隨著(zhù)兩化融合發(fā)展，工控網(wǎng)絡(luò )呈現出整體開(kāi)放趨勢，各種威脅不斷增加。工控系統網(wǎng)絡(luò )安全風(fēng)險所帶來(lái)的，不再僅僅是信息泄露、系統無(wú)法使用等“小”問(wèn)題，而是會(huì )可能對現實(shí)世界造成直接的、實(shí)質(zhì)性影響的大問(wèn)題，工控安全不僅關(guān)系到生產(chǎn)安全和經(jīng)濟發(fā)展，還影響到社會(huì )穩定和國家安定。

2010年“震網(wǎng)”病毒破壞了伊朗核設施，影響巨大，這標志著(zhù)工控網(wǎng)絡(luò )攻擊從傳統“軟攻擊”升級為直接攻擊關(guān)鍵信息基礎設施等要害系統的“硬摧毀”，不得不令人深思。

從“震網(wǎng)”病毒到“Havex”病毒，再到勒索病毒，工控系統網(wǎng)絡(luò )安全事件不斷給世人敲響警鐘。從總體上看，我國工控系統信息安全防護建設明顯滯后于工控系統建設，在防護意識、防護策略、防護機制、法律法規、防護檢測等方面都存在不少問(wèn)題，國內相關(guān)研究工作尚在起步階段。

2.1　工控系統網(wǎng)絡(luò )安全現狀

一方面，諸如石化這樣的流程工業(yè)，生產(chǎn)的強連續性、高安全性、特定的高溫高壓環(huán)境要求控制系統必須保證安全穩定地運行，一旦控制系統設備、網(wǎng)絡(luò )受到攻擊或感染病毒后發(fā)生故障，生產(chǎn)將處于失控狀態(tài)，后果不堪設想。

另一方面，就國內石化領(lǐng)域DCS系統占比而言，霍尼韋爾、西門(mén)子、艾默生、GE等國外廠(chǎng)商占據一大半以上份額，而國內廠(chǎng)商浙江中控、和利時(shí)等品牌更多地被用在中小型石化系統或輔控系統中。在西方發(fā)達國家對國內工業(yè)控制核心技術(shù)壟斷環(huán)境下，工控系統面臨的安全形勢愈發(fā)嚴峻。

從國家層面而言，由于歷史原因，我國工業(yè)控制系統同樣存在著(zhù)信息安全管理制度不健全，相關(guān)標準規范缺失，安全防護能力和應急處置能力弱等問(wèn)題。這些都對我國工控系統安全造成了嚴重威脅。

2.2　石化工控系統網(wǎng)絡(luò )安全面臨挑戰

石化工控系統網(wǎng)絡(luò )面臨諸多威脅，體現在以下方面：

·行業(yè)的特殊性

石化行業(yè)是典型的流程工業(yè)，對控制系統的信息安全要求相對比較高，需要符合行業(yè)屬性的技術(shù)、管理等體系。

·入侵的多樣性

石化工控系統的一大特點(diǎn)是結構固定，有固定的拓撲形式和相對單一的網(wǎng)絡(luò )動(dòng)態(tài)，但網(wǎng)絡(luò )組成元素、工控節點(diǎn)眾多。因此，工控系統的入侵途徑更多，可能來(lái)自異構網(wǎng)絡(luò )、工業(yè)以太網(wǎng)、現場(chǎng)總線(xiàn)、無(wú)線(xiàn)網(wǎng)、移動(dòng)介質(zhì)、維修接入，甚至誤操作等。

·后果的嚴重性

與物理世界的互動(dòng)性是工控系統與信息系統的區別之一，因此，石化工控系統受到威脅可能直接導致現實(shí)社會(huì )中的重大災難和群體性事件。

·管理的復雜性

多數石化工業(yè)企業(yè)的控制網(wǎng)絡(luò )中，新舊系統并存，而且舊系統在設計時(shí)基本沒(méi)考慮信息安全的問(wèn)題；同時(shí)多種工控品牌系統并存也給安全管理帶來(lái)一定挑戰。

3.1　平臺構建必要性

石油煉化作為國家關(guān)鍵信息基礎設施的重要組成部分，行業(yè)目前還沒(méi)有建立完整的預警防護機制，對工控網(wǎng)絡(luò )安全問(wèn)題的認知還不夠清晰。國內基礎工業(yè)設施所用的控制系統國產(chǎn)化比率較低，國內企業(yè)對國外系統的漏洞及后門(mén)認知不清,對這些系統安全性也沒(méi)有相應的指標來(lái)衡量。雖然近年來(lái)控制系統國產(chǎn)率逐漸提高，但國內自主的控制系統網(wǎng)絡(luò )安全性卻無(wú)法驗證，更無(wú)法對這些控制系統網(wǎng)絡(luò )漏洞提供安全建議。

此外，石化工業(yè)控制系統為滿(mǎn)足連續生產(chǎn)的要求，基本處于實(shí)時(shí)運轉的狀態(tài)，且控制的生產(chǎn)環(huán)境基本為高溫、高壓的危險環(huán)境，故不能針對生產(chǎn)中的工控系統做實(shí)時(shí)安全研究驗證和應急演練。

因此，在構建石化工控系統安全研究與應急演練平臺，在平臺上開(kāi)展相關(guān)的工控安全研究和應急演練，可填補國內石化對于工業(yè)控制系統網(wǎng)絡(luò )安全研究、服務(wù)和應急演練的空白。

3.2　國家政策的支持

在此之前，我國的工業(yè)控制系統網(wǎng)絡(luò )安全相關(guān)標準在信息安全標準化技術(shù)委員會(huì )以及工業(yè)過(guò)程測量和控制標準化技術(shù)委員會(huì )的指導下，參考“信息安全技術(shù)信息系統安全等級保護基本要求”完成了相關(guān)標準編制工作，為國家基礎工業(yè)控制系統網(wǎng)絡(luò )安全建設提供了準則。

自2017年6月1日起施行的《網(wǎng)絡(luò )安全法》用了整整一節來(lái)強調重點(diǎn)保障關(guān)鍵信息基礎設施的運行安全并界定了關(guān)鍵信息基礎設施的范圍。

2016年11月工信部下發(fā)了《工業(yè)控制系統信息安全防護指南》（以下簡(jiǎn)稱(chēng)《指南》），其中也涉及到對工業(yè)系統離線(xiàn)環(huán)境和應急演練的要求，在“安全軟件選擇與管理”的第一條要求：“在工業(yè)主機上采用經(jīng)過(guò)離線(xiàn)環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權和安全評估的軟件運行”。文中的離線(xiàn)環(huán)境就是區別于工業(yè)運行的實(shí)際環(huán)境，即本文需要搭建的石化工控系統安全研究與應急演練平臺。

“邊界安全防護”的第一條要求：“分離工業(yè)控制系統的開(kāi)發(fā)、測試和生產(chǎn)環(huán)境”。本條目中工業(yè)控制系統的開(kāi)發(fā)、測試環(huán)境的功能可由本文討論的平臺完成。

“安全監測與應急演練”的第四條要求：“定期對工業(yè)控制系統的應急響應預案進(jìn)行演練，必要時(shí)對應急響應預案進(jìn)行修訂”?？沙浞衷诒疚恼撟C的平臺上開(kāi)展應急演練和應急響應預案的修訂。

除《指南》外，工信部發(fā)布的工控系統信息安全三年行動(dòng)計劃提出：到2020年建成“一網(wǎng)一庫三平臺”。

“一網(wǎng)”是指全國工控安全在線(xiàn)監測網(wǎng)絡(luò )。

“一庫”是指工控安全應急資源庫。按照《國家網(wǎng)絡(luò )安全事件應急預案》總體要求，應急資源庫匯聚漏洞、風(fēng)險、解決方案、預案等信息，實(shí)現輔助決策、預案演練等功能。

“三平臺”是指工控安全仿真測試平臺、信息共享平臺和信息通報平臺。本文論證的平臺以石化生產(chǎn)相關(guān)真實(shí)工業(yè)控制場(chǎng)景為基礎，模擬業(yè)務(wù)流程，還原真實(shí)現場(chǎng)，滿(mǎn)足培訓、測試、驗證、試驗等多元化需求。

平臺功能的設計，除了結合石油煉化的行業(yè)特點(diǎn)外，還需響應國家相關(guān)政策的要求。因此，平臺建設遵循“體系建設、持續研究、滾動(dòng)發(fā)展”的總體思路。從根本上構建自主可控、高可信度、大規模、開(kāi)放式的石化工控系統安全研究與應急演練平臺。

平臺的功能由以下五部分組成：

4.1　安全攻防演練

平臺根據石油煉化典型應用場(chǎng)景的工業(yè)控制系統，建立石油煉化工業(yè)控制系統安全攻防演練系統?？梢詫?shí)現如下特點(diǎn)：

（1）跟蹤最新的攻防技術(shù)，針對攻防系統尋找可能的網(wǎng)絡(luò )攻擊切入點(diǎn)。

（2）模擬工控網(wǎng)絡(luò )攻擊，深入分析攻擊途徑、攻擊方式以及攻擊對系統的影響。

（3）針對攻擊制定防護方案，向國家石化企業(yè)、廠(chǎng)商提供產(chǎn)品、系統及網(wǎng)絡(luò )改進(jìn)建議。

4.2　滲透監控

建立石油煉化工業(yè)控制系統網(wǎng)絡(luò )滲透監控系統，從系統中對滲透攻擊的方式進(jìn)行捕獲、監控，加強對攻擊手段的研究與防護。

4.3　安全數據中心

建立石油煉化工業(yè)控制系統安全數據中心，定期發(fā)布最新工業(yè)控制系統安全信息，包含：

（1）漏洞庫：收集石化行業(yè)設備和集成服務(wù)提供商的漏洞信息，提供漏洞內容描述、攻擊方式、攻擊影響、漏洞設備列表、漏洞根源分析、漏洞探測方法、漏洞的保護措施等相關(guān)數據。

（2）模型庫：建立石化工業(yè)控制系統模型庫，提供模型描述、設備列表、組網(wǎng)連接方式、網(wǎng)絡(luò )數據分析等。

（3）大數據分析中心：從廠(chǎng)商、設備類(lèi)型、行業(yè)等多個(gè)維度統計風(fēng)險漏洞信息，統計石化工控系統網(wǎng)絡(luò )攻擊發(fā)生的趨勢，不同應用場(chǎng)景的攻擊手段、地理分布、攻擊系統分布等多個(gè)維度的數據，進(jìn)行數據關(guān)聯(lián)分析和挖掘等，為石化行業(yè)工控安全態(tài)勢感知做技術(shù)儲備。

4.4　威脅復現及行業(yè)拓展

針對石油煉化工業(yè)控制系統已遭受的攻擊，進(jìn)行完整的復現。

（1）威脅復現：針對目前已經(jīng)存在的網(wǎng)絡(luò )攻擊行為，在同等網(wǎng)絡(luò )條件下進(jìn)行復現。

（2）系統拓展：同一個(gè)威脅一般只針對特定的網(wǎng)絡(luò )、設備及終端，對于該種攻擊技術(shù)是否會(huì )對其他類(lèi)型的設備和系統造成攻擊進(jìn)行驗證，并發(fā)出威脅預警。

（3）行業(yè)拓展：針對已經(jīng)存在的威脅，進(jìn)行行業(yè)拓展，預防相同網(wǎng)絡(luò )威脅蔓延至其它工控行業(yè)。

4.5　設備、網(wǎng)絡(luò )安全評測

對入網(wǎng)的操作系統、終端設備、網(wǎng)絡(luò )等進(jìn)行安全評測。

（1）對工控設備進(jìn)行準入測試，保證進(jìn)入石化系統網(wǎng)絡(luò )設備的安全、可靠。

（2）為設備供應商提供安全測評報告。

（3）為行業(yè)提供石化工控網(wǎng)絡(luò )安全咨詢(xún)、加固建議。

基于平臺功能設計需求，平臺由目標業(yè)務(wù)系統、環(huán)境仿真系統、網(wǎng)絡(luò )測試系統、入侵誘捕系統、模擬攻擊系統、保護驗證系統以及多媒體展示系統等子系統組成：

5.1　目標業(yè)務(wù)系統

以石化行業(yè)的生產(chǎn)系統為建設依據建設。該目標業(yè)務(wù)系統是安全研究與演練的目標，系統中的控制器、I/O部件、服務(wù)器、工程師站、操作員站等都屬于目標業(yè)務(wù)系統。

可以選石化行業(yè)典型的裝置以及典型的工控系統配置，如霍尼韋爾PKS系統、浙江中控ECS-700控制系統等，如圖1所示。

圖1 目標業(yè)務(wù)系統網(wǎng)絡(luò )結構圖（浙江中控）

5.2　環(huán)境仿真系統

環(huán)境仿真系統以石化的裝置工藝為原型，為隔離的目標業(yè)務(wù)系統提供仿真環(huán)境。環(huán)境仿真系統可提高安全研究的可靠性，實(shí)現目標業(yè)務(wù)系統與演示場(chǎng)景的組合。

環(huán)境仿真系統可以選取石化行業(yè)典型的工藝，如“PX”、“柴油加氫”等，滿(mǎn)足如下特點(diǎn)：

（1）仿真演示需要符合石化行業(yè)的特點(diǎn)，使用最具代表性的設備模型或虛擬現實(shí)技術(shù)來(lái)展示，如圖2所示；

圖2 高仿真沙盤(pán)搭建的石化環(huán)境仿真系統圖

（2）需要配合目標業(yè)務(wù)系統的工作狀態(tài)展示，如正常工作或受到攻擊；

（3）演示效果直觀(guān)可見(jiàn)，例如通過(guò)高仿真模型的聲、光、電變化體現攻擊效果；

（4）可以實(shí)現多次仿真演示，即演示對環(huán)境仿真系統不能造成永久破壞。

5.3　網(wǎng)絡(luò )測試系統

利用專(zhuān)業(yè)網(wǎng)絡(luò )工具設備對目標業(yè)務(wù)系統進(jìn)行網(wǎng)絡(luò )測試/攻擊的軟硬件設備及相應方法論。如：集成專(zhuān)業(yè)的工控知識庫，包括工業(yè)漏洞庫、工控設備庫、威脅特征庫、工控協(xié)議庫的網(wǎng)絡(luò )分析設備等。

5.4　入侵誘捕系統

入侵誘捕系統是一種情報收集系統，該系統利用工控網(wǎng)絡(luò )蜜罐引誘黑客入侵，然后通過(guò)各類(lèi)數據采集功能獲取黑客的入侵方法，通過(guò)對各類(lèi)數據的分析掌握工控系統的最新漏洞、黑客的攻擊工具和攻擊路徑，為開(kāi)展工控網(wǎng)絡(luò )安全研究收集大量的數據。入侵誘捕系統包括工控網(wǎng)絡(luò )蜜罐系統、工控入侵監控系統等。

5.5　模擬攻擊系統

用于展示攻擊效果的系統，包括目標業(yè)務(wù)系統中被控制的設備、展現攻擊路徑的軟硬件。模擬攻擊系統有兩方面的工作，一是對工業(yè)控制系統的硬件和上位機軟件進(jìn)行安全威脅分析，利用創(chuàng )新性的科學(xué)方法和專(zhuān)業(yè)級的威脅分析工具，實(shí)現攻擊路徑分析，網(wǎng)絡(luò )、設備安全性分析，漏洞庫驗證等功能，進(jìn)而找到工控網(wǎng)絡(luò )中的薄弱環(huán)節。二是針對薄弱環(huán)節編寫(xiě)攻擊腳本，并將腳本植入攻擊介質(zhì)中，如U盤(pán)等，如圖3所示。

圖3 利用U盤(pán)進(jìn)行的模擬攻擊示意圖

5.6　保護驗證系統

用于監測審計/防護針對目標業(yè)務(wù)系統的網(wǎng)絡(luò )攻擊的軟硬件。

該系統可用于各類(lèi)網(wǎng)絡(luò )安全防護設備接入并進(jìn)行防護技術(shù)與產(chǎn)品的功能驗證。系統所需要的網(wǎng)絡(luò )安全技術(shù)要求對網(wǎng)絡(luò )攻擊能及時(shí)發(fā)現、報警并攔截，保護（攔截）設備采用串聯(lián)方式部署，審計（報警）設備采用旁路方式進(jìn)行部署，兼具黑、白名單規則。

5.7　多媒體展示系統

多媒體展示系統由多媒體電視、大屏、多功能培訓工位等組成，該系統覆蓋實(shí)驗室全景，全方位展示平臺建設內容，可用于參觀(guān)、解說(shuō)、人員培訓等，如圖4所示。