久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★季俊北京康吉森自動化技術股份有限公司

關鍵詞：工業(yè)控制系統(tǒng)；信息安全；安全儀表系統(tǒng)；網(wǎng)絡安全等級保護

1　項目概況

1.1　項目背景

石油化工行業(yè)是關系到國計民生的重要支柱行業(yè)。因此，石化企業(yè)的信息系統(tǒng)、工控系統(tǒng)長期以來一直是網(wǎng)絡攻擊的重要目標，企業(yè)的安全運營面臨著一系列的痛點與難點。

面對嚴峻的信息安全環(huán)境，國家高度重視工控信息安全相關工作的建設和發(fā)展水平，各相關部門已陸續(xù)出臺相關政策和文件，強化頂層設計，對工控信息安全防護工作進行監(jiān)督和指導。網(wǎng)絡安全建設與運維已經(jīng)成為石化行業(yè)信息化建設過程中不可忽視的建設內(nèi)容，如何在石油化工企業(yè)信息化建設與使用過程中，尤其針對石油化工企業(yè)的工業(yè)控制系統(tǒng)組網(wǎng)應用環(huán)境構建工控安全防護體系，提高全網(wǎng)工控安全動態(tài)管理能力，已經(jīng)被行業(yè)主管單位、公司領導高度重視，網(wǎng)絡安全體系化建設已經(jīng)成為當前重要的建設任務。

1.2　項目簡介

本項目是中國石化鎮(zhèn)海煉化分公司中石化鎮(zhèn)海基地項目，包括如下生產(chǎn)裝置、公用工程及輔助設施：120萬噸/年乙烯裝置、60萬噸/年裂解汽油加氫裝置、40萬噸/年芳烴抽提裝置、16萬噸/年丁二烯抽提裝置、10/4萬噸/年MTBE/丁烯-1裝置、80萬噸/年乙二醇裝置、30萬噸/年氣相法高密度聚乙烯裝置、30萬噸/年淤漿法高密度聚乙烯裝置、30萬噸/年聚丙烯裝置、27.4/60.2萬噸/年PO/SM裝置（含乙苯裝置）、煤/焦制氣聯(lián)合（POX）裝置、公用工程及輔助設施等。

本項目采用中心控制室（Central Control Room，CCR）和現(xiàn)場機柜室（Field Auxiliary Room，F(xiàn)AR）分離設置方式。原則上生產(chǎn)裝置、公用工程及輔助設施等控制系統(tǒng)操作站設置在相應的中心控制室，控制站設置在相應的現(xiàn)場機柜室，現(xiàn)場儀表信號通過電纜連接到現(xiàn)場機柜室，從現(xiàn)場機柜室到中心控制室的信號傳輸采用冗余光纜。操作管理人員在中心控制室完成生產(chǎn)裝置的控制、監(jiān)測、報警及報表等操作。現(xiàn)場機柜室設置工程師站，用于開車前的系統(tǒng)調(diào)試和系統(tǒng)維護等工作。

中心控制室設置各控制系統(tǒng)的工程師站和操作員站，用于系統(tǒng)組態(tài)維護和日常操作。

1.3　項目目標

石化行業(yè)等關鍵基礎設施的安全建設，應著眼于解決系統(tǒng)的架構安全、建立被動防御體系、形成積極防御力量，再到基于威脅情報的保障體系，需要逐步動態(tài)完善。企業(yè)應逐漸認識到安全是相對的、動態(tài)的和持續(xù)投入的，單純的、靜態(tài)的安全防護體系不是一條有效的解決途徑。在與業(yè)務緊密貼合的前提下，現(xiàn)階段企業(yè)需要正視工控系統(tǒng)架構安全的脆弱性，建立智能的縱深防御系統(tǒng)，采取數(shù)據(jù)采集、監(jiān)控和應急處置的聯(lián)動方式，快速、及時地保障生產(chǎn)安全。

按照《中華人民共和國網(wǎng)絡安全法》《信息安全技術網(wǎng)絡安全等級保護基本要求》《工業(yè)控制系統(tǒng)信息安全防護指南》等國家/行業(yè)相關網(wǎng)絡安全防護的政策與網(wǎng)絡安全標準要求，針對石油化工企業(yè)控制及調(diào)度技術發(fā)展，本項目全面評估當前中石化鎮(zhèn)海基地項目SIS系統(tǒng)的網(wǎng)內(nèi)業(yè)務系統(tǒng)、控制系統(tǒng)及自動化設備可能存在的網(wǎng)絡安全風險，并形成分析報告。本項目圍繞當前企業(yè)技改與未來“一張網(wǎng)”發(fā)展規(guī)劃，按照國家網(wǎng)絡安全法提出的“同步規(guī)劃、同步建設、同步使用”的三同步原則，利用當前先進的網(wǎng)絡安全防護理念、技術與產(chǎn)品，有序地開展石油化工企業(yè)生產(chǎn)控制系統(tǒng)中安全防護體系的頂層設計、分期設計與建設工作，構建網(wǎng)絡安全立體的防護體系，滿足標準合規(guī)性要求。同時，按照企業(yè)多級管理職能，本項目設計構建全網(wǎng)工控安全管控與運營體系，形成多級聯(lián)動機制，實現(xiàn)全網(wǎng)動態(tài)安全監(jiān)測、風險可視、通報預警與聯(lián)動處置，提高網(wǎng)絡安全綜合管控與防護能力。

本項目針對中石化鎮(zhèn)?；仨椖縎IS系統(tǒng)實際需求，通過設計建設一套穩(wěn)定、先進、高效、可靠的全生命周期工控安全技術防御體系，集中展現(xiàn)了石油化工企業(yè)生產(chǎn)控制系統(tǒng)的整體工控安全態(tài)勢，提升了整體工控安全監(jiān)管水平和防御能力，形成了技術+管理的綜合安全防護體系，滿足了實際安全防護需求。

（1）安全通信網(wǎng)絡：對鎮(zhèn)海煉化生產(chǎn)控制系統(tǒng)的訪問邏輯進行梳理，優(yōu)化網(wǎng)絡結構，按照網(wǎng)絡資產(chǎn)的屬性與訪問邏輯，合理劃分網(wǎng)絡安全域，在石油化工企業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡的邊界部署安全隔離與訪問控制措施，實現(xiàn)必要的邊界安全防護，同時按照業(yè)務組網(wǎng)應用特點，酌情增加鏈路加密措施，保障鏈路通信的數(shù)據(jù)安全性。

（2）安全區(qū)域邊界：在重要的安全域邊界設計部署安全隔離與訪問控制措施，對重要安全域進行必要的安全防護，保證鎮(zhèn)海煉化生產(chǎn)控制系統(tǒng)的運行安全。

（3）安全計算環(huán)境：對全網(wǎng)的服務器、操作員站、工程師站等主機系統(tǒng)設計安裝必要的安全管控措施，實現(xiàn)對主機系統(tǒng)必要的安全管控，保障主機系統(tǒng)運行安全。主機安全管控措施包括主機進程管控、主機USB口外界管理等，實現(xiàn)主機防病毒、防第三方軟件非授權安裝使用、防USB設備非法連接與數(shù)據(jù)拷貝等功能，可以提升人機交互界面必要的安全防控和主機系統(tǒng)的安全性。同時，借助于在安全管理域內(nèi)部署的主機系統(tǒng)脆弱性掃描工具，可以實現(xiàn)對主機系統(tǒng)弱口令、漏洞的安全管理，并通過主機加固措施提升主機系統(tǒng)的抗攻擊能力。

（4）安全管理中心：在鎮(zhèn)海煉化生產(chǎn)控制網(wǎng)絡中新建安全管理域，部署集中安全管理手段，實現(xiàn)對全網(wǎng)用戶集中認證、權限管理與操作行為審計，同時部署綜合日志審計與安全管理技術手段，建立全網(wǎng)安全風險的集中管理、分析、可視化與聯(lián)動處置機制，部署安全威脅掃描與管理工具，全面實現(xiàn)全網(wǎng)風險的集中管理與處置，保證風險的快速感知與處置，提升安全風險的管理與處置能力。

（5）安全管理體系：基于鎮(zhèn)海煉化現(xiàn)有的安全管理組織結構與管理措施，由我方專業(yè)的安全服務人員以安全咨詢服務的形式，按照相關標準規(guī)范要求，為用戶梳理安全管理體系內(nèi)容，幫助用戶健全與完善安全管理體系相關內(nèi)容，從管理上完善安全管理的體系化建設，包括日常管理以及應急保障等相關內(nèi)容，以構建綜合的安全防護體系，保障石油化工企業(yè)工控系統(tǒng)的安全穩(wěn)定運行。

2　項目實施

2.1　安全通信網(wǎng)絡

鎮(zhèn)海煉化的工業(yè)控制網(wǎng)絡是相對獨立封閉的，生產(chǎn)裝置控制網(wǎng)絡一般只與企業(yè)管理需求的上層應用MES系統(tǒng)進行通訊，通過OPC數(shù)據(jù)采集實現(xiàn)生產(chǎn)業(yè)務數(shù)據(jù)的單向傳輸。除此以外，部分控制網(wǎng)絡在橫向上與SIS、ESD等其他專用控制系統(tǒng)也存在以Modbus協(xié)議或RS485、硬接線進行數(shù)據(jù)傳輸?shù)男枨蟆?/p>

在本項目中SIS系統(tǒng)與上層生產(chǎn)經(jīng)營管理系統(tǒng)等辦公信息系統(tǒng)通過DCS系統(tǒng)進行通訊，SIS系統(tǒng)僅在現(xiàn)場控制器通過RS485串口形式與DCS產(chǎn)生數(shù)據(jù)交互，故本項目中不對SIS系統(tǒng)部署工業(yè)網(wǎng)閘等隔離設備與外網(wǎng)隔離。

為滿足等級保護標準規(guī)范中對生產(chǎn)控制系統(tǒng)的安全要求，本項目對各裝置SIS系統(tǒng)的網(wǎng)絡進行優(yōu)化，根據(jù)控制網(wǎng)絡中不同裝置資產(chǎn)屬性和訪問邏輯來劃分安全域，使石油化工企業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡免受來自上層辦公網(wǎng)及互聯(lián)網(wǎng)的入侵攻擊風險。

2.2　安全區(qū)域邊界

針對石油化工企業(yè)工控網(wǎng)絡中劃分的安全域，按照安全域的安全權重，本項目有針對性地進行安全域的隔離與訪問控制，以及必要的安全防護，以保護各安全域運行的安全。具體技術措施如下描述：

2.2.1　工業(yè)防火墻系統(tǒng)

在過程控制層與現(xiàn)場控制層之間串行部署工控防火墻，具體為工程師站室與各裝置操作室的交換機之間，實現(xiàn)各安全域邊界隔離與訪問控制。工業(yè)防火墻具有工控協(xié)議的深度解析能力，不僅僅可支持基于網(wǎng)絡五元組的訪問控制，還可以基于工控行為的安全控制與防護，保護各安全域系統(tǒng)的運行安全；在網(wǎng)絡安全專網(wǎng)跨越不同級別安全域——“生產(chǎn)區(qū)與安全管理區(qū)”之間部署工業(yè)防火墻類產(chǎn)品，實現(xiàn)區(qū)域隔離控制。

工業(yè)防火墻系統(tǒng)屬于工業(yè)級安全防護設備，可支持30多種工控協(xié)議識別與深度解析，包括：Modbus、TCP、OPC、DNP3.0、西門子ProfiNet、西門子S7、IEC 61850和IEC 60870-5-104等，具有基于工控行為構建白名單訪問控制策略，可實現(xiàn)細粒度的安全防護。

2.2.2　安全檢測與審計系統(tǒng)

在工程師站室的核心交換機上旁路部署安全檢測與審計系統(tǒng)，對工控系統(tǒng)的應用服務器、主機管理系統(tǒng)等控制網(wǎng)絡內(nèi)的應用系統(tǒng)、流量數(shù)據(jù)進行全面檢測，對通信數(shù)據(jù)進行合規(guī)性檢查，對異常行為、違規(guī)操作行為進行識別、審計、告警，告警日志可發(fā)送至日志審計系統(tǒng)和安全管理平臺系統(tǒng)進行集中存儲、分析與風險關聯(lián)展示，輔助安全運維人員進行監(jiān)測處置。

安全檢測與審計系統(tǒng)支持對OPC、Ethernet/IP、Modbus/TCP、IEC61850、IEC60870-5-104、DNP3、Profinet、S7、GOOSE和SV等30多種工控協(xié)議進行深度解析，通過還原操作行為，對有異常操作行為進行審計告警，輔助網(wǎng)關防護系統(tǒng)策略調(diào)整，實現(xiàn)對石油化工企業(yè)工控網(wǎng)絡的運行安全。

2.3　安全計算環(huán)境

在石油化工企業(yè)工控網(wǎng)絡中的安全計算環(huán)境是指包括工程師站、操作員站、應用服務器等大量的主機操作系統(tǒng)及數(shù)據(jù)存儲環(huán)境，應定期通過檢查工具對其控制網(wǎng)內(nèi)的安全計算環(huán)境的安全漏洞與脆弱性進行檢查及修復，關閉不需要的默認賬號、服務，進行主機系統(tǒng)必要的安全加固，持續(xù)地進行以白名單為主要技術手段的操作系統(tǒng)安全防護。同時針對工控環(huán)境下的高危隱患，如通過USB口接入的移動外接設備進行認證管理、防USB攻擊、防病毒、防篡改與操作行為審計等，保護系統(tǒng)USB拷貝數(shù)據(jù)的安全。本次設計將考慮部署以下技術措施來對主機系統(tǒng)進行必要的安全防護。

2.3.1　工控主機衛(wèi)士

針對石油化工企業(yè)工控網(wǎng)絡中的工程師站、操作員站、應用服務器等主機操作系統(tǒng)，安裝部署以白名單為核心技術的工控主機衛(wèi)士，實現(xiàn)對關鍵操作系統(tǒng)及人機交互的主機加固、安全防護及病毒防護。

白名單技術的主動防御機制相對于黑名單形式的防病毒軟件占用更小的系統(tǒng)計算資源，實現(xiàn)了最大的防護效能，可有效地實現(xiàn)主機防病毒、防第三方軟件的非授權安裝與使用、主機系統(tǒng)外接口的管控、USB外接存儲設備的認證管控、防病毒與操作行為審計，為主機系統(tǒng)安全運行提供了必要的安全保障。

本方案使用的主機安全防護系統(tǒng)是工控主機系統(tǒng)專用的安全防護系統(tǒng)。該系統(tǒng)運用白名單為主，灰名單、黑名單為輔的創(chuàng)新技術方式，可以監(jiān)控主機的進程狀態(tài)、網(wǎng)絡端口狀態(tài)、USB端口狀態(tài)，能嚴格對主機應用進程進行管控，外接端口管控，USB設備認證與使用管理，以及操作行為管理，強化了工控主機的安全管理，提升了主機系統(tǒng)的抗攻擊能力。

2.3.2　數(shù)據(jù)庫態(tài)勢感知

為接收、存儲大量生產(chǎn)業(yè)務數(shù)據(jù)，石油化工企業(yè)的工控生產(chǎn)網(wǎng)的生產(chǎn)執(zhí)行層部署有實時數(shù)據(jù)庫、歷史數(shù)據(jù)庫等生產(chǎn)業(yè)務服務器，企業(yè)應重點關注數(shù)據(jù)庫所面臨的風險并進行多方位評估。為石油化工企業(yè)的生產(chǎn)控制系統(tǒng)部署數(shù)據(jù)庫態(tài)勢感知系統(tǒng)，可以通過旁路、探針、分布式等多種部署方式，為數(shù)據(jù)庫的各類應用環(huán)境提供全方位監(jiān)控與審計。

數(shù)據(jù)庫態(tài)勢感知系統(tǒng)提供實時的數(shù)據(jù)庫運行狀態(tài)監(jiān)控，可以及時發(fā)現(xiàn)數(shù)據(jù)庫在運行中出現(xiàn)的性能異常，并結合審計日志準確定位異常操作，防止因性能問題而導致的業(yè)務癱瘓。通過內(nèi)置的掃描策略，該系統(tǒng)可以及時發(fā)現(xiàn)數(shù)據(jù)庫系統(tǒng)在運行時可能出現(xiàn)的配置、管理風險和數(shù)據(jù)庫軟件本身存在的漏洞。該系統(tǒng)還提供基于自學習的基線策略模型，通過多關鍵字匹配、正則表達式、SQL模式等，即可對數(shù)據(jù)庫進行精確的訪問行為監(jiān)控。

2.3.3　USB安全防御系統(tǒng)

USB安全防御系統(tǒng)是針對工業(yè)控制系統(tǒng)無法杜絕USB設備使用，以及USB攻擊等特殊風險而設計的專用安全防護系統(tǒng)。該系統(tǒng)支持外界設備認證管理、操作權限管理、文件數(shù)據(jù)防篡改、防病毒、防攻擊以及操作行為安全審計等多種防護功能，做到事前預防、事中審計與阻斷、事后行為可追溯，保證了主機系統(tǒng)數(shù)據(jù)文檔USB存儲傳遞的安全。

2.4　安全管理中心

依據(jù)等級保護相關標準規(guī)范，應在石油化工企業(yè)工控系統(tǒng)網(wǎng)絡中建立安全管理中心，對工業(yè)控制網(wǎng)絡內(nèi)的安全設備、策略、數(shù)據(jù)等進行集中統(tǒng)一監(jiān)管。在控制網(wǎng)絡內(nèi)劃分新的安全管理域，部署石油化工企業(yè)工控系統(tǒng)網(wǎng)絡的安全集中管控的技術措施，實現(xiàn)全網(wǎng)風險必要的安全風險管理、關聯(lián)分析、安全可視化與聯(lián)動處置的能力建設。

本方案中新建安全管理域，通過安全專用交換機對所有的安全設備進行安全組網(wǎng)，并設立獨立的安全數(shù)據(jù)交換渠道將安全設備接入安全管理平臺。

2.4.1　日志審計分析系統(tǒng)

日志審計分析系統(tǒng)部署在石油化工企業(yè)工控系統(tǒng)網(wǎng)絡的新建安全管理域內(nèi)，主要通過syslog、SNMP等或代理方式收集網(wǎng)絡中各系統(tǒng)產(chǎn)品的告警日志，進行日志的集中存儲、范式化與安全分析與展示。

日志審計與分析系統(tǒng)是解決日志存放分散、數(shù)量多、格式不統(tǒng)一、保存周期短、易被篡改破壞等日志管理問題而研制的專用安全系統(tǒng)。該系統(tǒng)通過多種方式收集各主機系統(tǒng)產(chǎn)生的告警日志，并進行集中存儲、解析與范式化，通過先進的關聯(lián)算法可對告警日志進行關聯(lián)分析與統(tǒng)計展示，支持對綜合日志的檢索與查詢。

2.4.2　安全運維審計系統(tǒng)

安全運維審計系統(tǒng)部署在安全管理域內(nèi)，作為工控系統(tǒng)內(nèi)日常運維的統(tǒng)一入口，實現(xiàn)賬戶、用戶權限統(tǒng)一認證管理以及日常運維操作行為審計。

安全運維審計系統(tǒng)是針對系統(tǒng)運維人員賬戶權限未區(qū)別或劃分不合理、運維行為不可控、對操作行為無審計、無記錄等實際問題而開發(fā)的安全專用系統(tǒng)，通過對運維人員賬戶集中管理、用戶登錄集中認證授權、操作行為審計等，來實現(xiàn)工控系統(tǒng)運維可管、可控、可審計，并可對運維行為進行監(jiān)管，做到事中監(jiān)測告警與事后行為追溯。安全運維審計系統(tǒng)可提供便攜式產(chǎn)品形態(tài)，方便在不同場景下使用，規(guī)范了企業(yè)運維人員對石油化工企業(yè)工控網(wǎng)絡中各系統(tǒng)的運維操作。

2.4.3　工控統(tǒng)一安全管理平臺

在石油化工企業(yè)工控系統(tǒng)網(wǎng)絡中新建的安全管理域內(nèi)部署工控統(tǒng)一安全管理平臺系統(tǒng)，可實現(xiàn)工業(yè)控制系統(tǒng)內(nèi)安全設備的狀態(tài)監(jiān)控、安全策略的集中管理、安全日志等數(shù)據(jù)的集中收集、存儲、關聯(lián)分析與可視化、安全風險集中處置等集中管控的需求。

此平臺系統(tǒng)不僅可監(jiān)控安全系統(tǒng)的運行狀態(tài)，還可以對安全系統(tǒng)進行安全策略配置與調(diào)整，總體實現(xiàn)網(wǎng)絡安全防護體系的防護效能。

平臺系統(tǒng)具有強大的安全管理功能，包括安全系統(tǒng)狀態(tài)監(jiān)控、安全風險集中管理、可視化、關聯(lián)分析與溯源、安全風險的聯(lián)動處置等核心功能。平臺系統(tǒng)支持級聯(lián)部署，解決了企業(yè)生產(chǎn)廠區(qū)分散的網(wǎng)絡安全集中管理的需求，實現(xiàn)了安全風險統(tǒng)一管理、分析展示與聯(lián)動處置的管理能力。同時，本級平臺系統(tǒng)可以作為上級安全運營中心平臺系統(tǒng)的管理節(jié)點，形成覆蓋全網(wǎng)的安全運營能力。

3　案例亮點及創(chuàng)新性

3.1　安全政策合規(guī)性

工控網(wǎng)絡規(guī)模廣、系統(tǒng)用戶多、涉及品牌多，迫切需要對工控網(wǎng)絡安全狀況實行集中監(jiān)測。通過本項目可以建設初步的SIS系統(tǒng)工控安全監(jiān)測防御體系，并使其完全符合等級保護2.0、《工業(yè)控制系統(tǒng)信息安全防護指南》等國家安全政策標準規(guī)范要求。

3.2　精確定位安全事件

工控網(wǎng)絡信息安全監(jiān)測面臨信息量大、信息關聯(lián)性弱、檢測精度不高等諸多問題，需要同步完善前端監(jiān)測手段和后臺分析能力，以實現(xiàn)：從海量的監(jiān)測數(shù)據(jù)中準確發(fā)現(xiàn)已產(chǎn)生危害后果的安全事件；完整的記錄網(wǎng)絡和信息系統(tǒng)中的各類行為，提供必要證據(jù)支持無縫地還原所有安全事件的演進過程。

3.3　實現(xiàn)安全預警聯(lián)動

在有效識別安全事件后，建立和完善安全預警管理、定級和安全預警的聯(lián)動，對已發(fā)生的安全事件進行快速的安全聯(lián)動，準備出有效的信息安全應對措施，將安全事件的影響和損失降到最低。

3.4　建立安全知識庫

能夠充分利用大平臺資源共享的優(yōu)勢，將安全法規(guī)、標準、制度、安全事件與應急處置的信息共享給信息安全維護團隊和下屬企業(yè)相關人員，提高整個鎮(zhèn)海煉化人員的信息安全意識和技術水平。

作者簡介

季　俊（1969-），男，安徽安慶人，高級工程師，碩士，現(xiàn)就職于北京康吉森自動化技術股份有限公司，主要從事功能安全、工業(yè)控制安全方面的研究。

摘自《自動化博覽》2024年1月刊