楊樂

(浙江中控技術(shù)股份有限公司，浙江 杭州 310053)

分散控制系統(tǒng)信息安全方案探討

楊樂

(浙江中控技術(shù)股份有限公司，浙江 杭州 310053)

根據(jù)信息安全問題的設(shè)計目標(biāo)和原則，基于煉化一體化項目特征，提出將分散控制系統(tǒng)(DCS)信息安全分析、信息安全防護(hù)結(jié)構(gòu)、信息安全管理體系建設(shè)等要素相結(jié)合的設(shè)計方案。通過信息安全分析對威脅、脆弱性以及影響給予全面評估，依據(jù)規(guī)范要求進(jìn)行網(wǎng)絡(luò)分層后，在防護(hù)結(jié)構(gòu)上設(shè)計逐級防護(hù)方案解決信息安全中企業(yè)易忽視的一些關(guān)鍵問題，討論以信息安全管理體系保障企業(yè)持續(xù)改進(jìn)、實現(xiàn)企業(yè)信息安全管理的目標(biāo)。

分散控制系統(tǒng) 信息安全 防護(hù)結(jié)構(gòu) 管理體系

中國是石油生產(chǎn)和消費大國，煉油能力從2000年的2.76×108t/a提高到2015年底的7.10×108t/a[1]。在能源矛盾日益突出的大背景下，技術(shù)進(jìn)步必然成為國內(nèi)石油、石化行業(yè)發(fā)展的重要推動力，隨著煉油、乙烯及煉化一體化項目的應(yīng)運而生，呈現(xiàn)出大型化、一體化和智能化的發(fā)展趨勢，要求控制系統(tǒng)必須符合大規(guī)模、高實時性、高可靠性、高效率等技術(shù)要求。

以分散控制系統(tǒng)(DCS)為代表的工業(yè)控制系統(tǒng)(ICS)已廣泛應(yīng)用于石油化工行業(yè)，ICS逐步從封閉、孤立的系統(tǒng)走向互聯(lián)網(wǎng)。由于長期缺乏相關(guān)安全需求的推動，當(dāng)前大多數(shù)的ICS都普遍存在著各種各樣的安全隱患，一旦面臨病毒、惡意軟件、黑客入侵等安全攻擊，將嚴(yán)重干擾甚至破壞控制系統(tǒng)甚至嚴(yán)重威脅基礎(chǔ)設(shè)施自身安全乃至國家安全。2010年針對伊朗布什爾核燃料提煉工廠的Stuxnet“震網(wǎng)”，2015年12月烏克蘭電力系統(tǒng)遭高度破壞性惡意軟件攻擊導(dǎo)致大規(guī)模停電事件等，均引起了巨大反響。ICS的安全威脅絕非杞人憂天，2011年9月，工業(yè)與信息化部發(fā)布“關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知”，明確了重點領(lǐng)域ICS信息安全管理的要求。2016年11月，全國人大常委會第二十四次會議通過《網(wǎng)絡(luò)安全法》等，政府及各相關(guān)部門對信息安全極為重視[2]。

鑒于大型煉化一體化項目在國民經(jīng)濟(jì)中的地位，其信息安全問題至關(guān)重要，對于大型煉化一體化項目至今鮮有針對性的信息安全研究分析。結(jié)合筆者參與的安慶石化、九江石化等千萬噸級煉油等大型煉化一體化項目信息安全設(shè)計問題，文中對系統(tǒng)架構(gòu)及方案設(shè)計進(jìn)行了全面探討，以期對同類項目設(shè)計乃至石油、石化行業(yè)項目設(shè)計信息安全研究及實踐提供參考。

1 信息安全方案設(shè)計目標(biāo)與原則

對于煉化一體化項目的信息安全問題，作為承擔(dān)主要設(shè)計任務(wù)的信息專業(yè)人員，因缺乏對ICS的了解而使信息安全問題容易成為工作界面的真空地帶，存在著重大的安全隱患。信息安全事件無一不是從小問題上被攻擊，繼而全面爆發(fā)造成嚴(yán)重后果。一些企業(yè)在信息安全事件的驅(qū)動下，在大型項目設(shè)計上考慮配置防火墻等硬件設(shè)備或防病毒軟件，認(rèn)為這就實現(xiàn)了信息安全，顯然，這種理解是片面的。

筆者認(rèn)為，DCS信息安全的設(shè)計關(guān)鍵目標(biāo)應(yīng)全面分析DCS以及與DCS相關(guān)的ICS的脆弱性，包括硬件、軟件、過程以及人為因素等，確定哪些措施能限制這些因素，最終保證系統(tǒng)運行的可用性、完整性、機(jī)密性，全面增強(qiáng)系統(tǒng)自身的魯棒性。因此，用戶應(yīng)從以下幾個方面出發(fā)，針對信息安全問題建立有效的機(jī)制：

1) 人員的信息安全意識要到位。

2) 需要對設(shè)備管理與風(fēng)險進(jìn)行充分分析。

3) 需要設(shè)計滿足要求的防御體系進(jìn)行防護(hù)。

4) 需要引入網(wǎng)絡(luò)監(jiān)測或系統(tǒng)監(jiān)視機(jī)制等。

5) 需要具備及時獲取信息、識別有潛在影響的威脅、提升脆弱性的識別能力。

6) 需要建立事件響應(yīng)機(jī)制。

7) 需要建立災(zāi)難恢復(fù)計劃。

2 煉化一體化項目信息安全方案設(shè)計

煉化一體化項目的DCS信息安全問題并不是單個業(yè)務(wù)部門、單套硬件設(shè)備等能解決的孤立問題，而是應(yīng)從防護(hù)結(jié)構(gòu)設(shè)計、安全評估、管理體系等要求出發(fā)，妥善考慮并持續(xù)改進(jìn)的系統(tǒng)性問題。結(jié)合近期實施的一些大型煉化一體化項目，筆者認(rèn)為安全分析是前提，防護(hù)結(jié)構(gòu)設(shè)計是核心，管理體系是保障，三者缺一不可。

2.1 DCS信息安全分析

煉化一體化項目DCS安全評估涉及DCS設(shè)備、工藝特點、DCS脆弱性與威脅等要素，并充分考慮石油化工行業(yè)的復(fù)雜性、重要性、可用性要求、安全事件、殘余風(fēng)險、安全需求等屬性，核心任務(wù)是對威脅、脆弱性及其影響進(jìn)行評估，在此基礎(chǔ)上對風(fēng)險進(jìn)行分析并確定優(yōu)先級排序，最終對DCS安全進(jìn)行綜合評估，分析流程如圖1所示。

圖1 DCS信息安全分析流程示意

針對大型煉化一體化項目，應(yīng)在安全評估后、投運前或檢修期間再次對DCS進(jìn)行風(fēng)險與脆弱性檢查，目的是在保證DCS安全評估的基礎(chǔ)上，通過對DCS的軟件和系統(tǒng)通信安全的風(fēng)險和脆弱性檢測，發(fā)現(xiàn)現(xiàn)有DCS中潛在的安全風(fēng)險和漏洞。通過對潛在風(fēng)險的處置，進(jìn)一步提高DCS的安全性，檢測內(nèi)容包括：

1) DCS軟件安全風(fēng)險與脆弱性檢測。涉及操作員站操作系統(tǒng)、實時數(shù)據(jù)庫軟件、OPC軟件、人機(jī)交互軟件、監(jiān)控軟件等。

2) DCS網(wǎng)絡(luò)通信協(xié)議安全風(fēng)險與脆弱性檢測。涉及以太網(wǎng)協(xié)議通信機(jī)制檢測、工業(yè)網(wǎng)絡(luò)協(xié)議通信機(jī)制檢測、DCS通信數(shù)據(jù)安全檢測、DCS通信服務(wù)檢測、DCS狀態(tài)及轉(zhuǎn)換檢測等。

結(jié)合系統(tǒng)安全要求，針對檢測出的潛在風(fēng)險對DCS的安全影響進(jìn)行分析，依照DCS的安全目標(biāo)確定潛在風(fēng)險是否可被接受；對于不可接受的潛在風(fēng)險，進(jìn)行相應(yīng)的處理。

2.2 防護(hù)結(jié)構(gòu)設(shè)計

2.2.1 網(wǎng)絡(luò)分層

根據(jù)SH/T 3092—2013《石油化工分散控制系統(tǒng)設(shè)計規(guī)范》[3]，DCS總體結(jié)構(gòu)可分為過程控制層、操作監(jiān)控層和數(shù)據(jù)服務(wù)層，向上通過接口連接生產(chǎn)運行管理層。規(guī)范規(guī)定工廠管理網(wǎng)與DCS的過程控制網(wǎng)之間應(yīng)設(shè)置防火墻，要求工廠管理網(wǎng)在內(nèi)的外部管理數(shù)據(jù)接口、與DCS功能相關(guān)的第三方的應(yīng)用計算機(jī)及網(wǎng)絡(luò)等，應(yīng)通過數(shù)據(jù)服務(wù)層的過程數(shù)據(jù)接口服務(wù)器交換數(shù)據(jù)，并規(guī)定了網(wǎng)絡(luò)分區(qū)辦法等，如圖2所示。

圖2 煉化一體化項目網(wǎng)絡(luò)分層設(shè)計示意

煉化一體化項目首先應(yīng)規(guī)范網(wǎng)絡(luò)架構(gòu)設(shè)計，嚴(yán)格將生產(chǎn)調(diào)度管理、生產(chǎn)分析、油品調(diào)和、罐區(qū)管

理、控制優(yōu)化、OPC服務(wù)器、Web服務(wù)器等部署在數(shù)據(jù)服務(wù)層；將工程師站、操作員站、歷史記錄工作站、IDM操作站、ODS監(jiān)控站、實時數(shù)據(jù)庫等，與現(xiàn)場監(jiān)視控制實時相關(guān)的系統(tǒng)部署在同一層形成操作監(jiān)控層，兩網(wǎng)之間采用技術(shù)手段保證不直接相連；同時將監(jiān)控層以下的現(xiàn)場控制層進(jìn)行細(xì)分。過程控制層和數(shù)據(jù)監(jiān)控層按操作或管理進(jìn)行網(wǎng)絡(luò)分區(qū)，劃分為不同的子網(wǎng)或虛擬局域網(wǎng)(VLAN)，確保數(shù)據(jù)傳輸至正確的節(jié)點。

DCS核心的控制網(wǎng)絡(luò)、通信網(wǎng)絡(luò)等必須進(jìn)行冗余設(shè)計，關(guān)鍵的實時數(shù)據(jù)、歷史數(shù)據(jù)、OPC數(shù)據(jù)、組態(tài)數(shù)據(jù)等也需要定時備份。

2.2.2 威脅分析

簡要分析圖2所示在每一層所采用的協(xié)議與存在的威脅，可得表1所列的結(jié)果。

表1 煉化一體化項目DCS網(wǎng)絡(luò)分層設(shè)計及威脅分析

2.2.3 防護(hù)結(jié)構(gòu)設(shè)計

在煉化一體化項目中，DCS強(qiáng)調(diào)的是工業(yè)自動化過程及相關(guān)設(shè)備的智能控制、監(jiān)測與管理。DCS在系統(tǒng)架構(gòu)、設(shè)備操作、通信協(xié)議等方面與普通IT信息系統(tǒng)存在較大差異，DCS更為關(guān)注系統(tǒng)的實時性與業(yè)務(wù)連續(xù)性。因此，僅依靠某一項單獨的防護(hù)技術(shù)不足以防御威脅，針對表1的分層設(shè)計及面臨的主要威脅分析，需要采用多層信息安全防護(hù)結(jié)構(gòu)，在不同安全和可靠性需求的層次執(zhí)行不同等級的通信機(jī)制，通?？梢蕴岢霾捎梅雷o(hù)軟件的部署、防護(hù)設(shè)備的部署、技術(shù)防護(hù)以及深層防御等來實現(xiàn)防護(hù)。

對于圖2提出的煉化一體化項目網(wǎng)絡(luò)分層設(shè)計，文中提出了逐級防護(hù)結(jié)構(gòu)。

1) 引入DMZ區(qū)。由于L4層與L1～L3層保護(hù)等級不同以及需求差異，因而在L4層和L3層之間引入L3.5層DMZ進(jìn)行邊界防護(hù)，在DMZ區(qū)放置向L4層提供數(shù)據(jù)服務(wù)和向L3層下達(dá)生產(chǎn)指令的服務(wù)器，并采用雙防火墻架構(gòu)分別保證向上L4層和向下L3層的數(shù)據(jù)通信安全。

2) 入侵容忍。作為直接與控制對象連接的L1層、可通過攻擊誘騙等進(jìn)行間接攻擊的L2層、與L2互聯(lián)互通的L3層，這3層的防護(hù)可謂重中之重。但相比DCS的可用性、實時性、可靠性和安全性等系統(tǒng)性能，信息安全防護(hù)只能是次一級目標(biāo)，如果一旦與性能目標(biāo)沖突，信息安全防護(hù)往往只能被迫撤銷，這種機(jī)制被稱為“入侵容忍”[4]?！叭肭秩萑獭辈⒉灰馕对贚1～L3層可以不設(shè)防，實際上許多企業(yè)在這三層的防護(hù)是最為薄弱的，一旦突破邊界防護(hù)進(jìn)入則意味著攻擊者可以長驅(qū)直入，無疑存在安全隱患。因此，在確保系統(tǒng)性能目標(biāo)的前提下，采用如下防御方案：

a) 在L3層設(shè)置入侵檢測與防護(hù)的審計平臺。設(shè)置入侵檢測與防護(hù)設(shè)備能夠監(jiān)視邊界處的常見網(wǎng)絡(luò)攻擊行為，如端口掃描攻擊、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲等。在檢測到攻擊行為時，實時記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，并提供報警。目前網(wǎng)絡(luò)監(jiān)控平臺大多由信息安全設(shè)備廠家提供，但由于缺乏對DCS控制網(wǎng)協(xié)議的深入解析，實際上這種檢測與防護(hù)功能并不完整，因而DCS廠商應(yīng)開發(fā)并提供適用于DCS通信協(xié)議的網(wǎng)絡(luò)監(jiān)測、審計與防護(hù)功能的平臺。

b) 在L2層提供統(tǒng)一管理平臺。具體策略可包括： 采用嚴(yán)格的身份認(rèn)證，建立DCS組態(tài)修改監(jiān)視模型，如發(fā)現(xiàn)非授權(quán)組態(tài)修改或非法修改則立即報警，在操作站安裝“白名單”技術(shù)的防病毒軟件，設(shè)置補丁管理服務(wù)器等。

c) 在L1層設(shè)置安全防護(hù)屏障。采用符合安全認(rèn)證的控制器或控制防火墻、嵌入式設(shè)備、主機(jī)設(shè)備等系統(tǒng)部件，同時采用漏洞掃描和模糊測試的Achilles測試體系等，用戶可通過技術(shù)要求促使DCS廠商開發(fā)通過認(rèn)證的核心部件。

3) 妥善應(yīng)用物理層通信協(xié)議。在物理層，DCS的I/O通道和控制對象直接連接，是最終的攻擊對象，為了保護(hù)工業(yè)過程免除攻擊，往往通過設(shè)置安全儀表系統(tǒng)(SIS)來建立最終的物理安全保護(hù)線，因而在信息安全技術(shù)未完全成熟前，SIS應(yīng)暫緩應(yīng)用無線技術(shù)或采用未通過安全認(rèn)證的通信協(xié)議進(jìn)行通信，避免引入新的風(fēng)險點。

2.3 信息安全管理體系

煉化一體化項目應(yīng)在企業(yè)信息安全的管理體系總體框架或環(huán)境下，建立、實施、運行、監(jiān)視、評審、保持與改進(jìn)規(guī)范化的DCS信息安全管理體系，具體包括：

1) 建立信息安全管理體系。建立與管理DCS安全風(fēng)險和改進(jìn)DCS信息安全有關(guān)的方針、目標(biāo)、過程和規(guī)程，識別DCS關(guān)鍵業(yè)務(wù)流程、技術(shù)流程，確定DCS與第三方的通信接口，對業(yè)務(wù)系統(tǒng)進(jìn)行等級劃分，識別危害場景，開展風(fēng)險評估，分析和評價風(fēng)險等。

2) 實施與運行安全管理體系。建立安全政策、人員意識培訓(xùn)，進(jìn)行風(fēng)險管理與實施，進(jìn)行系統(tǒng)開發(fā)與維護(hù)，確定文件管理等制度，明確信息安全事件規(guī)劃與響應(yīng)。

3) 監(jiān)視與評審安全管理體系。對照方針、目標(biāo)和實踐經(jīng)驗，評估測量安全管理過程的執(zhí)行情況，并將結(jié)果提交給管理者評審；建立符合信息安全管理的測量體系，審計文件跟蹤制度，建立懲罰性措施等。

4) 保持和改進(jìn)安全管理體系。建立專門負(fù)責(zé)管理體系改進(jìn)和實施的部門或團(tuán)隊；定期評估管理體系，建立一系列的觸發(fā)條件評價體系，如重大信息安全事件、DCS結(jié)構(gòu)重大變動等；識別改進(jìn)與預(yù)防措施，可容忍風(fēng)險評審，監(jiān)視與評估策略，法律法規(guī)或行業(yè)標(biāo)準(zhǔn)監(jiān)視以及安全建議反饋等。

3 結(jié)束語

結(jié)合大型煉化一體化項目對于信息安全問題的考慮，根據(jù)設(shè)計目標(biāo)和原則，文中詳細(xì)研究了DCS信息安全的結(jié)構(gòu)及防護(hù)設(shè)計、安全分析以及管理體系建設(shè)等問題。

信息安全成為近期討論的熱點話題，已受到越來越多的關(guān)注。DCS廠商正在逐步完善自身防護(hù)方案，展望未來，筆者認(rèn)為有如下問題亟需得到解決：

1) 盡快推出適用于石油化工行業(yè)大型項目DCS的信息安全標(biāo)準(zhǔn)，規(guī)范DCS結(jié)構(gòu)設(shè)計等，規(guī)范邊界防護(hù)設(shè)備選型和各層級安全配置，避免因招標(biāo)成本限制出現(xiàn)防護(hù)功能缺失或漏配。

2) 推行適用于國內(nèi)大型項目建設(shè)需求的產(chǎn)品安全認(rèn)證，要求DCS廠商推出符合認(rèn)證的核心部件，如控制器、內(nèi)建網(wǎng)絡(luò)防火墻等；推出可適用于DCS的網(wǎng)絡(luò)檢測及審計平臺等。

3) 企業(yè)內(nèi)儀表專業(yè)人員應(yīng)與信息部門人員深入交流，推行適合本企業(yè)的信息安全管理體系建設(shè)，從根本上保障信息安全防護(hù)無疏漏，并將系統(tǒng)信息安全意識灌輸給企業(yè)全體人員。

[1] 白雪松.2013年中國煉油行業(yè)發(fā)展回顧及2014年展望[J].化工工業(yè)，2014，32(04)： 12-17.

[2] 中控信息安全測評中心.2015年ICS信息安全態(tài)勢分析[J].中國信息安全，2016(04)： 69-73.

[3] 楊剛，馮欣，葉向東，等.SH/T 3092—2013石油化工分散控制系統(tǒng)設(shè)計規(guī)范[S].北京： 中國石化出版社，2013.

[4] Huang Shuang, Zhou Chunjie, Yang Shuanghua, et al. Cyber-physical System Security for Networked Industrial Processes[J]. International Journal of Automation and Computing, 2015, 12(06)： 567-578.

[5] 肖建榮.ICS信息安全[M].北京： 電子工業(yè)出版社，2015.

[6] William K, Daniel P, David H, et al. A Survey of Cybersecurity Management in Industrial Control Systems[J]. International Journal of Critical Infrastructure Protection, 2015， 9(S1)： 52-80.

[7] 范宗海，于寶全.大型煉化一體化項目DCS網(wǎng)絡(luò)安全策略[J].石油化工自動化，2010，46(03)： 1-6.

[8] 鄭文奇，鐘晨，申屠久，洪，等.工業(yè)控制系統(tǒng)信息安全評估和改造[J].自動化應(yīng)用，2016(11)： 90-92.

[9] 黃惠萍，肖世德，孟祥印.基于攻擊樹的工業(yè)控制系統(tǒng)信息安全風(fēng)險評估[J].計算機(jī)應(yīng)用研究，2015，32(10)： 3022-3025.

Discussion on Information Security Design of Distributed Control System

Yang Le

(Zhejiang SUPCON Technology Co.Ltd., Hangzhou, 310053, China)

According to design goals and principles of information security, based on characteristics of refinery and petrochemical integrated project, design scheme with combination of three factors of distributed control system (DCS) information security analysis, information security protection structure, and information security management system construction is put forward. Comprehensive assessment on threats, vulnerability and impact is studied through analysis on information security. After network layering according to specification requirements, layer protection for solving some key problems easily being neglected by enterprises is designed in protection structure. Management system to guarantee sustainable improvement and to realize information security management goal for enterprises is discussed.Key words： distributed control system; information security; protection structure; management system

楊樂(1974—)，男，浙江德清人，畢業(yè)于浙江大學(xué)控制理論與控制工程專業(yè)，獲博士學(xué)位，現(xiàn)就職于浙江中控技術(shù)股份有限公司，研究方向為自動化控制系統(tǒng)設(shè)計、工業(yè)控制系統(tǒng)信息安全等，任大客戶中心副總監(jiān)。

TP273

B

1007-7324(2017)03-0001-04

稿件收到日期： 2016-12-21，修改稿收到日期： 2017-02-13。