石化行業(yè)工控系統(tǒng)網絡安全防護體系建設探析

霍朝賓，武 蕊

(華北計算機系統(tǒng)工程研究所，北京 100083)

0 引言

工業(yè)互聯(lián)網安全與工業(yè)控制系統(tǒng)(以下簡稱工控系統(tǒng))安全密切相關，隨著工業(yè)互聯(lián)網的應用領域日益廣泛，相關安全事件連年頻發(fā)。工控系統(tǒng)作為石化行業(yè)網絡安全建設的重要分支，需要不斷提升其安全防護體系建設能力，實時構建彈性防御體系，避免、轉移、降低系統(tǒng)面臨的風險，從而切實保障工控系統(tǒng)網絡安全。

1 研究背景

近年來，全球石化行業(yè)網絡安全事件頻發(fā)。2020年5月，臺灣兩大煉油廠分別于兩天內遭受不同程度的黑客勒索，該勒索軟件攻擊系統(tǒng)服務器，使計算機和IT系統(tǒng)強制關閉，給各加油站造成一定程度上的混亂[1]。2021年5月，美國燃油管道運營商Colonial Pipeline遭黑客勒索軟件攻擊，攻擊者以挾持關鍵基礎設施為目的，切斷了美國東部地區(qū)油氣輸送主動脈，導致全美進入國家緊急狀態(tài)，嚴重影響國家的正常運作能力[2]。同年7月，石油巨頭沙特阿美遭盜竊1 TB專有數(shù)據(jù)，多處煉油廠的重要數(shù)據(jù)遭受泄露風險[2]。一系列安全事件的發(fā)生使我國石化行業(yè)網絡安全防護建設壓力倍增。

當下中國進入“十四五”全面深化改革新時期。2021年3月5日，十三屆全國人大四次會議公布《國民經濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》，提出要加強重要網絡和信息系統(tǒng)安全保障，要提升網絡安全威脅發(fā)現(xiàn)、監(jiān)測預警、應急指揮、攻擊溯源能力，同時還要建立健全關鍵信息基礎設施保護體系，提升安全防護和維護政治安全能力[3]。自2021年9月1日起施行的《關鍵信息基礎設施安全保護條例》指出，國家對關鍵信息基礎設施實行重點保護，采取措施，監(jiān)測、防御、處置來源于境內外的網絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞[4]。與此同時，石化行業(yè)工業(yè)互聯(lián)網應用進程正不斷推進深入，在過去已建立的兩網連接中，將進一步響應“十四五”信息化和工業(yè)化深度融合發(fā)展規(guī)劃，加快推進工業(yè)控制網絡與企業(yè)網或互聯(lián)網之間互聯(lián)互通。但隨著國家網絡安全相關政策的相繼出臺，以及當下石化行業(yè)工控系統(tǒng)網絡安全防護建設所面臨的緊迫形勢，工業(yè)互聯(lián)網為工控系統(tǒng)帶來巨大創(chuàng)造力和生產力的同時，也會引入更加復雜、嚴峻的安全問題。因此當務之急就是規(guī)劃并建設一套安全高效的網絡安全防護體系。

2 石化行業(yè)工控系統(tǒng)網絡安全防護現(xiàn)狀

如今石化行業(yè)工控系統(tǒng)網絡安全防護體系建設面臨多重機遇和挑戰(zhàn)，建立圍繞安全服務、安全技術的全方位防護體系，最終實現(xiàn)石化行業(yè)工控產品自主安全顯得尤為關鍵。通過對石化行業(yè)部分企業(yè)工控系統(tǒng)調研發(fā)現(xiàn)，現(xiàn)階段網絡安全問題主要集中在以下三個方面。

2.1 安全服務保障不完善

通過調研石化行業(yè)不同工藝流程下的多家單位，發(fā)現(xiàn)大多企業(yè)都未建立一套完善的安全服務體系，安全服務保障工作相對缺失。

安全服務體系包含安全咨詢服務、安全檢測服務、風險評估服務、滲透測試服務、安全培訓服務、安全運維服務、安全集成服務等。安全服務體系建設是為提高石化行業(yè)工控系統(tǒng)網絡安全防護能力，保障工控系統(tǒng)每個工藝流程在規(guī)劃、集成、建設、實施、運維等各方面達到網絡安全需求，通過安全專家提供完整的安全咨詢或解決方案，幫助客戶應對來自網絡安全領域的各種挑戰(zhàn)[5]。

以安全檢測服務中等級保護服務為例：測評機構為被測系統(tǒng)責任單位提供安全服務，在定級階段，網絡運營者主要使用GB/T22240和相應的行業(yè)或企業(yè)標準來劃分定級對象和確定安全保護等級；在安全建設階段，網絡運營者主要使用GB/T22239-2019、GB/T25070-2019和相應的行業(yè)或企業(yè)標準來進行規(guī)劃設計和建設工作，科學合理地選擇和部署必要的安全措施[6]；在等級測評階段，測評機構主要依據(jù)GB/T28448-2019、GB/T28449-2018和相應的行業(yè)或企業(yè)標準來規(guī)范和指導等級測評工作。針對石化行業(yè)工控系統(tǒng)實施等級保護工作，首要任務應摸清下屬企業(yè)工控系統(tǒng)網絡安全防護現(xiàn)狀，理清安全防護需求，針對企業(yè)摸底情況，為被摸底企業(yè)出具工控系統(tǒng)網絡邊界安全防護整改方案和措施建議，針對工控系統(tǒng)網絡安全等級保護需求，形成工控系統(tǒng)定級指導意見和工控系統(tǒng)定級指南，用于指導企業(yè)工控系統(tǒng)定級備案工作，并定期依照國家有關規(guī)定開展網絡安全測評，針對測評問題進行安全建設整改，并全程接受有關部門監(jiān)督檢查[7]。

隨著信息技術的快速提升，石化行業(yè)工控系統(tǒng)網絡安全防護已不再局限于狹義的信息系統(tǒng)，而是逐漸擴展到云計算、大數(shù)據(jù)、物聯(lián)網、移動互聯(lián)等各類新技術。面對石化行業(yè)逐步向工業(yè)互聯(lián)網生態(tài)轉型的現(xiàn)實情況，未來對工控系統(tǒng)的安全服務需求也將逐步提升[8]。

2.2 安全技術支撐不全面

石化行業(yè)作為能源行業(yè)重要組成部分，一度使其成為黑客攻擊的重要目標。石化行業(yè)工控系統(tǒng)因其部署相對封閉、單一，致使針對石化行業(yè)工控系統(tǒng)的信息安全事件具有目標明確、隱蔽性強、破壞嚴重等特點。通過調研走訪石化行業(yè)相關單位發(fā)現(xiàn)，石化行業(yè)工控系統(tǒng)在工控設備使用時，針對工控設備自身的安全技術支撐不全面，主要表現(xiàn)在通信協(xié)議安全性較弱、工控設備存在安全漏洞較多兩方面，由此二者帶來的信息系統(tǒng)安全隱患很難被傳統(tǒng)的信息安全防護技術所發(fā)現(xiàn)。

石化行業(yè)工控設備通信協(xié)議安全性較為薄弱，以SCADA系統(tǒng)為例，其現(xiàn)場設備層和過程控制層主要使用現(xiàn)場總線協(xié)議和工業(yè)以太網協(xié)議。現(xiàn)場總線協(xié)議在設計時大多沒有考慮安全因素，缺少認證、授權和加密機制，數(shù)據(jù)與控制系統(tǒng)以明文方式傳遞，因此數(shù)據(jù)可以很容易地被攻擊者捕獲和解析。

石化行業(yè)工控設備存在較多安全漏洞，傳統(tǒng)設備漸漸被智能化設備取代，致使工控設備遭受到更多的攻擊，攻擊的形式也越來越多樣化[9]，其中，最常見的攻擊方式就是利用工控系統(tǒng)的漏洞。根據(jù)CNVD(國家信息安全漏洞共享平臺）的漏洞數(shù)據(jù)，2011～2021年(其中2021年漏洞數(shù)量統(tǒng)計截止時間為2021年5月)工控漏洞走勢如圖1所示。從圖中可以看出，自2016年始，針對工業(yè)控制系統(tǒng)安全問題的關注度日益提升，工控漏洞數(shù)量整體上呈現(xiàn)逐年上升的趨勢。

石化行業(yè)的生產離不開工控設備的支持，工控漏洞的發(fā)展趨勢也側面反映了石化行業(yè)工控設備安全風險形勢日益嚴峻。

石化行業(yè)工控設備通信協(xié)議的脆弱性和工控設備安全漏洞的威脅性廣泛存在，是整個行業(yè)網絡安全防護技術措施缺失、技術支撐不全面的表現(xiàn)，從而也增加了黑客從網絡中各個維度對網絡進行攻擊的可能性[10]。如果不采取有效的安全技術防護手段進行遏制，不僅會危害石化行業(yè)工控系統(tǒng)網絡安全，還會危及社會秩序、公共利益以及國家安全，造成一定的國民經濟損失，嚴重可能演化成網絡武器，通過戰(zhàn)略情報采集、滲透潛伏、精準打擊等方式，直接破壞工業(yè)互聯(lián)網核心基礎設施。

2.3 核心技術產品受制于人

通過調研石化行業(yè)某單位工控相關生產業(yè)務，主要包括石油的開采、存儲、煉化、輸送等環(huán)節(jié)，發(fā)現(xiàn)涉及控制系統(tǒng)的廠商主要有霍尼韋爾、西門子、艾默生、和利時、羅克韋爾等常見品牌。我國石化行業(yè)工控設備大多仍嚴重依賴國外產品，其中超過90%的PLC為國外品牌[11]。圖2統(tǒng)計了石化行業(yè)應用廣泛的幾大工控設備品牌的市場占有率，大眾主流品牌在石化行業(yè)工控領域占據(jù)大多數(shù)份額，如西門子占32%、艾默生占15%、霍尼韋爾占12%。

圖2 石化行業(yè)工控系統(tǒng)品牌統(tǒng)計

同時，在石化行業(yè)工控系統(tǒng)邊界防護上也涌現(xiàn)了眾多品牌，但在實際應用上國外設備仍占據(jù)主導地位[12]。圖3統(tǒng)計了石化行業(yè)工控系統(tǒng)應用廣泛的幾大邊界設備市場占有率，其中Tofino工業(yè)防火墻使用率達51%、思科工業(yè)防火墻占據(jù)23%。品牌多樣化也導致了石化行業(yè)工控系統(tǒng)遭受攻擊的形式也越來越多樣化。

圖3 石化行業(yè)邊界防護設備使用統(tǒng)計

當下我國石化行業(yè)工控領域核心技術產品對國外依賴嚴重，表1統(tǒng)計了目前我國石化行業(yè)工控領域信息系統(tǒng)核心技術產品使用情況。從表中可以看出，從核心處理器、操作系統(tǒng)、服務器、網絡設備到編程編譯工具，大都依賴國外品牌。但是近年來“微軟黑屏門”“微軟操作系統(tǒng)停更”等安全事件的發(fā)生，顯然已為我國加快發(fā)展自主安全產品，實現(xiàn)國產化替代按下加速鍵。

表1 石化行業(yè)信息系統(tǒng)核心技術產品使用品牌統(tǒng)計

3 石化行業(yè)工控系統(tǒng)網絡安全防護體系建設

2017年，國家發(fā)布《中華人民共和國網絡安全法》，明確要求實施信息安全等級保護制度[13]。2019年，基于網絡體系新的形勢和發(fā)展需求，公安部發(fā)布了網絡安全等級保護2.0國家標準，在等保1.0的基礎上更大程度完善了保護對象的范圍，將大數(shù)據(jù)、云計算、工控全面納入保護范圍，采用“一個中心，三重防護”的理念，強調將安全檢測、應急處理、事件追溯等措施落實，總體上從安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度等十個層面提出了更高的技術和管理要求[14-15]。

石化行業(yè)工控系統(tǒng)在以網絡安全法律法規(guī)政策體系、等級保護政策標準體系為防護依托的基礎上，亟需搭建一套完整的以安全服務為保障、安全技術為支撐、自主安全產品為導向的網絡安全防護體系，切實減少網絡安全對企業(yè)帶來的損失。為此本文提出一套石化行業(yè)工控系統(tǒng)網絡安全防護體系構建框架，如圖4所示。

圖4 石化行業(yè)工控系統(tǒng)網絡安全防護體系

安全服務體系是以GB/T22239網絡安全等級保護基本要求、GB/T20984信息安全風險評估規(guī)范等為理論依據(jù)，在安全咨詢基本服務的基礎上，通過對石化行業(yè)工控系統(tǒng)定期進行安全檢測、風險評估、滲透測試，動態(tài)跟進并發(fā)掘系統(tǒng)弱點，對于暴露出的漏洞和弱點通過安全運維和應急處理服務對癥下藥。在整個安全服務體系建設后期，通過安全培訓服務強化系統(tǒng)關聯(lián)人員的網絡安全防護意識、提升安全防護技能。

安全技術體系是以GB/T25070網絡安全等級保護安全設計技術要求等為理論依據(jù)，在完善安全區(qū)域邊界上采取安全分區(qū)、網絡專用、單向隔離的技術措施構筑系統(tǒng)安全防護屏障。一方面主要以邊界防護產品為依托，通過在系統(tǒng)中部署入侵防御、準入控制、集中管控、工控審計溯源等設備對運行環(huán)境中主機安全層面、應用安全層面、終端管理層面以及針對云大物移新技術的互聯(lián)互通實現(xiàn)安全監(jiān)測運維；另一方面通過搭建安全預警感知平臺，對工控系統(tǒng)安全漏洞、工控系統(tǒng)安全態(tài)勢進行感知分析。

以工業(yè)控制系統(tǒng)安全防護指南等為理論依據(jù)，自主安全產品體系在結合安全服務體系、安全技術體系做框架支撐的同時，依靠產品自身研發(fā)設計，全面掌握產品核心技術，實現(xiàn)石化行業(yè)工控系統(tǒng)核心軟硬件產品，諸如操作系統(tǒng)、數(shù)據(jù)庫、SCADA、PLC、伺服電機、傳感器；核心基礎芯片，諸如核心處理器、存儲芯片、網絡芯片的自主研發(fā)、生產、升級、維護的全程可控。

基于石化行業(yè)工控系統(tǒng)網絡安全防護體系，以安全服務體系、安全技術體系、自主安全產品體系三位一體，打造一套試驗案例應用于石化行業(yè)某單位工控系統(tǒng)建設，具體落實措施案例如圖5所示。

圖5所示實施案例依據(jù)ISO/IEC 62264-1：2013的層次結構模型，給出石化行業(yè)工控系統(tǒng)的層次結構模型，其中石化行業(yè)工控系統(tǒng)主要涉及生產管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設備層，即管理信息大區(qū)和生產控制大區(qū)。安全服務體系貫穿整個系統(tǒng)全生命周期，包含安全咨詢、安全檢測、風險評估、滲透測試、安全運維、應急處理以及安全培訓七部分；安全技術體系貫穿整個層次結構，實現(xiàn)層和層、域和域之間的隔離防護，從而達到安全分區(qū)、網絡專用、單項隔離的目的；自主安全產品體系貫穿生產控制大區(qū)，從操作系統(tǒng)到控制器再到現(xiàn)場設備加大設備國產化力度，從而實現(xiàn)自主安全的目標。

圖5 石化行業(yè)工控系統(tǒng)網絡安全防護體系實施案例

石化行業(yè)工控系統(tǒng)網絡安全防護體系以國家網絡安全法律法規(guī)政策體系、國家網絡安全等級保護政策標準體系為扣合點，通過搭建安全服務體系保障網絡安全、安全技術體系支撐網絡安全，以實現(xiàn)石化行業(yè)工控系統(tǒng)內部核心關鍵設備自主安全、整體工控網絡可控為最終導向。

4 結論

工業(yè)控制系統(tǒng)作為石化行業(yè)的神經中樞，一旦受到破壞，其后果不僅僅局限于經濟損失，還會直接影響國民日常生活甚至造成人員傷亡，乃至影響社會穩(wěn)定。只有構建安全的石化行業(yè)網絡安全防護體系，通過政策法規(guī)約束，安全管理服務保障，安全技術措施支撐，才能有效抵御外界攻擊，消除內部潛在威脅，實現(xiàn)石化行業(yè)工控系統(tǒng)網絡安全防護目標。