康思偉，鄧 靜，薛海林，易 飛

(中海油上海分公司，上海 200335)

基于GB/T30976的海上油氣田工業(yè)控制系統(tǒng)安全研究

康思偉，鄧 靜，薛海林，易 飛

(中海油上海分公司，上海 200335)

本文從國(guó)家評(píng)估標(biāo)準(zhǔn)出發(fā)，針對(duì)企業(yè)工業(yè)控制系統(tǒng)應(yīng)用的主要風(fēng)險(xiǎn)，從網(wǎng)絡(luò)安全、主機(jī)安全、審計(jì)三方面提出海上油氣田工業(yè)控制系統(tǒng)安全整體防護(hù)設(shè)計(jì)。

工業(yè)控制系統(tǒng)安全；白名單

1 引言

海上油氣田生產(chǎn)過(guò)程控制系統(tǒng)是一套DCS工業(yè)控制系統(tǒng)，其原有的使用環(huán)境較為封閉，網(wǎng)絡(luò)獨(dú)立于其他網(wǎng)絡(luò)。隨著工業(yè)信息化的快速發(fā)展及工業(yè)4.0時(shí)代的到來(lái)，工業(yè)化與信息化的融合趨勢(shì)越來(lái)越明顯，工業(yè)控制系統(tǒng)也開(kāi)始利用最新的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)來(lái)提高系統(tǒng)間的集成、互聯(lián)及信息化管理水平。為了提高生產(chǎn)效率和效益，工控網(wǎng)絡(luò)會(huì)越來(lái)越開(kāi)放，不可能進(jìn)行完全的隔離，如工控系統(tǒng)需要實(shí)時(shí)給MES/PIMS等系統(tǒng)提供數(shù)據(jù)等，這就給工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)帶來(lái)了挑戰(zhàn)。

2 GB/T30976闡述

推薦性國(guó)家標(biāo)準(zhǔn)GB/T30976-2014《工業(yè)控制系統(tǒng)信息安全》于2014年12月2日正式發(fā)布，該系列國(guó)家標(biāo)準(zhǔn)是我國(guó)工控領(lǐng)域首次發(fā)布的正式標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的主要內(nèi)容包括安全分級(jí)、安全管理基本要求、技術(shù)要求、安全檢查測(cè)試方法等，適合于對(duì)工業(yè)控制系統(tǒng)的信息安全評(píng)估和驗(yàn)收，對(duì)工業(yè)控制系統(tǒng)應(yīng)用安全予以很好的啟迪。

針對(duì)海上油氣田領(lǐng)域，該標(biāo)準(zhǔn)較為寬泛，只提出了通用工控信息安全的評(píng)估規(guī)范，未對(duì)工控系統(tǒng)的信息安全建設(shè)方案提供指引，基于標(biāo)準(zhǔn)要求的海上油氣田工控系統(tǒng)信息安全防護(hù)方案成為研究的新課題和新方向。

3 海上工控系統(tǒng)現(xiàn)狀分析

海上油氣田生產(chǎn)平臺(tái)主要以油氣采集、預(yù)處理、輸油、輔助控制系統(tǒng)及現(xiàn)場(chǎng)數(shù)據(jù)采集和第三方系統(tǒng)（如透平、海水淡化等系統(tǒng)）為代表，以海上某平臺(tái)為例，其工控系統(tǒng)框圖如圖1所示。

通過(guò)對(duì)照GB/T 30976標(biāo)準(zhǔn)的主要系統(tǒng)要求（FR），我們來(lái)分析海上工控系統(tǒng)安全目前存在的主要問(wèn)題：

（1）FR1：標(biāo)識(shí)和認(rèn)證控制，要求所有用戶在被允許訪問(wèn)控制系統(tǒng)之前，對(duì)他們進(jìn)行標(biāo)識(shí)和認(rèn)證。目前海上工控系統(tǒng)已有具有該能力，但口令有效期、口令復(fù)雜度各平臺(tái)不完全一致。

（2）FR2：使用控制，要求為已認(rèn)證用戶分配特權(quán)，以執(zhí)行所請(qǐng)求的操作，并對(duì)這些特權(quán)的使用進(jìn)行監(jiān)視。目前各品牌的DCS系統(tǒng)均具有權(quán)限管理及工控系統(tǒng)事件審計(jì)功能，但對(duì)工程師站的審計(jì)較弱。

（3）FR3：系統(tǒng)完整性，要求確保工業(yè)控制系統(tǒng)完整性，以防止未經(jīng)授權(quán)的操縱。其中SR3.2惡意代碼的防護(hù)，需要在工程師站上部署相應(yīng)的防護(hù)軟件。目前由于殺毒軟件的誤殺、工控廠家認(rèn)證等問(wèn)題，部分海上工控系統(tǒng)未安裝終端防護(hù)軟件。

（4）FR4：數(shù)據(jù)保密性，要求確保通信信道和數(shù)據(jù)庫(kù)的保密性，防止信息散布。其中SR4.2 RE (2)區(qū)域邊界的機(jī)密性保護(hù)，要求控制系統(tǒng)應(yīng)有能力保護(hù)穿越所有區(qū)域邊界的信息的機(jī)密性。與之相對(duì)照，目前海上工控系統(tǒng)均部署了邊界防護(hù)設(shè)備，如防火墻/網(wǎng)閘等，對(duì)數(shù)據(jù)保密及邊界防護(hù)做到了較好的技術(shù)保障。

（5）FR5：限制的數(shù)據(jù)流，要求利用區(qū)域和管道對(duì)控制系統(tǒng)分區(qū)，來(lái)限制不必要的數(shù)據(jù)流。其中SR5.3區(qū)域邊界防護(hù)，要求控制系統(tǒng)應(yīng)提供監(jiān)控區(qū)域邊界通信的能力，以實(shí)現(xiàn)基于風(fēng)險(xiǎn)的區(qū)域和管道模型定義的劃分。目前海上平臺(tái)由于工控系統(tǒng)較為簡(jiǎn)單，尚未進(jìn)行分區(qū)防護(hù)。

（6）FR6：對(duì)事件的及時(shí)響應(yīng)，要求當(dāng)事故發(fā)生時(shí)，通過(guò)以下方式對(duì)安全違背進(jìn)行響應(yīng)：通知適當(dāng)?shù)臋?quán)威、報(bào)告所需證據(jù)、采取及時(shí)的糾正行動(dòng)。目前海上工控系統(tǒng)提供了部分審計(jì)日志的能力。

（7）FR7：資源可用性確?？刂葡到y(tǒng)的可用性，防止拒絕基本服務(wù)。該部分主要有DSC系統(tǒng)本身功能保障。

圖1 海上平臺(tái)工控網(wǎng)絡(luò)示意圖

通過(guò)分析，可以將以上七個(gè)系統(tǒng)要求劃分成工控系統(tǒng)網(wǎng)絡(luò)信息安全、主機(jī)信息安全、安全審計(jì)、工控系統(tǒng)自身安全四部分，本文重點(diǎn)關(guān)注前三部分的研究。

4 海上平臺(tái)工控系統(tǒng)網(wǎng)絡(luò)信息安全

4.1 不同信息層之間的安全防護(hù)

在工控網(wǎng)絡(luò)中，各信息層定義著每層所包含的設(shè)備和功能，L1為控制器層，L2為操作層，L3為工程管理層，L3.5為隔離層，L4為企業(yè)層，通過(guò)在不同層級(jí)之間用物理防火墻進(jìn)行隔離，以達(dá)到不同信息層之間的安全防護(hù)。如圖2所示，傳統(tǒng)控制系統(tǒng)中沒(méi)有L1與L2之間的物理隔離，而新型的控制系統(tǒng)已對(duì)其進(jìn)行了完善。對(duì)于過(guò)程數(shù)據(jù)的網(wǎng)絡(luò)發(fā)布，最新的架構(gòu)是將其放置在隔離層，而不放置在企業(yè)層，通過(guò)兩層防火墻的隔離，最大限度的避免外網(wǎng)數(shù)據(jù)對(duì)過(guò)程數(shù)據(jù)產(chǎn)生影響。

圖2 工控網(wǎng)絡(luò)分層結(jié)構(gòu)

4.2 訪問(wèn)控制

根據(jù)海上工控系統(tǒng)信息、網(wǎng)絡(luò)結(jié)構(gòu)、安全設(shè)備、服務(wù)器及主機(jī)設(shè)備的現(xiàn)狀，結(jié)合工控系統(tǒng)運(yùn)行環(huán)境相對(duì)穩(wěn)定固化、系統(tǒng)更新頻率較低的特點(diǎn)，目前，各工控安全廠商提出了基于“白名單”機(jī)制的工控系統(tǒng)信息安全解決方案，通過(guò)對(duì)工控網(wǎng)絡(luò)流量、工程師站工作狀態(tài)等進(jìn)行監(jiān)控，收集并分析工控網(wǎng)絡(luò)數(shù)據(jù)及軟件運(yùn)行狀態(tài)，建立工控系統(tǒng)正常工作環(huán)境下的安全狀態(tài)基線和模型，進(jìn)而構(gòu)筑工控安全“白環(huán)境”，以確保只有可信任的設(shè)備才能接入工控網(wǎng)絡(luò)，只有可信任的消息才能在工控網(wǎng)絡(luò)上傳輸，只有可信任的軟件才允許被安裝并執(zhí)行，只有可信任的控制指令才能進(jìn)入控制器。邊界防護(hù)設(shè)備可以進(jìn)行正常通信行為建模，通過(guò)對(duì)正常通信行為學(xué)習(xí)后，對(duì)工控指令攻擊、控制參數(shù)修改、病毒和蠕蟲(chóng)等惡意代碼等攻擊行為進(jìn)行有效防護(hù)，減少惡意攻擊行為給工業(yè)控制系統(tǒng)帶來(lái)的安全風(fēng)險(xiǎn)。

4.3 數(shù)據(jù)保密防護(hù)

海上工控系統(tǒng)對(duì)數(shù)據(jù)保密性有較高的要求。隨著數(shù)據(jù)泄露情況的愈演愈烈，傳統(tǒng)的防火墻、反病毒軟件、入侵檢測(cè)等信息安全防護(hù)措施已難以獨(dú)立應(yīng)對(duì)。數(shù)據(jù)泄露防護(hù)系統(tǒng)DLP以數(shù)據(jù)為焦點(diǎn)、風(fēng)險(xiǎn)為驅(qū)動(dòng)，依據(jù)數(shù)據(jù)特點(diǎn)與應(yīng)用場(chǎng)景，在DLP平臺(tái)上按需靈活采用敏感內(nèi)容識(shí)別、加密、隔離等不同技術(shù)手段，防止敏感數(shù)據(jù)泄露和擴(kuò)散。

國(guó)際自控標(biāo)準(zhǔn)“ISA99”、“IEC 62443-2-1 Ed.1.0”在針對(duì)工控網(wǎng)絡(luò)安全所提出的標(biāo)準(zhǔn)中，均提出了“縱深防御”的多層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)，工控系統(tǒng)網(wǎng)絡(luò)可通過(guò)定義多層網(wǎng)絡(luò)結(jié)構(gòu)以及相應(yīng)的訪問(wèn)權(quán)限管理對(duì)外部訪問(wèn)進(jìn)行有效控制。例如，海上工控系統(tǒng)具有多平臺(tái)分布式特點(diǎn)，平臺(tái)間數(shù)據(jù)交換應(yīng)保持在過(guò)程控制網(wǎng)絡(luò)層面上（L1～L3層網(wǎng)絡(luò)），同時(shí)通過(guò)在L3.5上指定惟一數(shù)據(jù)通信出口與陸地?cái)?shù)據(jù)中心或外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換，來(lái)提高數(shù)據(jù)保密性。

針對(duì)工控系統(tǒng)末端節(jié)點(diǎn)的數(shù)據(jù)保密，可以通過(guò)身份認(rèn)證、加密控制以及使用日志的統(tǒng)計(jì)對(duì)內(nèi)部文件經(jīng)行控制。在辦公網(wǎng)與生產(chǎn)網(wǎng)之間加防泄密墻，實(shí)現(xiàn)對(duì)現(xiàn)場(chǎng)生產(chǎn)管理數(shù)據(jù)的安全防護(hù)。通過(guò)工控系統(tǒng)白名單的方式，在末端電腦上安裝管理軟件，可同時(shí)在軟件以及硬件層面上限制數(shù)據(jù)的傳播擴(kuò)散。

4.4 邊界防護(hù)

為滿足海上工控系統(tǒng)對(duì)網(wǎng)絡(luò)區(qū)域邊界防護(hù)的要求，在每套工控系統(tǒng)接口處均需部署可信網(wǎng)關(guān)/工業(yè)防火墻/網(wǎng)閘，對(duì)進(jìn)出的訪問(wèn)行為進(jìn)行有效的控制，防止非授權(quán)行為的任意接入，避免發(fā)生網(wǎng)絡(luò)惡意行為對(duì)工程師站、操作員等關(guān)鍵系統(tǒng)的破壞和非法操作。目前，工控系統(tǒng)主要包括過(guò)程控制、緊急停車(chē)、火氣報(bào)警系統(tǒng)以及集成包設(shè)備等，為保證各系統(tǒng)的安全性和可靠性，各系統(tǒng)的網(wǎng)絡(luò)應(yīng)相對(duì)獨(dú)立，安全系統(tǒng)應(yīng)獨(dú)立成網(wǎng)并具有對(duì)應(yīng)的安全認(rèn)證。通常撬裝設(shè)備子系統(tǒng)有獨(dú)立的網(wǎng)絡(luò)，撬裝設(shè)備與控制網(wǎng)絡(luò)之間也應(yīng)設(shè)置如Modbus之類的邊界防護(hù)設(shè)備，以保證網(wǎng)絡(luò)安全。

常見(jiàn)的工控防火墻對(duì)工控協(xié)議做了深度的解析，可以對(duì)操作人員和外網(wǎng)非法訪問(wèn)進(jìn)行基于IP、MAC、工控協(xié)議或任意組合方式的訪問(wèn)進(jìn)行控制。另外，用戶可以根據(jù)具體需求設(shè)置更細(xì)粒度的策略，如對(duì)某個(gè)工控協(xié)議的只讀、讀寫(xiě)或者禁用，防止數(shù)據(jù)被篡改或信息外泄。工控邊界防護(hù)設(shè)備應(yīng)支持通用防火墻會(huì)話狀態(tài)檢測(cè)、包過(guò)濾機(jī)制及工控協(xié)議的深度訪問(wèn)控制，同時(shí)也支持專用防火墻（針對(duì)控制器級(jí)別的專用防火墻）對(duì)核心設(shè)備的保護(hù)，阻止各類非授權(quán)訪問(wèn)行為。

4.5 Dos攻擊防護(hù)

按照FR7資源可用性系統(tǒng)要求，工控系統(tǒng)需滿足標(biāo)準(zhǔn)，以保證控制系統(tǒng)的可用性。工控系統(tǒng)對(duì)網(wǎng)絡(luò)的實(shí)時(shí)性和響應(yīng)速度有很高的要求，為了保證其可用性和高效性，可在邊界防護(hù)設(shè)備上開(kāi)啟異常報(bào)文檢測(cè)與異常流量檢測(cè)功能，以防止land攻擊、Teardrop攻擊、Ping of death以及各種Flood攻擊所導(dǎo)致的網(wǎng)絡(luò)或工控系統(tǒng)的癱瘓。同時(shí)，為保證海上平臺(tái)間的關(guān)斷信號(hào)在網(wǎng)絡(luò)通道中的安全傳輸，工控系統(tǒng)需要滿足相應(yīng)的安全等級(jí)認(rèn)證來(lái)確保緊急停車(chē)系統(tǒng)的安全關(guān)斷，確保緊急關(guān)斷信號(hào)傳輸?shù)陌踩浴⒖捎眯浴?/p>

5 主機(jī)信息安全

目前，海上平臺(tái)的工程師站均為Windows操作系統(tǒng)，工作站、DCS系統(tǒng)實(shí)時(shí)服務(wù)器等主機(jī)存在未使用的USB端口及光驅(qū)。為防止現(xiàn)場(chǎng)工程師使用未經(jīng)安全檢查的移動(dòng)介質(zhì)，在工控網(wǎng)設(shè)備上進(jìn)行上傳或下載數(shù)據(jù)信息操作，從而將病毒木馬帶入終端并通過(guò)終端擴(kuò)散到工控網(wǎng)絡(luò)的各個(gè)區(qū)域，最終致使整個(gè)工控網(wǎng)絡(luò)癱瘓，甚至造成人身安全，需要在主機(jī)上部署相應(yīng)的防護(hù)系統(tǒng)，避免工作站受到未知漏洞威脅，同時(shí)阻止操作人員的異常操作所帶來(lái)的危害。主機(jī)信息安全的防護(hù)主要體現(xiàn)在以下三個(gè)方面：

（1）主機(jī)操作系統(tǒng)防護(hù)。需支持操作系統(tǒng)完整性檢查，包括注冊(cè)表保護(hù)、配置文件保護(hù)、防止操作系統(tǒng)被惡意軟件破環(huán)等。

（2）阻止惡意代碼的執(zhí)行和擴(kuò)散。需滿足FR3中SR3.2惡意代碼的防護(hù)要求，采用防護(hù)機(jī)制來(lái)防止、檢測(cè)、報(bào)告和消減惡意代碼或非授權(quán)軟件的影響。通過(guò)白名單機(jī)制，可以有效阻止白名單外的程序、木馬、蠕蟲(chóng)等惡意代碼的執(zhí)行，進(jìn)而有效避免系統(tǒng)感染Flame、震網(wǎng)病毒、Havex、BlackEnergy等工控惡意代碼。同時(shí)，控制系統(tǒng)還應(yīng)提供更新防護(hù)機(jī)制的能力。

（3）移動(dòng)存儲(chǔ)管理。根據(jù)需要靈活控制安全U盤(pán)和普通U盤(pán)的“禁用、只讀、可讀寫(xiě)”權(quán)限。在信息安全源頭解決病毒、木馬、蠕蟲(chóng)、等惡意代碼的入侵及傳播。

6 安全審計(jì)

為滿足FR6對(duì)事件的及時(shí)響應(yīng)要求，可在海上工控網(wǎng)絡(luò)中部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，對(duì)工控網(wǎng)絡(luò)中的控制系統(tǒng)、主站系統(tǒng)和信息安全產(chǎn)品的操作行為進(jìn)行審計(jì)，以保證觸發(fā)審計(jì)系統(tǒng)的事件存儲(chǔ)在審計(jì)系統(tǒng)內(nèi)，并且能夠根據(jù)存儲(chǔ)的記錄和操作者的權(quán)限進(jìn)行查詢、統(tǒng)計(jì)、管理、維護(hù)等操作，并且能夠在必要時(shí)從記錄中抽取所需要的資料。

安全審計(jì)通過(guò)收集并分析系統(tǒng)日志等數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為。與防火墻相比，安全審計(jì)主要側(cè)重于事后分析，即當(dāng)發(fā)生安全事故或者發(fā)生違反安全策略的行為之后，通過(guò)檢查、分析、比較審計(jì)系統(tǒng)收集的數(shù)據(jù)，從中發(fā)現(xiàn)違反安全策略（入侵檢測(cè)、惡意接入、流量監(jiān)控等）的行為。

采用具有報(bào)警分析能力的高級(jí)報(bào)警管理技術(shù)，通過(guò)報(bào)警分級(jí)等手段將最重要的信息展現(xiàn)在操作員面前，從而可對(duì)報(bào)警的產(chǎn)生進(jìn)行多方面分析，并在生產(chǎn)工藝層面進(jìn)行優(yōu)化，消除不必要報(bào)警，進(jìn)一步提高響應(yīng)效率。

7 結(jié)束語(yǔ)

本文從GB/T30976標(biāo)準(zhǔn)出發(fā)，針對(duì)海上油氣田工業(yè)控制系統(tǒng)應(yīng)用的主要風(fēng)險(xiǎn)，提出海上油氣田工控系統(tǒng)安全整體防護(hù)設(shè)計(jì)理念，通過(guò)與標(biāo)準(zhǔn)對(duì)照，提出防護(hù)方案及設(shè)計(jì)要點(diǎn)要求，對(duì)企業(yè)工控系統(tǒng)信息安全的防御具有一定的現(xiàn)實(shí)意義。■

Research on the Safety of Offshore Oil & Gas Field Industrial Control System Based on GB / T 30976

Kang Siwei，Deng Jing，Xue Hailin, Yi Fei
(CNOOC China Limited Shanghai Branch, Shanghai, 200335)

Based on the national evaluation standards, this paper puts forward the design of the overall safety protection of the industrial control system for offshore oil and gas felds, from the aspects of network security, host security and audit, aiming at the main risks of the industrial control system.

industrial control system security; white list

10.3969/J.ISSN.1672-7274.2017.02.006

TN915.08，TP393

A

1672-7274（2017）02-0025-04