石化工控系統(tǒng)安全研究與應急演練平臺建設探討

1

引言隨著兩化融合發(fā)展，工控網(wǎng)絡呈現(xiàn)出整體開放趨勢，各種威脅不斷增加。工控系統(tǒng)網(wǎng)絡安全風險所帶來的，不再僅僅是信息泄露、系統(tǒng)無法使用等“小”問題，而是會可能對現(xiàn)實世界造成直接的、實質性影響的大問題，工控安全不僅關系到生產(chǎn)安全和經(jīng)濟發(fā)展，還影響到社會穩(wěn)定和國家安定。2010年“震網(wǎng)”病毒破壞了伊朗核設施，影響巨大，這標志著工控網(wǎng)絡攻擊從傳統(tǒng)“軟攻擊”升級為直接攻擊關鍵信息基礎設施等要害系統(tǒng)的“硬摧毀”，不得不令人深思。從“震網(wǎng)”病毒到“Havex”病毒，再到勒索病毒，工控系統(tǒng)網(wǎng)絡安全事件不斷給世人敲響警鐘。從總體上看，我國工控系統(tǒng)信息安全防護建設明顯滯后于工控系統(tǒng)建設，在防護意識、防護策略、防護機制、法律法規(guī)、防護檢測等方面都存在不少問題，國內相關研究工作尚在起步階段。2

工控系統(tǒng)安全背景2.1工控系統(tǒng)網(wǎng)絡安全現(xiàn)狀一方面，諸如石化這樣的流程工業(yè)，生產(chǎn)的強連續(xù)性、高安全性、特定的高溫高壓環(huán)境要求控制系統(tǒng)必須保證安全穩(wěn)定地運行，一旦控制系統(tǒng)設備、網(wǎng)絡受到攻擊或感染病毒后發(fā)生故障，生產(chǎn)將處于失控狀態(tài)，后果不堪設想。另一方面，就國內石化領域DCS系統(tǒng)占比而言，霍尼韋爾、西門子、艾默生、GE等國外廠商占據(jù)一大半以上份額，而國內廠商浙江中控、和利時等品牌更多地被用在中小型石化系統(tǒng)或輔控系統(tǒng)中。在西方發(fā)達國家對國內工業(yè)控制核心技術壟斷環(huán)境下，工控系統(tǒng)面臨的安全形勢愈發(fā)嚴峻。從國家層面而言，由于歷史原因，我國工業(yè)控制系統(tǒng)同樣存在著信息安全管理制度不健全，相關標準規(guī)范缺失，安全防護能力和應急處置能力弱等問題。這些都對我國工控系統(tǒng)安全造成了嚴重威脅。2.2石化工控系統(tǒng)網(wǎng)絡安全面臨挑戰(zhàn)石化工控系統(tǒng)網(wǎng)絡面臨諸多威脅，體現(xiàn)在以下方面：

·行業(yè)的特殊性石化行業(yè)是典型的流程工業(yè)，對控制系統(tǒng)的信息安全要求相對比較高，需要符合行業(yè)屬性的技術、管理等體系。·入侵的多樣性石化工控系統(tǒng)的一大特點是結構固定，有固定的拓撲形式和相對單一的網(wǎng)絡動態(tài)，但網(wǎng)絡組成元素、工控節(jié)點眾多。因此，工控系統(tǒng)的入侵途徑更多，可能來自異構網(wǎng)絡、工業(yè)以太網(wǎng)、現(xiàn)場總線、無線網(wǎng)、移動介質、維修接入，甚至誤操作等?！ず蠊膰乐匦耘c物理世界的互動性是工控系統(tǒng)與信息系統(tǒng)的區(qū)別之一，因此，石化工控系統(tǒng)受到威脅可能直接導致現(xiàn)實社會中的重大災難和群體性事件?！す芾淼膹碗s性多數(shù)石化工業(yè)企業(yè)的控制網(wǎng)絡中，新舊系統(tǒng)并存，而且舊系統(tǒng)在設計時基本沒考慮信息安全的問題；同時多種工控品牌系統(tǒng)并存也給安全管理帶來一定挑戰(zhàn)。3

工控系統(tǒng)安全研究與應急演練平臺必要性3.1平臺構建必要性石油煉化作為國家關鍵信息基礎設施的重要組成部分，行業(yè)目前還沒有建立完整的預警防護機制，對工控網(wǎng)絡安全問題的認知還不夠清晰。國內基礎工業(yè)設施所用的控制系統(tǒng)國產(chǎn)化比率較低，國內企業(yè)對國外系統(tǒng)的漏洞及后門認知不清,對這些系統(tǒng)安全性也沒有相應的指標來衡量。雖然近年來控制系統(tǒng)國產(chǎn)率逐漸提高，但國內自主的控制系統(tǒng)網(wǎng)絡安全性卻無法驗證，更無法對這些控制系統(tǒng)網(wǎng)絡漏洞提供安全建議。此外，石化工業(yè)控制系統(tǒng)為滿足連續(xù)生產(chǎn)的要求，基本處于實時運轉的狀態(tài)，且控制的生產(chǎn)環(huán)境基本為高溫、高壓的危險環(huán)境，故不能針對生產(chǎn)中的工控系統(tǒng)做實時安全研究驗證和應急演練。因此，在構建石化工控系統(tǒng)安全研究與應急演練平臺，在平臺上開展相關的工控安全研究和應急演練，可填補國內石化對于工業(yè)控制系統(tǒng)網(wǎng)絡安全研究、服務和應急演練的空白。3.2國家政策的支持在此之前，我國的工業(yè)控制系統(tǒng)網(wǎng)絡安全相關標準在信息安全標準化技術委員會以及工業(yè)過程測量和控制標準化技術委員會的指導下，參考“信息安全技術信息系統(tǒng)安全等級保護基本要求”完成了相關標準編制工作，為國家基礎工業(yè)控制系統(tǒng)網(wǎng)絡安全建設提供了準則。自2017年6月1日起施行的《網(wǎng)絡安全法》用了整整一節(jié)來強調重點保障關鍵信息基礎設施的運行安全并界定了關鍵信息基礎設施的范圍。2016年11月工信部下發(fā)了《工業(yè)控制系統(tǒng)信息安全防護指南》（以下簡稱《指南》），其中也涉及到對工業(yè)系統(tǒng)離線環(huán)境和應急演練的要求，在“安全軟件選擇與管理”的第一條要求：“在工業(yè)主機上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權和安全評估的軟件運行”。文中的離線環(huán)境就是區(qū)別于工業(yè)運行的實際環(huán)境，即本文需要搭建的石化工控系統(tǒng)安全研究與應急演練平臺?！斑吔绨踩雷o”的第一條要求：“分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境”。本條目中工業(yè)控制系統(tǒng)的開發(fā)、測試環(huán)境的功能可由本文討論的平臺完成。“安全監(jiān)測與應急演練”的第四條要求：“定期對工業(yè)控制系統(tǒng)的應急響應預案進行演練，必要時對應急響應預案進行修訂”?？沙浞衷诒疚恼撟C的平臺上開展應急演練和應急響應預案的修訂。除《指南》外，工信部發(fā)布的工控系統(tǒng)信息安全三年行動計劃提出：到2020年建成“一網(wǎng)一庫三平臺”?！耙痪W(wǎng)”是指全國工控安全在線監(jiān)測網(wǎng)絡?！耙粠臁笔侵腹た匕踩珣辟Y源庫。按照《國家網(wǎng)絡安全事件應急預案》總體要求，應急資源庫匯聚漏洞、風險、解決方案、預案等信息，實現(xiàn)輔助決策、預案演練等功能?！叭脚_”是指工控安全仿真測試平臺、信息共享平臺和信息通報平臺。本文論證的平臺以石化生產(chǎn)相關真實工業(yè)控制場景為基礎，模擬業(yè)務流程，還原真實現(xiàn)場，滿足培訓、測試、驗證、試驗等多元化需求。4

平臺的功能設計平臺功能的設計，除了結合石油煉化的行業(yè)特點外，還需響應國家相關政策的要求。因此，平臺建設遵循“體系建設、持續(xù)研究、滾動發(fā)展”的總體思路。從根本上構建自主可控、高可信度、大規(guī)模、開放式的石化工控系統(tǒng)安全研究與應急演練平臺。平臺的功能由以下五部分組成：4.1安全攻防演練平臺根據(jù)石油煉化典型應用場景的工業(yè)控制系統(tǒng)，建立石油煉化工業(yè)控制系統(tǒng)安全攻防演練系統(tǒng)?？梢詫崿F(xiàn)如下特點：（1）跟蹤最新的攻防技術，針對攻防系統(tǒng)尋找可能的網(wǎng)絡攻擊切入點。（2）模擬工控網(wǎng)絡攻擊，深入分析攻擊途徑、攻擊方式以及攻擊對系統(tǒng)的影響。（3）針對攻擊制定防護方案，向國家石化企業(yè)、廠商提供產(chǎn)品、系統(tǒng)及網(wǎng)絡改進建議。4.2滲透監(jiān)控建立石油煉化工業(yè)控制系統(tǒng)網(wǎng)絡滲透監(jiān)控系統(tǒng)，從系統(tǒng)中對滲透攻擊的方式進行捕獲、監(jiān)控，加強對攻擊手段的研究與防護。4.3安全數(shù)據(jù)中心建立石油煉化工業(yè)控制系統(tǒng)安全數(shù)據(jù)中心，定期發(fā)布最新工業(yè)控制系統(tǒng)安全信息，包含：（1）漏洞庫：收集石化行業(yè)設備和集成服務提供商的漏洞信息，提供漏洞內容描述、攻擊方式、攻擊影響、漏洞設備列表、漏洞根源分析、漏洞探測方法、漏洞的保護措施等相關數(shù)據(jù)。（2）模型庫：建立石化工業(yè)控制系統(tǒng)模型庫，提供模型描述、設備列表、組網(wǎng)連接方式、網(wǎng)絡數(shù)據(jù)分析等。（3）大數(shù)據(jù)分析中心：從廠商、設備類型、行業(yè)等多個維度統(tǒng)計風險漏洞信息，統(tǒng)計石化工控系統(tǒng)網(wǎng)絡攻擊發(fā)生的趨勢，不同應用場景的攻擊手段、地理分布、攻擊系統(tǒng)分布等多個維度的數(shù)據(jù)，進行數(shù)據(jù)關聯(lián)分析和挖掘等，為石化行業(yè)工控安全態(tài)勢感知做技術儲備。4.4威脅復現(xiàn)及行業(yè)拓展針對石油煉化工業(yè)控制系統(tǒng)已遭受的攻擊，進行完整的復現(xiàn)。（1）威脅復現(xiàn)：針對目前已經(jīng)存在的網(wǎng)絡攻擊行為，在同等網(wǎng)絡條件下進行復現(xiàn)。（2）系統(tǒng)拓展：同一個威脅一般只針對特定的網(wǎng)絡、設備及終端，對于該種攻擊技術是否會對其他類型的設備和系統(tǒng)造成攻擊進行驗證，并發(fā)出威脅預警。（3）行業(yè)拓展：針對已經(jīng)存在的威脅，進行行業(yè)拓展，預防相同網(wǎng)絡威脅蔓延至其它工控行業(yè)。4.5設備、網(wǎng)絡安全評測對入網(wǎng)的操作系統(tǒng)、終端設備、網(wǎng)絡等進行安全評測。（1）對工控設備進行準入測試，保證進入石化系統(tǒng)網(wǎng)絡設備的安全、可靠。（2）為設備供應商提供安全測評報告。（3）為行業(yè)提供石化工控網(wǎng)絡安全咨詢、加固建議。5

平臺的系統(tǒng)組成基于平臺功能設計需求，平臺由目標業(yè)務系統(tǒng)、環(huán)境仿真系統(tǒng)、網(wǎng)絡測試系統(tǒng)、入侵誘捕系統(tǒng)、模擬攻擊系統(tǒng)、保護驗證系統(tǒng)以及多媒體展示系統(tǒng)等子系統(tǒng)組成：5.1目標業(yè)務系統(tǒng)以石化行業(yè)的生產(chǎn)系統(tǒng)為建設依據(jù)建設。該目標業(yè)務系統(tǒng)是安全研究與演練的目標，系統(tǒng)中的控制器、I/O部件、服務器、工程師站、操作員站等都屬于目標業(yè)務系統(tǒng)?？梢赃x石化行業(yè)典型的裝置以及典型的工控系統(tǒng)配置，如霍尼韋爾PKS系統(tǒng)、浙江中控ECS-700控制系統(tǒng)等，如圖1所示。圖1目標業(yè)務系統(tǒng)網(wǎng)絡結構圖（浙江中控）5.2環(huán)境仿真系統(tǒng)環(huán)境仿真系統(tǒng)以石化的裝置工藝為原型，為隔離的目標業(yè)務系統(tǒng)提供仿真環(huán)境。環(huán)境仿真系統(tǒng)可提高安全研究的可靠性，實現(xiàn)目標業(yè)務系統(tǒng)與演示場景的組合。環(huán)境仿真系統(tǒng)可以選取石化行業(yè)典型的工藝，如“PX”、“柴油加氫”等，滿足如下特點：（1）仿真演示需要符合石化行業(yè)的特點，使用最具代表性的設備模型或虛擬現(xiàn)實技術來展示，如圖2所示；圖2高仿真沙盤搭建的石化環(huán)境仿真系統(tǒng)圖（2）需要配合目標業(yè)務系統(tǒng)的工作狀態(tài)展示，如正常工作或受到攻擊；（3）演示效果直觀可見，例如通過高仿真模型的聲、光、電變化體現(xiàn)攻擊效果；（4）可以實現(xiàn)多次仿真演示，即演示對環(huán)境仿真系統(tǒng)不能造成永久破壞。5.3網(wǎng)絡測試系統(tǒng)利用專業(yè)網(wǎng)絡工具設備對目標業(yè)務系統(tǒng)進行網(wǎng)絡測試/攻擊的軟硬件設備及相應方法論。如：集成專業(yè)的工控知識庫，包括工業(yè)漏洞庫、工控設備庫、威脅特征庫、工控協(xié)議庫的網(wǎng)絡分析設備等。5.4入侵誘捕系統(tǒng)入侵誘捕系統(tǒng)是一種情報收集系統(tǒng)，該系統(tǒng)利用工控網(wǎng)絡蜜罐引誘黑客入侵，然后通過各類數(shù)據(jù)采集功能獲取黑客的入侵方法，通過對各類數(shù)據(jù)的分析掌握工控系統(tǒng)的最新漏洞、黑客的攻擊工具和攻擊路徑，為開展工控網(wǎng)絡安全研究收集大量的數(shù)據(jù)。入侵誘捕系統(tǒng)包括工控網(wǎng)絡蜜罐系統(tǒng)、工控入侵監(jiān)控系統(tǒng)等。5.5模擬攻擊系統(tǒng)用于展示攻擊效果的系統(tǒng)，包括目標業(yè)務系統(tǒng)中被控制的設備、展現(xiàn)攻擊路徑的軟硬件。模擬攻擊系統(tǒng)有兩方面的工作，一是對工業(yè)控制系統(tǒng)的硬件和上位機軟件進行安全威脅分析，利用創(chuàng)新性的科學方法和專業(yè)級的威脅分析工具，實現(xiàn)攻擊路徑分析，網(wǎng)絡、設備安全性分析，漏洞庫驗證等功能，進而找到工控網(wǎng)絡中的薄弱環(huán)節(jié)。二是針對薄弱環(huán)節(jié)編寫攻擊腳本，并將腳本植入攻擊介質中，如U盤等，如圖3所示。圖3利用U盤進行的模擬攻擊示意圖5.6保護驗證系統(tǒng)用于監(jiān)測審計/防護針對目標業(yè)務系統(tǒng)的網(wǎng)絡攻擊的軟硬件。該系統(tǒng)可用于各類網(wǎng)絡安全防護設備接入并進行防護技術與產(chǎn)品的功能驗證。系統(tǒng)所需要的網(wǎng)絡安全技術要求對網(wǎng)絡攻擊能及時發(fā)現(xiàn)、報警并攔截，保護（攔截）設備采用串聯(lián)方式部署，審計（報警）設備采用旁路方式進行部署，兼具黑、白名單規(guī)則。5.7多媒體展示系統(tǒng)多媒體展示系統(tǒng)由多媒體電視、大屏、多功能培訓工位等組成，該系統(tǒng)覆蓋實驗室全景，全方位展示平臺建設內容，可用于參觀、解說、人員培訓等，如圖4所示。圖4多媒體展示系統(tǒng)示意圖6

系統(tǒng)應用前景和效益分析石油煉化作為國家關鍵信息基礎設施的重要環(huán)節(jié)，其工業(yè)控制系統(tǒng)的安全性不言而喻。本次討論的安全研究與應急演練平臺效益主要體現(xiàn)在：（1）平臺可以解決石化工控企業(yè)安全研究、演練及針對性防護問題，解決工控企業(yè)當下不能或不敢直接在正常運行的工藝裝置上進行安全研究與演練的問題。（2）平臺配套的培訓及理論研究成果可以提高工控安全行業(yè)整體從業(yè)人員知識技能，為全國石油煉化行業(yè)輸送大量的高技能人才。7

總結隨著網(wǎng)絡空間斗爭形勢的日趨嚴峻，工業(yè)控制系