孟凡麗

中國石油工程建設(shè)有限公司西南分公司, 四川 成都 610041

0 前言

目前,大多數(shù)工控系統(tǒng)(ICS)和智能設(shè)備普遍存在各種安全隱患[1],所以任何工控系統(tǒng)都可能存在引起生產(chǎn)安全風(fēng)險的缺陷,要保障工廠的工控系統(tǒng)安全運行,特別是油氣處理廠工控系統(tǒng)的安全,需要從工控系統(tǒng)的網(wǎng)絡(luò)架構(gòu)建設(shè)上加強設(shè)置,對其系統(tǒng)的安全缺陷和漏洞進行全方位管控。

1 油氣處理廠工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀

油氣處理廠工控系統(tǒng)主要包括分散控制系統(tǒng)(DCS)、安全儀表系統(tǒng)(SIS)及火氣系統(tǒng)(FGS)三套系統(tǒng),三套系統(tǒng)完成了對全廠各工藝裝置及輔助生產(chǎn)設(shè)施的集中監(jiān)視、數(shù)據(jù)采集、報警、控制和安全聯(lián)鎖功能。目前,已投產(chǎn)運行的工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)大多縱向分為三層:現(xiàn)場設(shè)備層、控制層、過程監(jiān)控層。工控系統(tǒng)網(wǎng)絡(luò)安全防護方面的主要措施為:防病毒軟件的安裝,過程監(jiān)控層數(shù)據(jù)與上一級調(diào)控中心之間的區(qū)域隔離保護,訪問權(quán)限的設(shè)置等。這些較少的防護手段,在工控系統(tǒng)本身的缺陷、漏洞管理及網(wǎng)絡(luò)實時監(jiān)測方面較薄弱。

大多已建的工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖見圖1。

圖1 已建的工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖

隨著物聯(lián)網(wǎng)的發(fā)展,原本封閉的油氣處理廠工控系統(tǒng)也漸漸納入工業(yè)物聯(lián)網(wǎng)系統(tǒng)中,在油氣處理廠提高營運效率的同時,也使得物聯(lián)網(wǎng)中的木馬、病毒等安全風(fēng)險向工控系統(tǒng)擴散,帶來了更多的網(wǎng)絡(luò)安全威脅[2]。工控系統(tǒng)網(wǎng)絡(luò)威脅的來源主要有:系統(tǒng)存在的高危漏洞、工業(yè)網(wǎng)絡(luò)病毒、關(guān)鍵設(shè)備的“后門”、高級持續(xù)性威脅(APT)以及無線技術(shù)應(yīng)用的風(fēng)險等[3-4]。近年來,國內(nèi)外發(fā)生的工控系統(tǒng)遭受攻擊而癱瘓的案例,基本上為黑客利用工控系統(tǒng)網(wǎng)絡(luò)安全方面的漏洞及病毒進行的攻擊,因此做好工控系統(tǒng)網(wǎng)絡(luò)安全防護,在網(wǎng)絡(luò)高速發(fā)展時期尤為重要。目前，國家也提高了工控系統(tǒng)網(wǎng)絡(luò)安全防護方面的要求,2017年5月1日執(zhí)行的GB/T 33009《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)(DCS)》及GB/T 33008《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全可編程序控制器(PLC)》,對工控系統(tǒng)的安全設(shè)置提出了更高要求,但對油氣處理廠工控系統(tǒng)并未給出明確固定的做法,也尚無成熟并正式運行的設(shè)置方案分享。

2 新建的工控系統(tǒng)設(shè)置

基于對標準規(guī)范的理解,同時通過與國內(nèi)外知名工控系統(tǒng)制造商的技術(shù)交流與討論,提出油氣處理廠工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)及安全防護的設(shè)置方法和建議。

2.1 網(wǎng)絡(luò)架構(gòu)

對新建的DCS/SIS系統(tǒng)工控系統(tǒng),其網(wǎng)絡(luò)架構(gòu)建議采用縱向分層、網(wǎng)絡(luò)安全采用縱深防御的原則進行設(shè)計[5-7]。工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)以區(qū)域劃分[8],縱向分層,基本設(shè)置為四層:現(xiàn)場設(shè)備層、控制層、過程監(jiān)控層、生產(chǎn)管理層[9]。其中在新增的生產(chǎn)管理層上設(shè)置了一些用于工控系統(tǒng)網(wǎng)絡(luò)安全防護的設(shè)備,這一層級的設(shè)置與規(guī)范GB/T 50823《油氣田及管道工程計算機控制系統(tǒng)設(shè)計規(guī)范》上描述的DMZ區(qū)(隔離區(qū))[10]隔離措施相符。

新建的工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖見圖2。

2.2 網(wǎng)絡(luò)安全防護策略

網(wǎng)絡(luò)安全防護策略是維護工控系統(tǒng)安全的首要屏障[11]。工控系統(tǒng)網(wǎng)絡(luò)分層搭建后需要對各層級進行安全防護設(shè)置。

2.2.1 邊界防護

在不同層級或者同一層級不同網(wǎng)段間部署安全防護設(shè)備,如設(shè)置硬件防火墻、網(wǎng)閘等。檢測界內(nèi)界外所有網(wǎng)絡(luò)活動,識別可疑攻擊并報警,對不同網(wǎng)段進行有效隔離和阻斷[12-14]。

在控制層的控制器要求帶防火墻功能,或者設(shè)置控制器防火墻,對各控制器間及控制層和過程監(jiān)控層間進行有效隔離。

對各類計算機、操作站、服務(wù)器的物理接口進行限制,拆除或封閉控制系統(tǒng)工業(yè)主機上不必要的USB、光驅(qū)、無線等接口,對工程師站及服務(wù)器等必須保留USB訪問接口的核心工業(yè)主機,以軟件方式部署USB終端防護系統(tǒng),實現(xiàn)移動介質(zhì)訪問控制,強化生產(chǎn)現(xiàn)場物理安全防護措施[15]。

同以往系統(tǒng)邊界防護相比,新建的工控系統(tǒng)方案主要增加了控制器防護功能、控制層或過程監(jiān)控層不同網(wǎng)段間的防護功能,對整個工控系統(tǒng)各區(qū)設(shè)備起到更好的安全保護作用。

圖2 新建的工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖

2.2.2 設(shè)置防病毒架構(gòu)—補丁管理

與已建的工控系統(tǒng)在各設(shè)備上安裝殺毒軟件并手動定期殺毒不同,建議新建的工控系統(tǒng)設(shè)置專門的防病毒服務(wù)器[16],在工程師站、操作員站、各類服務(wù)器、監(jiān)控計算機等重要系統(tǒng)設(shè)備上部署經(jīng)過驗證的防病毒軟件,并提供防病毒系統(tǒng)巡檢功能,這樣可實時監(jiān)測工控系統(tǒng)安全狀況。同時定期下載經(jīng)過兼容性、穩(wěn)定性測試認證過的病毒庫及補丁,及時發(fā)現(xiàn)與本系統(tǒng)相關(guān)的漏洞等安全隱患,及時打補丁,通過補丁管理和病毒庫更新方案確保工控系統(tǒng)處于最新的安全防護狀態(tài)。

防病毒服務(wù)器設(shè)置于生產(chǎn)管理層,與整個過程控制層進行有效隔離,不會同時遭受攻擊,便于對工控系統(tǒng)所有設(shè)備進行安全下裝各類防病毒軟件及打補丁服務(wù)。

2.2.3 設(shè)置黑、白名單相結(jié)合的雙重防護模式

已建的工控系統(tǒng)基本只采用黑名單機制對已知病毒進行防護,對未知病毒缺少抵御措施,現(xiàn)增加白名單機制對未知病毒進行有效防護[17]。設(shè)置黑、白名單相結(jié)合的雙重防護模式,對任何非法訪問,都要產(chǎn)生實時報警信息,方便用戶及時發(fā)現(xiàn)、定位安全風(fēng)險。

2.2.4 授權(quán)管理

無論是工控系統(tǒng)終端還是遠程訪問,均需要嚴格的授權(quán)及用戶身份登錄認證,對不同操作人員設(shè)置不同權(quán)限,授權(quán)不同則訪問權(quán)限不同[18]。

2.2.5 完善的網(wǎng)絡(luò)安全監(jiān)控和相應(yīng)措施

設(shè)置專門的網(wǎng)絡(luò)安全監(jiān)控軟件,監(jiān)控所有網(wǎng)絡(luò)和系統(tǒng)設(shè)備,進行實時數(shù)據(jù)采集和分析,檢查網(wǎng)絡(luò)流量,識別惡意設(shè)備及入侵者,不斷監(jiān)視網(wǎng)絡(luò)安全風(fēng)險指標,主動識別可能影響工控系統(tǒng)的安全漏洞和威脅,及時報警,同時生成日志[19],通知相關(guān)人員采取措施防范風(fēng)險的發(fā)生。專門的網(wǎng)絡(luò)安全監(jiān)控軟件彌補了已建的工控系統(tǒng)無法實時監(jiān)控網(wǎng)絡(luò)設(shè)備及主動防范風(fēng)險的缺點。

在各層級部署防護設(shè)備及防護軟件前,應(yīng)采用線下測試等手段確保其上線后不影響工控系統(tǒng)正常運行的可用性、實時性、可靠性和安全性。

任何工控系統(tǒng)都不是堅不可摧,一旦事故發(fā)生,災(zāi)難來臨,如何快速重建和恢復(fù)系統(tǒng)在油氣處理廠尤為重要[20]。已建的工控系統(tǒng)數(shù)據(jù)備份效率低、無法連續(xù)備份、系統(tǒng)恢復(fù)時間較長,即便恢復(fù)了系統(tǒng),其數(shù)據(jù)可能是很久以前的,無法立即投入使用,還需要投入精力補充工控系統(tǒng)近期數(shù)據(jù)及程序的變化。如果油氣處理廠裝置數(shù)量較多或?qū)ιa(chǎn)運營時間有嚴格要求的,可設(shè)置一套實時數(shù)據(jù)備份與災(zāi)難恢復(fù)軟件,配置專門的數(shù)據(jù)存儲服務(wù)器,此服務(wù)器可實時、在線、連續(xù)自動地對工控系統(tǒng)數(shù)據(jù)及程序進行備份,事故停車后,只要存儲設(shè)備還在,就可利用這些數(shù)據(jù)快速地進行系統(tǒng)恢復(fù)和重建,同已建的工控系統(tǒng)相比縮短了恢復(fù)系統(tǒng)重新開產(chǎn)的時間,為油氣處理廠爭取了效益。

以上安全策略對工控系統(tǒng)硬件、軟件以及網(wǎng)絡(luò)部署提出要求,每條安全策略都為工控系統(tǒng)網(wǎng)絡(luò)安全帶來防護效益,但網(wǎng)絡(luò)安全管理是個動態(tài)過程,不僅包含了項目設(shè)計階段的要求,還包含了項目執(zhí)行時期及運行后期維護階段所需的各種網(wǎng)絡(luò)安全策略,如用戶對人員的培訓(xùn)、定期對工控系統(tǒng)的風(fēng)險評估和識別、定期對工控系統(tǒng)病毒庫及補丁的更新以及對整個過程的管理等,每個環(huán)節(jié)都至關(guān)重要。

對油氣處理廠新建的工控系統(tǒng),網(wǎng)絡(luò)安全應(yīng)全面考慮并設(shè)置。對目前正在運行的已建的工控系統(tǒng),如進行升級改造,其用于安全防護的軟、硬件也應(yīng)增設(shè),不同層級間安全隔離也應(yīng)部署,均需滿足現(xiàn)行標準規(guī)范的基本要求。

3 結(jié)論

工控系統(tǒng)根據(jù)油氣處理廠廠站的大小、級別設(shè)置有所不同,其網(wǎng)絡(luò)架構(gòu)也有差異,但工控系統(tǒng)網(wǎng)絡(luò)安全防護是必須重視并設(shè)置的,其安全防護的硬件設(shè)備及軟件的配置必不可少。本文中油氣處理廠新建的工控系統(tǒng)方案是為確保工控網(wǎng)絡(luò)安全提出的安全策略,對工控系統(tǒng)的設(shè)計提供參考和選擇,隨著工控系統(tǒng)網(wǎng)絡(luò)安全方面的標準規(guī)范不斷更新及完善,工控系統(tǒng)將更加安全。