摘要：大量應用于重點(diǎn)領(lǐng)域的工業(yè)控制系統，在數據采集與監控系統（SCADA）、分布式控制系統（DCS）、過(guò)程控制系統（PCS）中，都缺少工業(yè)控制系統網(wǎng)絡(luò )安全仿真驗證環(huán)境。工業(yè)控制系統多為實(shí)時(shí)在線(xiàn)系統且影響重大，不易進(jìn)行安全故障分析排查、產(chǎn)品檢測和替換、解決方案驗證等工作的開(kāi)展，石化工控系統安全研究與應急演練平臺針對缺少工業(yè)控制系統安全仿真驗證手段、工業(yè)控制系統未建立安全防護體系、高端工業(yè)控制系統及核心部件主要由外國廠(chǎng)商提供的現狀，圍繞工業(yè)控制系統的信息安全需求，可進(jìn)一步推動(dòng)工控網(wǎng)絡(luò )安全產(chǎn)業(yè)發(fā)展。

關(guān)鍵詞：石化工控系統； 安全研究； 應急演練平臺

Abstract: Most industry control systems, such as the widely used Supervisory Control And Data Acquisition system (SCADA) , the Distributed Control System (DCS) and the Process Control System (PCS), lack of information security simulation and test environment. Unfortunately, most industrial control systems are real-time on-line systems and they are important to enterprises. It is of great challenge to carry out safety-fault analysis and investigation, product detection and replacement, solution verification, etc. The discussion focuses on the existing petrochemical ICS problems, including the shortage means of information security simulation and verification, ICS information security program not well established, and ICS core components provided by foreign manufacturers. This discussion can further promote the development of industrial information security in full consideration of the petrochemical ICS needs.

Key words: Petrochemical industry control system; Information security research; Emergency drill platform

1　引言

隨著(zhù)兩化融合發(fā)展，工控網(wǎng)絡(luò )呈現出整體開(kāi)放趨勢，各種威脅不斷增加。工控系統網(wǎng)絡(luò )安全風(fēng)險所帶來(lái)的，不再僅僅是信息泄露、系統無(wú)法使用等“小”問(wèn)題，而是會(huì )可能對現實(shí)世界造成直接的、實(shí)質(zhì)性影響的大問(wèn)題，工控安全不僅關(guān)系到生產(chǎn)安全和經(jīng)濟發(fā)展，還影響到社會(huì )穩定和國家安定。

2010年“震網(wǎng)”病毒破壞了伊朗核設施，影響巨大，這標志著(zhù)工控網(wǎng)絡(luò )攻擊從傳統“軟攻擊”升級為直接攻擊關(guān)鍵信息基礎設施等要害系統的“硬摧毀”，不得不令人深思。

從“震網(wǎng)”病毒到“Havex”病毒，再到勒索病毒，工控系統網(wǎng)絡(luò )安全事件不斷給世人敲響警鐘。從總體上看，我國工控系統信息安全防護建設明顯滯后于工控系統建設，在防護意識、防護策略、防護機制、法律法規、防護檢測等方面都存在不少問(wèn)題，國內相關(guān)研究工作尚在起步階段。

2　工控系統安全背景

2.1　工控系統網(wǎng)絡(luò )安全現狀

一方面，諸如石化這樣的流程工業(yè)，生產(chǎn)的強連續性、高安全性、特定的高溫高壓環(huán)境要求控制系統必須保證安全穩定地運行，一旦控制系統設備、網(wǎng)絡(luò )受到攻擊或感染病毒后發(fā)生故障，生產(chǎn)將處于失控狀態(tài)，后果不堪設想。

另一方面，就國內石化領(lǐng)域DCS系統占比而言，霍尼韋爾、西門(mén)子、艾默生、GE等國外廠(chǎng)商占據一大半以上份額，而國內廠(chǎng)商浙江中控、和利時(shí)等品牌更多地被用在中小型石化系統或輔控系統中。在西方發(fā)達國家對國內工業(yè)控制核心技術(shù)壟斷環(huán)境下，工控系統面臨的安全形勢愈發(fā)嚴峻。

從國家層面而言，由于歷史原因，我國工業(yè)控制系統同樣存在著(zhù)信息安全管理制度不健全，相關(guān)標準規范缺失，安全防護能力和應急處置能力弱等問(wèn)題。這些都對我國工控系統安全造成了嚴重威脅。

2.2　石化工控系統網(wǎng)絡(luò )安全面臨挑戰

石化工控系統網(wǎng)絡(luò )面臨諸多威脅，體現在以下方面：

·行業(yè)的特殊性

石化行業(yè)是典型的流程工業(yè)，對控制系統的信息安全要求相對比較高，需要符合行業(yè)屬性的技術(shù)、管理等體系。

·入侵的多樣性

石化工控系統的一大特點(diǎn)是結構固定，有固定的拓撲形式和相對單一的網(wǎng)絡(luò )動(dòng)態(tài)，但網(wǎng)絡(luò )組成元素、工控節點(diǎn)眾多。因此，工控系統的入侵途徑更多，可能來(lái)自異構網(wǎng)絡(luò )、工業(yè)以太網(wǎng)、現場(chǎng)總線(xiàn)、無(wú)線(xiàn)網(wǎng)、移動(dòng)介質(zhì)、維修接入，甚至誤操作等。

·后果的嚴重性

與物理世界的互動(dòng)性是工控系統與信息系統的區別之一，因此，石化工控系統受到威脅可能直接導致現實(shí)社會(huì )中的重大災難和群體性事件。

·管理的復雜性

多數石化工業(yè)企業(yè)的控制網(wǎng)絡(luò )中，新舊系統并存，而且舊系統在設計時(shí)基本沒(méi)考慮信息安全的問(wèn)題；同時(shí)多種工控品牌系統并存也給安全管理帶來(lái)一定挑戰。

3　工控系統安全研究與應急演練平臺必要性

3.1　平臺構建必要性

石油煉化作為國家關(guān)鍵信息基礎設施的重要組成部分，行業(yè)目前還沒(méi)有建立完整的預警防護機制，對工控網(wǎng)絡(luò )安全問(wèn)題的認知還不夠清晰。國內基礎工業(yè)設施所用的控制系統國產(chǎn)化比率較低，國內企業(yè)對國外系統的漏洞及后門(mén)認知不清,對這些系統安全性也沒(méi)有相應的指標來(lái)衡量。雖然近年來(lái)控制系統國產(chǎn)率逐漸提高，但國內自主的控制系統網(wǎng)絡(luò )安全性卻無(wú)法驗證，更無(wú)法對這些控制系統網(wǎng)絡(luò )漏洞提供安全建議。

此外，石化工業(yè)控制系統為滿(mǎn)足連續生產(chǎn)的要求，基本處于實(shí)時(shí)運轉的狀態(tài)，且控制的生產(chǎn)環(huán)境基本為高溫、高壓的危險環(huán)境，故不能針對生產(chǎn)中的工控系統做實(shí)時(shí)安全研究驗證和應急演練。

因此，在構建石化工控系統安全研究與應急演練平臺，在平臺上開(kāi)展相關(guān)的工控安全研究和應急演練，可填補國內石化對于工業(yè)控制系統網(wǎng)絡(luò )安全研究、服務(wù)和應急演練的空白。

3.2　國家政策的支持

在此之前，我國的工業(yè)控制系統網(wǎng)絡(luò )安全相關(guān)標準在信息安全標準化技術(shù)委員會(huì )以及工業(yè)過(guò)程測量和控制標準化技術(shù)委員會(huì )的指導下，參考“信息安全技術(shù)信息系統安全等級保護基本要求”完成了相關(guān)標準編制工作，為國家基礎工業(yè)控制系統網(wǎng)絡(luò )安全建設提供了準則。

自2017年6月1日起施行的《網(wǎng)絡(luò )安全法》用了整整一節來(lái)強調重點(diǎn)保障關(guān)鍵信息基礎設施的運行安全并界定了關(guān)鍵信息基礎設施的范圍。

2016年11月工信部下發(fā)了《工業(yè)控制系統信息安全防護指南》（以下簡(jiǎn)稱(chēng)《指南》），其中也涉及到對工業(yè)系統離線(xiàn)環(huán)境和應急演練的要求，在“安全軟件選擇與管理”的第一條要求：“在工業(yè)主機上采用經(jīng)過(guò)離線(xiàn)環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權和安全評估的軟件運行”。文中的離線(xiàn)環(huán)境就是區別于工業(yè)運行的實(shí)際環(huán)境，即本文需要搭建的石化工控系統安全研究與應急演練平臺。

“邊界安全防護”的第一條要求：“分離工業(yè)控制系統的開(kāi)發(fā)、測試和生產(chǎn)環(huán)境”。本條目中工業(yè)控制系統的開(kāi)發(fā)、測試環(huán)境的功能可由本文討論的平臺完成。

“安全監測與應急演練”的第四條要求：“定期對工業(yè)控制系統的應急響應預案進(jìn)行演練，必要時(shí)對應急響應預案進(jìn)行修訂”?？沙浞衷诒疚恼撟C的平臺上開(kāi)展應急演練和應急響應預案的修訂。

除《指南》外，工信部發(fā)布的工控系統信息安全三年行動(dòng)計劃提出：到2020年建成“一網(wǎng)一庫三平臺”。

“一網(wǎng)”是指全國工控安全在線(xiàn)監測網(wǎng)絡(luò )。

“一庫”是指工控安全應急資源庫。按照《國家網(wǎng)絡(luò )安全事件應急預案》總體要求，應急資源庫匯聚漏洞、風(fēng)險、解決方案、預案等信息，實(shí)現輔助決策、預案演練等功能。

“三平臺”是指工控安全仿真測試平臺、信息共享平臺和信息通報平臺。本文論證的平臺以石化生產(chǎn)相關(guān)真實(shí)工業(yè)控制場(chǎng)景為基礎，模擬業(yè)務(wù)流程，還原真實(shí)現場(chǎng)，滿(mǎn)足培訓、測試、驗證、試驗等多元化需求。

4　平臺的功能設計

平臺功能的設計，除了結合石油煉化的行業(yè)特點(diǎn)外，還需響應國家相關(guān)政策的要求。因此，平臺建設遵循“體系建設、持續研究、滾動(dòng)發(fā)展”的總體思路。從根本上構建自主可控、高可信度、大規模、開(kāi)放式的石化工控系統安全研究與應急演練平臺。

平臺的功能由以下五部分組成：

4.1　安全攻防演練

平臺根據石油煉化典型應用場(chǎng)景的工業(yè)控制系統，建立石油煉化工業(yè)控制系統安全攻防演練系統?？梢詫?shí)現如下特點(diǎn)：

（1）跟蹤最新的攻防技術(shù)，針對攻防系統尋找可能的網(wǎng)絡(luò )攻擊切入點(diǎn)。

（2）模擬工控網(wǎng)絡(luò )攻擊，深入分析攻擊途徑、攻擊方式以及攻擊對系統的影響。

（3）針對攻擊制定防護方案，向國家石化企業(yè)、廠(chǎng)商提供產(chǎn)品、系統及網(wǎng)絡(luò )改進(jìn)建議。

4.2　滲透監控

建立石油煉化工業(yè)控制系統網(wǎng)絡(luò )滲透監控系統，從系統中對滲透攻擊的方式進(jìn)行捕獲、監控，加強對攻擊手段的研究與防護。

4.3　安全數據中心

建立石油煉化工業(yè)控制系統安全數據中心，定期發(fā)布最新工業(yè)控制系統安全信息，包含：

（1）漏洞庫：收集石化行業(yè)設備和集成服務(wù)提供商的漏洞信息，提供漏洞內容描述、攻擊方式、攻擊影響、漏洞設備列表、漏洞根源分析、漏洞探測方法、漏洞的保護措施等相關(guān)數據。

（2）模型庫：建立石化工業(yè)控制系統模型庫，提供模型描述、設備列表、組網(wǎng)連接方式、網(wǎng)絡(luò )數據分析等。

（3）大數據分析中心：從廠(chǎng)商、設備類(lèi)型、行業(yè)等多個(gè)維度統計風(fēng)險漏洞信息，統計石化工控系統網(wǎng)絡(luò )攻擊發(fā)生的趨勢，不同應用場(chǎng)景的攻擊手段、地理分布、攻擊系統分布等多個(gè)維度的數據，進(jìn)行數據關(guān)聯(lián)分析和挖掘等，為石化行業(yè)工控安全態(tài)勢感知做技術(shù)儲備。

4.4　威脅復現及行業(yè)拓展

針對石油煉化工業(yè)控制系統已遭受的攻擊，進(jìn)行完整的復現。

（1）威脅復現：針對目前已經(jīng)存在的網(wǎng)絡(luò )攻擊行為，在同等網(wǎng)絡(luò )條件下進(jìn)行復現。

（2）系統拓展：同一個(gè)威脅一般只針對特定的網(wǎng)絡(luò )、設備及終端，對于該種攻擊技術(shù)是否會(huì )對其他類(lèi)型的設備和系統造成攻擊進(jìn)行驗證，并發(fā)出威脅預警。

（3）行業(yè)拓展：針對已經(jīng)存在的威脅，進(jìn)行行業(yè)拓展，預防相同網(wǎng)絡(luò )威脅蔓延至其它工控行業(yè)。

4.5　設備、網(wǎng)絡(luò )安全評測

對入網(wǎng)的操作系統、終端設備、網(wǎng)絡(luò )等進(jìn)行安全評測。

（1）對工控設備進(jìn)行準入測試，保證進(jìn)入石化系統網(wǎng)絡(luò )設備的安全、可靠。

（2）為設備供應商提供安全測評報告。

（3）為行業(yè)提供石化工控網(wǎng)絡(luò )安全咨詢(xún)、加固建議。

5　平臺的系統組成

基于平臺功能設計需求，平臺由目標業(yè)務(wù)系統、環(huán)境仿真系統、網(wǎng)絡(luò )測試系統、入侵誘捕系統、模擬攻擊系統、保護驗證系統以及多媒體展示系統等子系統組成：

5.1　目標業(yè)務(wù)系統

以石化行業(yè)的生產(chǎn)系統為建設依據建設。該目標業(yè)務(wù)系統是安全研究與演練的目標，系統中的控制器、I/O部件、服務(wù)器、工程師站、操作員站等都屬于目標業(yè)務(wù)系統。

可以選石化行業(yè)典型的裝置以及典型的工控系統配置，如霍尼韋爾PKS系統、浙江中控ECS-700控制系統等，如圖1所示。

圖1 目標業(yè)務(wù)系統網(wǎng)絡(luò )結構圖（浙江中控）

5.2　環(huán)境仿真系統

環(huán)境仿真系統以石化的裝置工藝為原型，為隔離的目標業(yè)務(wù)系統提供仿真環(huán)境。環(huán)境仿真系統可提高安全研究的可靠性，實(shí)現目標業(yè)務(wù)系統與演示場(chǎng)景的組合。

環(huán)境仿真系統可以選取石化行業(yè)典型的工藝，如“PX”、“柴油加氫”等，滿(mǎn)足如下特點(diǎn)：

（1）仿真演示需要符合石化行業(yè)的特點(diǎn)，使用最具代表性的設備模型或虛擬現實(shí)技術(shù)來(lái)展示，如圖2所示；

圖2 高仿真沙盤(pán)搭建的石化環(huán)境仿真系統圖

（2）需要配合目標業(yè)務(wù)系統的工作狀態(tài)展示，如正常工作或受到攻擊；

（3）演示效果直觀(guān)可見(jiàn)，例如通過(guò)高仿真模型的聲、光、電變化體現攻擊效果；

（4）可以實(shí)現多次仿真演示，即演示對環(huán)境仿真系統不能造成永久破壞。

5.3　網(wǎng)絡(luò )測試系統

利用專(zhuān)業(yè)網(wǎng)絡(luò )工具設備對目標業(yè)務(wù)系統進(jìn)行網(wǎng)絡(luò )測試/攻擊的軟硬件設備及相應方法論。如：集成專(zhuān)業(yè)的工控知識庫，包括工業(yè)漏洞庫、工控設備庫、威脅特征庫、工控協(xié)議庫的網(wǎng)絡(luò )分析設備等。

5.4　入侵誘捕系統

入侵誘捕系統是一種情報收集系統，該系統利用工控網(wǎng)絡(luò )蜜罐引誘黑客入侵，然后通過(guò)各類(lèi)數據采集功能獲取黑客的入侵方法，通過(guò)對各類(lèi)數據的分析掌握工控系統的最新漏洞、黑客的攻擊工具和攻擊路徑，為開(kāi)展工控網(wǎng)絡(luò )安全研究收集大量的數據。入侵誘捕系統包括工控網(wǎng)絡(luò )蜜罐系統、工控入侵監控系統等。

5.5　模擬攻擊系統

用于展示攻擊效果的系統，包括目標業(yè)務(wù)系統中被控制的設備、展現攻擊路徑的軟硬件。模擬攻擊系統有兩方面的工作，一是對工業(yè)控制系統的硬件和上位機軟件進(jìn)行安全威脅分析，利用創(chuàng )新性的科學(xué)方法和專(zhuān)業(yè)級的威脅分析工具，實(shí)現攻擊路徑分析，網(wǎng)絡(luò )、設備安全性分析，漏洞庫驗證等功能，進(jìn)而找到工控網(wǎng)絡(luò )中的薄弱環(huán)節。二是針對薄弱環(huán)節編寫(xiě)攻擊腳本，并將腳本植入攻擊介質(zhì)中，如U盤(pán)等，如圖3所示。

圖3 利用U盤(pán)進(jìn)行的模擬攻擊示意圖

5.6　保護驗證系統

用于監測審計/防護針對目標業(yè)務(wù)系統的網(wǎng)絡(luò )攻擊的軟硬件。

該系統可用于各類(lèi)網(wǎng)絡(luò )安全防護設備接入并進(jìn)行防護技術(shù)與產(chǎn)品的功能驗證。系統所需要的網(wǎng)絡(luò )安全技術(shù)要求對網(wǎng)絡(luò )攻擊能及時(shí)發(fā)現、報警并攔截，保護（攔截）設備采用串聯(lián)方式部署，審計（報警）設備采用旁路方式進(jìn)行部署，兼具黑、白名單規則。

5.7　多媒體展示系統

多媒體展示系統由多媒體電視、大屏、多功能培訓工位等組成，該系統覆蓋實(shí)驗室全景，全方位展示平臺建設內容，可用于參觀(guān)、解說(shuō)、人員培訓等，如圖4所示。

圖4 多媒體展示系統示意圖

6　系統應用前景和效益分析

石油煉化作為國家關(guān)鍵信息基礎設施的重要環(huán)節，其工業(yè)控制系統的安全性不言而喻。本次討論的安全研究與應急演練平臺效益主要體現在：

（1）平臺可以解決石化工控企業(yè)安全研究、演練及針對性防護問(wèn)題，解決工控企業(yè)當下不能或不敢直接在正常運行的工藝裝置上進(jìn)行安全研究與演練的問(wèn)題。

（2）平臺配套的培訓及理論研究成果可以提高工控安全行業(yè)整體從業(yè)人員知識技能，為全國石油煉化行業(yè)輸送大量的高技能人才。

7　總結

隨著(zhù)網(wǎng)絡(luò )空間斗爭形勢的日趨嚴峻，工業(yè)控制系統已成為互聯(lián)網(wǎng)攻擊和網(wǎng)絡(luò )戰的重要目標。我國工業(yè)控制系統的發(fā)展現狀及面臨的安全問(wèn)題，需要建立工業(yè)控制系統安全監控預警及應急響應機制；建立工業(yè)控制系統漏洞分析機制與風(fēng)險評估試點(diǎn)；加大工業(yè)控制系統的安全管理和風(fēng)險控制等方法來(lái)提升我國工業(yè)控制系統整體安全保障水平。

因此，石化工控系統安全研究與應急演練平臺的建設不僅可以解決當下不能也不敢直接在正常運行的工藝裝置上執行攻防研究和應急演練的問(wèn)題，同時(shí)可以提高從業(yè)人員的工控安全知識技能，對優(yōu)化行業(yè)工控網(wǎng)絡(luò )安全、帶動(dòng)區域經(jīng)濟結構轉型具有間接推動(dòng)作用。

作者簡(jiǎn)介：

姚天祥（1986-），男，江蘇揚州人，畢業(yè)于浙江理工大學(xué)通信工程專(zhuān)業(yè)，現就職于杉樹(shù)嶺網(wǎng)絡(luò )科技有限公司，主要從事工業(yè)控制領(lǐng)域網(wǎng)絡(luò )安全研究、解決方案等相關(guān)工作，有大型石化、火電等工控項目的集成設計、實(shí)施經(jīng)驗，熟悉PLC、DCS以及SCADA等工控系統。曾參與“工控多系統級聯(lián)攻防演示平臺”，公安部三所工控測評實(shí)驗環(huán)境，以及其他攻防演示平臺、網(wǎng)絡(luò )安全實(shí)驗室的設計及實(shí)施。

摘自《自動(dòng)化博覽》2019年2月刊