◆李 季

（廣州地鐵集團有限公司 廣東 510330）

隨著兩化融合在煉化行業(yè)中加速發(fā)展，石化和化工企業(yè)普遍采用了高度自動化的生產(chǎn)技術(shù)裝備和高度信息化的運營管理手段，極大地提升了生產(chǎn)效率。與此同時，嚴(yán)峻的網(wǎng)絡(luò)安全風(fēng)險也如影隨形。煉化廠工控系統(tǒng)的網(wǎng)絡(luò)化、智能化在提高生產(chǎn)效率和管理效率的同時，也為惡意攻擊者增加了新的攻擊途徑，針對工控系統(tǒng)的攻擊技術(shù)和手段不斷發(fā)展，各種工控系統(tǒng)惡意軟件以及安全事件層出不窮，使得工控系統(tǒng)面臨越來越多的安全威脅和挑戰(zhàn)。煉油行業(yè)網(wǎng)絡(luò)信息安全防護有其特殊性。一是其防護的攻擊主體特殊，與以謀財、牟利為目的的網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)入侵等傳統(tǒng)網(wǎng)絡(luò)攻擊所不同，產(chǎn)業(yè)入侵者不會是一般意義上的“黑客”，而很可能是恐怖組織甚至是敵對國家力量支撐的組織；二是遭受攻擊破壞后果嚴(yán)重，大型煉油或化工裝置的關(guān)鍵設(shè)施一旦遭受攻擊，會直接威脅到國民經(jīng)濟的發(fā)展和社會安定[1]。

1 煉化廠工控系統(tǒng)現(xiàn)狀分析

1.1 脆弱性分析

（1）操作系統(tǒng)

煉化廠工作站多數(shù)采用 Windows操作系統(tǒng)，一般系統(tǒng)上線后，很少對工作站和服務(wù)器很少打補丁，存在系統(tǒng)漏洞，系統(tǒng)安全配置未啟用或配置薄弱，從而埋下安全隱患。另一方面，防病毒軟件的安裝不全面，即使安裝后也不及時更新防惡意代碼軟件版本和惡意代碼庫[2]。

（2）應(yīng)用軟件

工控系統(tǒng)的監(jiān)控軟件（組態(tài)軟件）、OPC軟件、APC優(yōu)化控制軟件、網(wǎng)絡(luò)管理軟件等應(yīng)用系統(tǒng)，由于應(yīng)用軟件多種多樣，很難形成統(tǒng)一的防護規(guī)范以應(yīng)對安全問題，有可能存在較大的權(quán)限泄露風(fēng)險[2]。

（3）控制設(shè)備

在煉化廠的工控系統(tǒng)中，絕大多數(shù)采用的是國外的品牌，如霍尼韋爾、橫河、西門子、羅杰康等。這些設(shè)備已暴露出大量的漏洞甚至后門，一方面在網(wǎng)絡(luò)互聯(lián)狀態(tài)下存在生產(chǎn)數(shù)據(jù)泄漏風(fēng)險，另一方面現(xiàn)場控制設(shè)備基本沒有安全防護能力，不法人員利用設(shè)備漏洞可以對現(xiàn)場設(shè)備進行篡改和惡意控制。這些漏洞一旦被利用，造成的攻擊不堪設(shè)想、損失不可估計。

（4）工業(yè)協(xié)議

在煉化系統(tǒng)中大量采用OPC協(xié)議通信，而OPCClassic協(xié)議(OPCDA，OPCHAD和OPCA&E)基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認(rèn)識之前設(shè)計的，極易受到攻擊，并且OPC通訊采用不固定的端口號。同時，DCOM配置要求OPC服務(wù)端和多個OPC客戶端使用相同用戶名和口令，OPC客戶端有對服務(wù)端數(shù)據(jù)進行讀取、修改等全部的訪問權(quán)限，不滿足最小授權(quán)原則，造成采集數(shù)據(jù)安全性無法得到保障[3]。

（5）工程師站

工程師站缺少身份認(rèn)證和接入控制策略，且操作權(quán)限大，便攜式工程師站成為工控安全的重大隱患。工程師站對操作站、DCS控制器的組態(tài)行為一般無身份認(rèn)證和訪問控制，并且擁有最高的操作權(quán)限，可以任意修改控制邏輯和流程，非法的工程師站成為工控安全的重大隱患。有些行業(yè)工程師站登陸過程缺少身份認(rèn)證，且工程師站對操作站、控制器等進行組態(tài)時均缺乏身份認(rèn)證，存在任意工程師站可以對操作站、現(xiàn)場設(shè)備直接組態(tài)的可能性。

（6）廣播風(fēng)暴

在一些較大型的煉化網(wǎng)絡(luò)中，當(dāng)大量廣播信息，如地址查詢等同時在網(wǎng)絡(luò)中傳播時，會發(fā)生數(shù)據(jù)包的碰撞。隨后，網(wǎng)絡(luò)試圖緩解這些碰撞并重傳更多的數(shù)據(jù)包，結(jié)果導(dǎo)致全網(wǎng)的可用帶寬阻塞，并最終使得網(wǎng)絡(luò)失去鏈接而癱瘓，該過程稱為廣播風(fēng)暴[4]。另外現(xiàn)在的蠕蟲病毒往往占據(jù)計算機的資源，使應(yīng)用程序無法響應(yīng)系統(tǒng)的要求，造成系統(tǒng)的堵塞或崩潰。

1.2 安全分析

（1）網(wǎng)絡(luò)邊界模糊，缺少控制措施

煉化廠過程控制層與生產(chǎn)監(jiān)控層之間、各生產(chǎn)車間之間以及不同功能監(jiān)控系統(tǒng)之間，系統(tǒng)邊界不清晰，邊界訪問控制策略缺失，無法保障工控網(wǎng)絡(luò)、生產(chǎn)設(shè)備安全。

例如，煉化系統(tǒng)DCS過程監(jiān)控層與生產(chǎn)管理網(wǎng)的OPC數(shù)采機連接處、先進控制系統(tǒng)的連接處以及操作員站之間的連接處缺少訪問控制措施，網(wǎng)絡(luò)連接處易受病毒侵襲風(fēng)險。OPC協(xié)議在使用過程中，OPC服務(wù)端和多個OPC客戶端使用相同用戶名和口令。OPC客戶端有對服務(wù)端數(shù)據(jù)進行讀取、修改等全部的訪問權(quán)限，不滿足最小授權(quán)原則[5]。

（2）缺少網(wǎng)絡(luò)安全審計

煉化廠內(nèi)部控制系統(tǒng)及網(wǎng)絡(luò)缺乏安全監(jiān)測與審計機制，不能及時了解網(wǎng)絡(luò)狀況（如違規(guī)操作、病毒木馬入侵、關(guān)鍵配置變更、網(wǎng)絡(luò)風(fēng)暴等），一旦發(fā)生問題不能及時確定問題所在，不能及時排查到故障點，排查過程耗費大量人力成本、時間成本。

（3）主機帶“洞”運行，存在諸多安全隱患

煉化系統(tǒng)現(xiàn)場工程師站、操作員站大多數(shù)安裝的是Windows操作系統(tǒng)，由于傳統(tǒng) DCS控制系統(tǒng)內(nèi)外網(wǎng)的完全隔離的網(wǎng)絡(luò)結(jié)構(gòu)特點及應(yīng)用軟件兼容性等方面的考慮，操作系統(tǒng)基本上不進行任何補丁的更新，這也為針對操作系統(tǒng)漏洞的攻擊提供了可能。

另外，用于工控系統(tǒng)的 Windows操作系統(tǒng)基于工控軟件與殺毒軟件的兼容性的考慮，通常不安裝殺毒軟件，給病毒與惡意代碼傳染與擴散留下了空間[6-7]。

（4）缺少安全日志收集手段

像DCS、PLC、SCADA等系統(tǒng)都存有日志，定期進行管理；而對交換機、防火墻等網(wǎng)絡(luò)設(shè)備、安全設(shè)備的運行日志沒用過多關(guān)注，缺乏對日志的審計，無法第一時間感知系統(tǒng)威脅。

（5）缺少運維審計手段

大型DCS系統(tǒng)的運維服務(wù)一般交由廠商或系統(tǒng)集成商委托運維，如先進控制系統(tǒng)（APC）一般由第三方軟件供應(yīng)商提供，針對第三方對系統(tǒng)的運維缺少必要的運維審計措施，運維行為不可控，是否合規(guī)無法感知，存在重大的安全隱患，需要加強監(jiān)管。

（6）上線前未測試，系統(tǒng)帶“病”運行

一些煉化的工控系統(tǒng)在上線前未進行安全性測試，系統(tǒng)上線后存在大量安全風(fēng)險漏洞，安全配置薄弱，甚至有的系統(tǒng)帶毒工作。

存在使用移動存儲介質(zhì)不規(guī)范問題，易引入病毒及黑客攻擊程序。在工控系統(tǒng)運維和使用過程中，存在隨意使用U盤、光盤、移動硬盤等移動存儲介質(zhì)現(xiàn)象，有可能傳染病毒、木馬等威脅工控系統(tǒng)。

2 煉化廠工控系統(tǒng)安全防護設(shè)計

2.1 防護思路

（1）安全分區(qū)

根據(jù)工控系統(tǒng)業(yè)務(wù)的重要性、功能等因素劃分不同安全區(qū)，在各安全區(qū)之間采取相應(yīng)的隔離措施；另外也要從綜合成本的角度，提出針對不同工控系統(tǒng)特點的保護強度，在不影響整體安全性的前提下，有效控制安全成本。

（2）“白名單”基線

應(yīng)從工控系統(tǒng)設(shè)備準(zhǔn)入、操作行為、通訊鏈路、主機進程等方面構(gòu)建白名單安全基線。

（3）縱深防御體系

應(yīng)構(gòu)建多方面、多層次、多手段的技術(shù)安全防護體系（涉及邊界防護、訪問控制、接入管控、異常檢測、終端加固、流量基線、行為白名單、進程白名單以及U盤管控等方面）。

（4）綜合審計

建立多方面綜合立體審計體系，包括設(shè)備接入審計、網(wǎng)絡(luò)審計、操作審計及安全運維審計等。

（5）統(tǒng)一安全管理

通過統(tǒng)一安全管理平臺實時搜集，大數(shù)據(jù)關(guān)聯(lián)分析，實時動態(tài)發(fā)現(xiàn)工控系統(tǒng)網(wǎng)絡(luò)中的風(fēng)險并預(yù)警。有效提高信息安全工作效率，降低人員安全維護成本，提升企業(yè)生產(chǎn)業(yè)務(wù)系統(tǒng)的整體安全防護水平。

2.2 安全架構(gòu)設(shè)計

依據(jù)上述安全現(xiàn)狀和防護思路，煉化廠工控系統(tǒng)安全架構(gòu)設(shè)計如圖1所示。

（1）邊界防護

邊界在防護產(chǎn)品通常以串接方式接入，部署在工控以太網(wǎng)與企業(yè)管理網(wǎng)絡(luò)之間、工廠的不同區(qū)域之間，或者控制層與現(xiàn)場設(shè)備層之間。通過一定的訪問控制策略，對工控系統(tǒng)邊界、工控系統(tǒng)內(nèi)部區(qū)域邊界進行保護。

在生產(chǎn)管理層與企業(yè)資源層之間部署網(wǎng)閘設(shè)備，進行APC網(wǎng)絡(luò)與生產(chǎn)網(wǎng)進行邊界安全防護。過程監(jiān)控網(wǎng)和生產(chǎn)管理層之間部署工業(yè)防火墻設(shè)備，基于工控協(xié)議配置合理的主機訪問規(guī)則，并針對工業(yè)控制網(wǎng)絡(luò)在同一個大網(wǎng)的情況，通過ACL等安全訪問策略的配置對生產(chǎn)網(wǎng)絡(luò)進行邏輯分區(qū)。

圖1 煉化廠工控系統(tǒng)安全防護架構(gòu)設(shè)計

（2）網(wǎng)絡(luò)審計

部署在過程監(jiān)控層與過程控制層之間的交換機上的監(jiān)測引擎通過鏡像接口分析 DCS系統(tǒng)中的網(wǎng)絡(luò)流量，及時發(fā)現(xiàn)網(wǎng)絡(luò)流量或設(shè)備的異常情況并告警，通常不會主動阻斷通信，產(chǎn)品自身的故障不會直接影響工控系統(tǒng)的正常運行。

工控網(wǎng)絡(luò)監(jiān)測與審計系統(tǒng)對工控網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量進行采集、監(jiān)測和分析，有效識別工控網(wǎng)絡(luò)中的安全隱患、惡意攻擊以及違規(guī)操作等安全風(fēng)險。

工控網(wǎng)絡(luò)監(jiān)測與審計系統(tǒng)可以有效預(yù)警類似伊朗“震網(wǎng)”事件、烏克蘭電網(wǎng)事件的惡意攻擊。

工控網(wǎng)絡(luò)監(jiān)測與審計系統(tǒng)旁路接入各控制系統(tǒng)網(wǎng)絡(luò)，只抓取現(xiàn)場控制系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)包進行分析處理，不向現(xiàn)場控制系統(tǒng)發(fā)送任何命令和數(shù)據(jù)包。

通過部署監(jiān)測引擎，對流經(jīng)各分區(qū)系統(tǒng)網(wǎng)絡(luò)交換機的數(shù)據(jù)流量進行實時解析并與工控安全監(jiān)測與審計系統(tǒng)下發(fā)的黑、白名單、關(guān)鍵事件等策略智能匹配，確定每條報文歸屬類型，并將審計結(jié)果上傳至位于生產(chǎn)管理層的監(jiān)測與審計管理平臺做進一步的展現(xiàn)及白名單自學(xué)習(xí)。

（3）主機防護

工控系統(tǒng)中會部署一定數(shù)量的主機設(shè)備，如工程師站、操作員站等。這些設(shè)備往往是工控系統(tǒng)的風(fēng)險點，病毒的入侵、人為的誤操作等威脅主要都是通過主機設(shè)備進入工控系統(tǒng)。因此，對這些主機設(shè)備進行安全防護尤為重要。通過部署終端安全管理系統(tǒng)，在主機上安裝代理程序（工控安全衛(wèi)士），限制只有可信的程序、進程才允許執(zhí)行，防止惡意程序的侵入。同時，對移動存儲介質(zhì)進行管控，防止通過移動存儲介質(zhì)引入蠕蟲、病毒等惡意攻擊。

（4）運維審計

針對網(wǎng)絡(luò)設(shè)備、服務(wù)器、工控設(shè)備部署遠(yuǎn)程運維審計系統(tǒng)，對各系統(tǒng)運維人員進行資源授權(quán)，權(quán)限分配，有效防范第三方維護人員對非授權(quán)設(shè)備的操作，同時通過策略配置，可以對正在操作的違規(guī)流量進行有效阻斷，對運維行為對事后發(fā)生的問題能夠準(zhǔn)確定位。

通過邏輯上將人與目標(biāo)設(shè)備分離，建立“人-＞主賬號（堡壘機用戶賬號）-＞授權(quán)-＞從賬號（目標(biāo)設(shè)備賬號）-＞目標(biāo)設(shè)備”的管理模式；在此模式下，通過基于唯一身份標(biāo)識的集中賬號與訪問控制策略，與各服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫服務(wù)器等無縫連接，實現(xiàn)集中精細(xì)化運維操作管控與審計。

（5）統(tǒng)一管理

通過部署安全管理平臺系統(tǒng)，形成集工業(yè)防火墻、網(wǎng)閘、工控監(jiān)測審計、網(wǎng)絡(luò)邊界檢查、運維堡壘機、終端安全管理系統(tǒng)等為一體的綜合安全防護系統(tǒng)，對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進行統(tǒng)一管理、集中展現(xiàn)，利用大數(shù)據(jù)關(guān)聯(lián)分析，實時動態(tài)發(fā)現(xiàn)工控系統(tǒng)網(wǎng)絡(luò)中的風(fēng)險并預(yù)警。并在此基礎(chǔ)上進行關(guān)聯(lián)分析、追蹤溯源、風(fēng)險預(yù)測，形成對安全威脅、風(fēng)險隱患的動態(tài)持續(xù)態(tài)勢感知。

實現(xiàn)全面展現(xiàn)公司工控網(wǎng)絡(luò)當(dāng)前安全狀況及未來一段時間的發(fā)展態(tài)勢，為信息安全人員開展信息安全態(tài)勢分析、安全預(yù)警和處置提供支持，同時為客戶提供直觀的信息安全決策依據(jù)，提升工作效率，節(jié)省運維人力，提升整體安全管理水平。

3 結(jié)束語

本文通過對煉化廠工控系統(tǒng)的安全現(xiàn)狀進行分析，并提出對煉化廠工控系統(tǒng)安全防護的思路，基于安全現(xiàn)狀和防護思路，對大型煉化廠典型工控系統(tǒng)進行安全防護技術(shù)方案設(shè)計，對網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)流量審計、主機加固以及運維審計等方面進行了安全防護與異常監(jiān)測告警。