靳亚铭

(中国石化工程建设有限公司，北京 100101)

石油化工企业是国家重要的能源支柱产业，涵盖了采油、石油炼制、石化产品等上下游各个行业，具有高温、高压、易燃、易爆等特点。石化企业的这些特殊性决定了其安全生产的重要性，一旦生产系统出现误停车或故障，则可能引起人的生命安全、社会公共财产损失和环境污染等严重后果。

随着数字化和智能化在石油化工行业的发展，石油和化工企业普遍采用了高度自动化的控制系统和高度信息化的运营管理手段，大幅提升了企业的生产和运营效率。同时，企业的生产活动也不再局限于单一地点和区域，而是向跨区域、跨城市甚至跨国进行合作生产的发展趋势，基于以太网为基础的新的过程控制系统也应运而生。工业的快速发展使得石化企业的控制系统向智能化、数字化、互联网化和分布化的方向发展，但随之也带来了新的安全问题，也为病毒、木马等恶意攻击者增加了新的攻击渠道和路径，使得石化企业的过程控制系统面临着越来越多的安全威胁和安全挑战。

Stuxnet蠕虫(俗称“震网”，“双子”)2010年6月被VirusBlokAda首次发现，据估计它的传播是从2009年6月开始甚至更早的时间。“震网”利用微软操作系统中至少4个漏洞，WinCC系统中的2个漏洞，通过一整套精心设计的入侵和传播流程，突破工业局域网的物理限制，对化工、发电和电力传输企业所使用的核心生产控制电脑软件实施破坏。2016年12月17日乌克兰当地时间23点左右，乌克兰的国家电力部门遭遇了一次黑客袭击，导致了20 min的停电，受影响的区域还包括乌克兰首都基辅北部及周边地区[2]。随着“震网”病毒、Conficker病毒、Flame病毒及黑客入侵等网络安全事件的发生，对石化企业的过程控制系统的网络安全也敲响了警钟，企业的系统信息安全形势也日益严峻起来，需要引起石化企业的广泛关注和重视。

1 石化企业控制系统网络安全的现状分析

石化企业过程控制系统的控制设备，主要包括：分散控制系统(DCS)、数据采集与监视控制系统(SCADA)、紧急停车系统(ESD)、可燃气体和有毒气体检测报警系统(GDS)、压缩机保护系统(CCS)、可编程逻辑控制器(PLC)、先进控制(APC)以及远程终端单元(RTU)等。这些控制设备大多采用的是国外、国内的著名品牌，都已经暴露出大量的危险隐患和漏洞，一方面在网络连接状态下有生产数据泄露和被盗取的风险，另一方面设备缺少安全的防御和防护能力，同时现场管理也有些问题，不法分子可以充分利用这些漏洞和缺陷对现场设备进行篡改和恶意操作。一旦这些漏洞和缺陷被利用，造成的后果和损失则不堪设想。

石化企业的操作员站多采用Windows操作系统，一般系统上线后，对操作员站或服务器只可能在停工检修期间打补丁，可能存在严重的系统漏洞和安全隐患，为后续的操作埋下很多风险和威胁。同时防病毒软件的升级也不及时，导致不能及时更新防恶意代码库等。石化企业过程控制系统包含很多应用软件，如控制系统的监控或组态软件、OPC软件、APC软件、MES软件、OTS软件、MES软件、MMS软件、NMS软件、ALMS软件以及数据管理软件等。由于这些应用软件是不同供货商的产品，很难制订全厂统一的防护措施和规则，也有可能存在较大的网络安全隐患和风险。

石化企业中大量采用OPC通信协议和Modbus TCP协议等。而OPC Classic协议(OPCDA，OPC HDA和OPC A&E)都是基于微软的COM/DCOM技术，DCOM使用随机端口通信，因此OPC采用不固定的端口通信，在网络安全问题被广泛认识之前就设计出来，非常容易受到攻击，且OPC通信采用不固定的端口号。同时DCOM配置要求OPC服务器和客户端都使用相同用户名和口令，OPC客户端具有对服务端的数据进行读取、修改等全部访问权限，不满足最小授权原则，造成采集数据安全性无法得到保障。Modbus TCP本身没有认证机制、没有权限区分，数据传输也是明文的，在特定的情形下还存在拒绝服务攻击漏洞。最危险的是大多数控制系统的协议是为自己的控制器设计的，通过修改功能码，可以向控制器发送各种控制指令，也包括恶意代码[3]。

综上所述，现阶段石化行业的控制网络主要有如下特点：

1)未对进出机柜间的来访人员做审批和登记。

2)未对核心设备所在区域进行视频监控或专人值守等。

3)边界划分可能不明确，系统内部缺乏安全的检测手段。

4)安全区域内未进行隔离，可以互相通信。

5)无流量及网络异常检测审计手段，无法及时发现系统内的异常攻击行为。

6)无有效的通信数据包过滤手段，导致控制系统的正常通信有时不够稳定。

7)工控机的杀毒软件严重过期，工控机可能都是带毒运行，有时候杀毒软件将生产程序识别为病毒进行隔离。

8)U盘或网络文件可能作为引入病毒攻击的最直接途径等。

在上述背景下，GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》应运而生，与其相对应的安全设计技术要求、测评要求也相继施行。以上标准都统称为“等级保护2.0标准”或“等保2.0标准”，它可以提高石化企业的过程控制系统的网络安全保护等级，通过将安全通用要求与扩展要求应用到过程控制系统中，可以有效地保障石化企业过程控制系统网络的安全性、可用性和完整性。

2 网络安全等级保护2.0简介

根据2017年6月1日施行的《中华人民共和国网络安全法》第二十一条规定，国家的各行各业应按要求施行网络安全等级保护制度。“等级保护2.0”是对“等级保护1.0”的升级和调整，对网络安全如何定级、具体的要求、如何实施、如何测评及过程等标准和要求进行修订和完善，以满足目前形势下各行各业的网络安全等级保护工作的需要。其中，《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护安全设计要求》于2019年5月10日发布，并于2019年12月1日开始实施。相较于“等级保护1.0”“等级保护2.0”有以下主要变化：

1)名称变化。原名称《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》，与《网络安全法》保持一致。

2)保护对象发生变化。“等级保护1.0”的保护对象只是针对信息系统，“等级保护2.0”的保护范围更为广泛，包含：基础信息网络、云计算、移动互联网、物联网、工业控制系统等。石化企业的控制系统就包含在工业控制系统里。

3)要求发生变化。“等级保护2.0”基本要求的内容由安全要求变化为安全通用要求与安全扩展要求，含云计算、移动互联、物联网、工业控制。针对移动互联网、云计算或大数据平台、物联网和工业控制等新领域提出具体的安全保护需求和安全扩展要求，形成新的网络安全等级保护基本要求标准。

4)内容变化。“从等级保护1.0”的定级、备案、建设整改、等级测评和监督检查五个规定动作，变更为五个规定动作加新的安全要求，包括：风险评估、安全监测、通报预警和态势感知等。

“等级保护1.0”和“等级保护2.0”主要项目比较见表1所列。

表1 “等级保护1.0”和“等级保护2.0”主要项目比较

“等级保护2.0”可以归纳为三化(实战化、体系化、常态化)、六防(动态防御、主动防御、纵深防御、精准防御、整体防御、联防联控)和两个全覆盖(覆盖全社会、覆盖所有保护对象)。“等级保护2.0”将进一步提升整个社会和国家关键信息基础设施的安全。

本文以大型石化企业的过程控制系统为研究对象，通过研究和分析“等级保护2.0”标准安全设计要求，提出“等级保护2.0”标准下过程控制系统的分层架构，对相关网络安全产品做了一些简要介绍，希望可以为石化领域的过程控制系统网络安全和防护提供一些参考，并可以指导相关的设计工作。

3 “等级保护2.0”要求下的方案

3.1 “等级保护2.0”的控制点及对应的合规产品介绍

基于“等级保护2.0”的要求，石化企业“等级保护2.0”的控制点及对应产品见表2所列。由于各家产品的功能都不尽相同、等保定级单位不同、业主要求也不同等原因，最后设计出的方案可能也有所不同，但都必须满足“等保2.0”的防护要求及评分要求。同时这些网络安全设备必须经过专业机构的安全监测后才可以购买使用。

表2 石化企业“等级保护2.0”的控制点及对应产品

3.2 石化企业的“等级保护2.0”解决方案介绍

基于“等级保护2.0”的要求，过程控制网依次可分为过程控制层、操作监控层、数据服务层(如需要)和生产运行管理层，并符合横向分区、纵向分层的原则，石化企业网络安全“等级保护2.0”下的解决方案如图1所示。

图1 石化企业网络安全“等级保护2.0”下的解决方案示意

横向分区应根据工艺操作的需要进行网络分区，分区之间应尽量减少互相操作和数据的传输，如果需要应采取硬接线的方式实现。各分区应可以独立运行，数据应独立存储。不同网络分区间的交换机不得共用。

纵向分层是指网络各层级应设置网络交换机或防火墙(如需要)进行交换连接。应通过OPC服务器向生产运行管理层传输数据，并且不同应用的OPC服务器应独立设置，禁止OPC服务器共用。

应禁止使用无线网络，并尽量减少使用无线设备接入工业控制网，如果没法避免应做好无线网络防护措施。

3.3 工业防火墙

工业防火墙是一个软件和硬件设备组合而成，在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。在保留传统防火墙的基本功能基础上，通过对引入工业控制协议的深度解析，建立可信白名单防御机制，阻断一切非法访问，主要功能如下：

1)攻击识别警告拦截。利用工控漏洞库，有效识别并拦截工业生产网中存在的针对已知漏洞的攻击行为，并提供详细的安全事件展示，便于追踪和溯源，确保工业生产稳定不受影响。

2)多种工作模式。工业防火墙支持学习模式、测试模式、防护模式，能更好地对现网的实际情况进行策略微调、验证，确保所学习到的规则真实有效。

3)网络访问控制。利用丰富且灵活的传统防火墙功能来加强工控生产网络内的身份认证、授权访问控制，避免了非法访问、控制工控系统内部资源的行为。

4)未知威胁预警阻断。采用工业协议深度智能机器学习算法，对网络行为进行学习汇总，生成一套可信任的生产操作行为集，可以有效发现并及时预警阻断现网中发生的误操作行为、非法授权操作、恶意指令攻击以及恶意篡改数据等危险行为。

5)日志记录和报表功能等。

3.4 入侵检测系统

入侵检测系统是一种对网络传输进行及时的监视，在发现可疑传输时发出报警或者采取主动反应措施的网络安全设备，与工业防火墙相比是一种积极主动的安全防护技术，通过该系统，一旦发现异常情况就发出警告。根据信息来源可分为基于主机的入侵检测和基于网络的入侵检测；根据检测方法可分为异常入侵检测和误用入侵检测。该系统是一个监听设备，没有跨接在任何网络链路上，无需网络也可以工作。主要功能如下：

1)识别各种黑客入侵的方法和手段，防范外部黑客的入侵。

2)检测内部人员的误操作、资源滥用和恶意行为。

3)多层次和灵活的安全审计，帮助用户追踪内网、外网行为。

4)实时的报警和响应，帮助用户及时发现并解决安全问题。

5)协助管理员加强网络安全管理等。

3.5 工控主机安全防护

工控主机安全防护以可信计算技术为核心技术，以GB/T 25070—2019《信息安全技术 网络安全等级保护设计技术要求》为依据，构建了自主防御体系，打造可信实用环境。针对操作员站、工程师站、数据服务器等主机进行可执行程序管理，防止被病毒木马等恶意程序感染，同时确保在遭受到网络攻击的情况下，不影响正常控制程序的运行。主要功能如下：

1)有效阻止异常程序运行。用白名单防护机制，识别、阻止任何白名单外的程序运行，对通过网络、U盘等引入系统的病毒、木马、恶意程序进行阻止运行和阻止传播、分析识别，最大限度地保障操作员站、工程师站和服务器等主机安全稳定运行。

2)业务运行零影响。采用白名单防护机制阻止恶意代码执行，具备良好的系统兼容性，支持各种操作系统，对主机资源占用少，对工控系统的监控软件和组态软件等正常使用零影响。

3)加强访问控制。利用一定的技术，定义主体(用户、进程)和客体(文件、数据)安全级别，对于不同安全级别的主客体制订读写访问控制策略，保证所有数据只能按照安全级别从低到高的方向流动，使用完整性级别量化描述完整性，完整性级别高的实体对完整性级别低的实体具有完全的支配等。

4)安全基线管理功能。针对工作站、服务器等设备进行基线配置管理，包括：账户策略、审核策略、安全选项、IP安全、进程审计、系统日志等。通过开启密码复杂度、强制密码历史、关闭Guest账户、开启系统和账户审核、关闭默认共享、进程审计等措施，最大限度保护主机的安全。

5)主机外设管理功能。只有经过认证的特定USB设备才可以在特定的主机上运行，禁止USB存储设备自动运行，防止恶意程序利用漏洞自动运行。可禁止光驱、无线网卡的使用，防止通过磁盘、无线网络泄露敏感数据和感染病毒。

3.6 安全审计系统

安全审计系统是为了保障业务系统和网络信息数据不受来自于用户的破坏、泄露、窃取，而运用各种技术手段实时监控网络环境中的网络行为、通信内容，以便集中收集、分析、报警、处理等，主要功能如下：

1)“白名单”安全检测。利用人工智能算法与可信计算理论，自学习建立可信工控事物行为为基线，自动学习当前工控协议通信行为，形成可信工控协议的“白名单”。

2)深度解析及检测能力。具备先进的国产化硬件架构，采用专门适用于网络处理的多核CPU，为高性能的工控协议深度解析与检测提供坚实的基础保障。

3)“智能黑名单”检测。采用智能黑名单技术结合离散型马尔科夫链算法自动检测并拦截工控流量中的恶意攻击行为。

4)全面的攻击和操作违规审计。全面记录工业网络的重要操作行为、网络会话、异常告警原始报文等，便于事后调查取证。

5)部署模式灵活。产品部署可集中管理与自管理之间灵活切换，适用于石油化工企业的过程控制系统网络环境。

3.7 日志分析系统

日志分析系统是实现离散日志系统的统一采集、处理、检索、模式识别以及可视化分析，可应用于统一日志管理、基于日志的运维监控和分析、调用链路监控与追踪、安全审计及合规等。主要功能如下：

1)日志统一管理。实现离散日志的一站式采集、处理、存储、归档及查询等。

2)日志全链路追踪。从源头到底层日志的全链路追踪，快速定位异常并解决问题。

3)日志模式异常识别。快速识别隐藏于海量日志中的异常模式日志，缩短问题发现时间。

4)指标异常检测。对指标数据进行智能异常检测，发现业务异常，提升告警准确率。

5)日志审计管理。对日志分类存储和安全事件监测管理，满足企业合规性需求。

3.8 安全管理平台

安全管理平台是对网络安全设备统一监控和管理的设备，是一套集硬件、软件为一体，统一配置、管理、监测网络安全的硬件平台产品。该平台能够监测终端所在网络的通信流量与安全事件，分析安全威胁，提供包括行为审计、事件追踪、威胁分析、日志管理、设备管理、安全性分区等多项功能。主要有如下特点：

1)全面的安全日志审计。全面记录工业网络中的主机安全日志、安全防护日志、流量日志、异常攻击监测日志、攻击发生时的原始报文信息等，便于安全事件分析和调查取证。

2)高速率加密传输通道。采用加密方式进行通信，防止数据包遭到恶意截取或篡改，保障数据的有效性和安全性。

3)丰富的日志报表展示。友好的用户操作界面。

4)支持第三方扩展功能等。

3.9 态势感知系统

态势感知系统是基于网络流量可视化技术、大数据分析技术、深度报文检测技术、异常流量检测清洗和威胁发现等网络安全技术，并结合一定的硬件平台，可以接入全网流量并做深度分析挖掘，感知网络、安全、资产、应用态势，并有可视化的呈现。可追溯，可感知，可预测整个网络的运行状况，实现精细化、智能化运维管理。主要功能如下：

1)全面和强大的感知能力。从网络(网络流量、网络行为、网络内容)、安全、资产、应用等层面全面感知网络态势，实现精细化、智能化运维管理。

2)卓越的识别和还原能力。可识别大部分常用的应用及协议，还原网页、邮件、图片和视频等内容。

3)强大的机器学习能力。利用基因检测情报自动升级病毒特征库，利用未知威胁检测情报自动升级基因图谱库。各搜索引擎具备AI功能，可以互相学习、互相补充，自我壮大，巩固自身的防御能力。

4 结束语

当前，石化企业的过程控制系统依旧面临着或大或小的安全风险，如果将“等级保护2.0”的安全理念融入到系统建设和整改中，对过程控制系统实行全生命周期管理，并保证网络安全与过程控制系统同时设计、同时交付、同时使用，就可以有效地降低过程控制系统运行后的网络安全漏洞和风险，是设计人员和企业管理人员需要持续关注的重点。同时，市场上有很多类似的网络安全产品，都需要根据“等级保护2.0”的要求去认真核实具体产品的功能，并与等级保护定级单位密切合作，设计出符合实际需要的过程控制系统。

本文通过结合“等级保护2.0”标准的要求，讨论了一种基于“等级保护2.0”标准的石化企业过程控制系统网络安全防护体系，完善网络安全技术防护与管理防护，结合先进技术的运用以及管理体系的不断完善，可以有效应对各种安全风险问题，促使系统安全得到进一步提升和增强，为石化企业过程控制系统的网络安全防护提供理论参考依据。

在“等级保护2.0”的时代，石化企业的过程控制系统的网络安全防护和保护都应回归到安全的本质。不仅需要从控制系统的软件、硬件、网络等角度进行，还应从加强企业自身的安全管理理念、安全管理制度，提升安全管理人员的素质等方面入手，定期开展控制系统网络安全评估，制定针对性的安全防护策略，才能够防护得住有组织的专业团队的网络攻击和病毒入侵，才能更好地保护国家的重要能源设施的安全和稳定。