工控信息安全专栏 | 化工生产控制系统信息安全防护

1　项目简介

1.1　项目背景

在大量采用DCS控制现代化的石化装置中，控制回路占总回路数的80%～90%。

DCS（DistributedControl System）集散控制系统，它是一个由过程控制级和过程监控级组成的以通信网络为纽带的多级计算机系统，其基本思想是分散控制、集中操作、分级管理、配置灵活、组态方便，取得了令人瞩目的成就。PLC（Programmer Logic Controller）称为可编程序逻辑控制器，它是按照成熟而有效的继电器控制概念和设计思想，利用不断发展的新技术、新电子器件，逐步形成了具有特色的各种系列产品，是一种数字运算操作的专用电子计算机。根据我国具体情况而言，石油化工领域DCS系统，霍尼韦尔、横河、艾默生、ABB等国外厂商占据50%以上份额，浙江中控、和利时等国内厂商主要活跃在中小化工行业；我国大中型PLC市场被罗克韦尔自动化、施耐德电气和西门子等国外厂商占据99%以上份额。

南通星辰主要生产装置DCS控制系统建设情况如下：PBT装置DCS系统为横河CENTUM-CS3000；双酚A装置DCS系统为横河CENTUM-CS3000；环氧树脂装置DCS系统为浙大中控ECS100；动力装置共用5套西门子S7-300PLC系统，分别用于供热站、冷冻站、循环水站、热煤站以及环氧三效；其余辅助生产装置还用了欧姆龙、ABB、三菱电机自动化、和利时等PLC。综上所述，南通星辰的工业控制系统是中国化工集团，乃至中国化工行业的缩影：生产装置均采用DCS和PLC数字化控制手段，但鉴于项目建设配套工艺包中相关要求，DCS和PLC的品牌多种多样、五花八门。

南通星辰化工生产控制系统安全防护项目还具有极强的示范意义和示范效果。以南通星辰所属的中国蓝星（集团）股份有限公司为例，其DCS规模和品牌占有率很高，通过完成南通星辰DCS和PLC控制系统安全防护示范工程，由于其所涉及的日本横河DCS、浙大中控DCS和西门子PLC系统在中国蓝星乃至中国化工集团占据了半壁江山，因此在系统内具有极强的推广价值。同时，在中国的石油化工领域，横河、浙江中控、和利时和西门子的DCS与PLC工业控制系统占据较大市场份额，项目的研究成果还能够进一步推广至全国石化领域。

1.2　项目目标及规模内容

1.2.1　项目目标

针对南通星辰工业控制系统种类多品牌杂、总线协议复杂多样和实时性要求高的现状，基于工控信息安全等级保护的思想，以化工生产装置的安全、稳定、可靠运行为核心，综合运用边界防护、访问控制、主机安全等技术手段，有效整合不同层面的安全技术，建成一个符合等保三级的信息安全技术防护体系。基于所建立的信息安全技术防护体系，制定一套工控安全管理制度，形成一套化工领域工控系统安全标准。最终，南通星辰化工生产控制系统安全防护示范工程将使该企业的工控信息安全防护等级达到等保三级的主要要求，从而为化工行业生产控制系统提供一套信息安全防护解决方案，并起到相应的示范作用。

1.2.2　项目内容

基于上述所制定的项目目标，南通星辰化工生产控制系统安全防护示范工程将完成以下内容：

（1）南通星辰化工生产装置控制系统安全防护实施方案、设备选型和集成方案论证；

（2）测试环境下的边界防护与访问控制；

（3）测试环境下的主机应用安全；

（4）南通星辰化工生产控制系统边界防护与访问控制；

（5）南通星辰化工生产控制系统主机应用安全；

（6）建立南通星辰化工生产控制系统安全管理平台；

（7）建立基于生产执行系统（MES）、管理系统与工业控制系统相结合的安全防护体系；

（8）制定化工行业内相关生产控制系统安全防护标准。

上述项目内容将涉及目前南通星辰公司PBT装置、双酚A装置、环氧树脂装置和动力车间共涉及生产线30余条，通过15套DCS系统和20套PLC控制系统进行控制，包括：150余套控制站，20套现场总线系统，20套工业以太网，100余套工业交换机，10套实时数据库服务器，35套工程师站，100余套操作员站。通过该项目的实施和工程应用，实现对上述工业过程控制系统安全防护。

2　项目建设的必要性和需求分析

2.1　项目建设的必要性

石油化工领域DCS系统，被霍尼韦尔、横河、艾默生、ABB等国外厂商占据50%以上份额。2011年工信部发布了《关于加强工业控制系统安全管理的通知》，明确了重点领域工业控制系统信息安全管理要求，对连接、组网、配置、设备选择与升级、数据、应急等管理方面提出了明确要求。

随着网络技术的迅猛发展，工业控制系统不再是一个自我封闭的孤岛，南通星辰工业控制系统通过工业以太网与MES系统、ERP系统和企业集团管理系统相连，工业控制系统已经成为整个网络世界的一个“子站”。综上所述，南通星辰在其化工生产装置DCS/PLC系统以及即将新建的先进控制系统（APC）均需要对信息安全进行防护，信息安全是实现装置“安、稳、长、满、优”运行的必要手段，是保障站点重大危险源处于绝对安全可控状态的重要手段。

2.2　项目建设需求分析

2.2.1　南通星辰化工生产控制系统现状

南通星辰所拥有的生产规模位居亚洲第一的6万吨/年PBT树脂和4万吨/年改性工程塑料生产装置、9万吨/年双酚A生产装置和产量位居全国第一的5万吨/年环氧树脂生产装置均具有复杂的生产工艺和流程。其控制系统包括：

（1）分布式控制系统（DCS）

南通星辰生产装置DCS系统特点如下：

·开放的网络结构：采用Windows XP标准操作系统，支持DDE/OPC；

·高可靠性：采用了4CPU冗余容错技术的现场控制站，实现了在任何故障及随机错误产生的情况下进行纠错与连续不间断控制；

·高速的控制总线：CS3000采用横河公司的V-NET/IP控制总线，该控制总线速度可高达1Gbps；

·现场控制站的高效性：控制站FCS采用高速RISC处理器VR5432，可进行64位浮点运算，具有强大的运算和处理功能，可以实现多变量控制，模型预测控制，模糊逻辑等多种高级控制功能；

·高效的工程化方法：CENTUM CS3000采用ControlDrawing图进行软件设计及组态，使方案设计及软件组态同步进行，最大限度地简化了软件开发流程；

·可扩展性：具有构造大型实时过程信息网的拓扑结构，可以构成多工段，多集控单元，全厂综合管理与控制综合信息自动化系统。

（2）可编程逻辑控制器（PLC）

PLC系统完成动力装置的所有过程控制、工艺参数显示、设备运行状态监测及故障报警、生产数据存储及分析、报表打印等功能。

PLC具有稳定可靠、价格便宜、功能齐全、应用灵活方便、操作维护方便的优点，这是它能持久占有市场的根本原因。

2.2.2　南通星辰信息化建设和应用现状

除生产控制系统外，南通星辰基于美国OSIsoft公司实时数据库软件产品PI System建立了生产运营管理系统。通过实时采集各DCS生产控制系统和PLC系统的生产数据，建立统一、安全稳定、开放集成的实时数据库平台，在获得精确、实时数据的基础上，企业能够实时监控设备运行，动态掌握生产过程，在线模拟流程和过程优化，及提高应急响应速度等，也能够实现总部对企业的远程监控，协调和指挥，从而大大提高生产管理的智能化程度，为精细化管理和运营管控提供坚实基础。

处于办公网的生产运营管理系统所需采集生产网数据，根据网络拓扑结构图所示，为了保证数据安全，目前办公网与生产网使用一台防火墙进行隔离。生产运营管理系统网络拓扑结构如图1所示。

图1 南通星辰生产运营管理系统网络拓扑结构图

2.2.3　南通星辰存在信息安全问题描述

目前对于工业控制网络常用的攻击手段如图2所示，通过侦测网络、扫描端口、枚举协议漏洞等一系列手段，最终通过病毒破坏工控系统中的各类操作站（普通PC或服务器）的操作系统，甚至感染工控系统中的控制单元（PLC）。将前述南通星辰PBT装置、双酚A装置、环氧树脂装置的DCS系统和动力车间PLC系统进行抽象，再结合目前工控网络与其他信息系统集成应用的实际情况，形成如图3所示的南通星辰可能面临的网络攻击和存在的信息安全隐患。

图2 对于工业控制网络常用的攻击手段

图3 南通星辰面临的潜在信息安全风险整体分析

综上所述，工业控制网络安全是信息化推进中出现的新问题，只能在发展的过程中用发展的方式加以解决。不能简单地通过不上网、不共享、不互联互通来保安全，或者片面强调建专网。这样做的结果只能是造成不必要的重复建设，大量网络资源得不到充分利用，增加信息化的成本，降低信息化效益，失去发展机遇。这种“懒政”思维必须破除。要努力实现技术创新和体制机制创新，不断形成维护网络安全的新思路、新方法、新举措、新本领。

基于实现先进过程控制的相关要求，图4是南通星辰先进控制系统的部署方案。通过实施先进控制，可以改善过程动态控制的性能，减少过程变量的波动幅度，使之能更接近其优化目标值，从而将生产装置推至更接近其约束边界条件下运行，最终达到增强装置运行的稳定性和安全性、保证产品质量的均匀性、提高目标产品收率、增加装置处理量、降低运行成本、减少环境污染等目的。

图4 南通星辰先进过程控制系统部署方案

2.2.4　项目示范的主要内容和目的

基于上述对南通星辰存在的信息安全问题的详细分析，项目示范的主要内容包括：

（1）根据南通星辰的DCS、PLC控制系统具体分布及应用情况，根据DCS、PLC设备的功能属性及安全属性将控制系统划分成不同的安全区域，构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防御体系；

（2）面向中国蓝星南通星辰控制环境，在DCS/PLC系统中进行防火墙、端点主机（操作站、工程师站、服务器等）入侵防御系统、入侵检测系统、攻击行为跟踪分析系统、DCS/PLC网络空间预警系统、安全态势系统等系列安全可控产品的试点应用；

（3）通过强化分区、隔离防护、协议管控、入侵防御、可信计算、PKI/CA及安全审计等技术手段构建“纵深”安全防御体系，确保生产现场DCS、PLC等控制设备的本质安全；

（4）验证上述信息安全产品对DCS/PLC系统软件、应用软件、现场总线、工业以太网的技术影响，形成化工生产工业控制系统有针对性的有效安全防护策略，并制定化工行业内相关生产控制系统安全防护标准。

综上所述，加强对工业控制系统的脆弱性的合作研究，提供有针对性的解决方案和安全保护措施，从而达到以下示范目的：

（1）源头控制；

（2）分析检测及防护；

（3）漏洞库管理；

（4）自主知识产权安全产品验证。

验证以上工业控制安全产品对工业控制系统DCS/PLC保护能力，为化工生产领域常用的DCS/PLC系统的安全防护提供具有针对性的解决方案，建立工业过程控制系统安全标准体系，制定工业过程控制系统安全标准。

2.3　项目效果及应用

通过该示范应用工程，完成生产调度管理中心、主控系统（DCS/PLC）、监控系统、实时数据库系统的安全防护应用示范。通过本项目的建设：

·提高南通公司DCS/PLC系统的抗攻击能力、威胁预警能力；

·直观的DCS/PLC系统安全态势展现，提高系统的安全管理能力；

·对DCS/PLC系统的安全事件、程序行为等关联分析；

·掌握攻击威胁发起的地点、攻击的类型、攻击的目的；

·保障DCS/PLC系统应急处置安全事件提供准确的决策依据；

·建立工业过程控制系统安全标准体系，制定工业过程控制系统安全标准。

3　项目建设方案

基于前述对于南通星辰化工生产控制系统现状、信息化建设和应用现状以及目前企业在信息安全存在问题的详细分析，南通星辰化工生产控制系统安全防护示范工程项目建设方案总体设计如图5所示。

图5 示范工程项目建设方案总体设计

3.1　设计思路

根据南通星辰的DCS、PLC控制系统及信息化生产运行管理流程，从纵向上根据功能属性划分四个层，确保生产现场DCS、PLC等控制设备的本质安全，框架如图6所示。

图6 安全设计框架

为实现上述目标，参照“等保”三级相关要求，在项目实施过程中具体要求采取的手段包括以下几个方面：

（1）脆弱性分析与风险评估识别系统的脆弱性、存在的安全威胁及安全风险；

（2）通过建立网络边界区域隔离手段，构筑DCS、PLC控制系统安全的第一道防线；

（3）通过硬件隔离产品对生产网与管理网进行单向传输、物理隔离，彻底阻断外网基于以太网的攻击；

（4）在生产网络内部，不同的控制系统之间，在横向上使用硬件隔离进行安全防护，确保控制系统的独立性，从而构筑控制系统安全的第三道防线。

（5）现场控制设备防护，通过工业防火墙协议过滤，只允许指定的工业控制协议（如OPC、Modbus、DNP3等）及控制指令通过，建立协议的专用控制，构筑针对现场设备控制设备第四道防线；

（6）通过安全监测、入侵防御、审计分析等手段为南通星辰的工业生产保驾护航；

（7）通过SOC（安全管理中心）对生产监控网络安全设备进行统一安全管理、策略分发、统一监管、预警分析。

综上所述，系统所采用技术框架如图7所示。

图7 技术框架

3.2　建设目标与主要建设内容

根据南通星辰网络结构分为四个层次：生产管理层、MES层、监控层、控制层（现场层），参照ANSI/ISA-99 、GB/17859、GB/T25070等相关要求，将企业系统结构划分成不同的区域可以帮助企业有效地建立“纵深防御”策略。区域与区域之间利用安全产品进行策略控制，确保每个区域的相互独立性，实现风险的最小化和可控。

3.2.1　风险与脆弱性评估

在项目中通过脆弱性评估及安全风险分析手段，识别系统脆弱性及安全威胁与风险来源：

（1）识别系统脆弱性

·网络边界结构；

·网络区域边界访问控制措施；

·针对病毒、蠕虫等恶意程序的安全防护措施；

·针对DCS、PLC设备、应用的恶意操作；

·安全事件监控、管理及相应机制。

（2）识别安全威胁与风险来源

·未经授权的访问；

·恶意代码攻击；

·拒绝服务攻击；

·针对DCS、PLC系统通信攻击；

·内部人员误操作、恶意操作等。

3.2.2　边界防护与访问控制

（1）生产管理网与MES网络之间安全防护；

（2）MES网络与监控网络之间安全防护；

（3）DCS系统安全防护；

（4）PLC控制器安全防护；

（5）DCS工程师站与现场控制站之间的防护；

（6）入侵防御系统；

（7）网络准入。

3.2.3　主机应用安全

（1）终端防病毒；

（2）可信计算；

（3）审计系统；

（4）工业控制系统漏洞扫描系统。

3.2.4　PKI/CA

由于南通星辰化工艺流程、生产配方、生产装置以及特种产品数据的敏感性，所以布署一套PKI/CA系统，一方面通过数字证书来进行相应权限分配，实现对DCS、PLC控制系统的分权管理及多因子验证，另一方面由于南通星辰化工PI数据中心与蓝星总使用专网实时通讯，数据保密性和完整性得不到有效保障，通过PKI/CA系统对网络上传的数据信息进行加密和解密、数字签名和签名验证。

3.2.5　无线安全接入

在相关测点处部署无线防火墙，根据AP或Station的安全属性定制无线网络准入规则，通过射频信号阻止非法用户接入，建立射频安全区，提供具有物理安全、可信的无线网络。

3.2.6　安全管理中心

在生产监控层布署安全管理中心，对生产控制网络搜集所有安全信息，并通过对收集到各种安全事件进行深层的分析，统计和关联，及时反映被管理资产的安全基线，定位安全风险，对各类安全时间及时提供处理方法和建议的安全解决方案。功能如下：

（1）面向业务的统一安全管理；

（2）全面的日志采集；

（3）智能化安全事件关联分析；

（4）全面的脆弱性管理；

（5）主动化的预警管理。

3.2.7　物理安全

（1）针对南通星辰高危、涉密场所（例如：原料罐区、机密工艺设计图纸存储场所等）部署手机及移动终端无源探测系统；

（2）机房、控制室出入口应安排专人值守并配置电子门禁系统，控制、鉴别和记录进入的人员；

（3）利用光、电等技术设置机房防盗报警系统；

（4）对关键控制设备、关键区域要实施电磁屏蔽。

3.3　系统运行

选择南通星辰合成材料有限公司PBT、动力车间DCS和PLC控制系统试点部署，进行为期2个月的试运行，厂家工程师实时跟踪获取确切数据，确认安全产品无干扰DCS和PLC控制系统实时性能和系统的安全性。

作者简介

赵国新（1963-），男，辽宁铁岭人，教授，1985年7月毕业于辽宁工业大学，主修工业自动化专业，获得工学学士学位；1988年3月毕业于冶金部自动化研究设计院，主修工业自动化专业，获得工学硕士学位。现任北京石油化工学院自动化系主任，主要研究方向是智能控制系统与工业大数据应用，工业控制系统信息安全。

摘自《工业控制系统信息安全专刊（第五辑）》

相关文章