石油化工自动化系统网络安全的设计探索 -行业资讯

　　随着21世纪的到来，中国石化行业进入了跨越式的发展阶段。多个千万吨炼油和百万吨乙烯的炼化一体化工厂陆续在中国建成并投入商业化运行。石油化工行业的飞速发展为石油化工自动化和信息化提供了非常好的基础。笔者曾参加和主持了中国石化的多套乙烯和炼化一体化的全厂自动化系统的设计、建设、开车、投产运行。对石油化工自动化系统网络安全设计有些心得体会，在这里和大家分享。
　　
　　石油化工要求自动化系统安全、可靠、实时、可用。石油化工生命周期一般是15-20年。全生命周期当中，有必要探索网络管理、网络安全和网络运维。自动化系统的处理能力和通信协议，网络的边界条件及体系结构，工控网络和IT网络不完全一样。
　　
　　1、石油化工自动化工控网络安全现状
　　
　　（1）随着工业互联网生态系统的构建，传统封闭独立的系统环境逐渐向开放式的系统演变；
　　
　　（2）工控系统规模越来越大，要求越来越高；
　　
　　（3）工控系统与信息管理系统集成技术不断提高；
　　
　　（4）与传统工业控制系统不同，越来越多的工控系统采用标准的通用软硬件技术；
　　
　　（5）工控系统与信息系统网络安全性要求更高；
　　
　　（6）工控系统网络要求长周期连续、实时响应；
　　
　　（7）工业控制系统网络安全意识欠缺。
　　
　　2、工控网络安全风险
　　
　　（1）工控网络策略及管理程序欠缺；
　　
　　（2）缺乏**的物理安全防护和访问控制策略；
　　
　　（3）TCP/IP协议栈的广泛使用给工控网络安全带来挑战；
　　
　　（4）通用工作站采用Windows平台，尚未安装补丁系统；
　　
　　（5）工控系统服务器、工作站等易遭受网络攻击和病毒入侵
　　
　　（6）网络内部各层次和系统间相互干扰，攻击事件无法追踪。
　　
　　3、石油化工自动化系统集成
　　
　　集成后的石油化工自动化系统与单一的分散控制系统（DCS）或者单一的安全仪表系统（SIS）不同，通常包括：
　　
　　（1）分散控制系统（DCS）
　　
　　（2）现场总线控制系统（FCS）
　　
　　（3）安全仪表系统（SIS）
　　
　　（4）可编程序逻辑控制器（PLC）
　　
　　（5）智能设备管理系统（IDM）
　　
　　（6）压缩机组控制系统（CCS）
　　
　　（7）可燃/有毒气体检测系统（GDS）
　　
　　（8）转动设备监视系统（MMS）
　　
　　（9）罐区自动化系统（TAS）
　　
　　（10）先进报警管理系统（AAS）
　　
　　（11）操作数据管理系统（ODS）
　　
　　（12）先进过程控制系统（APC）
　　
　　（13）操作员仿真培训系统（OTS）
　　
　　（14）无线仪表系统（WIS）
　　
　　DCS、SIS、FCS、IDS、PLC、CCS、GDS等系统是涉及石油化工工厂正常安全运转的系统。MMS、TAS、ODS、AAS、APC、OTS、WIS等系统属于生产精益管理的系统。
　　
　　4、石油石化自动化系统网络架构
　　
　　石油化工自动化系统网络架构按照IEC62443标准进行设计，网络架构的设计原则是：纵向分层、横向分域。
　　
　　石油化工自动系统纵向分成4层，分别为实时控制层、监视控制层、操作管理层、安全数据缓冲层和调度管理层。
　　
　　石油化工自动系统横向分域是指按照生产装置分局域网1到局域网N。小生产装置或公用工程共用局域网。这里非常重要的设计原则是保证每个生产装置和单元能独立开停车。
　　
　　4.1 实时控制层（L1）
　　
　　（1）L1层网络包括控制器、I/O总线、I/O模件、通信模件、电源模件；
　　
　　（2）L1层数据通信采用专有协议；
　　
　　（3）L1层网络节点核心设备控制站传输实时数据和各种操作指令；
　　
　　（4）L1层网络节点存在工控协议、TCP/IP协议漏洞，用户越权非法用户访问等；
　　
　　（5）该层实行优先级通信，确保控制信息传输可靠。
　　
　　4.2 监视控制层（L2）
　　
　　（1）监视控制层包括现场机柜间（FAR）和中央控制室（CCR）两个区域，采用冗余单模光纤相连接；
　　
　　（2）L2层网络包括服务器、工程师站、操作员站、交换机等节点，提供监视、管理、操作、控制功能，点对点通信，实时数据、历史数据采集等；
　　
　　（3）L2层网络封闭，软件和协议专有化；
　　
　　（4）L2层网络工程师站、操作员站、服务器以及网络设备等主机漏洞、病毒等；
　　
　　（5）L2层实行优先级通信，确保监控信息传输冗余可靠；
　　
　　（6）网络边界配置防火墙/交换机，安装主机安全软件，配置专用U盘，配置工控安全监测系统。
　　
　　4.3 操作管理层（L3）
　　
　　（1）操作管理层（L3）包括带路由功能核心交换机、防火墙，通过星形连接方式将L2层网络汇聚起来，L3层位于CCR；
　　
　　（2）L3层网络节点：全局工艺工程师站、全局DCS工程师站、中心服务器、终端工作站（TS）、历史服务器、网络安全监控站；
　　
　　（3）L3层网络执行全局操作管理，对L2层分区组态维护、采集，查看和调用各分区实时数据、画面、趋势和报警。
　　
　　4.4 生产调度层（L4）
　　
　　（1）安全数据缓冲层（DMZ）（L3.5）包括交换机、防火墙、ODS中心服务器、WEB服务器、防病毒服务器等；
　　
　　（2）L3.5层是操作管理层（L3）与生产调度层（L4）之间的缓冲区，加强L3、L4层进行信息交换的安全策略，保护L3层不受来自外部的攻击；
　　
　　（3）所有来自L4层的外部访问只能访问L3.5层，确保L3、L2、L1层正常安全运行，安装防火墙，有三个网络接口，第1个口接L3层（内部网络），第2个口接L4层（以太网），第3个口接DMZ边界网络。
　　
　　（4）生产调度层（L4）包括防火墙、交换机、生产调度站、ODS客户端、WEB客户端等管理节点，通过防火墙访问L3.5层服务器，获取过程信息、画面、报表等。
　　
　　5、网络安全策略
　　
　　5.1安全隔离
　　
　　划分清晰的网络和安全区域边界，制定准确严格的访问控制策略；通过部署工控防火墙，限制非法用户对控制器的访问，减轻控制器负载，防止控制器遭受大规模数据包攻击。
　　
　　5.2 病毒防护
　　
　　病毒防护采用软件白名单方式；
　　
　　只允许在白名单范围内的程序运行，工控系统安装的程序单一稳定，适合软件白名单方式运行。
　　
　　5.3 安全审计
　　
　　日志审计和流量监控，网络设备、主机系统的日志收集。
　　
　　5.4 身份识别
　　
　　制定严格的身份认证机制，针对不同角色设定不同的身份鉴别方式。
　　
　　5.5设备自身保护
　　
　　网络设备加固：关闭不需要的服务，限制远程管理地址，使用加密方式进行远程管理；
　　
　　主机操作系统加固：安装系统补丁，关闭多余服务，删除多余系统组件；
　　
　　工控系统自身防护：采用合适软件开发模式，启用身份鉴别和用户权限控制机制等。
　　
　　5.6 边界完整性
　　
　　严格控制非授权设备接入，加强对移动介质的管理，及时对输入数据进行扫描查杀，防止数据泄露；
　　
　　DCS、SCADA使用无线网络传输数据，必须对无线信号加密，接入设备认证，无线-有线网络间使用工控防火墙或网关隔离等。
　　
　　5.7 控制网络的拓扑为星型结构，每个设备的接入带宽完全独享，单点的通讯故障不影响其它设备通讯。
　　
　　5.8 控制网络完全冗余，BUS1和BUS2同时工作，数据设差错检验，确保两网数据完全一致。
　　
　　5.9控制器防火墙只允许与控制器有关信息通过，控制、I/O通信、点对点通信保证确定性。
　　
　　6、网络安全待解决问题
　　
　　（1）培养兼顾通用软硬件技术和网络安全的复合型人才；
　　
　　（2）工控系统制造商和信息安全制造商应深度合作研发适用的工控系统安全解决方案；
　　
　　（3）工控系统信息安全产品可靠性、可用性、工业环境运行等待提高；
　　
　　（4）自动控制人员加强网络安全知识学习、培训、应用，总结经验；
　　
　　（5）尽快编制工控系统网络安全管理策略及程序。
自动化系统：http://articles.e-works.net.cn/scada/

资讯来源：http://articles.e-works.net.cn/scada/