★張亞彬，張?chǎng)?，王麟琨，劉瑤機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所

★孫鐵良，黃河，呂峰國家石油天然氣管網(wǎng)集團有限公司油氣調控中心

1　引言

油氣管網(wǎng)場(chǎng)站工控系統是一個(gè)典型的信息物理系統（Cyber Physical System，CPS）應用，它將物理過(guò)程的控制與網(wǎng)絡(luò )技術(shù)緊密結合，實(shí)現了對油氣傳輸、處理和儲存等過(guò)程的監測與控制。油氣管網(wǎng)場(chǎng)站涉及到大量的物理設備（如輸油泵、壓縮機組）和復雜的工藝流程（如過(guò)濾、分離），任何功能上的故障或異常都可能導致嚴重的安全問(wèn)題，如設備損毀、油氣泄漏甚至爆炸。因此，將安全功能內嵌到油氣管網(wǎng)場(chǎng)站工控系統中，可實(shí)時(shí)監測和預測潛在的功能故障，以便及時(shí)采取措施防止事故的發(fā)生，保障了物理設備和生產(chǎn)過(guò)程的安全。油氣場(chǎng)站的工控系統通過(guò)網(wǎng)絡(luò )連接大量傳感器、控制器和執行器，其面臨的信息安全威脅日益增多。傳統的網(wǎng)絡(luò )安全措施如防火墻、入侵檢測系統等，雖然能提供一定的防護，但在面對復雜的新型攻擊時(shí)仍顯不足。因此，有必要通過(guò)多層次的安全機制，增強網(wǎng)絡(luò )系統的抗攻擊能力，減少因網(wǎng)絡(luò )攻擊導致的系統故障和生產(chǎn)中斷。此外，CPS的特性使得功能安全和信息安全緊密相關(guān)，傳統的信息安全與功能安全分治方法難以有效應對復雜的綜合安全威脅。因此，有必要將功能安全和信息安全融合，實(shí)現安全機制的協(xié)同防御，提高系統的整體安全水平。

為了提升工控系統防御安全的自主性和自適應性，本文提出了融合功能安全與信息安全的場(chǎng)站工控系統融合安全策略，即將功能安全機制與信息安全協(xié)同機制融入進(jìn)場(chǎng)站工控系統中，使其具備自主感知、自主分析和自主響應的能力，對于保障油氣管網(wǎng)場(chǎng)站的物理過(guò)程安全和網(wǎng)絡(luò )系統安全、實(shí)現協(xié)同防御、提升自主性和自適應能力、保障生產(chǎn)過(guò)程的連續性和可靠性等具有重要意義。

2　融合安全防護策略的理念

融合安全防護策略是工業(yè)控制系統與物理生產(chǎn)系統不斷融合環(huán)境下衍生出的安全防護需求，是面向網(wǎng)絡(luò )化數字化業(yè)務(wù)，將信息安全與功能安全內置到CPS系統的全生命周期內，從體系化、全局化視角構建的動(dòng)態(tài)的CPS整體安全防御體系，保障了工業(yè)控制系統與物理生產(chǎn)系統的整體運行安全。該策略要求在信息物理系統內部建設功能安全能力、信息安全能力、功能安全與信息安全協(xié)同能力，使得CPS系統具備自身免疫能力。融合安全防護策略的特點(diǎn)概況如下：

（1）整體安全。整體安全是指安全系統具備層層設防、協(xié)同防御的能力。融合安全防護策略對信息安全事件具有自我感知、自我響應能力；對于信息物理跨域攻擊事件，具有信息安全能力與功能安全能力聯(lián)動(dòng)效應，實(shí)現跨域攻擊鏈的全域感知、跨域評估、協(xié)同響應，保證物理生產(chǎn)系統連續安全運行。

（2）沖突消解。沖突消解本質(zhì)上是解決了功能安全與信息安全沖突問(wèn)題，確保了信息安全技術(shù)的架構、配置和功能等對功能安全的影響處于可接受水平。針對優(yōu)化后的功能安全技術(shù)和信息安全技術(shù)，分析信息安全技術(shù)的架構、配置和功能對功能安全的增強、沖突和協(xié)同作用；當兩者存在沖突時(shí)開(kāi)展沖突風(fēng)險評估，依據風(fēng)險可接受標準優(yōu)化信息安全技術(shù)。此時(shí)，信息安全技術(shù)防護的能力等級仍將符合系統風(fēng)險評估的等級要求。

（3）“三同步”原則?！叭健笔侵窩PS系統建設與融合安全防護能力建設需要同步規劃、同步建設和同步運行，實(shí)現對融合安全防護的全生命周期管控，做好建設與運行的相結合、安全感知與安全響應的相結合。同步規劃是融合安全防護的起點(diǎn)和關(guān)鍵，強調關(guān)口前移，實(shí)現融合安全防護與CPS的深度結合和全面覆蓋。同步建設是融合安全防護策略的落地和保障，強調CPS建設時(shí)引入信息安全能力、功能安全能力、信息安全與功能安全協(xié)同能力。同步運行是指融合安全防護的生命，通過(guò)規劃、建設形成的安全能力需要具備運營(yíng)、技術(shù)、人員和管理規范，形成一個(gè)完整的體系，輸出安全能力，提升完全防御整體水平。

3　融合安全防護策略的技術(shù)框架

融合安全策略是結合油氣管網(wǎng)場(chǎng)站工控網(wǎng)絡(luò )基礎架構，基于風(fēng)險驅動(dòng)設計和能力導向設計的總體思想，通過(guò)全域態(tài)勢動(dòng)態(tài)感知、信息安全與功能安全協(xié)同、風(fēng)險決策動(dòng)態(tài)適配等關(guān)鍵技術(shù)，構建多層次、協(xié)同聯(lián)動(dòng)的CPS系統縱深防御體系，其主要框架如圖1所示。

圖1 場(chǎng)站融合安全策略的技術(shù)框架

針對由硬件故障、人員誤操作等帶來(lái)的異常狀態(tài)，通過(guò)功能安全監測模塊進(jìn)行實(shí)時(shí)的動(dòng)態(tài)監測，并將異常狀態(tài)參數傳送給系統。系統判斷當前的工藝異常是否大于可接受閾值，如果工藝異常小于可接受閾值，則繼續進(jìn)行監測，如果工藝異常大于可接受閾值，根據需要啟動(dòng)功能安全的各級保護層。針對場(chǎng)站工業(yè)控制系統可能面臨的信息安全攻擊，通過(guò)信息安全監測模塊進(jìn)行實(shí)時(shí)的動(dòng)態(tài)監測，如果沒(méi)有發(fā)現異常，則繼續進(jìn)行監測。如果信息安全監測模塊發(fā)現了異常，則啟動(dòng)信息安全預警聯(lián)動(dòng)機制。在這個(gè)過(guò)程中，利用多域指令級對比措施分析當前的信息安全攻擊是否已經(jīng)影響現場(chǎng)工藝參數/儀器儀表狀態(tài)，如果已經(jīng)影響到現場(chǎng)工藝參數/儀器儀表狀態(tài)，則需要綜合考慮功能安全與信息安全帶來(lái)的影響。針對后果等級較高的場(chǎng)景，建議安全儀表系統與基本過(guò)程控制系統（Basic Process Control System，BPCS）實(shí)行物理隔離，在其他一般的場(chǎng)景下可實(shí)施邏輯隔離。

3.1　場(chǎng)站全時(shí)全域動(dòng)態(tài)感知

場(chǎng)站全時(shí)全域動(dòng)態(tài)感知是指全面、快速、準確地獲得場(chǎng)站工業(yè)控制系統和物理生產(chǎn)系統的安全運行狀態(tài)，是保障站場(chǎng)安全運行的重要基礎。從場(chǎng)站物理設備設施危險事件或事故成因來(lái)看，信息安全事件、設備物理故障、人為誤操作、自然環(huán)境因素等是引起傳輸數據異常、業(yè)務(wù)邏輯異常、工藝參數異常的原因?；诖?，全域態(tài)勢動(dòng)態(tài)感知要素的監測是指對導致場(chǎng)站生產(chǎn)系統運行態(tài)勢發(fā)生改變的各種不確定要素和過(guò)程變量進(jìn)行動(dòng)態(tài)測量。感知維度涉及網(wǎng)絡(luò )安全感知、設備安全感知、業(yè)務(wù)邏輯感知、工藝參數感知、用戶(hù)行為分析等。

（1）網(wǎng)絡(luò )安全感知：鑒于油氣管網(wǎng)場(chǎng)站網(wǎng)絡(luò )設備、服務(wù)器、應用程序的規?；蛷碗s化特點(diǎn)，靈活采用網(wǎng)絡(luò )入侵檢測技術(shù)和主機入侵檢測技術(shù)相結合的方式。網(wǎng)絡(luò )入侵檢測技術(shù)監控整個(gè)場(chǎng)站的網(wǎng)絡(luò )流量，識別可疑活動(dòng)和已知攻擊模式，適合對外部攻擊和網(wǎng)絡(luò )流量進(jìn)行中央管理。主機入侵檢測系統技術(shù)面向特定的主機，監控系統文件和日志，檢測異常行為。

（2）設備安全感知：主要包括終端設備狀態(tài)監測和固件/軟件的完整性檢查。終端設備狀態(tài)監測是指監測所有連接設備的健康狀態(tài)，包括傳感器、控制器、執行器等，確保它們正常運行且未被篡改。設備安全狀態(tài)監測內容主要包括通信狀態(tài)（即監測設備與控制系統的連接狀態(tài)，確保數據傳輸及時(shí)且可靠）、性能指標（如處理速度、響應時(shí)間、功耗等，以確保其在合理范圍內運行）、故障檢測（諸如傳感器失效、控制器錯誤配置等）、所處環(huán)境監控等。固件完整性檢測主要是定期檢查設備固件是否與廠(chǎng)商提供的最新版本一致，防止被破壞而長(cháng)時(shí)間未發(fā)現產(chǎn)生的安全漏洞。

（3）業(yè)務(wù)邏輯感知：主要包括場(chǎng)站操作過(guò)程監控和控制網(wǎng)絡(luò )危險報文檢測。場(chǎng)站操作過(guò)程監控側重于監測生產(chǎn)過(guò)程中的關(guān)鍵行為指標，按照可接受的閾值設置預警機制，一旦監測到異常情況（如設備啟停過(guò)程不符合規范），便自動(dòng)發(fā)出警報，從而確保生產(chǎn)流程按照預定的操作規范和標準執行。網(wǎng)絡(luò )危險報文檢測是指建立模型對發(fā)送和接收的組態(tài)報文進(jìn)行完整性驗證，以檢測與歷史（或上文）數據不符的通信行為，及時(shí)發(fā)現偽裝或篡改的報文。

（4）工藝參數感知：通過(guò)多種類(lèi)型的傳感器，實(shí)時(shí)監測和采集關(guān)鍵的工藝參數以確保生產(chǎn)運行的安全性、可靠性和高效性。所有這些數據通過(guò)通信協(xié)議實(shí)時(shí)傳送到控制中樞，控制中樞通過(guò)對歷史數據和實(shí)時(shí)數據進(jìn)行比對，識別操作過(guò)程中的異常模式，并提供預警。

（5）用戶(hù)行為分析：用戶(hù)行為分析是保護場(chǎng)站工業(yè)控制系統和數據的關(guān)鍵措施。它主要是通過(guò)建立用戶(hù)正常行為的基線(xiàn)模型，發(fā)現異常登錄行為、權限提升行為和不尋常的訪(fǎng)問(wèn)模式等。

3.2　信息安全與功能安全協(xié)同

在油氣管網(wǎng)場(chǎng)站工控系統中，信息安全保護層與功能安全保護層的有效協(xié)同是確保系統持久安全可靠的重要基礎。兩安保護層協(xié)同是建立在安全一體化風(fēng)險評估基礎上的，而一體化風(fēng)險評估重點(diǎn)關(guān)注信息安全事件可能對功能安全的影響，如黑客攻擊破壞安全儀表系統的控制邏輯。將信息安全防護作為外部屏障抵御病毒和惡意攻擊，功能安全措施作為工業(yè)控制系統的免疫系統開(kāi)展主動(dòng)防御和響應，當信息安全防護失效，病毒或攻擊侵入時(shí)，功能安全措施應能及時(shí)發(fā)現異常/偏差并觸發(fā)保護（如導入安全狀態(tài)）；與此同時(shí)應在工控系統部署信息安全探測措施（如探針）實(shí)時(shí)監測運行異常，通過(guò)系統異常行為分析（如工藝參數偏離、異常報文等）判斷并發(fā)出異常事件報警。同時(shí)，通過(guò)定期的檢驗測試來(lái)評估工業(yè)控制系統健康狀態(tài)和功能安全與信息安全一體化防護系統狀態(tài)。功能安全系統在信息安全防護下運行，信息安全防護對功能安全的負面影響應控制在可接受范圍，確保工業(yè)控制系統在信息安全防護失效后可通過(guò)功能安全實(shí)現風(fēng)險可控。

3.3　風(fēng)險決策動(dòng)態(tài)適配

風(fēng)險決策動(dòng)態(tài)適配是充分考慮場(chǎng)站工業(yè)控制系統狀態(tài)的動(dòng)態(tài)性，依據風(fēng)險評估結果實(shí)時(shí)調整風(fēng)險管理的決略。風(fēng)險決策動(dòng)態(tài)適配本質(zhì)上是在線(xiàn)的風(fēng)險評估與決策邏輯，并且綜合考慮信息安全風(fēng)險和功能安全風(fēng)險。獨立的功能安全評估可參考標準IEC61508，單獨的信息安全評估可參考標準IEC62443，一體化風(fēng)險評估宜從CPS視角開(kāi)展網(wǎng)絡(luò )物理攻擊風(fēng)險評估，建立一系列的網(wǎng)絡(luò )物理攻擊風(fēng)險評估模型，如：攻擊者通過(guò)入侵網(wǎng)絡(luò )，篡改傳遞到物理生產(chǎn)系統的控制指令和傳感器的數據；通過(guò)DDoS等手段，攻擊者可以使控制系統無(wú)法正常工作；又如：通過(guò)控制指令改變物理設備的工作狀態(tài)，導致設備損壞或故障。

基于3.1節場(chǎng)站全時(shí)全域動(dòng)態(tài)感知獲取的數據，實(shí)時(shí)識別異常行為，并作為3.3節的風(fēng)險決策與應急聯(lián)動(dòng)的輸入，基于不同的風(fēng)險評估結果，從成本、效益和安全性等多個(gè)目標進(jìn)行平衡，適配最優(yōu)的決策方案?；陲L(fēng)險評估結果和環(huán)境變化，根據3.3節動(dòng)態(tài)適配風(fēng)險控制策略，實(shí)施相應的功能安全措施和信息安全措施。

4　結論

針對油氣管網(wǎng)場(chǎng)站的傳統信息安全與功能安全分治方式難以有效應對復雜的綜合安全威脅的問(wèn)題，本文提出了油氣管網(wǎng)場(chǎng)站工控系統融合安全防護策略，通過(guò)全域態(tài)勢動(dòng)態(tài)感知、信息安全與功能安全協(xié)同、風(fēng)險決策動(dòng)態(tài)適配等關(guān)鍵技術(shù)，保障了油氣管網(wǎng)場(chǎng)站的整體安全，實(shí)現了功能安全與信息安全的協(xié)同防御能力。

★基金項目：國家重點(diǎn)研發(fā)計劃項目（2023YFB3107703）

作者簡(jiǎn)介

張亞彬（1986-），男，河北保定人，高級工程師，博士，現就職于機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所，主要研究方向為智能制造與工控安全共性關(guān)鍵技術(shù)及標準研制。

張　鑫（1990-），男，山東聊城人，高級工程師，博士，現就職于機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所，主要研究方向為風(fēng)險評估等共性關(guān)鍵技術(shù)研究及標準研制。

王麟琨（1974-），男，黑龍江佳木斯人，教授級高工，博士，現就職于機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所，主要研究方向為現場(chǎng)總線(xiàn)、機電控制。

劉　瑤（1987-），女，江蘇泰州人，高級工程師，學(xué)士，現就職于機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所，主要研究方向為功能安全、工控信息安全及安全一體化。

孫鐵良（1967-），男，山東德州人，高級工程師，學(xué)士，現就職于國家石油天然氣管網(wǎng)集團有限公司油氣調控中心，主要研究方向為自動(dòng)化控制、通信和工控系統網(wǎng)絡(luò )安全等。

黃　河（1984-），男，重慶永川人，高級工程師，碩士，現就職于國家石油天然氣管網(wǎng)集團有限公司油氣調控中心，主要研究方向為自動(dòng)化控制和工控系統網(wǎng)絡(luò )安全等。

呂　峰（1969-），男，山東威海人，正高級工程師，學(xué)士，現就職于國家石油天然氣管網(wǎng)集團有限公司油氣調控中心，主要研究方向為自動(dòng)化控制和工控系統網(wǎng)絡(luò )安全等。

參考文獻：

[1] 張小虎, 蔣麗瓊. 長(cháng)輸天然氣管道站控系統工控安全方案設計與研究[J]. 信息安全研究, 2019, 5 (8) : 740.

[2] 彭勇, 江常青, 謝豐, 等. 工業(yè)控制系統信息安全研究進(jìn)展[J]. 清華大學(xué)學(xué)報: 自然科學(xué)版, 2012, 52 (10) 1396 - 1408.

[3] 丁曉倩, 向勇, 李喜旺, 等. 工業(yè)控制系統信息安全研究新動(dòng)態(tài)[J]. 計算機系統應用, 2021, 30 (2) : 12 - 19.

[4] 吳超, 華佳敏. 功能安全研發(fā)的方法論研究[J]. 中國安全生產(chǎn)科學(xué)技術(shù), 2018, 14 (8) : 23 - 28.

[5] 楊婷, 張嘉元, 黃在起, 等. 工業(yè)控制系統安全綜述[J]. 計算機研究與發(fā)展, 2022, 59 (5) : 1035 - 1053.

[6] 靳江紅, 莫昌瑜, 李剛. 工業(yè)控制系統功能安全與信息安全一體化防護措施研究[J]. 工業(yè)安全與環(huán)保, 2020, 46 (1) : 53 - 60.

[7] 付曉曉. 基于功能安全與信息安全的SIS系統風(fēng)險評估方法研究[D]. 北京: 中國石油大學(xué), 2022.

[8] 胡博文, 周純杰, 劉璐. 基于模糊多目標決策的智能儀表功能安全與信息安全融合方法[J]. 信息網(wǎng)絡(luò )安全, 2021, 21(7) : 10 - 16.

[9] 趙越. 面向控制過(guò)程的工業(yè)控制系統信息安全防護彈性控制技術(shù)研究[D]. 武漢: 華中科技大學(xué), 2022.

[10] 羅躍斌. 網(wǎng)絡(luò )主動(dòng)防御關(guān)鍵技術(shù)研究[D]. 長(cháng)沙: 國防科學(xué)技術(shù)大學(xué), 2017.

[11] 王瀚洲, 劉建偉. 網(wǎng)絡(luò )內生安全研究現狀與關(guān)鍵技術(shù)[J]. 中興通訊技術(shù), 2022, 28 (6) : 2 - 11.

[12] 石永杰, 于慧超, 呂峰, 等. 工業(yè)控制系統網(wǎng)絡(luò )安全的主動(dòng)防御技術(shù)研究與實(shí)踐[J]. 信息技術(shù)與網(wǎng)絡(luò )安全, 2020, 39 (4) : 13 - 18.

[13] 余飛. 工業(yè)網(wǎng)絡(luò )邊界擬態(tài)防護關(guān)鍵技術(shù)研究及其實(shí)現[D]. 鄭州: 戰略支援部隊信息工程大學(xué), 2021.

[14] 胡寧. 面向內生安全的網(wǎng)絡(luò )異常檢測關(guān)鍵技術(shù)研究[D]. 南京: 東南大學(xué), 2021.

[15] Wu J. Cyberspace endogenous safety and security[J]. Engineering, 2022, 15 : 179 - 185.

[16] 彭瑜. 過(guò)程工業(yè)控制系統及其軟件的功能安全[J]. 自動(dòng)化博覽, 2010, 27 (12) : 40 - 46 + 50.

[17] 周浩, 黃雙, 黃雄峰, 等. 嵌入式PLC的信息安全策略設計與實(shí)現[J]. 計算機科學(xué), 2013, 40 (9) : 125 - 129.

[18] 鄔江興. 網(wǎng)絡(luò )空間擬態(tài)防御研究[J]. 信息安全學(xué)報, 2016, 1(4) : 1-10.

[19] 石永杰. 工業(yè)互聯(lián)網(wǎng)環(huán)境下IT/OT融合的安全防御技術(shù)研究[J]. 信息技術(shù)與網(wǎng)絡(luò )安全, 2019, 38 (7) : 1-5+18.

[20] 賴(lài)英旭, 劉靜, 劉增輝, 等. 工業(yè)控制系統脆弱性分析及漏洞挖掘技術(shù)研究綜述[J]. 北京工業(yè)大學(xué)學(xué)報, 2020, 46 (6) : 571 - 582.

[21] 李治霖. 工業(yè)控制網(wǎng)絡(luò )安全態(tài)勢感知的研究[D].長(cháng)春: 長(cháng)春工業(yè)大學(xué), 2020.

[22] 耿進(jìn)步, 賀磊, 牛玉坤. 數字化轉型背景下制造側網(wǎng)絡(luò )安全發(fā)展情況與建議[J]. 信息通信技術(shù)與政策, 2024, 50 (8) : 9 - 16.

[23] 高金吉. 人工自愈與機器自愈調控系統[J]. 機械工程學(xué)報, 2018, 54 (8) : 83 - 94.

摘自《自動(dòng)化博覽》2025年1月刊