基于縱深防御理念的 DCS 信息安全方案在青島煉化項(xiàng)目的應(yīng)用
供稿:西門子(中國)有限公司
- 關(guān)鍵詞:信息安全,縱深防御,,PCS,7,,域,防病毒
- 摘要:近年來,隨著工業(yè)過程控制系統(tǒng)自動(dòng)化、數(shù)字化、網(wǎng)絡(luò)化程度的不斷提高,工業(yè)過程控制系統(tǒng)所面臨的信息安全威脅也日益嚴(yán)重。2010年“震網(wǎng)”病毒爆發(fā),工業(yè)過程控制系統(tǒng)的信息安全得到了世人前所未有的關(guān)注。工業(yè)過程控制系統(tǒng)的信息安全關(guān)系到工業(yè)生產(chǎn)運(yùn)行安全。 本文介紹了西門子公司基于縱深防御理念的 DCS 信息安全解決方案的總體概念和實(shí)施思路。
1.前言
青島煉化公司一期1000萬噸/年煉油項(xiàng)目是我國批準(zhǔn)建設(shè)的第一個(gè)單系列千萬噸級(jí)煉油項(xiàng)目,是中國石化調(diào)整國內(nèi)煉化產(chǎn)業(yè)布局、打造環(huán)渤海灣煉化產(chǎn)業(yè)集群的重大戰(zhàn)略項(xiàng)目。青島煉化公司位于青島經(jīng)濟(jì)技術(shù)開發(fā)區(qū)重化工園區(qū),位置優(yōu)越,配套完備,交通便捷。工藝路線采用“焦化+ CFB 鍋爐+催化”方案,設(shè)計(jì)加工進(jìn)口原油1000萬噸/年,擁有16套工藝生產(chǎn)裝置和相應(yīng)的公用工程、輔助設(shè)施,占地220公頃,總投資125億元,總定員500人。年產(chǎn)汽、煤、柴成品油708萬噸,液化氣、聚丙烯、苯、混苯等化工產(chǎn)品203萬噸。青島大煉油項(xiàng)目按照“大型化、系列化、集約化、信息化”理念進(jìn)行規(guī)劃建設(shè),具有規(guī)模經(jīng)濟(jì)、技術(shù)先進(jìn)、環(huán)保領(lǐng)先和效益顯著等四個(gè)鮮明特征。
青島煉化公司一期1000萬噸/年煉油裝置采用西門子 PCS 7 V6.1 過程控制系統(tǒng)作為過程控制系統(tǒng)系統(tǒng),控制 I/O 點(diǎn)數(shù)在23000點(diǎn)左右。二期擴(kuò)建部分包括苯乙烯、加氫裂化、制氫等裝置,采用西門子 PCS 7 V7.0 過程控制系統(tǒng)作為過程控制系統(tǒng)系統(tǒng),控制 I/O 點(diǎn)數(shù)在5500點(diǎn)左右。青島煉化 DCS 系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖如圖1所示。
2.信息安全需求
青島煉化 DCS 系統(tǒng)自2008年5月投用以來運(yùn)行良好。但從2009年底開始,在調(diào)用趨勢(shì)時(shí),有零星的操作員站死機(jī)現(xiàn)象出現(xiàn)。 青島煉化聯(lián)合西門子的技術(shù)人員,對(duì)該細(xì)節(jié)進(jìn)行認(rèn)真的分析和判斷,最終發(fā)現(xiàn)故障原因是由于系統(tǒng)內(nèi)感染了多種網(wǎng)絡(luò)病毒。[4]
在確認(rèn)故障原因后,青島煉化、中石化工程建設(shè)有限公司(SEI)、西門子共同研究制定解決方案。
3.信息安全概念
在 IEC 62443 中針對(duì)工業(yè)控制系統(tǒng)對(duì)信息安全的定義是[1-2]:“a) 保護(hù)系統(tǒng)所采取的措施;b) 由建立和維護(hù)保護(hù)系統(tǒng)的措施所得到的系統(tǒng)狀態(tài);c) 能夠免于對(duì)系統(tǒng)資源的非授權(quán)訪問和非授權(quán)或意外的變更、破壞或者損失;d) 基于計(jì)算機(jī)系統(tǒng)的能力,能夠保證非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能,卻保證授權(quán)人員和系統(tǒng)不被阻止;e) 防止對(duì)工業(yè)控制系統(tǒng)的非法或有害入侵,或者干擾其正確和計(jì)劃的操作?!?nbsp;
目前,我國《計(jì)算機(jī)信息安全保護(hù)條例》的權(quán)威定義是:通過計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)手段,使計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)庫等受到保護(hù),最大可能不因偶然的或惡意的因素而遭破壞、更改或泄密,系統(tǒng)能夠正常運(yùn)行,使用戶獲得對(duì)信息使用的安全感。信息安全的目的是保護(hù)信息處理系統(tǒng)中存儲(chǔ)、處理的信息的安全,其基本屬性有:完整性、可用性、保密性、可控性、可靠性。
隨著信息技術(shù)迅猛發(fā)展,計(jì)算機(jī)及其網(wǎng)絡(luò)、移動(dòng)通信和辦公自動(dòng)化設(shè)備日益普及,國內(nèi)大中型企業(yè)為了提高企業(yè)競(jìng)爭(zhēng)力,都廣泛使用信息技術(shù),特別是網(wǎng)絡(luò)技術(shù)。企業(yè)信息設(shè)施在提高企業(yè)效益的同時(shí),給企業(yè)增加了風(fēng)險(xiǎn)隱患,網(wǎng)絡(luò)安全問題也一直層出不窮,給企業(yè)所造成的損失不可估量。
DCS系統(tǒng)作為企業(yè)生產(chǎn)控制所必不可少的組成部分,技術(shù)上基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。因此,DCS 系統(tǒng)同樣面臨著網(wǎng)絡(luò)安全的問題。由于 DCS 系統(tǒng)在工廠內(nèi)的重要性和特殊性,確保 DCS 系統(tǒng)的信息安全更為重要。這對(duì)于確保工廠的平穩(wěn)運(yùn)行和安全生產(chǎn)具有極為重要的意義。[3]
在辦公I(xiàn)T領(lǐng)域,其系統(tǒng)安全需求一般可描述為CIA,即機(jī)密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。由于在辦公I(xiàn)T系統(tǒng)中,數(shù)據(jù)通信多為人與人之間的通信,往往涉及到各種敏感(如財(cái)務(wù)、人事、企業(yè)戰(zhàn)略決策等)數(shù)據(jù),所以保證機(jī)密性是第一位的。其次才是保證數(shù)據(jù)的完整性,防止攻擊者的惡意篡改等。由于辦公網(wǎng)一般都為非實(shí)時(shí)通信,對(duì)可靠性的要求也并不高,所以系統(tǒng)的可用性被放到了第三位。
而工業(yè)自動(dòng)化控制領(lǐng)域,尤其是過程控制領(lǐng)域的安全需求則與辦公I(xiàn)T系統(tǒng)領(lǐng)域恰好相反。在過程控制領(lǐng)域,第一位的安全需求是可用性,這是由于過程控制對(duì)象是液流、壓力、運(yùn)動(dòng)等物理量,這種控制往往還具有相當(dāng)高的實(shí)時(shí)性要求,一旦(哪怕只是很短時(shí)間地)失去控制,就會(huì)造成及其嚴(yán)重的后果。因此,必須優(yōu)先保障全年365天不間斷(24/7/365)的不間斷的可用性、可操作性,確保系統(tǒng)始終可訪問,保障過程控制系統(tǒng)與MES系統(tǒng)間的不間斷通信。在此基礎(chǔ)上,才是保障工業(yè)控制通信的完整性。由于過程控制系統(tǒng)中的數(shù)據(jù)多數(shù)是機(jī)器與機(jī)器之間的通信,其機(jī)密性要求相對(duì)較低,所以被放到了第三位。
4. 青島煉化信息安全方案
在深入分析青島煉化過程控制系統(tǒng)的系統(tǒng)架構(gòu)、應(yīng)用特點(diǎn)、安全現(xiàn)狀、安全威脅、以及安全需求的基礎(chǔ)上,我們將縱深防御理念引入到過程控制信息安全領(lǐng)域,結(jié)合過程控制的系統(tǒng)特點(diǎn),重點(diǎn)研究了網(wǎng)絡(luò)分區(qū)與防護(hù)、系統(tǒng)加固與補(bǔ)丁管理等關(guān)鍵技術(shù),提出了一個(gè)切實(shí)可行的過程控制系統(tǒng)信息安全解決方案。
本技術(shù)方案在 IEC62443 標(biāo)準(zhǔn)所提出的縱深防御理念基礎(chǔ)上,研究工業(yè)領(lǐng)域的工程化解決方案。通過深入研究青島煉化公司的系統(tǒng)特點(diǎn)與安全需求,將縱深防御的理念引入到過程控制系統(tǒng)安全領(lǐng)域并工程化,提出了石化行業(yè)工控系統(tǒng)分層及安全防護(hù)的參考模型。該模型不僅適用于青島煉化項(xiàng)目,在石化行業(yè)作為最佳實(shí)踐具有很高的推廣價(jià)值。
維護(hù)網(wǎng)絡(luò)安全,確保石油石化過程控制系統(tǒng)的穩(wěn)定可靠、防止來自內(nèi)部或外部攻擊,就需要在過程控制系統(tǒng)安全防護(hù)領(lǐng)域引入縱深防御的理念,研究如通過風(fēng)險(xiǎn)評(píng)估定制符合不同過程控制系統(tǒng)的系統(tǒng)架構(gòu)、應(yīng)用特點(diǎn)、安全現(xiàn)狀、安全威脅、以及安全需求的安全解決方案,在不干擾過程控制業(yè)務(wù)的前提下,針對(duì)不同性質(zhì)的安全威脅,分層次、系統(tǒng)地在石化過程控制系統(tǒng)中部署上述高安全性的防護(hù)措施,這是石油石化過程控制系統(tǒng)信息安全的核心需求,也是本技術(shù)方案的研究目標(biāo)所在。
4.1. 物理安全
通過門禁系統(tǒng)等實(shí)現(xiàn)工廠的生產(chǎn)裝置、設(shè)備、系統(tǒng)等的物理安全,未經(jīng)授權(quán)人員不能接觸或靠近生產(chǎn)裝置。
4.2. 安全策略與流程
過程控制系統(tǒng)信息安全不是一個(gè)單純的技術(shù)問題,而是一個(gè)從意識(shí)培養(yǎng)開始,涉及到管理、流程、架構(gòu)、技術(shù)、產(chǎn)品等各方面的系統(tǒng)工程。
4.3. 網(wǎng)絡(luò)分區(qū)與邊界防護(hù)
規(guī)劃安全單元:安全單元是工廠中一個(gè)具備獨(dú)立功能的部分;在安全單元內(nèi)部的成員相互信任;對(duì)于安全單元的訪問只能通過明確定義的訪問點(diǎn);訪問點(diǎn)受到監(jiān)控并且有記錄;安全單元內(nèi)的所有成員是直接連接的 ;造成高網(wǎng)絡(luò)負(fù)荷的成員直接集成在安全單元內(nèi)部 。如圖5所示:
4.4. 用防火墻分隔不同的安全單元
防火墻根據(jù)一定的規(guī)則檢查和過濾數(shù)據(jù);通過防火墻保障安全單元的訪問點(diǎn);在安全單元內(nèi)部無需防火墻 。如圖6所示:
圖6 防火墻分隔網(wǎng)絡(luò)單元
4.5. 安全的單元間通信
采用 VPN 系統(tǒng)等技術(shù)實(shí)現(xiàn)安全的單元間通信。虛擬專用網(wǎng)絡(luò)(Virtual Private Network ,簡(jiǎn)稱 VPN )指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng),主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái),如 Internet 、ATM(異步傳輸模式〉、Frame Relay (幀中繼)等之上的邏輯網(wǎng)絡(luò),用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。
4.6. 活動(dòng)目錄域和工作組
目前大多數(shù)工業(yè)控制系統(tǒng)的計(jì)算機(jī)操作系統(tǒng)均基于微軟公司的 Windows 平臺(tái)。Windows 組成網(wǎng)絡(luò)的模式有兩種:工作組(Workgroup)和域(Domain)。大多數(shù)系統(tǒng)的組網(wǎng)方式是工作組模式,這帶來了很大的安全隱患。而只有域模式是更加安全的組網(wǎng)模式,也是本技術(shù)方案所推薦采用的組網(wǎng)模式。
在工組組模式下,所有計(jì)算機(jī)是對(duì)等的,任何一臺(tái)電腦只要接入網(wǎng)絡(luò),其他機(jī)器就都可以訪問共享資源,如共享上網(wǎng)等。盡管對(duì)等網(wǎng)絡(luò)上的共享文件可以加訪問密碼,但是非常容易被破解。因此在工作組構(gòu)成的對(duì)等網(wǎng)中,數(shù)據(jù)的傳輸是非常不安全的。在工作組模式下,每臺(tái)計(jì)算機(jī)均有自己的 Windows 系統(tǒng)安全配置,不利于全廠統(tǒng)一安全配置,不利于檢查和修改安全配置。每臺(tái)計(jì)算機(jī)均有自己的用戶賬號(hào),不利于對(duì)賬號(hào)和密碼進(jìn)行管理和維護(hù)。
域的真正含義指的是域控制器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入本網(wǎng)絡(luò)。所有已授權(quán)的、合法的計(jì)算機(jī)信息和用戶賬號(hào)信息均儲(chǔ)存在域控制器中,因此,任何人在任何計(jì)算機(jī)上要登陸網(wǎng)絡(luò)和計(jì)算機(jī),均需要經(jīng)過身份驗(yàn)證。域控制器管理了網(wǎng)絡(luò)上所有計(jì)算機(jī)的安全配置,可以制定全廠統(tǒng)一的安全策略,實(shí)現(xiàn)網(wǎng)絡(luò)上所有計(jì)算機(jī)的安全配置同步功能。在域控制器可以集中管理和維護(hù)域內(nèi)所有計(jì)算機(jī)的用戶賬號(hào)和密碼,對(duì)于需要定期修改密碼的用戶提供了很大的便利。
4.7. 系統(tǒng)加固與補(bǔ)丁管理
為了最大限度地保護(hù)計(jì)算機(jī)不受到病毒的侵害,需要安裝與 DCS 系統(tǒng)兼容的殺毒軟件,并且及時(shí)更新病毒庫。另外,Windows 的補(bǔ)丁也需要及時(shí)更新才能保持操作系統(tǒng)的穩(wěn)定和健康運(yùn)行。西門子在德國的測(cè)試中心會(huì)將最新的 Windows 補(bǔ)丁與 PCS 7系統(tǒng)的兼容性測(cè)試結(jié)果發(fā)布在網(wǎng)站上,維護(hù)人員根據(jù)這些信息可以選擇安裝補(bǔ)丁。
4.8. 惡意軟件的檢測(cè)和防護(hù)
惡意軟件的種類繁多、變種更新頻率很快。通常的防范措施包括:安裝防毒軟件及防火墻。但是,這些措施都只能對(duì)惡意軟件的清除起到有限的作用。防病毒軟件的病毒庫只對(duì)已知的病毒起作用,因此需要及時(shí)更新病毒庫。但更新病毒庫的過程中如果操作不當(dāng),也會(huì)增加惡意軟件的入侵來源。因此,惡意軟件的檢測(cè)和防護(hù)措施中最重要的是從源頭上檢測(cè)、控制惡意的入侵,從源頭上堵住惡意軟件。一旦惡意軟件入侵了系統(tǒng),如何阻斷和限制在惡意軟件在系統(tǒng)內(nèi)的傳播。如何在不影響系統(tǒng)運(yùn)行的情況下,清除系統(tǒng)內(nèi)的病毒。
4.9. 訪問控制與賬號(hào)管理
執(zhí)行嚴(yán)格的用戶管理和統(tǒng)一的訪問控制是整個(gè)信息安全方案中和核心部分,本方案采取域服務(wù)器對(duì)整個(gè)過程控制系統(tǒng)進(jìn)行安全策略的統(tǒng)一管理。
訪問控制與賬號(hào)管理的定義是確保任何人未經(jīng)授權(quán)就無法訪問、操作過程控制系統(tǒng)的資源。嚴(yán)格的用戶/訪問管理是整個(gè)安全策略和核心部分之一。需要遵循最小權(quán)限原則;需要定期檢查角色分配和權(quán)限;集中管理用戶,密碼和權(quán)限;確定明確的角色和權(quán)限的分配。
遠(yuǎn)程訪問推薦的方法:遠(yuǎn)程訪問通過 VPN (虛擬專用網(wǎng))和隔離網(wǎng)絡(luò)接入;結(jié)合不同的安全技術(shù)認(rèn)證和加密。
5、方案的實(shí)施過程
本項(xiàng)目實(shí)施過程包括五個(gè)階段:
第一階段:青島煉化與西門子、 SEI 簽訂了項(xiàng)目實(shí)施合同,并召開開工會(huì),明確項(xiàng)目的人員安排、實(shí)施進(jìn)度和節(jié)點(diǎn)。
第二階段:西門子和 SEI 進(jìn)行項(xiàng)目前期設(shè)計(jì),制定方案,規(guī)劃方案的實(shí)施細(xì)節(jié):如何實(shí)施縱深防御的解決方案。并在辦公室完成整個(gè)系統(tǒng)初步設(shè)計(jì)、詳細(xì)設(shè)計(jì)、軟件編程組態(tài)、硬件集成、內(nèi)部測(cè)試和文檔工作。
第三階段:青島煉化和 SEI 到西門子工程公司所在地上海,進(jìn)行信息安全系統(tǒng)出廠測(cè)試工作。對(duì)設(shè)計(jì)的各項(xiàng)指標(biāo)進(jìn)行測(cè)試和驗(yàn)證工作,經(jīng)過測(cè)試,各項(xiàng)性能滿足設(shè)計(jì)要求,達(dá)到了發(fā)貨的條件。
第四階段:軟硬件設(shè)備發(fā)貨到現(xiàn)場(chǎng),進(jìn)行安裝調(diào)試。為所有計(jì)算機(jī)配置信息安全設(shè)置,安裝域服務(wù)器、安裝殺毒服務(wù)器、安裝補(bǔ)丁更新服務(wù)器、網(wǎng)絡(luò)交換機(jī)、安裝相關(guān)的軟件系統(tǒng),配置域、配置防火墻、配置工業(yè)控制系統(tǒng)聯(lián)合安全網(wǎng)關(guān),配置DMZ區(qū)內(nèi)的計(jì)算機(jī)、開通網(wǎng)絡(luò)支持等。
第五階段:經(jīng)過現(xiàn)場(chǎng)安裝調(diào)試過程,所有系統(tǒng)內(nèi)的計(jì)算機(jī)病毒被清除,青島煉化各個(gè)工段依次順利開車運(yùn)行。
2011年6月-8月,青島煉化、中石化工程建設(shè)有限公司 SEI 、西門子公司一起成功地實(shí)施了青島煉化信息安全項(xiàng)目,部署了縱深防御解決方案,清除了系統(tǒng)內(nèi)的病毒。
6、應(yīng)用效果
2011年8月中旬,青島煉化大檢修完畢,所有裝置開始投運(yùn)。開車以來,PCS 7 系統(tǒng)運(yùn)行穩(wěn)定,操作員站運(yùn)行正常,經(jīng)過反復(fù)測(cè)試,在調(diào)用趨勢(shì)時(shí)不再出現(xiàn)死機(jī)現(xiàn)象。
經(jīng)過實(shí)施預(yù)定的信息安全措施,青島煉化 PCS 7 系統(tǒng)的信息安全等級(jí)得到了質(zhì)的提高,為長期的穩(wěn)定提供了堅(jiān)實(shí)的保障。
實(shí)施信息安全不是目的和結(jié)果,而是一個(gè)過程。要將信息安全的措施落實(shí)到位需要投入長期不懈的努力,只有全方位的措施才能防患于未然。
參考文獻(xiàn)
[1] 國際電工委員會(huì). IEC 62443-2-1工業(yè)通訊網(wǎng)絡(luò)-網(wǎng)絡(luò)和系統(tǒng)安全-第2-1章-建立工業(yè)控制系統(tǒng)安全程序[S]. 2010/11.
[2] 國際電工委員會(huì). IEC-PAS 62443-3 工業(yè)測(cè)量和控制網(wǎng)絡(luò)和系統(tǒng)信息安全[S]. 2008-1.
[3] 歐陽勁松, 丁 露. IEC 62443 工控網(wǎng)絡(luò)與系統(tǒng)信息安全標(biāo)準(zhǔn)綜述[J]. 信息技術(shù)與標(biāo)準(zhǔn)化, 2012 , (3): 24-27.
[4] 張波. 基于 PCS 7 的信息安全概念在青島煉化項(xiàng)目的應(yīng)用[M]. 北京:機(jī)械工業(yè)出版社, 2011西門子自動(dòng)化專家會(huì)議論文集: 733-744.