煉化企業工業控制系統網絡安全現狀與對策

李楨

(中國石油化工股份有限公司 茂名分公司,廣東 茂名 525000)

近年來,全球工業控制系統(ICS)網絡安全事件頻發。2010年“震網事件”造成伊朗核燃料工廠1 000多臺離心機物理損壞,導致伊朗核電站、核設施工作癱瘓;2015年12月“黑客”通過網絡攻擊進入烏克蘭幾個地區電網控制系統,直接控停了7個110 kV變電站和23個35 kV變電站,導致大規模停電;2017年5月12日“勒索”病毒襲擊全球上百個國家,許多ICS遭到攻擊,中石油2萬座加油站斷網;中石化某大型煉化企業煉油區2019年7套生產裝置47臺操作節點受到“挖礦”病毒感染,大量操作員站死機重啟。

隨著計算機和網絡技術的不斷發展,特別是自動化與信息化深度融合以及物聯網的快速發展,ICS越來越多地采用以信息技術(IT)為基礎的通用協議、通用硬件和通用軟件,以各種方式與工廠信息管理系統等公共網絡連接,病毒、木馬、黑客攻擊等IT領域的威脅正在向ICS擴散,網絡安全面臨的威脅不斷增加。

煉化企業生產過程具有高溫、高壓、易燃、易爆、易中毒、易腐蝕、生產連續性較強的特點,一旦出現安全問題,可能產生現場火災、爆炸,甚至造成設備的損壞、人員的傷亡。ICS的可靠和穩定運行是確保工業生產安全的基礎,ICS網絡安全需要引起高度關注。應從標準規范、技術防護和安全管理方面著手,建立ICS網絡安全體系,加快研究和實施ICS網絡安全行之有效的防范措施和解決方案,切實保障生產安全。

1 工業控制系統網絡安全的現狀

ICS包括多種工業生產中使用的控制系統,有： 數據采集與監控系統(SCADA)、分散控制系統(DCS)和其他較小的控制系統,如可編程序控制器(PLC)[1]。ICS表現為一個多層次的體系架構,從下至上一般分為過程層、基礎控制層、監視控制層、操作管理層、企業系統層[2]。隨著工業化、自動化、信息化的不斷發展,生產、資源集中操作和管理,IT與操作技術(OT)深度融合,工業物聯網(IIOT)與ICS連接等給ICS帶來了新的安全問題;加上ICS自身漏洞多、ICS廠商和軟硬件版本多、網絡和設備安全防護參差不齊、安全管理嚴重不足等,使ICS面臨的網絡安全風險錯綜復雜、多種多樣。主要安全威脅包括： 蠕蟲、特洛伊木馬、勒索軟件、間諜軟件、高級可持續威脅(APT)、“后門”、拒絕服務(DoS)、“0-day”漏洞等[3]。

1.1 系統本身安全性不高

ICS早期采用專用的硬件、軟件和通信協議,近幾年,工業自動化系統廣泛采用微軟Windows操作系統和TCP/IP標準網絡協議,工業實時以太網已在工業自動化領域廣泛應用,IT技術快速進入工業自動化系統的各個層面。ICS設計之初,由于資源受限、非面向互聯網等原因,主要考慮系統的實時性、可靠性、穩定性,并沒有考慮安全性。控制設備、編程軟件、組態軟件以及工業協議等普遍缺乏身份認證、授權、加密等安全基因,系統的應用平臺、通用通信協議以及人機接口(HMI)軟件等都存在各種漏洞或缺陷,使得系統自身的安全保護能力嚴重不足,容易感染網絡病毒、木馬等惡意代碼,甚至被利用和攻擊。盡管已有工控產品的生產商開始進行加固升級,研發新一代的安全工控產品,但是由于市場、技術、使用環境等方面的制約,工控產品生產商普遍缺乏主動進行安全加固的動力。

此外,CPU芯片作為硬件基礎平臺的核心,技術掌握在國外廠商手中,“后門”漏洞的隱患始終存在,國內研究和生產的CPU芯片產品能否在中國工控領域廣泛應用,仍待進一步研究和驗證[4]。

1.2 標準體系尚需完善

針對ICS網絡安全,國際上最具影響力的標準包括IEC 62443,NIST SP800-82等。國內也相繼出臺了GB/T 32919—2016《信息安全技術 工業控制系統安全控制應用指南》[5]、GB/T 33009—2016《工業自動化和控制系統網絡安全 集散控制系統(DCS)》[6]、GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》、GB/T 37980—2019《信息安全技術 工業控制系統安全檢查指南》[7]、GB/T 40813—2021《信息安全技術 工業控制系統 安全防護技術要求和測試評價方法》[8]等相關標準,給出了ICS網絡安全的防護要求、管理要求、檢查指南等。但由于不同的行業領域、不同的應用在ICS安全設計、測試和驗收等環節存在一定的差異,對于煉化企業來說,現有的ICS網絡安全標準體系的指導性和可操作性還存在明顯的不足,快速落地實施尚存在諸多困難。

1.3 安全防護存在隱患

ICS的操作站、工程師站以及服務器等操作節點使用的操作系統,通常以Windows為主。不少在役操作系統版本老舊,安全漏洞較多且修補困難;考慮到系統運行成本、系統穩定性等因素,ICS通常處于長時間不間斷運行狀態,無法高頻次開展補丁安裝、漏洞修補、系統升級等工作,一些操作站節點未安裝防病毒軟件,或者即使安裝了防病毒軟件也沒及時更新惡意代碼庫,Windows平臺固有的脆弱性容易被病毒、黑客利用。

基于節約成本、提高工作效率的目的,多數工廠使用1套時鐘同步服務器、防病毒服務器等為多套ICS提供服務。服務器與ICS之間、各ICS之間缺乏網絡邊界安全防護措施,可能導致1套ICS感染的惡意代碼通過網絡邊界向其他ICS傳播。新一代的ICS應用協議大都建立在TCP/IP協議基礎上,不同的系統制造商,使用的基于TCP/IP的通信協議也是不一樣的,例如Honeywell PKS的FTE,橫河CS3000的Vnet等,傳統的IT防火墻無法實現工業通信協議的過濾,無法在監視控制層與基礎控制層之間或操作節點之間實現邏輯隔離。

1.4 安全管理不到位

許多企業對ICS網絡安全重視不夠,人員工控安全責任意識、風險意識不足,企業工控安全管理制度不健全,對現有工控安全管理制度落實不到位,常出現隨意和違規操作等問題,給ICS的可靠運行埋下了安全隱患。典型的現象有U盤、移動硬盤等移動存儲介質隨意在ICS中使用;使用簡單、默認的用戶名和密碼;操作系統和應用軟件不做必要的補丁升級和漏洞修復;ICS中很少或沒有安全審計;不對災難恢復進行定期應急演練;操作節點未安裝防惡意代碼軟件或特征碼庫不及時更新;培訓不到位導致現場人員ICS安全風險識別、問題處置技能不足等。

2 工業控制系統網絡安全的對策

2.1 建立一個有效的安全管理體系

ICS網絡安全管理的核心是網絡安全管理體系的建立、維護和改進過程。應結合企業實際情況,依據GB/T 22080—2016《信息技術 安全技術 信息安全管理體系要求》[9]和GB/T 36323—2018《信息安全技術 工業控制系統安全管理基本要求》[10]建立ICS網絡安全管理體系,從頂層承諾、規劃評估、資源支持、策略實施、績效評價、持續改進等方面采用“規劃(Plan)-實施(Do)-檢查(Check)-處置(Act)”(PDCA)模型維護并不斷完善ICS網絡安全管理體系,從而實現對ICS網絡安全的風險管控[11]。應用于ICS網絡安全管理體系過程的PDCA模型如圖1所示,主要包括以下幾個方面內容：

圖1 應用于ICS網絡安全管理體系過程的PDCA模型示意

1)安全規劃與團隊建設。企業應建立與業務要求、相關法律法規相適宜的ICS網絡安全方針和目標,對ICS安全管理活動中的各類管理內容建立安全管理制度,對各層管理人員或操作人員執行的日常管理操作建立操作規程;各級領導踐行“有感領導”,引領、指導、支持ICS網絡安全管理體系的運行、持續改進。

構建包含物理安全、網絡安全、工業控制等領域人員在內的安全管理團隊,明確各崗位的安全職責,對ICS崗位人員、訪問系統人員進行背景審查,嚴格處罰違規行為;全體有關人員都應受到相適應的意識、方針策略、制度、規程的定期培訓,定期對ICS管理員、工程師、操作維護人員等進行技術、安全技能培訓和考核。

2)ICS建設安全管理。選擇ICS規劃、設計、建設、運維、評估等服務商時,優先考慮具備工控安全防護經驗的單位,以合同等方式明確服務商應承擔的網絡安全責任和義務;明確要求供應商對產品或系統進行安全配置,安全防護軟硬件產品必須通過工控廠家的兼容性測試、驗證;應通過出廠驗收測試(FAT)驗證供應商提供的產品、系統、配套的網絡安全產品是否符合技術規范要求,通過現場驗收測試(SAT)驗證不同供應商提供的產品或系統的安裝是否符合應用規范和安裝指南。

3)變更管理。應制定并維護ICS的配置清單,配置變更前充分評估潛在的安全風險,制定相應的防范措施;ICS軟件升級、系統打補丁、病毒庫更新等應在ICS檢修期間進行,變更前要確保原系統有冗余或/和備份,應掃描補丁、軟件升級包是否攜帶病毒;系統的安全補丁除了經ICS產品供應商測試、認證外,還應由用戶在現場實際應用設備上測試。

4)訪問及使用控制。應采取移除ICS不需要的賬戶、賬戶默認口令在ICS投入前變更、對管理/配置用戶強認證(如強口令)等管控措施;訪問賬戶應基于角色來配置,確保個人和設備只擁有所需的最小權限,并及時中止離崗人員對ICS的訪問權限。應禁止移動存儲介質(設備)的接口,需要使用時才將其允許,使用完后立即禁止;需要使用外來存儲介質(設備)時,存儲介質(設備)必須經主管部門檢測,確認無病毒方可在ICS上使用。

5)應急管理。應對工藝參數、配置文件、設備運行數據、生產數據等關鍵業務數據定期備份,備份介質至少2份并異地存放;應在工業控制網絡部署網絡安全監測設備,實時監測工控網絡的異常行為,建立網絡安全審計系統,及時發現網絡安全事(故)件隱患;結合企業實際情況,制定工控安全事件應急處置預案,并通過定期演練發現應急工作體系和工作機制存在的問題,不斷完善應急預案,提高應急處置能力。

2.2 ICS網絡安全風險管控及方案部署

2.2.1 網絡分隔

ICS通常在企業內部與各種業務系統、管理系統、控制系統等緊密連接與集成,應依據保持最小權限的原則,通過通信包過濾去除與其他系統之間的不需要的通信包,通過網絡分段將網絡劃分成不同的安全區域,最小化ICS安全事故發生的可能性。典型的網絡分隔方法如圖2所示。ICS集成系統網絡安全區域總體劃分如下：

圖2 典型的煉化企業工業控制系統網絡分隔示意

1)工廠信息區。包括操作數據管理系統(ODS)、先進報警管理系統(AAS)等,用于采集、記錄和管理全廠DCS和其他子系統的實時數據和報警數據等。

2)隔離區(DMZ)。是工廠信息區與ICS網絡之間的數據緩沖區,企業系統網絡需要訪問ICS的數據服務器位于這個區域,其作用是使工廠信息網絡與ICS網絡之間不直接相互通信。

3)ICS區。包括ICS模型中的過程層、基礎控制層、監視控制層、操作管理層。

4)單元區域。是根據工藝操作的需要、生產過程的功能等劃分出的ICS區的子區或細分成的小單元。

2.2.2 風險管理的方法

煉化企業應依據GB/T 22240—2020《信息安全技術 網絡安全等級保護定級指南》[12],結合企業自身的特點,建立ICS網絡安全等級保護定級指南。依據GB/T 36466—2018《信息安全技術 工業控制系統風險評估實施指南》[13]組織評估ICS各安全區域風險,確定各安全區域的安全等級。依據GB/T 22239—2019的要求,按安全等級的高低選擇緩解控制成本小于潛在風險的解決措施,將風險降低到可容忍的水平。

2.2.3 構建縱深防御的架構

沒有任何一種防御措施可以獨立防御所有的攻擊向量、修補系統所有的安全漏洞。需要將多種防御措施分層部署,某一層的安全防御漏洞可被其他層的安全措施所彌補,即便是任何一種安全措施失效,這種沖擊也是最小的,即構建一種整體的安全態勢——縱深防御模型,如圖3所示。模型包含設備、應用、計算機、網絡、物理五個層次,每一層的安全加固使ICS得到全面保護[14]。

圖3 縱深防御模型示意

2.3 主要的防御措施

2.3.1 物理安全

應在ICS機房內外及周邊安裝IP攝像機或電視監控系統(CCTV)等類型的監控攝像機,特別是機房的所有入口和出口以及整個機房的每個訪問點。應綜合使用運動檢測設備、低光攝像頭、云臺變焦攝像頭和標準固定攝像頭,實現無死角、全天候監控。通過鎖定進入機房的通道,嚴格控制對機房的訪問,只允許授權人員通過刷卡或生物識別讀取設備進入這些區域。同時,對外來人員出入機房進行登記,外來人員進機房作業、參觀、指導、檢查等應經ICS主管人員許可,有主管部門人員的陪同。

為防止引入未經授權的計算機、交換機、接入點或計算機外圍設備(如U盤),應保護所有的物理端口,防止插入這些未經授權的設備。對未使用的交換機端口和備用NIC端口可使用RJ45端口鎖進行端口封堵,對于未使用的USB口使用USB口安全鎖封堵。

2.3.2 網絡安全

網絡安全方面有如下措施：

1)邊界安全防護。基礎控制層(L1)節點為整個自動化系統的核心部分,各家控制系統制造商產品L1層結構有所不同,若控制網絡L1層基于TCP/IP協議或其他開放協議,L1與監視控制層(L2)之間的網絡邊界處應設置工控防火墻,安全儀表系統(SIS)、壓縮機控制系統(CCS)等應通過RS-485,RS-422接口與Modbus協議,或通過硬接線與控制系統相連。對于L2層,為了避免局域網發生廣播風暴造成較大影響,大型煉化企業輸入、輸出點數多(可達數萬點)的情況下,應劃分為若干獨立的局域網。規模較小的多套生產裝置或公用工程單元在同一個局域網內,可將該局域網進一步劃分為若干虛擬局域網(VLAN),每套生產裝置或公用工程單元成為一個VLAN[15]。在L2層與操作管理層(L3)網絡邊界處應部署三層交換機(帶路由功能),全局工程師站、全局操作員站等與單元區域控制系統網絡之間應部署工業防火墻,實現L2層與L3層之間、各單元區域網絡之間的邏輯隔離。APC系統、防病毒服務器、補丁服務器、第三方系統等與L2層之間采用專業防火墻實現隔離。L3層與DMZ區層之間部署專用防火墻,DMZ區與企業系統層(L4)之間可部署專用防火墻、單向安全網關、網閘等。

2)隔離設備的選用與策略配置。L3層與DMZ區、控制系統與第三方系統等之間的防火墻應優先選用能有效過濾木馬、蠕蟲、間諜軟件、漏洞攻擊、拒絕服務攻擊等威脅的下一代防火墻,根據實際需求對防火墻進行合理配置,包括檢查網絡數據包源和目的地址、基于端口的應用識別、基于應用特征的應用識別等,實現精細化的網絡應用管控。對于L4層操作數據管理系統(ODS)的數據采集,可在DMZ區與L4層之間部署采用雙主機架構及系統異構的單向安全網關,實現數據的單向傳輸。應選用端口間互相隔離的時鐘同步服務器,實現不同的裝置、系統授時的故障隔離。時鐘同步服務器應置于DMZ區,經防火墻與被授時設備連接,通過配置NTP協議識別、IP地址檢查、惡意代碼防護等策略,降低服務器與被授時設備間網絡通信的安全風險。

3)通信協議安全。目前,工業以太網已在ICS中廣泛應用,工業以太網有Profinet,Ethernet/IP, Modbus TCP等多種標準化的協議,在不同廠商生產的硬軟件之間、控制網絡與信息網絡之間的系統集成與數據交換方面,OPC技術的應用非常廣泛。基于安全考慮,在未采取任何安全防護措施的情況下,第三方應用系統禁止采用標準化的工業通信協議直接接入過程控制層交換機的設備和系統。在DMZ區與L4層之間的數據傳輸應采用OPC協議,鑒于基于COM/DCOM技術的傳統OPC協議存在安全配置不足的問題,應逐漸采用OPC UA協議替代傳統的OPC協議,在配置OPC UA協議時,使用“簽名與加密”的安全方式增加通信的安全性[16]。

2.3.3 計算機安全

計算機的安全方面有如下措施：

1)終端保護軟件的安裝與配置。為了查出、清除計算機上的惡意代碼,在工控計算機上應安裝防病毒軟件。同時,為了優化計算機的性能,在確保計算機上沒有潛伏惡意代碼的情況下,可將ICS制造商認證的可信的文件夾、應用程序設置成按訪問掃描的排除項;應在工控計算機上安裝應用程序白名單軟件,在確認系統內無惡意軟件存在的情況下,將可信的可執行程序設置為白名單,只讓白名單中的程序運行,阻止其他程序(包括“零日”病毒)運行。

2)外設和接口安全防護。應通過修改BIOS或注冊表配置、終端保護軟件配置等方法封閉工控計算機上不必要的USB和光驅等接口、設備,確需通過計算機外設、接口訪問控制系統時,應在采取了安全防護措施(如,與操作員站采用防火墻進行了隔離)的工控計算機上進行;應配置、使用包含多種殺毒軟件的移動介質安檢工作站,對需臨時接入工控計算機的移動存儲介質進行交叉安全掃描、殺毒后使用[17]。

3)系統備份。對于大型煉化企業,應采用ICS制造商認證的備份工具對組態服務器、數據服務器等關鍵節點的操作系統、應用程序、配置、數據等定期進行增量/差異、整機在線自動備份[18];可在備份的基礎上將整機備份的鏡像硬盤在操作站和工程師站主機內離線存放,以滿足應急情況下快速恢復計算機的要求。

2.3.4 監視與審計

應在L2層和L3層的核心交換機上旁路部署網絡安全監測設備(如入侵檢測系統),實時對網絡攻擊和異常行為進行識別、報警、記錄;應設置防病毒服務器管理所有工控計算機客戶端的任務執行,策略部署及集中監視,記錄病毒感染事件;應設置應用程序白名單服務器,管理所有工控計算機客戶端白名單功能的投用,策略部署及集中監視,記錄系統禁止文件更改、程序執行產生的事件;可設置漏洞掃描服務器,實現對工控計算機操作系統存在的漏洞檢測;應設置日志審計與分析系統(日志審計服務器),對防火墻、網絡入侵檢測系統、交換機、操作系統、應用程序等的日志收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求。

此外,應設置安全管理中心,對系統的安全策略、安全計算環境、安全區域邊界和安全通信網絡上的安全機制實施系統管理、安全管理和審計管理[19]。

3 結束語

煉化企業應從管理和技術兩個方面采取點、面結合的方式,確保工控系統終端加固、通信協議加密認證、網絡邊界訪問控制等各種安全措施的組合,從內到外構成一個縱深的安全防御體系。通過全體人員、全部設備、全生命周期的安全管理,落實對各種網絡安全風險的管控。

隨著“工業4.0”時代的到來,工業物聯網的應用使自動化與信息化進一步深度融合,各煉化企業已經開始應用工業物聯網技術解決所面臨的實際問題,比如在線腐蝕監測系統、機泵群狀態監測系統等的應用。由于攻擊面的增加、規范標準的不完善、規章制度的不充分等因素,給ICS集成帶來了新的挑戰。結合工控系統的應用維護和對某大型煉化企業實施ICS網絡安全縱深防御的經驗,有以下建議：

1)依據國家安全標準的要求,加快制定、完善具有行業特點、可操作性強的設計、檢查標準(或規范)以及管理制度(或規定)并實施。

2)在ICS區與工廠信息區之間通過DMZ區連接的基礎上,對操作技術網絡與信息技術網絡分區隔離,操作技術網絡經DMZ區與信息技術網絡連接,或在操作技術網絡與信息技術網絡之間通過新建包括雙防火墻及中間緩沖區的工業DMZ區(IDMZ)連接。

3)利用日志管理與分析系統,對ICS網絡(含邊界)中設備、組件的日志采用聚類、閾值、異常檢測、機器學習等分析方法進行定期分析,及時處理發現的問題[20]。

4)ICS網絡安全涉及計算機、自動化、通信等多個學科,需要培養既懂自動化系統硬件、軟件,又懂網絡安全解決方案的復合型人才。