许冬涛 李桂兰

摘  要：文章针对煤制油化工行业工业控制系统信息安全防护方面，进行了防护技术规范探索研究，提供加强工业控制系统网络安全防护体系安全性的优化对策，为煤制油化工行业各单位工业控制安全防御提供管理和技术依据，指导各单位工业控制系统安全防护工作，确保工业控制系统安全运行的合规性、稳定性，符合国家工业控制系统安全相关标准、规范和最佳实践。

关键词：煤制油化工行业;工业控制系统网络信息安全;防护技术规范

中图分类号：TP273;TP309      文献标识码：A 文章编号：2096-4706（2020）12-0136-04

Abstract：In this paper，the coal to liquid chemical industry industrial control system information security protection aspects of the exploration and research，to strengthen the industrial control system network security protection system optimization countermeasures，for the coal to liquid chemical industry units industrial control security defense to provide management and technical basis，guide each unit industrial control system security protection work，to ensure the compliance and stability of industrial control system safe operation，and comply with national industrial control system safety related standards，specifications and best practices.

Keywords：coal to liquid chemical industry;information security of industrial control system;technical specification for protection

0  引  言

當前，新一轮科技革命和产业变革加速演进，5G、大数据、云计算、边缘计算、工业互联网、人工智能、区块链等新兴技术加快向经济社会各领域渗透融合，工业领域向数字化、网络化、智能化迈进的步伐不断加快，随着工业体系从封闭系统走向互联开放，加强工业体系信息安全建设越来越成为事关经济发展、社会稳定、人民福祉和国家安全的重大问题，共建工业安全生态，不仅是推动“制造强国”和“网络强国”建设的关键支撑，更是制造业高质量发展的新动能、经济社会创新发展的新引擎。

自2010年起，全球重大工业控制系统（以下简称：工控系统）信息安全事故大幅度增加，由2012年的197起直接增加到了2019年的329起。7年时间里，工控系统信息安全事故发生的次数逐年增长，给工控系统的安全使用和防护管理带来了严重挑战。如图1所示。

仅2020上半年，网络攻击工控系统重大事件频发，涉及电力、水利、能源、交通等关键信息基础设施领域，提高安全意识、加强安全防护势在必行。例如2020年5月9日，瑞士铁路机车制造商遭到了网络攻击，攻击者设法渗透了它的IT网络，并用恶意软件感染了部分计算机，很可能已经窃取到部分数据。2020年5月5日委内瑞拉国家电网干线遭到攻击，造成全国大面积停电。2020年5月，台湾石油，汽油和天然气公司CPC公司及其竞争对手台塑石化公司（FPCC）在过去两天内都受到了网络攻击;2020年4月葡萄牙跨国能源公司EDP遭到勒索软件攻击。工控安全事件所属行业细分如图2所示。

面对目前工控系统信息安全面临的重大挑战，2011年工信部下发《关于加强工业控制系统信息安全管理的通知》，强调了加强工控系统信息安全管理的重要性和紧迫性，并明确了重点领域如：石油石化、电力、化工等行业工控系统信息安全管理要求。

1  煤制油化工行业工控系统信息安全现状

工业与IT的高度融合一体化迅速发展，越来越多的工控系统采用通用硬件和通用软件，与企业网中运行的生产管理信息系统之间实现了互联、互通、互操作，甚至可以通过互联网、移动互联网等直接或间接地访问，导致工控系统信息安全被攻击的可能性增高。煤制油化工行业各生产单位工控系统网络安全防护薄弱，导致工控系统网络安全问题直接威胁到生产运行的安全、稳定运行。

2017年6月1日，《中华人民共和国网络安全法》正式颁布施行，2019年12月1日，国家颁布《信息安全技术网络安全等级保护基本要求》（GB/T 22239—2019），《国家能源集团2020年度科技创新重点研发方向指南》指出发展工控系统网络安全技术。

国家能源集团宁夏煤业公司煤制油化工板块各生产单位均为连续性生产，生产过程控制采用DCS、PLC、SIS、SCADA等工控系统，一旦有工控安全事件发生，装置和重要设备的意外停车都会导致巨大的安全事故和经济损失，工控系统网络安全问题直接威胁到生产运行的的安全、稳定运行。

国家能源集团依据国家相关政策文件要求，已积极开展工控系统安全防护工作，工控系统安全国际标准主要集中在电力系统信息安全领域，符合煤制油化工行业工控系统网络信息安全防护实际需求的信息技术标准处于空白状态，日常维护、升级改造缺乏可操作性技术标准。急需在国家工控系统网络信息安全相关法规、政策、标准基础上，结合煤制油化工行业生产实际需求，制定煤制油化工行业工控系统网络安全防护技术规范。

2  煤制油化工行业工控系统信息安全防护技术规范体系建设规范要求

2.1  工控系统信息安全防护分层分级依据

应在国家法律法规及标准框架内，采用国际国内成熟技术对工控网络进行有效防护，在不对现有工控系统网络作大改动的情况下进行网络的分隔和隔离，加固系统的防御能力。依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239—2019）进行分层分级。分别是分为层级0现场设备层（传感器，执行器）、层级1现场控制层（分布式控制DCS和逻辑控制PLC等）、层级2过程监控层（SCADA数据采集和监控）、层级3生产管理层（MES、生产调度和维护）、层级4企业资源层（OA系统、ERP系统等）。如图3所示。

2.2  工控系统信息安全防护体系原则要求

工控系统是一个内部强耦合、关联作用紧密的整体。工控安全必须结合工艺业务要求进行安全保障，简单以“零和思维”“木桶理论”等思路或试图用一个统一的技术思路来解决工控安全问题都有失偏颇。解决安全防护整体化，构建工控系统安全可信环境，应实现工控系统物理、网络、终端、管理和数据的多角度、全方位保护。建立和实施适合的工控系统安全防护体系以应对工控系统安全风险。煤制油化工行业工控系统安全防护体系包括：安全战略与合规、风险评估与管理、安全治理与架构、威胁与脆弱性管理、安全应急管理5个部分。企业建立工控系统安全体系可参考以下模型，如图4所示。

3  煤制油化工行业工控系统信息安全防护技术要求

3.1  分层分级技术规范要求

根据实际情况允许将图3所示的部分层级合并。工控系统过程监控层与生产管理层在保证安全的情况下可实现数据传输。工控系统网络配置应符合“横向分区、纵向分层、综合防护”的原则。应在过程监控层各级交换机配置网络审计，应在过程监控层核心交换机配置具有网络安全审计、日志审计、和工业入侵检测功能等网络安全监控设备或者系统，部署工控安全态势感知系统。如图5所示。

3.1.1  分区原则

应明确工控系统的防护边界，采用工业防火墙、工业网闸等网络隔离设备，在工控系统内部边界进行横向隔离，在工控系统与企业资源层之间进行纵向隔离。

工控系统“横向分区”应根据工艺操作需要和数据交换最小原则进行网络分区。分区之间禁止互相操作并控制变量传递。各分区网络和设备应能独立运行、独立启动，数据应能独立存储。工控系统纵向各层级、横向各区域间应加装网络隔离设备，网络隔离设备应具有旁路模式。

DCS与第三方设备之间采用Modbus TCP、S7、OPC等通信协议，应增加工业防火墙或工业网闸，严格控制对控制器的写入权限。

3.1.2  工控系统网络间安全防护

工控系统各系统间应加装网络隔离设备。DCS、PLC、SCADA等控制系统的OPC服务器应通过工业防火墙等网络隔离设备与数据采集系统（如实时数据库系统）相连。OPC服务器与数据采集系统接口采集机相连的网卡应独立设置，OPC服务器应通过工业防火墙等网络隔离设备与接口机传输数据。不同应用的OPC服务器应独立设置，禁止OPC服务器与工程师站共用。

3.2  工控系统信息安全边界防护要求

过程监控层与生产管理层的边界部署单向网络隔离设备，实现工控系统与企业资源层之间的隔离。严格禁止E-mail、Web、Telnet、Rlogin、FTP等安全风险高的网络服务和以B/S或C/S方式的数据库访问穿越网络隔离设备。应针对工控系统的开发、测试和生产分别提供独立环境，避免将开发、测试环境中的安全风险引入生产系统。

工控系统生产业务系统若需与第三方环保、安监、能耗等政府部门进行数据传输，应部署单向网络隔离设备。

3.3  工控系统网络安全监测配置要求

通过采集工业网络流量、计算环境、业务应用、资产、审计日志、运行状况、脆弱性、安全事件和威胁情报等数据，利用大数据技术和自学习模式技术，分析工业网络行为及用户行为等因素构成的整个工业网络当前状态和变化趋势，获取、理解、回溯、显示能够引起工业网络态势变化的安全要素，建立预测工业网络安全态势发展趋势的平台，及时发现异常访问、非法外联、外部入侵等安全事件并告警。

3.4  安全物理环境

工控系统机房所在建筑应采用有效防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施，建议配置电子门禁系统以加强物理访问控制，并对关键设备及磁介质实施电磁屏蔽。

3.5  主机加固

DCS、SIS等关键应用系统的服务器工程师站、操作站、历史服务器、APC服务器、OPC服务器等，应对其进行安全加固，包括恶意代码防范、防病毒软件、白名单机制、系统漏洞补丁升级、外设管控等技术手段。

3.6  数据备份及应急演练

应定期对关键业务的数据进行备份，定期进行备份数据恢复测试。

应制订工控系统网络信息安全应急处置预案，每年至少进行一次应急预案演练。

3.7  工控系统安全防护管理体系要求

各单位应按照“谁主管、谁负责，谁运营、谁负责”的原则，建立工控系统网络安全管理制度，各单位负责所辖范围内工控系统网络的安全管理。

4  主要创新点

（1）依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239—2019）等国家标准，探索制定煤制油化工领域工控系统网络安全防护技术规范标准;（2）研究工控系统网络安全防护技术规范标准，指导各生产单位提升工控安全防护等级，筑牢网络信息安全防火墙;（3）提供加强工控系统网络安全防护体系安全性提升的优化对策，为煤制油化工行业各单位工控安全防御提供管理和技术依据;（4）逐步构建起完整的、有针对性的工控系统网络安全防护体系，横向分区、纵向分层、综合防护。

5  煤制油化工行业工控系统信息安全防护目标

工控系统的安全防护目标主要包含：（1）抵御外部发起的恶意攻击和破坏;（2）防止病毒、木马、蠕虫对工控系统造成不利影响和破坏;（3）保障工控系统的安全、可靠、稳定运行。

6  结  论

通过煤制油化工行业工控系统网络安全防护技术规范的探索与研究，将有助于指导煤制油化工行业各生产单位提升工控安全防护，确保工控系统的信息安全及其运行的合规性、稳定性，符合国家工控系统的系统安全相关标准、规范和最佳实践，确保防护范围内工控系统业务数据的“可用性、完整性、机密性”。

参考文献：

[1] 工业信息安全产业发展联盟.工业控制系统信息安全标准白皮书（2019版） [R/OL].（2019-12-23）.http：//nisia.org.cn/filedownload/194706.

[2] 全国信息安全标准化技术委员会.信息安全技术 网络安全等级保护基本要求：GB/T 22239—2019 [S].北京：中国标准出版社，2019.

[3] 傅一帆，霍玉鲜.网络安全等级保护工业控制系统安全防护技术体系设计 [J].警察技术，2017（5）：19-22.

[4] 赵峰，马跃强.基于等保2.0工业控制系统网络安全技术防护方案的设计 [J].网络安全技术与应用，2020（5）：109-111.

[5] 朱胜涛.把握战略创新“四新”特征：新时代、新形势、新探索、新路径 [J].中国信息安全，2016（8）：56-57.

[6] 吴世忠，李斌，张晓菲，等.信息安全技术 [M].北京：机械工业出版社，2014.

作者簡介：许冬涛（1978.10—），男，汉族，宁夏银川人，工程师，本科，主要研究方向：互联网+化工安全;李桂兰（1984. 08—），女，回族，宁夏银川人，工程师，研究生，主要研究方向：信息技术及应用。