现代煤化工智能化建设过程中的网络信息安全问题浅析
2021-03-07高钰
◆高钰
现代煤化工智能化建设过程中的网络信息安全问题浅析
◆高钰
(蒲城清洁能源化工有限责任公司 陕西 715506)
两化融合的快速发展和工业4.0的提出,推动着煤化工行业逐步走向智能化、数字化建设的道路,随之带来的是网络信息安全问题日益凸显。近几年,煤化工领域存在的网络信息漏洞和安全隐患不断暴露,网络信息安全事故数目呈上升态势。本文就目前煤化工行业的特点,对其在智能化建设过程中所面临的网络信息安全风险进行细致的剖析,并提出一些解决方案。
现代煤化工;智能化;工业控制系统;网络信息安全
1 前言
随着工业4.0的不断推进,现代煤化工行业也在逐步进行智能化建设的尝试和探索,行业内普遍使用的工业控制系统和“大数据”、“云端”、“MES”等智能化系统将产生大量信息交互需求,这使得以往相对封闭的工控系统会和公用网络直接建立连接,系统遭受外界攻击的可能性大大提高。工业控制系统的网络信息安全问题直接威胁到煤化工行业的安全、稳定、经济、优质的运行,也将严重制约企业智能化建设的进程。因此,如何提高工业控制系统在各个阶段的安全,确保生产系统稳定可靠,防止来自内部或者外部的攻击,是煤化工企业在智能化建设过程中要考虑的重点。
2 工业领域及煤化工行业内的网络信息安全事故案例
2.1 工业领域的网络信息安全事故案例
2003年1月,美国俄亥俄州Davis-Besse核电站和其他电力设备受到SQLSlammer蠕虫病毒攻击,网络数据传输量剧增,导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机系统瘫痪;
2010年10月,肆虐伊朗的“震网病毒”造成伊朗布什尔核电站推迟发电,该病毒是世界上首个专门针对工业控制系统编写的破坏性病毒,在全世界工业领域引起了多次的感染事故并造成了持续数年的恐慌;
2012年5月开始,“火焰病毒”在中东地区的军事和工业领域大范围传播;
2018年8月3日,全球晶圆代工龙头企业台积电遭受“勒索病毒”攻击,导致三条生产线全部停摆,企业在三天内亏损约17.7亿元。
2.2 煤化工行业内的网络信息安全事故案例
2010年5月,山东某化工厂某装置控制系统感染Conficker病毒,造成控制系统服务器与控制器通讯中断,操作人员无法正常监控;
2011年3月,大庆某炼油厂某装置控制系统感染Conficker病毒,造成控制系统服务器与控制器通讯中断,操作人员无法正常监控;
2019年3月,包头某化工厂部分装置DCS系统感染挖矿类病毒,造成部分装置停车。
3 目前存在的网络信息安全问题
3.1 煤化工行业人员对网络信息安全的重要性认识不足
主要表现在四点,一是大部分煤化工企业缺乏完善的网络信息安全管理组织体系,相关的制度建立、落实不到位。二是企业大都没有编制翔实可行的网络信息安全事故预案,也缺少相关的应急演练;三是网络信息安全管理人员长期得不到培训和学习的机会,信息技术知识储备量有限、业务能力处在较低的一个水平,所以只能依靠外部服务公司。四是煤化工从业人员大都缺乏网络信息安全防范意识,认为没有人会攻击工业控制系统,或者是黑客不懂工控协议,计算机病毒攻击只是互联网行业的事情,离我们煤化工行业很遥远。
3.2 工业控制系统因为自身特点存在着诸多漏洞
在煤化工行业,工业控制系统一直是以稳定运行作为维护的要点,因此存在诸多的漏洞。如Windows操作系统更新不及时甚至完全不更新;工业控制网络常用的OPC协议、Modbus协议简单,易遭受攻击;系统安全策略配置不完善,边界访问控制缺失、安全防护设备缺失;工控计算机普遍开启远程访问;工控设备弱口令及使用默认密码等等。与互联网行业、金融行业相比,煤化工领域在网络信息安全程度上可以说是弱不禁风,上面的每一个问题都可能让黑客轻松的攻入系统。
3.3 针对工业控制系统的病毒越来越多,病毒破坏性极强
例如,近年来造成巨大轰动的“勒索病毒”,目前发现它的攻击目的主要是对系统文件进行加密,如果煤化工行业工业控制系统感染此类病毒,且没有有效的手段在短时间之内恢复系统,最坏的结果可能是系统所有的控制策略、安全联锁数据被锁死,工艺装置在瞬间倒退回调试初期,历年来的优化、技改会化为乌有,想要恢复可能又要经过漫长的时间,这损失对于煤化工企业来说基本是不可接受的。另外,虽然目前已曝光的案例中,“勒索病毒”对工业控制系统的威胁还暂时停留在加密文件的勒索阶段,但从专家对它的攻击模式分析来看,“勒索病毒”完全具备操控DCS、PLC等系统来控制现场阀门、设备的能力,或者修改操作站画面的监控参数“欺骗”工艺操作人员,这对煤化工装置的安全生产来说是重大的隐患。
3.4 煤化工行业的网络信息安全设计规范缺失,企业想改进也只能摸石头过河
以往的工业控制系统在设计之初并未考虑网络信息安全问题。2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》指导工业企业开展工控安全防护工作。但目前国内的各大煤化工设计院还没建立起完善的网络信息安全设计规范。随着工业智能化逐步发展,原本脆弱的工业控制系统要同时面临来自内部和外部的更为复杂的安全风险。而企业面临的问题是即便想改进,也没有完善的设计依据和成功的应用案例来借鉴,只能按照网络安全服务公司的建议逐步进行尝试,这无异于摸着石头过河。
4 工业控制系统网络信息安全防护措施
4.1 重新规划工业控制系统网络结构
常规的工业控制系统网络拓扑结构使得系统内某一个节点感染病毒后容易快速扩散至其他区域,因此,合理的规划网络结构至关重要。按照工艺装置、设备的分布及其重要性、关联性重新划分子网络区域,在确保工业控制系统正常运行的前提下,实现各个区域、系统之间的相对独立。在各个子网区域之间架设工业级边界网关,并采用防火墙等技术实现网络隔离,若某个子区域遭受了病毒攻击后,有效的区域隔离措施可以阻止病毒的进一步扩散。
4.2 针对工业控制系统特点采取有针对性的防护措施
USB接口是目前工业控制系统从内部感染计算机病毒的最主要途径。增加专业的USB接口管理系统及防病毒软件,USB接口管理系统会将系统网络上所有工业计算机的USB接口管理起来,当U盘等移动存储设备在接入系统前需要经过管理软件的扫描和认证,确认其中没有病毒,再给予准入许可,从而保证系统不会被USB病毒攻击感染。未经认证或者无准入许可的U盘将无法接入系统。
4.3 建立系统的白名单管理
系统白名单可以用来阻止未经认证的程序运行,既可以在某种程度上保护计算机和网络不受威胁,也可以对系统运行的必要应用程序加以管理。对于正在运行的应用、工具和进程来说,白名单技术可以提供对系统的全面可视性。在系统遭受攻击时,也可以提供程序警报,同时还有利于保持系统以最佳性能运行,提高工作效率。
4.4 建立网络安全审计机制,构建工业级网络信息安全报警管理平台
对于系统内部操作权限管理、工业控制系统网络与智能化系统之间的数据交换进行严格的审计工作,在防止病毒进入系统内部同时,还可以避免企业内部的重要工艺流程、参数等关键信息被窃取。同时要建立工业级网络信息安全报警管理平台,对于审计出的异常情况和工业防火墙、网关的通讯信道中的攻击信息进行汇总,详细显示攻击来源、攻击目标及其使用的通讯协议,并划分报警等级,根据不同的报警等级来制定工作的优先级,为工业网络故障的及时排查、分析提供可靠依据。
4.5 建立异地灾备系统
异地灾备系统,顾名思义就是在不同的地域,构建一套或者多套相同的系统或者数据库,起到灾难后立刻接管或是快速恢复的作用。当企业工业控制系统遭受致命性破坏时,通过异地灾备系统可以在短时间内恢复系统功能,避免企业财产损失进一步扩大。
5 结论
在当今激烈的市场竞争环境下, 智能化建设会给煤化工行业带来新的生机,工业控制系统的网络信息安全是顺利开展安全生产的前提。本文只是针对目前煤化工行业现状给出了工业网络信息安全的一些安全解决意见。随着企业智能化的不断发展,企业使用的信息化设备越来越多,新的网络安全问题也会不断出现,这给煤化工的智能化发展也带来了严峻的考验。面对复杂的网络环境,只有采取科学、合理的安全管控措施,不断完善企业网络信息安全防护体系,实现工业控制系统的安全性、高效性和稳定性,才能为企业的安全生产创造有利的环境。
[1]中国科学院沈阳自动化研究所.工业控制系统信息安全防护技术[R].2014.
[2]李玉敏. 工业控制网络信息安全的防护措施与应用[J].中国仪器仪表,2012.
[3]董栋,王宁.网络信息安全存在的问题及对策研究[J].网络安全技术及应用,2015.
[4]权京涛,郎伟.工业控制系统信息安全浅析[J].计算机与网络,2018.
[5]刘丽娜.工业网络信息安全现状分析及安全防护系统研究[J].网络安全技术与应用,2017.
