西门子纵深防御DCS信息安全方案在青岛炼化项目的应用

2015-12-08西门子工厂自动化工程有限公司张波

自动化博览 2015年2期

关键词：炼化西门子青岛

西门子工厂自动化工程有限公司张波

西门子工厂自动化工程有限公司张波

编辑解读：

青岛炼化项目是石化行业非常典型的工业控制系统信息安全解决方案，虽然此项目完成于2011年，但如今看来，依然有很多值得借鉴的地方，所以，在本期专题中，记者将再次通过阐述这一具体项目，为石化行业用户实施信息安全解决方案提供参考。

随着计算机和网络技术的发展，信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件。网络化浪潮又将诸如嵌入式技术、多标准工业控制网络互联、无线技术等新兴技术融合进来，从而拓展了工业控制的发展空间，带来新的发展机遇，同时也带来了工业控制系统的信息安全等问题。对此，西门子提出了纵深防御信息安全解决方案，并且将其成功应用到了青岛炼化项目中。

图1 网络结构图

项目背景

青岛炼化公司一期1000万吨/年炼油项目是我国批准建设的第一个单系列千万吨级炼油项目，是中国石化调整国内炼化产业布局、打造环渤海湾炼化产业集群的重大战略项目。青岛炼化公司位于青岛经济技术开发区重化工园区，位置优越，配套完备，交通便捷。工艺路线采用“焦化＋CFB锅炉＋催化”方案，设计加工进口原油1000万吨/年，拥有16套工艺生产装置和相应的公用工程、辅助设施，占地220公顷，总投资125亿元，总定员500人。年产汽、煤、柴成品油708万吨，液化气、聚丙烯、苯、混苯等化工产品203万吨。青岛大炼油项目按照“大型化、系列化、集约化、信息化”理念进行规划建设，具有规模经济、技术先进、环保领先和效益显著等四个鲜明特征。

青岛炼化公司一期1000万吨/年炼油装置采用西门子PCS 7 V6.1过程控制系统作为过程控制系统系统，控制I/O点数在23000点左右。二期扩建部分包括苯乙烯、加氢裂化、制氢等装置，采用西门子PCS 7 V7.0过程控制系统作为过程控制系统系统，控制I/O点数在5500点左右。青岛炼化DCS系统网络结构图如图1所示。

信息安全需求

青岛炼化DCS系统自2008年5月投用以来运行良好。但从2009年底开始，在调用趋势时，有零星的操作员站死机现象出现。青岛炼化联合西门子的技术人员，对该细节进行认真的分析和判断，最终发现故障原因是由于系统内感染了多种网络病毒。

在确认故障原因后，青岛炼化、中石化工程建设有限公司（SEI）、西门子共同研究制定解决方案。

青岛炼化信息安全方案

在深入分析青岛炼化过程控制系统的系统架构、应用特点、安全现状、安全威胁以及安全需求的基础上，我们将纵深防御理念引入到过程控制信息安全领域，结合过程控制的系统特点，重点研究了网络分区与防护、系统加固与补丁管理等关键技术，提出了一个切实可行的过程控制系统信息安全解决方案。

本技术方案在IEC62443标准所提出的纵深防御理念基础上，研究工业领域的工程化解决方案。通过深入研究青岛炼化公司的系统特点与安全需求，将纵深防御的理念引入到过程控制系统安全领域并工程化，提出了石化行业工控系统分层及安全防护的参考模型。该模型不仅适用于青岛炼化项目，在石化行业作为最佳实践具有很高的推广价值，方案总体架构图如图2所示。

图2 纵深防御信息安全解决方案的总体架构

维护网络安全，确保石油石化过程控制系统的稳定可靠、防止来自内部或外部攻击，就需要在过程控制系统安全防护领域引入纵深防御的理念，研究如通过风险评估定制符合不同过程控制系统的系统架构、应用特点、安全现状、安全威胁以及安全需求的安全解决方案，在不干扰过程控制业务的前提下，针对不同性质的安全威胁，分层次、系统地在石化过程控制系统中部署上述高安全性的防护措施，这是石油石化过程控制系统信息安全的核心需求，也是本技术方案的研究目标所在，安全网络架构方案示例如图3所示。

图3 安全网络架构方案示例图

（1）物理安全

通过门禁系统等实现工厂的生产装置、设备、系统等的物理安全，未经授权人员不能接触或靠近生产装置。

（2）安全策略与流程

过程控制系统信息安全不是一个单纯的技术问题，而是一个从意识培养开始，涉及到管理、流程、架构、技术、产品等各方面的系统工程。

（3）网络分区与边界防护

规划安全单元：安全单元是工厂中一个具备独立功能的部分；在安全单元内部的成员相互信任；对于安全单元的访问只能通过明确定义的访问点；访问点受到监控并且有记录；安全单元内的所有成员是直接连接的；造成高网络负荷的成员直接集成在安全单元内部。如图4所示。

（4）用防火墙分隔不同的安全单元

防火墙根据一定的规则检查和过滤数据；通过防火墙保障安全单元的访问点；在安全单元内部无需防火墙。如图5所示。

（5）安全的单元间通信

采用VPN系统等技术实现安全的单元间通信。虚拟专用网络（Virtual Private Network，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

（6）活动目录域（如图6所示）和工作组

目前大多数工业控制系统的计算机操作系统均基于微软公司的Windows平台。Windows组成网络的模式有两种：工作组（Workgroup）和域（Domain）。大多数系统的组网方式是工作组模式，这带来了很大的安全隐患。而只有域模式是更加安全的组网模式，也是本技术方案所推荐采用的组网模式。

在工作组模式下，所有计算机是对等的，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。因此在工作组构成的对等网中，数据的传输是非常不安全的。在工作组模式下，每台计算机均有自己的Windows系统安全配置，不利于全厂统一安全配置，不利于检查和修改安全配置。每台计算机均有自己的用户账号，不利于对账号和密码进行管理和维护。

域的真正含义指的是域控制器控制网络上的计算机能否加入本网络。所有已授权的、合法的计算机信息和用户账号信息均储存在域控制器中，因此，任何人在任何计算机上要登陆网络和计算机，均需要经过身份验证。域控制器管理了网络上所有计算机的安全配置，可以制定全厂统一的安全策略，实现网络上所有计算机的安全配置同步功能。在域控制器可以集中管理和维护域内所有计算机的用户账号和密码，对于需要定期修改密码的用户提供了很大的便利。

图4 划分工业网络单元

图5 防火墙分隔网络单元

图6 活动目录域

（7）系统加固与补丁管理

为了最大限度地保护计算机不受到病毒的侵害，需要安装与DCS系统兼容的杀毒软件，并且及时更新病毒库。另外，Windows的补丁也需要及时更新才能保持操作系统的稳定和健康运行。西门子在德国的测试中心会将最新的Windows补丁与PCS 7系统的兼容性测试结果发布在网站上，维护人员根据这些信息可以选择安装补丁，如图7所示。

图7 更新安全补丁

（8）恶意软件的检测和防护

恶意软件的种类繁多、变种更新频率很快。通常的防范措施包括：安装防毒软件及防火墙。但是，这些措施都只能对恶意软件的清除起到有限的作用。防病毒软件的病毒库只对已知的病毒起作用，因此需要及时更新病毒库。但更新病毒库的过程中如果操作不当，也会增加恶意软件的入侵来源。因此，恶意软件的检测和防护措施中最重要的是从源头上检测、控制恶意的入侵，从源头上堵住恶意软件。一旦恶意软件入侵了系统，如何阻断和限制在恶意软件在系统内的传播。如何在不影响系统运行的情况下，清除系统内的病毒。

（9）访问控制与账号管理

执行严格的用户管理和统一的访问控制是整个信息安全方案中和核心部分，本方案采取域服务器对整个过程控制系统进行安全策略的统一管理。

访问控制与账号管理的定义是确保任何人未经授权就无法访问、操作过程控制系统的资源。严格的用户/访问管理是整个安全策略和核心部分之一。需要遵循最小权限原则；需要定期检查角色分配和权限；集中管理用户，密码和权限；确定明确的角色和权限的分配。

远程访问推荐的方法：远程访问通过VPN（虚拟专用网）和隔离网络接入；结合不同的安全技术认证和加密。