大型煉化一體化項目控制系統網絡安全設計

徐麗，許小林

(中國石油天然氣股份有限公司 廣東石化分公司，廣東 揭陽 515221)

隨著智能制造新模式在石油化工行業的全面普及，企業對于網絡化、信息化、智能化的技術需求日益迫切。作為工業生產核心的工業控制系統，其應用環境的開放性問題受到關注。相比于傳統工業物理環境封閉、專用的特點，應用通用協議、通用硬件和軟件的工業控制系統，遭受了信息安全事件影響。傳統防護不足的工業控制系統在信息安全問題上存在脆弱性，因此必須建立控制系統網絡安全設計方案。

隨著煉化行業工藝裝置規模不斷擴大，工藝日趨復雜，且該行業具有易燃、易爆、高溫、高壓、易腐蝕等特殊性，作為重要的能源支柱型產業，其發展長期以來受到關注。石油化工行業控制系統的安全性問題符合典型工業控制系統安全特性。2019年開始實施的GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》(本文簡稱“等保2.0”)在原有GB/T 22239—2008基礎上進行了細化、分類和加強。等級保護的對象不再局限于傳統意義上的計算機信息系統，而是包含網絡安全基礎設施、工業控制系統、大數據安全等在內的網絡空間安全。因此，在“等保2.0”要求下，如何建立健全有效的工業控制安全體系將成為每一個企業都應該思考的問題。

正在建設的南方某大型煉化一體化項目，在建設階段提出了“供應鏈協同、生產管控、安全環保、設備管理、能源管控、預知決策”的目標，控制系統網絡安全同樣也成為該項目的必然選擇。結合項目規劃及應用實踐，本文提出基于“等保2.0”“一個中心，三重防護”的縱深防護思想的網絡安全防護體系設計方案，從通信網絡、區域邊界、計算環境等各個層級進行重重防護，通過安全管理中心進行監控、調度和管理，構建工業控制系統安全措施。

1 工業控制系統網絡安全需求分析

該項目具有控制系統網絡規模大、結構復雜，系統設備互聯眾多的特點，且是國家“十三五”能源規劃戰略布局項目，同時也是國內近年來投資建設規模最大的煉化一體化項目，對控制系統可靠性、系統性能、供應商工程服務能力要求高。項目的自動化供應商(MAC)為浙江中控技術股份有限公司，提供包括：分散控制系統(DCS)、儀表設備管理系統(IAMS)、PID整定、先進控制(APC)、儲運自動化、高級報警管理(ALMS)、操作員培訓仿真系統(OTS)、在線分析儀維護和數據采集系統(AMADAS)等工業控制系統。上述系統還需要與安全儀表系統(SIS)、可燃氣體和有毒氣體檢測報警系統(GDS)、機組控制系統(CCS)、腐蝕監測系統(CDS)、轉動設備狀態監測系統(MMS)等異構系統實現通信。實時數據存儲于操作數據采集系統(CDP)，關鍵數據上傳至企業信息網。

面對如此復雜控制系統網絡安全，在技術和管理兩方面均需充分考慮和認真分析，例如在技術方案中需考慮如下問題：

1)工業控制系統網絡安全監控及網絡審計。控制系統網絡是否有統一監控及審計手段，工業控制系統應以網絡流量監測和審計作為手段構建防線，及時感知到網絡異常狀況，并且監管是否有網絡入侵、違規操作、誤操作等行為。

2)網絡邊界防護問題。由于控制系統網絡規模巨大，以及與企業信息網逐漸融合的需求眾多，如果安全防護措施不到位，很容易出現網絡邊界模糊。

3)工業控制系統漏洞。工業控制系統中控制器、工業協議、操作站的操作系統、各類工業應用軟件等均存在一定程度上的安全漏洞，例如一些企業使用的操作系統因為供應商已停止更新服務引發的系統漏洞風險。

4)運維機制是否合規。從運維便捷和成本考慮，有些工控產品存在遠程運維端口甚至后門的狀況，例如大型煉化一體化項目中往往會由設備廠商集成各類小型PLC控制系統作為就地控制設備，這些不同品牌的異構系統該如何監管，如果缺少監測和管理手段，一旦出現安全問題甚至無法定位和追溯。

5)網絡安全應急預案是否已建立。許多企業中還未制訂工業控制系統的網絡安全應急預案，尚未建立容災或備份/還原機制，缺少對工業控制系統網絡時間的應急處理機制和分析機制，這些問題均應引起企業足夠的重視。

6)企業網絡安全管理制度是否健全。因移動存儲介質不規范使用，造成如木馬等惡意軟件攻擊或系統被挾持以及因管理缺失引起工藝、配方泄密等安全問題，在一些企業時有發生。

企業人員對于生產安全意識日益強烈，但是對于網絡安全的認識相對較為模糊甚至意識淡薄，往往認為網絡安全不會造成生產事故而關注較少。有些人員可能認為單純依靠防病毒技術或通過防火墻進行隔離就可以實現安全防護。甚至有些企業缺失網絡安全管理制度，或職責不清晰，責任不明確，這些問題均會引起安全隱患。因此在管理方面，增強人員安全意識比技術方案更為重要。

2 基于“等保2.0”構建的網絡安全防護系統

大型煉化一體化項目控制系統整體網絡安全框架應以《網絡安全法》為背景，參照“等保2.0”的通用要求和工業控制系統技術特點，根據縱深防御的設計思想制定符合項目的網絡安全的防護方案。

以該項目為例，基于“等保2.0”要求，從工業控制系統的特點分析，以安全管理為中心，分別針對計算環境安全、區域邊界安全、通信網絡安全的安全合規進行方案設計，建立信息安全整體保障體系，達到項目建設要求。控制系統網絡安全“等保2.0”技術體系結構如圖1所示。

圖1 控制系統網絡安全“等保2.0”技術體系結構示意

2.1 安全通信網絡設計

安全的網絡架構是實現系統網絡安全的基礎。在方案設計上，通過縱向分層和橫向分區實現網絡風險分散與數據隔離，核心理念是根據不同區域的安全等級需求劃分不同的安全區域，不同安全區域實現隔離和可控的訪問。

依據SH/T 3092—2013《石油化工分散控制系統設計規范》的要求，依據分層、分區的設計原則，將控制系統網絡縱向劃分為基礎控制層、生產操作層、操作管理層、安全數據交換層和信息管理層，如圖2所示。根據項目實際需求，橫向分為煉油區、化工區及公用工程區，各區以裝置為單元劃分子網。關鍵通信節點、計算節點等均采用冗余架構設計，通信網關等均需取得計算機信息系統安全專用產品銷售許可。通過安全分區(縱向分層、橫向分域)，劃分安全邊界，并采取“總分”VLAN隔離的措施，裝置間網絡安全隔離，防止故障擴散。

圖2 某大型煉化項目控制系統網絡結構示意

2.2 區域邊界安全設計

在區域邊界防護結構設計依據縱深防御的原則，如下：

1)對各DCS控制系統各區域邊界通過部署工業級防火墻，解決管理信息網與控制網不同安全域之間違規訪問與邏輯隔離，起到邊界防護和分區隔離的作用，對通信協議深度解析，只允許自有通信協議的數據包通過，隔離異常節點和異常數據，防止病毒的入侵和蔓延。并根據傳輸數據的屬性不同，保證實時通信的確定性和實時性。

2)對于在控制網中連接與APC，ALMS等通信的OPC服務器，應通過獨立配置的工業防火墻實時獲取OPC流量，進行OPC深度包解析，動態端口識別與跟蹤，實時監控OPC通信。

3)在煉油區、化工區、公用工程區內配置工控安全審計系統，實時檢測針對工業協議的網絡攻擊、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播并實時報警，同時詳實記錄一切網絡通信行為，包括指令級的工業控制協議通信記錄，為工業控制系統的安全事故調查提供堅實的基礎。

4)在煉油區、化工區、公用工程區生產網與信息網邊界均需部署工控安全隔離網閘，提供針對工業協議的指令級深度檢測，同時支持對拒絕服務攻擊/分布式拒絕服務攻擊(DOS/DDOS)、異常數據包攻擊以及掃描攻擊防護，并支持橋接、靜態路由和策略路由等，作為生產網整體匯聚出口。

2.3 計算環境安全設計

DCS控制系統包括控制層和管理層的各個節點設備。控制站負責控制單元的現場控制部件的集合，其中控制器是最后的安全防線，其重要性不言而喻。因此，控制器應通過網絡安全測試。同時，考慮到內部建設安全的要求，控制器首先應具有自主知識產權，包括芯片內核、操作系統、通信總線等，不應采用開源或通用技術以防止非法侵入或攻擊；其次需要廠家具備通信健壯性、協議安全性、冗余容錯能力、自主可控性、代碼可靠性等關鍵技術。

在該項目中設置控制系統完整性管理平臺，設置獨立的應用服務器。建立所有控制系統主要部件，如控制器、I/O模塊、工作站、服務器、路由器和交換機等通信設備、電源等關鍵部件準確的部件清單以及備品備件管理清單等，通過配置信息收集和管理幫助企業更好地管理控制系統。其次，對DCS等控制系統數據定期自動備份，保障數據的有效性和系統恢復的可靠性。保持完整的組態數據，如控制策略、I/O卡件、硬件、安裝軟件和用戶自定義數據等，一旦系統出現崩潰等嚴重問題，可以幫助用戶快速恢復系統。平臺定期掃描所有資產以確定配置、控制策略，圖形文件和邏輯文件是否已修改，同時系統自動生成控制邏輯圖，快速有效分析組態錯誤、快速故障排除，通過自動定位邏輯組態變更位置進行自動記錄，從而通過對比防范控制系統的潛在風險。建立工作流程，對操作系統和控制系統軟件等補丁進行主動管控，對發現的漏洞等進行及時處理。

對于系統中重要的歷史數據服務器和工程師站等，應單獨定期備份數據，考慮采用備份和恢復解決方案，進行快速可靠的備份與恢復引擎與存儲管理，保護物理與虛擬環境的重要信息。在方案設計中，應考慮系統可支持多種備份介質，操作及界面簡單，可視化等。

2.4 安全管理中心設計

作為網絡安全體系的核心，安全管理中心承擔系統管理、審計管理、安全管理、集中管控等作用。

在該項目中，在煉油區、化工區、公用工程區配置工控安全管理平臺，用于管理全廠工控安全設備，存儲審計日志、分析事件行為、統一配置設備參數等重要信息。平臺由硬件設備及內置平臺軟件組成，可通過WEB客戶端訪問，用于查閱數據或配置參數等。支持工業控制系統資產清單管理，可集中展示主機安全衛士及防火墻狀態總覽，包括：日志走勢、數量統計、占用資源統計等信息，并可對工控安全產品的批量配置與管理，采集主機安全衛士日志、防火墻日志、Windows日志等，并根據規則分析采集日志，生成事件報警。

同時，在每個區內配置由中控技術提供的全網診斷VxNetSight軟件，實現大型項目中整體網絡設備集中管理和網絡狀態實時監測等功能，實施冗余工控網絡控制系統節點和網絡設備的自動發現、映射、狀態一體化監視及網絡故障排除，智能監控、分析控制網絡行為，及時檢測工業網絡中出現的工業攻擊、非法入侵、設備異常等情況，支持根據預定義策略實時報警等。

3 結束語

根據該項目建設需求，本文提出了基于“等保2.0”的網絡安全防護體系技術方案設計，為控制系統乃至全廠信息化系統提供底層最堅實的網絡安全技術保障。

在未來項目投產建成進入運維階段后，還將會迎來更多的挑戰，為此還需要同步落實以安全管理制度，安全管理機構及人員，安全建設管理，安全運維管理等建立安全管理體系，導入貫穿安全運維全生命周期管理方法、標準/規范、管理模式、支撐工具、管理對象以及基于流程管理的安全運維體系，尤其是企業管理人員及一線作業人員的網絡安全意識的形成將會是同樣重要的工作。