李桢

(中国石油化工股份有限公司 茂名分公司,广东 茂名 525000)

近年来,全球工业控制系统(ICS)网络安全事件频发。2010年“震网事件”造成伊朗核燃料工厂1 000多台离心机物理损坏,导致伊朗核电站、核设施工作瘫痪;2015年12月“黑客”通过网络攻击进入乌克兰几个地区电网控制系统,直接控停了7个110 kV变电站和23个35 kV变电站,导致大规模停电;2017年5月12日“勒索”病毒袭击全球上百个国家,许多ICS遭到攻击,中石油2万座加油站断网;中石化某大型炼化企业炼油区2019年7套生产装置47台操作节点受到“挖矿”病毒感染,大量操作员站死机重启。

随着计算机和网络技术的不断发展,特别是自动化与信息化深度融合以及物联网的快速发展,ICS越来越多地采用以信息技术(IT)为基础的通用协议、通用硬件和通用软件,以各种方式与工厂信息管理系统等公共网络连接,病毒、木马、黑客攻击等IT领域的威胁正在向ICS扩散,网络安全面临的威胁不断增加。

炼化企业生产过程具有高温、高压、易燃、易爆、易中毒、易腐蚀、生产连续性较强的特点,一旦出现安全问题,可能产生现场火灾、爆炸,甚至造成设备的损坏、人员的伤亡。ICS的可靠和稳定运行是确保工业生产安全的基础,ICS网络安全需要引起高度关注。应从标准规范、技术防护和安全管理方面着手,建立ICS网络安全体系,加快研究和实施ICS网络安全行之有效的防范措施和解决方案,切实保障生产安全。

1 工业控制系统网络安全的现状

ICS包括多种工业生产中使用的控制系统,有： 数据采集与监控系统(SCADA)、分散控制系统(DCS)和其他较小的控制系统,如可编程序控制器(PLC)[1]。ICS表现为一个多层次的体系架构,从下至上一般分为过程层、基础控制层、监视控制层、操作管理层、企业系统层[2]。随着工业化、自动化、信息化的不断发展,生产、资源集中操作和管理,IT与操作技术(OT)深度融合,工业物联网(IIOT)与ICS连接等给ICS带来了新的安全问题;加上ICS自身漏洞多、ICS厂商和软硬件版本多、网络和设备安全防护参差不齐、安全管理严重不足等,使ICS面临的网络安全风险错综复杂、多种多样。主要安全威胁包括： 蠕虫、特洛伊木马、勒索软件、间谍软件、高级可持续威胁(APT)、“后门”、拒绝服务(DoS)、“0-day”漏洞等[3]。

1.1 系统本身安全性不高

ICS早期采用专用的硬件、软件和通信协议,近几年,工业自动化系统广泛采用微软Windows操作系统和TCP/IP标准网络协议,工业实时以太网已在工业自动化领域广泛应用,IT技术快速进入工业自动化系统的各个层面。ICS设计之初,由于资源受限、非面向互联网等原因,主要考虑系统的实时性、可靠性、稳定性,并没有考虑安全性。控制设备、编程软件、组态软件以及工业协议等普遍缺乏身份认证、授权、加密等安全基因,系统的应用平台、通用通信协议以及人机接口(HMI)软件等都存在各种漏洞或缺陷,使得系统自身的安全保护能力严重不足,容易感染网络病毒、木马等恶意代码,甚至被利用和攻击。尽管已有工控产品的生产商开始进行加固升级,研发新一代的安全工控产品,但是由于市场、技术、使用环境等方面的制约,工控产品生产商普遍缺乏主动进行安全加固的动力。

此外,CPU芯片作为硬件基础平台的核心,技术掌握在国外厂商手中,“后门”漏洞的隐患始终存在,国内研究和生产的CPU芯片产品能否在中国工控领域广泛应用,仍待进一步研究和验证[4]。

1.2 标准体系尚需完善

针对ICS网络安全,国际上最具影响力的标准包括IEC 62443,NIST SP800-82等。国内也相继出台了GB/T 32919—2016《信息安全技术 工业控制系统安全控制应用指南》[5]、GB/T 33009—2016《工业自动化和控制系统网络安全 集散控制系统(DCS)》[6]、GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》、GB/T 37980—2019《信息安全技术 工业控制系统安全检查指南》[7]、GB/T 40813—2021《信息安全技术 工业控制系统 安全防护技术要求和测试评价方法》[8]等相关标准,给出了ICS网络安全的防护要求、管理要求、检查指南等。但由于不同的行业领域、不同的应用在ICS安全设计、测试和验收等环节存在一定的差异,对于炼化企业来说,现有的ICS网络安全标准体系的指导性和可操作性还存在明显的不足,快速落地实施尚存在诸多困难。

1.3 安全防护存在隐患

ICS的操作站、工程师站以及服务器等操作节点使用的操作系统,通常以Windows为主。不少在役操作系统版本老旧,安全漏洞较多且修补困难;考虑到系统运行成本、系统稳定性等因素,ICS通常处于长时间不间断运行状态,无法高频次开展补丁安装、漏洞修补、系统升级等工作,一些操作站节点未安装防病毒软件,或者即使安装了防病毒软件也没及时更新恶意代码库,Windows平台固有的脆弱性容易被病毒、黑客利用。

基于节约成本、提高工作效率的目的,多数工厂使用1套时钟同步服务器、防病毒服务器等为多套ICS提供服务。服务器与ICS之间、各ICS之间缺乏网络边界安全防护措施,可能导致1套ICS感染的恶意代码通过网络边界向其他ICS传播。新一代的ICS应用协议大都建立在TCP/IP协议基础上,不同的系统制造商,使用的基于TCP/IP的通信协议也是不一样的,例如Honeywell PKS的FTE,横河CS3000的Vnet等,传统的IT防火墙无法实现工业通信协议的过滤,无法在监视控制层与基础控制层之间或操作节点之间实现逻辑隔离。

1.4 安全管理不到位

许多企业对ICS网络安全重视不够,人员工控安全责任意识、风险意识不足,企业工控安全管理制度不健全,对现有工控安全管理制度落实不到位,常出现随意和违规操作等问题,给ICS的可靠运行埋下了安全隐患。典型的现象有U盘、移动硬盘等移动存储介质随意在ICS中使用;使用简单、默认的用户名和密码;操作系统和应用软件不做必要的补丁升级和漏洞修复;ICS中很少或没有安全审计;不对灾难恢复进行定期应急演练;操作节点未安装防恶意代码软件或特征码库不及时更新;培训不到位导致现场人员ICS安全风险识别、问题处置技能不足等。

2 工业控制系统网络安全的对策

2.1 建立一个有效的安全管理体系

ICS网络安全管理的核心是网络安全管理体系的建立、维护和改进过程。应结合企业实际情况,依据GB/T 22080—2016《信息技术 安全技术 信息安全管理体系要求》[9]和GB/T 36323—2018《信息安全技术 工业控制系统安全管理基本要求》[10]建立ICS网络安全管理体系,从顶层承诺、规划评估、资源支持、策略实施、绩效评价、持续改进等方面采用“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)模型维护并不断完善ICS网络安全管理体系,从而实现对ICS网络安全的风险管控[11]。应用于ICS网络安全管理体系过程的PDCA模型如图1所示,主要包括以下几个方面内容：

图1 应用于ICS网络安全管理体系过程的PDCA模型示意

1)安全规划与团队建设。企业应建立与业务要求、相关法律法规相适宜的ICS网络安全方针和目标,对ICS安全管理活动中的各类管理内容建立安全管理制度,对各层管理人员或操作人员执行的日常管理操作建立操作规程;各级领导践行“有感领导”,引领、指导、支持ICS网络安全管理体系的运行、持续改进。

构建包含物理安全、网络安全、工业控制等领域人员在内的安全管理团队,明确各岗位的安全职责,对ICS岗位人员、访问系统人员进行背景审查,严格处罚违规行为;全体有关人员都应受到相适应的意识、方针策略、制度、规程的定期培训,定期对ICS管理员、工程师、操作维护人员等进行技术、安全技能培训和考核。

2)ICS建设安全管理。选择ICS规划、设计、建设、运维、评估等服务商时,优先考虑具备工控安全防护经验的单位,以合同等方式明确服务商应承担的网络安全责任和义务;明确要求供应商对产品或系统进行安全配置,安全防护软硬件产品必须通过工控厂家的兼容性测试、验证;应通过出厂验收测试(FAT)验证供应商提供的产品、系统、配套的网络安全产品是否符合技术规范要求,通过现场验收测试(SAT)验证不同供应商提供的产品或系统的安装是否符合应用规范和安装指南。

3)变更管理。应制定并维护ICS的配置清单,配置变更前充分评估潜在的安全风险,制定相应的防范措施;ICS软件升级、系统打补丁、病毒库更新等应在ICS检修期间进行,变更前要确保原系统有冗余或/和备份,应扫描补丁、软件升级包是否携带病毒;系统的安全补丁除了经ICS产品供应商测试、认证外,还应由用户在现场实际应用设备上测试。

4)访问及使用控制。应采取移除ICS不需要的账户、账户默认口令在ICS投入前变更、对管理/配置用户强认证(如强口令)等管控措施;访问账户应基于角色来配置,确保个人和设备只拥有所需的最小权限,并及时中止离岗人员对ICS的访问权限。应禁止移动存储介质(设备)的接口,需要使用时才将其允许,使用完后立即禁止;需要使用外来存储介质(设备)时,存储介质(设备)必须经主管部门检测,确认无病毒方可在ICS上使用。

5)应急管理。应对工艺参数、配置文件、设备运行数据、生产数据等关键业务数据定期备份,备份介质至少2份并异地存放;应在工业控制网络部署网络安全监测设备,实时监测工控网络的异常行为,建立网络安全审计系统,及时发现网络安全事(故)件隐患;结合企业实际情况,制定工控安全事件应急处置预案,并通过定期演练发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。

2.2 ICS网络安全风险管控及方案部署

2.2.1 网络分隔

ICS通常在企业内部与各种业务系统、管理系统、控制系统等紧密连接与集成,应依据保持最小权限的原则,通过通信包过滤去除与其他系统之间的不需要的通信包,通过网络分段将网络划分成不同的安全区域,最小化ICS安全事故发生的可能性。典型的网络分隔方法如图2所示。ICS集成系统网络安全区域总体划分如下：

图2 典型的炼化企业工业控制系统网络分隔示意

1)工厂信息区。包括操作数据管理系统(ODS)、先进报警管理系统(AAS)等,用于采集、记录和管理全厂DCS和其他子系统的实时数据和报警数据等。

2)隔离区(DMZ)。是工厂信息区与ICS网络之间的数据缓冲区,企业系统网络需要访问ICS的数据服务器位于这个区域,其作用是使工厂信息网络与ICS网络之间不直接相互通信。

3)ICS区。包括ICS模型中的过程层、基础控制层、监视控制层、操作管理层。

4)单元区域。是根据工艺操作的需要、生产过程的功能等划分出的ICS区的子区或细分成的小单元。

2.2.2 风险管理的方法

炼化企业应依据GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》[12],结合企业自身的特点,建立ICS网络安全等级保护定级指南。依据GB/T 36466—2018《信息安全技术 工业控制系统风险评估实施指南》[13]组织评估ICS各安全区域风险,确定各安全区域的安全等级。依据GB/T 22239—2019的要求,按安全等级的高低选择缓解控制成本小于潜在风险的解决措施,将风险降低到可容忍的水平。

2.2.3 构建纵深防御的架构

没有任何一种防御措施可以独立防御所有的攻击向量、修补系统所有的安全漏洞。需要将多种防御措施分层部署,某一层的安全防御漏洞可被其他层的安全措施所弥补,即便是任何一种安全措施失效,这种冲击也是最小的,即构建一种整体的安全态势——纵深防御模型,如图3所示。模型包含设备、应用、计算机、网络、物理五个层次,每一层的安全加固使ICS得到全面保护[14]。

图3 纵深防御模型示意

2.3 主要的防御措施

2.3.1 物理安全

应在ICS机房内外及周边安装IP摄像机或电视监控系统(CCTV)等类型的监控摄像机,特别是机房的所有入口和出口以及整个机房的每个访问点。应综合使用运动检测设备、低光摄像头、云台变焦摄像头和标准固定摄像头,实现无死角、全天候监控。通过锁定进入机房的通道,严格控制对机房的访问,只允许授权人员通过刷卡或生物识别读取设备进入这些区域。同时,对外来人员出入机房进行登记,外来人员进机房作业、参观、指导、检查等应经ICS主管人员许可,有主管部门人员的陪同。

为防止引入未经授权的计算机、交换机、接入点或计算机外围设备(如U盘),应保护所有的物理端口,防止插入这些未经授权的设备。对未使用的交换机端口和备用NIC端口可使用RJ45端口锁进行端口封堵,对于未使用的USB口使用USB口安全锁封堵。

2.3.2 网络安全

网络安全方面有如下措施：

1)边界安全防护。基础控制层(L1)节点为整个自动化系统的核心部分,各家控制系统制造商产品L1层结构有所不同,若控制网络L1层基于TCP/IP协议或其他开放协议,L1与监视控制层(L2)之间的网络边界处应设置工控防火墙,安全仪表系统(SIS)、压缩机控制系统(CCS)等应通过RS-485,RS-422接口与Modbus协议,或通过硬接线与控制系统相连。对于L2层,为了避免局域网发生广播风暴造成较大影响,大型炼化企业输入、输出点数多(可达数万点)的情况下,应划分为若干独立的局域网。规模较小的多套生产装置或公用工程单元在同一个局域网内,可将该局域网进一步划分为若干虚拟局域网(VLAN),每套生产装置或公用工程单元成为一个VLAN[15]。在L2层与操作管理层(L3)网络边界处应部署三层交换机(带路由功能),全局工程师站、全局操作员站等与单元区域控制系统网络之间应部署工业防火墙,实现L2层与L3层之间、各单元区域网络之间的逻辑隔离。APC系统、防病毒服务器、补丁服务器、第三方系统等与L2层之间采用专业防火墙实现隔离。L3层与DMZ区层之间部署专用防火墙,DMZ区与企业系统层(L4)之间可部署专用防火墙、单向安全网关、网闸等。

2)隔离设备的选用与策略配置。L3层与DMZ区、控制系统与第三方系统等之间的防火墙应优先选用能有效过滤木马、蠕虫、间谍软件、漏洞攻击、拒绝服务攻击等威胁的下一代防火墙,根据实际需求对防火墙进行合理配置,包括检查网络数据包源和目的地址、基于端口的应用识别、基于应用特征的应用识别等,实现精细化的网络应用管控。对于L4层操作数据管理系统(ODS)的数据采集,可在DMZ区与L4层之间部署采用双主机架构及系统异构的单向安全网关,实现数据的单向传输。应选用端口间互相隔离的时钟同步服务器,实现不同的装置、系统授时的故障隔离。时钟同步服务器应置于DMZ区,经防火墙与被授时设备连接,通过配置NTP协议识别、IP地址检查、恶意代码防护等策略,降低服务器与被授时设备间网络通信的安全风险。

3)通信协议安全。目前,工业以太网已在ICS中广泛应用,工业以太网有Profinet,Ethernet/IP, Modbus TCP等多种标准化的协议,在不同厂商生产的硬软件之间、控制网络与信息网络之间的系统集成与数据交换方面,OPC技术的应用非常广泛。基于安全考虑,在未采取任何安全防护措施的情况下,第三方应用系统禁止采用标准化的工业通信协议直接接入过程控制层交换机的设备和系统。在DMZ区与L4层之间的数据传输应采用OPC协议,鉴于基于COM/DCOM技术的传统OPC协议存在安全配置不足的问题,应逐渐采用OPC UA协议替代传统的OPC协议,在配置OPC UA协议时,使用“签名与加密”的安全方式增加通信的安全性[16]。

2.3.3 计算机安全

计算机的安全方面有如下措施：

1)终端保护软件的安装与配置。为了查出、清除计算机上的恶意代码,在工控计算机上应安装防病毒软件。同时,为了优化计算机的性能,在确保计算机上没有潜伏恶意代码的情况下,可将ICS制造商认证的可信的文件夹、应用程序设置成按访问扫描的排除项;应在工控计算机上安装应用程序白名单软件,在确认系统内无恶意软件存在的情况下,将可信的可执行程序设置为白名单,只让白名单中的程序运行,阻止其他程序(包括“零日”病毒)运行。

2)外设和接口安全防护。应通过修改BIOS或注册表配置、终端保护软件配置等方法封闭工控计算机上不必要的USB和光驱等接口、设备,确需通过计算机外设、接口访问控制系统时,应在采取了安全防护措施(如,与操作员站采用防火墙进行了隔离)的工控计算机上进行;应配置、使用包含多种杀毒软件的移动介质安检工作站,对需临时接入工控计算机的移动存储介质进行交叉安全扫描、杀毒后使用[17]。

3)系统备份。对于大型炼化企业,应采用ICS制造商认证的备份工具对组态服务器、数据服务器等关键节点的操作系统、应用程序、配置、数据等定期进行增量/差异、整机在线自动备份[18];可在备份的基础上将整机备份的镜像硬盘在操作站和工程师站主机内离线存放,以满足应急情况下快速恢复计算机的要求。

2.3.4 监视与审计

应在L2层和L3层的核心交换机上旁路部署网络安全监测设备(如入侵检测系统),实时对网络攻击和异常行为进行识别、报警、记录;应设置防病毒服务器管理所有工控计算机客户端的任务执行,策略部署及集中监视,记录病毒感染事件;应设置应用程序白名单服务器,管理所有工控计算机客户端白名单功能的投用,策略部署及集中监视,记录系统禁止文件更改、程序执行产生的事件;可设置漏洞扫描服务器,实现对工控计算机操作系统存在的漏洞检测;应设置日志审计与分析系统(日志审计服务器),对防火墙、网络入侵检测系统、交换机、操作系统、应用程序等的日志收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。

此外,应设置安全管理中心,对系统的安全策略、安全计算环境、安全区域边界和安全通信网络上的安全机制实施系统管理、安全管理和审计管理[19]。

3 结束语

炼化企业应从管理和技术两个方面采取点、面结合的方式,确保工控系统终端加固、通信协议加密认证、网络边界访问控制等各种安全措施的组合,从内到外构成一个纵深的安全防御体系。通过全体人员、全部设备、全生命周期的安全管理,落实对各种网络安全风险的管控。

随着“工业4.0”时代的到来,工业物联网的应用使自动化与信息化进一步深度融合,各炼化企业已经开始应用工业物联网技术解决所面临的实际问题,比如在线腐蚀监测系统、机泵群状态监测系统等的应用。由于攻击面的增加、规范标准的不完善、规章制度的不充分等因素,给ICS集成带来了新的挑战。结合工控系统的应用维护和对某大型炼化企业实施ICS网络安全纵深防御的经验,有以下建议：

1)依据国家安全标准的要求,加快制定、完善具有行业特点、可操作性强的设计、检查标准(或规范)以及管理制度(或规定)并实施。

2)在ICS区与工厂信息区之间通过DMZ区连接的基础上,对操作技术网络与信息技术网络分区隔离,操作技术网络经DMZ区与信息技术网络连接,或在操作技术网络与信息技术网络之间通过新建包括双防火墙及中间缓冲区的工业DMZ区(IDMZ)连接。

3)利用日志管理与分析系统,对ICS网络(含边界)中设备、组件的日志采用聚类、阈值、异常检测、机器学习等分析方法进行定期分析,及时处理发现的问题[20]。

4)ICS网络安全涉及计算机、自动化、通信等多个学科,需要培养既懂自动化系统硬件、软件,又懂网络安全解决方案的复合型人才。