★季俊北京康吉森自動(dòng)化技術(shù)股份有限公司

關(guān)鍵詞：工業(yè)控制系統；信息安全；安全儀表系統；網(wǎng)絡(luò )安全等級保護

1　項目概況

1.1　項目背景

石油化工行業(yè)是關(guān)系到國計民生的重要支柱行業(yè)。因此，石化企業(yè)的信息系統、工控系統長(cháng)期以來(lái)一直是網(wǎng)絡(luò )攻擊的重要目標，企業(yè)的安全運營(yíng)面臨著(zhù)一系列的痛點(diǎn)與難點(diǎn)。

面對嚴峻的信息安全環(huán)境，國家高度重視工控信息安全相關(guān)工作的建設和發(fā)展水平，各相關(guān)部門(mén)已陸續出臺相關(guān)政策和文件，強化頂層設計，對工控信息安全防護工作進(jìn)行監督和指導。網(wǎng)絡(luò )安全建設與運維已經(jīng)成為石化行業(yè)信息化建設過(guò)程中不可忽視的建設內容，如何在石油化工企業(yè)信息化建設與使用過(guò)程中，尤其針對石油化工企業(yè)的工業(yè)控制系統組網(wǎng)應用環(huán)境構建工控安全防護體系，提高全網(wǎng)工控安全動(dòng)態(tài)管理能力，已經(jīng)被行業(yè)主管單位、公司領(lǐng)導高度重視，網(wǎng)絡(luò )安全體系化建設已經(jīng)成為當前重要的建設任務(wù)。

1.2　項目簡(jiǎn)介

本項目是中國石化鎮海煉化分公司中石化鎮?；仨椖?，包括如下生產(chǎn)裝置、公用工程及輔助設施：120萬(wàn)噸/年乙烯裝置、60萬(wàn)噸/年裂解汽油加氫裝置、40萬(wàn)噸/年芳烴抽提裝置、16萬(wàn)噸/年丁二烯抽提裝置、10/4萬(wàn)噸/年MTBE/丁烯-1裝置、80萬(wàn)噸/年乙二醇裝置、30萬(wàn)噸/年氣相法高密度聚乙烯裝置、30萬(wàn)噸/年淤漿法高密度聚乙烯裝置、30萬(wàn)噸/年聚丙烯裝置、27.4/60.2萬(wàn)噸/年P(guān)O/SM裝置（含乙苯裝置）、煤/焦制氣聯(lián)合（POX）裝置、公用工程及輔助設施等。

本項目采用中心控制室（Central Control Room，CCR）和現場(chǎng)機柜室（Field Auxiliary Room，FAR）分離設置方式。原則上生產(chǎn)裝置、公用工程及輔助設施等控制系統操作站設置在相應的中心控制室，控制站設置在相應的現場(chǎng)機柜室，現場(chǎng)儀表信號通過(guò)電纜連接到現場(chǎng)機柜室，從現場(chǎng)機柜室到中心控制室的信號傳輸采用冗余光纜。操作管理人員在中心控制室完成生產(chǎn)裝置的控制、監測、報警及報表等操作?，F場(chǎng)機柜室設置工程師站，用于開(kāi)車(chē)前的系統調試和系統維護等工作。

中心控制室設置各控制系統的工程師站和操作員站，用于系統組態(tài)維護和日常操作。

1.3　項目目標

石化行業(yè)等關(guān)鍵基礎設施的安全建設，應著(zhù)眼于解決系統的架構安全、建立被動(dòng)防御體系、形成積極防御力量，再到基于威脅情報的保障體系，需要逐步動(dòng)態(tài)完善。企業(yè)應逐漸認識到安全是相對的、動(dòng)態(tài)的和持續投入的，單純的、靜態(tài)的安全防護體系不是一條有效的解決途徑。在與業(yè)務(wù)緊密貼合的前提下，現階段企業(yè)需要正視工控系統架構安全的脆弱性，建立智能的縱深防御系統，采取數據采集、監控和應急處置的聯(lián)動(dòng)方式，快速、及時(shí)地保障生產(chǎn)安全。

按照《中華人民共和國網(wǎng)絡(luò )安全法》《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》《工業(yè)控制系統信息安全防護指南》等國家/行業(yè)相關(guān)網(wǎng)絡(luò )安全防護的政策與網(wǎng)絡(luò )安全標準要求，針對石油化工企業(yè)控制及調度技術(shù)發(fā)展，本項目全面評估當前中石化鎮?；仨椖縎IS系統的網(wǎng)內業(yè)務(wù)系統、控制系統及自動(dòng)化設備可能存在的網(wǎng)絡(luò )安全風(fēng)險，并形成分析報告。本項目圍繞當前企業(yè)技改與未來(lái)“一張網(wǎng)”發(fā)展規劃，按照國家網(wǎng)絡(luò )安全法提出的“同步規劃、同步建設、同步使用”的三同步原則，利用當前先進(jìn)的網(wǎng)絡(luò )安全防護理念、技術(shù)與產(chǎn)品，有序地開(kāi)展石油化工企業(yè)生產(chǎn)控制系統中安全防護體系的頂層設計、分期設計與建設工作，構建網(wǎng)絡(luò )安全立體的防護體系，滿(mǎn)足標準合規性要求。同時(shí)，按照企業(yè)多級管理職能，本項目設計構建全網(wǎng)工控安全管控與運營(yíng)體系，形成多級聯(lián)動(dòng)機制，實(shí)現全網(wǎng)動(dòng)態(tài)安全監測、風(fēng)險可視、通報預警與聯(lián)動(dòng)處置，提高網(wǎng)絡(luò )安全綜合管控與防護能力。

本項目針對中石化鎮?；仨椖縎IS系統實(shí)際需求，通過(guò)設計建設一套穩定、先進(jìn)、高效、可靠的全生命周期工控安全技術(shù)防御體系，集中展現了石油化工企業(yè)生產(chǎn)控制系統的整體工控安全態(tài)勢，提升了整體工控安全監管水平和防御能力，形成了技術(shù)+管理的綜合安全防護體系，滿(mǎn)足了實(shí)際安全防護需求。

（1）安全通信網(wǎng)絡(luò )：對鎮海煉化生產(chǎn)控制系統的訪(fǎng)問(wèn)邏輯進(jìn)行梳理，優(yōu)化網(wǎng)絡(luò )結構，按照網(wǎng)絡(luò )資產(chǎn)的屬性與訪(fǎng)問(wèn)邏輯，合理劃分網(wǎng)絡(luò )安全域，在石油化工企業(yè)生產(chǎn)控制系統網(wǎng)絡(luò )的邊界部署安全隔離與訪(fǎng)問(wèn)控制措施，實(shí)現必要的邊界安全防護，同時(shí)按照業(yè)務(wù)組網(wǎng)應用特點(diǎn)，酌情增加鏈路加密措施，保障鏈路通信的數據安全性。

（2）安全區域邊界：在重要的安全域邊界設計部署安全隔離與訪(fǎng)問(wèn)控制措施，對重要安全域進(jìn)行必要的安全防護，保證鎮海煉化生產(chǎn)控制系統的運行安全。

（3）安全計算環(huán)境：對全網(wǎng)的服務(wù)器、操作員站、工程師站等主機系統設計安裝必要的安全管控措施，實(shí)現對主機系統必要的安全管控，保障主機系統運行安全。主機安全管控措施包括主機進(jìn)程管控、主機USB口外界管理等，實(shí)現主機防病毒、防第三方軟件非授權安裝使用、防USB設備非法連接與數據拷貝等功能，可以提升人機交互界面必要的安全防控和主機系統的安全性。同時(shí)，借助于在安全管理域內部署的主機系統脆弱性?huà)呙韫ぞ?，可以?shí)現對主機系統弱口令、漏洞的安全管理，并通過(guò)主機加固措施提升主機系統的抗攻擊能力。

（4）安全管理中心：在鎮海煉化生產(chǎn)控制網(wǎng)絡(luò )中新建安全管理域，部署集中安全管理手段，實(shí)現對全網(wǎng)用戶(hù)集中認證、權限管理與操作行為審計，同時(shí)部署綜合日志審計與安全管理技術(shù)手段，建立全網(wǎng)安全風(fēng)險的集中管理、分析、可視化與聯(lián)動(dòng)處置機制，部署安全威脅掃描與管理工具，全面實(shí)現全網(wǎng)風(fēng)險的集中管理與處置，保證風(fēng)險的快速感知與處置，提升安全風(fēng)險的管理與處置能力。

（5）安全管理體系：基于鎮海煉化現有的安全管理組織結構與管理措施，由我方專(zhuān)業(yè)的安全服務(wù)人員以安全咨詢(xún)服務(wù)的形式，按照相關(guān)標準規范要求，為用戶(hù)梳理安全管理體系內容，幫助用戶(hù)健全與完善安全管理體系相關(guān)內容，從管理上完善安全管理的體系化建設，包括日常管理以及應急保障等相關(guān)內容，以構建綜合的安全防護體系，保障石油化工企業(yè)工控系統的安全穩定運行。

2　項目實(shí)施

2.1　安全通信網(wǎng)絡(luò )

鎮海煉化的工業(yè)控制網(wǎng)絡(luò )是相對獨立封閉的，生產(chǎn)裝置控制網(wǎng)絡(luò )一般只與企業(yè)管理需求的上層應用MES系統進(jìn)行通訊，通過(guò)OPC數據采集實(shí)現生產(chǎn)業(yè)務(wù)數據的單向傳輸。除此以外，部分控制網(wǎng)絡(luò )在橫向上與SIS、ESD等其他專(zhuān)用控制系統也存在以Modbus協(xié)議或RS485、硬接線(xiàn)進(jìn)行數據傳輸的需求。

在本項目中SIS系統與上層生產(chǎn)經(jīng)營(yíng)管理系統等辦公信息系統通過(guò)DCS系統進(jìn)行通訊，SIS系統僅在現場(chǎng)控制器通過(guò)RS485串口形式與DCS產(chǎn)生數據交互，故本項目中不對SIS系統部署工業(yè)網(wǎng)閘等隔離設備與外網(wǎng)隔離。

為滿(mǎn)足等級保護標準規范中對生產(chǎn)控制系統的安全要求，本項目對各裝置SIS系統的網(wǎng)絡(luò )進(jìn)行優(yōu)化，根據控制網(wǎng)絡(luò )中不同裝置資產(chǎn)屬性和訪(fǎng)問(wèn)邏輯來(lái)劃分安全域，使石油化工企業(yè)生產(chǎn)控制系統網(wǎng)絡(luò )免受來(lái)自上層辦公網(wǎng)及互聯(lián)網(wǎng)的入侵攻擊風(fēng)險。

2.2　安全區域邊界

針對石油化工企業(yè)工控網(wǎng)絡(luò )中劃分的安全域，按照安全域的安全權重，本項目有針對性地進(jìn)行安全域的隔離與訪(fǎng)問(wèn)控制，以及必要的安全防護，以保護各安全域運行的安全。具體技術(shù)措施如下描述：

2.2.1　工業(yè)防火墻系統

在過(guò)程控制層與現場(chǎng)控制層之間串行部署工控防火墻，具體為工程師站室與各裝置操作室的交換機之間，實(shí)現各安全域邊界隔離與訪(fǎng)問(wèn)控制。工業(yè)防火墻具有工控協(xié)議的深度解析能力，不僅僅可支持基于網(wǎng)絡(luò )五元組的訪(fǎng)問(wèn)控制，還可以基于工控行為的安全控制與防護，保護各安全域系統的運行安全；在網(wǎng)絡(luò )安全專(zhuān)網(wǎng)跨越不同級別安全域——“生產(chǎn)區與安全管理區”之間部署工業(yè)防火墻類(lèi)產(chǎn)品，實(shí)現區域隔離控制。

工業(yè)防火墻系統屬于工業(yè)級安全防護設備，可支持30多種工控協(xié)議識別與深度解析，包括：Modbus、TCP、OPC、DNP3.0、西門(mén)子ProfiNet、西門(mén)子S7、IEC 61850和IEC 60870-5-104等，具有基于工控行為構建白名單訪(fǎng)問(wèn)控制策略，可實(shí)現細粒度的安全防護。

2.2.2　安全檢測與審計系統

在工程師站室的核心交換機上旁路部署安全檢測與審計系統，對工控系統的應用服務(wù)器、主機管理系統等控制網(wǎng)絡(luò )內的應用系統、流量數據進(jìn)行全面檢測，對通信數據進(jìn)行合規性檢查，對異常行為、違規操作行為進(jìn)行識別、審計、告警，告警日志可發(fā)送至日志審計系統和安全管理平臺系統進(jìn)行集中存儲、分析與風(fēng)險關(guān)聯(lián)展示，輔助安全運維人員進(jìn)行監測處置。

安全檢測與審計系統支持對OPC、Ethernet/IP、Modbus/TCP、IEC61850、IEC60870-5-104、DNP3、Profinet、S7、GOOSE和SV等30多種工控協(xié)議進(jìn)行深度解析，通過(guò)還原操作行為，對有異常操作行為進(jìn)行審計告警，輔助網(wǎng)關(guān)防護系統策略調整，實(shí)現對石油化工企業(yè)工控網(wǎng)絡(luò )的運行安全。

2.3　安全計算環(huán)境

在石油化工企業(yè)工控網(wǎng)絡(luò )中的安全計算環(huán)境是指包括工程師站、操作員站、應用服務(wù)器等大量的主機操作系統及數據存儲環(huán)境，應定期通過(guò)檢查工具對其控制網(wǎng)內的安全計算環(huán)境的安全漏洞與脆弱性進(jìn)行檢查及修復，關(guān)閉不需要的默認賬號、服務(wù)，進(jìn)行主機系統必要的安全加固，持續地進(jìn)行以白名單為主要技術(shù)手段的操作系統安全防護。同時(shí)針對工控環(huán)境下的高危隱患，如通過(guò)USB口接入的移動(dòng)外接設備進(jìn)行認證管理、防USB攻擊、防病毒、防篡改與操作行為審計等，保護系統USB拷貝數據的安全。本次設計將考慮部署以下技術(shù)措施來(lái)對主機系統進(jìn)行必要的安全防護。

2.3.1　工控主機衛士

針對石油化工企業(yè)工控網(wǎng)絡(luò )中的工程師站、操作員站、應用服務(wù)器等主機操作系統，安裝部署以白名單為核心技術(shù)的工控主機衛士，實(shí)現對關(guān)鍵操作系統及人機交互的主機加固、安全防護及病毒防護。

白名單技術(shù)的主動(dòng)防御機制相對于黑名單形式的防病毒軟件占用更小的系統計算資源，實(shí)現了最大的防護效能，可有效地實(shí)現主機防病毒、防第三方軟件的非授權安裝與使用、主機系統外接口的管控、USB外接存儲設備的認證管控、防病毒與操作行為審計，為主機系統安全運行提供了必要的安全保障。

本方案使用的主機安全防護系統是工控主機系統專(zhuān)用的安全防護系統。該系統運用白名單為主，灰名單、黑名單為輔的創(chuàng )新技術(shù)方式，可以監控主機的進(jìn)程狀態(tài)、網(wǎng)絡(luò )端口狀態(tài)、USB端口狀態(tài)，能?chē)栏駥χ鳈C應用進(jìn)程進(jìn)行管控，外接端口管控，USB設備認證與使用管理，以及操作行為管理，強化了工控主機的安全管理，提升了主機系統的抗攻擊能力。

2.3.2　數據庫態(tài)勢感知

為接收、存儲大量生產(chǎn)業(yè)務(wù)數據，石油化工企業(yè)的工控生產(chǎn)網(wǎng)的生產(chǎn)執行層部署有實(shí)時(shí)數據庫、歷史數據庫等生產(chǎn)業(yè)務(wù)服務(wù)器，企業(yè)應重點(diǎn)關(guān)注數據庫所面臨的風(fēng)險并進(jìn)行多方位評估。為石油化工企業(yè)的生產(chǎn)控制系統部署數據庫態(tài)勢感知系統，可以通過(guò)旁路、探針、分布式等多種部署方式，為數據庫的各類(lèi)應用環(huán)境提供全方位監控與審計。

數據庫態(tài)勢感知系統提供實(shí)時(shí)的數據庫運行狀態(tài)監控，可以及時(shí)發(fā)現數據庫在運行中出現的性能異常，并結合審計日志準確定位異常操作，防止因性能問(wèn)題而導致的業(yè)務(wù)癱瘓。通過(guò)內置的掃描策略，該系統可以及時(shí)發(fā)現數據庫系統在運行時(shí)可能出現的配置、管理風(fēng)險和數據庫軟件本身存在的漏洞。該系統還提供基于自學(xué)習的基線(xiàn)策略模型，通過(guò)多關(guān)鍵字匹配、正則表達式、SQL模式等，即可對數據庫進(jìn)行精確的訪(fǎng)問(wèn)行為監控。

2.3.3　USB安全防御系統

USB安全防御系統是針對工業(yè)控制系統無(wú)法杜絕USB設備使用，以及USB攻擊等特殊風(fēng)險而設計的專(zhuān)用安全防護系統。該系統支持外界設備認證管理、操作權限管理、文件數據防篡改、防病毒、防攻擊以及操作行為安全審計等多種防護功能，做到事前預防、事中審計與阻斷、事后行為可追溯，保證了主機系統數據文檔USB存儲傳遞的安全。

2.4　安全管理中心

依據等級保護相關(guān)標準規范，應在石油化工企業(yè)工控系統網(wǎng)絡(luò )中建立安全管理中心，對工業(yè)控制網(wǎng)絡(luò )內的安全設備、策略、數據等進(jìn)行集中統一監管。在控制網(wǎng)絡(luò )內劃分新的安全管理域，部署石油化工企業(yè)工控系統網(wǎng)絡(luò )的安全集中管控的技術(shù)措施，實(shí)現全網(wǎng)風(fēng)險必要的安全風(fēng)險管理、關(guān)聯(lián)分析、安全可視化與聯(lián)動(dòng)處置的能力建設。

本方案中新建安全管理域，通過(guò)安全專(zhuān)用交換機對所有的安全設備進(jìn)行安全組網(wǎng)，并設立獨立的安全數據交換渠道將安全設備接入安全管理平臺。

2.4.1　日志審計分析系統

日志審計分析系統部署在石油化工企業(yè)工控系統網(wǎng)絡(luò )的新建安全管理域內，主要通過(guò)syslog、SNMP等或代理方式收集網(wǎng)絡(luò )中各系統產(chǎn)品的告警日志，進(jìn)行日志的集中存儲、范式化與安全分析與展示。

日志審計與分析系統是解決日志存放分散、數量多、格式不統一、保存周期短、易被篡改破壞等日志管理問(wèn)題而研制的專(zhuān)用安全系統。該系統通過(guò)多種方式收集各主機系統產(chǎn)生的告警日志，并進(jìn)行集中存儲、解析與范式化，通過(guò)先進(jìn)的關(guān)聯(lián)算法可對告警日志進(jìn)行關(guān)聯(lián)分析與統計展示，支持對綜合日志的檢索與查詢(xún)。

2.4.2　安全運維審計系統

安全運維審計系統部署在安全管理域內，作為工控系統內日常運維的統一入口，實(shí)現賬戶(hù)、用戶(hù)權限統一認證管理以及日常運維操作行為審計。

安全運維審計系統是針對系統運維人員賬戶(hù)權限未區別或劃分不合理、運維行為不可控、對操作行為無(wú)審計、無(wú)記錄等實(shí)際問(wèn)題而開(kāi)發(fā)的安全專(zhuān)用系統，通過(guò)對運維人員賬戶(hù)集中管理、用戶(hù)登錄集中認證授權、操作行為審計等，來(lái)實(shí)現工控系統運維可管、可控、可審計，并可對運維行為進(jìn)行監管，做到事中監測告警與事后行為追溯。安全運維審計系統可提供便攜式產(chǎn)品形態(tài)，方便在不同場(chǎng)景下使用，規范了企業(yè)運維人員對石油化工企業(yè)工控網(wǎng)絡(luò )中各系統的運維操作。

2.4.3　工控統一安全管理平臺

在石油化工企業(yè)工控系統網(wǎng)絡(luò )中新建的安全管理域內部署工控統一安全管理平臺系統，可實(shí)現工業(yè)控制系統內安全設備的狀態(tài)監控、安全策略的集中管理、安全日志等數據的集中收集、存儲、關(guān)聯(lián)分析與可視化、安全風(fēng)險集中處置等集中管控的需求。

此平臺系統不僅可監控安全系統的運行狀態(tài)，還可以對安全系統進(jìn)行安全策略配置與調整，總體實(shí)現網(wǎng)絡(luò )安全防護體系的防護效能。

平臺系統具有強大的安全管理功能，包括安全系統狀態(tài)監控、安全風(fēng)險集中管理、可視化、關(guān)聯(lián)分析與溯源、安全風(fēng)險的聯(lián)動(dòng)處置等核心功能。平臺系統支持級聯(lián)部署，解決了企業(yè)生產(chǎn)廠(chǎng)區分散的網(wǎng)絡(luò )安全集中管理的需求，實(shí)現了安全風(fēng)險統一管理、分析展示與聯(lián)動(dòng)處置的管理能力。同時(shí)，本級平臺系統可以作為上級安全運營(yíng)中心平臺系統的管理節點(diǎn)，形成覆蓋全網(wǎng)的安全運營(yíng)能力。

3　案例亮點(diǎn)及創(chuàng )新性

3.1　安全政策合規性

工控網(wǎng)絡(luò )規模廣、系統用戶(hù)多、涉及品牌多，迫切需要對工控網(wǎng)絡(luò )安全狀況實(shí)行集中監測。通過(guò)本項目可以建設初步的SIS系統工控安全監測防御體系，并使其完全符合等級保護2.0、《工業(yè)控制系統信息安全防護指南》等國家安全政策標準規范要求。

3.2　精確定位安全事件

工控網(wǎng)絡(luò )信息安全監測面臨信息量大、信息關(guān)聯(lián)性弱、檢測精度不高等諸多問(wèn)題，需要同步完善前端監測手段和后臺分析能力，以實(shí)現：從海量的監測數據中準確發(fā)現已產(chǎn)生危害后果的安全事件；完整的記錄網(wǎng)絡(luò )和信息系統中的各類(lèi)行為，提供必要證據支持無(wú)縫地還原所有安全事件的演進(jìn)過(guò)程。

3.3　實(shí)現安全預警聯(lián)動(dòng)

在有效識別安全事件后，建立和完善安全預警管理、定級和安全預警的聯(lián)動(dòng)，對已發(fā)生的安全事件進(jìn)行快速的安全聯(lián)動(dòng)，準備出有效的信息安全應對措施，將安全事件的影響和損失降到最低。

3.4　建立安全知識庫

能夠充分利用大平臺資源共享的優(yōu)勢，將安全法規、標準、制度、安全事件與應急處置的信息共享給信息安全維護團隊和下屬企業(yè)相關(guān)人員，提高整個(gè)鎮海煉化人員的信息安全意識和技術(shù)水平。

作者簡(jiǎn)介

季　?。?969-），男，安徽安慶人，高級工程師，碩士，現就職于北京康吉森自動(dòng)化技術(shù)股份有限公司，主要從事功能安全、工業(yè)控制安全方面的研究。

摘自《自動(dòng)化博覽》2024年1月刊