★ 白彥茹 北京天融信網(wǎng)絡(luò )安全技術(shù)有限公司

摘要：化工行業(yè)是國民經(jīng)濟中不可或缺的重要組成部分?；すI(yè)控制系統作為國家關(guān)鍵信息基礎設施，對穩定性和安全性要求很高。本文對化工工控系統面臨的網(wǎng)絡(luò )安全風(fēng)險進(jìn)行了分析，提出了基于安全風(fēng)險動(dòng)態(tài)管控理念的安全建設思路，并對化工工控系統構建縱深安全防御體系，以及其中的安全技術(shù)應用進(jìn)行了探討。

關(guān)鍵詞：化工；安全基線(xiàn)；關(guān)鍵信息基礎設施；工業(yè)信息安全體系

1 引言

隨著(zhù)化工企業(yè)數字化轉型的持續推進(jìn)，化工工控系統呈現開(kāi)放互聯(lián)的發(fā)展趨勢，與此同時(shí)也面臨更多的安全威脅。由于化工生產(chǎn)過(guò)程存在諸多易燃易爆的高危環(huán)節，一旦發(fā)生故障不僅會(huì )造成巨大的經(jīng)濟損失和安全沖擊，還可能造成人員傷亡，因此需重點(diǎn)加強化工工控系統信息安全建設工作，針對化工業(yè)務(wù)流程特征和安全風(fēng)險構建縱深安全防護體系，進(jìn)一步保障國家關(guān)鍵信息基礎設施安全。

2 網(wǎng)絡(luò )安全風(fēng)險分析

化工行業(yè)屬于典型的流程型行業(yè)，各生產(chǎn)環(huán)節關(guān)聯(lián)性較強。為滿(mǎn)足生產(chǎn)控制過(guò)程及時(shí)、穩定、可靠等業(yè)務(wù)需求，化工企業(yè)通常采取調度中心集控、現場(chǎng)操作站分控以及現場(chǎng)控制設備程控相結合的控制模式，應用分散型控制系統（DCS）、聯(lián)鎖保護系統（SIS）、生產(chǎn)環(huán)境監測系統（GDS）等控制系統，生產(chǎn)過(guò)程控制技術(shù)較為成熟。但是我國化工行業(yè)控制網(wǎng)絡(luò )安全體系建設起步較晚，業(yè)內技術(shù)人員網(wǎng)絡(luò )安全意識淡薄，存在較多安全威脅和風(fēng)險。

2.1 網(wǎng)絡(luò )架構安全風(fēng)險

典型化工工控系統架構[1]參考IEC62264-1功能層次模型，如圖1所示，可劃分為0~4共五個(gè)層級。

圖1 典型化工工控系統架構

目前化工工控系統整體網(wǎng)絡(luò )架構在設計之初并未充分考慮網(wǎng)絡(luò )安全，網(wǎng)絡(luò )中各區域之間沒(méi)有明顯的邊界，不同控制區域間的設備和網(wǎng)絡(luò )存在互聯(lián)互通現象?？赡艽嬖谝韵嘛L(fēng)險：

（1）調度中心被越權訪(fǎng)問(wèn)，導致調度中心數據被惡意刪除或篡改，嚴重影響調度中心決策。

（2）現場(chǎng)操作站被越權訪(fǎng)問(wèn)或其它誤操作等行為，造成監控數據被竊取、濫用甚至損壞，導致重要工藝參數或重要指令被篡改，嚴重影響生產(chǎn)控制系統，甚至導致整個(gè)控制過(guò)程異?；蛲?。

（3）調度中心服務(wù)器遭受來(lái)自辦公網(wǎng)的病毒、木馬等攻擊，造成調度中心操作員站及現場(chǎng)工程師站被入侵，導致現場(chǎng)控制單元（即DCS、PLC）遭到破壞，影響現場(chǎng)控制設備的正常運行。

2.2 工業(yè)漏洞安全風(fēng)險

化工工控系統大多采用國外品牌的控制系統（例如Honeywell、Emerson、Yokogawa、Siemens等），在控制單元或工業(yè)應用軟件中可能存在木馬后門(mén)等安全漏洞，為控制系統的穩定運行埋下安全隱患。針對這些漏洞的攻擊手段也是多種多樣的，基于漏洞的網(wǎng)絡(luò )攻擊同樣會(huì )引發(fā)較多安全問(wèn)題。典型攻擊手段如下：

（1）利用應用軟件對用戶(hù)身份的鑒別缺失發(fā)起攻擊。

（2）利用控制系統的網(wǎng)絡(luò )協(xié)議漏洞發(fā)起攻擊。

（3）利用提供給第三方設備廠(chǎng)商的遠程維護通道發(fā)起攻擊。

（4）利用傳統安全設備無(wú)法鑒別工業(yè)協(xié)議的缺陷發(fā)起攻擊。

2.3 病毒感染安全風(fēng)險

考慮到化工工控系統運行的穩定性，通常工業(yè)主機很少進(jìn)行操作系統和應用軟件的補丁更新[2]，也很少安裝殺毒軟件，更不會(huì )及時(shí)更新殺毒軟件的病毒庫?；て髽I(yè)大多缺少對外設、進(jìn)程的管控措施，病毒或木馬程序可能通過(guò)USB外設接口、文件傳輸等方式帶入工業(yè)主機中，對主機造成破壞或通過(guò)感染工業(yè)主機對PLC等控制單元發(fā)起攻擊，導致控制系統故障或造成經(jīng)濟損失。

2.4 未授權訪(fǎng)問(wèn)安全風(fēng)險

化工工控系統內各網(wǎng)絡(luò )層級之間大多沒(méi)有采用有效的區域隔離管控手段，面對工業(yè)領(lǐng)域中的攻擊，如通過(guò)調度中心或其他合法源地址發(fā)起的異常操作行為，無(wú)法進(jìn)行有效的阻斷或報警，從而導致安全事故的發(fā)生。此外，化工工控系統各系統間的訪(fǎng)問(wèn)控制策略存在空白，未對不同安全域之間設備和數據的非授權訪(fǎng)問(wèn)行為進(jìn)行禁止，可能造成惡意代碼的入侵，或者內外部非法人員或非法組織對控制系統的攻擊和破壞。

2.5 運維管理安全風(fēng)險

化工工控系統現場(chǎng)站點(diǎn)數量較多，地理位置分散，但是在安全監控及維護過(guò)程中缺少統一的安全集中管理手段，造成運維管理難度增大，降低了整體效率和實(shí)用性，且未設置完整有效的安全策略與管理流程，應急響應機制不完善，在管理層面存在較多安全隱患。

3 安全體系建設思路

化工工控系統作為國家關(guān)鍵信息基礎設施，其生產(chǎn)運營(yíng)過(guò)程是一個(gè)復雜的過(guò)程，其中不僅有設備、網(wǎng)絡(luò )的因素，還包括生產(chǎn)流程、業(yè)務(wù)保障等因素。面對化工行業(yè)諸多的網(wǎng)絡(luò )安全風(fēng)險，僅依靠訪(fǎng)問(wèn)控制、安全審計、入侵檢測、主機白名單等單點(diǎn)防御技術(shù)手段無(wú)法應對復雜多變的網(wǎng)絡(luò )安全形勢。

化工工控系統安全體系建設需遵循《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》[3]《關(guān)鍵信息基礎設施安全保護條例》[4]《信息安全技術(shù)關(guān)鍵信息基礎設施安全保護要求》[5]等國家相關(guān)法規要求，從保障業(yè)務(wù)系統可用性、完整性和保密性角度出發(fā)，深入調研業(yè)務(wù)系統流程和資產(chǎn)狀況，切實(shí)分析網(wǎng)絡(luò )安全風(fēng)險，貼合化工行業(yè)業(yè)務(wù)特征構建安全基線(xiàn)，基于安全風(fēng)險動(dòng)態(tài)管控建設思路為化工工控系統構建動(dòng)態(tài)、縱深的工業(yè)信息安全防御體系，如圖2所示。

圖2 化工工控系統安全體系建設思路

4 縱深安全防御體系建設

4.1 安全防護原則

本文以增強化工工控系統安全防護能力、抵御外部威脅、消除內部隱患為建設目標開(kāi)展防護體系建設，并遵循以下安全防護原則：

（1）分層分域防護原則

根據化工工控系統業(yè)務(wù)流程合理劃分網(wǎng)絡(luò )層級和安全域，旨在切割風(fēng)險，即任意一點(diǎn)遭受攻擊或網(wǎng)絡(luò )風(fēng)暴不會(huì )對其它生產(chǎn)過(guò)程產(chǎn)生影響，同時(shí)方便管理策略的執行。

（2）以關(guān)鍵業(yè)務(wù)為核心的整體防控

化工工控系統安全保護應以保護關(guān)鍵業(yè)務(wù)為目標，對業(yè)務(wù)所涉及的一個(gè)或多個(gè)網(wǎng)絡(luò )和信息系統進(jìn)行體系化安全設計，構建整體安全防控體系。

（3）以風(fēng)險管理為導向的動(dòng)態(tài)防護

對化工工控系統所面臨的安全威脅態(tài)勢進(jìn)行持續監測，并根據風(fēng)險監測分析結果調整安全控制措施，形成動(dòng)態(tài)的安全防護機制，及時(shí)有效地防范安全風(fēng)險。

（4）以信息共享為基礎的協(xié)同聯(lián)防

加強與化工企業(yè)、研究機構、網(wǎng)絡(luò )安全服務(wù)機構及業(yè)界專(zhuān)家之間的溝通與合作，構建信息共享、協(xié)同聯(lián)動(dòng)的共同防護機制，提升化工工控系統應對大規模網(wǎng)絡(luò )攻擊的能力。

4.2 安全防護體系框架

本文從風(fēng)險識別、風(fēng)險防御、風(fēng)險檢測、風(fēng)險分析和響應處置等維度開(kāi)展化工工控系統縱深安全防御體系建設。體系框架如圖3所示。

圖3 化工工控系統縱深安全防御體系框架

4.3 風(fēng)險識別能力建設

風(fēng)險識別能力建設包括化工工控系統資產(chǎn)識別、脆弱性識別、威脅識別、安全策略識別等內容，是開(kāi)展風(fēng)險防御、風(fēng)險檢測、風(fēng)險分析、響應處置等活動(dòng)的基礎。

化工工控系統風(fēng)險識別通常采用人工分析與專(zhuān)業(yè)檢測工具相結合的方式進(jìn)行，對系統中的資產(chǎn)、脆弱性、威脅、策略等進(jìn)行識別，清晰定義各資產(chǎn)的安全風(fēng)險。例如采用專(zhuān)業(yè)的工控漏洞檢測工具，對化工工控網(wǎng)絡(luò )進(jìn)行全面的漏洞檢測，發(fā)現安全漏洞和脆弱性，檢測關(guān)鍵業(yè)務(wù)系統和重要設備存在的安全風(fēng)險；采用基線(xiàn)核查工具和人工核查方式識別化工工控系統采用的安全技術(shù)防護策略及安全配置信息等內容中的安全隱患。

4.4 風(fēng)險防御能力建設

風(fēng)險防御即采用邊界隔離、訪(fǎng)問(wèn)控制、惡意代碼防范、主機管控等一切可能的措施來(lái)保護化工工控系統網(wǎng)絡(luò )安全。

化工工控系統風(fēng)險防御能力建設應基于業(yè)務(wù)中存在的安全風(fēng)險及脆弱性，結合業(yè)務(wù)流程建立安全基線(xiàn)，采用以“白名單”為主要防護措施，以“黑名單”為輔助驗證措施的技術(shù)手段，從不同的安全防護點(diǎn)入手降低化工工控網(wǎng)絡(luò )系統完整性及可用性被破壞的可能性。

在訪(fǎng)問(wèn)控制方面，應基于工業(yè)協(xié)議深度解析技術(shù)并結合白名單機制，對化工工控系統中的訪(fǎng)問(wèn)內容進(jìn)行細粒度控制，防范非授權訪(fǎng)問(wèn)行為；在主機管控層面，應安裝基于“白名單”的主機安全防護軟件，以最小化原則配置相應的安全策略，實(shí)現對化工工控系統主機終端的服務(wù)、進(jìn)程和外設接口的安全管控，阻止惡意程序、病毒木馬以及與系統運行無(wú)關(guān)的應用程序的運行。

4.5 風(fēng)險檢測能力建設

風(fēng)險檢測可以了解和評估化工工控系統的安全狀態(tài)，為后續進(jìn)行安全防護策略?xún)?yōu)化和安全事件響應提供依據，從而有效阻止網(wǎng)絡(luò )攻擊。

化工工控系統風(fēng)險檢測能力建設涵蓋設備狀態(tài)檢測、數據變化率檢測、異常流量檢測、外來(lái)入侵檢測等層面，通過(guò)部署適用于工控環(huán)境的安全檢測類(lèi)設備實(shí)現對以上內容的檢測，基于安全基線(xiàn)實(shí)時(shí)監測、識別網(wǎng)絡(luò )安全中的灰色行為，獲取各個(gè)節點(diǎn)的安全數據和異常數據，作為風(fēng)險分析和響應處置的基礎數據來(lái)源，從工業(yè)信息安全本質(zhì)出發(fā)解決安全問(wèn)題。

4.6 風(fēng)險分析能力建設

風(fēng)險分析目標旨在對化工工控網(wǎng)絡(luò )中的異常行為、安全事件、未知威脅等信息進(jìn)行多維度統計與分析，從而及時(shí)發(fā)現網(wǎng)絡(luò )安全風(fēng)險隱患并進(jìn)行威脅溯源。

化工工控系統在業(yè)務(wù)應用流程和應用方式方面與傳統IT網(wǎng)絡(luò )相比存在較大差異，傳統的基于五元組和協(xié)議分析的技術(shù)手段不適用于化工工控系統安全風(fēng)險分析?；谖逶M的分析手段存在漏報和誤報的可能，無(wú)法鑒別基于正常操作流程的異常違規行為；協(xié)議分析只能將此類(lèi)行為對應的零散數據報文截獲出來(lái)，生成一條條的事件信息，而無(wú)法對這些事件信息進(jìn)行關(guān)聯(lián)分析，無(wú)法將其轉化為有意義的事件告警信息。

因此化工工控系統風(fēng)險分析能力構建首先需要找出存在業(yè)務(wù)流程中的用戶(hù)訪(fǎng)問(wèn)行為、操作行為等不同行為的規律和特征，從業(yè)務(wù)角度配置安全基線(xiàn)，作為評判異常事件的參考依據；其次需要構建安全態(tài)勢分析中心，采集化工工控系統中的安全監測數據，利用大數據手段對所有監測信息進(jìn)行整合分析，發(fā)現針對業(yè)務(wù)系統的違規行為，真正發(fā)現安全事件并進(jìn)行告警；最后依據風(fēng)險分析結果下發(fā)策略至安全防護設備、安全審計設備以及應急響應團隊執行安全策略的落地，形成基于關(guān)聯(lián)分析技術(shù)手段的縱向安全防護體系。

4.7 響應處置能力建設

響應處置是化工工控系統安全防御體系中重要的一個(gè)環(huán)節，通過(guò)對安全事件的及時(shí)響應和處置恢復，阻止網(wǎng)絡(luò )攻擊破壞并降低經(jīng)濟損失，恢復化工工控系統安全狀態(tài)和丟失的數據信息。

化工工控系統可從安全事件應急響應、系統安全加固、安全策略?xún)?yōu)化、系統脆弱性修復等方面開(kāi)展響應處置能力建設。

（1）安全事件應急響應

建設覆蓋化工工控網(wǎng)絡(luò )的應急響應服務(wù)支撐體系，對基礎通信網(wǎng)絡(luò )、重點(diǎn)應用、核心業(yè)務(wù)系統等進(jìn)行實(shí)時(shí)的安全態(tài)勢分析和應急監控，在遇到安全風(fēng)險時(shí)及時(shí)發(fā)出預警，采取應急處置措施，保障化工業(yè)務(wù)系統穩定可靠運行。

（2）系統安全加固

依據化工工控系統安全風(fēng)險監測和分析結果，識別系統中可能被攻擊的路徑，采取增加安全防護設備等方式對系統進(jìn)行合理的安全加固。

（3）安全策略?xún)?yōu)化

針對化工工控系統自身脆弱性和安全風(fēng)險對安全配置信息作出調整，優(yōu)化并更新安全策略，提高化工工控系統健壯性。

（4）系統脆弱性修復

通過(guò)工控漏洞掃描、安全基線(xiàn)核查等方式準確定位化工工控系統中存在的脆弱點(diǎn)和潛在威脅，根據風(fēng)險分析結果給出漏洞修復建議和預防措施，以便及時(shí)采取安全措施進(jìn)行脆弱性修復，提升化工工控系統抗攻擊能力。

5 安全防護價(jià)值

（1）提升化工工控網(wǎng)絡(luò )抗攻擊能力

建立多維度安全防御能力，使化工工控系統網(wǎng)絡(luò )能夠有效防護內部和外部網(wǎng)絡(luò )惡意代碼、病毒木馬、ATP等攻擊，將安全風(fēng)險降低到可控范圍內，減少安全事件的發(fā)生，保障化工工控系統高效、穩定運行，減少因為安全事件帶來(lái)的經(jīng)濟損失。

（2）實(shí)現化工生產(chǎn)控制環(huán)境實(shí)時(shí)安全監測

應用基于安全基線(xiàn)的監測技術(shù)對化工工控網(wǎng)絡(luò )中的異常流量和異常行為進(jìn)行監測、對策略外的協(xié)議進(jìn)行報警、對外來(lái)訪(fǎng)問(wèn)流量進(jìn)行回溯，以便對已發(fā)生的安全事件進(jìn)行追蹤溯源，并分析判斷安全事件的起因，為事件應急處置和事件處理提供依據。

（3）構建化工工控系統脆弱性檢查評估能力

應用脆弱性檢測評估工具，實(shí)現化工工控系統的安全漏洞和脆弱性檢查，對現有控制系統和新增設備進(jìn)行脆弱性檢測，構建脆弱性檢查評估能力，對化工工控系統的安全性進(jìn)行管控。

（4）增強化工工控網(wǎng)絡(luò )安全管理能力

通過(guò)化工工控網(wǎng)絡(luò )安全防護體系的建設，將生產(chǎn)控制網(wǎng)絡(luò )進(jìn)行安全域劃分，方便企業(yè)以安全域為最小管理單元進(jìn)行安全策略制定、安全檢查等安全管理，增強化工工控系統的信息安全管理能力。

（5）構建化工工控網(wǎng)絡(luò )安全風(fēng)險動(dòng)態(tài)防御能力為化工工控網(wǎng)絡(luò )構建了集成風(fēng)險識別、防御、檢測、響應、處置能力的閉環(huán)安全體系，實(shí)現了對網(wǎng)絡(luò )安全風(fēng)險的動(dòng)態(tài)安全管控，有效保障了化工工控系統完整性及可用性。

6 結語(yǔ)

化工行業(yè)工業(yè)信息安全體系建設應以提升化工工控系統安全防護水平，保障生產(chǎn)業(yè)務(wù)穩定運行為核心目標，基于安全風(fēng)險動(dòng)態(tài)管控的安全建設思路構建可持續優(yōu)化的縱深安全防御體系，實(shí)現網(wǎng)絡(luò )安全風(fēng)險的持續監測和動(dòng)態(tài)防護能力、網(wǎng)絡(luò )安全事件的響應恢復能力以及網(wǎng)絡(luò )安全威脅抵抗能力的持續優(yōu)化與提升，從工業(yè)信息安全的本質(zhì)出發(fā)，切實(shí)保障國家關(guān)鍵信息基礎設施安全運營(yíng)。

作者簡(jiǎn)介

白彥茹（1983-），女，河北人，中級工程師，學(xué)士，現就職于北京天融信網(wǎng)絡(luò )安全技術(shù)有限公司，主要研究方向為工業(yè)控制系統安全、工業(yè)互聯(lián)網(wǎng)安全相關(guān)技術(shù)和標準。

參考文獻：

[1] 許冬濤, 李桂蘭. 煤化工行業(yè)工業(yè)控制系統安全防護技術(shù)規范探索[J]. 現代信息科技, 2020, 12 : 136 - 139.

[2] 張曉明, 王麗宏, 何躍鷹, 何世平. 工業(yè)控制系統信息安全風(fēng)險分析及漏洞檢測[J]. 物聯(lián)網(wǎng)學(xué)報, 2017, 1 : 34 - 39.

[3] GB/T 22239-2019. 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求[S].

[4] 中華人民共和國國務(wù)院. 關(guān)鍵信息基礎設施安全保護條例[Z]. 2021.

[5] GB/T 39204-2022. 信息安全技術(shù) 關(guān)鍵信息基礎設施安全保護要求[S].

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統信息安全專(zhuān)刊（第九輯）》