榮俊勝

（榆林國重煤化工示范基地有限公司，陜西榆林 719000）

0 引言

在2019 年12 月1 日網(wǎng)絡(luò)安全等級(jí)保護(hù)三大核心標(biāo)準(zhǔn)實(shí)施，標(biāo)志著我國進(jìn)入網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”時(shí)代，在這一背景下，石化企業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全得到更多人的關(guān)注，這是因?yàn)閭鹘y(tǒng)的控制系統(tǒng)中存在諸多漏洞，例如無法審計(jì)網(wǎng)絡(luò)流量異常情況、難以及時(shí)識(shí)別異常攻擊現(xiàn)象等，上述問題可能會(huì)嚴(yán)重影響企業(yè)的正常生產(chǎn)，甚至造成關(guān)鍵數(shù)據(jù)資料大量丟失而造成巨大損失。為解決上述問題，則需要主動(dòng)分析網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”在石化企業(yè)控制系統(tǒng)中的應(yīng)用策略，這也是本文研究的主要目的。

1 網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”

作為國家網(wǎng)絡(luò)安全的最新標(biāo)準(zhǔn)，“等級(jí)保護(hù)2.0”不僅充分繼承了上一代標(biāo)準(zhǔn)中的合理內(nèi)容，也適當(dāng)創(chuàng)新管理模式，形成了相對(duì)完整的管理架構(gòu)，網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”的基本要求如表1 所示。

表1 網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”的基本要求

2 石化企業(yè)控制系統(tǒng)

目前石化企業(yè)控制系統(tǒng)主要包括：分散控制系統(tǒng)（DCS）、安全儀表系統(tǒng)（SIS）、壓縮機(jī)綜合控制系統(tǒng)（CCS）、可編程邏輯控制器（PLC）以及遠(yuǎn)程終端單元（RTU）、可燃?xì)怏w和有毒氣體檢測報(bào)警系統(tǒng)（GDS）等。目前石化企業(yè)“一廠多系統(tǒng)”的情況較為普遍，不同品牌控制系統(tǒng)的雜糅問題本身會(huì)帶來巨大的安全隱患，主要表現(xiàn)為：①不同品牌的控制系統(tǒng)在網(wǎng)絡(luò)連接過程中一直存在匹配不暢的情況，導(dǎo)致數(shù)據(jù)更容易被盜取或者泄漏。②不同品牌操作系統(tǒng)在運(yùn)用階段缺乏必要的協(xié)同防護(hù)能力，導(dǎo)致不法分子可以利用系統(tǒng)之間的漏洞缺陷而盜取或者篡改其中的關(guān)鍵數(shù)據(jù)[1]。

除此之外，石化企業(yè)在控制系統(tǒng)運(yùn)行期間還會(huì)使用組態(tài)不盡相同的控制軟件，如網(wǎng)絡(luò)管理系統(tǒng)（NMS 軟件）、制造企業(yè)生產(chǎn)過程執(zhí)行管理軟件（MES 軟件）、報(bào)警管理系統(tǒng)（ALMS 軟件）等，由于上述系統(tǒng)分別由不同供貨商提供，導(dǎo)致石化企業(yè)在系統(tǒng)軟件控制方案中無法形成統(tǒng)一的安全防護(hù)規(guī)則，這一行為也會(huì)增加網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

基于石化企業(yè)控制系統(tǒng)運(yùn)行現(xiàn)狀，網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”的出現(xiàn)則可以顯著提升企業(yè)網(wǎng)絡(luò)的安全保護(hù)等級(jí)，在諸多現(xiàn)代化信息網(wǎng)絡(luò)系統(tǒng)賦能下不僅能提升系統(tǒng)的完整性與安全性，也可以有效消除系統(tǒng)潛在安全隱患，具有可靠性。

3 網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”在石化企業(yè)控制系統(tǒng)中的應(yīng)用技術(shù)要點(diǎn)

3.1 基本設(shè)計(jì)思路

在本次石化企業(yè)控制系統(tǒng)功能改造上，通過網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”能構(gòu)建完整且有效的安全控制軟件，其主要功能包括云平臺(tái)網(wǎng)絡(luò)安全設(shè)計(jì)、虛擬主機(jī)安全設(shè)計(jì)、業(yè)務(wù)應(yīng)用訪問設(shè)計(jì)等。并且為最大限度提升系統(tǒng)安全水平，整個(gè)網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”方案設(shè)計(jì)實(shí)施階段選擇將虛擬安全設(shè)備部署在私有云平臺(tái)上，以滿足異地控制系統(tǒng)安全控制要求。其整體結(jié)構(gòu)如下。

（1）在云平臺(tái)層上將通過設(shè)置私有云平臺(tái)模式，與對(duì)應(yīng)的虛擬交換機(jī)、虛擬主機(jī)與虛擬存儲(chǔ)等對(duì)接，并直接提升虛擬安全水平。

（2）在虛擬化層設(shè)計(jì)中，將通過增設(shè)網(wǎng)絡(luò)資源池、計(jì)算資源池與存儲(chǔ)資源池等打造石化企業(yè)控制系統(tǒng)安全資源池，該資源池中包括虛擬防火墻、虛擬Web 應(yīng)用防火墻以及基于對(duì)象的虛擬系統(tǒng)的安全架構(gòu)等。

（3）物理層可以通過安全設(shè)備提供與控制系統(tǒng)相匹配的存儲(chǔ)、網(wǎng)絡(luò)環(huán)境，保證安全系統(tǒng)安全管理目標(biāo)實(shí)現(xiàn)。

3.2 石化企業(yè)控制系統(tǒng)云平臺(tái)安全設(shè)計(jì)

3.2.1 鏈路網(wǎng)絡(luò)安全防護(hù)策略

在鏈路網(wǎng)絡(luò)安全防護(hù)中，本次設(shè)計(jì)中選擇將控制系統(tǒng)安全網(wǎng)關(guān)部署在云平臺(tái)內(nèi)部交換機(jī)上，利用云平臺(tái)交換機(jī)與核心網(wǎng)關(guān)的相互配合作用能快速隔離平臺(tái)數(shù)據(jù)流量，減少外部不明數(shù)據(jù)對(duì)控制系統(tǒng)安全水平的影響[2]。同時(shí)將虛擬化防火墻布設(shè)在虛擬安全池內(nèi)部，上述安全補(bǔ)助方案能隨時(shí)監(jiān)控每個(gè)服務(wù)器之間的訪問流量變化情況，針對(duì)其中的異常流量能快速發(fā)出報(bào)警信息。

同時(shí)本次設(shè)計(jì)充分考慮到石化企業(yè)控制系統(tǒng)內(nèi)部業(yè)務(wù)的差異性，為提升安全防護(hù)等級(jí)選擇負(fù)載處理方法，并將Web 防火墻布設(shè)在平臺(tái)系統(tǒng)內(nèi)部，有助于提升系統(tǒng)的整體安全水平。

本次研究中引入一種直接結(jié)構(gòu)的網(wǎng)絡(luò)安全控制模式，該控制架構(gòu)能與石化企業(yè)的現(xiàn)場硬件傳感器、執(zhí)行器等完成控制互聯(lián)，整個(gè)控制過程可通過控制信號(hào)、報(bào)文以及傳感器測量信號(hào)等實(shí)現(xiàn)快速交互，所有控制信號(hào)均能直接封裝在報(bào)文中并將控制指令發(fā)送至功能設(shè)備上，直接結(jié)構(gòu)的網(wǎng)絡(luò)安全體系如圖1 所示。

圖1 直接結(jié)構(gòu)的網(wǎng)絡(luò)安全體系

3.2.2 旁路網(wǎng)絡(luò)安全審計(jì)方案

在本次系統(tǒng)安全旁路設(shè)計(jì)中，為強(qiáng)化對(duì)異常流量情況的識(shí)別能力，選擇在常規(guī)系統(tǒng)架構(gòu)基礎(chǔ)上增加虛擬機(jī)裝置，并將其安裝部署在云平臺(tái)內(nèi)部。在經(jīng)過上述改造方案后，通過流量鏡像虛擬機(jī)裝置能密切觀察不同虛擬服務(wù)器之間的流量交互情況，此時(shí)系統(tǒng)一旦識(shí)別異常安全數(shù)據(jù)即可將其發(fā)送至虛擬網(wǎng)絡(luò)審計(jì)模塊與虛擬IDS 模塊上，通過上述功能模塊則可以實(shí)時(shí)審計(jì)平臺(tái)內(nèi)部流量變化，而在系統(tǒng)遭受安全攻擊等現(xiàn)象后則會(huì)導(dǎo)致流量審計(jì)結(jié)果異常，此時(shí)系統(tǒng)會(huì)發(fā)出報(bào)警信息。

3.3 虛擬主機(jī)的安全設(shè)計(jì)方案

為保證石化企業(yè)控制系統(tǒng)虛擬主機(jī)系統(tǒng)安全，在本次系統(tǒng)設(shè)計(jì)中選擇將需要提升安全保護(hù)等級(jí)的虛擬設(shè)備安裝在物理主機(jī)上，通過主機(jī)提供的物理防護(hù)能力可減少病毒的入侵并提升網(wǎng)絡(luò)系統(tǒng)安全性。同時(shí)相關(guān)研究認(rèn)為，在控制系統(tǒng)結(jié)構(gòu)改造中控制系統(tǒng)操作平臺(tái)的黑客入侵以及病毒感染問題會(huì)極大威脅系統(tǒng)安全，為解決上述問題，在本次網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”改造中決定在平臺(tái)內(nèi)部安裝殺毒引擎，由該引擎負(fù)責(zé)處理系統(tǒng)平臺(tái)上的海量數(shù)據(jù)，之后通過調(diào)配虛擬安全資源池內(nèi)部的資源，進(jìn)一步提升系統(tǒng)安全性[3]。為實(shí)現(xiàn)上述目標(biāo)，本文在系統(tǒng)設(shè)計(jì)中將在虛擬平臺(tái)上增設(shè)若干個(gè)計(jì)算資源池，每個(gè)資源池中分別設(shè)置了虛擬AV 與虛擬主機(jī)兩個(gè)功能模塊，分別提供AV 引擎與AV 插件，并能在相同的操作系統(tǒng)下穩(wěn)定運(yùn)行。

3.4 業(yè)務(wù)訪問安全設(shè)計(jì)

目前在石化企業(yè)控制系統(tǒng)安全防護(hù)階段，為進(jìn)一步提升系統(tǒng)整體的安全水平，相關(guān)人員通常會(huì)采取兩種處理技術(shù)，分別為：①優(yōu)化用戶訪問應(yīng)用層與鏈路層的流程。②強(qiáng)化石化企業(yè)控制系統(tǒng)鏈路層與應(yīng)用層的防護(hù)模式。而在綜合對(duì)比兩種安全防護(hù)技術(shù)的優(yōu)勢之后，本文認(rèn)為構(gòu)建防護(hù)架構(gòu)是一種低成本且安全性高的方案，其具體技術(shù)策略如下。

（1）服務(wù)器端的安全防護(hù)策略。在本次石化企業(yè)控制系統(tǒng)業(yè)務(wù)訪問過程中，將通過虛擬交換機(jī)圍繞相應(yīng)的業(yè)務(wù)要求將其劃分為不同安全域，每項(xiàng)業(yè)務(wù)都與對(duì)應(yīng)的安全域相匹配，之后即可將其中高度匹配的業(yè)務(wù)服務(wù)器整合在更大的安全域中即可。在采用上述安全防護(hù)策略后，即可利用對(duì)應(yīng)的網(wǎng)關(guān)構(gòu)建訪問控制通道，即可，此時(shí)任何想要針對(duì)石化企業(yè)控制系統(tǒng)發(fā)起攻擊的流量僅能通過該通道實(shí)現(xiàn)，因此該系統(tǒng)能更好監(jiān)測各類黑客攻擊行為。而系統(tǒng)在識(shí)別非法行為以及違規(guī)訪問的用戶后即可自動(dòng)攔截非法訪問過程，因此更能提升石化企業(yè)控制系統(tǒng)安全性。

（2）用戶終端的安全防護(hù)過程。為提升石化企業(yè)控制系統(tǒng)的用戶終端防護(hù)能力，在本次設(shè)計(jì)中決定將其接入私有云平臺(tái)內(nèi)部，并通過虛擬堡壘機(jī)完成針對(duì)用戶終端的安全監(jiān)控過程[4]。該虛擬堡壘機(jī)的支持下能認(rèn)證所有訪問用戶的身份信息，此時(shí)若用戶身份訪問結(jié)果未通過，則系統(tǒng)會(huì)直接攔截訪問行為；若用戶身份能通過身份認(rèn)證環(huán)節(jié)，則會(huì)進(jìn)入終端安全認(rèn)證環(huán)節(jié)，即核對(duì)用戶歷史登錄IP 等，對(duì)于登錄IP 突然發(fā)生改變的情況則會(huì)提示安全攔截信息。除此之外，在整個(gè)防護(hù)過程中還需要通過安裝系統(tǒng)補(bǔ)丁以及更新數(shù)據(jù)庫等方法保護(hù)網(wǎng)絡(luò)信息安全，將系統(tǒng)潛在安全風(fēng)險(xiǎn)控制在萌芽狀態(tài)。

4 石化企業(yè)控制系統(tǒng)安全改進(jìn)方案

在網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”技術(shù)改造中，石化企業(yè)控制系統(tǒng)優(yōu)化與改進(jìn)可能面臨一系列新問題，因此需要根據(jù)各類常見技術(shù)問題構(gòu)建改進(jìn)策略。

4.1 解決關(guān)鍵鏈路無冗余問題

網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”中針對(duì)安全通信網(wǎng)絡(luò)層面的性能提出嚴(yán)格要求，即盡量優(yōu)化系統(tǒng)的冗余，強(qiáng)化控制系統(tǒng)安全性。同時(shí)結(jié)合石化企業(yè)控制系統(tǒng)建設(shè)現(xiàn)狀來看，在正常工況下對(duì)于可用性要求較高的系統(tǒng)，若核心網(wǎng)絡(luò)鏈路為單鏈路，關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)、關(guān)鍵網(wǎng)絡(luò)設(shè)備或關(guān)鍵計(jì)算設(shè)備無冗余設(shè)計(jì)，一旦出現(xiàn)故障，則可能導(dǎo)致服務(wù)中斷，故判定為高風(fēng)險(xiǎn)。為解決上述問題，在本次石化企業(yè)控制系統(tǒng)安全改造中可考慮在網(wǎng)絡(luò)架構(gòu)部署階段優(yōu)化思路，即選擇在核心網(wǎng)絡(luò)鏈路、關(guān)鍵網(wǎng)絡(luò)設(shè)備、關(guān)鍵計(jì)算設(shè)備均須采用冗余方式設(shè)計(jì)部署，熱備、負(fù)載均衡等都是常見的冗余部署方式。上述設(shè)計(jì)方法能有效解決關(guān)鍵鏈路不冗余問題，成為提升控制系統(tǒng)安全性的重要組成部分。

4.2 優(yōu)化入侵監(jiān)測功能

網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”對(duì)入侵行為檢測提出了詳細(xì)要求，即能在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)位置有效監(jiān)控各類網(wǎng)絡(luò)攻擊行為，并要有效預(yù)防在外部以及重要功能節(jié)點(diǎn)位置的網(wǎng)絡(luò)攻擊現(xiàn)象?；谏鲜鲆?，在石化企業(yè)控制系統(tǒng)中若關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)位置（或者網(wǎng)絡(luò)邊界點(diǎn)位上）未采取檢測措施的情況，則難以有效識(shí)別各類網(wǎng)絡(luò)攻擊行為，更難以提升控制系統(tǒng)的安全水平，此時(shí)系統(tǒng)處于高風(fēng)險(xiǎn)狀態(tài)。

為解決上述問題，在本次系統(tǒng)改造中可以采取以下應(yīng)對(duì)措施。

（1）在原有石化企業(yè)控制系統(tǒng)基礎(chǔ)上增加IPS 以及IDS、態(tài)勢感知系統(tǒng)等后即可有效提升系統(tǒng)的安全性水平[5]。除上述控制系統(tǒng)外，還可以考慮引入新型威脅情報(bào)監(jiān)測系統(tǒng)以及網(wǎng)絡(luò)回溯系統(tǒng)等，在上述系統(tǒng)賦能下能達(dá)到快速監(jiān)測安全事件的情況。

（2）在石化企業(yè)控制系統(tǒng)的實(shí)際部署場景中，當(dāng)網(wǎng)絡(luò)邊界未部署安全識(shí)別模塊的情況下，技術(shù)人員可考慮在主機(jī)上定期更新規(guī)則庫與策略庫，通過上述更新策略能有效檢測識(shí)別控制系統(tǒng)面臨的安全隱患。

4.3 提供集中監(jiān)控

集中監(jiān)控在網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”占據(jù)重要位置，該規(guī)定中規(guī)定在系統(tǒng)安全改造中需要密切監(jiān)測網(wǎng)絡(luò)鏈路以及網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)。因此在石化控制系統(tǒng)安全改造中需要針對(duì)不同應(yīng)用場景提供功能監(jiān)測模塊，主要監(jiān)測范圍包括設(shè)備安全狀態(tài)、網(wǎng)絡(luò)鏈路安全水平以及服務(wù)器運(yùn)行工況等，根據(jù)監(jiān)測結(jié)果可及時(shí)評(píng)定系統(tǒng)的安全性等級(jí)，若系統(tǒng)判定結(jié)果顯示發(fā)生故障時(shí)難以及時(shí)對(duì)故障進(jìn)行定位和處理，此時(shí)即可將系統(tǒng)安全等級(jí)劃分為高風(fēng)險(xiǎn)。為解決上述問題，則可通過在常規(guī)控制系統(tǒng)基礎(chǔ)上添加綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)，從技術(shù)優(yōu)勢來看，該系統(tǒng)能有效識(shí)別現(xiàn)有信息管理系統(tǒng)中的各類安全隱患，也能提供實(shí)時(shí)文件監(jiān)控以及上網(wǎng)行為控制、違規(guī)外聯(lián)管理等功能，是保障企業(yè)安全的關(guān)鍵，能集中監(jiān)控系統(tǒng)軟件運(yùn)行過程中的安全狀況。

5 結(jié)語

在當(dāng)前網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”條件下，石化企業(yè)控制系統(tǒng)的安全性改造已經(jīng)發(fā)展到新的階段，本文為實(shí)現(xiàn)系統(tǒng)安全而介紹的相關(guān)技術(shù)措施具有操作性強(qiáng)、應(yīng)用效果顯著的優(yōu)點(diǎn)，能在短時(shí)間內(nèi)提升控制系統(tǒng)安全水平，進(jìn)而充分滿足網(wǎng)絡(luò)安全“等級(jí)保護(hù)2.0”對(duì)系統(tǒng)安全性提出的新要求，對(duì)于解決傳統(tǒng)控制系統(tǒng)面臨的安全隱患有良好的識(shí)別與控制能力，值得做進(jìn)一步推廣。