大型炼化厂工控系统安全防护方案研究

2019-08-07◆李季

网络安全技术与应用 2019年8期

◆李季

（广州地铁集团有限公司广东 510330）

随着两化融合在炼化行业中加速发展，石化和化工企业普遍采用了高度自动化的生产技术装备和高度信息化的运营管理手段，极大地提升了生产效率。与此同时，严峻的网络安全风险也如影随形。炼化厂工控系统的网络化、智能化在提高生产效率和管理效率的同时，也为恶意攻击者增加了新的攻击途径，针对工控系统的攻击技术和手段不断发展，各种工控系统恶意软件以及安全事件层出不穷，使得工控系统面临越来越多的安全威胁和挑战。炼油行业网络信息安全防护有其特殊性。一是其防护的攻击主体特殊，与以谋财、牟利为目的的网络诈骗、网络入侵等传统网络攻击所不同，产业入侵者不会是一般意义上的“黑客”，而很可能是恐怖组织甚至是敌对国家力量支撑的组织；二是遭受攻击破坏后果严重，大型炼油或化工装置的关键设施一旦遭受攻击，会直接威胁到国民经济的发展和社会安定[1]。

1 炼化厂工控系统现状分析

1.1 脆弱性分析

（1）操作系统

炼化厂工作站多数采用 Windows操作系统，一般系统上线后，很少对工作站和服务器很少打补丁，存在系统漏洞，系统安全配置未启用或配置薄弱，从而埋下安全隐患。另一方面，防病毒软件的安装不全面，即使安装后也不及时更新防恶意代码软件版本和恶意代码库[2]。

（2）应用软件

工控系统的监控软件（组态软件）、OPC软件、APC优化控制软件、网络管理软件等应用系统，由于应用软件多种多样，很难形成统一的防护规范以应对安全问题，有可能存在较大的权限泄露风险[2]。

（3）控制设备

在炼化厂的工控系统中，绝大多数采用的是国外的品牌，如霍尼韦尔、横河、西门子、罗杰康等。这些设备已暴露出大量的漏洞甚至后门，一方面在网络互联状态下存在生产数据泄漏风险，另一方面现场控制设备基本没有安全防护能力，不法人员利用设备漏洞可以对现场设备进行篡改和恶意控制。这些漏洞一旦被利用，造成的攻击不堪设想、损失不可估计。

（4）工业协议

在炼化系统中大量采用OPC协议通信，而OPCClassic协议(OPCDA，OPCHAD和OPCA&E)基于微软的DCOM协议，DCOM协议是在网络安全问题被广泛认识之前设计的，极易受到攻击，并且OPC通讯采用不固定的端口号。同时，DCOM配置要求OPC服务端和多个OPC客户端使用相同用户名和口令，OPC客户端有对服务端数据进行读取、修改等全部的访问权限，不满足最小授权原则，造成采集数据安全性无法得到保障[3]。

（5）工程师站

工程师站缺少身份认证和接入控制策略，且操作权限大，便携式工程师站成为工控安全的重大隐患。工程师站对操作站、DCS控制器的组态行为一般无身份认证和访问控制，并且拥有最高的操作权限，可以任意修改控制逻辑和流程，非法的工程师站成为工控安全的重大隐患。有些行业工程师站登陆过程缺少身份认证，且工程师站对操作站、控制器等进行组态时均缺乏身份认证，存在任意工程师站可以对操作站、现场设备直接组态的可能性。

（6）广播风暴

在一些较大型的炼化网络中，当大量广播信息，如地址查询等同时在网络中传播时，会发生数据包的碰撞。随后，网络试图缓解这些碰撞并重传更多的数据包，结果导致全网的可用带宽阻塞，并最终使得网络失去链接而瘫痪，该过程称为广播风暴[4]。另外现在的蠕虫病毒往往占据计算机的资源，使应用程序无法响应系统的要求，造成系统的堵塞或崩溃。

1.2 安全分析

（1）网络边界模糊，缺少控制措施

炼化厂过程控制层与生产监控层之间、各生产车间之间以及不同功能监控系统之间，系统边界不清晰，边界访问控制策略缺失，无法保障工控网络、生产设备安全。

例如，炼化系统DCS过程监控层与生产管理网的OPC数采机连接处、先进控制系统的连接处以及操作员站之间的连接处缺少访问控制措施，网络连接处易受病毒侵袭风险。OPC协议在使用过程中，OPC服务端和多个OPC客户端使用相同用户名和口令。OPC客户端有对服务端数据进行读取、修改等全部的访问权限，不满足最小授权原则[5]。

（2）缺少网络安全审计

炼化厂内部控制系统及网络缺乏安全监测与审计机制，不能及时了解网络状况（如违规操作、病毒木马入侵、关键配置变更、网络风暴等），一旦发生问题不能及时确定问题所在，不能及时排查到故障点，排查过程耗费大量人力成本、时间成本。

（3）主机带“洞”运行，存在诸多安全隐患

炼化系统现场工程师站、操作员站大多数安装的是Windows操作系统，由于传统 DCS控制系统内外网的完全隔离的网络结构特点及应用软件兼容性等方面的考虑，操作系统基本上不进行任何补丁的更新，这也为针对操作系统漏洞的攻击提供了可能。

另外，用于工控系统的 Windows操作系统基于工控软件与杀毒软件的兼容性的考虑，通常不安装杀毒软件，给病毒与恶意代码传染与扩散留下了空间[6-7]。

（4）缺少安全日志收集手段

像DCS、PLC、SCADA等系统都存有日志，定期进行管理；而对交换机、防火墙等网络设备、安全设备的运行日志没用过多关注，缺乏对日志的审计，无法第一时间感知系统威胁。

（5）缺少运维审计手段

大型DCS系统的运维服务一般交由厂商或系统集成商委托运维，如先进控制系统（APC）一般由第三方软件供应商提供，针对第三方对系统的运维缺少必要的运维审计措施，运维行为不可控，是否合规无法感知，存在重大的安全隐患，需要加强监管。

（6）上线前未测试，系统带“病”运行

一些炼化的工控系统在上线前未进行安全性测试，系统上线后存在大量安全风险漏洞，安全配置薄弱，甚至有的系统带毒工作。

存在使用移动存储介质不规范问题，易引入病毒及黑客攻击程序。在工控系统运维和使用过程中，存在随意使用U盘、光盘、移动硬盘等移动存储介质现象，有可能传染病毒、木马等威胁工控系统。

2 炼化厂工控系统安全防护设计

2.1 防护思路

（1）安全分区

根据工控系统业务的重要性、功能等因素划分不同安全区，在各安全区之间采取相应的隔离措施；另外也要从综合成本的角度，提出针对不同工控系统特点的保护强度，在不影响整体安全性的前提下，有效控制安全成本。

（2）“白名单”基线

应从工控系统设备准入、操作行为、通讯链路、主机进程等方面构建白名单安全基线。

（3）纵深防御体系

应构建多方面、多层次、多手段的技术安全防护体系（涉及边界防护、访问控制、接入管控、异常检测、终端加固、流量基线、行为白名单、进程白名单以及U盘管控等方面）。

（4）综合审计

建立多方面综合立体审计体系，包括设备接入审计、网络审计、操作审计及安全运维审计等。

（5）统一安全管理

通过统一安全管理平台实时搜集，大数据关联分析，实时动态发现工控系统网络中的风险并预警。有效提高信息安全工作效率，降低人员安全维护成本，提升企业生产业务系统的整体安全防护水平。

2.2 安全架构设计

依据上述安全现状和防护思路，炼化厂工控系统安全架构设计如图1所示。

（1）边界防护

边界在防护产品通常以串接方式接入，部署在工控以太网与企业管理网络之间、工厂的不同区域之间，或者控制层与现场设备层之间。通过一定的访问控制策略，对工控系统边界、工控系统内部区域边界进行保护。

在生产管理层与企业资源层之间部署网闸设备，进行APC网络与生产网进行边界安全防护。过程监控网和生产管理层之间部署工业防火墙设备，基于工控协议配置合理的主机访问规则，并针对工业控制网络在同一个大网的情况，通过ACL等安全访问策略的配置对生产网络进行逻辑分区。

图1 炼化厂工控系统安全防护架构设计

（2）网络审计

部署在过程监控层与过程控制层之间的交换机上的监测引擎通过镜像接口分析 DCS系统中的网络流量，及时发现网络流量或设备的异常情况并告警，通常不会主动阻断通信，产品自身的故障不会直接影响工控系统的正常运行。

工控网络监测与审计系统对工控网络中的网络流量进行采集、监测和分析，有效识别工控网络中的安全隐患、恶意攻击以及违规操作等安全风险。

工控网络监测与审计系统可以有效预警类似伊朗“震网”事件、乌克兰电网事件的恶意攻击。

工控网络监测与审计系统旁路接入各控制系统网络，只抓取现场控制系统网络数据包进行分析处理，不向现场控制系统发送任何命令和数据包。

通过部署监测引擎，对流经各分区系统网络交换机的数据流量进行实时解析并与工控安全监测与审计系统下发的黑、白名单、关键事件等策略智能匹配，确定每条报文归属类型，并将审计结果上传至位于生产管理层的监测与审计管理平台做进一步的展现及白名单自学习。

（3）主机防护

工控系统中会部署一定数量的主机设备，如工程师站、操作员站等。这些设备往往是工控系统的风险点，病毒的入侵、人为的误操作等威胁主要都是通过主机设备进入工控系统。因此，对这些主机设备进行安全防护尤为重要。通过部署终端安全管理系统，在主机上安装代理程序（工控安全卫士），限制只有可信的程序、进程才允许执行，防止恶意程序的侵入。同时，对移动存储介质进行管控，防止通过移动存储介质引入蠕虫、病毒等恶意攻击。

（4）运维审计

针对网络设备、服务器、工控设备部署远程运维审计系统，对各系统运维人员进行资源授权，权限分配，有效防范第三方维护人员对非授权设备的操作，同时通过策略配置，可以对正在操作的违规流量进行有效阻断，对运维行为对事后发生的问题能够准确定位。

通过逻辑上将人与目标设备分离，建立“人-＞主账号（堡垒机用户账号）-＞授权-＞从账号（目标设备账号）-＞目标设备”的管理模式；在此模式下，通过基于唯一身份标识的集中账号与访问控制策略，与各服务器、网络设备、安全设备、数据库服务器等无缝连接，实现集中精细化运维操作管控与审计。

（5）统一管理

通过部署安全管理平台系统，形成集工业防火墙、网闸、工控监测审计、网络边界检查、运维堡垒机、终端安全管理系统等为一体的综合安全防护系统，对网络设备、安全设备进行统一管理、集中展现，利用大数据关联分析，实时动态发现工控系统网络中的风险并预警。并在此基础上进行关联分析、追踪溯源、风险预测，形成对安全威胁、风险隐患的动态持续态势感知。

实现全面展现公司工控网络当前安全状况及未来一段时间的发展态势，为信息安全人员开展信息安全态势分析、安全预警和处置提供支持，同时为客户提供直观的信息安全决策依据，提升工作效率，节省运维人力，提升整体安全管理水平。