武东升，章 维，杨加义，方 明，张高达

（1.国家能源集团 宁夏煤业有限责任公司，银川 750000；2.浙江中控技术股份有限公司，杭州 310053）

0 引言

随着中国科学技术的发展与“工业4.0”进程的不断推进，煤化工工厂也逐渐趋于智能化、数字化、网络化，但智能化所带来的网络安全风险也变得不容忽视。2010 年伊朗核设施遭受“震网”病毒肆虐，基础设施被大面积感染破坏，该事件标志着基础工业设施已经成为部分网络攻击的目标，其破坏性和影响力丝毫不弱于其他网络攻击，而煤化工行业规模巨大、流程复杂，生产制造过程中存在各类高温高压、易燃易爆等复杂环境，若遭受攻击，会造成巨大经济损失与重大人员伤亡，其结果和影响无疑是灾难性的。

1 煤化工行业信息安全现状

面对此类针对工业基础设施的网络攻击，结合煤化工行业自身生产环境的特点，目前有以下几个核心问题亟待解决：

1）复杂的工控系统与网络安全防护结合的难题

由于煤化工行业流程工艺复杂，各类业务系统与设备复杂多样，加上与工业物联网、工业互联网、云计算、工业大数据平台等新一代信息技术的融合，使得整体工业控制系统的复杂程度与防护难度提升到了一个新的高度。面对种类繁多的智能设备与系统，如何在保证个体安全的同时，保证整体工业控制系统的稳定性与安全防护性能，是实现煤化工行业工控信息安全的核心。

图1 工业控制系统典型网络架构Fig.1 Typical network architecture for industrial control systems

2）安全防护与管理体系相融合的问题

对于新型的智能化工厂，数字化、智能化所打破的不仅仅是数据上的壁垒，还有管理体系之间的壁垒。原本相对封闭独立的业务管理体系被打破，各个业务系统间的管理边界变得模糊，若不对管理体系进行针对性改进，在实际管理实施中必然会出现漏洞与空白。因此，如何建立统一、高效的网络安全管理体系，明确职责划分与管理边界，亦是工控系统安全防护的一大难点。

3）网络安全防护对工控系统自身的影响

目前，现有的网络安全防护仅仅考虑了网络安全的风险分析与防护，而缺乏网络安全防护对工控系统自身所造成影响的有效评估。如何在不影响工业控制系统自身功能安全的同时，保证网络安全防护的可靠性，以及如何在实际工业控制系统中开展风险分析，也是亟需考虑的问题。

2 工控系统网络架构

通常煤化工智能工厂采用的是一种纵向分层的网络架构，自上而下依次为企业管理层、制造执行系统（Manufacturing Execution Systerm，简称MES）层、过程监控层、现场控制层和现场设备层。层级之间采用各类通讯协议进行连接，层内各装置间采用本级的通讯网络进行通信。典型的煤化工智能工厂网络结构图如图1 所示。

在此类工业控制系统网络架构中，网络安全威胁可能来源于智能工厂外部与内部，攻击者通过例如DDOS 攻击、病毒感染、会话挟持等方式进行网络安全攻击，并通过整体通讯网络扩大影响，最终造成生产停车、人员伤亡等重大事故。因此，在设计网络架构安全防护时，须综合考虑其设计、管理、技术、环境条件等各种因素，以及智能工厂生命周期内设计、实施运维等各阶段相关的所有活动，合理设计规划整体安全防护措施。

3 一体化网络安全防护设计

3.1 防护设计原则

根据功能与业务，可将煤化工智能工厂网络安全划分成工控安全、数据服务安全、信息管理网络安全。为实现一体化网络安全防护，主要从以下几个方面来设计整体防护方案：

1）由点到面提高整体系统安全性

所有设备系统自身内置安全功能是提高整体系统安全性的关键，通过加密通信、通信健壮性、平台可信增强、数据监管等方式，实现对常见网络安全攻击的防御。通过对单一设备的网络安全性能的把控，来提高整体工业控制系统的网络安全性能[1]。

2）建立多层次纵深防御系统

煤化工智能工厂包含联合裂解装置、聚乙烯装置、合成氨及PSA 装置、全厂空气氮气系统等多类工控装置与系统，采用OPC 协议、Modbus 协议、MISgate 协议等多种工控协议进行通讯。

面对上述现场环境，单一的安全防护手段不能很好地进行抵御和防范。因此，通过建立多层次的纵深防御系统，协同运用多种安全防护措施，建立相对复杂的网络安全防护系统与网络安全防护策略，从而全面提升自身的网络安全防护复杂度，全方面提高系统对各类攻击的防护能力，尽可能地避免由于单一的网络机制被攻陷，而导致的网络瘫痪以及其他网络安全问题。

3）定期执行风险分析

风险分析是识别工业控制系统整体安全漏洞及其可能造成结果的有效手段。通过定期风险，有效把控整体系统的安全性与可靠性，根据结果进行针对性调整，扼杀潜在的安全风险，防范于未然[2]。

3.2 工控安全防护方案

工业控制系统作为煤化工智能工厂的生产作业的核心系统，为保证其安全性，需要针对不同生产工艺与涉及的工控系统进行针对性防护。其核心内容主要为以下几个方面：

1）内生安全主动防御

控制系统采用内生安全主动防御设计，保证系统本身具备基本信息安全防护能力。针对聚乙烯、联合裂解等易燃易爆的生产工艺设备，通过采用阿基里斯2 级认证的中控ECS-700 系统，提高通讯健壮性与可靠性，确保系统在攻击情况下的正常运行。同时，遵循白名单防护的设计思路，设计通讯协议栈，禁用无用端口和服务，抵御针对系统服务漏洞的攻击。

2）深度边界防护

遵循纵向分层、横向分域的原则，对DCS 系统、ITCC系统、SIS 系统等生产系统进行安全边界划分。采取“总分”VLAN 隔离措施，在保证全局工程师站与全局监视站对各装置操作与监控的同时，实现生产装置与系统间的网络安全隔离。域间通讯时采用单向和双向相结合的防护策略，限制通讯数据方向，严控下写数据流，实现数据的可信通信，避免敏感信息流失，抵御非授权的访问和攻击。

通过在生产系统与生产管理系统之间架设工业防火墙，深度解析工业通讯报文，拦截过滤异常流量，保证生产系统网络与外部网络的安全隔离，防止病毒蔓延与故障扩散。

3）系统安全加固

采用基于白名单的可信操作站卫士，通过对计算机的优化配置、操作系统的相关设置、计算机的应用规范管理以及程序、进程的白名单控制，对生产控制系统如DCS 系统、ITCC 系统、SIS 系统等的上位机、服务器进行防护，以白名单的技术方式监控工控主机的进程状态、网络端口状态、USB 端口状态，全方位地保护主机的资源使用。根据白名单的配置，可信操作站卫士禁止非法进程的运行，禁止非法网络端口的打开与服务，禁止非法USB 设备的接入，从而切断病毒和木马的传播与破坏路径，有效防止病毒源从外部输入，保证上位机正常指令的顺利下发和生产相关的业务与进程的正常执行。

4）全网诊断与容灾应急

搭建面向工厂网络维护管理的工控网络诊断软件和安全管理平台，实时监管全厂网络状态与设备管理。针对聚丙烯装置、聚乙烯装置等易燃易爆的高风险装置，通过部署热备冗余与专用数据备份服务，确保关键数据得到安全高效的备份与恢复。即使故障发生，也能快速恢复或切换至冗余配置，有效扼制风险的进一步扩大。

3.3 数据中心建设

智能工厂生产制造时，全局工程师站与全局监控站通过各类工控系统采集监控生产装置的生产数据与智能仪表数据，所涉及的OPC、MISgate 等服务，其服务器通常架设于物理机服务器，资源监控方法繁琐，发生故障难以快速恢复。而虚拟化的服务器相较于物理服务器，具有较好的可恢复性、可备份性，资源监控便捷的特点。

通过将服务器虚拟化，简化IT 资源分配和应用调配，与现有物理服务器相整合，建立灵活的数据中心，结合自动化管理技术，实现服务器资源的全局监控。为此，数据中心配备了3 台虚拟化服务器宿主机、1 台数字化移交服务器、1 台虚拟化管理主机、2 台APC 服务器等虚拟化服务器设备，用于构建高度可用、恢复能力强的整体服务架构。

通过建立虚拟化管理平台，自由虚拟化服务应用，简化虚拟数据中心。采用热克隆技术，确保在源服务器不停机或重启的情况下，将备域控制器服务器、MES 关系数据库服务器、HSE 服务器、AVEVA NET 应用服务器等关键服务迁移至虚拟服务器。结合云技术、磁盘等备份介质，实现对关键数据的可靠备份。

配备双机热备冗余机制，对主域控制器服务器、备域控制器服务器、exchange 邮件服务器、MES 关系数据库服务器等关键服务与设备进行高可用性热备冗余设计，实现在紧急情况下的快速恢复与应急处理。

图2 数据中心Fig.2 Data center

图3 组织机构框图Fig.3 Organization block

3.4 信息系统网络安全防护

信息系统网络根据业务和应用可分为互联网接入区、网管维护区、服务器区。互联网接入区易遭受DDOS 攻击、病毒攻击、外部入侵等网络攻击，网管维护区与服务器区则易遭受漏洞威胁、内部DDOS、非法访问等影响。根据各信息系统分区的特点，采取以下针对性的安全防护，从而实现整体信息系统网络安全防护[3]。

1）互联网接入区

通过SSL VPN 技术与防火墙设备，实现互联网访问控制，阻塞非法访问与流量，有效隔绝来自外部的网络安全攻击。

配备互联网行为管理系统，对互联网业务流量进行深层次分析，实现对网络安全行为和内容的审计，实现上网行为管理。

2）网管维护区

采用IDS 入侵检测技术，配备网络入侵检测系统，识别可疑的网络攻击，发现潜在安全威胁，配合防火墙设备，降低网络安全风险。

配备抗DDOS 系统，有效抵御DDOS 网络攻击。

通过网络安全审计系统，统一收集、分析整体网络的运行信息与日志信息，实现对全网整体安全的集中化管理运维。

3）服务器区

采用透明串联的方式在核心交换机与服务器之间架设一体化安全网关，利用其防火墙功能实现访问控制与流量监控，利用防病毒功能切断病毒感染传播的路径，实现边界深度隔离防护。

采用WEB 应用安全网关，对WEB 服务器进行HTTP/HTTPS 流量分析与入侵检测，抵御针对Web 程序漏洞的攻击。

配备安全漏洞扫描系统，准确分析整体网络安全状态，发现潜在安全漏洞，生成综合分析报告，适时对安全漏洞进行修补并制定相应安全策略，实现对整体系统网络安全的状态监测与风险分析。

4 工控安全管理措施

为满足智能工厂网络安全管理需求，针对一体化网络安全防护方案制定了对应的工控安全管理措施，实现对全厂安全风险的分析把控，其主要包含以下几个方面：

4.1 安全管理制度

通过借鉴国际先进的风险管控理念，结合现有网络安全防护方案的网络区块划分的特点，对不同的生产装置、系统、业务制定切合的安全策略与管理制度，同时明确全厂的网络安全工作原则与目标，组织相关人员学习。对于裂解装置等高温高压、易燃易爆的危险生产装置，严格规范管理操作流程，编写作业指导书，定期组织培训与考核。

4.2 组织机构与职责

参照图3 所示的组织机构框图，设立网络安全管理机构，设立安全主管以及下属安全管理岗位，根据通讯网络划分的区域，分配对应安全负责人，定期对负责区域的通讯状况进行巡检反馈并对系统网络安全进行风险分析。关键岗位配备多人协同管理，将安全防护职责具体落实到个人，避免产生管理空白。

4.3 安全建设管理

根据不同工艺与业务需求，针对性调整安全防护措施，做到与工业控制系统同步策划、同步实施、同步验收、同步投运，实现防护方案与工控系统的高度契合。编写相关设备系统操作说明手册，并对相关操作人员、工程人员、管理人员进行定期培训审查，提高相关责任人的安全防范意识。严格执行安全管理政策，关键岗位进行背景调研，不使用未经审核的第三方设备。有毒有害、易燃易爆等危险装置的控制系统，采用阿基里斯通讯2 级认证等级的中控ECS-700 系统，保证通讯健壮性与可靠性[4]。

4.4 运维管理

1）设立区域负责人

通过设立各区域网络运维负责人，定期对工控系统软件、应用软件、数据备份、软件备份等进行维护管理，定期巡检各个系统设备的安全审计日志，针对性调整安全策略。

2）制定运维管理规范

根据工业和信息化部印发的《工业控制系统信息安全防护指南》，结合煤制油生产试车实际情况，制订并升级了《电仪车间仪表机柜间管理办法》《电仪车间巡回检查管理办法》《烯烃二分公司生产装置联锁管理规定（试行）》等相关管理规定。依照规定严格规范生产管理流程，定期组织相关人员培训学习，降低违规操作带来的安全风险。严格规范移动存储设备的使用，严禁未经允许的设备接入系统造成病毒感染[5]。

3）完善权限管理制度

设立完善账户管理制度，依据最小权限分配原则对区域负责人、操作员、观察员等账户进行权限细分，确保账户与人员匹配对应；根据职责划分具体权限，定期对权限账户进行审核比对；针对高危装置设施，严格执行权限审核与背景调研，以书面方式详细记录具体操作事由与操作过程，严禁未经审批的操作修改。

4.5 应急与事件管理

从组织架构、基本原则与总体思路出发，制定了《DCS系统掉电应急预案》在内的多套应急预案，明确了各部门在技术、管理、业务、应急物资等方面的职责和义务；定期对所有职工进行安全培训，组织应急预案演练，争取做到有备无患。

紧急情况发生时，迅速启用应急预案，根据安全审计记录与具体情况，迅速定位分析故障原因与故障设备，立即隔离已感染的设备，阻止影响进一步扩大。之后采取冗余系统或一键恢复的方式，快速控制并恢复生产，同时通过对故障原因分析，总结经验教训，提出整改意见，进行针对性改进。

5 结束语

本文从多个角度对煤化工行业的安全防护需求进行了分析，结合现场实际生产管理时的特点，简要阐述了一种一体化的网络安全防护解决方案。该解决方案优点在于将复杂多样的工控系统网络安全问题简化，由点到面逐步实现整体网络安全，结合成熟完善的管理措施，能够有效应对实际生产过程中的网络安全问题。在此基础上，如何在嵌入式等性能较弱的平台下，应用更高效的网络安全防护技术，以及可信技术、区块链技术等新兴技术的合理运用等问题，仍是今后需着重研究的方向。