甄濤

摘要：隨著兩化深度融合，加上互聯(lián)網(wǎng)技術(shù)和產(chǎn)品的廣泛應(yīng)用，工控系統(tǒng)的信息安全面臨嚴(yán)峻考驗(yàn)。以某石化企業(yè)的柴油加氫工藝系統(tǒng)為例，從安全區(qū)域的識(shí)別和分隔、區(qū)域邊界建立、區(qū)域邊界防護(hù)和區(qū)域內(nèi)部防護(hù)等方面，提出深度防御關(guān)注的安全區(qū)域建立方法，并對(duì)安全區(qū)域識(shí)別和防護(hù)過程進(jìn)行了探討。

關(guān)鍵詞：石化行業(yè)；工業(yè)控制系統(tǒng)；安全區(qū)域；深度防御；信息安全

DOIDOI：10.11907/rjdk.161739

中圖分類號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)文章編號(hào)：16727800（2016）009015103

基金項(xiàng)目基金項(xiàng)目：

作者簡(jiǎn)介作者簡(jiǎn)介：甄濤（1992-），男，河北石家莊人，上海理工大學(xué)光電信息與計(jì)算機(jī)工程學(xué)院碩士研究生，研究方向?yàn)楣た匦畔踩?/p>

0引言

信息時(shí)代，對(duì)石油化工等制造業(yè)而言，以震網(wǎng)蠕蟲為代表的木馬、病毒等對(duì)工業(yè)自動(dòng)化生產(chǎn)安全帶來(lái)了極大威脅，工業(yè)控制系統(tǒng)安全成為信息化時(shí)代企業(yè)安全生產(chǎn)的重中之重。最初的工控系統(tǒng)被設(shè)計(jì)為獨(dú)立封閉的系統(tǒng)，其安全風(fēng)險(xiǎn)主要來(lái)自設(shè)備運(yùn)行不穩(wěn)定、操作不合理等方面。但是，隨著信息化的推進(jìn)和工業(yè)化進(jìn)程的加速，越來(lái)越多的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)，在為工業(yè)生產(chǎn)帶來(lái)極大推動(dòng)作用的同時(shí)也帶來(lái)了諸如木馬、病毒、網(wǎng)絡(luò)攻擊等安全問題。

1石化行業(yè)工控系統(tǒng)面臨的信息安全問題

隨著石化行業(yè)信息化的不斷深入，管理的精細(xì)化和智能工廠的實(shí)施，都離不開實(shí)時(shí)的現(xiàn)場(chǎng)信息，因此管與控的結(jié)合就成為了必然趨勢(shì)。DCS控制系統(tǒng)與外界不再隔離，控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)之間廣泛采用OPC通信技術(shù)；此外，先進(jìn)過程控制（APC）也需要OPC技術(shù)建立通訊。目前，常用的OPC通訊隨機(jī)使用1024～65535中的任意端口，采用傳統(tǒng)IT防火墻進(jìn)行防護(hù)配置時(shí)，被迫需要開放大量端口，形成嚴(yán)重的安全漏洞；同時(shí)，OPC的訪問權(quán)限過于寬松，任意網(wǎng)絡(luò)中的任意計(jì)算機(jī)都可以運(yùn)行OPC中的服務(wù)；且OPC使用的Windows的DCOM和RPC服務(wù)極易受到攻擊。普通IT方后勤無(wú)法實(shí)現(xiàn)工業(yè)通訊協(xié)議過濾，網(wǎng)絡(luò)中某個(gè)操作站/工程師站感染病毒，會(huì)馬上傳播到其它計(jì)算機(jī)，造成所有操作站同時(shí)故障，嚴(yán)重時(shí)可導(dǎo)致操作站失控甚至停車[1]。目前，存在的工控信息安全問題主要有[2]：

（1）操作系統(tǒng)漏洞。目前，工業(yè)計(jì)算機(jī)操作系統(tǒng)大多采用Windows操作系統(tǒng)，甚至還有XP系統(tǒng)，這些一般不允許安裝操作系統(tǒng)的安全補(bǔ)丁和防病毒軟件。針對(duì)性的網(wǎng)絡(luò)攻擊、病毒感染都會(huì)給系統(tǒng)造成嚴(yán)重后果，而且由于漏洞和病毒公布的滯后性，殺毒軟件并不能有效地進(jìn)行防護(hù)。此外，不正當(dāng)?shù)牟僮?，比如，在?xiàng)目實(shí)施和后期維護(hù)中使用U盤、筆記本等外設(shè)，也會(huì)存在一定的安全隱患。

（2）隔離失效。大多數(shù)石化企業(yè)通過OPC的雙網(wǎng)卡結(jié)構(gòu)對(duì)數(shù)據(jù)采集網(wǎng)絡(luò)與控制網(wǎng)之間進(jìn)行了隔離，使得惡意程序無(wú)法直接攻擊控制網(wǎng)絡(luò)。但對(duì)于針對(duì)Windows系統(tǒng)漏洞的病毒，這種設(shè)置就失去了效果，造成病毒在數(shù)采網(wǎng)和控制網(wǎng)之間傳播。

（3）信息安全延遲性。若工業(yè)網(wǎng)絡(luò)遭受黑客攻擊，維護(hù)人員無(wú)法采取相應(yīng)措施，并查詢故障點(diǎn)和分析原因。通常情況下，小的信息安全問題直至發(fā)展成大的安全事故才會(huì)被發(fā)現(xiàn)和解決。

2柴油加氫控制系統(tǒng)安全防護(hù)簡(jiǎn)介

目前，我國(guó)煉油、石化等行業(yè)工業(yè)控制系統(tǒng)一般分為3部分：控制層、數(shù)據(jù)采集層和管理信息層，普遍采用DCS（分散控制系統(tǒng)）和PLC（可編程邏輯控制器）等數(shù)字化手段，自動(dòng)化程度高，多以DCS系統(tǒng)為核心、PLC為輔機(jī)控制，形成對(duì)設(shè)備組命令的下達(dá)與控制，并對(duì)DCS和PLC反饋的數(shù)據(jù)進(jìn)行分析以掌握設(shè)備組的整體運(yùn)行狀況。

某石化公司的柴油加氫系統(tǒng)采取安全防護(hù)后的拓?fù)浣Y(jié)構(gòu)如圖1所示。

實(shí)時(shí)服務(wù)器和組態(tài)服務(wù)器組成管理信息層；監(jiān)控層包括操作員站、工程師站、OPC應(yīng)用站和異構(gòu)系統(tǒng)工作站，控制層包括以DCS為主控制溫度顯示儀表、液位計(jì)、繼電器和閥門等儀表，PLC為輔控制報(bào)警器。其中，設(shè)備層與控制層通過模擬數(shù)字通信模塊通信。

其中：①信息層與數(shù)據(jù)采集層之間添加縱向隔離平臺(tái)，避免信息層向下采集數(shù)據(jù)時(shí)造成信息泄露；②異構(gòu)系統(tǒng)應(yīng)用站采用橫向隔離平臺(tái)，防止其它系統(tǒng)對(duì)加氫操作工藝產(chǎn)生不必要的影響；③引入智能防火墻，對(duì)工業(yè)協(xié)議和應(yīng)用程序進(jìn)行審計(jì)、監(jiān)控。

3工業(yè)網(wǎng)絡(luò)中的安全區(qū)域

按照IEC 62443定義，“區(qū)域”由邏輯的或物理的資產(chǎn)組成，并且共享通用的信息安全要求。區(qū)域是代表需考慮系統(tǒng)分區(qū)的實(shí)體集合，基于功能、邏輯和物理關(guān)系[3]。

3.1使用操作域識(shí)別區(qū)域

安全區(qū)域的建立，第一步就是識(shí)別所有操作域，以確定每個(gè)區(qū)域的組成及邊界所在。一般在工業(yè)網(wǎng)絡(luò)中建立區(qū)域時(shí)，要考慮的操作域包括有網(wǎng)絡(luò)連接控制回路、監(jiān)控系統(tǒng)、控制流程、控制數(shù)據(jù)存儲(chǔ)、交易通信、遠(yuǎn)程訪問以及用戶群體和工業(yè)協(xié)議組之類。其目的是通過隔離使各操作域受到攻擊的風(fēng)險(xiǎn)最低，從而進(jìn)一步使用各類安全產(chǎn)品和技術(shù)對(duì)每個(gè)操作域進(jìn)行保護(hù)，成為安全區(qū)域。然而現(xiàn)實(shí)情況下，有必要使用操作域間功能共享來(lái)簡(jiǎn)化操作域，從而有效地將重疊的操作域結(jié)合成一個(gè)獨(dú)立的更大的區(qū)域。

3.2區(qū)域邊界建立

理想情況下，每個(gè)操作域與其它區(qū)域都有明確的邊界，并且確保每個(gè)分區(qū)都采用獨(dú)特的安全防護(hù)設(shè)備，這樣邊界防御才能部署在正確的位置上。

識(shí)別區(qū)域后，將其映射到網(wǎng)絡(luò)，從而定義清晰的邊界，CIP-005-3[4]的NERC規(guī)則中提到該過程的要求。只有存在已被定義和管理的接入點(diǎn)，區(qū)域才會(huì)被保護(hù)。

3.3網(wǎng)絡(luò)架構(gòu)調(diào)整

所有設(shè)備都應(yīng)該直接連接到該區(qū)域或者該區(qū)域的任何設(shè)備上，然而，比如一臺(tái)打印機(jī)不屬于該區(qū)域，但是可能連接到本地交換機(jī)或路由器的接口或無(wú)線接入上。這種差錯(cuò)可能是不當(dāng)?shù)木W(wǎng)絡(luò)設(shè)計(jì)或網(wǎng)絡(luò)尋址的結(jié)果。當(dāng)定義了安全區(qū)域的劃分并對(duì)網(wǎng)絡(luò)架構(gòu)作出了必要的調(diào)整，這樣就具備了履行NERC CIP、ISA99、CFATS等符合規(guī)范性要求的必要信息。

3.4區(qū)域及其安全設(shè)備配置

防火墻、IDS（入侵檢測(cè)系統(tǒng)）和IPS（入侵防護(hù)系統(tǒng)）、安全信息和事件管理系統(tǒng)（SIEM）以及許多其它安全系統(tǒng)支持變量的使用，使得邊界安全控制與合規(guī)性要求相互關(guān)聯(lián)。

對(duì)于每一個(gè)區(qū)域，如下幾項(xiàng)都應(yīng)保持在最低限度[5]：①通過IP地址，將設(shè)備劃分到特定區(qū)域；②通過用戶名或其它標(biāo)志，獲得修改區(qū)域權(quán)限的用戶；③在區(qū)域中使用的協(xié)議、端口及服務(wù)。

創(chuàng)建這些變量將有助于制定用于增強(qiáng)區(qū)域邊界的防火墻和IDS規(guī)則，同時(shí)也會(huì)幫助安全監(jiān)管工具檢測(cè)策略異常并發(fā)出警報(bào)。

4對(duì)安全區(qū)域邊界和內(nèi)部的安全防護(hù)

CIP-005-4 R1要求在“任何關(guān)鍵網(wǎng)絡(luò)資產(chǎn)”邊界，以及該邊界上的所有訪問點(diǎn)都要建立通過對(duì)已建立、標(biāo)識(shí)并記錄歸檔電子安全邊界（ESP）[6]。區(qū)域周圍建立電子安全邊界可以提供直接的保護(hù)，并且防止對(duì)封閉系統(tǒng)未經(jīng)授權(quán)的訪問，同時(shí)防止從內(nèi)部訪問外部系統(tǒng)，這是很容易忽略的一點(diǎn)。

要使建立的電子安全邊界能有效保護(hù)入站和出站流量，必須達(dá)到兩點(diǎn)要求[4]：①所有的入站和出站流量必須通過一個(gè)和多個(gè)已知的、能夠被監(jiān)控和控制的網(wǎng)絡(luò)連接；②每個(gè)連接中應(yīng)該部署一個(gè)或多個(gè)安全設(shè)備。

4.1區(qū)域邊界安全防護(hù)

對(duì)于臨界點(diǎn)，NERC CIP和NRC CFR 73.54[7]給出了安全評(píng)價(jià)標(biāo)準(zhǔn)以及建議的改進(jìn)措施，如表1所示。

其中防火墻和IPS都被建議的原因是，防火墻和IPS設(shè)備具有不同的功能：防火墻限制了允許通過邊界的流量類型，而IPS則檢查已被允許通過的流量，目的是為了檢測(cè)惡意代碼或惡意軟件等帶有破壞目的的流量。這兩種設(shè)備的優(yōu)勢(shì)在于：①IPS可以對(duì)所有經(jīng)過防火墻的流量進(jìn)行深度包檢測(cè)（DPI）；②防火墻基于定義的安全區(qū)域變量限制了通過的流量，使IPS可以專注于這部分流量，并因此可以執(zhí)行更為全面和強(qiáng)大的IPS規(guī)則集。

4.2區(qū)域內(nèi)部安全防護(hù)

區(qū)域內(nèi)部由特定的設(shè)備以及這些設(shè)備之間各種各樣的網(wǎng)絡(luò)通信組成。區(qū)域內(nèi)部安全主要是通過基于主機(jī)安全來(lái)實(shí)現(xiàn)，通過控制終端用戶對(duì)設(shè)備的身份認(rèn)證、設(shè)備如何在網(wǎng)絡(luò)上通信、設(shè)備能訪問哪些文件以及可以通過設(shè)備執(zhí)行什么應(yīng)用程序。

主要的3種安全領(lǐng)域[5]：①訪問控制，包括用戶身份認(rèn)證和服務(wù)的可用性；②基于主機(jī)的網(wǎng)絡(luò)安全，包括主機(jī)防火墻和主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）；③反惡意軟件系統(tǒng)，如反病毒（AV）和應(yīng)用程序白名單（AWL）。

5結(jié)語(yǔ)

石油化工等關(guān)鍵基礎(chǔ)設(shè)施和能源行業(yè)關(guān)系國(guó)計(jì)民生，在我國(guó)兩化融合深入發(fā)展的同時(shí)，如何確保工控系統(tǒng)信息安全是石化行業(yè)信息化建設(shè)的重要研究課題。本文以某石化行業(yè)柴油加氫系統(tǒng)架構(gòu)為例，重點(diǎn)介紹了如何識(shí)別和分隔操作域，確定每個(gè)區(qū)域的邊界和組成，最終建立安全區(qū)域，并從外部使用防火墻、IDS、IPS以及應(yīng)用程序監(jiān)控器等安全設(shè)備，從內(nèi)部使用主機(jī)防火墻、主機(jī)IDS和應(yīng)用程序白名單等對(duì)工業(yè)控制系統(tǒng)進(jìn)行保護(hù)。

參考文獻(xiàn)參考文獻(xiàn)：

[1]李東周.工控蠕蟲病毒威脅，化企如何應(yīng)對(duì)？[N].中國(guó)化工報(bào)，20140527.

[2]溫克強(qiáng).石化行業(yè)工控系統(tǒng)信息安全的縱深防御[J].中國(guó)儀器儀表，2014（9）：3738.

[3]肖建榮.工業(yè)控制系統(tǒng)信息安全[M].北京：電子工業(yè)出版社，2015.

[4]NORTH AMERICAN RELIABILITY CORPORATION.Standard CIP0053.cyber security—electronic security perimeter[S].2009.

[5]納普.工業(yè)網(wǎng)絡(luò)安全：智能電網(wǎng)，SCADA和其他工業(yè)控制系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)備的網(wǎng)絡(luò)安全[M].周秦，譯.北京：國(guó)防工業(yè)出版社，2014.

[6]NORTH AMERICAN RELIABILITY CORPORATION.Standard CIP0054.cyber security—electronic security perimeter[S].2011.

[7]U.S. NUCLEAR REGULATORY COMMISSION.73.54 Protection of digital computer and communication systems and networks[S].2009.

責(zé)任編輯（責(zé)任編輯：孫娟）