今日頭條
官方微信
官方抖音
資訊頻道1 項目簡介
1.1 項目背景
在大量采用DCS控制現代化的石化裝置中,控制回路占總回路數的80%~90%。
DCS(DistributedControl System)集散控制系統,它是一個由過程控制級和過程監控級組成的以通信網絡為紐帶的多級計算機系統,其基本思想是分散控制、集中操作、分級管理、配置靈活、組態方便,取得了令人矚目的成就。PLC(Programmer Logic Controller)稱為可編程序邏輯控制器,它是按照成熟而有效的繼電器控制概念和設計思想,利用不斷發展的新技術、新電子器件,逐步形成了具有特色的各種系列產品,是一種數字運算操作的專用電子計算機。根據我國具體情況而言,石油化工領域DCS系統,霍尼韋爾、橫河、艾默生、ABB等國外廠商占據50%以上份額,浙江中控、和利時等國內廠商主要活躍在中小化工行業;我國大中型PLC市場被羅克韋爾自動化、施耐德電氣和西門子等國外廠商占據99%以上份額。
南通星辰主要生產裝置DCS控制系統建設情況如下:PBT裝置DCS系統為橫河CENTUM-CS3000;雙酚A裝置DCS系統為橫河CENTUM-CS3000;環氧樹脂裝置DCS系統為浙大中控ECS100;動力裝置共用5套西門子S7-300PLC系統,分別用于供熱站、冷凍站、循環水站、熱煤站以及環氧三效;其余輔助生產裝置還用了歐姆龍、ABB、三菱電機自動化、和利時等PLC。綜上所述,南通星辰的工業控制系統是中國化工集團,乃至中國化工行業的縮影:生產裝置均采用DCS和PLC數字化控制手段,但鑒于項目建設配套工藝包中相關要求,DCS和PLC的品牌多種多樣、五花八門。
南通星辰化工生產控制系統安全防護項目還具有極強的示范意義和示范效果。以南通星辰所屬的中國藍星(集團)股份有限公司為例,其DCS規模和品牌占有率很高,通過完成南通星辰DCS和PLC控制系統安全防護示范工程,由于其所涉及的日本橫河DCS、浙大中控DCS和西門子PLC系統在中國藍星乃至中國化工集團占據了半壁江山,因此在系統內具有極強的推廣價值。同時,在中國的石油化工領域,橫河、浙江中控、和利時和西門子的DCS與PLC工業控制系統占據較大市場份額,項目的研究成果還能夠進一步推廣至全國石化領域。
1.2 項目目標及規模內容
1.2.1 項目目標
針對南通星辰工業控制系統種類多品牌雜、總線協議復雜多樣和實時性要求高的現狀,基于工控信息安全等級保護的思想,以化工生產裝置的安全、穩定、可靠運行為核心,綜合運用邊界防護、訪問控制、主機安全等技術手段,有效整合不同層面的安全技術,建成一個符合等保三級的信息安全技術防護體系。基于所建立的信息安全技術防護體系,制定一套工控安全管理制度,形成一套化工領域工控系統安全標準。最終,南通星辰化工生產控制系統安全防護示范工程將使該企業的工控信息安全防護等級達到等保三級的主要要求,從而為化工行業生產控制系統提供一套信息安全防護解決方案,并起到相應的示范作用。
1.2.2 項目內容
基于上述所制定的項目目標,南通星辰化工生產控制系統安全防護示范工程將完成以下內容:
(1)南通星辰化工生產裝置控制系統安全防護實施方案、設備選型和集成方案論證;
(2)測試環境下的邊界防護與訪問控制;
(3)測試環境下的主機應用安全;
(4)南通星辰化工生產控制系統邊界防護與訪問控制;
(5)南通星辰化工生產控制系統主機應用安全;
(6)建立南通星辰化工生產控制系統安全管理平臺;
(7)建立基于生產執行系統(MES)、管理系統與工業控制系統相結合的安全防護體系;
(8)制定化工行業內相關生產控制系統安全防護標準。
上述項目內容將涉及目前南通星辰公司PBT裝置、雙酚A裝置、環氧樹脂裝置和動力車間共涉及生產線30余條,通過15套DCS系統和20套PLC控制系統進行控制,包括:150余套控制站,20套現場總線系統,20套工業以太網,100余套工業交換機,10套實時數據庫服務器,35套工程師站,100余套操作員站。通過該項目的實施和工程應用,實現對上述工業過程控制系統安全防護。
2 項目建設的必要性和需求分析
2.1 項目建設的必要性
石油化工領域DCS系統,被霍尼韋爾、橫河、艾默生、ABB等國外廠商占據50%以上份額。2011年工信部發布了《關于加強工業控制系統安全管理的通知》,明確了重點領域工業控制系統信息安全管理要求,對連接、組網、配置、設備選擇與升級、數據、應急等管理方面提出了明確要求。
隨著網絡技術的迅猛發展,工業控制系統不再是一個自我封閉的孤島,南通星辰工業控制系統通過工業以太網與MES系統、ERP系統和企業集團管理系統相連,工業控制系統已經成為整個網絡世界的一個“子站”。綜上所述,南通星辰在其化工生產裝置DCS/PLC系統以及即將新建的先進控制系統(APC)均需要對信息安全進行防護,信息安全是實現裝置“安、穩、長、滿、優”運行的必要手段,是保障站點重大危險源處于絕對安全可控狀態的重要手段。
2.2 項目建設需求分析
2.2.1 南通星辰化工生產控制系統現狀
南通星辰所擁有的生產規模位居亞洲第一的6萬噸/年PBT樹脂和4萬噸/年改性工程塑料生產裝置、9萬噸/年雙酚A生產裝置和產量位居全國第一的5萬噸/年環氧樹脂生產裝置均具有復雜的生產工藝和流程。其控制系統包括:
(1)分布式控制系統(DCS)
南通星辰生產裝置DCS系統特點如下:
·開放的網絡結構:采用Windows XP標準操作系統,支持DDE/OPC;
·高可靠性:采用了4CPU冗余容錯技術的現場控制站,實現了在任何故障及隨機錯誤產生的情況下進行糾錯與連續不間斷控制;
·高速的控制總線:CS3000采用橫河公司的V-NET/IP控制總線,該控制總線速度可高達1Gbps;
·現場控制站的高效性:控制站FCS采用高速RISC處理器VR5432,可進行64位浮點運算,具有強大的運算和處理功能,可以實現多變量控制,模型預測控制,模糊邏輯等多種高級控制功能;
·高效的工程化方法:CENTUM CS3000采用ControlDrawing圖進行軟件設計及組態,使方案設計及軟件組態同步進行,最大限度地簡化了軟件開發流程;
·可擴展性:具有構造大型實時過程信息網的拓撲結構,可以構成多工段,多集控單元,全廠綜合管理與控制綜合信息自動化系統。
(2)可編程邏輯控制器(PLC)
PLC系統完成動力裝置的所有過程控制、工藝參數顯示、設備運行狀態監測及故障報警、生產數據存儲及分析、報表打印等功能。
PLC具有穩定可靠、價格便宜、功能齊全、應用靈活方便、操作維護方便的優點,這是它能持久占有市場的根本原因。
2.2.2 南通星辰信息化建設和應用現狀
除生產控制系統外,南通星辰基于美國OSIsoft公司實時數據庫軟件產品PI System建立了生產運營管理系統。通過實時采集各DCS生產控制系統和PLC系統的生產數據,建立統一、安全穩定、開放集成的實時數據庫平臺,在獲得精確、實時數據的基礎上,企業能夠實時監控設備運行,動態掌握生產過程,在線模擬流程和過程優化,及提高應急響應速度等,也能夠實現總部對企業的遠程監控,協調和指揮,從而大大提高生產管理的智能化程度,為精細化管理和運營管控提供堅實基礎。
處于辦公網的生產運營管理系統所需采集生產網數據,根據網絡拓撲結構圖所示,為了保證數據安全,目前辦公網與生產網使用一臺防火墻進行隔離。生產運營管理系統網絡拓撲結構如圖1所示。
圖1 南通星辰生產運營管理系統網絡拓撲結構圖
2.2.3 南通星辰存在信息安全問題描述
目前對于工業控制網絡常用的攻擊手段如圖2所示,通過偵測網絡、掃描端口、枚舉協議漏洞等一系列手段,最終通過病毒破壞工控系統中的各類操作站(普通PC或服務器)的操作系統,甚至感染工控系統中的控制單元(PLC)。將前述南通星辰PBT裝置、雙酚A裝置、環氧樹脂裝置的DCS系統和動力車間PLC系統進行抽象,再結合目前工控網絡與其他信息系統集成應用的實際情況,形成如圖3所示的南通星辰可能面臨的網絡攻擊和存在的信息安全隱患。
圖2 對于工業控制網絡常用的攻擊手段
圖3 南通星辰面臨的潛在信息安全風險整體分析
綜上所述,工業控制網絡安全是信息化推進中出現的新問題,只能在發展的過程中用發展的方式加以解決。不能簡單地通過不上網、不共享、不互聯互通來保安全,或者片面強調建專網。這樣做的結果只能是造成不必要的重復建設,大量網絡資源得不到充分利用,增加信息化的成本,降低信息化效益,失去發展機遇。這種“懶政”思維必須破除。要努力實現技術創新和體制機制創新,不斷形成維護網絡安全的新思路、新方法、新舉措、新本領。
基于實現先進過程控制的相關要求,圖4是南通星辰先進控制系統的部署方案。通過實施先進控制,可以改善過程動態控制的性能,減少過程變量的波動幅度,使之能更接近其優化目標值,從而將生產裝置推至更接近其約束邊界條件下運行,最終達到增強裝置運行的穩定性和安全性、保證產品質量的均勻性、提高目標產品收率、增加裝置處理量、降低運行成本、減少環境污染等目的。
圖4 南通星辰先進過程控制系統部署方案
2.2.4 項目示范的主要內容和目的
基于上述對南通星辰存在的信息安全問題的詳細分析,項目示范的主要內容包括:
(1)根據南通星辰的DCS、PLC控制系統具體分布及應用情況,根據DCS、PLC設備的功能屬性及安全屬性將控制系統劃分成不同的安全區域,構建在安全管理中心支持下的計算環境、區域邊界、通信網絡三重防御體系;
(2)面向中國藍星南通星辰控制環境,在DCS/PLC系統中進行防火墻、端點主機(操作站、工程師站、服務器等)入侵防御系統、入侵檢測系統、攻擊行為跟蹤分析系統、DCS/PLC網絡空間預警系統、安全態勢系統等系列安全可控產品的試點應用;
(3)通過強化分區、隔離防護、協議管控、入侵防御、可信計算、PKI/CA及安全審計等技術手段構建“縱深”安全防御體系,確保生產現場DCS、PLC等控制設備的本質安全;
(4)驗證上述信息安全產品對DCS/PLC系統軟件、應用軟件、現場總線、工業以太網的技術影響,形成化工生產工業控制系統有針對性的有效安全防護策略,并制定化工行業內相關生產控制系統安全防護標準。
綜上所述,加強對工業控制系統的脆弱性的合作研究,提供有針對性的解決方案和安全保護措施,從而達到以下示范目的:
(1)源頭控制;
(2)分析檢測及防護;
(3)漏洞庫管理;
(4)自主知識產權安全產品驗證。
驗證以上工業控制安全產品對工業控制系統DCS/PLC保護能力,為化工生產領域常用的DCS/PLC系統的安全防護提供具有針對性的解決方案,建立工業過程控制系統安全標準體系,制定工業過程控制系統安全標準。
2.3 項目效果及應用
通過該示范應用工程,完成生產調度管理中心、主控系統(DCS/PLC)、監控系統、實時數據庫系統的安全防護應用示范。通過本項目的建設:
·提高南通公司DCS/PLC系統的抗攻擊能力、威脅預警能力;
·直觀的DCS/PLC系統安全態勢展現,提高系統的安全管理能力;
·對DCS/PLC系統的安全事件、程序行為等關聯分析;
·掌握攻擊威脅發起的地點、攻擊的類型、攻擊的目的;
·保障DCS/PLC系統應急處置安全事件提供準確的決策依據;
·建立工業過程控制系統安全標準體系,制定工業過程控制系統安全標準。
3 項目建設方案
基于前述對于南通星辰化工生產控制系統現狀、信息化建設和應用現狀以及目前企業在信息安全存在問題的詳細分析,南通星辰化工生產控制系統安全防護示范工程項目建設方案總體設計如圖5所示。
圖5 示范工程項目建設方案總體設計
3.1 設計思路
根據南通星辰的DCS、PLC控制系統及信息化生產運行管理流程,從縱向上根據功能屬性劃分四個層,確保生產現場DCS、PLC等控制設備的本質安全,框架如圖6所示。
圖6 安全設計框架
為實現上述目標,參照“等保”三級相關要求,在項目實施過程中具體要求采取的手段包括以下幾個方面:
(1)脆弱性分析與風險評估識別系統的脆弱性、存在的安全威脅及安全風險;
(2)通過建立網絡邊界區域隔離手段,構筑DCS、PLC控制系統安全的第一道防線;
(3)通過硬件隔離產品對生產網與管理網進行單向傳輸、物理隔離,徹底阻斷外網基于以太網的攻擊;
(4)在生產網絡內部,不同的控制系統之間,在橫向上使用硬件隔離進行安全防護,確保控制系統的獨立性,從而構筑控制系統安全的第三道防線。
(5)現場控制設備防護,通過工業防火墻協議過濾,只允許指定的工業控制協議(如OPC、Modbus、DNP3等)及控制指令通過,建立協議的專用控制,構筑針對現場設備控制設備第四道防線;
(6)通過安全監測、入侵防御、審計分析等手段為南通星辰的工業生產保駕護航;
(7)通過SOC(安全管理中心)對生產監控網絡安全設備進行統一安全管理、策略分發、統一監管、預警分析。
綜上所述,系統所采用技術框架如圖7所示。
圖7 技術框架
3.2 建設目標與主要建設內容
根據南通星辰網絡結構分為四個層次:生產管理層、MES層、監控層、控制層(現場層),參照ANSI/ISA-99 、GB/17859、GB/T25070等相關要求,將企業系統結構劃分成不同的區域可以幫助企業有效地建立“縱深防御”策略。區域與區域之間利用安全產品進行策略控制,確保每個區域的相互獨立性,實現風險的最小化和可控。
3.2.1 風險與脆弱性評估
在項目中通過脆弱性評估及安全風險分析手段,識別系統脆弱性及安全威脅與風險來源:
(1)識別系統脆弱性
·網絡邊界結構;
·網絡區域邊界訪問控制措施;
·針對病毒、蠕蟲等惡意程序的安全防護措施;
·針對DCS、PLC設備、應用的惡意操作;
·安全事件監控、管理及相應機制。
(2)識別安全威脅與風險來源
·未經授權的訪問;
·惡意代碼攻擊;
·拒絕服務攻擊;
·針對DCS、PLC系統通信攻擊;
·內部人員誤操作、惡意操作等。
3.2.2 邊界防護與訪問控制
(1)生產管理網與MES網絡之間安全防護;
(2)MES網絡與監控網絡之間安全防護;
(3)DCS系統安全防護;
(4)PLC控制器安全防護;
(5)DCS工程師站與現場控制站之間的防護;
(6)入侵防御系統;
(7)網絡準入。
3.2.3 主機應用安全
(1)終端防病毒;
(2)可信計算;
(3)審計系統;
(4)工業控制系統漏洞掃描系統。
3.2.4 PKI/CA
由于南通星辰化工藝流程、生產配方、生產裝置以及特種產品數據的敏感性,所以布署一套PKI/CA系統,一方面通過數字證書來進行相應權限分配,實現對DCS、PLC控制系統的分權管理及多因子驗證,另一方面由于南通星辰化工PI數據中心與藍星總使用專網實時通訊,數據保密性和完整性得不到有效保障,通過PKI/CA系統對網絡上傳的數據信息進行加密和解密、數字簽名和簽名驗證。
3.2.5 無線安全接入
在相關測點處部署無線防火墻,根據AP或Station的安全屬性定制無線網絡準入規則,通過射頻信號阻止非法用戶接入,建立射頻安全區,提供具有物理安全、可信的無線網絡。
3.2.6 安全管理中心
在生產監控層布署安全管理中心,對生產控制網絡搜集所有安全信息,并通過對收集到各種安全事件進行深層的分析,統計和關聯,及時反映被管理資產的安全基線,定位安全風險,對各類安全時間及時提供處理方法和建議的安全解決方案。功能如下:
(1)面向業務的統一安全管理;
(2)全面的日志采集;
(3)智能化安全事件關聯分析;
(4)全面的脆弱性管理;
(5)主動化的預警管理。
3.2.7 物理安全
(1)針對南通星辰高危、涉密場所(例如:原料罐區、機密工藝設計圖紙存儲場所等)部署手機及移動終端無源探測系統;
(2)機房、控制室出入口應安排專人值守并配置電子門禁系統,控制、鑒別和記錄進入的人員;
(3)利用光、電等技術設置機房防盜報警系統;
(4)對關鍵控制設備、關鍵區域要實施電磁屏蔽。
3.3 系統運行
選擇南通星辰合成材料有限公司PBT、動力車間DCS和PLC控制系統試點部署,進行為期2個月的試運行,廠家工程師實時跟蹤獲取確切數據,確認安全產品無干擾DCS和PLC控制系統實時性能和系統的安全性。
作者簡介
趙國新(1963-),男,遼寧鐵嶺人,教授,1985年7月畢業于遼寧工業大學,主修工業自動化專業,獲得工學學士學位;1988年3月畢業于冶金部自動化研究設計院,主修工業自動化專業,獲得工學碩士學位。現任北京石油化工學院自動化系主任,主要研究方向是智能控制系統與工業大數據應用,工業控制系統信息安全。
摘自《工業控制系統信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號