化工生產(chǎn)控制系統(tǒng)信息安全防護
—以蒲城清潔能源化工有限責任公司為例

＊任志勇

（蒲城清潔能源化工有限責任公司 陜西 715500）

1.研究背景

化工生產(chǎn)控制系統(tǒng)是由各種自動化控制組件和實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)，是企業(yè)進行相關(guān)工作的根本保證。

本文將以蒲城清潔能源化工有限責任公司為研究對象，進行化工生產(chǎn)控制系統(tǒng)信息安全防護的研究，以達到為企業(yè)消除信息安全隱患的目的。蒲城清潔能源化工有限責任公司成立于2008年11月，是由陜西煤業(yè)化工集團公司和中國長江三峽集團公司共同出資設(shè)立的傳統(tǒng)煤化工和石油化工深度融合的現(xiàn)代煤化工企業(yè)。生產(chǎn)控制系統(tǒng)是蒲城清潔能源化工有限責任公司正常運行的關(guān)鍵系統(tǒng)之一，而其信息安全則直接關(guān)系到了企業(yè)未來的發(fā)展，只有從根本上對生產(chǎn)控制系統(tǒng)信息安全做好防護工作，才能夠更好的推動企業(yè)的發(fā)展。

2.蒲潔能化生產(chǎn)控制系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)現(xiàn)狀

生產(chǎn)控制系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)是整個蒲潔能化的核心網(wǎng)絡(luò)之一、重中之重，承載著安全、穩(wěn)定、高效運營生產(chǎn)的最核心的生產(chǎn)控制系統(tǒng)。整個生產(chǎn)控制系統(tǒng)包括：DCS管制系統(tǒng)26套共300多臺，全部采用霍尼韋爾公司產(chǎn)品，覆蓋50000多節(jié)點。服務(wù)站PC采用DELL公司產(chǎn)品，交換機采用CISCO公司產(chǎn)品。SIS系統(tǒng)12套，全部采用霍尼韋爾公司產(chǎn)品，覆蓋1-20000多節(jié)點。火災報警系統(tǒng)采用霍尼韋爾公司產(chǎn)品，覆蓋10000多點。TIC PKS系統(tǒng)9套，全部采用霍尼韋爾公司產(chǎn)品。PLC設(shè)備260多套、采用霍尼韋爾公司產(chǎn)品。GDS可燃氣體報警系統(tǒng)共3套覆蓋1100多點。另有工業(yè)視頻監(jiān)控、服務(wù)器、攝像頭等。

生產(chǎn)控制系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)機房位于生產(chǎn)區(qū)中央控制到一樓工控機房內(nèi)，采用工業(yè)防磁機柜及工業(yè)溫控系統(tǒng)等建設(shè)而成，除廠房外圍及生產(chǎn)區(qū)域部署有工業(yè)用安防監(jiān)控系統(tǒng)，中央控制室出入口、各機房及各樓層通道均沒有部署安防監(jiān)控系統(tǒng)。

目前生產(chǎn)控制系統(tǒng)基礎(chǔ)網(wǎng)絡(luò)機房機柜有一臺網(wǎng)閘設(shè)備，但未啟用。網(wǎng)安監(jiān)測部門部署的統(tǒng)一安全接入網(wǎng)關(guān)為安監(jiān)、消防、應急管理、能源管理、環(huán)保、網(wǎng)安等監(jiān)管部門單向提供DCS控制系統(tǒng)相關(guān)數(shù)據(jù)。DCS控制系統(tǒng)部署有工業(yè)防病毒模塊，病毒規(guī)則庫更新升級周期約2-3年，通常是大修期才更新升級，病毒庫服務(wù)端更新升級后下發(fā)各終端節(jié)點進行更新升級。

生產(chǎn)區(qū)網(wǎng)絡(luò)內(nèi)部署有防USB移動介質(zhì)接入系統(tǒng)，可隨時進行策略修改。SIS系統(tǒng)帶有防病毒模塊、黑白名單功能。GDS可燃氣體報警系統(tǒng)帶有黑白名單功能模塊。工控視頻監(jiān)控系統(tǒng)帶有防火墻模塊。工程師站PC部署有McAfee防病毒軟件，并連接防USB移動介質(zhì)接入系統(tǒng)。生產(chǎn)區(qū)域網(wǎng)絡(luò)CICSO交換機配置有ACL防止網(wǎng)絡(luò)風暴及防止外聯(lián)策略，辦公網(wǎng)及生活網(wǎng)與生產(chǎn)網(wǎng)之間沒有連接。生產(chǎn)網(wǎng)匯聚交換機、接入交換機、核心交換機、DCS控制系統(tǒng)、上位機全采用主備冗余配置，少量不重要系統(tǒng)沒有冗余。

3.蒲潔能化生產(chǎn)控制系統(tǒng)信息安全防護存在的問題

(1)網(wǎng)絡(luò)基礎(chǔ)薄弱

從蒲潔能化基礎(chǔ)網(wǎng)絡(luò)調(diào)研情況來看，其生產(chǎn)控制系統(tǒng)信息安全防護狀況薄弱，既不能保證現(xiàn)有網(wǎng)絡(luò)通信暢通與冗余安全，更無法支撐公司未來信息化數(shù)據(jù)化管理的需求。

①網(wǎng)絡(luò)帶寬資源嚴重不足

蒲潔能化的網(wǎng)絡(luò)帶寬為百兆接入，千兆上聯(lián)，主干網(wǎng)為萬兆，與現(xiàn)階段主流網(wǎng)絡(luò)千兆到桌面，萬兆上行的網(wǎng)絡(luò)方案存在兩個時代的差距。隨著公司智慧工廠、ERP等信息化系統(tǒng)的不斷建設(shè)，視頻監(jiān)控系統(tǒng)的不斷增加，蒲潔能化各系統(tǒng)之間、各部門之間的大文件傳輸需求越來越多。對于網(wǎng)絡(luò)的帶寬的需求將會是剛性的，現(xiàn)有的網(wǎng)絡(luò)帶寬資源明顯已經(jīng)不能滿足公司日常生產(chǎn)運營管理和未來“智慧工廠”的建設(shè)需求。

②網(wǎng)絡(luò)設(shè)備落后

蒲潔能化在使用的匯聚交換機華為S9306系列、核心交換機華為S9312系列產(chǎn)品均已停產(chǎn)，由此導致設(shè)備的維修備換件、技術(shù)支持都將無以為繼，而匯聚交換機、核心交換機是公司IP網(wǎng)絡(luò)中的核心組網(wǎng)設(shè)備，任意一個設(shè)備出現(xiàn)了問題都將給公司帶來不可預測、不可評估的風險。只有配備高系統(tǒng)容量、高傳輸速率、多容錯機制、低延時的高性能網(wǎng)絡(luò)設(shè)備，才能實現(xiàn)網(wǎng)絡(luò)資源優(yōu)化配置。

(2)網(wǎng)絡(luò)風險突出

從蒲潔能化內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)劃分和當前安全防護狀況來看，存在以下安全風險：

①整體缺少安全防護措施

蒲潔能化內(nèi)部網(wǎng)絡(luò)安全防護手段主要是在互聯(lián)網(wǎng)與核心交換機網(wǎng)絡(luò)邊界之間部署防火墻系統(tǒng)，生產(chǎn)區(qū)與互聯(lián)網(wǎng)網(wǎng)絡(luò)邊界之間部署統(tǒng)一安全網(wǎng)關(guān)，生活區(qū)與行政區(qū)之間未部署任何安全設(shè)備，防火墻設(shè)備已經(jīng)年久未更新升級且無技術(shù)支持，生活區(qū)與行政區(qū)缺少必要的安全防護，生產(chǎn)區(qū)與互聯(lián)網(wǎng)之間缺少重要的安全防護措施。部分安全設(shè)備未啟用或者啟用但未正確配置。例如關(guān)鍵區(qū)域網(wǎng)絡(luò)未做隔離及部署安全設(shè)備，可導致非安全域向安全域出現(xiàn)風險滲透及其它未知風險因素出現(xiàn)的無法估量的財產(chǎn)損失及政治風險。安全設(shè)備系統(tǒng)及特征庫未及時更新升級，甚至出現(xiàn)設(shè)備系統(tǒng)帶病工作?？蓪е率艿讲《灸抉R攻擊、服務(wù)器及電腦受到勒索病毒、挖礦程序及其它嚴重風險，造成無法估量的財產(chǎn)損失及政治風險。辦公樓各樓層接入交換機機架間無門鎖，交換機沒做任何安全策略。存在人為破壞斷網(wǎng)及非法接入風險。業(yè)務(wù)OA系統(tǒng)、官方網(wǎng)站等缺乏相應的安全防護措施，未部署相應抗DDOS攻擊、防篡改、漏洞風險評估及實時監(jiān)測手段等。

②安全策略及安全管理的缺失

追求可用性而犧牲安全，是能源化工生產(chǎn)控制系統(tǒng)普遍存在的問題，缺乏完整有效的安全策略與管理流程也帶來了一系列的安全問題。如缺乏相應安全意識培訓及相關(guān)安全應急演練，這可導致日常工作及生產(chǎn)過程中出現(xiàn)潛在風險及在突發(fā)事件時不能合理有序消除風險，進而造成無法估量的財產(chǎn)損失及政治風險。例如IP資源管理規(guī)劃不合理、不明確，這可導致設(shè)備或系統(tǒng)沖突及非法接入出現(xiàn)影響生產(chǎn)，造成無法估量的財產(chǎn)損失及政治風險。資產(chǎn)管理流程不規(guī)范，資產(chǎn)明細不明確、資產(chǎn)狀況不知曉，資產(chǎn)安全狀況更無從掌握。技術(shù)支持及維護人員嚴重不足、無法充分保障辦公、生產(chǎn)、生活網(wǎng)絡(luò)基本運行及安全，移動存儲介質(zhì)（包括筆記本電腦、U盤等設(shè)備）隨意接入使用，以及防火墻幾乎為空的全策略，不完善的信息安全管理制度等，都會引發(fā)信息安全事件。

③化工生產(chǎn)控制系統(tǒng)自身存在漏洞、防護措施薄弱

化工生產(chǎn)控制系統(tǒng)在設(shè)計時主要考慮的是可用性和穩(wěn)定性的問題，未充分考慮化工生產(chǎn)控制系統(tǒng)安全性的需求，導致化工生產(chǎn)控制系統(tǒng)安全性能較差，無信息安全防護機制，漏洞較多，國家信息安全漏洞共享平臺（CNVD）、中國國家信息安全漏洞庫（CNNVD）中已經(jīng)發(fā)布了知名控制器廠家的PLC存在大量高危漏洞，國外廠商在獲悉系統(tǒng)存在漏洞時，往往會延遲一代產(chǎn)品進行漏洞修復，漏洞修補周期較長，這就給化工生產(chǎn)控制系統(tǒng)運行帶來了極大的安全隱患，作為化工生產(chǎn)控制系統(tǒng)其中的一種類型，同樣面臨著上述問題。

④操作系統(tǒng)漏洞

行政區(qū)的部分服務(wù)器及生產(chǎn)區(qū)的部分工程師站/操作員站/HMI采用的是Windows操作系統(tǒng)，Windows操作系統(tǒng)存在大量的安全漏洞，為保障系統(tǒng)運行的穩(wěn)定性，一線系統(tǒng)操作及使用人員往往不會對Windows系統(tǒng)進行漏洞修補，這樣就使采用Windows操作系統(tǒng)的工程師站/操作員站/HMI面臨很大的安全威脅，之前曾爆出的Microsoft Windows SMB v3拒絕服務(wù)漏洞（CNNVD-201702-204），受此漏洞影響的操作系統(tǒng)版本有Microsoft Windows Server2012、Microsoft Windows 10、Microsoft Windows Server 2016，其中Server版在能源化工系統(tǒng)有大量的應用，部署在Server版操作系統(tǒng)上的眾多數(shù)據(jù)庫軟件都可能遭受利用此漏洞發(fā)起的攻擊行為，給正產(chǎn)生產(chǎn)活動造成影響。

⑤應用軟件漏洞

由于能源化工生產(chǎn)控制系統(tǒng)的控制軟件多為定制化產(chǎn)品，在軟件開發(fā)階段缺少安全設(shè)計，導致這類軟件存在大量的安全漏洞。應用軟件面向能源化工生產(chǎn)控制系統(tǒng)應用時，需要使用專用的能源化工生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)協(xié)議及端口，常規(guī)的信息安全產(chǎn)品很難對其進行安全防護，特別是國外的主流控制系統(tǒng)廠商的軟件已經(jīng)暴出大量安全漏洞，如西門子的SIMATIC WinCC數(shù)據(jù)采集與監(jiān)控系統(tǒng)存在信息泄露的安全漏洞（CNNVD-201607-905），遠程攻擊者可通過發(fā)送特制的數(shù)據(jù)包利用該漏洞讀取任意WinCC工作站文件，這樣一些工作站的重要文件就可能會被竊取或篡改，對系統(tǒng)的安全運行造成影響。

⑥殺毒軟件兼容性問題

為了保證能源化工生產(chǎn)控制軟件的可用性，許多工程師站/操作員站/HMI通常不會安裝殺毒軟件，即使安裝了殺毒軟件，也不會定期更新病毒庫，并且在實際應用中，能源化工生產(chǎn)控制軟件與殺毒軟件不兼容的情況較多，殺毒軟件在能源化工生產(chǎn)控制系統(tǒng)很難切實起到病毒防護的作用。

⑦多途徑的威脅侵入

多種途徑的威脅侵入是當前能源化工生產(chǎn)控制系統(tǒng)面臨的主要安全問題，隨意接入的USB移動存儲介質(zhì)、VPN遠程維護通道，都可能將能源化工生產(chǎn)控制系統(tǒng)暴露在未知威脅面前。

基于以上安全性風險，還存在以下合規(guī)性風險：

⑧不滿足陜煤司函〔2021〕29號《陜西煤業(yè)化工集團有限責任公司關(guān)于組織開展2021年網(wǎng)絡(luò)安全監(jiān)督自查及整改工作的通知》

隨著國家對關(guān)鍵信息基礎(chǔ)設(shè)施信息安全建設(shè)的愈加重視，以及作為建黨100周年慶?；顒印⒅腥A人民共和國第十四屆運動會暨殘?zhí)貖W會和冬奧會網(wǎng)絡(luò)安全保衛(wèi)重點單位，各地公安部門及集團也逐步加強了對網(wǎng)絡(luò)安全防護建設(shè)的檢查工作，如果無法完成自查、自改等工作，將面臨被通報、限期整改的風險。

⑨機房基礎(chǔ)設(shè)施缺失

機房巡檢為人工巡檢，出現(xiàn)問題無法實時監(jiān)控及告警、工作強度大、沒有辦法實現(xiàn)精細化運維管理，機房無溫濕度采集、水浸采集，空調(diào)系統(tǒng)控制，對電源無檢測，對溫度無精準控制，無視頻監(jiān)控或存在損壞目前無法正常運行，機房的環(huán)境狀態(tài)處于空白地帶，支撐信息化系統(tǒng)的IT硬件絕大部分都部署在信息化機房中，機房的環(huán)境如溫、濕度、漏水、火災、非法人員進入等會對IT硬件造成不可控的風險，甚至影響信息化系統(tǒng)的正常運行。

⑩無人員實時管控措施

基于傳統(tǒng)流程作業(yè)票流程，無法做到實時有力的監(jiān)控。在沒有經(jīng)過正規(guī)流程前對非法進入作業(yè)區(qū)域，違規(guī)作業(yè)行為無法做到實時監(jiān)控，實時告警的管控，在發(fā)生需要做作業(yè)區(qū)內(nèi)人員統(tǒng)計的情況時沒有可用、可信手段，無法做到實時準確的人員核實。

4.增強蒲潔能化生產(chǎn)控制系統(tǒng)信息安全防護的具體措施

(1)增強基礎(chǔ)網(wǎng)絡(luò)

基礎(chǔ)網(wǎng)絡(luò)是公司信息化、智能化和數(shù)字化發(fā)展的高速公路，是現(xiàn)代企業(yè)管理的堅實底座，只有公司的基礎(chǔ)網(wǎng)絡(luò)增強、壯大了，公司的各類信息化系統(tǒng)才能有堅強有力的底層支持平臺，才能穩(wěn)定、可靠的運行。根據(jù)整體的蒲潔能化基礎(chǔ)網(wǎng)絡(luò)的調(diào)研情況，需要做如下兩個方面的增強：

①增強帶寬資源

將現(xiàn)有的百兆接入千兆上聯(lián)、主干網(wǎng)絡(luò)萬兆增強到千兆接入，萬兆上聯(lián)、主干網(wǎng)絡(luò)4×40G。這樣可以很好滿足現(xiàn)有的公司生產(chǎn)自動化系統(tǒng)支撐網(wǎng)絡(luò)、安防監(jiān)控系統(tǒng)支撐網(wǎng)絡(luò)、管理信息化系統(tǒng)支撐網(wǎng)絡(luò)等三套獨立網(wǎng)絡(luò)的需求，又可以支撐未來公司“智慧工廠”信息化系統(tǒng)建設(shè)的需求。

②升級更新停產(chǎn)網(wǎng)絡(luò)設(shè)備

將目前在公司基礎(chǔ)網(wǎng)絡(luò)中使用廠商已經(jīng)停產(chǎn)的華為S9306/S9312的匯聚、核心交換機升級換代為華為的S12708/S12712產(chǎn)品，該產(chǎn)品是華為推出面向下一代園區(qū)網(wǎng)核心設(shè)計開發(fā)的敏捷交換機，采用全可編程架構(gòu)，靈活快速滿足業(yè)務(wù)需求，新業(yè)務(wù)6個月即可上線，具備內(nèi)置大容量WLAN AC控制器實現(xiàn)有線無線業(yè)務(wù)的深度融合，突破無線AC的容量瓶頸、提供高性能的L2/L3交換服務(wù)，百萬級硬件表項，滿足園區(qū)10年演進的特點，可滿足公司基礎(chǔ)網(wǎng)絡(luò)帶寬增強的需求，同時解決了設(shè)備停產(chǎn)帶來的不可預測、不可評估的風險。

③接入交換機、改造一級匯聚交換機

為滿足蒲潔能化帶寬資源提升的需求，實現(xiàn)千兆接入、萬兆上聯(lián)的網(wǎng)絡(luò)帶寬，將現(xiàn)有的S5700系列的交換機定義為接入交換機，新增S6730交換機作為一級匯聚交換機。

④IT網(wǎng)絡(luò)資源綜合管理

建設(shè)部署一套IT網(wǎng)絡(luò)資源綜合管理系統(tǒng)，對公司的IT網(wǎng)絡(luò)資源設(shè)備進行統(tǒng)一、集中、實時管控，實現(xiàn)網(wǎng)絡(luò)可視化、業(yè)務(wù)可視化、機房可視化，以對網(wǎng)絡(luò)、服務(wù)器、智能硬件、機房環(huán)境智能監(jiān)控。使公司IT網(wǎng)絡(luò)資源運行、健康情況一目了然。

(2)建設(shè)基礎(chǔ)網(wǎng)絡(luò)安全

目前蒲潔能化整個網(wǎng)絡(luò)只有在互聯(lián)網(wǎng)邊界部署了防火墻產(chǎn)品，主要設(shè)備已經(jīng)停產(chǎn)并且無技術(shù)支持，其它幾款安全產(chǎn)品也已經(jīng)停產(chǎn)無技術(shù)支持或未啟用?？紤]到未來業(yè)務(wù)系統(tǒng)的的增多，各種類型數(shù)據(jù)互聯(lián)互通以及在內(nèi)網(wǎng)和互聯(lián)網(wǎng)之間相互，建議進行整體網(wǎng)絡(luò)安全體系更新建設(shè)。

網(wǎng)絡(luò)安全的整體目標是通過應急風險處置、網(wǎng)絡(luò)安全策略配置、主動誘捕防御、可持續(xù)威脅檢測及溯源、系統(tǒng)防火墻、Web應用防火墻、入侵檢測、漏洞風險評估、防病毒、零信任訪問控制等技術(shù)，對各網(wǎng)絡(luò)邊界出入口的信息進行嚴格的控制，對網(wǎng)絡(luò)中所有的資產(chǎn)進行梳理、檢測、分析和風險評估。發(fā)現(xiàn)并報告系統(tǒng)中存在的隱患及漏洞，評估安全風險，修復建議措施，并且有效地防止非法攻擊者攻擊破壞和病毒木馬擴散，實時監(jiān)控整個網(wǎng)絡(luò)的運行狀況。

(3)完善機房基礎(chǔ)設(shè)施

蒲潔能化機房設(shè)置較多且分散，普遍面臨基礎(chǔ)設(shè)施薄弱，安全管控措施缺失，協(xié)同聯(lián)動性不強等問題，建議公司統(tǒng)籌規(guī)劃機房管理，建立大信息中心運營模式，提升機房基礎(chǔ)設(shè)施完善，建立機房環(huán)境監(jiān)控系統(tǒng)。

(4)建設(shè)人員管控系統(tǒng)

化工能源企業(yè)在現(xiàn)場施工作業(yè)中，存在著人員流動大、活動區(qū)域限定松散、作業(yè)過程缺乏管控、現(xiàn)場狀況亂、安全隱患難以察覺等問題，每年因生產(chǎn)事故造成人員傷亡事件屢見不鮮，給企業(yè)運營帶來了極大的損失和負面影響。在本次調(diào)研過程中，我們發(fā)現(xiàn)蒲潔能化同樣存在此類問題隱患，建議公司結(jié)合自身生產(chǎn)管理特征建立一套行之有效的人員管控系統(tǒng)，杜絕作業(yè)現(xiàn)場人員管控缺失可能帶來的人員及生產(chǎn)安全風險。

5.結(jié)束語

本文通過對蒲城清潔能源化工有限責任公司的生產(chǎn)控制系統(tǒng)信息安全進行具體的研究調(diào)查分析，并根據(jù)實際情況提供了相關(guān)的防治措施，最大程度上保證了其生產(chǎn)控制系統(tǒng)信息安全防護的可靠性?；どa(chǎn)控制系統(tǒng)信息安全防護對于企業(yè)甚至是整個社會來說都有著極其重要的影響，我們應當根據(jù)現(xiàn)有條件不斷加強自身信息安全防護，以此來達到快速推動社會經(jīng)濟發(fā)展的目的。