舊以減少投資，保護用戶資產價值等。

3.1 控制系統替換升級后的網絡方案概述

為配合本次DCS 改造，茂名石化新建化工廠CCR，各生產裝置將在CCR 內進行集中操作、監視及管理，控制站設置在相應裝置的FAR 內，現場儀控信號通過電纜連接至FAR，CCR 和FAR 間的信號傳輸通過冗余光纜。升級后的系統網絡架構如圖2所示。

圖2 控制系統改造升級后的網絡拓撲示意圖Fig.2 Network topology of the upgraded control system

整個項目網絡層級清晰，L1 基礎控制層、L2 監控層、L3 調度管理層以及專為數據服務的L2.5 的DMZ 區。其中將L1 及L2 層采用了按裝置分LAN的方式進行組網設計，各LAN 映射對應裝置自成一套相對獨立的系統，具備獨立的組態數據庫。具體VLAN 劃分情況如表1所示。

表1 詳細分LAN 情況Tab.1 Detailed LAN situation

基于安全考慮，L3 層與L2 層之間設計了L2.5層的數據服務DMZ 區，其中配置OPC 服務器、AAS采集器，并在服務器的出口/入口均配置了防火墻，以確保所有L3 層的外部節點只能使用L2.5 層的映射數據，而不能直接訪問L2 層數據。

3.2 “一個中心”及“三重防護”網絡安全防護策略設計和實現

3.2.1 安全管理中心設計方案

DCS 具備日志和報警信息記錄功能，但缺乏統一的管理和分析，發生事故后，無法判斷是否是誤操作還是攻擊行為。本項目在L3 與L2 之間建立單獨的安全管理區，并在安全管理區集中部署安全管控設備，設計方案見圖3。

圖3 安全管理區域示意圖Fig.3 Schematic diagram of the safety management area

部署安管平臺系統，對各裝置系統網絡設備運行狀態、資源利用情況以及主要鏈路狀態進行管理，對設備及鏈路異常進行報警。

部署日志審計系統，實現對各裝置系統、網絡設備的集中日志審計，并配合系統操作日志、報警記錄，實現對系統全方位的資產、配置、日志管理和審計。

部署入侵檢測& 流量審計系統，在L2、L3 的交換機以及安全管理區域防火墻交換機上以端口鏡像方式接入到入侵檢測系統、流量審計系統，通過該設備對工控網絡進行全流量收集、并進行本地原數據分析。

部署控制系統備份服務器，定期針對DCS 工程師站進行組態數據備份及操作系統備份，幫助用戶在發生應急情況下，可以快速地恢復生產運行能力。

部署補丁服務器，在離線環境中對重大操作系統安全漏洞及補丁進行嚴格的安全評估和測試驗證，確?？刂葡到y及時針對已知安全漏洞采取安全防護措施，最大程度地保護用戶生產裝置安全。

3.2.2 安全通信網絡設計方案

根據功能以及安全需求的不同，安全通信網絡方案將系統網絡劃分為不同的安全區域。項目中使用的控制系統結合大型乙烯聯合裝置的應用需求，設計了“操作域、控制域”的數據分區概念[5]，以匹配項目中的CCR 操作分區、FAR 的實際DCS 監控的物理分區的要求，具體的分域原則如表2所示。

表2 裝置分域原則Tab.2 Division principle for the device

由于ECS-700 系統最大支持64 個控制域和64個操作域，為后續1 號乙烯聯合裝置的改造提供良好的擴展性。安全通信網絡設計方案中還為項目提供完善的網絡監控方案，通過部署全網診斷軟件，對系統網絡進行診斷監控和流量監控，并針對設備的故障節點發出報警。網絡區域設計圖如圖4所示。

圖4 網絡區域設計圖Fig.4 Design diagram of network area

3.2.3 安全區域邊界設計方案

針對舊系統網絡邊界模糊的問題，本次改造對系統網絡進行縱向分層、橫向分區，防止危險在不同層次間和各區域內擴散，設計方案如圖5所示。

圖5 網絡邊界防護示意圖Fig.5 Schematic diagram of the network border protection

在DMZ 區與非控制系統網絡邊界，即OPC 服務器、AAS 服務器出口部署富島工業級防火墻，實現DMZ 區與非控制系統網絡隔離。

在系統網絡與DMZ 區邊界，部署PALO ALTO工業級防火墻，實現控制系統網絡與DMZ 區網絡隔離。

在各裝置邊界，部署中控工業級防火墻，保護裝置系統網絡邊界安全。

3.2.4 安全計算環境設計方案

原有DCS 只采用黑名單機制對已知病毒進行防護，缺乏對未知病毒抵御措施。本次改造針對DCS 的L1～L3 層次設計了不同的防病毒方案。防病毒服務器設置在L2.5 層，防病毒策略為L2.5 層及以上以黑名單技術為主，L1、L2 層平時運行的時候以白名單技術為主，但是停車檢修的時候可用殺毒軟件將所有主機進行殺毒。同時，在L1 層，控制系統的控制器內置網絡防火墻和協議解析、接入設備論證，具有一定的防病毒能力，提高了該層次網絡的安全性。

4 效果評價

根據項目網絡安全測試的結果，相對改造前，網絡安全防護方案做到了以下明顯提升：

（1）系統安全措施落實到位。實現了對4 套裝置系統網絡安全狀況實現集中監測，實時掌握網絡遭受外部攻擊和出現內部異常事件的總體情況，動態收集網絡存在的漏洞和配置缺陷，及時制定相應措施。

（2）安全事件可實現精確定位。實現從海量的監測數據中準確發現已產生危害后果的安全事件，提高了前端監測手段和后臺分析能力。

（3）在線管控和防護能力得以強化。系統安全數據采集措施的部署可發現系統網絡通信、區域邊界的風險隱患等問題，強化全局監管各裝置系統網絡安全的能力。

（4）網絡行為得到監測審計。對系統環境中的網絡攻擊和異常行為進行監視和審計，及時發現、并對入侵滲透、違規操作過程進行記錄，及時報警與應急處理。

（5）定向威脅攻擊得到監測。依靠惡意代碼檢測引擎、黑名單控制庫等檢測機制構建的定向威脅攻擊檢測設備，針對監測到的某一特定安全事件，通過溯源其攻擊源、攻擊目標、攻擊路徑，對網內受影響的風險節點進行精確定位，鎖定IP 和MAC 地址，協助需方對事件進行快速處理。

5 結語

通過對大型乙烯聯合裝置的舊系統網絡安全問題進行研究分析，按照國家等保二級及行業相關標準規范，針對裝置生產分區的特點及網絡數據交互要求，提出了以“一個中心”管理下的“三重防護”體系為基礎的網絡安全等級保護技術體系，并據此開展替換后系統網絡的各項防護技術設計和工程實施方案。隨著網絡安全技術體系在控制系統替換升級過程中成功同步實施，大型乙烯聯合裝置控制系統形成了一套全面的安全防護體系，防止由于病毒感染、惡意攻擊等造成非計劃停車所帶來的損失，從而構建“本質安全”的生產控制網。同時，為后續項目的成功復制與推廣奠定了堅實的基礎，在石化、煤化工行業都具有很高的推廣價值。