★季俊北京康吉森自动化技术股份有限公司

关键词：工业控制系统；信息安全；安全仪表系统；网络安全等级保护

1　项目概况

1.1　项目背景

石油化工行业是关系到国计民生的重要支柱行业。因此，石化企业的信息系统、工控系统长期以来一直是网络攻击的重要目标，企业的安全运营面临着一系列的痛点与难点。

面对严峻的信息安全环境，国家高度重视工控信息安全相关工作的建设和发展水平，各相关部门已陆续出台相关政策和文件，强化顶层设计，对工控信息安全防护工作进行监督和指导。网络安全建设与运维已经成为石化行业信息化建设过程中不可忽视的建设内容，如何在石油化工企业信息化建设与使用过程中，尤其针对石油化工企业的工业控制系统组网应用环境构建工控安全防护体系，提高全网工控安全动态管理能力，已经被行业主管单位、公司领导高度重视，网络安全体系化建设已经成为当前重要的建设任务。

1.2　项目简介

本项目是中国石化镇海炼化分公司中石化镇海基地项目，包括如下生产装置、公用工程及辅助设施：120万吨/年乙烯装置、60万吨/年裂解汽油加氢装置、40万吨/年芳烃抽提装置、16万吨/年丁二烯抽提装置、10/4万吨/年MTBE/丁烯-1装置、80万吨/年乙二醇装置、30万吨/年气相法高密度聚乙烯装置、30万吨/年淤浆法高密度聚乙烯装置、30万吨/年聚丙烯装置、27.4/60.2万吨/年PO/SM装置（含乙苯装置）、煤/焦制气联合（POX）装置、公用工程及辅助设施等。

本项目采用中心控制室（Central Control Room，CCR）和现场机柜室（Field Auxiliary Room，FAR）分离设置方式。原则上生产装置、公用工程及辅助设施等控制系统操作站设置在相应的中心控制室，控制站设置在相应的现场机柜室，现场仪表信号通过电缆连接到现场机柜室，从现场机柜室到中心控制室的信号传输采用冗余光缆。操作管理人员在中心控制室完成生产装置的控制、监测、报警及报表等操作。现场机柜室设置工程师站，用于开车前的系统调试和系统维护等工作。

中心控制室设置各控制系统的工程师站和操作员站，用于系统组态维护和日常操作。

1.3　项目目标

石化行业等关键基础设施的安全建设，应着眼于解决系统的架构安全、建立被动防御体系、形成积极防御力量，再到基于威胁情报的保障体系，需要逐步动态完善。企业应逐渐认识到安全是相对的、动态的和持续投入的，单纯的、静态的安全防护体系不是一条有效的解决途径。在与业务紧密贴合的前提下，现阶段企业需要正视工控系统架构安全的脆弱性，建立智能的纵深防御系统，采取数据采集、监控和应急处置的联动方式，快速、及时地保障生产安全。

按照《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》《工业控制系统信息安全防护指南》等国家/行业相关网络安全防护的政策与网络安全标准要求，针对石油化工企业控制及调度技术发展，本项目全面评估当前中石化镇海基地项目SIS系统的网内业务系统、控制系统及自动化设备可能存在的网络安全风险，并形成分析报告。本项目围绕当前企业技改与未来“一张网”发展规划，按照国家网络安全法提出的“同步规划、同步建设、同步使用”的三同步原则，利用当前先进的网络安全防护理念、技术与产品，有序地开展石油化工企业生产控制系统中安全防护体系的顶层设计、分期设计与建设工作，构建网络安全立体的防护体系，满足标准合规性要求。同时，按照企业多级管理职能，本项目设计构建全网工控安全管控与运营体系，形成多级联动机制，实现全网动态安全监测、风险可视、通报预警与联动处置，提高网络安全综合管控与防护能力。

本项目针对中石化镇海基地项目SIS系统实际需求，通过设计建设一套稳定、先进、高效、可靠的全生命周期工控安全技术防御体系，集中展现了石油化工企业生产控制系统的整体工控安全态势，提升了整体工控安全监管水平和防御能力，形成了技术+管理的综合安全防护体系，满足了实际安全防护需求。

（1）安全通信网络：对镇海炼化生产控制系统的访问逻辑进行梳理，优化网络结构，按照网络资产的属性与访问逻辑，合理划分网络安全域，在石油化工企业生产控制系统网络的边界部署安全隔离与访问控制措施，实现必要的边界安全防护，同时按照业务组网应用特点，酌情增加链路加密措施，保障链路通信的数据安全性。

（2）安全区域边界：在重要的安全域边界设计部署安全隔离与访问控制措施，对重要安全域进行必要的安全防护，保证镇海炼化生产控制系统的运行安全。

（3）安全计算环境：对全网的服务器、操作员站、工程师站等主机系统设计安装必要的安全管控措施，实现对主机系统必要的安全管控，保障主机系统运行安全。主机安全管控措施包括主机进程管控、主机USB口外界管理等，实现主机防病毒、防第三方软件非授权安装使用、防USB设备非法连接与数据拷贝等功能，可以提升人机交互界面必要的安全防控和主机系统的安全性。同时，借助于在安全管理域内部署的主机系统脆弱性扫描工具，可以实现对主机系统弱口令、漏洞的安全管理，并通过主机加固措施提升主机系统的抗攻击能力。

（4）安全管理中心：在镇海炼化生产控制网络中新建安全管理域，部署集中安全管理手段，实现对全网用户集中认证、权限管理与操作行为审计，同时部署综合日志审计与安全管理技术手段，建立全网安全风险的集中管理、分析、可视化与联动处置机制，部署安全威胁扫描与管理工具，全面实现全网风险的集中管理与处置，保证风险的快速感知与处置，提升安全风险的管理与处置能力。

（5）安全管理体系：基于镇海炼化现有的安全管理组织结构与管理措施，由我方专业的安全服务人员以安全咨询服务的形式，按照相关标准规范要求，为用户梳理安全管理体系内容，帮助用户健全与完善安全管理体系相关内容，从管理上完善安全管理的体系化建设，包括日常管理以及应急保障等相关内容，以构建综合的安全防护体系，保障石油化工企业工控系统的安全稳定运行。

2　项目实施

2.1　安全通信网络

镇海炼化的工业控制网络是相对独立封闭的，生产装置控制网络一般只与企业管理需求的上层应用MES系统进行通讯，通过OPC数据采集实现生产业务数据的单向传输。除此以外，部分控制网络在横向上与SIS、ESD等其他专用控制系统也存在以Modbus协议或RS485、硬接线进行数据传输的需求。

在本项目中SIS系统与上层生产经营管理系统等办公信息系统通过DCS系统进行通讯，SIS系统仅在现场控制器通过RS485串口形式与DCS产生数据交互，故本项目中不对SIS系统部署工业网闸等隔离设备与外网隔离。

为满足等级保护标准规范中对生产控制系统的安全要求，本项目对各装置SIS系统的网络进行优化，根据控制网络中不同装置资产属性和访问逻辑来划分安全域，使石油化工企业生产控制系统网络免受来自上层办公网及互联网的入侵攻击风险。

2.2　安全区域边界

针对石油化工企业工控网络中划分的安全域，按照安全域的安全权重，本项目有针对性地进行安全域的隔离与访问控制，以及必要的安全防护，以保护各安全域运行的安全。具体技术措施如下描述：

2.2.1　工业防火墙系统

在过程控制层与现场控制层之间串行部署工控防火墙，具体为工程师站室与各装置操作室的交换机之间，实现各安全域边界隔离与访问控制。工业防火墙具有工控协议的深度解析能力，不仅仅可支持基于网络五元组的访问控制，还可以基于工控行为的安全控制与防护，保护各安全域系统的运行安全；在网络安全专网跨越不同级别安全域——“生产区与安全管理区”之间部署工业防火墙类产品，实现区域隔离控制。

工业防火墙系统属于工业级安全防护设备，可支持30多种工控协议识别与深度解析，包括：Modbus、TCP、OPC、DNP3.0、西门子ProfiNet、西门子S7、IEC 61850和IEC 60870-5-104等，具有基于工控行为构建白名单访问控制策略，可实现细粒度的安全防护。

2.2.2　安全检测与审计系统

在工程师站室的核心交换机上旁路部署安全检测与审计系统，对工控系统的应用服务器、主机管理系统等控制网络内的应用系统、流量数据进行全面检测，对通信数据进行合规性检查，对异常行为、违规操作行为进行识别、审计、告警，告警日志可发送至日志审计系统和安全管理平台系统进行集中存储、分析与风险关联展示，辅助安全运维人员进行监测处置。

安全检测与审计系统支持对OPC、Ethernet/IP、Modbus/TCP、IEC61850、IEC60870-5-104、DNP3、Profinet、S7、GOOSE和SV等30多种工控协议进行深度解析，通过还原操作行为，对有异常操作行为进行审计告警，辅助网关防护系统策略调整，实现对石油化工企业工控网络的运行安全。

2.3　安全计算环境

在石油化工企业工控网络中的安全计算环境是指包括工程师站、操作员站、应用服务器等大量的主机操作系统及数据存储环境，应定期通过检查工具对其控制网内的安全计算环境的安全漏洞与脆弱性进行检查及修复，关闭不需要的默认账号、服务，进行主机系统必要的安全加固，持续地进行以白名单为主要技术手段的操作系统安全防护。同时针对工控环境下的高危隐患，如通过USB口接入的移动外接设备进行认证管理、防USB攻击、防病毒、防篡改与操作行为审计等，保护系统USB拷贝数据的安全。本次设计将考虑部署以下技术措施来对主机系统进行必要的安全防护。

2.3.1　工控主机卫士

针对石油化工企业工控网络中的工程师站、操作员站、应用服务器等主机操作系统，安装部署以白名单为核心技术的工控主机卫士，实现对关键操作系统及人机交互的主机加固、安全防护及病毒防护。

白名单技术的主动防御机制相对于黑名单形式的防病毒软件占用更小的系统计算资源，实现了最大的防护效能，可有效地实现主机防病毒、防第三方软件的非授权安装与使用、主机系统外接口的管控、USB外接存储设备的认证管控、防病毒与操作行为审计，为主机系统安全运行提供了必要的安全保障。

本方案使用的主机安全防护系统是工控主机系统专用的安全防护系统。该系统运用白名单为主，灰名单、黑名单为辅的创新技术方式，可以监控主机的进程状态、网络端口状态、USB端口状态，能严格对主机应用进程进行管控，外接端口管控，USB设备认证与使用管理，以及操作行为管理，强化了工控主机的安全管理，提升了主机系统的抗攻击能力。

2.3.2　数据库态势感知

为接收、存储大量生产业务数据，石油化工企业的工控生产网的生产执行层部署有实时数据库、历史数据库等生产业务服务器，企业应重点关注数据库所面临的风险并进行多方位评估。为石油化工企业的生产控制系统部署数据库态势感知系统，可以通过旁路、探针、分布式等多种部署方式，为数据库的各类应用环境提供全方位监控与审计。

数据库态势感知系统提供实时的数据库运行状态监控，可以及时发现数据库在运行中出现的性能异常，并结合审计日志准确定位异常操作，防止因性能问题而导致的业务瘫痪。通过内置的扫描策略，该系统可以及时发现数据库系统在运行时可能出现的配置、管理风险和数据库软件本身存在的漏洞。该系统还提供基于自学习的基线策略模型，通过多关键字匹配、正则表达式、SQL模式等，即可对数据库进行精确的访问行为监控。

2.3.3　USB安全防御系统

USB安全防御系统是针对工业控制系统无法杜绝USB设备使用，以及USB攻击等特殊风险而设计的专用安全防护系统。该系统支持外界设备认证管理、操作权限管理、文件数据防篡改、防病毒、防攻击以及操作行为安全审计等多种防护功能，做到事前预防、事中审计与阻断、事后行为可追溯，保证了主机系统数据文档USB存储传递的安全。

2.4　安全管理中心

依据等级保护相关标准规范，应在石油化工企业工控系统网络中建立安全管理中心，对工业控制网络内的安全设备、策略、数据等进行集中统一监管。在控制网络内划分新的安全管理域，部署石油化工企业工控系统网络的安全集中管控的技术措施，实现全网风险必要的安全风险管理、关联分析、安全可视化与联动处置的能力建设。

本方案中新建安全管理域，通过安全专用交换机对所有的安全设备进行安全组网，并设立独立的安全数据交换渠道将安全设备接入安全管理平台。

2.4.1　日志审计分析系统

日志审计分析系统部署在石油化工企业工控系统网络的新建安全管理域内，主要通过syslog、SNMP等或代理方式收集网络中各系统产品的告警日志，进行日志的集中存储、范式化与安全分析与展示。

日志审计与分析系统是解决日志存放分散、数量多、格式不统一、保存周期短、易被篡改破坏等日志管理问题而研制的专用安全系统。该系统通过多种方式收集各主机系统产生的告警日志，并进行集中存储、解析与范式化，通过先进的关联算法可对告警日志进行关联分析与统计展示，支持对综合日志的检索与查询。

2.4.2　安全运维审计系统

安全运维审计系统部署在安全管理域内，作为工控系统内日常运维的统一入口，实现账户、用户权限统一认证管理以及日常运维操作行为审计。

安全运维审计系统是针对系统运维人员账户权限未区别或划分不合理、运维行为不可控、对操作行为无审计、无记录等实际问题而开发的安全专用系统，通过对运维人员账户集中管理、用户登录集中认证授权、操作行为审计等，来实现工控系统运维可管、可控、可审计，并可对运维行为进行监管，做到事中监测告警与事后行为追溯。安全运维审计系统可提供便携式产品形态，方便在不同场景下使用，规范了企业运维人员对石油化工企业工控网络中各系统的运维操作。

2.4.3　工控统一安全管理平台

在石油化工企业工控系统网络中新建的安全管理域内部署工控统一安全管理平台系统，可实现工业控制系统内安全设备的状态监控、安全策略的集中管理、安全日志等数据的集中收集、存储、关联分析与可视化、安全风险集中处置等集中管控的需求。

此平台系统不仅可监控安全系统的运行状态，还可以对安全系统进行安全策略配置与调整，总体实现网络安全防护体系的防护效能。

平台系统具有强大的安全管理功能，包括安全系统状态监控、安全风险集中管理、可视化、关联分析与溯源、安全风险的联动处置等核心功能。平台系统支持级联部署，解决了企业生产厂区分散的网络安全集中管理的需求，实现了安全风险统一管理、分析展示与联动处置的管理能力。同时，本级平台系统可以作为上级安全运营中心平台系统的管理节点，形成覆盖全网的安全运营能力。

3　案例亮点及创新性

3.1　安全政策合规性

工控网络规模广、系统用户多、涉及品牌多，迫切需要对工控网络安全状况实行集中监测。通过本项目可以建设初步的SIS系统工控安全监测防御体系，并使其完全符合等级保护2.0、《工业控制系统信息安全防护指南》等国家安全政策标准规范要求。

3.2　精确定位安全事件

工控网络信息安全监测面临信息量大、信息关联性弱、检测精度不高等诸多问题，需要同步完善前端监测手段和后台分析能力，以实现：从海量的监测数据中准确发现已产生危害后果的安全事件；完整的记录网络和信息系统中的各类行为，提供必要证据支持无缝地还原所有安全事件的演进过程。

3.3　实现安全预警联动

在有效识别安全事件后，建立和完善安全预警管理、定级和安全预警的联动，对已发生的安全事件进行快速的安全联动，准备出有效的信息安全应对措施，将安全事件的影响和损失降到最低。

3.4　建立安全知识库

能够充分利用大平台资源共享的优势，将安全法规、标准、制度、安全事件与应急处置的信息共享给信息安全维护团队和下属企业相关人员，提高整个镇海炼化人员的信息安全意识和技术水平。

作者简介

季　俊（1969-），男，安徽安庆人，高级工程师，硕士，现就职于北京康吉森自动化技术股份有限公司，主要从事功能安全、工业控制安全方面的研究。

摘自《自动化博览》2024年1月刊