油气处理厂工控系统网络安全的方案讨论

孟凡丽

中国石油工程建设有限公司西南分公司, 四川 成都 610041

0 前言

目前,大多数工控系统(ICS)和智能设备普遍存在各种安全隐患[1],所以任何工控系统都可能存在引起生产安全风险的缺陷,要保障工厂的工控系统安全运行,特别是油气处理厂工控系统的安全,需要从工控系统的网络架构建设上加强设置,对其系统的安全缺陷和漏洞进行全方位管控。

1 油气处理厂工控系统网络安全现状

油气处理厂工控系统主要包括分散控制系统(DCS)、安全仪表系统(SIS)及火气系统(FGS)三套系统,三套系统完成了对全厂各工艺装置及辅助生产设施的集中监视、数据采集、报警、控制和安全联锁功能。目前,已投产运行的工控系统网络架构大多纵向分为三层:现场设备层、控制层、过程监控层。工控系统网络安全防护方面的主要措施为:防病毒软件的安装,过程监控层数据与上一级调控中心之间的区域隔离保护,访问权限的设置等。这些较少的防护手段,在工控系统本身的缺陷、漏洞管理及网络实时监测方面较薄弱。

大多已建的工控系统网络结构图见图1。

图1 已建的工控系统网络结构图

随着物联网的发展,原本封闭的油气处理厂工控系统也渐渐纳入工业物联网系统中,在油气处理厂提高营运效率的同时,也使得物联网中的木马、病毒等安全风险向工控系统扩散,带来了更多的网络安全威胁[2]。工控系统网络威胁的来源主要有:系统存在的高危漏洞、工业网络病毒、关键设备的“后门”、高级持续性威胁(APT)以及无线技术应用的风险等[3-4]。近年来,国内外发生的工控系统遭受攻击而瘫痪的案例,基本上为黑客利用工控系统网络安全方面的漏洞及病毒进行的攻击,因此做好工控系统网络安全防护,在网络高速发展时期尤为重要。目前，国家也提高了工控系统网络安全防护方面的要求,2017年5月1日执行的GB/T 33009《工业自动化和控制系统网络安全集散控制系统(DCS)》及GB/T 33008《工业自动化和控制系统网络安全可编程序控制器(PLC)》,对工控系统的安全设置提出了更高要求,但对油气处理厂工控系统并未给出明确固定的做法,也尚无成熟并正式运行的设置方案分享。

2 新建的工控系统设置

基于对标准规范的理解,同时通过与国内外知名工控系统制造商的技术交流与讨论,提出油气处理厂工控系统网络架构及安全防护的设置方法和建议。

2.1 网络架构

对新建的DCS/SIS系统工控系统,其网络架构建议采用纵向分层、网络安全采用纵深防御的原则进行设计[5-7]。工控系统网络架构以区域划分[8],纵向分层,基本设置为四层:现场设备层、控制层、过程监控层、生产管理层[9]。其中在新增的生产管理层上设置了一些用于工控系统网络安全防护的设备,这一层级的设置与规范GB/T 50823《油气田及管道工程计算机控制系统设计规范》上描述的DMZ区(隔离区)[10]隔离措施相符。

新建的工控系统网络结构图见图2。

2.2 网络安全防护策略

网络安全防护策略是维护工控系统安全的首要屏障[11]。工控系统网络分层搭建后需要对各层级进行安全防护设置。

2.2.1 边界防护

在不同层级或者同一层级不同网段间部署安全防护设备,如设置硬件防火墙、网闸等。检测界内界外所有网络活动,识别可疑攻击并报警,对不同网段进行有效隔离和阻断[12-14]。

在控制层的控制器要求带防火墙功能,或者设置控制器防火墙,对各控制器间及控制层和过程监控层间进行有效隔离。

对各类计算机、操作站、服务器的物理接口进行限制,拆除或封闭控制系统工业主机上不必要的USB、光驱、无线等接口,对工程师站及服务器等必须保留USB访问接口的核心工业主机,以软件方式部署USB终端防护系统,实现移动介质访问控制,强化生产现场物理安全防护措施[15]。

同以往系统边界防护相比,新建的工控系统方案主要增加了控制器防护功能、控制层或过程监控层不同网段间的防护功能,对整个工控系统各区设备起到更好的安全保护作用。

图2 新建的工控系统网络结构图

2.2.2 设置防病毒架构—补丁管理

与已建的工控系统在各设备上安装杀毒软件并手动定期杀毒不同,建议新建的工控系统设置专门的防病毒服务器[16],在工程师站、操作员站、各类服务器、监控计算机等重要系统设备上部署经过验证的防病毒软件,并提供防病毒系统巡检功能,这样可实时监测工控系统安全状况。同时定期下载经过兼容性、稳定性测试认证过的病毒库及补丁,及时发现与本系统相关的漏洞等安全隐患,及时打补丁,通过补丁管理和病毒库更新方案确保工控系统处于最新的安全防护状态。

防病毒服务器设置于生产管理层,与整个过程控制层进行有效隔离,不会同时遭受攻击,便于对工控系统所有设备进行安全下装各类防病毒软件及打补丁服务。

2.2.3 设置黑、白名单相结合的双重防护模式

已建的工控系统基本只采用黑名单机制对已知病毒进行防护,对未知病毒缺少抵御措施,现增加白名单机制对未知病毒进行有效防护[17]。设置黑、白名单相结合的双重防护模式,对任何非法访问,都要产生实时报警信息,方便用户及时发现、定位安全风险。

2.2.4 授权管理

无论是工控系统终端还是远程访问,均需要严格的授权及用户身份登录认证,对不同操作人员设置不同权限,授权不同则访问权限不同[18]。

2.2.5 完善的网络安全监控和相应措施

设置专门的网络安全监控软件,监控所有网络和系统设备,进行实时数据采集和分析,检查网络流量,识别恶意设备及入侵者,不断监视网络安全风险指标,主动识别可能影响工控系统的安全漏洞和威胁,及时报警,同时生成日志[19],通知相关人员采取措施防范风险的发生。专门的网络安全监控软件弥补了已建的工控系统无法实时监控网络设备及主动防范风险的缺点。

在各层级部署防护设备及防护软件前,应采用线下测试等手段确保其上线后不影响工控系统正常运行的可用性、实时性、可靠性和安全性。

任何工控系统都不是坚不可摧,一旦事故发生,灾难来临,如何快速重建和恢复系统在油气处理厂尤为重要[20]。已建的工控系统数据备份效率低、无法连续备份、系统恢复时间较长,即便恢复了系统,其数据可能是很久以前的,无法立即投入使用,还需要投入精力补充工控系统近期数据及程序的变化。如果油气处理厂装置数量较多或对生产运营时间有严格要求的,可设置一套实时数据备份与灾难恢复软件,配置专门的数据存储服务器,此服务器可实时、在线、连续自动地对工控系统数据及程序进行备份,事故停车后,只要存储设备还在,就可利用这些数据快速地进行系统恢复和重建,同已建的工控系统相比缩短了恢复系统重新开产的时间,为油气处理厂争取了效益。

以上安全策略对工控系统硬件、软件以及网络部署提出要求,每条安全策略都为工控系统网络安全带来防护效益,但网络安全管理是个动态过程,不仅包含了项目设计阶段的要求,还包含了项目执行时期及运行后期维护阶段所需的各种网络安全策略,如用户对人员的培训、定期对工控系统的风险评估和识别、定期对工控系统病毒库及补丁的更新以及对整个过程的管理等,每个环节都至关重要。

对油气处理厂新建的工控系统,网络安全应全面考虑并设置。对目前正在运行的已建的工控系统,如进行升级改造,其用于安全防护的软、硬件也应增设,不同层级间安全隔离也应部署,均需满足现行标准规范的基本要求。

3 结论

工控系统根据油气处理厂厂站的大小、级别设置有所不同,其网络架构也有差异,但工控系统网络安全防护是必须重视并设置的,其安全防护的硬件设备及软件的配置必不可少。本文中油气处理厂新建的工控系统方案是为确保工控网络安全提出的安全策略,对工控系统的设计提供参考和选择,随着工控系统网络安全方面的标准规范不断更新及完善,工控系统将更加安全。