甄濤

摘要：隨著兩化深度融合，加上互聯(lián)網(wǎng)技術(shù)和產(chǎn)品的廣泛應(yīng)用，工控系統(tǒng)的信息安全面臨嚴峻考驗。以某石化企業(yè)的柴油加氫工藝系統(tǒng)為例，從安全區(qū)域的識別和分隔、區(qū)域邊界建立、區(qū)域邊界防護和區(qū)域內(nèi)部防護等方面，提出深度防御關(guān)注的安全區(qū)域建立方法，并對安全區(qū)域識別和防護過程進行了探討。

關(guān)鍵詞：石化行業(yè)；工業(yè)控制系統(tǒng)；安全區(qū)域；深度防御；信息安全

DOIDOI：10.11907/rjdk.161739

中圖分類號：TP309

文獻標識碼：A文章編號文章編號：16727800（2016）009015103

基金項目基金項目：

作者簡介作者簡介：甄濤（1992-），男，河北石家莊人，上海理工大學光電信息與計算機工程學院碩士研究生，研究方向為工控信息安全。

0引言

信息時代，對石油化工等制造業(yè)而言，以震網(wǎng)蠕蟲為代表的木馬、病毒等對工業(yè)自動化生產(chǎn)安全帶來了極大威脅，工業(yè)控制系統(tǒng)安全成為信息化時代企業(yè)安全生產(chǎn)的重中之重。最初的工控系統(tǒng)被設(shè)計為獨立封閉的系統(tǒng)，其安全風險主要來自設(shè)備運行不穩(wěn)定、操作不合理等方面。但是，隨著信息化的推進和工業(yè)化進程的加速，越來越多的計算機和網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)，在為工業(yè)生產(chǎn)帶來極大推動作用的同時也帶來了諸如木馬、病毒、網(wǎng)絡(luò)攻擊等安全問題。

1石化行業(yè)工控系統(tǒng)面臨的信息安全問題

隨著石化行業(yè)信息化的不斷深入，管理的精細化和智能工廠的實施，都離不開實時的現(xiàn)場信息，因此管與控的結(jié)合就成為了必然趨勢。DCS控制系統(tǒng)與外界不再隔離，控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)之間廣泛采用OPC通信技術(shù)；此外，先進過程控制（APC）也需要OPC技術(shù)建立通訊。目前，常用的OPC通訊隨機使用1024～65535中的任意端口，采用傳統(tǒng)IT防火墻進行防護配置時，被迫需要開放大量端口，形成嚴重的安全漏洞；同時，OPC的訪問權(quán)限過于寬松，任意網(wǎng)絡(luò)中的任意計算機都可以運行OPC中的服務(wù)；且OPC使用的Windows的DCOM和RPC服務(wù)極易受到攻擊。普通IT方后勤無法實現(xiàn)工業(yè)通訊協(xié)議過濾，網(wǎng)絡(luò)中某個操作站/工程師站感染病毒，會馬上傳播到其它計算機，造成所有操作站同時故障，嚴重時可導致操作站失控甚至停車[1]。目前，存在的工控信息安全問題主要有[2]：

（1）操作系統(tǒng)漏洞。目前，工業(yè)計算機操作系統(tǒng)大多采用Windows操作系統(tǒng)，甚至還有XP系統(tǒng)，這些一般不允許安裝操作系統(tǒng)的安全補丁和防病毒軟件。針對性的網(wǎng)絡(luò)攻擊、病毒感染都會給系統(tǒng)造成嚴重后果，而且由于漏洞和病毒公布的滯后性，殺毒軟件并不能有效地進行防護。此外，不正當?shù)牟僮鳎热?，在項目實施和后期維護中使用U盤、筆記本等外設(shè)，也會存在一定的安全隱患。

（2）隔離失效。大多數(shù)石化企業(yè)通過OPC的雙網(wǎng)卡結(jié)構(gòu)對數(shù)據(jù)采集網(wǎng)絡(luò)與控制網(wǎng)之間進行了隔離，使得惡意程序無法直接攻擊控制網(wǎng)絡(luò)。但對于針對Windows系統(tǒng)漏洞的病毒，這種設(shè)置就失去了效果，造成病毒在數(shù)采網(wǎng)和控制網(wǎng)之間傳播。

（3）信息安全延遲性。若工業(yè)網(wǎng)絡(luò)遭受黑客攻擊，維護人員無法采取相應(yīng)措施，并查詢故障點和分析原因。通常情況下，小的信息安全問題直至發(fā)展成大的安全事故才會被發(fā)現(xiàn)和解決。

2柴油加氫控制系統(tǒng)安全防護簡介

目前，我國煉油、石化等行業(yè)工業(yè)控制系統(tǒng)一般分為3部分：控制層、數(shù)據(jù)采集層和管理信息層，普遍采用DCS（分散控制系統(tǒng)）和PLC（可編程邏輯控制器）等數(shù)字化手段，自動化程度高，多以DCS系統(tǒng)為核心、PLC為輔機控制，形成對設(shè)備組命令的下達與控制，并對DCS和PLC反饋的數(shù)據(jù)進行分析以掌握設(shè)備組的整體運行狀況。

某石化公司的柴油加氫系統(tǒng)采取安全防護后的拓撲結(jié)構(gòu)如圖1所示。

實時服務(wù)器和組態(tài)服務(wù)器組成管理信息層；監(jiān)控層包括操作員站、工程師站、OPC應(yīng)用站和異構(gòu)系統(tǒng)工作站，控制層包括以DCS為主控制溫度顯示儀表、液位計、繼電器和閥門等儀表，PLC為輔控制報警器。其中，設(shè)備層與控制層通過模擬數(shù)字通信模塊通信。

其中：①信息層與數(shù)據(jù)采集層之間添加縱向隔離平臺，避免信息層向下采集數(shù)據(jù)時造成信息泄露；②異構(gòu)系統(tǒng)應(yīng)用站采用橫向隔離平臺，防止其它系統(tǒng)對加氫操作工藝產(chǎn)生不必要的影響；③引入智能防火墻，對工業(yè)協(xié)議和應(yīng)用程序進行審計、監(jiān)控。

3工業(yè)網(wǎng)絡(luò)中的安全區(qū)域

按照IEC 62443定義，“區(qū)域”由邏輯的或物理的資產(chǎn)組成，并且共享通用的信息安全要求。區(qū)域是代表需考慮系統(tǒng)分區(qū)的實體集合，基于功能、邏輯和物理關(guān)系[3]。

3.1使用操作域識別區(qū)域

安全區(qū)域的建立，第一步就是識別所有操作域，以確定每個區(qū)域的組成及邊界所在。一般在工業(yè)網(wǎng)絡(luò)中建立區(qū)域時，要考慮的操作域包括有網(wǎng)絡(luò)連接控制回路、監(jiān)控系統(tǒng)、控制流程、控制數(shù)據(jù)存儲、交易通信、遠程訪問以及用戶群體和工業(yè)協(xié)議組之類。其目的是通過隔離使各操作域受到攻擊的風險最低，從而進一步使用各類安全產(chǎn)品和技術(shù)對每個操作域進行保護，成為安全區(qū)域。然而現(xiàn)實情況下，有必要使用操作域間功能共享來簡化操作域，從而有效地將重疊的操作域結(jié)合成一個獨立的更大的區(qū)域。

3.2區(qū)域邊界建立

理想情況下，每個操作域與其它區(qū)域都有明確的邊界，并且確保每個分區(qū)都采用獨特的安全防護設(shè)備，這樣邊界防御才能部署在正確的位置上。

識別區(qū)域后，將其映射到網(wǎng)絡(luò)，從而定義清晰的邊界，CIP-005-3[4]的NERC規(guī)則中提到該過程的要求。只有存在已被定義和管理的接入點，區(qū)域才會被保護。

3.3網(wǎng)絡(luò)架構(gòu)調(diào)整

所有設(shè)備都應(yīng)該直接連接到該區(qū)域或者該區(qū)域的任何設(shè)備上，然而，比如一臺打印機不屬于該區(qū)域，但是可能連接到本地交換機或路由器的接口或無線接入上。這種差錯可能是不當?shù)木W(wǎng)絡(luò)設(shè)計或網(wǎng)絡(luò)尋址的結(jié)果。當定義了安全區(qū)域的劃分并對網(wǎng)絡(luò)架構(gòu)作出了必要的調(diào)整，這樣就具備了履行NERC CIP、ISA99、CFATS等符合規(guī)范性要求的必要信息。

3.4區(qū)域及其安全設(shè)備配置

防火墻、IDS（入侵檢測系統(tǒng)）和IPS（入侵防護系統(tǒng)）、安全信息和事件管理系統(tǒng)（SIEM）以及許多其它安全系統(tǒng)支持變量的使用，使得邊界安全控制與合規(guī)性要求相互關(guān)聯(lián)。

對于每一個區(qū)域，如下幾項都應(yīng)保持在最低限度[5]：①通過IP地址，將設(shè)備劃分到特定區(qū)域；②通過用戶名或其它標志，獲得修改區(qū)域權(quán)限的用戶；③在區(qū)域中使用的協(xié)議、端口及服務(wù)。

創(chuàng)建這些變量將有助于制定用于增強區(qū)域邊界的防火墻和IDS規(guī)則，同時也會幫助安全監(jiān)管工具檢測策略異常并發(fā)出警報。

4對安全區(qū)域邊界和內(nèi)部的安全防護

CIP-005-4 R1要求在“任何關(guān)鍵網(wǎng)絡(luò)資產(chǎn)”邊界，以及該邊界上的所有訪問點都要建立通過對已建立、標識并記錄歸檔電子安全邊界（ESP）[6]。區(qū)域周圍建立電子安全邊界可以提供直接的保護，并且防止對封閉系統(tǒng)未經(jīng)授權(quán)的訪問，同時防止從內(nèi)部訪問外部系統(tǒng)，這是很容易忽略的一點。

要使建立的電子安全邊界能有效保護入站和出站流量，必須達到兩點要求[4]：①所有的入站和出站流量必須通過一個和多個已知的、能夠被監(jiān)控和控制的網(wǎng)絡(luò)連接；②每個連接中應(yīng)該部署一個或多個安全設(shè)備。

4.1區(qū)域邊界安全防護

對于臨界點，NERC CIP和NRC CFR 73.54[7]給出了安全評價標準以及建議的改進措施，如表1所示。

其中防火墻和IPS都被建議的原因是，防火墻和IPS設(shè)備具有不同的功能：防火墻限制了允許通過邊界的流量類型，而IPS則檢查已被允許通過的流量，目的是為了檢測惡意代碼或惡意軟件等帶有破壞目的的流量。這兩種設(shè)備的優(yōu)勢在于：①IPS可以對所有經(jīng)過防火墻的流量進行深度包檢測（DPI）；②防火墻基于定義的安全區(qū)域變量限制了通過的流量，使IPS可以專注于這部分流量，并因此可以執(zhí)行更為全面和強大的IPS規(guī)則集。

4.2區(qū)域內(nèi)部安全防護

區(qū)域內(nèi)部由特定的設(shè)備以及這些設(shè)備之間各種各樣的網(wǎng)絡(luò)通信組成。區(qū)域內(nèi)部安全主要是通過基于主機安全來實現(xiàn)，通過控制終端用戶對設(shè)備的身份認證、設(shè)備如何在網(wǎng)絡(luò)上通信、設(shè)備能訪問哪些文件以及可以通過設(shè)備執(zhí)行什么應(yīng)用程序。

主要的3種安全領(lǐng)域[5]：①訪問控制，包括用戶身份認證和服務(wù)的可用性；②基于主機的網(wǎng)絡(luò)安全，包括主機防火墻和主機入侵檢測系統(tǒng)（HIDS）；③反惡意軟件系統(tǒng)，如反病毒（AV）和應(yīng)用程序白名單（AWL）。

5結(jié)語

石油化工等關(guān)鍵基礎(chǔ)設(shè)施和能源行業(yè)關(guān)系國計民生，在我國兩化融合深入發(fā)展的同時，如何確保工控系統(tǒng)信息安全是石化行業(yè)信息化建設(shè)的重要研究課題。本文以某石化行業(yè)柴油加氫系統(tǒng)架構(gòu)為例，重點介紹了如何識別和分隔操作域，確定每個區(qū)域的邊界和組成，最終建立安全區(qū)域，并從外部使用防火墻、IDS、IPS以及應(yīng)用程序監(jiān)控器等安全設(shè)備，從內(nèi)部使用主機防火墻、主機IDS和應(yīng)用程序白名單等對工業(yè)控制系統(tǒng)進行保護。

參考文獻參考文獻：

[1]李東周.工控蠕蟲病毒威脅，化企如何應(yīng)對？[N].中國化工報，20140527.

[2]溫克強.石化行業(yè)工控系統(tǒng)信息安全的縱深防御[J].中國儀器儀表，2014（9）：3738.

[3]肖建榮.工業(yè)控制系統(tǒng)信息安全[M].北京：電子工業(yè)出版社，2015.

[4]NORTH AMERICAN RELIABILITY CORPORATION.Standard CIP0053.cyber security—electronic security perimeter[S].2009.

[5]納普.工業(yè)網(wǎng)絡(luò)安全：智能電網(wǎng)，SCADA和其他工業(yè)控制系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)備的網(wǎng)絡(luò)安全[M].周秦，譯.北京：國防工業(yè)出版社，2014.

[6]NORTH AMERICAN RELIABILITY CORPORATION.Standard CIP0054.cyber security—electronic security perimeter[S].2011.

[7]U.S. NUCLEAR REGULATORY COMMISSION.73.54 Protection of digital computer and communication systems and networks[S].2009.

責任編輯（責任編輯：孫娟）