后處理廠工控信息安全防護策略研究

楊慶彧，劉建偉，李曉薇，劉澤辰

（中國核電工程有限公司，北京 100840）

0 引言

工控系統在生產制造上有著廣泛的應用，隨著工業化、信息化的不斷融合，智能制造已經成為席卷全球的趨勢，成為全球制造業的主要發展方向和戰略制高點。智能制造在融合新興網絡技術，如通用軟件、通用硬件、通用協議，以實現更靈活的生產，更高效的運轉和更強的競爭力生產模式的同時，工控系統以各種方式與其它網絡相連，工控系統不再是完全獨立的系統，而是由專用性向通用性演進，由封閉型向開放性演進，由硬到軟演進。大量潛在的安全風險，包括物理場景安全風險、數據安全風險和網際安全風險等，造成了工控系統的網絡安全問題日益嚴峻。

除網絡安全事件，國內工控系統安全還面臨涉及工業生產和管理的方方面面。一方面，網絡安全問題不斷從傳統領域滲透到工業領域，傳統的防護手段已經無法有效保障工業信息安全；另一方面，由于問題矛盾的不斷發展，當前的工業信息安全管理機制、技術能力以及產業支撐力，企業安全責任意識都存在不足，具有較大安全隱患。從相關審評情況和經驗反饋來看，雖然設施運營單位、設計單位、系統供應商、監管機構已經就工業設施網絡安全防護開展了一些工作，取得了一些成績，但當前仍存在一些問題，主要包括對網絡安全緊迫性認識不足，國內法規標準尚不健全，核心技術裝備受制于人，組織機構不健全以及復合型人才匱乏等，一定程度上制約了網絡安全防護水平的提升。

隨著計算機技術和控制技術的飛速發展，后處理廠工業控制系統大多采用數字化技術。為了加強后處理廠工控系統信息安全，防范外部非法目的的攻擊對后處理廠工控系統的攻擊及侵害，以及來自后處理廠工控系統內部正常運行管理過程中出現的威脅，防止后處理廠工控系統癱瘓和失控，和由此導致的后處理廠工控系統事故和其他事故，特對后處理工控網絡安全策略進行研究[3-5]。

1 后處理廠工控信息安全防護設計原則

后處理廠應建立信息安全縱深防御架構，建立嚴格的通信邊界，在邊界上采取防御措施，評估、保護、預防、監測和緩解網絡攻擊，并在受到攻擊后恢復系統。防御架構模型應采用信息安全設防措施逐層增強的防御層，實現多層邊界防護的獨立性和多樣性，防止他人通過多層網絡中相同或相似的安全漏洞，非法訪問關鍵數字設備。

后處理廠信息安全的縱深防御設計應與儀控系統的縱深防御設計進行協同，信息安全功能的實現應不影響核安全功能的實現。通過與實物保護功能聯動共同對廠區、系統和設備的安全進行設防，以具備相應信息安全設防等級安全能力水平[7]。

1.1 技術要求

對于不同信息安全設防等級的系統，應根據系統所要求的安全能力制定管理要求，滿足等級保護標準和工信部《工業控制系統信息安全防護指南》中的技術要求。同時乏燃料后處理廠屬于核化工行業，應結合自身廠區的核化工工藝、生產過程特點，可借鑒《工業控制系統信息安全防護指南》中對工業企業的信息安全防護技術方案指導性依據；信息安全防護架構可參考GB/ T40813-2021《信息安全技術工業控制系統安全防護技術要求和測試評價方法》中的網絡安全邊界防護典型應用參考場景-石油、化工、燃氣行業部署方式[1]。

1.2 通用要求

下列要求適用于后處理廠數字化控制系統[2]：

1）應對系統內進行配置并參數化，以盡量減少系統的脆弱性。

2）應對預開發組件進行選擇、配置并參數化，以盡量減少系統的脆弱性。

對系統的可編程設備參數賦值時，應包括以下保護措施：

①對軟件功能和內存空間采取用戶選擇性訪問控制。

②限制系統與較低安全等級系統的數據連接。

③軟件或參數修改應具備可追溯性。

1.3 通用原則

1.3.1 縱深防御原則

在DCS 系統信息安全防護系統設計、實施過程中，建立等級保護縱深防御體系，對計算環境、網絡邊界、通信網絡、用戶和數據進行全面控制。

1.3.2 集中管理原則

統一管理是建設信息安全等級保護縱深防御系統的基本要求，是各單位橫向集成、縱向DCS 系統信息安全技術方案貫通，信息共享的前提。同時，在全面推廣信息安全等級保護縱深防御工程時，按照統一信息系統安全管理的規范進行規劃和設計，確保信息安全防護水平的一致。對業務系統范圍內的資源和用戶進行統一標記，按照訪問控制策略來進行實施，對于各個終端、服務器和邊界的事件應統一由審計中心進行分析和響應。另外，應建立全系統范圍的網絡管理和監控系統，做到管理全局統一，監控嚴密，響應及時[6]。

1.3.3 適度防護原則

作為專用網絡內部的控制系統，其防護重點與其他互聯網有連接的信息系統有著較大的不同。在信息安全防御體系建設過程中，需要考慮對內部的防護，突出適度防護的原則。在考慮可用性和建設成本的前提下，對現有系統進行改造升級，建立滿足高安全等級要求的信息系統。

1.3.4 技術管理并重原則

要把技術措施和管理措施結合起來，在一定情況下，依靠管理措施來彌補技術措施的缺陷，保障安全技術措施的正確實施，更有效保障工控系統調度業務的整體信息安全性。

1.3.5 自主可控原則

采取的安全措施和產品裝備，應盡量采用國產化產品，降低關鍵位置的設備安全風險，構建滿足核工業要求和國家高安全等級系統要求的網絡信息系統。

2 后處理廠控制系統網絡安全等級劃分及架構

2.1 網絡安全等級和分區劃分原則

2.1.1 網絡安全等級劃分

按照GB/T22240 對網絡安全等級保護定級的基本要求，核工業工控系統整體的網絡安全防護能力應至少為等保3 級。為更好地區分核工業內不同工控系統網絡安全防護的重要性，借鑒IEC62645 對不同工控系統的網絡安全等級進一步劃分為3 個等級。網絡安全等級從高到低依次為S1、S2 和S3 級。

S1、S2 和S3 級的劃分原則及對應的工控系統或設備定義如下：

1）S1 級：執行反應堆保護功能以及被惡意攻擊后對安全功能的影響與保護功能等同的系統或設備。

2）S2 級：有實時性操作要求或電廠正常運行所必需的和安全相關的系統或設備。

3）S3 級：除了S1 和S2 級系統外，執行功能且不會對電廠安全性與可用性產生實時影響的系統。

第三方工控系統的功能分類和網絡結構存在較大差異，但其網絡安全等級的劃分應遵循上述原則，相關防護措施參考縱深防御模型實施。

網絡安全分級是為了簡化網絡安全防護的復雜性，對重要功能進行重點保護，采用分級劃區的方式進行統一管控。對于核工業新增工控系統可以根據上述網絡安全等級劃分方法進行等級確定，也可以根據與已定級系統的功能進行類比，確定網絡安全等級。

2.1.2 網絡安全分區劃分

針對同一網絡安全等級內的工控系統，可以根據工控系統的固有屬性或與其他工控系統的共同網絡安全要求劃分到一個安全分區。安全分區可以是工控系統邏輯上的劃分，也可以是實體上的劃分。一個安全分區內的所有系統應屬于同一網絡安全等級，而同一網絡安全等級可能包含多個安全分區。安全分區的劃分應滿足如下條件：

1）屬于同一安全分區的工控系統應該具有類似的網絡安全防護需求。

2）屬于同一安全分區的工控系統構成本安全分區內通信的可信區域。

3）每個安全分區內系統在功能安全和網絡安全上應具有相同或相當的重要性。

4）安全分區的劃分不應破壞工控系統已有的安全基準（例如，冗余性、多樣性、實體和電氣隔離，單一故障準則）。

5）應在不同網絡安全分區的邊界實施技術防護措施，限制工控系統間的數據流和通信。

6）對工控系統進行邏輯或物理訪問的可移動介質、移動設備和其他臨時設備應僅在某個安全分區或指定的分區內使用。

2.2 網絡安全架構

從網絡攻擊的非法目的劃分，可以將網絡攻擊分為竊聽信息型、網絡拒絕服務型和工藝特性破壞型。

工藝特性破壞型通過分析工藝系統特點，控制工控主機的主控模塊誤發虛假指令破壞廠區正常運行，甚至可能造成工藝設備的損壞，攻擊后果對可用性影響最嚴重；網絡拒絕服務型通過非法手段占用網絡資源，導致通信系統無法正常運行，攻擊后果對可用性影響次之；竊聽信息型通過突破系統邊界，監視網絡流量，竊取網絡數據，攻擊后果對可用性影響最輕。工控系統以可用性作為網絡安全防護的首要任務，針對上述攻擊的特點通過邊界防護——網絡通信防護，保護儀控系統最重要的主機安全。后處理廠安全防護的網絡架構如圖1。

圖1 后處理廠儀控系統網絡安全防護示意圖Fig.1 Schematic diagram of network security protection of the I&C system of the post-processing plant

3 后處理廠控制系統安全防護方案

安全加固方案從安全區域邊界、安全網絡通信、安全管理中心、安全計算環境和物理安全5 個方面闡述安全防護技術措施。

3.1 安全區域邊界

3.1.1 邊界防護

1）控制系統與后處理廠生產管理系統網絡邊界

DCS 與后處理廠生產管理系統的數據通信采取網關及單向隔離網閘進行隔離，網閘提供物理單向隔離功能，保證DCS 內部的數據單向傳輸到生產管理系統（如圖2），生產管理系統的數據不向DCS 系統內傳輸。

圖2 DCS與生產管理系統的單向隔離Fig.2 One-way isolation between DCS and production management system

2）控制系統與后處理廠第三方系統網絡邊界

經過對安全域間隔離和邊界防護的全面分析，信息安全設計建議采取如下原則：

DCS 二層與后處理廠第三方系統的OPC 數據通信按規范要求執行，若實時性要求不強，則可采取工業防火墻進行邏輯隔離。

DCS 二層與后處理廠第三方系統的OPC 數據通信采取工業防火墻進行邏輯隔離（如圖3），防火墻具備訪問控制功能。

圖3 DCS與第三方系統OPC數據的邏輯隔離Fig.3 Logical isolation of DCS and third-party system OPC data

3）控制系統內部工作域網絡邊界

DCS 內部不同安全域之間應部署具有訪問控制功能或具有相當功能的安全隔離設備，針對工業控制系統所面臨的安全風險，在系統內部不同子系統之間，部署具有邊界防護和訪問控制功能的設備，避免一個系統或區域里爆發的工控安全事件擴散到別的系統或區域中。

主要部署在區域出口，用于邊界隔離（不部署在上位機與控制器之間），因此對于控制系統本身的穩定運行沒有任何影響，不存在與系統兼容性問題，主要對區域間工業通訊協議進行重點防護。

3.1.2 訪問控制

DCS 與后處理廠生產管理系統網絡邊界采取單向網閘進行隔離，僅允許信息流從DCS 向生產管理系統的單向傳輸。

DCS 系統二層節點，如操縱員站、服務器、工程師站、通訊網關等，對操作系統的網絡安全進行配置。

操縱員站、工程師站、服務器等設備上運行的DCS 軟件訪問控制措施。

DCS 交換機需要根據實際情況配置訪問控制措施。

3.1.3 惡意代碼防范

對于DCS 系統交換機（包含關鍵網絡節點交換機設備）宜及時更新其固件。

對于OPC 網關機和通信服務器等關鍵網絡節點的惡意代碼防范措施見安全計算環境的相關防護要求[8]。

3.1.4 安全審計

對各子項DCS 系統網絡以旁路方式部署網絡審計設備。在DCS 系統的交換機上建立鏡像端口，將網絡流量鏡像到特定端口上，通過網線將鏡像端口與審計設備連接。

審計設備具備如下功能：

1）采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的識別。

2）當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發生嚴重入侵事件時提供報警。

3）審計記錄包括事件的日期和時間、用戶、事件類型、事件是否成功，及其它與審計相關的信息，審計記錄至少保留6 個月。

4）對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。

根據DCS 系統網絡架構及工程工藝的特點，選取關鍵數據進行網絡審計，網絡審計采用鏡像的方式把數據匯總到入侵檢測系統，抓取系統的關鍵網絡通信數據流進行審計，關鍵數據流考慮從位于系統邊界的主機、工程師站主機和上位機向控制站下發指令3 個角度進行選取，可結合應用條件選取如下網絡數據流中的部分或全部進行抓取并分析。

3.2 安全通信網絡

3.2.1 網絡架構

所有連接至冗余網絡的工作站均有兩個相互獨立的網絡接口，分別連接至處于不同的交換機。冗余網絡的切換由各個站點的通訊機制根據通訊數據的質量和有效狀態進行選擇。

為防止非法設備接入DCS 網絡，根據實際使用情況對交換機配置以下參數：

1）已使用的端口綁定IP 地址和MAC 地址。

2）禁用未使用的端口。

3.2.2 通信傳輸

DCS 系統通信過程的完整性及保密性由DCS 負責提供保障措施。

3.2.3 安全管理網

控制網和操作網采用私有安全可靠協議，用于數據傳輸和操作。系統配置分布式冗余服務和冗余網絡，每層網絡同時工作，方式無主從之分，任一服務或任一網絡故障，不會影響系統的正常運行。

入侵檢測與關鍵交換機相連，關鍵交換機通過鏡像方式將數據單向傳輸給入侵檢測設備，入侵檢測設備采用白名單機制進行網絡監控。

3.3 安全計算環境

3.3.1 身份鑒別

從安全計算環境角度，對DCS 系統內的工程師站、系統內的操縱員站、服務器、三層通信網關、工程師站的操作系統做具體配置。

3.3.2 訪問控制

DCS 與后處理廠生產管理系統網絡邊界采取單向網閘進行隔離，僅允許信息流從DCS 向管理生產管理系統的單向傳輸。

3.3.3 安全審計

在二層節點（操作員站、工程師站、服務器）上，安裝主機防護軟件，其具備主機操作審計和日志管理功能。按照日志的類型，可分為操作日志和防護日志。在操作日志列表中，每條日志記錄的信息包括：操作發生的時間、使用人、事件類型、詳細信息。在防護日志列表中，每條日志記錄的信息包括：防護時間、報警次數、類型、攔截文件路徑、詳細信息、公司名、產品名和版本等。

3.3.4 入侵防范

后處理廠各子項的控制系統主機（包括工程師站、操縱員站、實時庫服務器、歷史庫服務器等）采取具體措施。

3.3.5 惡意代碼防范

在DCS 系統部署主機白名單軟件，僅白名單內進程可以運行，僅白名單內網絡訪問允許執行，僅白名單內外接輸入設備允許接入使用。

3.4 安全管理中心

在DCS 網絡內部部署集中監控措施，集中監控滿足如下要求：

1）安全監控中心匯總來自防火墻、網絡審計系統的數據，對DCS 系統的信息安全狀態進行監控。

2）安全監控中心對分布在網絡中的安全設備或安全組件進行管控，管理分區專網專用，網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測。

3）通過各二層網絡對分散在各個設備上的審計數據進行收集匯總和集中分析，日志記錄保留達到半年以上。

4）當DCS 網絡內發生安全事件時，管理中心站可對事件進行識別、報警和分析。

集中管理通過網絡安全專用網與入侵檢測、防火墻和主機防護軟件管理服務器的管理口相連，與單向隔離裝置的日志口相連，網絡安全專用網與過程信息網相互獨立，具有獨立的網段。

3.5 安全物理環境

物理安全一般指防盜竊和防破壞；防雷擊、防火、防靜電；溫度控制、電力供應、電磁防護等方面具有的保護能力。

4 結論

通過深入研究后處理廠工控系統領域的安全現狀和應對策略，對國內后處理廠工控系統存在的薄弱環節和安全風險進行針對性研究和分析，確定后處理廠工控信息安全防護設計原則，對后處理數字化儀控資產進行信息安全分級和分區以及架構研究，確定主要儀控資產的信息安全等級、區域，以及相互間的邊界和接口，制定適應后處理廠工控系統特點和要求的信息安全管理體系和安全防護方案。