★ 白彦茹 北京天融信网络安全技术有限公司

摘要：化工行业是国民经济中不可或缺的重要组成部分。化工工业控制系统作为国家关键信息基础设施，对稳定性和安全性要求很高。本文对化工工控系统面临的网络安全风险进行了分析，提出了基于安全风险动态管控理念的安全建设思路，并对化工工控系统构建纵深安全防御体系，以及其中的安全技术应用进行了探讨。

关键词：化工；安全基线；关键信息基础设施；工业信息安全体系

1 引言

随着化工企业数字化转型的持续推进，化工工控系统呈现开放互联的发展趋势，与此同时也面临更多的安全威胁。由于化工生产过程存在诸多易燃易爆的高危环节，一旦发生故障不仅会造成巨大的经济损失和安全冲击，还可能造成人员伤亡，因此需重点加强化工工控系统信息安全建设工作，针对化工业务流程特征和安全风险构建纵深安全防护体系，进一步保障国家关键信息基础设施安全。

2 网络安全风险分析

化工行业属于典型的流程型行业，各生产环节关联性较强。为满足生产控制过程及时、稳定、可靠等业务需求，化工企业通常采取调度中心集控、现场操作站分控以及现场控制设备程控相结合的控制模式，应用分散型控制系统（DCS）、联锁保护系统（SIS）、生产环境监测系统（GDS）等控制系统，生产过程控制技术较为成熟。但是我国化工行业控制网络安全体系建设起步较晚，业内技术人员网络安全意识淡薄，存在较多安全威胁和风险。

2.1 网络架构安全风险

典型化工工控系统架构[1]参考IEC62264-1功能层次模型，如图1所示，可划分为0~4共五个层级。

图1 典型化工工控系统架构

目前化工工控系统整体网络架构在设计之初并未充分考虑网络安全，网络中各区域之间没有明显的边界，不同控制区域间的设备和网络存在互联互通现象。可能存在以下风险：

（1）调度中心被越权访问，导致调度中心数据被恶意删除或篡改，严重影响调度中心决策。

（2）现场操作站被越权访问或其它误操作等行为，造成监控数据被窃取、滥用甚至损坏，导致重要工艺参数或重要指令被篡改，严重影响生产控制系统，甚至导致整个控制过程异常或停滞。

（3）调度中心服务器遭受来自办公网的病毒、木马等攻击，造成调度中心操作员站及现场工程师站被入侵，导致现场控制单元（即DCS、PLC）遭到破坏，影响现场控制设备的正常运行。

2.2 工业漏洞安全风险

化工工控系统大多采用国外品牌的控制系统（例如Honeywell、Emerson、Yokogawa、Siemens等），在控制单元或工业应用软件中可能存在木马后门等安全漏洞，为控制系统的稳定运行埋下安全隐患。针对这些漏洞的攻击手段也是多种多样的，基于漏洞的网络攻击同样会引发较多安全问题。典型攻击手段如下：

（1）利用应用软件对用户身份的鉴别缺失发起攻击。

（2）利用控制系统的网络协议漏洞发起攻击。

（3）利用提供给第三方设备厂商的远程维护通道发起攻击。

（4）利用传统安全设备无法鉴别工业协议的缺陷发起攻击。

2.3 病毒感染安全风险

考虑到化工工控系统运行的稳定性，通常工业主机很少进行操作系统和应用软件的补丁更新[2]，也很少安装杀毒软件，更不会及时更新杀毒软件的病毒库。化工企业大多缺少对外设、进程的管控措施，病毒或木马程序可能通过USB外设接口、文件传输等方式带入工业主机中，对主机造成破坏或通过感染工业主机对PLC等控制单元发起攻击，导致控制系统故障或造成经济损失。

2.4 未授权访问安全风险

化工工控系统内各网络层级之间大多没有采用有效的区域隔离管控手段，面对工业领域中的攻击，如通过调度中心或其他合法源地址发起的异常操作行为，无法进行有效的阻断或报警，从而导致安全事故的发生。此外，化工工控系统各系统间的访问控制策略存在空白，未对不同安全域之间设备和数据的非授权访问行为进行禁止，可能造成恶意代码的入侵，或者内外部非法人员或非法组织对控制系统的攻击和破坏。

2.5 运维管理安全风险

化工工控系统现场站点数量较多，地理位置分散，但是在安全监控及维护过程中缺少统一的安全集中管理手段，造成运维管理难度增大，降低了整体效率和实用性，且未设置完整有效的安全策略与管理流程，应急响应机制不完善，在管理层面存在较多安全隐患。

3 安全体系建设思路

化工工控系统作为国家关键信息基础设施，其生产运营过程是一个复杂的过程，其中不仅有设备、网络的因素，还包括生产流程、业务保障等因素。面对化工行业诸多的网络安全风险，仅依靠访问控制、安全审计、入侵检测、主机白名单等单点防御技术手段无法应对复杂多变的网络安全形势。

化工工控系统安全体系建设需遵循《信息安全技术网络安全等级保护基本要求》[3]《关键信息基础设施安全保护条例》[4]《信息安全技术关键信息基础设施安全保护要求》[5]等国家相关法规要求，从保障业务系统可用性、完整性和保密性角度出发，深入调研业务系统流程和资产状况，切实分析网络安全风险，贴合化工行业业务特征构建安全基线，基于安全风险动态管控建设思路为化工工控系统构建动态、纵深的工业信息安全防御体系，如图2所示。

图2 化工工控系统安全体系建设思路

4 纵深安全防御体系建设

4.1 安全防护原则

本文以增强化工工控系统安全防护能力、抵御外部威胁、消除内部隐患为建设目标开展防护体系建设，并遵循以下安全防护原则：

（1）分层分域防护原则

根据化工工控系统业务流程合理划分网络层级和安全域，旨在切割风险，即任意一点遭受攻击或网络风暴不会对其它生产过程产生影响，同时方便管理策略的执行。

（2）以关键业务为核心的整体防控

化工工控系统安全保护应以保护关键业务为目标，对业务所涉及的一个或多个网络和信息系统进行体系化安全设计，构建整体安全防控体系。

（3）以风险管理为导向的动态防护

对化工工控系统所面临的安全威胁态势进行持续监测，并根据风险监测分析结果调整安全控制措施，形成动态的安全防护机制，及时有效地防范安全风险。

（4）以信息共享为基础的协同联防

加强与化工企业、研究机构、网络安全服务机构及业界专家之间的沟通与合作，构建信息共享、协同联动的共同防护机制，提升化工工控系统应对大规模网络攻击的能力。

4.2 安全防护体系框架

本文从风险识别、风险防御、风险检测、风险分析和响应处置等维度开展化工工控系统纵深安全防御体系建设。体系框架如图3所示。

图3 化工工控系统纵深安全防御体系框架

4.3 风险识别能力建设

风险识别能力建设包括化工工控系统资产识别、脆弱性识别、威胁识别、安全策略识别等内容，是开展风险防御、风险检测、风险分析、响应处置等活动的基础。

化工工控系统风险识别通常采用人工分析与专业检测工具相结合的方式进行，对系统中的资产、脆弱性、威胁、策略等进行识别，清晰定义各资产的安全风险。例如采用专业的工控漏洞检测工具，对化工工控网络进行全面的漏洞检测，发现安全漏洞和脆弱性，检测关键业务系统和重要设备存在的安全风险；采用基线核查工具和人工核查方式识别化工工控系统采用的安全技术防护策略及安全配置信息等内容中的安全隐患。

4.4 风险防御能力建设

风险防御即采用边界隔离、访问控制、恶意代码防范、主机管控等一切可能的措施来保护化工工控系统网络安全。

化工工控系统风险防御能力建设应基于业务中存在的安全风险及脆弱性，结合业务流程建立安全基线，采用以“白名单”为主要防护措施，以“黑名单”为辅助验证措施的技术手段，从不同的安全防护点入手降低化工工控网络系统完整性及可用性被破坏的可能性。

在访问控制方面，应基于工业协议深度解析技术并结合白名单机制，对化工工控系统中的访问内容进行细粒度控制，防范非授权访问行为；在主机管控层面，应安装基于“白名单”的主机安全防护软件，以最小化原则配置相应的安全策略，实现对化工工控系统主机终端的服务、进程和外设接口的安全管控，阻止恶意程序、病毒木马以及与系统运行无关的应用程序的运行。

4.5 风险检测能力建设

风险检测可以了解和评估化工工控系统的安全状态，为后续进行安全防护策略优化和安全事件响应提供依据，从而有效阻止网络攻击。

化工工控系统风险检测能力建设涵盖设备状态检测、数据变化率检测、异常流量检测、外来入侵检测等层面，通过部署适用于工控环境的安全检测类设备实现对以上内容的检测，基于安全基线实时监测、识别网络安全中的灰色行为，获取各个节点的安全数据和异常数据，作为风险分析和响应处置的基础数据来源，从工业信息安全本质出发解决安全问题。

4.6 风险分析能力建设

风险分析目标旨在对化工工控网络中的异常行为、安全事件、未知威胁等信息进行多维度统计与分析，从而及时发现网络安全风险隐患并进行威胁溯源。

化工工控系统在业务应用流程和应用方式方面与传统IT网络相比存在较大差异，传统的基于五元组和协议分析的技术手段不适用于化工工控系统安全风险分析。基于五元组的分析手段存在漏报和误报的可能，无法鉴别基于正常操作流程的异常违规行为；协议分析只能将此类行为对应的零散数据报文截获出来，生成一条条的事件信息，而无法对这些事件信息进行关联分析，无法将其转化为有意义的事件告警信息。

因此化工工控系统风险分析能力构建首先需要找出存在业务流程中的用户访问行为、操作行为等不同行为的规律和特征，从业务角度配置安全基线，作为评判异常事件的参考依据；其次需要构建安全态势分析中心，采集化工工控系统中的安全监测数据，利用大数据手段对所有监测信息进行整合分析，发现针对业务系统的违规行为，真正发现安全事件并进行告警；最后依据风险分析结果下发策略至安全防护设备、安全审计设备以及应急响应团队执行安全策略的落地，形成基于关联分析技术手段的纵向安全防护体系。

4.7 响应处置能力建设

响应处置是化工工控系统安全防御体系中重要的一个环节，通过对安全事件的及时响应和处置恢复，阻止网络攻击破坏并降低经济损失，恢复化工工控系统安全状态和丢失的数据信息。

化工工控系统可从安全事件应急响应、系统安全加固、安全策略优化、系统脆弱性修复等方面开展响应处置能力建设。

（1）安全事件应急响应

建设覆盖化工工控网络的应急响应服务支撑体系，对基础通信网络、重点应用、核心业务系统等进行实时的安全态势分析和应急监控，在遇到安全风险时及时发出预警，采取应急处置措施，保障化工业务系统稳定可靠运行。

（2）系统安全加固

依据化工工控系统安全风险监测和分析结果，识别系统中可能被攻击的路径，采取增加安全防护设备等方式对系统进行合理的安全加固。

（3）安全策略优化

针对化工工控系统自身脆弱性和安全风险对安全配置信息作出调整，优化并更新安全策略，提高化工工控系统健壮性。

（4）系统脆弱性修复

通过工控漏洞扫描、安全基线核查等方式准确定位化工工控系统中存在的脆弱点和潜在威胁，根据风险分析结果给出漏洞修复建议和预防措施，以便及时采取安全措施进行脆弱性修复，提升化工工控系统抗攻击能力。

5 安全防护价值

（1）提升化工工控网络抗攻击能力

建立多维度安全防御能力，使化工工控系统网络能够有效防护内部和外部网络恶意代码、病毒木马、ATP等攻击，将安全风险降低到可控范围内，减少安全事件的发生，保障化工工控系统高效、稳定运行，减少因为安全事件带来的经济损失。

（2）实现化工生产控制环境实时安全监测

应用基于安全基线的监测技术对化工工控网络中的异常流量和异常行为进行监测、对策略外的协议进行报警、对外来访问流量进行回溯，以便对已发生的安全事件进行追踪溯源，并分析判断安全事件的起因，为事件应急处置和事件处理提供依据。

（3）构建化工工控系统脆弱性检查评估能力

应用脆弱性检测评估工具，实现化工工控系统的安全漏洞和脆弱性检查，对现有控制系统和新增设备进行脆弱性检测，构建脆弱性检查评估能力，对化工工控系统的安全性进行管控。

（4）增强化工工控网络安全管理能力

通过化工工控网络安全防护体系的建设，将生产控制网络进行安全域划分，方便企业以安全域为最小管理单元进行安全策略制定、安全检查等安全管理，增强化工工控系统的信息安全管理能力。

（5）构建化工工控网络安全风险动态防御能力为化工工控网络构建了集成风险识别、防御、检测、响应、处置能力的闭环安全体系，实现了对网络安全风险的动态安全管控，有效保障了化工工控系统完整性及可用性。

6 结语

化工行业工业信息安全体系建设应以提升化工工控系统安全防护水平，保障生产业务稳定运行为核心目标，基于安全风险动态管控的安全建设思路构建可持续优化的纵深安全防御体系，实现网络安全风险的持续监测和动态防护能力、网络安全事件的响应恢复能力以及网络安全威胁抵抗能力的持续优化与提升，从工业信息安全的本质出发，切实保障国家关键信息基础设施安全运营。

作者简介

白彦茹（1983-），女，河北人，中级工程师，学士，现就职于北京天融信网络安全技术有限公司，主要研究方向为工业控制系统安全、工业互联网安全相关技术和标准。

参考文献：

[1] 许冬涛, 李桂兰. 煤化工行业工业控制系统安全防护技术规范探索[J]. 现代信息科技, 2020, 12 : 136 - 139.

[2] 张晓明, 王丽宏, 何跃鹰, 何世平. 工业控制系统信息安全风险分析及漏洞检测[J]. 物联网学报, 2017, 1 : 34 - 39.

[3] GB/T 22239-2019. 信息安全技术 网络安全等级保护基本要求[S].

[4] 中华人民共和国国务院. 关键信息基础设施安全保护条例[Z]. 2021.

[5] GB/T 39204-2022. 信息安全技术 关键信息基础设施安全保护要求[S].

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》