許冬濤 李桂蘭

摘 ?要：文章針對煤制油化工行業(yè)工業(yè)控制系統(tǒng)信息安全防護方面，進行了防護技術(shù)規(guī)范探索研究，提供加強工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系安全性的優(yōu)化對策，為煤制油化工行業(yè)各單位工業(yè)控制安全防御提供管理和技術(shù)依據(jù)，指導(dǎo)各單位工業(yè)控制系統(tǒng)安全防護工作，確保工業(yè)控制系統(tǒng)安全運行的合規(guī)性、穩(wěn)定性，符合國家工業(yè)控制系統(tǒng)安全相關(guān)標(biāo)準(zhǔn)、規(guī)范和最佳實踐。

關(guān)鍵詞：煤制油化工行業(yè);工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全;防護技術(shù)規(guī)范

中圖分類號：TP273;TP309 ? ? ?文獻標(biāo)識碼：A 文章編號：2096-4706（2020）12-0136-04

Abstract：In this paper，the coal to liquid chemical industry industrial control system information security protection aspects of the exploration and research，to strengthen the industrial control system network security protection system optimization countermeasures，for the coal to liquid chemical industry units industrial control security defense to provide management and technical basis，guide each unit industrial control system security protection work，to ensure the compliance and stability of industrial control system safe operation，and comply with national industrial control system safety related standards，specifications and best practices.

Keywords：coal to liquid chemical industry;information security of industrial control system;technical specification for protection

0 ?引 ?言

當(dāng)前，新一輪科技革命和產(chǎn)業(yè)變革加速演進，5G、大數(shù)據(jù)、云計算、邊緣計算、工業(yè)互聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等新興技術(shù)加快向經(jīng)濟社會各領(lǐng)域滲透融合，工業(yè)領(lǐng)域向數(shù)字化、網(wǎng)絡(luò)化、智能化邁進的步伐不斷加快，隨著工業(yè)體系從封閉系統(tǒng)走向互聯(lián)開放，加強工業(yè)體系信息安全建設(shè)越來越成為事關(guān)經(jīng)濟發(fā)展、社會穩(wěn)定、人民福祉和國家安全的重大問題，共建工業(yè)安全生態(tài)，不僅是推動“制造強國”和“網(wǎng)絡(luò)強國”建設(shè)的關(guān)鍵支撐，更是制造業(yè)高質(zhì)量發(fā)展的新動能、經(jīng)濟社會創(chuàng)新發(fā)展的新引擎。

自2010年起，全球重大工業(yè)控制系統(tǒng)（以下簡稱：工控系統(tǒng)）信息安全事故大幅度增加，由2012年的197起直接增加到了2019年的329起。7年時間里，工控系統(tǒng)信息安全事故發(fā)生的次數(shù)逐年增長，給工控系統(tǒng)的安全使用和防護管理帶來了嚴(yán)重挑戰(zhàn)。如圖1所示。

僅2020上半年，網(wǎng)絡(luò)攻擊工控系統(tǒng)重大事件頻發(fā)，涉及電力、水利、能源、交通等關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，提高安全意識、加強安全防護勢在必行。例如2020年5月9日，瑞士鐵路機車制造商遭到了網(wǎng)絡(luò)攻擊，攻擊者設(shè)法滲透了它的IT網(wǎng)絡(luò)，并用惡意軟件感染了部分計算機，很可能已經(jīng)竊取到部分?jǐn)?shù)據(jù)。2020年5月5日委內(nèi)瑞拉國家電網(wǎng)干線遭到攻擊，造成全國大面積停電。2020年5月，臺灣石油，汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司（FPCC）在過去兩天內(nèi)都受到了網(wǎng)絡(luò)攻擊;2020年4月葡萄牙跨國能源公司EDP遭到勒索軟件攻擊。工控安全事件所屬行業(yè)細分如圖2所示。

面對目前工控系統(tǒng)信息安全面臨的重大挑戰(zhàn)，2011年工信部下發(fā)《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，強調(diào)了加強工控系統(tǒng)信息安全管理的重要性和緊迫性，并明確了重點領(lǐng)域如：石油石化、電力、化工等行業(yè)工控系統(tǒng)信息安全管理要求。

1 ?煤制油化工行業(yè)工控系統(tǒng)信息安全現(xiàn)狀

工業(yè)與IT的高度融合一體化迅速發(fā)展，越來越多的工控系統(tǒng)采用通用硬件和通用軟件，與企業(yè)網(wǎng)中運行的生產(chǎn)管理信息系統(tǒng)之間實現(xiàn)了互聯(lián)、互通、互操作，甚至可以通過互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等直接或間接地訪問，導(dǎo)致工控系統(tǒng)信息安全被攻擊的可能性增高。煤制油化工行業(yè)各生產(chǎn)單位工控系統(tǒng)網(wǎng)絡(luò)安全防護薄弱，導(dǎo)致工控系統(tǒng)網(wǎng)絡(luò)安全問題直接威脅到生產(chǎn)運行的安全、穩(wěn)定運行。

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式頒布施行，2019年12月1日，國家頒布《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239—2019），《國家能源集團2020年度科技創(chuàng)新重點研發(fā)方向指南》指出發(fā)展工控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)。

國家能源集團寧夏煤業(yè)公司煤制油化工板塊各生產(chǎn)單位均為連續(xù)性生產(chǎn)，生產(chǎn)過程控制采用DCS、PLC、SIS、SCADA等工控系統(tǒng)，一旦有工控安全事件發(fā)生，裝置和重要設(shè)備的意外停車都會導(dǎo)致巨大的安全事故和經(jīng)濟損失，工控系統(tǒng)網(wǎng)絡(luò)安全問題直接威脅到生產(chǎn)運行的的安全、穩(wěn)定運行。

國家能源集團依據(jù)國家相關(guān)政策文件要求，已積極開展工控系統(tǒng)安全防護工作，工控系統(tǒng)安全國際標(biāo)準(zhǔn)主要集中在電力系統(tǒng)信息安全領(lǐng)域，符合煤制油化工行業(yè)工控系統(tǒng)網(wǎng)絡(luò)信息安全防護實際需求的信息技術(shù)標(biāo)準(zhǔn)處于空白狀態(tài)，日常維護、升級改造缺乏可操作性技術(shù)標(biāo)準(zhǔn)。急需在國家工控系統(tǒng)網(wǎng)絡(luò)信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)基礎(chǔ)上，結(jié)合煤制油化工行業(yè)生產(chǎn)實際需求，制定煤制油化工行業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)規(guī)范。

2 ?煤制油化工行業(yè)工控系統(tǒng)信息安全防護技術(shù)規(guī)范體系建設(shè)規(guī)范要求

2.1 ?工控系統(tǒng)信息安全防護分層分級依據(jù)

應(yīng)在國家法律法規(guī)及標(biāo)準(zhǔn)框架內(nèi)，采用國際國內(nèi)成熟技術(shù)對工控網(wǎng)絡(luò)進行有效防護，在不對現(xiàn)有工控系統(tǒng)網(wǎng)絡(luò)作大改動的情況下進行網(wǎng)絡(luò)的分隔和隔離，加固系統(tǒng)的防御能力。依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239—2019）進行分層分級。分別是分為層級0現(xiàn)場設(shè)備層（傳感器，執(zhí)行器）、層級1現(xiàn)場控制層（分布式控制DCS和邏輯控制PLC等）、層級2過程監(jiān)控層（SCADA數(shù)據(jù)采集和監(jiān)控）、層級3生產(chǎn)管理層（MES、生產(chǎn)調(diào)度和維護）、層級4企業(yè)資源層（OA系統(tǒng)、ERP系統(tǒng)等）。如圖3所示。

2.2 ?工控系統(tǒng)信息安全防護體系原則要求

工控系統(tǒng)是一個內(nèi)部強耦合、關(guān)聯(lián)作用緊密的整體。工控安全必須結(jié)合工藝業(yè)務(wù)要求進行安全保障，簡單以“零和思維”“木桶理論”等思路或試圖用一個統(tǒng)一的技術(shù)思路來解決工控安全問題都有失偏頗。解決安全防護整體化，構(gòu)建工控系統(tǒng)安全可信環(huán)境，應(yīng)實現(xiàn)工控系統(tǒng)物理、網(wǎng)絡(luò)、終端、管理和數(shù)據(jù)的多角度、全方位保護。建立和實施適合的工控系統(tǒng)安全防護體系以應(yīng)對工控系統(tǒng)安全風(fēng)險。煤制油化工行業(yè)工控系統(tǒng)安全防護體系包括：安全戰(zhàn)略與合規(guī)、風(fēng)險評估與管理、安全治理與架構(gòu)、威脅與脆弱性管理、安全應(yīng)急管理5個部分。企業(yè)建立工控系統(tǒng)安全體系可參考以下模型，如圖4所示。

3 ?煤制油化工行業(yè)工控系統(tǒng)信息安全防護技術(shù)要求

3.1 ?分層分級技術(shù)規(guī)范要求

根據(jù)實際情況允許將圖3所示的部分層級合并。工控系統(tǒng)過程監(jiān)控層與生產(chǎn)管理層在保證安全的情況下可實現(xiàn)數(shù)據(jù)傳輸。工控系統(tǒng)網(wǎng)絡(luò)配置應(yīng)符合“橫向分區(qū)、縱向分層、綜合防護”的原則。應(yīng)在過程監(jiān)控層各級交換機配置網(wǎng)絡(luò)審計，應(yīng)在過程監(jiān)控層核心交換機配置具有網(wǎng)絡(luò)安全審計、日志審計、和工業(yè)入侵檢測功能等網(wǎng)絡(luò)安全監(jiān)控設(shè)備或者系統(tǒng)，部署工控安全態(tài)勢感知系統(tǒng)。如圖5所示。

3.1.1 ?分區(qū)原則

應(yīng)明確工控系統(tǒng)的防護邊界，采用工業(yè)防火墻、工業(yè)網(wǎng)閘等網(wǎng)絡(luò)隔離設(shè)備，在工控系統(tǒng)內(nèi)部邊界進行橫向隔離，在工控系統(tǒng)與企業(yè)資源層之間進行縱向隔離。

工控系統(tǒng)“橫向分區(qū)”應(yīng)根據(jù)工藝操作需要和數(shù)據(jù)交換最小原則進行網(wǎng)絡(luò)分區(qū)。分區(qū)之間禁止互相操作并控制變量傳遞。各分區(qū)網(wǎng)絡(luò)和設(shè)備應(yīng)能獨立運行、獨立啟動，數(shù)據(jù)應(yīng)能獨立存儲。工控系統(tǒng)縱向各層級、橫向各區(qū)域間應(yīng)加裝網(wǎng)絡(luò)隔離設(shè)備，網(wǎng)絡(luò)隔離設(shè)備應(yīng)具有旁路模式。

DCS與第三方設(shè)備之間采用Modbus TCP、S7、OPC等通信協(xié)議，應(yīng)增加工業(yè)防火墻或工業(yè)網(wǎng)閘，嚴(yán)格控制對控制器的寫入權(quán)限。

3.1.2 ?工控系統(tǒng)網(wǎng)絡(luò)間安全防護

工控系統(tǒng)各系統(tǒng)間應(yīng)加裝網(wǎng)絡(luò)隔離設(shè)備。DCS、PLC、SCADA等控制系統(tǒng)的OPC服務(wù)器應(yīng)通過工業(yè)防火墻等網(wǎng)絡(luò)隔離設(shè)備與數(shù)據(jù)采集系統(tǒng)（如實時數(shù)據(jù)庫系統(tǒng)）相連。OPC服務(wù)器與數(shù)據(jù)采集系統(tǒng)接口采集機相連的網(wǎng)卡應(yīng)獨立設(shè)置，OPC服務(wù)器應(yīng)通過工業(yè)防火墻等網(wǎng)絡(luò)隔離設(shè)備與接口機傳輸數(shù)據(jù)。不同應(yīng)用的OPC服務(wù)器應(yīng)獨立設(shè)置，禁止OPC服務(wù)器與工程師站共用。

3.2 ?工控系統(tǒng)信息安全邊界防護要求

過程監(jiān)控層與生產(chǎn)管理層的邊界部署單向網(wǎng)絡(luò)隔離設(shè)備，實現(xiàn)工控系統(tǒng)與企業(yè)資源層之間的隔離。嚴(yán)格禁止E-mail、Web、Telnet、Rlogin、FTP等安全風(fēng)險高的網(wǎng)絡(luò)服務(wù)和以B/S或C/S方式的數(shù)據(jù)庫訪問穿越網(wǎng)絡(luò)隔離設(shè)備。應(yīng)針對工控系統(tǒng)的開發(fā)、測試和生產(chǎn)分別提供獨立環(huán)境，避免將開發(fā)、測試環(huán)境中的安全風(fēng)險引入生產(chǎn)系統(tǒng)。

工控系統(tǒng)生產(chǎn)業(yè)務(wù)系統(tǒng)若需與第三方環(huán)保、安監(jiān)、能耗等政府部門進行數(shù)據(jù)傳輸，應(yīng)部署單向網(wǎng)絡(luò)隔離設(shè)備。

3.3 ?工控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測配置要求

通過采集工業(yè)網(wǎng)絡(luò)流量、計算環(huán)境、業(yè)務(wù)應(yīng)用、資產(chǎn)、審計日志、運行狀況、脆弱性、安全事件和威脅情報等數(shù)據(jù)，利用大數(shù)據(jù)技術(shù)和自學(xué)習(xí)模式技術(shù)，分析工業(yè)網(wǎng)絡(luò)行為及用戶行為等因素構(gòu)成的整個工業(yè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢，獲取、理解、回溯、顯示能夠引起工業(yè)網(wǎng)絡(luò)態(tài)勢變化的安全要素，建立預(yù)測工業(yè)網(wǎng)絡(luò)安全態(tài)勢發(fā)展趨勢的平臺，及時發(fā)現(xiàn)異常訪問、非法外聯(lián)、外部入侵等安全事件并告警。

3.4 ?安全物理環(huán)境

工控系統(tǒng)機房所在建筑應(yīng)采用有效防水、防潮、防火、防靜電、防雷擊、防盜竊、防破壞措施，建議配置電子門禁系統(tǒng)以加強物理訪問控制，并對關(guān)鍵設(shè)備及磁介質(zhì)實施電磁屏蔽。

3.5 ?主機加固

DCS、SIS等關(guān)鍵應(yīng)用系統(tǒng)的服務(wù)器工程師站、操作站、歷史服務(wù)器、APC服務(wù)器、OPC服務(wù)器等，應(yīng)對其進行安全加固，包括惡意代碼防范、防病毒軟件、白名單機制、系統(tǒng)漏洞補丁升級、外設(shè)管控等技術(shù)手段。

3.6 ?數(shù)據(jù)備份及應(yīng)急演練

應(yīng)定期對關(guān)鍵業(yè)務(wù)的數(shù)據(jù)進行備份，定期進行備份數(shù)據(jù)恢復(fù)測試。

應(yīng)制訂工控系統(tǒng)網(wǎng)絡(luò)信息安全應(yīng)急處置預(yù)案，每年至少進行一次應(yīng)急預(yù)案演練。

3.7 ?工控系統(tǒng)安全防護管理體系要求

各單位應(yīng)按照“誰主管、誰負責(zé)，誰運營、誰負責(zé)”的原則，建立工控系統(tǒng)網(wǎng)絡(luò)安全管理制度，各單位負責(zé)所轄范圍內(nèi)工控系統(tǒng)網(wǎng)絡(luò)的安全管理。

4 ?主要創(chuàng)新點

（1）依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239—2019）等國家標(biāo)準(zhǔn)，探索制定煤制油化工領(lǐng)域工控系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)規(guī)范標(biāo)準(zhǔn);（2）研究工控系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)規(guī)范標(biāo)準(zhǔn)，指導(dǎo)各生產(chǎn)單位提升工控安全防護等級，筑牢網(wǎng)絡(luò)信息安全防火墻;（3）提供加強工控系統(tǒng)網(wǎng)絡(luò)安全防護體系安全性提升的優(yōu)化對策，為煤制油化工行業(yè)各單位工控安全防御提供管理和技術(shù)依據(jù);（4）逐步構(gòu)建起完整的、有針對性的工控系統(tǒng)網(wǎng)絡(luò)安全防護體系，橫向分區(qū)、縱向分層、綜合防護。

5 ?煤制油化工行業(yè)工控系統(tǒng)信息安全防護目標(biāo)

工控系統(tǒng)的安全防護目標(biāo)主要包含：（1）抵御外部發(fā)起的惡意攻擊和破壞;（2）防止病毒、木馬、蠕蟲對工控系統(tǒng)造成不利影響和破壞;（3）保障工控系統(tǒng)的安全、可靠、穩(wěn)定運行。

6 ?結(jié) ?論

通過煤制油化工行業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)規(guī)范的探索與研究，將有助于指導(dǎo)煤制油化工行業(yè)各生產(chǎn)單位提升工控安全防護，確保工控系統(tǒng)的信息安全及其運行的合規(guī)性、穩(wěn)定性，符合國家工控系統(tǒng)的系統(tǒng)安全相關(guān)標(biāo)準(zhǔn)、規(guī)范和最佳實踐，確保防護范圍內(nèi)工控系統(tǒng)業(yè)務(wù)數(shù)據(jù)的“可用性、完整性、機密性”。

參考文獻：

[1] 工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟.工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)白皮書（2019版） [R/OL].（2019-12-23）.http：//nisia.org.cn/filedownload/194706.

[2] 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會.信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求：GB/T 22239—2019 [S].北京：中國標(biāo)準(zhǔn)出版社，2019.

[3] 傅一帆，霍玉鮮.網(wǎng)絡(luò)安全等級保護工業(yè)控制系統(tǒng)安全防護技術(shù)體系設(shè)計 [J].警察技術(shù)，2017（5）：19-22.

[4] 趙峰，馬躍強.基于等保2.0工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護方案的設(shè)計 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（5）：109-111.

[5] 朱勝濤.把握戰(zhàn)略創(chuàng)新“四新”特征：新時代、新形勢、新探索、新路徑 [J].中國信息安全，2016（8）：56-57.

[6] 吳世忠，李斌，張曉菲，等.信息安全技術(shù) [M].北京：機械工業(yè)出版社，2014.

作者簡介：許冬濤（1978.10—），男，漢族，寧夏銀川人，工程師，本科，主要研究方向：互聯(lián)網(wǎng)+化工安全;李桂蘭（1984. 08—），女，回族，寧夏銀川人，工程師，研究生，主要研究方向：信息技術(shù)及應(yīng)用。