石化企業控制系統的網絡安全“等級保護2.0”的方案研究

靳亞銘

(中國石化工程建設有限公司，北京 100101)

石油化工企業是國家重要的能源支柱產業，涵蓋了采油、石油煉制、石化產品等上下游各個行業，具有高溫、高壓、易燃、易爆等特點。石化企業的這些特殊性決定了其安全生產的重要性，一旦生產系統出現誤停車或故障，則可能引起人的生命安全、社會公共財產損失和環境污染等嚴重后果。

隨著數字化和智能化在石油化工行業的發展，石油和化工企業普遍采用了高度自動化的控制系統和高度信息化的運營管理手段，大幅提升了企業的生產和運營效率。同時，企業的生產活動也不再局限于單一地點和區域，而是向跨區域、跨城市甚至跨國進行合作生產的發展趨勢，基于以太網為基礎的新的過程控制系統也應運而生。工業的快速發展使得石化企業的控制系統向智能化、數字化、互聯網化和分布化的方向發展，但隨之也帶來了新的安全問題，也為病毒、木馬等惡意攻擊者增加了新的攻擊渠道和路徑，使得石化企業的過程控制系統面臨著越來越多的安全威脅和安全挑戰。

Stuxnet蠕蟲(俗稱“震網”，“雙子”)2010年6月被VirusBlokAda首次發現，據估計它的傳播是從2009年6月開始甚至更早的時間。“震網”利用微軟操作系統中至少4個漏洞，WinCC系統中的2個漏洞，通過一整套精心設計的入侵和傳播流程，突破工業局域網的物理限制，對化工、發電和電力傳輸企業所使用的核心生產控制電腦軟件實施破壞。2016年12月17日烏克蘭當地時間23點左右，烏克蘭的國家電力部門遭遇了一次黑客襲擊，導致了20 min的停電，受影響的區域還包括烏克蘭首都基輔北部及周邊地區[2]。隨著“震網”病毒、Conficker病毒、Flame病毒及黑客入侵等網絡安全事件的發生，對石化企業的過程控制系統的網絡安全也敲響了警鐘，企業的系統信息安全形勢也日益嚴峻起來，需要引起石化企業的廣泛關注和重視。

1 石化企業控制系統網絡安全的現狀分析

石化企業過程控制系統的控制設備，主要包括：分散控制系統(DCS)、數據采集與監視控制系統(SCADA)、緊急停車系統(ESD)、可燃氣體和有毒氣體檢測報警系統(GDS)、壓縮機保護系統(CCS)、可編程邏輯控制器(PLC)、先進控制(APC)以及遠程終端單元(RTU)等。這些控制設備大多采用的是國外、國內的著名品牌，都已經暴露出大量的危險隱患和漏洞，一方面在網絡連接狀態下有生產數據泄露和被盜取的風險，另一方面設備缺少安全的防御和防護能力，同時現場管理也有些問題，不法分子可以充分利用這些漏洞和缺陷對現場設備進行篡改和惡意操作。一旦這些漏洞和缺陷被利用，造成的后果和損失則不堪設想。

石化企業的操作員站多采用Windows操作系統，一般系統上線后，對操作員站或服務器只可能在停工檢修期間打補丁，可能存在嚴重的系統漏洞和安全隱患，為后續的操作埋下很多風險和威脅。同時防病毒軟件的升級也不及時，導致不能及時更新防惡意代碼庫等。石化企業過程控制系統包含很多應用軟件，如控制系統的監控或組態軟件、OPC軟件、APC軟件、MES軟件、OTS軟件、MES軟件、MMS軟件、NMS軟件、ALMS軟件以及數據管理軟件等。由于這些應用軟件是不同供貨商的產品，很難制訂全廠統一的防護措施和規則，也有可能存在較大的網絡安全隱患和風險。

石化企業中大量采用OPC通信協議和Modbus TCP協議等。而OPC Classic協議(OPCDA，OPC HDA和OPC A&E)都是基于微軟的COM/DCOM技術，DCOM使用隨機端口通信，因此OPC采用不固定的端口通信，在網絡安全問題被廣泛認識之前就設計出來，非常容易受到攻擊，且OPC通信采用不固定的端口號。同時DCOM配置要求OPC服務器和客戶端都使用相同用戶名和口令，OPC客戶端具有對服務端的數據進行讀取、修改等全部訪問權限，不滿足最小授權原則，造成采集數據安全性無法得到保障。Modbus TCP本身沒有認證機制、沒有權限區分，數據傳輸也是明文的，在特定的情形下還存在拒絕服務攻擊漏洞。最危險的是大多數控制系統的協議是為自己的控制器設計的，通過修改功能碼，可以向控制器發送各種控制指令，也包括惡意代碼[3]。

綜上所述，現階段石化行業的控制網絡主要有如下特點：

1)未對進出機柜間的來訪人員做審批和登記。

2)未對核心設備所在區域進行視頻監控或專人值守等。

3)邊界劃分可能不明確，系統內部缺乏安全的檢測手段。

4)安全區域內未進行隔離，可以互相通信。

5)無流量及網絡異常檢測審計手段，無法及時發現系統內的異常攻擊行為。

6)無有效的通信數據包過濾手段，導致控制系統的正常通信有時不夠穩定。

7)工控機的殺毒軟件嚴重過期，工控機可能都是帶毒運行，有時候殺毒軟件將生產程序識別為病毒進行隔離。

8)U盤或網絡文件可能作為引入病毒攻擊的最直接途徑等。

在上述背景下，GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》應運而生，與其相對應的安全設計技術要求、測評要求也相繼施行。以上標準都統稱為“等級保護2.0標準”或“等保2.0標準”，它可以提高石化企業的過程控制系統的網絡安全保護等級，通過將安全通用要求與擴展要求應用到過程控制系統中，可以有效地保障石化企業過程控制系統網絡的安全性、可用性和完整性。

2 網絡安全等級保護2.0簡介

根據2017年6月1日施行的《中華人民共和國網絡安全法》第二十一條規定，國家的各行各業應按要求施行網絡安全等級保護制度。“等級保護2.0”是對“等級保護1.0”的升級和調整，對網絡安全如何定級、具體的要求、如何實施、如何測評及過程等標準和要求進行修訂和完善，以滿足目前形勢下各行各業的網絡安全等級保護工作的需要。其中，《信息安全技術 網絡安全等級保護測評要求》《信息安全技術 網絡安全等級保護基本要求》《信息安全技術 網絡安全等級保護安全設計要求》于2019年5月10日發布，并于2019年12月1日開始實施。相較于“等級保護1.0”“等級保護2.0”有以下主要變化：

1)名稱變化。原名稱《信息安全技術信息系統安全等級保護基本要求》改為《信息安全技術 網絡安全等級保護基本要求》，與《網絡安全法》保持一致。

2)保護對象發生變化。“等級保護1.0”的保護對象只是針對信息系統，“等級保護2.0”的保護范圍更為廣泛，包含：基礎信息網絡、云計算、移動互聯網、物聯網、工業控制系統等。石化企業的控制系統就包含在工業控制系統里。

3)要求發生變化。“等級保護2.0”基本要求的內容由安全要求變化為安全通用要求與安全擴展要求，含云計算、移動互聯、物聯網、工業控制。針對移動互聯網、云計算或大數據平臺、物聯網和工業控制等新領域提出具體的安全保護需求和安全擴展要求，形成新的網絡安全等級保護基本要求標準。

4)內容變化。“從等級保護1.0”的定級、備案、建設整改、等級測評和監督檢查五個規定動作，變更為五個規定動作加新的安全要求，包括：風險評估、安全監測、通報預警和態勢感知等。

“等級保護1.0”和“等級保護2.0”主要項目比較見表1所列。

表1 “等級保護1.0”和“等級保護2.0”主要項目比較

“等級保護2.0”可以歸納為三化(實戰化、體系化、常態化)、六防(動態防御、主動防御、縱深防御、精準防御、整體防御、聯防聯控)和兩個全覆蓋(覆蓋全社會、覆蓋所有保護對象)。“等級保護2.0”將進一步提升整個社會和國家關鍵信息基礎設施的安全。

本文以大型石化企業的過程控制系統為研究對象，通過研究和分析“等級保護2.0”標準安全設計要求，提出“等級保護2.0”標準下過程控制系統的分層架構，對相關網絡安全產品做了一些簡要介紹，希望可以為石化領域的過程控制系統網絡安全和防護提供一些參考，并可以指導相關的設計工作。

3 “等級保護2.0”要求下的方案

3.1 “等級保護2.0”的控制點及對應的合規產品介紹

基于“等級保護2.0”的要求，石化企業“等級保護2.0”的控制點及對應產品見表2所列。由于各家產品的功能都不盡相同、等保定級單位不同、業主要求也不同等原因，最后設計出的方案可能也有所不同，但都必須滿足“等保2.0”的防護要求及評分要求。同時這些網絡安全設備必須經過專業機構的安全監測后才可以購買使用。

表2 石化企業“等級保護2.0”的控制點及對應產品

3.2 石化企業的“等級保護2.0”解決方案介紹

基于“等級保護2.0”的要求，過程控制網依次可分為過程控制層、操作監控層、數據服務層(如需要)和生產運行管理層，并符合橫向分區、縱向分層的原則，石化企業網絡安全“等級保護2.0”下的解決方案如圖1所示。

圖1 石化企業網絡安全“等級保護2.0”下的解決方案示意

橫向分區應根據工藝操作的需要進行網絡分區，分區之間應盡量減少互相操作和數據的傳輸，如果需要應采取硬接線的方式實現。各分區應可以獨立運行，數據應獨立存儲。不同網絡分區間的交換機不得共用。

縱向分層是指網絡各層級應設置網絡交換機或防火墻(如需要)進行交換連接。應通過OPC服務器向生產運行管理層傳輸數據，并且不同應用的OPC服務器應獨立設置，禁止OPC服務器共用。

應禁止使用無線網絡，并盡量減少使用無線設備接入工業控制網，如果沒法避免應做好無線網絡防護措施。

3.3 工業防火墻

工業防火墻是一個軟件和硬件設備組合而成，在內部網和外部網之間、專用網與公共網之間的邊界上構造的保護屏障。在保留傳統防火墻的基本功能基礎上，通過對引入工業控制協議的深度解析，建立可信白名單防御機制，阻斷一切非法訪問，主要功能如下：

1)攻擊識別警告攔截。利用工控漏洞庫，有效識別并攔截工業生產網中存在的針對已知漏洞的攻擊行為，并提供詳細的安全事件展示，便于追蹤和溯源，確保工業生產穩定不受影響。

2)多種工作模式。工業防火墻支持學習模式、測試模式、防護模式，能更好地對現網的實際情況進行策略微調、驗證，確保所學習到的規則真實有效。

3)網絡訪問控制。利用豐富且靈活的傳統防火墻功能來加強工控生產網絡內的身份認證、授權訪問控制，避免了非法訪問、控制工控系統內部資源的行為。

4)未知威脅預警阻斷。采用工業協議深度智能機器學習算法，對網絡行為進行學習匯總，生成一套可信任的生產操作行為集，可以有效發現并及時預警阻斷現網中發生的誤操作行為、非法授權操作、惡意指令攻擊以及惡意篡改數據等危險行為。

5)日志記錄和報表功能等。

3.4 入侵檢測系統

入侵檢測系統是一種對網絡傳輸進行及時的監視，在發現可疑傳輸時發出報警或者采取主動反應措施的網絡安全設備，與工業防火墻相比是一種積極主動的安全防護技術，通過該系統，一旦發現異常情況就發出警告。根據信息來源可分為基于主機的入侵檢測和基于網絡的入侵檢測；根據檢測方法可分為異常入侵檢測和誤用入侵檢測。該系統是一個監聽設備，沒有跨接在任何網絡鏈路上，無需網絡也可以工作。主要功能如下：

1)識別各種黑客入侵的方法和手段，防范外部黑客的入侵。

2)檢測內部人員的誤操作、資源濫用和惡意行為。

3)多層次和靈活的安全審計，幫助用戶追蹤內網、外網行為。

4)實時的報警和響應，幫助用戶及時發現并解決安全問題。

5)協助管理員加強網絡安全管理等。

3.5 工控主機安全防護

工控主機安全防護以可信計算技術為核心技術，以GB/T 25070—2019《信息安全技術 網絡安全等級保護設計技術要求》為依據，構建了自主防御體系，打造可信實用環境。針對操作員站、工程師站、數據服務器等主機進行可執行程序管理，防止被病毒木馬等惡意程序感染，同時確保在遭受到網絡攻擊的情況下，不影響正常控制程序的運行。主要功能如下：

1)有效阻止異常程序運行。用白名單防護機制，識別、阻止任何白名單外的程序運行，對通過網絡、U盤等引入系統的病毒、木馬、惡意程序進行阻止運行和阻止傳播、分析識別，最大限度地保障操作員站、工程師站和服務器等主機安全穩定運行。

2)業務運行零影響。采用白名單防護機制阻止惡意代碼執行，具備良好的系統兼容性，支持各種操作系統，對主機資源占用少，對工控系統的監控軟件和組態軟件等正常使用零影響。

3)加強訪問控制。利用一定的技術，定義主體(用戶、進程)和客體(文件、數據)安全級別，對于不同安全級別的主客體制訂讀寫訪問控制策略，保證所有數據只能按照安全級別從低到高的方向流動，使用完整性級別量化描述完整性，完整性級別高的實體對完整性級別低的實體具有完全的支配等。

4)安全基線管理功能。針對工作站、服務器等設備進行基線配置管理，包括：賬戶策略、審核策略、安全選項、IP安全、進程審計、系統日志等。通過開啟密碼復雜度、強制密碼歷史、關閉Guest賬戶、開啟系統和賬戶審核、關閉默認共享、進程審計等措施，最大限度保護主機的安全。

5)主機外設管理功能。只有經過認證的特定USB設備才可以在特定的主機上運行，禁止USB存儲設備自動運行，防止惡意程序利用漏洞自動運行。可禁止光驅、無線網卡的使用，防止通過磁盤、無線網絡泄露敏感數據和感染病毒。

3.6 安全審計系統

安全審計系統是為了保障業務系統和網絡信息數據不受來自于用戶的破壞、泄露、竊取，而運用各種技術手段實時監控網絡環境中的網絡行為、通信內容，以便集中收集、分析、報警、處理等，主要功能如下：

1)“白名單”安全檢測。利用人工智能算法與可信計算理論，自學習建立可信工控事物行為為基線，自動學習當前工控協議通信行為，形成可信工控協議的“白名單”。

2)深度解析及檢測能力。具備先進的國產化硬件架構，采用專門適用于網絡處理的多核CPU，為高性能的工控協議深度解析與檢測提供堅實的基礎保障。

3)“智能黑名單”檢測。采用智能黑名單技術結合離散型馬爾科夫鏈算法自動檢測并攔截工控流量中的惡意攻擊行為。

4)全面的攻擊和操作違規審計。全面記錄工業網絡的重要操作行為、網絡會話、異常告警原始報文等，便于事后調查取證。

5)部署模式靈活。產品部署可集中管理與自管理之間靈活切換，適用于石油化工企業的過程控制系統網絡環境。

3.7 日志分析系統

日志分析系統是實現離散日志系統的統一采集、處理、檢索、模式識別以及可視化分析，可應用于統一日志管理、基于日志的運維監控和分析、調用鏈路監控與追蹤、安全審計及合規等。主要功能如下：

1)日志統一管理。實現離散日志的一站式采集、處理、存儲、歸檔及查詢等。

2)日志全鏈路追蹤。從源頭到底層日志的全鏈路追蹤，快速定位異常并解決問題。

3)日志模式異常識別。快速識別隱藏于海量日志中的異常模式日志，縮短問題發現時間。

4)指標異常檢測。對指標數據進行智能異常檢測，發現業務異常，提升告警準確率。

5)日志審計管理。對日志分類存儲和安全事件監測管理，滿足企業合規性需求。

3.8 安全管理平臺

安全管理平臺是對網絡安全設備統一監控和管理的設備，是一套集硬件、軟件為一體，統一配置、管理、監測網絡安全的硬件平臺產品。該平臺能夠監測終端所在網絡的通信流量與安全事件，分析安全威脅，提供包括行為審計、事件追蹤、威脅分析、日志管理、設備管理、安全性分區等多項功能。主要有如下特點：

1)全面的安全日志審計。全面記錄工業網絡中的主機安全日志、安全防護日志、流量日志、異常攻擊監測日志、攻擊發生時的原始報文信息等，便于安全事件分析和調查取證。

2)高速率加密傳輸通道。采用加密方式進行通信，防止數據包遭到惡意截取或篡改，保障數據的有效性和安全性。

3)豐富的日志報表展示。友好的用戶操作界面。

4)支持第三方擴展功能等。

3.9 態勢感知系統

態勢感知系統是基于網絡流量可視化技術、大數據分析技術、深度報文檢測技術、異常流量檢測清洗和威脅發現等網絡安全技術，并結合一定的硬件平臺，可以接入全網流量并做深度分析挖掘，感知網絡、安全、資產、應用態勢，并有可視化的呈現。可追溯，可感知，可預測整個網絡的運行狀況，實現精細化、智能化運維管理。主要功能如下：

1)全面和強大的感知能力。從網絡(網絡流量、網絡行為、網絡內容)、安全、資產、應用等層面全面感知網絡態勢，實現精細化、智能化運維管理。

2)卓越的識別和還原能力。可識別大部分常用的應用及協議，還原網頁、郵件、圖片和視頻等內容。

3)強大的機器學習能力。利用基因檢測情報自動升級病毒特征庫，利用未知威脅檢測情報自動升級基因圖譜庫。各搜索引擎具備AI功能，可以互相學習、互相補充，自我壯大，鞏固自身的防御能力。

4 結束語

當前，石化企業的過程控制系統依舊面臨著或大或小的安全風險，如果將“等級保護2.0”的安全理念融入到系統建設和整改中，對過程控制系統實行全生命周期管理，并保證網絡安全與過程控制系統同時設計、同時交付、同時使用，就可以有效地降低過程控制系統運行后的網絡安全漏洞和風險，是設計人員和企業管理人員需要持續關注的重點。同時，市場上有很多類似的網絡安全產品，都需要根據“等級保護2.0”的要求去認真核實具體產品的功能，并與等級保護定級單位密切合作，設計出符合實際需要的過程控制系統。

本文通過結合“等級保護2.0”標準的要求，討論了一種基于“等級保護2.0”標準的石化企業過程控制系統網絡安全防護體系，完善網絡安全技術防護與管理防護，結合先進技術的運用以及管理體系的不斷完善，可以有效應對各種安全風險問題，促使系統安全得到進一步提升和增強，為石化企業過程控制系統的網絡安全防護提供理論參考依據。

在“等級保護2.0”的時代，石化企業的過程控制系統的網絡安全防護和保護都應回歸到安全的本質。不僅需要從控制系統的軟件、硬件、網絡等角度進行，還應從加強企業自身的安全管理理念、安全管理制度，提升安全管理人員的素質等方面入手，定期開展控制系統網絡安全評估，制定針對性的安全防護策略，才能夠防護得住有組織的專業團隊的網絡攻擊和病毒入侵，才能更好地保護國家的重要能源設施的安全和穩定。