第54卷第1期 石油化工自动化 Vo1.54,No.1 February,2018 2018年2月 AUT0MAT10N IN PETR0一CHEMICAL INDUSTRY 石油化工行业工业控制系统 信息安全技术综述 孟雅辉 ,杨金城 (1.启明星辰信息技术集团股份有限公司,北京100193; 2.中石化扬子石化有限公司烯烃厂,江苏南京210048) 摘要:石化行业具有资金与技术密集型的特点,工业控制系统的信息安全问题不容有失。结合石油化工行业工业控制系统发 展现状,具体分析了相应的信息安全问题,介绍了一些防范思路与防护方法,对石油化工行业的信息安全问题进行了综述,目的 是促进中国石油化工行业工业控制系统的健康运行和发展。 关键词:石油化工工业控制系统信息安全 中图分类号:TP273 文献标志码:B 文章编号:1007-7324(2018)01—0001—06 Summary of Information Security Technology of Industrial Control System in Petrochemical Industry Meng Yahui ,Yang Jincheng (1.Venustech Group Inc.,Beijing,100193,China;2.Olefin Plant,Sinopec Yangzi PetrochemicaI Co.Ltd.,NaNing,210048,China) Abstracts:Petrochemical industry has the characteristics of capital—intensive and technology- intensive.No error iS permitted for information security of industrial control system. Combining with current development situation of industrial control system in petrochemical industry,the issues of information security are discussed in detail.The prevention mentality and protection means are introduced.The issue of petrochemical industry information security is summarized for the purpose of promoting healthy operation and development of industrial control system for China petrochemical industry. Key words:petrochemical;industry control system;information security 石化企业生产的产品大多为易燃、易爆、有毒 以及强腐蚀性的物质,其操作流程十分复杂,各种 高温、高压设备较多,对操作都有严格要求,一旦生 产系统出现安全问题,生产现场可能出现火灾、爆 炸,进而可能引起生产装置的损坏,并可能造成人 制系统(CCS)、可燃气报警系统(GDS)、可编程控 制器(PLC),并已成为石油化工行业重大的基础设 中国石油化工行业经过近4O多年的发展和建 设,生产能力稳定增长、产品质量持续提高,已形成 世界级规模的、完整的工业体系。随着智能制造技 术的提高,石油化工行业加速发展,石化企业普遍 员伤亡。事故导致生产原料的泄漏、扩散等,可能 在很大范围内长时间地造成空气、水源、土壤的污 染,给当地人民生活和周边环境带来严重影响。因 此,预防生产事故的发生是石化企业非常重要的任 务。以太网技术在工业控制系统中的快速应用,导 致了工业控制系统的软件平台日益开放,工业控制 系统的安全已迫在眉睫。 1 石油化工行业工业控制系统现状 1.1 石油化工行业工业控制系统介绍 在石油化工行业中,工业控制系统主要包括分 采用了高度自动化的生产技术装备和高度信息化 的运营管理手段,越来越多的计算机和网络技术应 用于工业控制系统,极大地提升了生产效率,与此 同时也带来了严峻的网络安全风险。与传统的基 于TCP/IC协议的网络与信息系统的安全相比,石 稿件收到日期:2017—10—17,修改稿收到日期:2017—11—20。 作者简介:孟雅辉(1981一),女,2006年毕业于河北大学计算机应 用专业,获硕士学位,现就职于启明星辰信息技术集团股份有限公 司,任工控安全部技术总监。 散控制系统(DCS)、安全仪表系统(SIS)、压缩机控 石油化工自动化 第54卷 油化工行业工业控制系统的安全保护水平明显偏 低,并且长期以来没有得到足够关注。 与石化生产直接相关的PLC与DCS已成为 的工作量。通过应用I/O数据缓存,实现了网络 故障时的数据存储和网络恢复时的数据转发功能, 确保了数据的完整性。 石油化工行业使用OPC协议采集的方式,将 数据向上单向传输,涉及的主机操作系统大都为 Windows系统。一般放在控制网络中的()PC 当前石化工业控制系统的应用主流。虽然采用计 算机控制能够极大地提高生产效率,但是过程控制 系统在近十年的发展中所呈现出的整体开放趋势, 尤其是在西方发达国家对国内工业控制核心技术 垄断的环境下,国内用户对控制系统中存在的漏洞 缺乏清醒的认识。以伊朗“震网病毒”造成的巨大 破坏为例,工业控制系统面临的信息安全形势非常 Server端采集工业控制系统数据,OPC Client端在 生产管理端,连接OPC Server获取生产现场数据。 3)A_PC和实时优化(RT—OPT)。APC和 RT—OVI"的数据来源于DCS的实时数据库,一般 严峻。对石油化工行业而言,生产的强连续性、高 安全.I生、环境的特定性使得控制系统安全稳定地运 行显得尤为重要。如果控制系统受到攻击或感染 病毒后,会使压力、温度、流量、液位、计量仪表等生 产过程参数指示失效,控制系统发出无效的联锁报 警,现场电磁阀误动,引发生产装置中的重大危险 源处于失控状态。一旦发生该情况,将严重威胁现 场操作人员及附近区域人员的生命安全。 从国家层面而言,目前超过80 的涉及国计民生 的关键基础设施依靠工业控制系统来实现自动化作 业,工业控制系统已经成为国家关键基础设施的重要 组成部分,工业控制系统的安全关系到国家的战略安 全。一旦工业控制系统信息安全出现漏洞,将对工业 生产运行和国家经济安全造成重大隐患。随着计算 机和网络技术的发展,特别是信息化与工业化深度融 合以及物联网的快速发展,工业控制系统产品越来越 多地采用通用协议、通用硬件和通用软件,以各种方 式与互联网等公共网络连接,病毒、木马等威胁正在 向工业控制系统扩散,工业控制系统信息安全问题 日益突出。国内工业控制系统同样存在着信息安全 管理制度不健全,相关标准规范缺失,技术防护措施 不到位,安全防护能力和应急处置能力不高,潜在威 胁着工业生产安全和环境安全。本文将从技术、制 度、规范、标准等方面,对目前国内工业控制系统面 临的信息安全问题提供防范思路。 1.2控制系统网络架构 通常石化企业网络划分为管理网、数采网、工 控网三个网段。 1)工控网。石化企业的工业控制系统大多采 用DCS,DCS控制网的网卡一般是定制的,控制器 之间的网络传输协议每个厂家通常采用自己的专 用协议,硬件设备也是厂家定制的。DCS与制造 执行系统(MES)和先进控制(APC)等系统的数据 库统一通过OPC接口传输。 2)数采网。通过应用OPC技术,统一了不同 厂家DCS间的数据访问方式,减少了开发和维护 具有数据双向传输的要求。通过采用 和实时 优化控制策略,改进过程控制品质、优化生产操作、 提高装置的稳定性,同时可使装置具备卡边运行的 能力,提高了装置的处理量,优化了产品收率和质 量,降低了能耗、物耗,实现了装置经济效益最大化。 2石油化工行业信息安全威胁来源分析 2.1威胁来源分析 对过程控制系统影响较大的安全威胁主要集 中在以下六个方面uj。 1)硬件方面。在一些较大型的网络中,当大 量广播信息,如地址查询等同时在网络中传播时, 会发生数据包的碰撞。随后,网络试图缓解这些碰 撞并重传更多的数据包,结果导致全网的可用带宽 阻塞,并最终使得网络失去链接而瘫痪,该过程称 为广播风暴。另外现在的蠕虫病毒往往占据计算 机的资源,使应用程序无法响应系统的要求,造成 系统的堵塞或崩溃。 2)软件方面。由于石油化工行业过程控制应 用软件品牌众多,很难形成统一的防护规范以应对 安全问题;另外当应用软件面向网络应用时,就必 须开放相对应的应用端口,常规的IT防火墙等安 全设备很难保障其安全性。另外软件本身隐含的 安全漏洞,一旦被恶意攻击和利用后果不堪设想。 3)使用方面。网络的使用者由于经验不足等 原因造成的网络口令丢失、权限分配失策、系统被 人入侵等情况,也会造成机密数据丢失、泄漏、系统 瘫痪等故障。 4)广播风暴。由于过程控制系统大型化、集成 化、智能化的发展趋势和客观需求,过程控制系统网 络越来越庞大,处理的信息量也越来越丰富。若由 于广播风暴造成整个控制系统通信总线的负荷过大 甚至完全堵塞,会造成不可估量的严重影响。 5)非法授权使用。过程控制系统应有严格的 访问制度和权限管理。权限管理的漏洞造成的非 授权使用或来自外部的黑客攻击有可能使控制系 统误动作,甚至造成系统瘫痪。 第1期 孟雅辉等.石油化工行业工业控制系统信息安全技术综述 3 6)病毒攻击。计算机病毒在整个控制系统内 的传播可能造成某个或多个计算机的性能下降甚 至瘫痪,造成控制系统局部功能的丧失。 2.2工业控制系统的网络风险点分析 的访问权限,不满足最小授权原则。 3)APC系统存在对控制网病毒感染隐患。 APC系统通常可以由APC软件供应商自由操作, 自身无任何防护措施,存在感染病毒的高风险。且 APC系统的安装、调试、运行一般需要较长的时 间,需要项目工程师进行不断的调试、修改。期间 APC系统需要频繁与外界进行数据交换,这给 2。2.1信息安全管理方面脆弱性 1)组织结构人员职责不完善,专业人员缺乏。 大部分行业未设置工业控制系统信息安全管理部 门,未明确建设运维相关部门的安全职责和技能要 求,同时普遍缺乏信息安全人才。 2)信息安全管理制度流程欠完善。现在大部 分行业还未形成完整的制度保障信息安全,缺乏工 业控制系统规划、建设、运维、废止全生命周期的信 息安全需求和管理,欠缺配套的管理体系、处理流 程、人员责任等规定。 3)应急响应机制欠健全,需进一步提高信息安 全事件的应对能力。由于响应机制不够健全,缺乏 应急响应组织和标准化的事件处理流程,发生信息 安全事件后人员通常依靠经验判断安全事件发生的 设备和影响范围,逐一进行排查,响应能力不高。 4)人员信息安全培训不足,技术和管理能力 以及人员安全意识有待提高。大部分行业有针对 工业控制系统的业务培训,但是面向全员的信息安 全意识宣传、信息安全技术和管理培训均比较缺 乏,需加强信息安全体系化宣传和培训。 5)尚需完善第三方人员管理体制。大部分的 行业会将设备建设运维工作外包给设备商或集成 商,尤其针对国外厂商,业主不了解工控设备的技 术细节,对于所有的运维操作无控制、无审计,留有 安全隐患。 2.2.2信息安全技术方面安全脆弱性 1)未进行安全区域划分,区域间未设置访问控 制措施。随着工业控制系统的集成化越来越高,呈 现统一管理、集中监控的趋势,系统的互联程度大幅 提高。但是工业控制系统各子系统之间没有进行有 效的隔离,系统边界不清楚,边界访问控制策略缺 失,尤其是采用OPC和Modbus等通信的工业控制 网络,一旦发生安全问题,故障将迅速蔓延。 2)生产运行管理网与过程控制网之间的通信 安全隐患。石油化工行业生产运行管理网与过程 控制网之间多采用OPC数据采集机进行通信,虽 然OPC数据采集机采用双网卡配置,已经将控制 网与信息网进行隔离,但是OPC服务器一般是 Windows平台,XP居多,投产后一般不更新补丁。 OPC协议在使用过程中,OPC Server端和多个 OPC Client端使用相同用户名和口令。OPC Client端有对Server端数据进行读取、修改等全部 APC系统本身带来很大感染病毒的风险。一旦 APC系统受到病毒感染,对实时运行的控制系统 安全会造成极大隐患。该节点是应用OPC协议与 DCS的OPC Server进行数据通信的,所以常规 IT策略不能防护_2J。 4)操作员站存在互相感染的隐患。操作员站 一般是基于Windows平台,版本包括NT4.0, Win2000,XP,Win7,Server2003等,Windows平台固 有的脆弱性均可以被病毒黑客利用。并且大部分企 业无移动存储介质管理、操作站软件运行白名单管 理、联网控制、网络准人控制的技术措施。 目前大部分企业操作员站都在一个网络中,仅 从管理角度通过规章制度限制移动介质接入而减 少外部感染,但在网络内部没有采取任何有效的防 护措施。PC+Windows平台已经为各行各业所共 用,同时以太网互联也得到推广,TCP,STMP, PoP3,ICMP等大量开放的商用通信协议为大家 广泛使用,随之也带来木马、蠕虫等计算机病毒。 在控制系统的网络中,除具备上述通信协议外,根据 系统制造商不同,基于TCP/IP技术的通信协议是不 一样的,例如Honeywell PKS使用的是FTE,横河 CS3000使用的是Vnet。目前普通IT防火墙无法实 现工业通信协议的过滤,所以当网络中某个操作员站 (工程师站)感染病毒时,可能会马上传播到网络中的 其他计算机,容易造成网络上所有操作员站同时发 生故障或者容易引发控制网络风暴,造成网络通信 堵塞,严重时可导致所有操作员站失控,甚至停车。 5)缺少信息安全风险监控技术,不能及时发 现信息安全问题,出现问题后靠人员经验排查。在 工控网络上普遍缺少信息安全监控机制,不能及时 了解网络状况,一旦发生问题不能及时确定问题所 在,不能及时排查到故障点,排查过程耗费大量人 力成本、时间成本。 6)系统运行后,操作站和服务器很少打补丁, 存在系统漏洞,系统安全配置较薄弱,防病毒软件 安装不全面。大部分行业工业控制系统投产后,对 操作系统极少升级,而操作系统会不断曝出漏洞, 导致操作站和服务器暴露在风险中。系统自身的 安全策略未启用或配置薄弱。防病毒软件的安装 第54卷 不全面。即使安装后也不及时更新防恶意代码软件 版本和恶意代码库。 7)工程师站缺少身份认证和接入控制策略. 且操作权限大。便携式工程师站成为工控安全的重 大隐患。 [程师站对操作站、Ⅸ、S控制器的组态行 为一般无身份认证和访问控制,并且拥有最高的操 作权限.可以任意修改控制逻辑和流程。非法的工程 师站成为工控安全的重大隐患。有些行业工程师站 登陆过程缺少身份认证,且工程师站对操作站、控制 器等进行组态时均缺乏身份认证,存在任意工程师 追究责任。 l0)上线前未进行信息安全测试。一些行业 工业控制系统在上线前未进行安全性测试,系统上 线后存在大量安全风险漏洞,安全配置薄弱,甚至 有的系统带毒工作。 11)无线通信安全性不足。一些行业工业控 制系统中大量使用无线网络,在带来方便的同时, 随之而来的还有无线网络安全方面的威胁,其中包 括未授权用户的非法接入、非法AP欺骗生产设备 接入、数据在传输过程中被监听、窃取,基于无线的 站可以刈操作站、现场没备直接组态的可能性。 8)存在使用移动存储介质不规范问题,易引 入病毒及黑客攻击程序。在工业控制系统运维和 使用过程中,存在随意使用U盘、光盘、移动硬盘 入侵行为等。 3石油化工行业信息安全防御技术 3.1 参考标准 1)参照IEC 62 H3{工业过程测量、控制和自 等移动存储介质现象,有可能传染病毒、木马等威 胁生产系统。 动化网络与系统信息安全》、IATF《信息保障技术 框架》对工业控制系统进行了区域划分,分析了工 业控制系统面临的威胁。IEC 62443标准框架如 图1所示。 系统集成商 3一l IACS信息安全技术 9)第三方人员运维生产系统无审计措施。出 现问题后无法及时准确定位问题原因、影响范围及 通用方面 卜1术语、慨念和模型 用户业主 部件制造商 4—1产品开发要求 2—1建立IACS信息安全程序 2—2运 ̄-IACS 信息安全 序 2 3IACS环境中的 补r更新管理 2术语和缩略语 3—2区域和通道的 信息,安全保障等级 3—3系统信息安全要求 和信息安全保障等级 4—2对IACS产品的 信息安全技术要求 1—3系统信息 安全符合性度量 2-4对IACS带lJ造商信启、 安全政策与实践的认证 定义指标 用户在建立其信息安全 程序时需要考虑的 安全系统的要求 保障系统部件 安全的要求 图1 IEC 62 143标准框架示意 2)IATF中将信息系统划分为四个根级节点 域:边界接人域、计算环境域、网络基础设施域和 支撑性设施域.如图2所示。 3)信息安全技术防护体系。设计参照NIST SP 8O0—82《工业控制系统安全指南》、GB/T 22239--2008 ̄信息系统安全等级保护基本要求》技 术要求进行设计。 4)信息安全管理体系。设计参照GB/T 22080 2008{信息技术安全技术信息安全管理 体系要求》、GB/T 22239中管理要求部分等相关 要求进行建设。重点加强纵深防御。 信息系统安全等级保护基本要求从物理安全、 网络安全、主机安全、应用安全、数据安全五个层次 阐述了安全技术防护措施,经整理分析不同级别对 芰撑性设施域(网络管理和安全管理) 应的安全防护技术,基于等级保护的安全防护措施 见表1所列。 图2 IA FF安全划分的时域标准示意 第1期 孟雅辉等.石油化工行业工业控制系统信息安全技术综述 5 3.2信息安全防护思路 3_3.1生产管理层防护 在保证系统可用性前提下,对工业控制系统进 行防护,实现“垂直分层,水平分区。边界控制,内 部监测”。 生产管理层主要是生产调度、详细生产流程、 可靠性保证、站点范围内的控制优化等相关系统。 监督控制层包括了监督和控制实际生产过程的相 关系统,包括如下设备: 1)人机界面(HMI)。操作员站,负责组态的 工程师站等。 2)报警服务器及报警处理。 1)“垂直分层、水平分区”即对工业控制系统 垂直方向化分为四层:现场设备层、现场控制层、 监督控制层、生产管理层;水平分区指各工业控制 系统之间应该从网络上隔离开,处于不同的安 全区。 3)监督控制功能。 4)实时数据收集与历史数据库,用于连接的 服务器客户机等。 2)“边界控制,内部监测”即对系统边界即各 操作站、工业控制系统连接处、无线网络等要进行 边界防护和准入控制等;对工业控制系统内部要监 测网络流量数据以发现入侵、业务异常、访问关系 异常和流量异常等问题。 3)系统面临的主要安全威胁来自于黑客攻 3_3.2现场控制层防护 现场控制层是对来自现场设备层的传感器所 采集的数据进行操作,执行控制算法,输出到执行 器执行,该层通过现场总线或实时网络与现场设备 层的传感器和执行器形成控制回路。该层控制功 能可以是连续控制、顺序控制、批量控制和离散控 制等类型。设备包括如下几个方面,但不限于此。 1)DCS控制器。 2)可编程逻辑控制器(PLC)。 3)远程终端单元(RTU)。 击,病毒蠕虫等恶意代码,非授权接入、移动介质、 弱口令、操作系统漏洞、误操作和业务异常等越权 访问。因此,其安全防护应在以下方面予以重点完 善和强化:入侵检测及防御;恶意代码防护;内部 网络异常行为的检测;边界访问控制和系统访问控 制策略;工业控制系统开发与维护的安全;身份认 证和行为审计;账号唯一性和口令安全,尤其是管 理员账号和口令的管理;操作站操作系统安全;移 动存储介质的标记、权限控制和审计;设备物理 安全。 3_3工业控制信息安全防护体系 现场设备层对生产设施的现场设备进行数据 采集和输出操作的功能,包括所有连在现场总线或 实时网络的传感器和执行器。 3.3.3对子系统和安全设备监控管理 通过工业控制信息安全管理系统对整个工业 控制系统内的各个子系统和安全设备进行统一安 全监控和管理。对工业控制现场设备、信息安全设 结合工业控制系统信息安全防护思路,将典型 工业控制系统分为四层,即生产管理层、监督控制 层、现场控制层、现场设备层,每一个工业控制系统 应单独划分在1个区域里。 备、网络设备、服务器、操作站等进行统一资产管 理,并对各设备的信息安全监控和报警、信息安全 石油化工自动化 第54卷 日志信息进行集中管理。根据安全审计策略对各 4结束语 类信息安全信息进行分类管理与查询,系统对各类 信息安全报警和日志信息进行关联分析,展现全网 的安全风险分布和趋势。防护类措施分类如下: 1)在区域边界处部署工业防火墙设备,实现 IP/端口的访问控制、应用层协议访问控制、流量控 在工业控制系统信息安全问题显著、突出的情 况下,要对信息安全工作建设进行重点注意。以上 对于各个行业均提出了相应的信息安全问题分析, 给出了总体思路,提供了防范方向。希望能够在信 息化与工业化深度融合的过程中,减少安全事故, 制等;或者部署网闸设备,切断网络链路层链接,完 成2个网络的数据交换。 2)在操作站、工程师站部署操作站安全系统 实现移动存储介质使用的管理、软件黑白名单管 理、联网控制、网络准入控制、安全配置管理等。 提高生产效率,加强防范能力,成功促进工业控制 系统良好运行。 参考文献: [1]王玉敏.工业控制系统信息安全防护能力介绍FJ].自动化博 览,2o15(11):50—60. 3)现场运维审计与管理系统是手持移动设 备,运维人员维护现场设备时先接人审计系统,再 连接现场设备。审计系统可审计运维操作命令、运 [2]伊胜伟,戴中华,彭勇,等.炼化行业工业控制系统信息安全 分析FJ].工业控制计算机,2o14,27(1O):卜3. [3]魏可承,李斌,易伟文,等.工业控制系统信息安全防护体系 规划研究_J].自动化及仪表,2015(02):49—52. [4]邸丽清,高洋,谢丰.国内外工业控制系统信息安全标准研 究_J].信息安全研究,2016(05) 435—44L 维工具使用录像等,亦可进行防病毒、访问控制等 安全防护。 4)Wifi入侵检测与防护设备是放在基于Wifi 组网的现场设备网络中,可实现非法AP阻断,非 法外来设备接人生产网络,基于Wifi的入侵检 测等。 [5]崔永青,宋旭.安全管理系统在石化企业的应用初探[J].石 油化工自动化,2016,52(O2):18—20. [6]王存伟.基于ASP.NET的天然气集输计量管理信息系统设 计[J].石油化工自动化,2016,52(01):54—56. [7] 刘朋.天然气长输管道国产SCADA软件发展现状及展望 _J].石油化工自动化,2016,52(02):7一lO. 3.3.4监控检查类措施 1)在工业以太网交换机上部署工控异常监测 [8]杨乐.分散控制系统信息安全方案探讨[J].石油化工自动 化,2017,53(03):卜4. 系统,检测工业控制系统内部入侵行为,异常操作 行为,发现异常流量和异常访问关系等。 2)部署工控漏洞扫描系统,在系统检修、停机 或新系统上线时进行漏洞扫描。对漏洞进行修补。 3)部署安全配置基线核查系统,在系统检修、 停机或新系统上线时进行配置基线检查,重点关注 [9]杨晨,潘衡尧,蒋帅.OPC实现APROS与DCS半实物仿真 系统的实时通信EJ].化工自动化及仪表,2017,44(04): 392—396。421. El0]祝广场,余小敏.基于Prodave的西门子PI c与PC以太网 通信研究lJ].化工自动化及仪表,2017,44(O4):397—400. [11]王茜瑶,胡立生.工业以太网交换机的热仿真分析与优化 操作站、工程师站、服务器等开放的服务,账号密码 FJ].化工自动化及仪表,2017,44(05):487—491. [12]王捷,艾红.基于TCP和 ̄C/OS U的数据采集系统研究_J]. 化工自动化及仪表,2017,44(06):591—594,608. 策略、协议的安全配置等问题,对风险进行安全 加固。 虹润人工智能温控器喜获3项国家发明专利 虹润人工智能温控器产品,是虹润公司集二十多年自动化控制理论研究和十多年现场经验积累的成果,它融合了当前 国内外多种先进的温控算式,特别是经过近几年潜心研究,造就了真正的人工智能算式并达国际先进水平。 该温控器,无需人工整定参数,控温精度达±O.1℃,无超调、欠调。 全新人工智能温控器喜获三项国家发明专利,并由该公司主持起草了温控仪表国家标准。该算式产品用于空空导弹 研究院、中国原子能科学研究院、中科院高能物理研究所等20多家军工企业。还被广泛应用于航天航空、军工生产、核电 高铁、采矿冶金、石油石化、食品医药、机械电子、装备制造、农业环保等领域。 一直以来,虹润秉承创新铸就生命力的科技理念,十分重视知识产权开发与保护,本次发明专利的获得以及国家标准 的制定不但为虹润产品提供了有效的知识产权保护,而且提升了企业知名度,进一步提升了公司的核心竞争力。(福建顺 昌虹润精密仪器有限公司)
