★北京六方云信息技术有限公司

1 项目概况

1.1 项目背景

精细化工是当今化学工业中最具活力的新兴领域之一，是新材料的重要组成部分。精细化工产品种类多、附加值高、用途广、产业关联度大，直接服务于国民经济的诸多行业和高新技术产业的各个领域。大力发展精细化工已成为世界各国调整化学工业结构、提升化学工业产业能级和扩大经济效益的战略重点。在精细化工行业，存在原料复杂、工艺流程长、单元反应多、反应风险高和生产过程控制要求严格的问题，且近年精细化工行业安全生产事故频发，这就要求我们必须保证精细化工行业工控系统的安全运行。本方案通过对精细化工行业工控系统存在的问题进行分析，提出工控系统安全运行的改进建议，从而保证工控系统在精细化工行业中的安全应用。在现代信息化发展的背景下，由于信息和网络的开放性，导致化工企业的网络安全建设也受到了一定的挑战。因此，建立安全可靠的网络安全保障体系，才能保障信息化的顺利实施和企业生产系统的正常运转。

1.2 项目简介

某化工集团始建于1988年，经过三十年发展，已成为集石油化工、新能源材料、半导体化学、营养与消费化学及医药为一体的综合性化工企业集团，是市重点调度三十强企业之一和《省化工产业振兴规划》中的重点培植骨干企业。集团现拥有300万吨/年常减压装置、200万吨/年焦化加氢装置、140万吨/年加氢装置、80万吨/年催化装置、50万吨/年轻质油改质装置、2.5万吨/年硫磺装置、12万吨/年离子膜烧碱装置、4.5万吨/年碳酸二甲酯装置、3万吨/年异丙醇装置、10万吨/年气分装置、6千公斤/年肝素钠装置和2千公斤/年依诺等20多套生产装置，年综合加工能力达到770万吨。经营产品包括柴油、汽油、液化石油气、液体烧碱、固片碱、液氯、高纯盐酸、异丙醇、碳酸二甲酯、医药级丙二醇、工业级丙二醇、精品肝素钠、粗品肝素钠、注射级肝素钠、低分子肝素等涉及四大产业领域的三十多种产品，产品远销美国、德国、荷兰、意大利、阿根廷、印度等四十多个国家和地区。

当前，随着计算机技术和网络技术的发展，特别是产业互联网的快速发展，在“两化”融合的行业发展需求下，网络安全备受瞩目，网络安全建设与运营已经成为各行业信息化建设过程中不可忽视的建设内容。为了提高生产运行和生产管理效率，化工企业大力推进工业控制系统集成化和集中化管理，系统的互联互通性逐步加强，与办公网、互联网也存在千丝万缕的联系。但是工业控制系统建设时更多的是考虑各自系统的可用性，并没有考虑系统之间互联互通的安全风险和防护建设。在化工企业工业控制系统组网应用环境下构建工控安全防护体系、构建全网工控安全动态管理能力，已经得到行业主管单位和公司领导的高度重视，网络安全体系化建设已经成为当前重要的建设任务。通过完善集团工业控制系统的网络安全防护体系，从而满足等保的要求，保证生产的稳定运行。

1.3 项目目标

1.3.1 安全风险与现状分析

目前，实时数据库系统在化工企业生产经营管理中得到越来越广泛的应用，通用通信协议和操作系统覆盖了所有的工业控制系统。根据业务功能的不同，化工行业工控系统网络一般分为三部分：控制层、数采层和管理信息层，如图1所示。

图1 化工行业工控系统网络

化工企业工控系统目前存在的安全问题主要有：

（1）网络节点间无有效隔离：OPC数据采集站连接处和操作员站之间的连接处无访问控制措施和入侵防范措施，一旦某个节点出现问题，会迅速蔓延至整个网络。

（2）OPC通信协议漏洞无有效防护：OPC协议通信采用的是DCOM技术，其通信端口在1024～65535内不固定，导致使用传统基于端口或IP地址的常规IT类防火墙在这个层面难以有效隔离和防护，且无法满足最小授权防护原则。OPC通讯协议的工业控制系统安全性和可靠性成为一个安全技术难题。

（3）DCS系统OPS主机及服务器自身免疫力不足：OPS主机及服务器操作系统大多采用Windows操作系统，一般不允许安装操作系统的安全补丁和防病毒软件。这些先天限制，使得主机及服务器操作系统存在很多已知或未知的漏洞无法解决，一旦发生针对性的网络攻击或病毒感染就会造成无法想象的后果。即便安装杀毒软件也仅能对部分病毒或攻击有所抑制，而且病毒库存在滞后性，也不能从根本上进行防护。

1.3.2 建设目标

分析精细化工产业互联网的实际安全需求，结合其化工控制系统业务的实际特性，建立符合系统实际安全需求的网络安全保障体系框架，设计安全保障体系方案，综合提升系统的安全保障能力和防护水平，确保系统的安全稳定运行，提升化工企业工控网络监测预警与应急处置能力，一旦出现安全事件能够及时发现、快速处置、力保恢复，保障企业安全稳定生产。项目建设主要从工业设备安全防护、工业控制安全防护、工业网络安全防护、工业数据安全防护、工业APP应用安全防护等角度进行安全防护设计和建设。针对工控系统内部网络流量和协议的安全审计层面进行数据安全防护，建成一套基于人工智能技术的精细化工产业互联网安全防护系统。

（1）构建精细化工企业DCS装置系统安全边界，从工业网络架构视角切实保障工业设备安全与工业控制安全。

（2）建立工业审计与入侵检测机制，采用AI行为分析技术，构建清晰的资产互访拓扑。

（3）利用“白名单+”技术，打造精细化工行业安全计算白环境，保障DCS系统上位机、OPC服务器等主机的安全。

（4）构建面向精细化工行业的工业XDR扩展威胁检测平台，全面提升攻击检测能力，通过人工智能技术进行自动化检测，实现安全事件响应处置的高效自动，提升运营效率。

（5）搭建安全态势监测预警与信息通报平台，实现安全监测预警、信息通报、应急处置手段和提高威胁信息的共享；实现工业设备资产感知、工业漏洞感知、工业配置感知、工业协议识别和分析、工业连接和网络行为感知、工业僵木蠕检测、工业攻击链的监测和分析等安全态势感知功能。通过人-机智能融合，全面提升精细化工产业互联网安全运营能力的自动化水平，提升威胁检测、风险评估、自动化响应等关键运营环节的处理效率，形成安全闭环，进而实现工业控制网络和工业互联网络安全威胁的可视、可控、可管。

2 项目实施

2.1 方案设计框架

借助以可信计算、人工智能、大数据分析和密码四大技术为支撑的防控措施；为精细化工企业实现动态防御、主动防御、纵深防御、精准防护和整体防控的安全能力；通过联防联控，实现“打防管控”一体化网络安全综合防控体系。方案设计框架如图2所示。

图2 方案设计框架

2.2 精细化工行业工控系统安全解决方案

精细化工行业工控系统安全解决方案如图3所示。

图3 精细化工行业工控系统安全解决方案

（1）OPC服务器边界隔离及协议控制：部署OT

与IT融合工业防火墙，强大的工业漏洞攻击行为特征库，有效防御病毒攻击；内置工业通讯协议深度解析引擎，支持多种工业协议识别及管控，能够针对OPC的动态端口、OPC读写控制、停止连接、OPC操作接口和操作码等指令的控制与防护。

（2）工控系统安全运营管理中心：构建基于人

工智能的全流量威胁检测与回溯系统，借助人工智能和自动化编排等技术，打造一套“事前有防范、事中有应对、事后有追溯”主动防御的智能化运营管理中心，实现全网的网络安全状态快速预警；面向人、技术、流程的集成与融合，提升安全防御资源的全局性与协同性，提升安全运营能力的自动化水平，降低威胁分析与响应的周期。

（3）DCS系统OPS主机及服务器安全防护：

部署基于“白名单+”技术的轻量级工业主机安全卫士，对主机进行安全加固，防止操作系统被恶意程序破坏；具有强大的防病毒、防勒索、防蠕虫和防挖矿功能，有效保障勒索病毒的入侵；采用协议脚本探测的方式监测主机与组态的通信关系，自动发现上位机相关联组态并生成组态列表，可在管理平台中进行拓扑呈现。同时，工业主机安全卫士会对系统配置、启动项、系统日志、软硬件等静态数据和系统运行的账号登录日志、驱动变更信息、进程信息、网络连接、文件读写、注册表读写、powerShell&cmd命令、DNS请求、端口监听等数据进行全面采集，通过SSL协议或者HTTPS协议把采集到的数据上送到全流量威胁检测与回溯系统。由该系统进行人工智能建模与大数据全面分析，发现可疑进程及病毒脚本，联动工业主机卫士进行拦截处理，结合卫士管理平台的白名单“灰过白”技术，对白名单策略进行优化，确保白名单策略的可信性。

（4）OPC服务器双网卡场景下主机防护运维：

面对双网卡架构，DCS系统主机防护软件无法集中管理与运维的情况，创新性研发多级管理平台集群部署，实现跨区域集中管控，主机防护软件与管理平台以加密的通信方式保证通信过程的保密性；针对DCS系统装置IP地址相同的情况，平台通过主机防护软件的设备ID进行识别并加以区分；同时平台具备智能灰过白技术将初次建立的程序名单中异常进程和文件进行剔除最终生成资产可信白名单，并批量下发到主机防护软件的防护策略中。

（5）工业安全态势监测与运营平台：平台依托

海量工业互联网数据、本地流量数据、日志告警数据及其它第三方数据，面向服务架构（SOA）服务组件架构（SCA）进行标准化体系接口的设计。运用大数据、数据融合等新技术手段，通过人工智能技术构建资产行为基线和威胁发现模型，提前感知业务系统被攻击和试探的可能性，实时监测系统被访问的来源位置、方式、内容等信息，结合安全日志和安全知识关联分析，确认是否为正常访问或黑客攻击，实现威胁的提前感知和预警，做到告警准确。精细化工产业互联网安全态势检测与运营平台采用集团侧、厂站侧两层架构，其中集团侧面向工业互联网全景态势展现和安全合规监管，提供整体公共运营服务能力；厂站侧构建威胁发现和安全运营能力，可对工业互联网全景网络安全及国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的进行发现和识别，并通过对攻击过程的取证报文进行多维度深入分析，精准地识别出黑客的攻击手段和攻击路径，为通报处置及侦查调查提供强有力的数据支撑；实现全网安全态势的监测、评估、预警、可视和集中响应，协助组织构建自适应网络安全保障体系；实时发现企业内部潜伏威胁和外部网络入侵威胁，通过联动网络控制器、安全控制器等设备及时阻断隔离威胁，避免引起进一步威胁扩散，有效提升对自身网络的安全态势监测、未知威胁感知、事件应急处置和攻击追踪溯源能力，帮助用户高效地掌握本单位整体安全态势。工业安全态势监测与运营平台采用安全大数据的采集与人工智能分析技术，面向安全运营风险管控的核心指标与关键环节，基于行为、环境、情报、知识等多维、多源数据，通过人-机智能融合，全面提升安全运营能力的自动化水平，提升威胁检测、风险评估、自动化响应等关键运营环节的处理效率，大幅减少对专家经验的过度依赖，有效降低工业企业、集团乃至国家级关键信息基础设施和数据资产的整体安全风险，助力精细化工行业产业互联网工业控制系统网络安全运营技术升级。

3 案例亮点及创新性

（1）风险攻击简单易懂

以资产为中心，通过资产学习引擎能够识别资产的行为和攻击，实现资产、行为和攻击的一体化展示，从而实现资产从解析到解读，让运维人员能够看得懂。

（2）运维管理方便快捷

多级管理平台集群部署，打破精细化工行业双网卡架构下DCS系统主机维护难、安全管控难的格局。

（3）运营能力显著提升

以安全运营目标为导向，以人、流程、技术与数据的融合为基础，面向预防、检测、响应、预测、恢复等网络安全风险管控和攻防对抗的关键环节，全面提升安全运营能力。

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》