許冬濤 李桂蘭

摘 ?要：文章針對煤制油化工行業(yè)工業(yè)控制系統(tǒng)信息安全防護方面，進行了防護技術(shù)規(guī)范探索研究，提供加強工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系安全性的優(yōu)化對策，為煤制油化工行業(yè)各單位工業(yè)控制安全防御提供管理和技術(shù)依據(jù)，指導各單位工業(yè)控制系統(tǒng)安全防護工作，確保工業(yè)控制系統(tǒng)安全運行的合規(guī)性、穩(wěn)定性，符合國家工業(yè)控制系統(tǒng)安全相關(guān)標準、規(guī)范和最佳實踐。

關(guān)鍵詞：煤制油化工行業(yè);工業(yè)控制系統(tǒng)網(wǎng)絡信息安全;防護技術(shù)規(guī)范

中圖分類號：TP273;TP309 ? ? ?文獻標識碼：A 文章編號：2096-4706（2020）12-0136-04

Abstract：In this paper，the coal to liquid chemical industry industrial control system information security protection aspects of the exploration and research，to strengthen the industrial control system network security protection system optimization countermeasures，for the coal to liquid chemical industry units industrial control security defense to provide management and technical basis，guide each unit industrial control system security protection work，to ensure the compliance and stability of industrial control system safe operation，and comply with national industrial control system safety related standards，specifications and best practices.

Keywords：coal to liquid chemical industry;information security of industrial control system;technical specification for protection

0 ?引 ?言

當前，新一輪科技革命和產(chǎn)業(yè)變革加速演進，5G、大數(shù)據(jù)、云計算、邊緣計算、工業(yè)互聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等新興技術(shù)加快向經(jīng)濟社會各領(lǐng)域滲透融合，工業(yè)領(lǐng)域向數(shù)字化、網(wǎng)絡化、智能化邁進的步伐不斷加快，隨著工業(yè)體系從封閉系統(tǒng)走向互聯(lián)開放，加強工業(yè)體系信息安全建設越來越成為事關(guān)經(jīng)濟發(fā)展、社會穩(wěn)定、人民福祉和國家安全的重大問題，共建工業(yè)安全生態(tài)，不僅是推動“制造強國”和“網(wǎng)絡強國”建設的關(guān)鍵支撐，更是制造業(yè)高質(zhì)量發(fā)展的新動能、經(jīng)濟社會創(chuàng)新發(fā)展的新引擎。

自2010年起，全球重大工業(yè)控制系統(tǒng)（以下簡稱：工控系統(tǒng)）信息安全事故大幅度增加，由2012年的197起直接增加到了2019年的329起。7年時間里，工控系統(tǒng)信息安全事故發(fā)生的次數(shù)逐年增長，給工控系統(tǒng)的安全使用和防護管理帶來了嚴重挑戰(zhàn)。如圖1所示。

僅2020上半年，網(wǎng)絡攻擊工控系統(tǒng)重大事件頻發(fā)，涉及電力、水利、能源、交通等關(guān)鍵信息基礎(chǔ)設施領(lǐng)域，提高安全意識、加強安全防護勢在必行。例如2020年5月9日，瑞士鐵路機車制造商遭到了網(wǎng)絡攻擊，攻擊者設法滲透了它的IT網(wǎng)絡，并用惡意軟件感染了部分計算機，很可能已經(jīng)竊取到部分數(shù)據(jù)。2020年5月5日委內(nèi)瑞拉國家電網(wǎng)干線遭到攻擊，造成全國大面積停電。2020年5月，臺灣石油，汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司（FPCC）在過去兩天內(nèi)都受到了網(wǎng)絡攻擊;2020年4月葡萄牙跨國能源公司EDP遭到勒索軟件攻擊。工控安全事件所屬行業(yè)細分如圖2所示。

面對目前工控系統(tǒng)信息安全面臨的重大挑戰(zhàn)，2011年工信部下發(fā)《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，強調(diào)了加強工控系統(tǒng)信息安全管理的重要性和緊迫性，并明確了重點領(lǐng)域如：石油石化、電力、化工等行業(yè)工控系統(tǒng)信息安全管理要求。

1 ?煤制油化工行業(yè)工控系統(tǒng)信息安全現(xiàn)狀

工業(yè)與IT的高度融合一體化迅速發(fā)展，越來越多的工控系統(tǒng)采用通用硬件和通用軟件，與企業(yè)網(wǎng)中運行的生產(chǎn)管理信息系統(tǒng)之間實現(xiàn)了互聯(lián)、互通、互操作，甚至可以通過互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等直接或間接地訪問，導致工控系統(tǒng)信息安全被攻擊的可能性增高。煤制油化工行業(yè)各生產(chǎn)單位工控系統(tǒng)網(wǎng)絡安全防護薄弱，導致工控系統(tǒng)網(wǎng)絡安全問題直接威脅到生產(chǎn)運行的安全、穩(wěn)定運行。

2017年6月1日，《中華人民共和國網(wǎng)絡安全法》正式頒布施行，2019年12月1日，國家頒布《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》（GB/T 22239—2019），《國家能源集團2020年度科技創(chuàng)新重點研發(fā)方向指南》指出發(fā)展工控系統(tǒng)網(wǎng)絡安全技術(shù)。

國家能源集團寧夏煤業(yè)公司煤制油化工板塊各生產(chǎn)單位均為連續(xù)性生產(chǎn)，生產(chǎn)過程控制采用DCS、PLC、SIS、SCADA等工控系統(tǒng)，一旦有工控安全事件發(fā)生，裝置和重要設備的意外停車都會導致巨大的安全事故和經(jīng)濟損失，工控系統(tǒng)網(wǎng)絡安全問題直接威脅到生產(chǎn)運行的的安全、穩(wěn)定運行。

國家能源集團依據(jù)國家相關(guān)政策文件要求，已積極開展工控系統(tǒng)安全防護工作，工控系統(tǒng)安全國際標準主要集中在電力系統(tǒng)信息安全領(lǐng)域，符合煤制油化工行業(yè)工控系統(tǒng)網(wǎng)絡信息安全防護實際需求的信息技術(shù)標準處于空白狀態(tài)，日常維護、升級改造缺乏可操作性技術(shù)標準。急需在國家工控系統(tǒng)網(wǎng)絡信息安全相關(guān)法規(guī)、政策、標準基礎(chǔ)上，結(jié)合煤制油化工行業(yè)生產(chǎn)實際需求，制定煤制油化工行業(yè)工控系統(tǒng)網(wǎng)絡安全防護技術(shù)規(guī)范。

2 ?煤制油化工行業(yè)工控系統(tǒng)信息安全防護技術(shù)規(guī)范體系建設規(guī)范要求

2.1 ?工控系統(tǒng)信息安全防護分層分級依據(jù)

應在國家法律法規(guī)及標準框架內(nèi)，采用國際國內(nèi)成熟技術(shù)對工控網(wǎng)絡進行有效防護，在不對現(xiàn)有工控系統(tǒng)網(wǎng)絡作大改動的情況下進行網(wǎng)絡的分隔和隔離，加固系統(tǒng)的防御能力。依據(jù)《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》（GB/T 22239—2019）進行分層分級。分別是分為層級0現(xiàn)場設備層（傳感器，執(zhí)行器）、層級1現(xiàn)場控制層（分布式控制DCS和邏輯控制PLC等）、層級2過程監(jiān)控層（SCADA數(shù)據(jù)采集和監(jiān)控）、層級3生產(chǎn)管理層（MES、生產(chǎn)調(diào)度和維護）、層級4企業(yè)資源層（OA系統(tǒng)、ERP系統(tǒng)等）。如圖3所示。

2.2 ?工控系統(tǒng)信息安全防護體系原則要求

工控系統(tǒng)是一個內(nèi)部強耦合、關(guān)聯(lián)作用緊密的整體。工控安全必須結(jié)合工藝業(yè)務要求進行安全保障，簡單以“零和思維”“木桶理論”等思路或試圖用一個統(tǒng)一的技術(shù)思路來解決工控安全問題都有失偏頗。解決安全防護整體化，構(gòu)建工控系統(tǒng)安全可信環(huán)境，應實現(xiàn)工控系統(tǒng)物理、網(wǎng)絡、終端、管理和數(shù)據(jù)的多角度、全方位保護。建立和實施適合的工控系統(tǒng)安全防護體系以應對工控系統(tǒng)安全風險。煤制油化工行業(yè)工控系統(tǒng)安全防護體系包括：安全戰(zhàn)略與合規(guī)、風險評估與管理、安全治理與架構(gòu)、威脅與脆弱性管理、安全應急管理5個部分。企業(yè)建立工控系統(tǒng)安全體系可參考以下模型，如圖4所示。

3 ?煤制油化工行業(yè)工控系統(tǒng)信息安全防護技術(shù)要求

3.1 ?分層分級技術(shù)規(guī)范要求

根據(jù)實際情況允許將圖3所示的部分層級合并。工控系統(tǒng)過程監(jiān)控層與生產(chǎn)管理層在保證安全的情況下可實現(xiàn)數(shù)據(jù)傳輸。工控系統(tǒng)網(wǎng)絡配置應符合“橫向分區(qū)、縱向分層、綜合防護”的原則。應在過程監(jiān)控層各級交換機配置網(wǎng)絡審計，應在過程監(jiān)控層核心交換機配置具有網(wǎng)絡安全審計、日志審計、和工業(yè)入侵檢測功能等網(wǎng)絡安全監(jiān)控設備或者系統(tǒng)，部署工控安全態(tài)勢感知系統(tǒng)。如圖5所示。

3.1.1 ?分區(qū)原則

應明確工控系統(tǒng)的防護邊界，采用工業(yè)防火墻、工業(yè)網(wǎng)閘等網(wǎng)絡隔離設備，在工控系統(tǒng)內(nèi)部邊界進行橫向隔離，在工控系統(tǒng)與企業(yè)資源層之間進行縱向隔離。

工控系統(tǒng)“橫向分區(qū)”應根據(jù)工藝操作需要和數(shù)據(jù)交換最小原則進行網(wǎng)絡分區(qū)。分區(qū)之間禁止互相操作并控制變量傳遞。各分區(qū)網(wǎng)絡和設備應能獨立運行、獨立啟動，數(shù)據(jù)應能獨立存儲。工控系統(tǒng)縱向各層級、橫向各區(qū)域間應加裝網(wǎng)絡隔離設備，網(wǎng)絡隔離設備應具有旁路模式。

DCS與第三方設備之間采用Modbus TCP、S7、OPC等通信協(xié)議，應增加工業(yè)防火墻或工業(yè)網(wǎng)閘，嚴格控制對控制器的寫入權(quán)限。

3.1.2 ?工控系統(tǒng)網(wǎng)絡間安全防護

工控系統(tǒng)各系統(tǒng)間應加裝網(wǎng)絡隔離設備。DCS、PLC、SCADA等控制系統(tǒng)的OPC服務器應通過工業(yè)防火墻等網(wǎng)絡隔離設備與數(shù)據(jù)采集系統(tǒng)（如實時數(shù)據(jù)庫系統(tǒng)）相連。OPC服務器與數(shù)據(jù)采集系統(tǒng)接口采集機相連的網(wǎng)卡應獨立設置，OPC服務器應通過工業(yè)防火墻等網(wǎng)絡隔離設備與接口機傳輸數(shù)據(jù)。不同應用的OPC服務器應獨立設置，禁止OPC服務器與工程師站共用。

3.2 ?工控系統(tǒng)信息安全邊界防護要求

過程監(jiān)控層與生產(chǎn)管理層的邊界部署單向網(wǎng)絡隔離設備，實現(xiàn)工控系統(tǒng)與企業(yè)資源層之間的隔離。嚴格禁止E-mail、Web、Telnet、Rlogin、FTP等安全風險高的網(wǎng)絡服務和以B/S或C/S方式的數(shù)據(jù)庫訪問穿越網(wǎng)絡隔離設備。應針對工控系統(tǒng)的開發(fā)、測試和生產(chǎn)分別提供獨立環(huán)境，避免將開發(fā)、測試環(huán)境中的安全風險引入生產(chǎn)系統(tǒng)。

工控系統(tǒng)生產(chǎn)業(yè)務系統(tǒng)若需與第三方環(huán)保、安監(jiān)、能耗等政府部門進行數(shù)據(jù)傳輸，應部署單向網(wǎng)絡隔離設備。

3.3 ?工控系統(tǒng)網(wǎng)絡安全監(jiān)測配置要求

通過采集工業(yè)網(wǎng)絡流量、計算環(huán)境、業(yè)務應用、資產(chǎn)、審計日志、運行狀況、脆弱性、安全事件和威脅情報等數(shù)據(jù)，利用大數(shù)據(jù)技術(shù)和自學習模式技術(shù)，分析工業(yè)網(wǎng)絡行為及用戶行為等因素構(gòu)成的整個工業(yè)網(wǎng)絡當前狀態(tài)和變化趨勢，獲取、理解、回溯、顯示能夠引起工業(yè)網(wǎng)絡態(tài)勢變化的安全要素，建立預測工業(yè)網(wǎng)絡安全態(tài)勢發(fā)展趨勢的平臺，及時發(fā)現(xiàn)異常訪問、非法外聯(lián)、外部入侵等安全事件并告警。

3.4 ?安全物理環(huán)境

工控系統(tǒng)機房所在建筑應采用有效防水、防潮、防火、防靜電、防雷擊、防盜竊、防破壞措施，建議配置電子門禁系統(tǒng)以加強物理訪問控制，并對關(guān)鍵設備及磁介質(zhì)實施電磁屏蔽。

3.5 ?主機加固

DCS、SIS等關(guān)鍵應用系統(tǒng)的服務器工程師站、操作站、歷史服務器、APC服務器、OPC服務器等，應對其進行安全加固，包括惡意代碼防范、防病毒軟件、白名單機制、系統(tǒng)漏洞補丁升級、外設管控等技術(shù)手段。

3.6 ?數(shù)據(jù)備份及應急演練

應定期對關(guān)鍵業(yè)務的數(shù)據(jù)進行備份，定期進行備份數(shù)據(jù)恢復測試。

應制訂工控系統(tǒng)網(wǎng)絡信息安全應急處置預案，每年至少進行一次應急預案演練。

3.7 ?工控系統(tǒng)安全防護管理體系要求

各單位應按照“誰主管、誰負責，誰運營、誰負責”的原則，建立工控系統(tǒng)網(wǎng)絡安全管理制度，各單位負責所轄范圍內(nèi)工控系統(tǒng)網(wǎng)絡的安全管理。

4 ?主要創(chuàng)新點

（1）依據(jù)《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》（GB/T 22239—2019）等國家標準，探索制定煤制油化工領(lǐng)域工控系統(tǒng)網(wǎng)絡安全防護技術(shù)規(guī)范標準;（2）研究工控系統(tǒng)網(wǎng)絡安全防護技術(shù)規(guī)范標準，指導各生產(chǎn)單位提升工控安全防護等級，筑牢網(wǎng)絡信息安全防火墻;（3）提供加強工控系統(tǒng)網(wǎng)絡安全防護體系安全性提升的優(yōu)化對策，為煤制油化工行業(yè)各單位工控安全防御提供管理和技術(shù)依據(jù);（4）逐步構(gòu)建起完整的、有針對性的工控系統(tǒng)網(wǎng)絡安全防護體系，橫向分區(qū)、縱向分層、綜合防護。

5 ?煤制油化工行業(yè)工控系統(tǒng)信息安全防護目標

工控系統(tǒng)的安全防護目標主要包含：（1）抵御外部發(fā)起的惡意攻擊和破壞;（2）防止病毒、木馬、蠕蟲對工控系統(tǒng)造成不利影響和破壞;（3）保障工控系統(tǒng)的安全、可靠、穩(wěn)定運行。

6 ?結(jié) ?論

通過煤制油化工行業(yè)工控系統(tǒng)網(wǎng)絡安全防護技術(shù)規(guī)范的探索與研究，將有助于指導煤制油化工行業(yè)各生產(chǎn)單位提升工控安全防護，確保工控系統(tǒng)的信息安全及其運行的合規(guī)性、穩(wěn)定性，符合國家工控系統(tǒng)的系統(tǒng)安全相關(guān)標準、規(guī)范和最佳實踐，確保防護范圍內(nèi)工控系統(tǒng)業(yè)務數(shù)據(jù)的“可用性、完整性、機密性”。

參考文獻：

[1] 工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟.工業(yè)控制系統(tǒng)信息安全標準白皮書（2019版） [R/OL].（2019-12-23）.http：//nisia.org.cn/filedownload/194706.

[2] 全國信息安全標準化技術(shù)委員會.信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求：GB/T 22239—2019 [S].北京：中國標準出版社，2019.

[3] 傅一帆，霍玉鮮.網(wǎng)絡安全等級保護工業(yè)控制系統(tǒng)安全防護技術(shù)體系設計 [J].警察技術(shù)，2017（5）：19-22.

[4] 趙峰，馬躍強.基于等保2.0工業(yè)控制系統(tǒng)網(wǎng)絡安全技術(shù)防護方案的設計 [J].網(wǎng)絡安全技術(shù)與應用，2020（5）：109-111.

[5] 朱勝濤.把握戰(zhàn)略創(chuàng)新“四新”特征：新時代、新形勢、新探索、新路徑 [J].中國信息安全，2016（8）：56-57.

[6] 吳世忠，李斌，張曉菲，等.信息安全技術(shù) [M].北京：機械工業(yè)出版社，2014.

作者簡介：許冬濤（1978.10—），男，漢族，寧夏銀川人，工程師，本科，主要研究方向：互聯(lián)網(wǎng)+化工安全;李桂蘭（1984. 08—），女，回族，寧夏銀川人，工程師，研究生，主要研究方向：信息技術(shù)及應用。