化工行业工控安全防护剖析

2021-03-25刚占慧杨安樊佳讯杨佳宁

新型工业化 2021年12期

刚占慧，杨安，樊佳讯，杨佳宁

（国家工业信息安全发展研究中心，北京 100040）

1 化工行业工控安全特点与现状

1.1 化工行业工业控制系统安全现状

我国化工行业经过多年的发展和建设，生产能力稳定增长、产品质量持续提高，已形成世界级规模的、完整的工业体系。随着智能制造技术的提高，化工行业加速发展，企业普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段，越来越多的计算机和网络技术应用于工业控制系统，极大地提升了生产效率，与此同时也带来了严峻的网络安全风险，使化工行业面临巨大的安全挑战。

化工行业工业控制系统安全防护不到位。2020年5月，美国政府问责局发布了一项审计报告，报告表明，数以千计的美国化工设施依赖于严重过时的网络安全指南，这使它们容易受到黑客攻击。2021年2月，独立网络安全服务公司Bridewell Consulting的研究表明，化工组织面临着越来越多的老旧基础设施带来的风险，并且多数受访者确认他们的OT / ICS环境可以从公司网络访问。

化工行业工业控制系统网络攻击日益增长。2020年6月，ICIS发布消息称，自新型冠状病毒疫情暴发以来，黑客正试图利用工作习惯变化暴露的新漏洞，恶意活动更为猖獗，因此针对化工行业信息技术和生产资产的攻击大幅增加。2021年2月，独立网络安全服务公司Bridewell Consulting的研究表示，尽管82%的化学组织表示他们有信心保护他们的OT系统免受威胁，但英国68%的化学组织曾在过去12个月内检测到对其操作技术或工业控制系统的网络攻击，其中85%至少遭遇过一次成功攻击。

化工行业工控系统网络信息安全防护缺乏具有针对性、可靠性的政策支持。国内符合化工行业工控系统网络信息安全防护实际需求的信息技术标准处于空白状态，日常维护、升级改造缺乏可操作性技术标准。美国国土安全部于2007年建立了化学设施反恐标准计划，虽然该计划已采取措施协助高风险化学设施改善其网络安全状况，但该计划没有定期审查其网络安全指南的流程，无法确保它与当前的威胁和技术进步保持同步。

1.2 化工行业工控安全事件分析

化工行业作为国家重要支柱产业，是意图窃取敏感信息、破坏生产运行或造成社会混乱的人的重要目标。对化工行业的网络攻击可能不仅仅是暴露信息或影响生产，还可能破坏或影响计算机系统，使设备超出安全限制，对设备甚至人员造成物理损害。该行业的高温、高压、易燃、易爆、易腐蚀等特殊性也增加了生命风险。

近年来，化工行业工控安全事件层出不穷。从国内来看，2011年，大庆石化、齐鲁石化、西南管线广东调控中心及多个场站感染病毒，导致控制器通信中断；2015年6月，国内某石化央企发生“内鬼”事件，系统内部技术人员，通过该企业华东公司SCADA系统开发了一套病毒程序，病毒爆发致使系统瘫痪，无法运行；2016年1月，中石化洛阳分公司发现工控网络E网内存在蠕虫病毒，导致部分DCS数据采集频繁归零。

从国外来看，2000年，黑客在俄罗斯国营天然气工业股份公司（Gazprom）内部人员的帮助下突破了该公司的安全防护网络，通过木马程序修改了底层控制指令，致使该公司的天然气流量输出一度控制在外部用户手中，对企业和国家造成了巨大的经济损失；2017年，黑客利用施耐德电气的关键安全系统之一Triconex的漏洞，在沙特阿拉伯一家石油化工厂的网络植入了恶意软件Triton，意图攻击控制指挥系统，险些导致化工厂爆炸；2020年2月，美国国土安全部网络安全和基础设施安全署（CISA）发布公告，有一家未公开名字的天然气公司因感染勒索软件后被迫关闭设施两天，攻击从钓鱼邮件内的恶意链接发起，从其IT网络渗透到OT网络，勒索软件对IT和OT资产都造成了影响。

从上述事件可以发现，化工行业工业控制系统仍然面临严峻的网络安全挑战，主要来源于安全漏洞、人为因素和恶意软件等方面。

1.3 化工行业工控安全特点

与化工生产直接相关的PLC与DCS已成为当前化工工业控制系统的应用主流。化工行业作为流程工业，在可用性方面，其控制系统需保证整个生产流程的正确运行，保证工业流程中各环节的控制符合工业逻辑；完整性方面，其控制系统需要保证流程控制信息在传输、交换、存储和处理过程中不被破坏或修改、不丢失和信息未经授权不能改变的特性，也是最基本的安全特征；机密性方面，需要保证控制信息、状态采集信息在通信过程中不被泄露。

2 化工行业工业控制系统典型架构及脆弱性分析

2.1 典型架构

在石油化工行业中，工业控制系统主要包括分散控制系统（DCS）、安全仪表系统（SIS）、压缩机控制系统（CCS）、可燃气报警系统（GDS）、可编程控制器（PLC），并已成为石油化工行业重大的基础设施。通常石化企业网络划分为5层架构。

（1）企业管理层。该层主要以ERP系统为主，对企业的人、财、资产、供销等资源进行有效、协同、合规的管理，并为企业的经营决策提供支撑。

（2）制造执行系统层。该层主要为承上启下作用，将企业管理层下发的生产计划分解成作业计划，下达给下层操作人员；集成、分类、加工、处理下层上报的生产运行数据，实现生产过程的物料、质量、成本能源等的管理，并将结果反馈到企业管理层。

（3）过程监控层。该层主要基于工业以太网协议，实现现场控制器数据的图形化界面展示、系统组态维护和智能仪表的配置管理。

（4）现场控制层。该层主要是采用以DCS、PLC、APC等系统控制化工生产过程，实现安全、稳定、长周期、满负荷、优质绿色生产。

图1 煤制油化工行业网络架构

（5）现场设备层。该层为与工艺相关的仪器仪表、条码、RFID等设备。

2.2 脆弱性分析

（1）管理方面脆弱性。化工行业从业人员主要关注生产安全，对软件、网络等信息安全重视程度仍有待提高。一是未设置信息安全管理部门，未明确信息安全职责和技能要求，缺乏信息安全人才。二是缺乏涉及规划、建设、运维、废止全生命周期的信息安全需求和管理体系。三是应急响应机制欠健全，缺乏应急响应组织和标准化的事件处理流程，响应能力不高。四是人员信息安全意识宣传、信息安全技术和管理培训不足，技术和管理能力以及人员安全意识有待提高。

（2）技术方面脆弱性。

①安全区域未划分。随着控制系统的集成化加深，呈统一管理、集中监控的趋势，系统互联程度大幅提高。但各子系统间未进行有效隔离，系统边界不清晰，边界访问控制策略缺失，尤其是采用OPC和Modbus等通信的控制网络，一旦发生安全问题，故障将迅速蔓延。

②层间通信安全隐患。在石油化工行业，现场控制层与过程监控层间多采用OPC数据采集机进行通信，但在实现上仍存在安全隐患。如OPC Server/Client端基本使用相同用户名和口令；OPC Client端有读取、修改Server端数据的权限，不满足最小授权原则。

③先进控制系统（APC系统）易感染病毒。APC系统自身通常无任何防护措施，且安装、调试、运行时间一般较长，需工程师不断调试、修改，与外界频繁进行数据交换，存在感染病毒的高风险，进而对实时运行的控制系统安全造成极大隐患。

④操作员站存在严重安全隐患。大部分操作员站一般采用NT4.0、Win2000、XP、Win7、Server2003等老旧Windows平台，存在严重的安全隐患，易被病毒黑客利用。同时，目前工控系统广泛使用TCP、STMP、POP3、ICMP等开放的商用通信协议，易感染木马、蠕虫等计算机病毒。

⑤系统补丁管理缺失。化工等流程制造需长期不间断运行，故系统运行后，操作站和服务器等基本不打补丁，系统安全配置较薄弱，操作系统也极少升级。随着操作系统漏洞的不断曝出，导致操作站和服务器暴露在风险中。

⑥监控审计功能薄弱。工控系统普遍缺少信息安全风险监控技术，不能及时了解网络状况并发现信息安全问题。此外工控系统缺乏审计措施，出现问题后靠人员经验排查，不能及时准确定位问题原因、影响范围及追究责任。

⑦工程师站认证机制缺乏。工程师站缺少身份认证和接入控制策略，且操作权限大，致使便携式工程师站成为重大隐患。工程师站对操作站、DCS控制器的组态行为缺少身份认证和访问控制，且拥有最高的操作权限（可以任意修改控制逻辑和流程）。

⑧外设介质管理不善。在工业控制系统运维和使用过程中，存在随意使用U盘、光盘、移动硬盘等移动存储介质现象，易引入病毒及黑客攻击程序等威胁生产系统。

3 化工行业工控安全防护思路与措施

3.1 防护思路

依据《网络安全等级保护基本要求》（以下简称《等保要求》）的分层分级要求，可将化工行业工控系统分为五层架构，按照“横向分区、纵向分层、边界防护、内部监测”的原则，结合化工行业工控系统各层级的实际业务情况，充分考虑系统的完整性、保密性和可用性，将从如下几个方面开展化工行业工控安全防护：一是遵循评估标准与规范要求，防护工作将按照《等保要求》《工业控制系统信息安全防护指南》（以下简称《防护指南》）、《工业控制系统安全控制应用指南》等文件内容要求进行，确保工作思路有章可循；二是明确工控系统的防护边界，按照业务需要和数据流转最小化原则进行业务分层、网络分区，做好安全防护区与业务产线区的隔离，确保业务开发、测试、生产环境独立可控；三是做好全面监控和审计，构建网络安全管理平台对生产网中的链路、服务、设备等状态进行采集与监控，配备必要的安全防护与检查工具，定期开展风险检查与分析，做好个体设备防护的同时保障整体工业控制系统稳定；四是制定安全管理机制，按照人、事、物的颗粒度进行职责划分，从制度文件、组织机构、角色职责等方面提升安全防护管理水平，适时开展以演代练的防护流程，提升行业防护实战水平。

3.2 防护措施

一是加紧制定化工行业工控系统网络安全防护标准规范。围绕《防护指南》《等保要求》以及国家能源局相关管理规定，细化化工行业工控安全防护管理规范，指导企业制定安全防御细则、安全风险应急预案、应急处置管理手册等，从制度保障上提升安全防护水平。

二是形成资产测绘与态势感知相结合的自动化监测能力。化工行业信息资产种类多、数量大，防护水平参差不齐，通过在化工行业开展工控资产测绘，排查主干网、互联网等边界信息；同时在企业内部署安全监测探针，全面布控，明确资产归属，及时下线废弃或僵尸系统，继而强化监测预警和应急处置技术能力，提升智能风险分析、威胁预警和事件处置效果。

三是落实数据安全管理要求。开展资产测绘与监测中要特别关注易泄露的敏感数据，按照《数据安全法》要求，及时开展敏感信息清理工作。根据工信部《网络安全产业高质量发展三年行动计划（2021—2023年）（征求意见稿）》，细化企业资产清单，梳理企业系统数据类型、完善数据清单。在行业开展数据分类分级、重要目录制定等相关工作，指导建设安全大数据中心，构建高度可用、恢复能力强的整体服务架构。对安全仪表系统、控制器、数据库等重要组件进行高可用性热备冗余设计，保障紧急情况下系统数据的快速启动。

四是加强构筑安全防护网。随着工控系统、物联网等多设备的融合，针对易燃易爆等高风险装置，要加强与业务网、区域中心互联网的物理隔离。在边界部署IPS、WAF等自动化防护系统，拦截过滤异常流量，保证上位机指令的顺利下发和生产相关的业务与进程的正常执行；在主干网路由、域边界、DCS、SIS等上位机和服务器中启用白名单访问控制策略，阻断病毒入侵后的横向移动、纵向深入；在内网核心区、互联网区部署蜜罐，精确感知攻击行为；在重点业务系统中部署主机防护设备，启用高强度防护策略。依托安全管理中心的大数据分析平台对攻击行为进行感知、溯源、取证。对工控内网与外网两部分根据等级保护要求开展分级防护，采取身份认证、主机加固、入侵检测等措施，创建层次清晰、手段丰富的安全防护体系。

五是打造安全防护运营中心。打造集合规属性的管理型人才与技术属性的实战化人才为一体的协同高效运营团队，建设攻防演练实训靶场、培育行业队伍，定期开展应急预案演练，在行业领域内形成上下一体、协同联动的运营体系，形成行业、企业多人协同管理模式，将安全防护职责落实到人，协同开展态势监测与应急响应，避免防护管理过程空白。