大型煉化廠工控系統(tǒng)安全防護(hù)方案研究

◆李 季

（廣州地鐵集團(tuán)有限公司 廣東 510330）

隨著兩化融合在煉化行業(yè)中加速發(fā)展，石化和化工企業(yè)普遍采用了高度自動(dòng)化的生產(chǎn)技術(shù)裝備和高度信息化的運(yùn)營管理手段，極大地提升了生產(chǎn)效率。與此同時(shí)，嚴(yán)峻的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也如影隨形。煉化廠工控系統(tǒng)的網(wǎng)絡(luò)化、智能化在提高生產(chǎn)效率和管理效率的同時(shí)，也為惡意攻擊者增加了新的攻擊途徑，針對工控系統(tǒng)的攻擊技術(shù)和手段不斷發(fā)展，各種工控系統(tǒng)惡意軟件以及安全事件層出不窮，使得工控系統(tǒng)面臨越來越多的安全威脅和挑戰(zhàn)。煉油行業(yè)網(wǎng)絡(luò)信息安全防護(hù)有其特殊性。一是其防護(hù)的攻擊主體特殊，與以謀財(cái)、牟利為目的的網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)入侵等傳統(tǒng)網(wǎng)絡(luò)攻擊所不同，產(chǎn)業(yè)入侵者不會(huì)是一般意義上的“黑客”，而很可能是恐怖組織甚至是敵對國家力量支撐的組織；二是遭受攻擊破壞后果嚴(yán)重，大型煉油或化工裝置的關(guān)鍵設(shè)施一旦遭受攻擊，會(huì)直接威脅到國民經(jīng)濟(jì)的發(fā)展和社會(huì)安定[1]。

1 煉化廠工控系統(tǒng)現(xiàn)狀分析

1.1 脆弱性分析

（1）操作系統(tǒng)

煉化廠工作站多數(shù)采用 Windows操作系統(tǒng)，一般系統(tǒng)上線后，很少對工作站和服務(wù)器很少打補(bǔ)丁，存在系統(tǒng)漏洞，系統(tǒng)安全配置未啟用或配置薄弱，從而埋下安全隱患。另一方面，防病毒軟件的安裝不全面，即使安裝后也不及時(shí)更新防惡意代碼軟件版本和惡意代碼庫[2]。

（2）應(yīng)用軟件

工控系統(tǒng)的監(jiān)控軟件（組態(tài)軟件）、OPC軟件、APC優(yōu)化控制軟件、網(wǎng)絡(luò)管理軟件等應(yīng)用系統(tǒng)，由于應(yīng)用軟件多種多樣，很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對安全問題，有可能存在較大的權(quán)限泄露風(fēng)險(xiǎn)[2]。

（3）控制設(shè)備

在煉化廠的工控系統(tǒng)中，絕大多數(shù)采用的是國外的品牌，如霍尼韋爾、橫河、西門子、羅杰康等。這些設(shè)備已暴露出大量的漏洞甚至后門，一方面在網(wǎng)絡(luò)互聯(lián)狀態(tài)下存在生產(chǎn)數(shù)據(jù)泄漏風(fēng)險(xiǎn)，另一方面現(xiàn)場控制設(shè)備基本沒有安全防護(hù)能力，不法人員利用設(shè)備漏洞可以對現(xiàn)場設(shè)備進(jìn)行篡改和惡意控制。這些漏洞一旦被利用，造成的攻擊不堪設(shè)想、損失不可估計(jì)。

（4）工業(yè)協(xié)議

在煉化系統(tǒng)中大量采用OPC協(xié)議通信，而OPCClassic協(xié)議(OPCDA，OPCHAD和OPCA&E)基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認(rèn)識之前設(shè)計(jì)的，極易受到攻擊，并且OPC通訊采用不固定的端口號。同時(shí)，DCOM配置要求OPC服務(wù)端和多個(gè)OPC客戶端使用相同用戶名和口令，OPC客戶端有對服務(wù)端數(shù)據(jù)進(jìn)行讀取、修改等全部的訪問權(quán)限，不滿足最小授權(quán)原則，造成采集數(shù)據(jù)安全性無法得到保障[3]。

（5）工程師站

工程師站缺少身份認(rèn)證和接入控制策略，且操作權(quán)限大，便攜式工程師站成為工控安全的重大隱患。工程師站對操作站、DCS控制器的組態(tài)行為一般無身份認(rèn)證和訪問控制，并且擁有最高的操作權(quán)限，可以任意修改控制邏輯和流程，非法的工程師站成為工控安全的重大隱患。有些行業(yè)工程師站登陸過程缺少身份認(rèn)證，且工程師站對操作站、控制器等進(jìn)行組態(tài)時(shí)均缺乏身份認(rèn)證，存在任意工程師站可以對操作站、現(xiàn)場設(shè)備直接組態(tài)的可能性。

（6）廣播風(fēng)暴

在一些較大型的煉化網(wǎng)絡(luò)中，當(dāng)大量廣播信息，如地址查詢等同時(shí)在網(wǎng)絡(luò)中傳播時(shí)，會(huì)發(fā)生數(shù)據(jù)包的碰撞。隨后，網(wǎng)絡(luò)試圖緩解這些碰撞并重傳更多的數(shù)據(jù)包，結(jié)果導(dǎo)致全網(wǎng)的可用帶寬阻塞，并最終使得網(wǎng)絡(luò)失去鏈接而癱瘓，該過程稱為廣播風(fēng)暴[4]。另外現(xiàn)在的蠕蟲病毒往往占據(jù)計(jì)算機(jī)的資源，使應(yīng)用程序無法響應(yīng)系統(tǒng)的要求，造成系統(tǒng)的堵塞或崩潰。

1.2 安全分析

（1）網(wǎng)絡(luò)邊界模糊，缺少控制措施

煉化廠過程控制層與生產(chǎn)監(jiān)控層之間、各生產(chǎn)車間之間以及不同功能監(jiān)控系統(tǒng)之間，系統(tǒng)邊界不清晰，邊界訪問控制策略缺失，無法保障工控網(wǎng)絡(luò)、生產(chǎn)設(shè)備安全。

例如，煉化系統(tǒng)DCS過程監(jiān)控層與生產(chǎn)管理網(wǎng)的OPC數(shù)采機(jī)連接處、先進(jìn)控制系統(tǒng)的連接處以及操作員站之間的連接處缺少訪問控制措施，網(wǎng)絡(luò)連接處易受病毒侵襲風(fēng)險(xiǎn)。OPC協(xié)議在使用過程中，OPC服務(wù)端和多個(gè)OPC客戶端使用相同用戶名和口令。OPC客戶端有對服務(wù)端數(shù)據(jù)進(jìn)行讀取、修改等全部的訪問權(quán)限，不滿足最小授權(quán)原則[5]。

（2）缺少網(wǎng)絡(luò)安全審計(jì)

煉化廠內(nèi)部控制系統(tǒng)及網(wǎng)絡(luò)缺乏安全監(jiān)測與審計(jì)機(jī)制，不能及時(shí)了解網(wǎng)絡(luò)狀況（如違規(guī)操作、病毒木馬入侵、關(guān)鍵配置變更、網(wǎng)絡(luò)風(fēng)暴等），一旦發(fā)生問題不能及時(shí)確定問題所在，不能及時(shí)排查到故障點(diǎn)，排查過程耗費(fèi)大量人力成本、時(shí)間成本。

（3）主機(jī)帶“洞”運(yùn)行，存在諸多安全隱患

煉化系統(tǒng)現(xiàn)場工程師站、操作員站大多數(shù)安裝的是Windows操作系統(tǒng)，由于傳統(tǒng) DCS控制系統(tǒng)內(nèi)外網(wǎng)的完全隔離的網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)及應(yīng)用軟件兼容性等方面的考慮，操作系統(tǒng)基本上不進(jìn)行任何補(bǔ)丁的更新，這也為針對操作系統(tǒng)漏洞的攻擊提供了可能。

另外，用于工控系統(tǒng)的 Windows操作系統(tǒng)基于工控軟件與殺毒軟件的兼容性的考慮，通常不安裝殺毒軟件，給病毒與惡意代碼傳染與擴(kuò)散留下了空間[6-7]。

（4）缺少安全日志收集手段

像DCS、PLC、SCADA等系統(tǒng)都存有日志，定期進(jìn)行管理；而對交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備、安全設(shè)備的運(yùn)行日志沒用過多關(guān)注，缺乏對日志的審計(jì)，無法第一時(shí)間感知系統(tǒng)威脅。

（5）缺少運(yùn)維審計(jì)手段

大型DCS系統(tǒng)的運(yùn)維服務(wù)一般交由廠商或系統(tǒng)集成商委托運(yùn)維，如先進(jìn)控制系統(tǒng)（APC）一般由第三方軟件供應(yīng)商提供，針對第三方對系統(tǒng)的運(yùn)維缺少必要的運(yùn)維審計(jì)措施，運(yùn)維行為不可控，是否合規(guī)無法感知，存在重大的安全隱患，需要加強(qiáng)監(jiān)管。

（6）上線前未測試，系統(tǒng)帶“病”運(yùn)行

一些煉化的工控系統(tǒng)在上線前未進(jìn)行安全性測試，系統(tǒng)上線后存在大量安全風(fēng)險(xiǎn)漏洞，安全配置薄弱，甚至有的系統(tǒng)帶毒工作。

存在使用移動(dòng)存儲介質(zhì)不規(guī)范問題，易引入病毒及黑客攻擊程序。在工控系統(tǒng)運(yùn)維和使用過程中，存在隨意使用U盤、光盤、移動(dòng)硬盤等移動(dòng)存儲介質(zhì)現(xiàn)象，有可能傳染病毒、木馬等威脅工控系統(tǒng)。

2 煉化廠工控系統(tǒng)安全防護(hù)設(shè)計(jì)

2.1 防護(hù)思路

（1）安全分區(qū)

根據(jù)工控系統(tǒng)業(yè)務(wù)的重要性、功能等因素劃分不同安全區(qū)，在各安全區(qū)之間采取相應(yīng)的隔離措施；另外也要從綜合成本的角度，提出針對不同工控系統(tǒng)特點(diǎn)的保護(hù)強(qiáng)度，在不影響整體安全性的前提下，有效控制安全成本。

（2）“白名單”基線

應(yīng)從工控系統(tǒng)設(shè)備準(zhǔn)入、操作行為、通訊鏈路、主機(jī)進(jìn)程等方面構(gòu)建白名單安全基線。

（3）縱深防御體系

應(yīng)構(gòu)建多方面、多層次、多手段的技術(shù)安全防護(hù)體系（涉及邊界防護(hù)、訪問控制、接入管控、異常檢測、終端加固、流量基線、行為白名單、進(jìn)程白名單以及U盤管控等方面）。

（4）綜合審計(jì)

建立多方面綜合立體審計(jì)體系，包括設(shè)備接入審計(jì)、網(wǎng)絡(luò)審計(jì)、操作審計(jì)及安全運(yùn)維審計(jì)等。

（5）統(tǒng)一安全管理

通過統(tǒng)一安全管理平臺實(shí)時(shí)搜集，大數(shù)據(jù)關(guān)聯(lián)分析，實(shí)時(shí)動(dòng)態(tài)發(fā)現(xiàn)工控系統(tǒng)網(wǎng)絡(luò)中的風(fēng)險(xiǎn)并預(yù)警。有效提高信息安全工作效率，降低人員安全維護(hù)成本，提升企業(yè)生產(chǎn)業(yè)務(wù)系統(tǒng)的整體安全防護(hù)水平。

2.2 安全架構(gòu)設(shè)計(jì)

依據(jù)上述安全現(xiàn)狀和防護(hù)思路，煉化廠工控系統(tǒng)安全架構(gòu)設(shè)計(jì)如圖1所示。

（1）邊界防護(hù)

邊界在防護(hù)產(chǎn)品通常以串接方式接入，部署在工控以太網(wǎng)與企業(yè)管理網(wǎng)絡(luò)之間、工廠的不同區(qū)域之間，或者控制層與現(xiàn)場設(shè)備層之間。通過一定的訪問控制策略，對工控系統(tǒng)邊界、工控系統(tǒng)內(nèi)部區(qū)域邊界進(jìn)行保護(hù)。

在生產(chǎn)管理層與企業(yè)資源層之間部署網(wǎng)閘設(shè)備，進(jìn)行APC網(wǎng)絡(luò)與生產(chǎn)網(wǎng)進(jìn)行邊界安全防護(hù)。過程監(jiān)控網(wǎng)和生產(chǎn)管理層之間部署工業(yè)防火墻設(shè)備，基于工控協(xié)議配置合理的主機(jī)訪問規(guī)則，并針對工業(yè)控制網(wǎng)絡(luò)在同一個(gè)大網(wǎng)的情況，通過ACL等安全訪問策略的配置對生產(chǎn)網(wǎng)絡(luò)進(jìn)行邏輯分區(qū)。

圖1 煉化廠工控系統(tǒng)安全防護(hù)架構(gòu)設(shè)計(jì)

（2）網(wǎng)絡(luò)審計(jì)

部署在過程監(jiān)控層與過程控制層之間的交換機(jī)上的監(jiān)測引擎通過鏡像接口分析 DCS系統(tǒng)中的網(wǎng)絡(luò)流量，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量或設(shè)備的異常情況并告警，通常不會(huì)主動(dòng)阻斷通信，產(chǎn)品自身的故障不會(huì)直接影響工控系統(tǒng)的正常運(yùn)行。

工控網(wǎng)絡(luò)監(jiān)測與審計(jì)系統(tǒng)對工控網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量進(jìn)行采集、監(jiān)測和分析，有效識別工控網(wǎng)絡(luò)中的安全隱患、惡意攻擊以及違規(guī)操作等安全風(fēng)險(xiǎn)。

工控網(wǎng)絡(luò)監(jiān)測與審計(jì)系統(tǒng)可以有效預(yù)警類似伊朗“震網(wǎng)”事件、烏克蘭電網(wǎng)事件的惡意攻擊。

工控網(wǎng)絡(luò)監(jiān)測與審計(jì)系統(tǒng)旁路接入各控制系統(tǒng)網(wǎng)絡(luò)，只抓取現(xiàn)場控制系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析處理，不向現(xiàn)場控制系統(tǒng)發(fā)送任何命令和數(shù)據(jù)包。

通過部署監(jiān)測引擎，對流經(jīng)各分區(qū)系統(tǒng)網(wǎng)絡(luò)交換機(jī)的數(shù)據(jù)流量進(jìn)行實(shí)時(shí)解析并與工控安全監(jiān)測與審計(jì)系統(tǒng)下發(fā)的黑、白名單、關(guān)鍵事件等策略智能匹配，確定每條報(bào)文歸屬類型，并將審計(jì)結(jié)果上傳至位于生產(chǎn)管理層的監(jiān)測與審計(jì)管理平臺做進(jìn)一步的展現(xiàn)及白名單自學(xué)習(xí)。

（3）主機(jī)防護(hù)

工控系統(tǒng)中會(huì)部署一定數(shù)量的主機(jī)設(shè)備，如工程師站、操作員站等。這些設(shè)備往往是工控系統(tǒng)的風(fēng)險(xiǎn)點(diǎn)，病毒的入侵、人為的誤操作等威脅主要都是通過主機(jī)設(shè)備進(jìn)入工控系統(tǒng)。因此，對這些主機(jī)設(shè)備進(jìn)行安全防護(hù)尤為重要。通過部署終端安全管理系統(tǒng)，在主機(jī)上安裝代理程序（工控安全衛(wèi)士），限制只有可信的程序、進(jìn)程才允許執(zhí)行，防止惡意程序的侵入。同時(shí)，對移動(dòng)存儲介質(zhì)進(jìn)行管控，防止通過移動(dòng)存儲介質(zhì)引入蠕蟲、病毒等惡意攻擊。

（4）運(yùn)維審計(jì)

針對網(wǎng)絡(luò)設(shè)備、服務(wù)器、工控設(shè)備部署遠(yuǎn)程運(yùn)維審計(jì)系統(tǒng)，對各系統(tǒng)運(yùn)維人員進(jìn)行資源授權(quán)，權(quán)限分配，有效防范第三方維護(hù)人員對非授權(quán)設(shè)備的操作，同時(shí)通過策略配置，可以對正在操作的違規(guī)流量進(jìn)行有效阻斷，對運(yùn)維行為對事后發(fā)生的問題能夠準(zhǔn)確定位。

通過邏輯上將人與目標(biāo)設(shè)備分離，建立“人-＞主賬號（堡壘機(jī)用戶賬號）-＞授權(quán)-＞從賬號（目標(biāo)設(shè)備賬號）-＞目標(biāo)設(shè)備”的管理模式；在此模式下，通過基于唯一身份標(biāo)識的集中賬號與訪問控制策略，與各服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫服務(wù)器等無縫連接，實(shí)現(xiàn)集中精細(xì)化運(yùn)維操作管控與審計(jì)。

（5）統(tǒng)一管理

通過部署安全管理平臺系統(tǒng)，形成集工業(yè)防火墻、網(wǎng)閘、工控監(jiān)測審計(jì)、網(wǎng)絡(luò)邊界檢查、運(yùn)維堡壘機(jī)、終端安全管理系統(tǒng)等為一體的綜合安全防護(hù)系統(tǒng)，對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行統(tǒng)一管理、集中展現(xiàn)，利用大數(shù)據(jù)關(guān)聯(lián)分析，實(shí)時(shí)動(dòng)態(tài)發(fā)現(xiàn)工控系統(tǒng)網(wǎng)絡(luò)中的風(fēng)險(xiǎn)并預(yù)警。并在此基礎(chǔ)上進(jìn)行關(guān)聯(lián)分析、追蹤溯源、風(fēng)險(xiǎn)預(yù)測，形成對安全威脅、風(fēng)險(xiǎn)隱患的動(dòng)態(tài)持續(xù)態(tài)勢感知。

實(shí)現(xiàn)全面展現(xiàn)公司工控網(wǎng)絡(luò)當(dāng)前安全狀況及未來一段時(shí)間的發(fā)展態(tài)勢，為信息安全人員開展信息安全態(tài)勢分析、安全預(yù)警和處置提供支持，同時(shí)為客戶提供直觀的信息安全決策依據(jù)，提升工作效率，節(jié)省運(yùn)維人力，提升整體安全管理水平。

3 結(jié)束語

本文通過對煉化廠工控系統(tǒng)的安全現(xiàn)狀進(jìn)行分析，并提出對煉化廠工控系統(tǒng)安全防護(hù)的思路，基于安全現(xiàn)狀和防護(hù)思路，對大型煉化廠典型工控系統(tǒng)進(jìn)行安全防護(hù)技術(shù)方案設(shè)計(jì)，對網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)流量審計(jì)、主機(jī)加固以及運(yùn)維審計(jì)等方面進(jìn)行了安全防護(hù)與異常監(jiān)測告警。