国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

★季俊北京康吉森自動化技術股份有限公司

關鍵詞：工業控制系統；信息安全；安全儀表系統；網絡安全等級保護

1　項目概況

1.1　項目背景

石油化工行業是關系到國計民生的重要支柱行業。因此，石化企業的信息系統、工控系統長期以來一直是網絡攻擊的重要目標，企業的安全運營面臨著一系列的痛點與難點。

面對嚴峻的信息安全環境，國家高度重視工控信息安全相關工作的建設和發展水平，各相關部門已陸續出臺相關政策和文件，強化頂層設計，對工控信息安全防護工作進行監督和指導。網絡安全建設與運維已經成為石化行業信息化建設過程中不可忽視的建設內容，如何在石油化工企業信息化建設與使用過程中，尤其針對石油化工企業的工業控制系統組網應用環境構建工控安全防護體系，提高全網工控安全動態管理能力，已經被行業主管單位、公司領導高度重視，網絡安全體系化建設已經成為當前重要的建設任務。

1.2　項目簡介

本項目是中國石化鎮海煉化分公司中石化鎮?；仨椖浚ㄈ缦律a裝置、公用工程及輔助設施：120萬噸/年乙烯裝置、60萬噸/年裂解汽油加氫裝置、40萬噸/年芳烴抽提裝置、16萬噸/年丁二烯抽提裝置、10/4萬噸/年MTBE/丁烯-1裝置、80萬噸/年乙二醇裝置、30萬噸/年氣相法高密度聚乙烯裝置、30萬噸/年淤漿法高密度聚乙烯裝置、30萬噸/年聚丙烯裝置、27.4/60.2萬噸/年PO/SM裝置（含乙苯裝置）、煤/焦制氣聯合（POX）裝置、公用工程及輔助設施等。

本項目采用中心控制室（Central Control Room，CCR）和現場機柜室（Field Auxiliary Room，FAR）分離設置方式。原則上生產裝置、公用工程及輔助設施等控制系統操作站設置在相應的中心控制室，控制站設置在相應的現場機柜室，現場儀表信號通過電纜連接到現場機柜室，從現場機柜室到中心控制室的信號傳輸采用冗余光纜。操作管理人員在中心控制室完成生產裝置的控制、監測、報警及報表等操作。現場機柜室設置工程師站，用于開車前的系統調試和系統維護等工作。

中心控制室設置各控制系統的工程師站和操作員站，用于系統組態維護和日常操作。

1.3　項目目標

石化行業等關鍵基礎設施的安全建設，應著眼于解決系統的架構安全、建立被動防御體系、形成積極防御力量，再到基于威脅情報的保障體系，需要逐步動態完善。企業應逐漸認識到安全是相對的、動態的和持續投入的，單純的、靜態的安全防護體系不是一條有效的解決途徑。在與業務緊密貼合的前提下，現階段企業需要正視工控系統架構安全的脆弱性，建立智能的縱深防御系統，采取數據采集、監控和應急處置的聯動方式，快速、及時地保障生產安全。

按照《中華人民共和國網絡安全法》《信息安全技術網絡安全等級保護基本要求》《工業控制系統信息安全防護指南》等國家/行業相關網絡安全防護的政策與網絡安全標準要求，針對石油化工企業控制及調度技術發展，本項目全面評估當前中石化鎮?；仨椖縎IS系統的網內業務系統、控制系統及自動化設備可能存在的網絡安全風險，并形成分析報告。本項目圍繞當前企業技改與未來“一張網”發展規劃，按照國家網絡安全法提出的“同步規劃、同步建設、同步使用”的三同步原則，利用當前先進的網絡安全防護理念、技術與產品，有序地開展石油化工企業生產控制系統中安全防護體系的頂層設計、分期設計與建設工作，構建網絡安全立體的防護體系，滿足標準合規性要求。同時，按照企業多級管理職能，本項目設計構建全網工控安全管控與運營體系，形成多級聯動機制，實現全網動態安全監測、風險可視、通報預警與聯動處置，提高網絡安全綜合管控與防護能力。

本項目針對中石化鎮海基地項目SIS系統實際需求，通過設計建設一套穩定、先進、高效、可靠的全生命周期工控安全技術防御體系，集中展現了石油化工企業生產控制系統的整體工控安全態勢，提升了整體工控安全監管水平和防御能力，形成了技術+管理的綜合安全防護體系，滿足了實際安全防護需求。

（1）安全通信網絡：對鎮海煉化生產控制系統的訪問邏輯進行梳理，優化網絡結構，按照網絡資產的屬性與訪問邏輯，合理劃分網絡安全域，在石油化工企業生產控制系統網絡的邊界部署安全隔離與訪問控制措施，實現必要的邊界安全防護，同時按照業務組網應用特點，酌情增加鏈路加密措施，保障鏈路通信的數據安全性。

（2）安全區域邊界：在重要的安全域邊界設計部署安全隔離與訪問控制措施，對重要安全域進行必要的安全防護，保證鎮海煉化生產控制系統的運行安全。

（3）安全計算環境：對全網的服務器、操作員站、工程師站等主機系統設計安裝必要的安全管控措施，實現對主機系統必要的安全管控，保障主機系統運行安全。主機安全管控措施包括主機進程管控、主機USB口外界管理等，實現主機防病毒、防第三方軟件非授權安裝使用、防USB設備非法連接與數據拷貝等功能，可以提升人機交互界面必要的安全防控和主機系統的安全性。同時，借助于在安全管理域內部署的主機系統脆弱性掃描工具，可以實現對主機系統弱口令、漏洞的安全管理，并通過主機加固措施提升主機系統的抗攻擊能力。

（4）安全管理中心：在鎮海煉化生產控制網絡中新建安全管理域，部署集中安全管理手段，實現對全網用戶集中認證、權限管理與操作行為審計，同時部署綜合日志審計與安全管理技術手段，建立全網安全風險的集中管理、分析、可視化與聯動處置機制，部署安全威脅掃描與管理工具，全面實現全網風險的集中管理與處置，保證風險的快速感知與處置，提升安全風險的管理與處置能力。

（5）安全管理體系：基于鎮海煉化現有的安全管理組織結構與管理措施，由我方專業的安全服務人員以安全咨詢服務的形式，按照相關標準規范要求，為用戶梳理安全管理體系內容，幫助用戶健全與完善安全管理體系相關內容，從管理上完善安全管理的體系化建設，包括日常管理以及應急保障等相關內容，以構建綜合的安全防護體系，保障石油化工企業工控系統的安全穩定運行。

2　項目實施

2.1　安全通信網絡

鎮海煉化的工業控制網絡是相對獨立封閉的，生產裝置控制網絡一般只與企業管理需求的上層應用MES系統進行通訊，通過OPC數據采集實現生產業務數據的單向傳輸。除此以外，部分控制網絡在橫向上與SIS、ESD等其他專用控制系統也存在以Modbus協議或RS485、硬接線進行數據傳輸的需求。

在本項目中SIS系統與上層生產經營管理系統等辦公信息系統通過DCS系統進行通訊，SIS系統僅在現場控制器通過RS485串口形式與DCS產生數據交互，故本項目中不對SIS系統部署工業網閘等隔離設備與外網隔離。

為滿足等級保護標準規范中對生產控制系統的安全要求，本項目對各裝置SIS系統的網絡進行優化，根據控制網絡中不同裝置資產屬性和訪問邏輯來劃分安全域，使石油化工企業生產控制系統網絡免受來自上層辦公網及互聯網的入侵攻擊風險。

2.2　安全區域邊界

針對石油化工企業工控網絡中劃分的安全域，按照安全域的安全權重，本項目有針對性地進行安全域的隔離與訪問控制，以及必要的安全防護，以保護各安全域運行的安全。具體技術措施如下描述：

2.2.1　工業防火墻系統

在過程控制層與現場控制層之間串行部署工控防火墻，具體為工程師站室與各裝置操作室的交換機之間，實現各安全域邊界隔離與訪問控制。工業防火墻具有工控協議的深度解析能力，不僅僅可支持基于網絡五元組的訪問控制，還可以基于工控行為的安全控制與防護，保護各安全域系統的運行安全；在網絡安全專網跨越不同級別安全域——“生產區與安全管理區”之間部署工業防火墻類產品，實現區域隔離控制。

工業防火墻系統屬于工業級安全防護設備，可支持30多種工控協議識別與深度解析，包括：Modbus、TCP、OPC、DNP3.0、西門子ProfiNet、西門子S7、IEC 61850和IEC 60870-5-104等，具有基于工控行為構建白名單訪問控制策略，可實現細粒度的安全防護。

2.2.2　安全檢測與審計系統

在工程師站室的核心交換機上旁路部署安全檢測與審計系統，對工控系統的應用服務器、主機管理系統等控制網絡內的應用系統、流量數據進行全面檢測，對通信數據進行合規性檢查，對異常行為、違規操作行為進行識別、審計、告警，告警日志可發送至日志審計系統和安全管理平臺系統進行集中存儲、分析與風險關聯展示，輔助安全運維人員進行監測處置。

安全檢測與審計系統支持對OPC、Ethernet/IP、Modbus/TCP、IEC61850、IEC60870-5-104、DNP3、Profinet、S7、GOOSE和SV等30多種工控協議進行深度解析，通過還原操作行為，對有異常操作行為進行審計告警，輔助網關防護系統策略調整，實現對石油化工企業工控網絡的運行安全。

2.3　安全計算環境

在石油化工企業工控網絡中的安全計算環境是指包括工程師站、操作員站、應用服務器等大量的主機操作系統及數據存儲環境，應定期通過檢查工具對其控制網內的安全計算環境的安全漏洞與脆弱性進行檢查及修復，關閉不需要的默認賬號、服務，進行主機系統必要的安全加固，持續地進行以白名單為主要技術手段的操作系統安全防護。同時針對工控環境下的高危隱患，如通過USB口接入的移動外接設備進行認證管理、防USB攻擊、防病毒、防篡改與操作行為審計等，保護系統USB拷貝數據的安全。本次設計將考慮部署以下技術措施來對主機系統進行必要的安全防護。

2.3.1　工控主機衛士

針對石油化工企業工控網絡中的工程師站、操作員站、應用服務器等主機操作系統，安裝部署以白名單為核心技術的工控主機衛士，實現對關鍵操作系統及人機交互的主機加固、安全防護及病毒防護。

白名單技術的主動防御機制相對于黑名單形式的防病毒軟件占用更小的系統計算資源，實現了最大的防護效能，可有效地實現主機防病毒、防第三方軟件的非授權安裝與使用、主機系統外接口的管控、USB外接存儲設備的認證管控、防病毒與操作行為審計，為主機系統安全運行提供了必要的安全保障。

本方案使用的主機安全防護系統是工控主機系統專用的安全防護系統。該系統運用白名單為主，灰名單、黑名單為輔的創新技術方式，可以監控主機的進程狀態、網絡端口狀態、USB端口狀態，能嚴格對主機應用進程進行管控，外接端口管控，USB設備認證與使用管理，以及操作行為管理，強化了工控主機的安全管理，提升了主機系統的抗攻擊能力。

2.3.2　數據庫態勢感知

為接收、存儲大量生產業務數據，石油化工企業的工控生產網的生產執行層部署有實時數據庫、歷史數據庫等生產業務服務器，企業應重點關注數據庫所面臨的風險并進行多方位評估。為石油化工企業的生產控制系統部署數據庫態勢感知系統，可以通過旁路、探針、分布式等多種部署方式，為數據庫的各類應用環境提供全方位監控與審計。

數據庫態勢感知系統提供實時的數據庫運行狀態監控，可以及時發現數據庫在運行中出現的性能異常，并結合審計日志準確定位異常操作，防止因性能問題而導致的業務癱瘓。通過內置的掃描策略，該系統可以及時發現數據庫系統在運行時可能出現的配置、管理風險和數據庫軟件本身存在的漏洞。該系統還提供基于自學習的基線策略模型，通過多關鍵字匹配、正則表達式、SQL模式等，即可對數據庫進行精確的訪問行為監控。

2.3.3　USB安全防御系統

USB安全防御系統是針對工業控制系統無法杜絕USB設備使用，以及USB攻擊等特殊風險而設計的專用安全防護系統。該系統支持外界設備認證管理、操作權限管理、文件數據防篡改、防病毒、防攻擊以及操作行為安全審計等多種防護功能，做到事前預防、事中審計與阻斷、事后行為可追溯，保證了主機系統數據文檔USB存儲傳遞的安全。

2.4　安全管理中心

依據等級保護相關標準規范，應在石油化工企業工控系統網絡中建立安全管理中心，對工業控制網絡內的安全設備、策略、數據等進行集中統一監管。在控制網絡內劃分新的安全管理域，部署石油化工企業工控系統網絡的安全集中管控的技術措施，實現全網風險必要的安全風險管理、關聯分析、安全可視化與聯動處置的能力建設。

本方案中新建安全管理域，通過安全專用交換機對所有的安全設備進行安全組網，并設立獨立的安全數據交換渠道將安全設備接入安全管理平臺。

2.4.1　日志審計分析系統

日志審計分析系統部署在石油化工企業工控系統網絡的新建安全管理域內，主要通過syslog、SNMP等或代理方式收集網絡中各系統產品的告警日志，進行日志的集中存儲、范式化與安全分析與展示。

日志審計與分析系統是解決日志存放分散、數量多、格式不統一、保存周期短、易被篡改破壞等日志管理問題而研制的專用安全系統。該系統通過多種方式收集各主機系統產生的告警日志，并進行集中存儲、解析與范式化，通過先進的關聯算法可對告警日志進行關聯分析與統計展示，支持對綜合日志的檢索與查詢。

2.4.2　安全運維審計系統

安全運維審計系統部署在安全管理域內，作為工控系統內日常運維的統一入口，實現賬戶、用戶權限統一認證管理以及日常運維操作行為審計。

安全運維審計系統是針對系統運維人員賬戶權限未區別或劃分不合理、運維行為不可控、對操作行為無審計、無記錄等實際問題而開發的安全專用系統，通過對運維人員賬戶集中管理、用戶登錄集中認證授權、操作行為審計等，來實現工控系統運維可管、可控、可審計，并可對運維行為進行監管，做到事中監測告警與事后行為追溯。安全運維審計系統可提供便攜式產品形態，方便在不同場景下使用，規范了企業運維人員對石油化工企業工控網絡中各系統的運維操作。

2.4.3　工控統一安全管理平臺

在石油化工企業工控系統網絡中新建的安全管理域內部署工控統一安全管理平臺系統，可實現工業控制系統內安全設備的狀態監控、安全策略的集中管理、安全日志等數據的集中收集、存儲、關聯分析與可視化、安全風險集中處置等集中管控的需求。

此平臺系統不僅可監控安全系統的運行狀態，還可以對安全系統進行安全策略配置與調整，總體實現網絡安全防護體系的防護效能。

平臺系統具有強大的安全管理功能，包括安全系統狀態監控、安全風險集中管理、可視化、關聯分析與溯源、安全風險的聯動處置等核心功能。平臺系統支持級聯部署，解決了企業生產廠區分散的網絡安全集中管理的需求，實現了安全風險統一管理、分析展示與聯動處置的管理能力。同時，本級平臺系統可以作為上級安全運營中心平臺系統的管理節點，形成覆蓋全網的安全運營能力。

3　案例亮點及創新性

3.1　安全政策合規性

工控網絡規模廣、系統用戶多、涉及品牌多，迫切需要對工控網絡安全狀況實行集中監測。通過本項目可以建設初步的SIS系統工控安全監測防御體系，并使其完全符合等級保護2.0、《工業控制系統信息安全防護指南》等國家安全政策標準規范要求。

3.2　精確定位安全事件

工控網絡信息安全監測面臨信息量大、信息關聯性弱、檢測精度不高等諸多問題，需要同步完善前端監測手段和后臺分析能力，以實現：從海量的監測數據中準確發現已產生危害后果的安全事件；完整的記錄網絡和信息系統中的各類行為，提供必要證據支持無縫地還原所有安全事件的演進過程。

3.3　實現安全預警聯動

在有效識別安全事件后，建立和完善安全預警管理、定級和安全預警的聯動，對已發生的安全事件進行快速的安全聯動，準備出有效的信息安全應對措施，將安全事件的影響和損失降到最低。

3.4　建立安全知識庫

能夠充分利用大平臺資源共享的優勢，將安全法規、標準、制度、安全事件與應急處置的信息共享給信息安全維護團隊和下屬企業相關人員，提高整個鎮海煉化人員的信息安全意識和技術水平。

作者簡介

季　?。?969-），男，安徽安慶人，高級工程師，碩士，現就職于北京康吉森自動化技術股份有限公司，主要從事功能安全、工業控制安全方面的研究。

摘自《自動化博覽》2024年1月刊