網絡安全“等級保護2.0”在石化企業控制系統中運用分析

榮俊勝

（榆林國重煤化工示范基地有限公司，陜西榆林 719000）

0 引言

在2019 年12 月1 日網絡安全等級保護三大核心標準實施，標志著我國進入網絡安全“等級保護2.0”時代，在這一背景下，石化企業控制系統的網絡安全得到更多人的關注，這是因為傳統的控制系統中存在諸多漏洞，例如無法審計網絡流量異常情況、難以及時識別異常攻擊現象等，上述問題可能會嚴重影響企業的正常生產，甚至造成關鍵數據資料大量丟失而造成巨大損失。為解決上述問題，則需要主動分析網絡安全“等級保護2.0”在石化企業控制系統中的應用策略，這也是本文研究的主要目的。

1 網絡安全“等級保護2.0”

作為國家網絡安全的最新標準，“等級保護2.0”不僅充分繼承了上一代標準中的合理內容，也適當創新管理模式，形成了相對完整的管理架構，網絡安全“等級保護2.0”的基本要求如表1 所示。

表1 網絡安全“等級保護2.0”的基本要求

2 石化企業控制系統

目前石化企業控制系統主要包括：分散控制系統（DCS）、安全儀表系統（SIS）、壓縮機綜合控制系統（CCS）、可編程邏輯控制器（PLC）以及遠程終端單元（RTU）、可燃氣體和有毒氣體檢測報警系統（GDS）等。目前石化企業“一廠多系統”的情況較為普遍，不同品牌控制系統的雜糅問題本身會帶來巨大的安全隱患，主要表現為：①不同品牌的控制系統在網絡連接過程中一直存在匹配不暢的情況，導致數據更容易被盜取或者泄漏。②不同品牌操作系統在運用階段缺乏必要的協同防護能力，導致不法分子可以利用系統之間的漏洞缺陷而盜取或者篡改其中的關鍵數據[1]。

除此之外，石化企業在控制系統運行期間還會使用組態不盡相同的控制軟件，如網絡管理系統（NMS 軟件）、制造企業生產過程執行管理軟件（MES 軟件）、報警管理系統（ALMS 軟件）等，由于上述系統分別由不同供貨商提供，導致石化企業在系統軟件控制方案中無法形成統一的安全防護規則，這一行為也會增加網絡安全風險。

基于石化企業控制系統運行現狀，網絡安全“等級保護2.0”的出現則可以顯著提升企業網絡的安全保護等級，在諸多現代化信息網絡系統賦能下不僅能提升系統的完整性與安全性，也可以有效消除系統潛在安全隱患，具有可靠性。

3 網絡安全“等級保護2.0”在石化企業控制系統中的應用技術要點

3.1 基本設計思路

在本次石化企業控制系統功能改造上，通過網絡安全“等級保護2.0”能構建完整且有效的安全控制軟件，其主要功能包括云平臺網絡安全設計、虛擬主機安全設計、業務應用訪問設計等。并且為最大限度提升系統安全水平，整個網絡安全“等級保護2.0”方案設計實施階段選擇將虛擬安全設備部署在私有云平臺上，以滿足異地控制系統安全控制要求。其整體結構如下。

（1）在云平臺層上將通過設置私有云平臺模式，與對應的虛擬交換機、虛擬主機與虛擬存儲等對接，并直接提升虛擬安全水平。

（2）在虛擬化層設計中，將通過增設網絡資源池、計算資源池與存儲資源池等打造石化企業控制系統安全資源池，該資源池中包括虛擬防火墻、虛擬Web 應用防火墻以及基于對象的虛擬系統的安全架構等。

（3）物理層可以通過安全設備提供與控制系統相匹配的存儲、網絡環境，保證安全系統安全管理目標實現。

3.2 石化企業控制系統云平臺安全設計

3.2.1 鏈路網絡安全防護策略

在鏈路網絡安全防護中，本次設計中選擇將控制系統安全網關部署在云平臺內部交換機上，利用云平臺交換機與核心網關的相互配合作用能快速隔離平臺數據流量，減少外部不明數據對控制系統安全水平的影響[2]。同時將虛擬化防火墻布設在虛擬安全池內部，上述安全補助方案能隨時監控每個服務器之間的訪問流量變化情況，針對其中的異常流量能快速發出報警信息。

同時本次設計充分考慮到石化企業控制系統內部業務的差異性，為提升安全防護等級選擇負載處理方法，并將Web 防火墻布設在平臺系統內部，有助于提升系統的整體安全水平。

本次研究中引入一種直接結構的網絡安全控制模式，該控制架構能與石化企業的現場硬件傳感器、執行器等完成控制互聯，整個控制過程可通過控制信號、報文以及傳感器測量信號等實現快速交互，所有控制信號均能直接封裝在報文中并將控制指令發送至功能設備上，直接結構的網絡安全體系如圖1 所示。

圖1 直接結構的網絡安全體系

3.2.2 旁路網絡安全審計方案

在本次系統安全旁路設計中，為強化對異常流量情況的識別能力，選擇在常規系統架構基礎上增加虛擬機裝置，并將其安裝部署在云平臺內部。在經過上述改造方案后，通過流量鏡像虛擬機裝置能密切觀察不同虛擬服務器之間的流量交互情況，此時系統一旦識別異常安全數據即可將其發送至虛擬網絡審計模塊與虛擬IDS 模塊上，通過上述功能模塊則可以實時審計平臺內部流量變化，而在系統遭受安全攻擊等現象后則會導致流量審計結果異常，此時系統會發出報警信息。

3.3 虛擬主機的安全設計方案

為保證石化企業控制系統虛擬主機系統安全，在本次系統設計中選擇將需要提升安全保護等級的虛擬設備安裝在物理主機上，通過主機提供的物理防護能力可減少病毒的入侵并提升網絡系統安全性。同時相關研究認為，在控制系統結構改造中控制系統操作平臺的黑客入侵以及病毒感染問題會極大威脅系統安全，為解決上述問題，在本次網絡安全“等級保護2.0”改造中決定在平臺內部安裝殺毒引擎，由該引擎負責處理系統平臺上的海量數據，之后通過調配虛擬安全資源池內部的資源，進一步提升系統安全性[3]。為實現上述目標，本文在系統設計中將在虛擬平臺上增設若干個計算資源池，每個資源池中分別設置了虛擬AV 與虛擬主機兩個功能模塊，分別提供AV 引擎與AV 插件，并能在相同的操作系統下穩定運行。

3.4 業務訪問安全設計

目前在石化企業控制系統安全防護階段，為進一步提升系統整體的安全水平，相關人員通常會采取兩種處理技術，分別為：①優化用戶訪問應用層與鏈路層的流程。②強化石化企業控制系統鏈路層與應用層的防護模式。而在綜合對比兩種安全防護技術的優勢之后，本文認為構建防護架構是一種低成本且安全性高的方案，其具體技術策略如下。

（1）服務器端的安全防護策略。在本次石化企業控制系統業務訪問過程中，將通過虛擬交換機圍繞相應的業務要求將其劃分為不同安全域，每項業務都與對應的安全域相匹配，之后即可將其中高度匹配的業務服務器整合在更大的安全域中即可。在采用上述安全防護策略后，即可利用對應的網關構建訪問控制通道，即可，此時任何想要針對石化企業控制系統發起攻擊的流量僅能通過該通道實現，因此該系統能更好監測各類黑客攻擊行為。而系統在識別非法行為以及違規訪問的用戶后即可自動攔截非法訪問過程，因此更能提升石化企業控制系統安全性。

（2）用戶終端的安全防護過程。為提升石化企業控制系統的用戶終端防護能力，在本次設計中決定將其接入私有云平臺內部，并通過虛擬堡壘機完成針對用戶終端的安全監控過程[4]。該虛擬堡壘機的支持下能認證所有訪問用戶的身份信息，此時若用戶身份訪問結果未通過，則系統會直接攔截訪問行為；若用戶身份能通過身份認證環節，則會進入終端安全認證環節，即核對用戶歷史登錄IP 等，對于登錄IP 突然發生改變的情況則會提示安全攔截信息。除此之外，在整個防護過程中還需要通過安裝系統補丁以及更新數據庫等方法保護網絡信息安全，將系統潛在安全風險控制在萌芽狀態。

4 石化企業控制系統安全改進方案

在網絡安全“等級保護2.0”技術改造中，石化企業控制系統優化與改進可能面臨一系列新問題，因此需要根據各類常見技術問題構建改進策略。

4.1 解決關鍵鏈路無冗余問題

網絡安全“等級保護2.0”中針對安全通信網絡層面的性能提出嚴格要求，即盡量優化系統的冗余，強化控制系統安全性。同時結合石化企業控制系統建設現狀來看，在正常工況下對于可用性要求較高的系統，若核心網絡鏈路為單鏈路，關鍵網絡節點、關鍵網絡設備或關鍵計算設備無冗余設計，一旦出現故障，則可能導致服務中斷，故判定為高風險。為解決上述問題，在本次石化企業控制系統安全改造中可考慮在網絡架構部署階段優化思路，即選擇在核心網絡鏈路、關鍵網絡設備、關鍵計算設備均須采用冗余方式設計部署，熱備、負載均衡等都是常見的冗余部署方式。上述設計方法能有效解決關鍵鏈路不冗余問題，成為提升控制系統安全性的重要組成部分。

4.2 優化入侵監測功能

網絡安全“等級保護2.0”對入侵行為檢測提出了詳細要求，即能在關鍵網絡節點位置有效監控各類網絡攻擊行為，并要有效預防在外部以及重要功能節點位置的網絡攻擊現象。基于上述要求，在石化企業控制系統中若關鍵網絡節點位置（或者網絡邊界點位上）未采取檢測措施的情況，則難以有效識別各類網絡攻擊行為，更難以提升控制系統的安全水平，此時系統處于高風險狀態。

為解決上述問題，在本次系統改造中可以采取以下應對措施。

（1）在原有石化企業控制系統基礎上增加IPS 以及IDS、態勢感知系統等后即可有效提升系統的安全性水平[5]。除上述控制系統外，還可以考慮引入新型威脅情報監測系統以及網絡回溯系統等，在上述系統賦能下能達到快速監測安全事件的情況。

（2）在石化企業控制系統的實際部署場景中，當網絡邊界未部署安全識別模塊的情況下，技術人員可考慮在主機上定期更新規則庫與策略庫，通過上述更新策略能有效檢測識別控制系統面臨的安全隱患。

4.3 提供集中監控

集中監控在網絡安全“等級保護2.0”占據重要位置，該規定中規定在系統安全改造中需要密切監測網絡鏈路以及網絡設備的運行狀態。因此在石化控制系統安全改造中需要針對不同應用場景提供功能監測模塊，主要監測范圍包括設備安全狀態、網絡鏈路安全水平以及服務器運行工況等，根據監測結果可及時評定系統的安全性等級，若系統判定結果顯示發生故障時難以及時對故障進行定位和處理，此時即可將系統安全等級劃分為高風險。為解決上述問題，則可通過在常規控制系統基礎上添加綠盟遠程安全評估系統，從技術優勢來看，該系統能有效識別現有信息管理系統中的各類安全隱患，也能提供實時文件監控以及上網行為控制、違規外聯管理等功能，是保障企業安全的關鍵，能集中監控系統軟件運行過程中的安全狀況。

5 結語

在當前網絡安全“等級保護2.0”條件下，石化企業控制系統的安全性改造已經發展到新的階段，本文為實現系統安全而介紹的相關技術措施具有操作性強、應用效果顯著的優點，能在短時間內提升控制系統安全水平，進而充分滿足網絡安全“等級保護2.0”對系統安全性提出的新要求，對于解決傳統控制系統面臨的安全隱患有良好的識別與控制能力，值得做進一步推廣。