大型石化控制系統(tǒng)替換升級(jí)過(guò)程中網(wǎng)絡(luò)安全防護(hù)策略設(shè)計(jì)

王子洋，何 文

（1.中國(guó)石油化工股份有限公司茂名分公司，茂名525000；2.浙江中控技術(shù)股份有限公司，杭州310052）

《網(wǎng)絡(luò)安全法》2017年正式出臺(tái)，成為網(wǎng)絡(luò)安全基礎(chǔ)性法律。近年等保2.0 的發(fā)布則是網(wǎng)絡(luò)安全的一次重大升級(jí)，對(duì)象范圍擴(kuò)大到云計(jì)算、移動(dòng)互聯(lián)、控制系統(tǒng)等方面，其中，控制系統(tǒng)的安全隱患一旦被利用必將造成巨大社會(huì)危害和損失[1]。石化是較早采用工控系統(tǒng)進(jìn)行自動(dòng)化生產(chǎn)的行業(yè)，存在大量使用年限已超過(guò)15年的舊有工控系統(tǒng)，這些舊系統(tǒng)在應(yīng)用之初較多關(guān)注的是控制功能的實(shí)現(xiàn)，對(duì)網(wǎng)絡(luò)信息安全關(guān)注度很少。在當(dāng)前新型網(wǎng)絡(luò)安全形勢(shì)下，企業(yè)必須在對(duì)舊系統(tǒng)進(jìn)行更換升級(jí)的時(shí)候考慮全面、有效的網(wǎng)絡(luò)信息安全防護(hù)策略。

茂名石化乙烯裝置原控制系統(tǒng)為國(guó)外品牌DCS 系統(tǒng)，運(yùn)行超過(guò)15年以上，存在硬件老化、故障率高等安全隱患，迫切需要進(jìn)行控制系統(tǒng)國(guó)產(chǎn)化替換升級(jí)工作，同時(shí)環(huán)氧乙烷等裝置控制系統(tǒng)此次一并在CCR 內(nèi)并網(wǎng)，規(guī)劃中1 號(hào)乙烯等其他裝置預(yù)計(jì)在2022年一并改造，全廠(chǎng)控制系統(tǒng)統(tǒng)一。借控制系統(tǒng)改造的契機(jī)，企業(yè)精心設(shè)計(jì)，同步完成了系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的改造工作，建立起系統(tǒng)網(wǎng)絡(luò)的“縱深防御體系”，防止由于病毒感染、惡意攻擊等造成非計(jì)劃停車(chē)所帶來(lái)的損失，從而構(gòu)建“本質(zhì)安全”的生產(chǎn)控制網(wǎng)。

1 舊有控制系統(tǒng)網(wǎng)絡(luò)安全隱患

本次DCS 改造之初，各方對(duì)舊系統(tǒng)的網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)安全現(xiàn)狀做了詳細(xì)評(píng)估和分析，舊系統(tǒng)網(wǎng)絡(luò)架構(gòu)見(jiàn)圖1。網(wǎng)絡(luò)架構(gòu)中各裝置設(shè)有獨(dú)立的機(jī)柜間，機(jī)柜間與操作間通過(guò)光纜連接，各個(gè)裝置在控制上滿(mǎn)足分區(qū)管理要求。

圖1 舊有控制系統(tǒng)工控網(wǎng)絡(luò)拓?fù)涫疽鈭DFig.1 Network topology of the old control system

通過(guò)對(duì)舊系統(tǒng)網(wǎng)絡(luò)架構(gòu)和安全防護(hù)手段評(píng)估，結(jié)合運(yùn)行過(guò)程中網(wǎng)絡(luò)安全事故分析，舊系統(tǒng)在網(wǎng)絡(luò)安全上存在以下問(wèn)題：

（1）網(wǎng)絡(luò)邊界模糊。各裝置DCS 之間未進(jìn)行安全分區(qū)，缺少相應(yīng)二層網(wǎng)絡(luò)到三層網(wǎng)絡(luò)的防火墻。同時(shí)，部分裝置在DCS 與APC 兩個(gè)網(wǎng)絡(luò)之間缺少防火墻的防護(hù)。

（2）缺少網(wǎng)絡(luò)安全審計(jì)。不論是二層網(wǎng)絡(luò)還是三層網(wǎng)絡(luò)都沒(méi)有設(shè)立安全監(jiān)測(cè)與審計(jì)機(jī)制，不能及時(shí)了解網(wǎng)絡(luò)狀況。

（3）主機(jī)帶“洞”運(yùn)行。系統(tǒng)投產(chǎn)后，Windows 7經(jīng)歷過(guò)一次升級(jí)，其后操作系統(tǒng)極少升級(jí)，操作系統(tǒng)不斷曝出的漏洞導(dǎo)致操作站暴露在風(fēng)險(xiǎn)中。

（4）缺少安全日志收集手段。在運(yùn)行網(wǎng)絡(luò)、安全設(shè)備多數(shù)是沒(méi)有系統(tǒng)記錄功能的自適應(yīng)型設(shè)備，缺乏對(duì)日志的審計(jì)，不能通過(guò)可視化圖形分析運(yùn)行情況，無(wú)法第一時(shí)間感知系統(tǒng)威脅。

（5）缺少運(yùn)維審計(jì)手段。DCS 的運(yùn)維由企業(yè)自行維護(hù)，但涉及上層控制，如APC、RTO 等還是由供應(yīng)商提供服務(wù)實(shí)施，由于涉及DCS 與APC、RTO 的互聯(lián)，實(shí)施過(guò)程無(wú)法審計(jì)，易出現(xiàn)運(yùn)維不可控等風(fēng)險(xiǎn)。

2 升級(jí)后控制系統(tǒng)網(wǎng)絡(luò)安全策略

根據(jù)舊系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀評(píng)估結(jié)果，結(jié)合近年來(lái)等保要求和網(wǎng)絡(luò)安全技術(shù)發(fā)展，本次DCS 改造對(duì)網(wǎng)絡(luò)安全方面做了提升：以建立縱深防御策略為主要思想，確保控制系統(tǒng)網(wǎng)絡(luò)中即使某一點(diǎn)發(fā)生網(wǎng)絡(luò)安全事故，也能保證控制系統(tǒng)正常運(yùn)行，同時(shí)專(zhuān)業(yè)人員能夠迅速分析、查詢(xún)并及時(shí)處理問(wèn)題，使工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)切實(shí)做到穩(wěn)定、高效、可靠[2]。主要措施包括：

（1）區(qū)域隔離。對(duì)系統(tǒng)橫向分區(qū)，各區(qū)域網(wǎng)絡(luò)間通信能夠過(guò)濾隔離，使網(wǎng)絡(luò)故障被控制在各自發(fā)生的區(qū)域內(nèi)，而不會(huì)影響到其它區(qū)域。

（2）深度檢查。對(duì)系統(tǒng)縱向分層，面向各應(yīng)用層對(duì)特有的工業(yè)通訊協(xié)議進(jìn)行深度檢查，對(duì)存在缺陷的病毒庫(kù)進(jìn)行升級(jí)。

（3）管控通信。通過(guò)管理平臺(tái)進(jìn)行在線(xiàn)組態(tài)和測(cè)試，對(duì)通訊進(jìn)行管控。

（4）數(shù)據(jù)審計(jì)。對(duì)系統(tǒng)網(wǎng)絡(luò)運(yùn)行日志、操作運(yùn)行日志等信息進(jìn)行集中收集、自動(dòng)分析，及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。

（5）威脅檢查。能夠快速準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)中存在的漏洞，能夠?qū)W(wǎng)絡(luò)進(jìn)行定期自我檢查，及時(shí)發(fā)現(xiàn)漏洞。

（6）實(shí)時(shí)報(bào)警。網(wǎng)絡(luò)中部署的所有安全產(chǎn)品都能由管理平臺(tái)統(tǒng)一進(jìn)行實(shí)時(shí)監(jiān)控，任何非法訪(fǎng)問(wèn)，都可以在管理平臺(tái)產(chǎn)生實(shí)時(shí)報(bào)警信息，故障問(wèn)題在原始發(fā)生區(qū)域被迅速發(fā)現(xiàn)和解決。

根據(jù)上述需求，按照“一個(gè)中心”管理下的“三重防護(hù)”體系框架，構(gòu)建安全機(jī)制和策略?！耙粋€(gè)中心”指安全管理中心，能對(duì)網(wǎng)絡(luò)中發(fā)生的各類(lèi)安全事件進(jìn)行識(shí)別、報(bào)警和分析?！叭胤雷o(hù)”指采用加密及校驗(yàn)碼等技術(shù)確保數(shù)據(jù)的完整性和保密性的安全網(wǎng)絡(luò)通信防護(hù)，采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊防御的安全區(qū)域邊界防護(hù)，能夠檢測(cè)到對(duì)重點(diǎn)節(jié)點(diǎn)進(jìn)行入侵的行為并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警的安全計(jì)算環(huán)境防護(hù)。這個(gè)設(shè)計(jì)策略是裝置進(jìn)行控制系統(tǒng)網(wǎng)絡(luò)安全改造的核心依據(jù)，能夠完成從被動(dòng)防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計(jì)的動(dòng)態(tài)保障體系轉(zhuǎn)變[3]。

3 控制系統(tǒng)網(wǎng)絡(luò)改造方案及其安全防護(hù)

本次DCS 改造采用浙江中控技術(shù)股份有限公司的ECS-700 控制系統(tǒng)。該系統(tǒng)作為國(guó)產(chǎn)化控制系統(tǒng)的代表，已廣泛應(yīng)用于各類(lèi)新建和改造大型乙烯聯(lián)合裝置，首先需要解決的關(guān)鍵問(wèn)題是大規(guī)模網(wǎng)絡(luò)構(gòu)架時(shí)，既要實(shí)現(xiàn)各裝置信息的互聯(lián)互通以及集中監(jiān)控管理，又要特別關(guān)注網(wǎng)絡(luò)可用性，絕對(duì)不能因局部故障或網(wǎng)絡(luò)因素使整個(gè)系統(tǒng)出現(xiàn)波動(dòng)、故障甚至癱瘓的狀態(tài)[4]。此外，舊系統(tǒng)改造升級(jí)的網(wǎng)絡(luò)安全設(shè)計(jì)與新建項(xiàng)目存在較大的區(qū)別，需基于以下幾個(gè)方面考慮：新系統(tǒng)與APC 的深度嵌合的控制功能重現(xiàn)和安全保護(hù)；新系統(tǒng)數(shù)據(jù)的分區(qū)保護(hù)應(yīng)適應(yīng)工藝操作和企業(yè)生產(chǎn)管理需要；新系統(tǒng)適應(yīng)已有企業(yè)信息化系統(tǒng)，對(duì)外數(shù)據(jù)服務(wù)做到穩(wěn)定和安全；舊系統(tǒng)存在的重大安全隱患，針對(duì)性補(bǔ)足和加強(qiáng)；已有網(wǎng)絡(luò)資產(chǎn)的利舊以減少投資，保護(hù)用戶(hù)資產(chǎn)價(jià)值等。

3.1 控制系統(tǒng)替換升級(jí)后的網(wǎng)絡(luò)方案概述

為配合本次DCS 改造，茂名石化新建化工廠(chǎng)CCR，各生產(chǎn)裝置將在CCR 內(nèi)進(jìn)行集中操作、監(jiān)視及管理，控制站設(shè)置在相應(yīng)裝置的FAR 內(nèi)，現(xiàn)場(chǎng)儀控信號(hào)通過(guò)電纜連接至FAR，CCR 和FAR 間的信號(hào)傳輸通過(guò)冗余光纜。升級(jí)后的系統(tǒng)網(wǎng)絡(luò)架構(gòu)如圖2所示。

圖2 控制系統(tǒng)改造升級(jí)后的網(wǎng)絡(luò)拓?fù)涫疽鈭DFig.2 Network topology of the upgraded control system

整個(gè)項(xiàng)目網(wǎng)絡(luò)層級(jí)清晰，L1 基礎(chǔ)控制層、L2 監(jiān)控層、L3 調(diào)度管理層以及專(zhuān)為數(shù)據(jù)服務(wù)的L2.5 的DMZ 區(qū)。其中將L1 及L2 層采用了按裝置分LAN的方式進(jìn)行組網(wǎng)設(shè)計(jì)，各LAN 映射對(duì)應(yīng)裝置自成一套相對(duì)獨(dú)立的系統(tǒng)，具備獨(dú)立的組態(tài)數(shù)據(jù)庫(kù)。具體VLAN 劃分情況如表1所示。

表1 詳細(xì)分LAN 情況Tab.1 Detailed LAN situation

基于安全考慮，L3 層與L2 層之間設(shè)計(jì)了L2.5層的數(shù)據(jù)服務(wù)DMZ 區(qū)，其中配置OPC 服務(wù)器、AAS采集器，并在服務(wù)器的出口/入口均配置了防火墻，以確保所有L3 層的外部節(jié)點(diǎn)只能使用L2.5 層的映射數(shù)據(jù)，而不能直接訪(fǎng)問(wèn)L2 層數(shù)據(jù)。

3.2 “一個(gè)中心”及“三重防護(hù)”網(wǎng)絡(luò)安全防護(hù)策略設(shè)計(jì)和實(shí)現(xiàn)

3.2.1 安全管理中心設(shè)計(jì)方案

DCS 具備日志和報(bào)警信息記錄功能，但缺乏統(tǒng)一的管理和分析，發(fā)生事故后，無(wú)法判斷是否是誤操作還是攻擊行為。本項(xiàng)目在L3 與L2 之間建立單獨(dú)的安全管理區(qū)，并在安全管理區(qū)集中部署安全管控設(shè)備，設(shè)計(jì)方案見(jiàn)圖3。

圖3 安全管理區(qū)域示意圖Fig.3 Schematic diagram of the safety management area

部署安管平臺(tái)系統(tǒng)，對(duì)各裝置系統(tǒng)網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)、資源利用情況以及主要鏈路狀態(tài)進(jìn)行管理，對(duì)設(shè)備及鏈路異常進(jìn)行報(bào)警。

部署日志審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)各裝置系統(tǒng)、網(wǎng)絡(luò)設(shè)備的集中日志審計(jì)，并配合系統(tǒng)操作日志、報(bào)警記錄，實(shí)現(xiàn)對(duì)系統(tǒng)全方位的資產(chǎn)、配置、日志管理和審計(jì)。

部署入侵檢測(cè)& 流量審計(jì)系統(tǒng)，在L2、L3 的交換機(jī)以及安全管理區(qū)域防火墻交換機(jī)上以端口鏡像方式接入到入侵檢測(cè)系統(tǒng)、流量審計(jì)系統(tǒng)，通過(guò)該設(shè)備對(duì)工控網(wǎng)絡(luò)進(jìn)行全流量收集、并進(jìn)行本地原數(shù)據(jù)分析。

部署控制系統(tǒng)備份服務(wù)器，定期針對(duì)DCS 工程師站進(jìn)行組態(tài)數(shù)據(jù)備份及操作系統(tǒng)備份，幫助用戶(hù)在發(fā)生應(yīng)急情況下，可以快速地恢復(fù)生產(chǎn)運(yùn)行能力。

部署補(bǔ)丁服務(wù)器，在離線(xiàn)環(huán)境中對(duì)重大操作系統(tǒng)安全漏洞及補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證，確?？刂葡到y(tǒng)及時(shí)針對(duì)已知安全漏洞采取安全防護(hù)措施，最大程度地保護(hù)用戶(hù)生產(chǎn)裝置安全。

3.2.2 安全通信網(wǎng)絡(luò)設(shè)計(jì)方案

根據(jù)功能以及安全需求的不同，安全通信網(wǎng)絡(luò)方案將系統(tǒng)網(wǎng)絡(luò)劃分為不同的安全區(qū)域。項(xiàng)目中使用的控制系統(tǒng)結(jié)合大型乙烯聯(lián)合裝置的應(yīng)用需求，設(shè)計(jì)了“操作域、控制域”的數(shù)據(jù)分區(qū)概念[5]，以匹配項(xiàng)目中的CCR 操作分區(qū)、FAR 的實(shí)際DCS 監(jiān)控的物理分區(qū)的要求，具體的分域原則如表2所示。

表2 裝置分域原則Tab.2 Division principle for the device

由于ECS-700 系統(tǒng)最大支持64 個(gè)控制域和64個(gè)操作域，為后續(xù)1 號(hào)乙烯聯(lián)合裝置的改造提供良好的擴(kuò)展性。安全通信網(wǎng)絡(luò)設(shè)計(jì)方案中還為項(xiàng)目提供完善的網(wǎng)絡(luò)監(jiān)控方案，通過(guò)部署全網(wǎng)診斷軟件，對(duì)系統(tǒng)網(wǎng)絡(luò)進(jìn)行診斷監(jiān)控和流量監(jiān)控，并針對(duì)設(shè)備的故障節(jié)點(diǎn)發(fā)出報(bào)警。網(wǎng)絡(luò)區(qū)域設(shè)計(jì)圖如圖4所示。

圖4 網(wǎng)絡(luò)區(qū)域設(shè)計(jì)圖Fig.4 Design diagram of network area

3.2.3 安全區(qū)域邊界設(shè)計(jì)方案

針對(duì)舊系統(tǒng)網(wǎng)絡(luò)邊界模糊的問(wèn)題，本次改造對(duì)系統(tǒng)網(wǎng)絡(luò)進(jìn)行縱向分層、橫向分區(qū)，防止危險(xiǎn)在不同層次間和各區(qū)域內(nèi)擴(kuò)散，設(shè)計(jì)方案如圖5所示。

圖5 網(wǎng)絡(luò)邊界防護(hù)示意圖Fig.5 Schematic diagram of the network border protection

在DMZ 區(qū)與非控制系統(tǒng)網(wǎng)絡(luò)邊界，即OPC 服務(wù)器、AAS 服務(wù)器出口部署富島工業(yè)級(jí)防火墻，實(shí)現(xiàn)DMZ 區(qū)與非控制系統(tǒng)網(wǎng)絡(luò)隔離。

在系統(tǒng)網(wǎng)絡(luò)與DMZ 區(qū)邊界，部署PALO ALTO工業(yè)級(jí)防火墻，實(shí)現(xiàn)控制系統(tǒng)網(wǎng)絡(luò)與DMZ 區(qū)網(wǎng)絡(luò)隔離。

在各裝置邊界，部署中控工業(yè)級(jí)防火墻，保護(hù)裝置系統(tǒng)網(wǎng)絡(luò)邊界安全。

3.2.4 安全計(jì)算環(huán)境設(shè)計(jì)方案

原有DCS 只采用黑名單機(jī)制對(duì)已知病毒進(jìn)行防護(hù)，缺乏對(duì)未知病毒抵御措施。本次改造針對(duì)DCS 的L1～L3 層次設(shè)計(jì)了不同的防病毒方案。防病毒服務(wù)器設(shè)置在L2.5 層，防病毒策略為L(zhǎng)2.5 層及以上以黑名單技術(shù)為主，L1、L2 層平時(shí)運(yùn)行的時(shí)候以白名單技術(shù)為主，但是停車(chē)檢修的時(shí)候可用殺毒軟件將所有主機(jī)進(jìn)行殺毒。同時(shí)，在L1 層，控制系統(tǒng)的控制器內(nèi)置網(wǎng)絡(luò)防火墻和協(xié)議解析、接入設(shè)備論證，具有一定的防病毒能力，提高了該層次網(wǎng)絡(luò)的安全性。

4 效果評(píng)價(jià)

根據(jù)項(xiàng)目網(wǎng)絡(luò)安全測(cè)試的結(jié)果，相對(duì)改造前，網(wǎng)絡(luò)安全防護(hù)方案做到了以下明顯提升：

（1）系統(tǒng)安全措施落實(shí)到位。實(shí)現(xiàn)了對(duì)4 套裝置系統(tǒng)網(wǎng)絡(luò)安全狀況實(shí)現(xiàn)集中監(jiān)測(cè)，實(shí)時(shí)掌握網(wǎng)絡(luò)遭受外部攻擊和出現(xiàn)內(nèi)部異常事件的總體情況，動(dòng)態(tài)收集網(wǎng)絡(luò)存在的漏洞和配置缺陷，及時(shí)制定相應(yīng)措施。

（2）安全事件可實(shí)現(xiàn)精確定位。實(shí)現(xiàn)從海量的監(jiān)測(cè)數(shù)據(jù)中準(zhǔn)確發(fā)現(xiàn)已產(chǎn)生危害后果的安全事件，提高了前端監(jiān)測(cè)手段和后臺(tái)分析能力。

（3）在線(xiàn)管控和防護(hù)能力得以強(qiáng)化。系統(tǒng)安全數(shù)據(jù)采集措施的部署可發(fā)現(xiàn)系統(tǒng)網(wǎng)絡(luò)通信、區(qū)域邊界的風(fēng)險(xiǎn)隱患等問(wèn)題，強(qiáng)化全局監(jiān)管各裝置系統(tǒng)網(wǎng)絡(luò)安全的能力。

（4）網(wǎng)絡(luò)行為得到監(jiān)測(cè)審計(jì)。對(duì)系統(tǒng)環(huán)境中的網(wǎng)絡(luò)攻擊和異常行為進(jìn)行監(jiān)視和審計(jì)，及時(shí)發(fā)現(xiàn)、并對(duì)入侵滲透、違規(guī)操作過(guò)程進(jìn)行記錄，及時(shí)報(bào)警與應(yīng)急處理。

（5）定向威脅攻擊得到監(jiān)測(cè)。依靠惡意代碼檢測(cè)引擎、黑名單控制庫(kù)等檢測(cè)機(jī)制構(gòu)建的定向威脅攻擊檢測(cè)設(shè)備，針對(duì)監(jiān)測(cè)到的某一特定安全事件，通過(guò)溯源其攻擊源、攻擊目標(biāo)、攻擊路徑，對(duì)網(wǎng)內(nèi)受影響的風(fēng)險(xiǎn)節(jié)點(diǎn)進(jìn)行精確定位，鎖定IP 和MAC 地址，協(xié)助需方對(duì)事件進(jìn)行快速處理。

5 結(jié)語(yǔ)

通過(guò)對(duì)大型乙烯聯(lián)合裝置的舊系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題進(jìn)行研究分析，按照國(guó)家等保二級(jí)及行業(yè)相關(guān)標(biāo)準(zhǔn)規(guī)范，針對(duì)裝置生產(chǎn)分區(qū)的特點(diǎn)及網(wǎng)絡(luò)數(shù)據(jù)交互要求，提出了以“一個(gè)中心”管理下的“三重防護(hù)”體系為基礎(chǔ)的網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)體系，并據(jù)此開(kāi)展替換后系統(tǒng)網(wǎng)絡(luò)的各項(xiàng)防護(hù)技術(shù)設(shè)計(jì)和工程實(shí)施方案。隨著網(wǎng)絡(luò)安全技術(shù)體系在控制系統(tǒng)替換升級(jí)過(guò)程中成功同步實(shí)施，大型乙烯聯(lián)合裝置控制系統(tǒng)形成了一套全面的安全防護(hù)體系，防止由于病毒感染、惡意攻擊等造成非計(jì)劃停車(chē)所帶來(lái)的損失，從而構(gòu)建“本質(zhì)安全”的生產(chǎn)控制網(wǎng)。同時(shí)，為后續(xù)項(xiàng)目的成功復(fù)制與推廣奠定了堅(jiān)實(shí)的基礎(chǔ)，在石化、煤化工行業(yè)都具有很高的推廣價(jià)值。