石化行业工业控制系统信息安全问题研究
2018-04-26付相松王维涛
付相松,王维涛
(中国化工集团公司 山东昌邑石化有限公司,山东 潍坊261300)
随着工业控制系统在能源开采、石油化工、钢铁冶炼等关键领域广泛应用,工业控制系统已成为中国关键基础设置的重要组成部分。近年来,伴随着国家工业化、信息化的“两化”融合,现代工业控制系统广泛采用通用网络设备和IT设施,并且以各种方式接入互联网,从而打破了这些系统原有的封闭性和专用性。由于工业控制系统在初期建设时更多考虑的是各自系统的可用性,并未考虑系统之间互联互通的安全风险和防护建设,因而病毒、木马等各种安全威胁向工控领域迅速扩散[1]。
针对工业控制系统信息安全风险日益加剧的情况,国家工信部先后发布《关于加强工业控制系统信息安全管理的通知》、《工业控制系统信息安全防护指南》等系列文件,指导企业优化工控安全管理与技术防护手段。对于如何应对工控系统信息安全问题,各企业也开始进行探索尝试[2-4]。2017年4月,某石化企业利用检修时机,结合自身特点,因地制宜,制订了安全防御措施对焦化分厂区工控系统进行了信息安全防护试点应用。
1 工控系统信息安全现状
1.1 工业控制系统定义与典型结构
工业控制系统由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成,主要用于确保工业基础设施自动化运行、过程控制与监控。其核心组件包括数据采集及监控系统(SCADA)、分散控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)以及确保各组件通信的接口技术。
广义上典型的工业控制系统如图1所示,主要由过程级、操作级、管理级三部分组成。
图1 典型工业控制系统示意
1) 过程级。位于工控系统最底层,主要由过程控制站、I/O单元和现场仪表组成,是系统控制功能的主要实施部分。
2) 操作级。是连接上、下两层网络的桥梁和纽带,主要由操作员站、工程师站、数据站等组成,实现系统操作与组态。该操作级一方面根据上层生产指令控制和调度底层的现场控制设备,另一方面对工业现场的生产情况进行实时监测和数据统计,为上层调控提供信息反馈。
3) 管理级。主要是指工厂管理系统(MIS)具有传统IT网络的属性,用以执行邮件收发、网页浏览、企业资源计划(ERP)和制造执行系统(MES)等功能。
1.2 工业控制系统信息安全概述
近年来,网络信息技术被广泛应用于工业控制系统,如DCS,PLC,PCS,SCADA等,它们采用现场总线技术、OPC等技术,使工业设备接口更为简单方便,但也打破工控系统与外界的隔离,导致工业控制系统的安全性越来越弱[5]。就近几年频发的系统安全问题来看,主要包括信息泄露、病毒入侵等,直接影响着企业生产以及人身和设备安全[6]。让人印象最为深刻的是2010年伊朗爆发的“超级工厂病毒(Stuxnet蠕虫)”,该病毒利用微软系统漏洞攻击Siemens DCS,使伊朗损失巨大,伊朗核计划也因此遭受重挫。如何对工控系统进行必要和可行的安全加固、防范高级持续威胁(APT)、保护国家关键基础设施已成为当前工业领域亟待探究和解决的重要问题[7-8]。
2 工业控制系统的信息安全问题
2.1 石化行业工控系统普遍存在的信息安全问题
1) 网络节点间无有效隔离。过程控制网与管理网的OPC数据采集站连接处,过程控制网与先进控制系统(APC)连接处,操作员站之间的连接处,无访问控制措施和入侵防范措施。一旦某个节点出现问题,会迅速通过交换机互联扩展至其他节点,蔓延至整个网络。
2) 通信协议漏洞。OPC Server多采用Windows平台,投产后一般不更新补丁。OPC Server和Buffer机之间的通信采用的是DCOM技术,其通信端口在1024~65535内不固定,常规IT类防火墙在这个层面难以有效隔离。另外,OPC Server 端和多个OPC Client端使用相同用户名和口令。OPC Client端对Server端具有数据读取、修改等全部的访问权限,不满足最小授权原则。
3) 工程师站无身份认证和访问控制。工程师站对操作站、DCS控制器的组态行为一般无身份认证和访问控制,并且拥有最高操作权限,可以任意修改控制逻辑和流程。主机中存储的文件一般未加密,容易造成核心数据丢失。非法的工程师站成为工控安全的重大隐患。
4) Windows平台漏洞,主机防护不足。工程师站、操作员站多基于Windows平台,如NT4.0,2000,XP,Win7,Server2003等。由于操作系统补丁和杀毒软件对控制系统稳定性可能造成影响,即使安装杀毒软件也会面临病毒库过期等问题,所以一般不安装杀毒软件和更新系统补丁。并且,多数企业无移动存储介质管理、操作站软件运行权限管理,这种情况下控制系统安全性极其脆弱,容易感染病毒。
5) APC自身无防护措施,具有病毒感染的高风险。APC一般运行调试周期较长,且该期间APC需要频繁与外界进行数据交换,感染病毒的风险较大。一旦 APC受到病毒感染,会对其控制系统安全造成极大威胁。
2.2 某石化企业焦化分厂区原工控系统信息安全状况
该企业焦化分厂区目前有焦化、加氢、制氢3套生产装置,3套工控系统。其中,焦化加氢DCS采用浙江中控ECS700,制氢DCS采用Honeywell PKS R201,紧急停车系统(ESD)采用Siemens S7-400。所有操作员站、工程师站均采用Windows平台,无杀毒软件;4台工程师站兼做现场OPC服务器。对于前述信息安全问题,除5)外,其余均存在。网络结构如图2所示。
图2 改造前网络结构示意
3 工控信息安全解决方案
3.1 当前普遍的解决方案
目前普遍认可的工控安全防御体系是由边界系统、防御系统、防危系统等三部分组成的纵深综合防御体系。边界系统,是指结合工控系统性能特点,利用工控防火墙、工控网闸、工控网关等安全隔离设备,在工控系统的边界上构筑安全防线。防御系统,包括入侵检测系统、入侵诱捕系统和安全态势感知等安全部件,用以检测和抵御入侵工控系统的攻击行为[9-10]。防危系统是保证即使攻击行为已经突破了前面两道防线,侵入到工控系统的内部,工控系统仍可以维持自身的物理安全,不至于导致严重的人身伤亡和重大财产损失事故。
3.2 某石化企业采用的解决方案
基于纵深综合防御理念,结合自身工控信息安全的现状及特点,该石化企业分厂区采用了“纵深防护,实时监测,在线备份”的三重安全机制,网络结构如图3所示。
图3 改造后网络结构示意
3.2.1网络分区隔离
由图3可知,交换机H3C 3100根据IP地址进行VLAN划分配置,对连接各个端口的OPC Server进行网络隔离,相互之间不允许通信访问。另外,将过程控制网的普通型交换机全部更换为安全交换机SUP3000,并对SUP3000做VLAN划分配置和访问控制列表ACL (access control list)配置。通过访问控制策略允许特定设备访问、限制网络流量、指定转发特定端口数据包等保障网络性能。
3.2.2入侵检测防御
在交换机H3C 3100处部署入侵检测系统IDS(intrusion detection systems),并连接1台IDS管理站,IDS采用DPtech IPS2000。为不影响现有网络状况及运行,对H3C 3100v2核心交换机进行端口镜像配置,通过镜像端口接入IPS 2000,实时检测网络数据流量。同时,在网段上侦听、采集网络数据,使用原始网络包作为数据源,及时检测网络中出现的异常数据、非法入侵,并根据预定义策略实时报警,同时对网络中所有活动进行行为审计与内容审计,生成完整记录,便于事件追溯。
3.2.3边界隔离防护
在每台OPC服务器与企业信息网交换机之间部署TofinoEX工控防火墙进行边界隔离防护。Tofino EX工控防火墙支持OPC,Modbus-TCP,SCnet等应用协议的深度包检测,防火墙上配置策略只允许OPC协议通过,其他全部禁止,阻断来自外部的安全威胁,保护控制系统内的网络安全以及OPC服务器与PI实时数据库之间的通信安全。
3.2.4工业主机防护
过程控制网内所有主机包括工程师站、操作员站、OPC服务器等全部安装“工控安全卫士”软件VxDefender。通过白名单技术手段实现进程管理、网络管理、USB管理、安全事件管理等,实时监控工控主机的进程状态、网络端口状态、USB 端口状态,实现对各主机的全面安全防护。根据白名单的配置,工控安全卫士自动禁止非法进程运行,禁止非法 USB设备的接入,从而切断病毒和木马的传播与破坏路径,同时也阻断了数据泄密。另外,探测到非法进程、非法网络端口、非法USB设备时,报警提醒,产生安全事件日志,方便问题排查,事故溯源。
3.2.5实时在线备份
为防御工业数据容灾,部署1台ABR备份服务器,并安装Acronis Backup组件,通过对各台工程师站分别制订备份策略,实现其关键数据自动在线备份,确保即使发生故障,也可快速恢复系统,保证生产的连续性。其中,磁盘级备份可在出现严重数据损坏或硬件故障时恢复整个系统。当设定仅保护特定数据时(例如,当前项目),可进行文件级备份。文件级备份不足以进行操作系统恢复,要在恢复操作系统的同时恢复所有设置和应用程序,必须执行磁盘级备份。
另外,工控信息安全从来都不是孤立的,在进行技术防御的同时,还必须从管理入手建立起一套有针对性的工控安全管理体系,杜绝安全隐患。
4 结束语
方案实施半年来,工控系统运行稳定。实际运行效果表明: 该方案能够保障工控系统的信息安全,同时为工控系统信息安全问题的研究提供了思路,对其他企业工控信息安全建设具有一定的参考和指导意义。
参考文献:
[1] 王小山,杨安,石志强,等.工业控制系统信息安全新趋势[J].网络信息安全,2015 (01): 6-11.
[2] 张波.基于纵深防御理念的DCS信息安全方案在青岛炼化项目的应用[J].中国仪器仪表,2014 (02):30-35.
[3] Nader P.One-class Classification for Cyber Intrusion Detection in Industrial Systems[J].IEEE Transactions on Industrial Informatics, 2015,10 (04): 2308-2317.
[4] Vollmer T, Manic M. Cyber-physical System Security With Deceptive Virtual Hosts for Industrial Control Networks[J].IEEE Transactions on Industrial Informatics,2014, 10(02): 1337-1347.
[5] 林枫.工业控制系统网络安全防护体系的思考[J].信息通信,2017(05): 123 -124.
[6] 赖英旭,刘增辉,蔡晓田,等.工业控制系统入侵检测研究综述[J].通信学报,2017,38(02): 143-156.
[7] Zhou Chunjie, Huang Shuang, Xiong Naixue, et al. Design and Analysis of Multimodel-based Anomaly Intrusion Detection Systems in Industrial Process Automation[J].IEEE Transactions on System, Man and Cybernetics-Systems, 2015, 45(10): 1345-1360.
[8] Mo Y, Chabukswar R, Sinopoli B. Detecting Integrity Attacks on SCADA Systems[J].IEEE Transactions on Control Systems Technology, 2014,23(04): 1396-1407.
[9] Ponomarev S, Atkison T. Industrial Control System Network Intrusion Detection by Telemetry Analysis[J].IEEE Transactions on Dependable and Secure Computing, 2016,13(02): 252-260.
[10] 王海凤.工业控制网络的异常检测与防御资源分配研究[D].杭州: 浙江大学,2014.