武東升，章 維，楊加義，方 明，張高達

（1.國家能源集團 寧夏煤業(yè)有限責任公司，銀川 750000；2.浙江中控技術股份有限公司，杭州 310053）

0 引言

隨著中國科學技術的發(fā)展與“工業(yè)4.0”進程的不斷推進，煤化工工廠也逐漸趨于智能化、數字化、網絡化，但智能化所帶來的網絡安全風險也變得不容忽視。2010 年伊朗核設施遭受“震網”病毒肆虐，基礎設施被大面積感染破壞，該事件標志著基礎工業(yè)設施已經成為部分網絡攻擊的目標，其破壞性和影響力絲毫不弱于其他網絡攻擊，而煤化工行業(yè)規(guī)模巨大、流程復雜，生產制造過程中存在各類高溫高壓、易燃易爆等復雜環(huán)境，若遭受攻擊，會造成巨大經濟損失與重大人員傷亡，其結果和影響無疑是災難性的。

1 煤化工行業(yè)信息安全現狀

面對此類針對工業(yè)基礎設施的網絡攻擊，結合煤化工行業(yè)自身生產環(huán)境的特點，目前有以下幾個核心問題亟待解決：

1）復雜的工控系統與網絡安全防護結合的難題

由于煤化工行業(yè)流程工藝復雜，各類業(yè)務系統與設備復雜多樣，加上與工業(yè)物聯網、工業(yè)互聯網、云計算、工業(yè)大數據平臺等新一代信息技術的融合，使得整體工業(yè)控制系統的復雜程度與防護難度提升到了一個新的高度。面對種類繁多的智能設備與系統，如何在保證個體安全的同時，保證整體工業(yè)控制系統的穩(wěn)定性與安全防護性能，是實現煤化工行業(yè)工控信息安全的核心。

圖1 工業(yè)控制系統典型網絡架構Fig.1 Typical network architecture for industrial control systems

2）安全防護與管理體系相融合的問題

對于新型的智能化工廠，數字化、智能化所打破的不僅僅是數據上的壁壘，還有管理體系之間的壁壘。原本相對封閉獨立的業(yè)務管理體系被打破，各個業(yè)務系統間的管理邊界變得模糊，若不對管理體系進行針對性改進，在實際管理實施中必然會出現漏洞與空白。因此，如何建立統一、高效的網絡安全管理體系，明確職責劃分與管理邊界，亦是工控系統安全防護的一大難點。

3）網絡安全防護對工控系統自身的影響

目前，現有的網絡安全防護僅僅考慮了網絡安全的風險分析與防護，而缺乏網絡安全防護對工控系統自身所造成影響的有效評估。如何在不影響工業(yè)控制系統自身功能安全的同時，保證網絡安全防護的可靠性，以及如何在實際工業(yè)控制系統中開展風險分析，也是亟需考慮的問題。

2 工控系統網絡架構

通常煤化工智能工廠采用的是一種縱向分層的網絡架構，自上而下依次為企業(yè)管理層、制造執(zhí)行系統（Manufacturing Execution Systerm，簡稱MES）層、過程監(jiān)控層、現場控制層和現場設備層。層級之間采用各類通訊協議進行連接，層內各裝置間采用本級的通訊網絡進行通信。典型的煤化工智能工廠網絡結構圖如圖1 所示。

在此類工業(yè)控制系統網絡架構中，網絡安全威脅可能來源于智能工廠外部與內部，攻擊者通過例如DDOS 攻擊、病毒感染、會話挾持等方式進行網絡安全攻擊，并通過整體通訊網絡擴大影響，最終造成生產停車、人員傷亡等重大事故。因此，在設計網絡架構安全防護時，須綜合考慮其設計、管理、技術、環(huán)境條件等各種因素，以及智能工廠生命周期內設計、實施運維等各階段相關的所有活動，合理設計規(guī)劃整體安全防護措施。

3 一體化網絡安全防護設計

3.1 防護設計原則

根據功能與業(yè)務，可將煤化工智能工廠網絡安全劃分成工控安全、數據服務安全、信息管理網絡安全。為實現一體化網絡安全防護，主要從以下幾個方面來設計整體防護方案：

1）由點到面提高整體系統安全性

所有設備系統自身內置安全功能是提高整體系統安全性的關鍵，通過加密通信、通信健壯性、平臺可信增強、數據監(jiān)管等方式，實現對常見網絡安全攻擊的防御。通過對單一設備的網絡安全性能的把控，來提高整體工業(yè)控制系統的網絡安全性能[1]。

2）建立多層次縱深防御系統

煤化工智能工廠包含聯合裂解裝置、聚乙烯裝置、合成氨及PSA 裝置、全廠空氣氮氣系統等多類工控裝置與系統，采用OPC 協議、Modbus 協議、MISgate 協議等多種工控協議進行通訊。

面對上述現場環(huán)境，單一的安全防護手段不能很好地進行抵御和防范。因此，通過建立多層次的縱深防御系統，協同運用多種安全防護措施，建立相對復雜的網絡安全防護系統與網絡安全防護策略，從而全面提升自身的網絡安全防護復雜度，全方面提高系統對各類攻擊的防護能力，盡可能地避免由于單一的網絡機制被攻陷，而導致的網絡癱瘓以及其他網絡安全問題。

3）定期執(zhí)行風險分析

風險分析是識別工業(yè)控制系統整體安全漏洞及其可能造成結果的有效手段。通過定期風險，有效把控整體系統的安全性與可靠性，根據結果進行針對性調整，扼殺潛在的安全風險，防范于未然[2]。

3.2 工控安全防護方案

工業(yè)控制系統作為煤化工智能工廠的生產作業(yè)的核心系統，為保證其安全性，需要針對不同生產工藝與涉及的工控系統進行針對性防護。其核心內容主要為以下幾個方面：

1）內生安全主動防御

控制系統采用內生安全主動防御設計，保證系統本身具備基本信息安全防護能力。針對聚乙烯、聯合裂解等易燃易爆的生產工藝設備，通過采用阿基里斯2 級認證的中控ECS-700 系統，提高通訊健壯性與可靠性，確保系統在攻擊情況下的正常運行。同時，遵循白名單防護的設計思路，設計通訊協議棧，禁用無用端口和服務，抵御針對系統服務漏洞的攻擊。

2）深度邊界防護

遵循縱向分層、橫向分域的原則，對DCS 系統、ITCC系統、SIS 系統等生產系統進行安全邊界劃分。采取“總分”VLAN 隔離措施，在保證全局工程師站與全局監(jiān)視站對各裝置操作與監(jiān)控的同時，實現生產裝置與系統間的網絡安全隔離。域間通訊時采用單向和雙向相結合的防護策略，限制通訊數據方向，嚴控下寫數據流，實現數據的可信通信，避免敏感信息流失，抵御非授權的訪問和攻擊。

通過在生產系統與生產管理系統之間架設工業(yè)防火墻，深度解析工業(yè)通訊報文，攔截過濾異常流量，保證生產系統網絡與外部網絡的安全隔離，防止病毒蔓延與故障擴散。

3）系統安全加固

采用基于白名單的可信操作站衛(wèi)士，通過對計算機的優(yōu)化配置、操作系統的相關設置、計算機的應用規(guī)范管理以及程序、進程的白名單控制，對生產控制系統如DCS 系統、ITCC 系統、SIS 系統等的上位機、服務器進行防護，以白名單的技術方式監(jiān)控工控主機的進程狀態(tài)、網絡端口狀態(tài)、USB 端口狀態(tài)，全方位地保護主機的資源使用。根據白名單的配置，可信操作站衛(wèi)士禁止非法進程的運行，禁止非法網絡端口的打開與服務，禁止非法USB 設備的接入，從而切斷病毒和木馬的傳播與破壞路徑，有效防止病毒源從外部輸入，保證上位機正常指令的順利下發(fā)和生產相關的業(yè)務與進程的正常執(zhí)行。

4）全網診斷與容災應急

搭建面向工廠網絡維護管理的工控網絡診斷軟件和安全管理平臺，實時監(jiān)管全廠網絡狀態(tài)與設備管理。針對聚丙烯裝置、聚乙烯裝置等易燃易爆的高風險裝置，通過部署熱備冗余與專用數據備份服務，確保關鍵數據得到安全高效的備份與恢復。即使故障發(fā)生，也能快速恢復或切換至冗余配置，有效扼制風險的進一步擴大。

3.3 數據中心建設

智能工廠生產制造時，全局工程師站與全局監(jiān)控站通過各類工控系統采集監(jiān)控生產裝置的生產數據與智能儀表數據，所涉及的OPC、MISgate 等服務，其服務器通常架設于物理機服務器，資源監(jiān)控方法繁瑣，發(fā)生故障難以快速恢復。而虛擬化的服務器相較于物理服務器，具有較好的可恢復性、可備份性，資源監(jiān)控便捷的特點。

通過將服務器虛擬化，簡化IT 資源分配和應用調配，與現有物理服務器相整合，建立靈活的數據中心，結合自動化管理技術，實現服務器資源的全局監(jiān)控。為此，數據中心配備了3 臺虛擬化服務器宿主機、1 臺數字化移交服務器、1 臺虛擬化管理主機、2 臺APC 服務器等虛擬化服務器設備，用于構建高度可用、恢復能力強的整體服務架構。

通過建立虛擬化管理平臺，自由虛擬化服務應用，簡化虛擬數據中心。采用熱克隆技術，確保在源服務器不停機或重啟的情況下，將備域控制器服務器、MES 關系數據庫服務器、HSE 服務器、AVEVA NET 應用服務器等關鍵服務遷移至虛擬服務器。結合云技術、磁盤等備份介質，實現對關鍵數據的可靠備份。

配備雙機熱備冗余機制，對主域控制器服務器、備域控制器服務器、exchange 郵件服務器、MES 關系數據庫服務器等關鍵服務與設備進行高可用性熱備冗余設計，實現在緊急情況下的快速恢復與應急處理。

圖2 數據中心Fig.2 Data center

圖3 組織機構框圖Fig.3 Organization block

3.4 信息系統網絡安全防護

信息系統網絡根據業(yè)務和應用可分為互聯網接入區(qū)、網管維護區(qū)、服務器區(qū)?；ヂ摼W接入區(qū)易遭受DDOS 攻擊、病毒攻擊、外部入侵等網絡攻擊，網管維護區(qū)與服務器區(qū)則易遭受漏洞威脅、內部DDOS、非法訪問等影響。根據各信息系統分區(qū)的特點，采取以下針對性的安全防護，從而實現整體信息系統網絡安全防護[3]。

1）互聯網接入區(qū)

通過SSL VPN 技術與防火墻設備，實現互聯網訪問控制，阻塞非法訪問與流量，有效隔絕來自外部的網絡安全攻擊。

配備互聯網行為管理系統，對互聯網業(yè)務流量進行深層次分析，實現對網絡安全行為和內容的審計，實現上網行為管理。

2）網管維護區(qū)

采用IDS 入侵檢測技術，配備網絡入侵檢測系統，識別可疑的網絡攻擊，發(fā)現潛在安全威脅，配合防火墻設備，降低網絡安全風險。

配備抗DDOS 系統，有效抵御DDOS 網絡攻擊。

通過網絡安全審計系統，統一收集、分析整體網絡的運行信息與日志信息，實現對全網整體安全的集中化管理運維。

3）服務器區(qū)

采用透明串聯的方式在核心交換機與服務器之間架設一體化安全網關，利用其防火墻功能實現訪問控制與流量監(jiān)控，利用防病毒功能切斷病毒感染傳播的路徑，實現邊界深度隔離防護。

采用WEB 應用安全網關，對WEB 服務器進行HTTP/HTTPS 流量分析與入侵檢測，抵御針對Web 程序漏洞的攻擊。

配備安全漏洞掃描系統，準確分析整體網絡安全狀態(tài)，發(fā)現潛在安全漏洞，生成綜合分析報告，適時對安全漏洞進行修補并制定相應安全策略，實現對整體系統網絡安全的狀態(tài)監(jiān)測與風險分析。

4 工控安全管理措施

為滿足智能工廠網絡安全管理需求，針對一體化網絡安全防護方案制定了對應的工控安全管理措施，實現對全廠安全風險的分析把控，其主要包含以下幾個方面：

4.1 安全管理制度

通過借鑒國際先進的風險管控理念，結合現有網絡安全防護方案的網絡區(qū)塊劃分的特點，對不同的生產裝置、系統、業(yè)務制定切合的安全策略與管理制度，同時明確全廠的網絡安全工作原則與目標，組織相關人員學習。對于裂解裝置等高溫高壓、易燃易爆的危險生產裝置，嚴格規(guī)范管理操作流程，編寫作業(yè)指導書，定期組織培訓與考核。

4.2 組織機構與職責

參照圖3 所示的組織機構框圖，設立網絡安全管理機構，設立安全主管以及下屬安全管理崗位，根據通訊網絡劃分的區(qū)域，分配對應安全負責人，定期對負責區(qū)域的通訊狀況進行巡檢反饋并對系統網絡安全進行風險分析。關鍵崗位配備多人協同管理，將安全防護職責具體落實到個人，避免產生管理空白。

4.3 安全建設管理

根據不同工藝與業(yè)務需求，針對性調整安全防護措施，做到與工業(yè)控制系統同步策劃、同步實施、同步驗收、同步投運，實現防護方案與工控系統的高度契合。編寫相關設備系統操作說明手冊，并對相關操作人員、工程人員、管理人員進行定期培訓審查，提高相關責任人的安全防范意識。嚴格執(zhí)行安全管理政策，關鍵崗位進行背景調研，不使用未經審核的第三方設備。有毒有害、易燃易爆等危險裝置的控制系統，采用阿基里斯通訊2 級認證等級的中控ECS-700 系統，保證通訊健壯性與可靠性[4]。

4.4 運維管理

1）設立區(qū)域負責人

通過設立各區(qū)域網絡運維負責人，定期對工控系統軟件、應用軟件、數據備份、軟件備份等進行維護管理，定期巡檢各個系統設備的安全審計日志，針對性調整安全策略。

2）制定運維管理規(guī)范

根據工業(yè)和信息化部印發(fā)的《工業(yè)控制系統信息安全防護指南》，結合煤制油生產試車實際情況，制訂并升級了《電儀車間儀表機柜間管理辦法》《電儀車間巡回檢查管理辦法》《烯烴二分公司生產裝置聯鎖管理規(guī)定（試行）》等相關管理規(guī)定。依照規(guī)定嚴格規(guī)范生產管理流程，定期組織相關人員培訓學習，降低違規(guī)操作帶來的安全風險。嚴格規(guī)范移動存儲設備的使用，嚴禁未經允許的設備接入系統造成病毒感染[5]。

3）完善權限管理制度

設立完善賬戶管理制度，依據最小權限分配原則對區(qū)域負責人、操作員、觀察員等賬戶進行權限細分，確保賬戶與人員匹配對應；根據職責劃分具體權限，定期對權限賬戶進行審核比對；針對高危裝置設施，嚴格執(zhí)行權限審核與背景調研，以書面方式詳細記錄具體操作事由與操作過程，嚴禁未經審批的操作修改。

4.5 應急與事件管理

從組織架構、基本原則與總體思路出發(fā)，制定了《DCS系統掉電應急預案》在內的多套應急預案，明確了各部門在技術、管理、業(yè)務、應急物資等方面的職責和義務；定期對所有職工進行安全培訓，組織應急預案演練，爭取做到有備無患。

緊急情況發(fā)生時，迅速啟用應急預案，根據安全審計記錄與具體情況，迅速定位分析故障原因與故障設備，立即隔離已感染的設備，阻止影響進一步擴大。之后采取冗余系統或一鍵恢復的方式，快速控制并恢復生產，同時通過對故障原因分析，總結經驗教訓，提出整改意見，進行針對性改進。

5 結束語

本文從多個角度對煤化工行業(yè)的安全防護需求進行了分析，結合現場實際生產管理時的特點，簡要闡述了一種一體化的網絡安全防護解決方案。該解決方案優(yōu)點在于將復雜多樣的工控系統網絡安全問題簡化，由點到面逐步實現整體網絡安全，結合成熟完善的管理措施，能夠有效應對實際生產過程中的網絡安全問題。在此基礎上，如何在嵌入式等性能較弱的平臺下，應用更高效的網絡安全防護技術，以及可信技術、區(qū)塊鏈技術等新興技術的合理運用等問題，仍是今后需著重研究的方向。