石油化工自動化系統網絡安全的設計探索
發布時間:2017-10-16 12:47:17
石油化工要求自動化系統安全、可靠、實時、可用。石油化工生命周期一般是15-20年。全生命周期當中,有必要探索網絡管理、網絡安全和網絡運維。自動化系統的處理能力和通信協議,網絡的邊界條件及體系結構,工控網絡和IT網絡不完全一樣。
隨著21世紀的到來,中國石化行業進入了跨越式的發展階段。多個千萬噸煉油和百萬噸乙烯的煉化一體化工廠陸續在中國建成并投入商業化運行。石油化工行業的飛速發展為石油化工自動化和信息化提供了非常好的基礎。筆者曾參加和主持了中國石化的多套乙烯和煉化一體化的全廠自動化系統的設計、建設、開車、投產運行。對石油化工自動化系統網絡安全設計有些心得體會,在這里和大家分享。
石油化工要求自動化系統安全、可靠、實時、可用。石油化工生命周期一般是15-20年。全生命周期當中,有必要探索網絡管理、網絡安全和網絡運維。自動化系統的處理能力和通信協議,網絡的邊界條件及體系結構,工控網絡和IT網絡不完全一樣。
1. 石油化工自動化工控網絡安全現狀
(1) 從傳統封閉式孤島系統演變到開放式網絡系統;
(2) 工控系統規模越來越大,要求越來越高;
(3) 工控系統與信息管理系統集成技術不斷提高;
(4) 工控系統采用通用硬件、軟件越來越多;
(5) 工控系統與信息系統網絡安全性要求更高;
(6) 工控系統網絡要求長周期連續、實時響應;
(7) 工控系統網絡生命周期、網絡安全意識較低。
2. 工控網絡安全主要風險
(1) 缺乏有效的工控網絡策略及管理程序;
(2) 缺乏物理安全防護、訪問控制策略;
(3) TCP/IP和OPC廣泛使用,對工控網絡安全性、可靠性帶來挑戰;
(4) 通用工作站采用Windows平臺,尚未安裝補丁系統;
(5) 通用工作站、服務器等,病毒入侵、擴散,導致網絡風暴;
(6) 網絡內部各層次和系統間相互干擾,攻擊事件無法追蹤;
(7) 工控系統制造商、網絡安全產品制造商、用戶合作意識不夠。
3. 石油化工自動化系統集成
這里介紹的自動化系統已經不是單一的分散控制系統(DCS)或者單一的安全儀表系統(SIS),而是若干個石油化工自動化系統集成,通常包括:
(1) 分散控制系統(DCS)
(2) 現場總線控制系統(FCS)
(3) 安全儀表系統(SIS)
(4) 智能設備管理系統(IDM)
(5) 可編程序邏輯控制器(PLC)
(6) 壓縮機組控制系統(CCS)
(7) 可燃/有毒氣體檢測系統(GDS)
(8) 轉動設備監視系統(MMS)
(9) 罐區自動化系統(TAS)
(10) 操作數據管理系統(ODS)
(11) 先進報警管理系統(AAS)
(12) 先進過程控制系統(APC)
(13) 操作員仿真培訓系統(OTS)
(14) 無線儀表系統(WIS)
DCS、SIS、FCS、IDS、PLC、CCS、GDS等系統是涉及石油化工工廠正常安全運轉的系統。MMS、TAS、ODS、AAS、APC、OTS、WIS等系統屬于生產精益管理的系統。
4. 石油石化自動化系統網絡架構
這里介紹石油化工自動化系統網絡通常包括DCS/FCS網絡、SIS網絡、IDS網絡、GDS網絡、MMS網絡、TAS網絡、ODS網絡、AAS網絡、APC網絡、OTS網絡、WIS網絡、DMZ網絡等。
現在石油化工自動化系統網絡架構按照IEC62443標準進行設計,網絡架構的設計原則是:縱向分層、橫向分域。
石油化工自動系統縱向分層是分成4層,第1層實時控制層,第2層監視控制層,第3層操作管理層,第3.5層是安全數據緩沖層,第4層調度管理層(通常由工廠IT負責)。
石油化工自動系統橫向分域是指按照生產裝置(單元)分局域網1到局域網N。小生產裝置或公用工程共用局域網。這里非常重要的設計原則是保證每個生產裝置和單元能獨立開停車。
4.1 實時控制層(L1)
實時控制層(L1)是石油化工自動化系統的核心,確保生產裝置實時正常運行。
(1) L1層網絡包括控制器、I/O總線、I/O模件、通信模件、電源模件等均為冗余;
(2) L1層網絡封閉,數據通信協議專有化;
(3) L1層網絡節點核心設備控制站傳輸實時數據和各種操作指令;
(4) L1層網絡節點存在工控協議、TCP/IP協議漏洞,用戶越權非法用戶訪問等;
(5) 該層實行優先級通信(輸入信息、控制器信息優先),確保控制信息傳輸可靠。
4.2 監視控制層(L2)
(1) 監視控制層(L2)由兩個獨立的互為冗余的網絡構成,包括現場機柜間(FAR)和中央控制室(CCR)兩個區域,采用冗余單模光纖相連接 ;
(2) L2層網絡包括服務器、工程師站、操作員站、交換機等節點,提供監視、管理、操作、控制功能,點對點通信,實時數據、歷史數據采集等;
(3) L2層網絡封閉,軟件和協議專有化,監視管理和操作控制L1實時控制層節點;
(4) L2層網絡工程師站、操作員站、服務器以及網絡設備等主機漏洞、病毒等;
(5) 該層實行優先級通信,確保L2-L1監控信息傳輸冗余可靠,L2-L1之間實行口(porch)過濾,L2壓制廣播、多點/單點大信息量傳輸;
(6) 該層網絡邊界配置防火墻/交換機,安裝主機安全軟件,配置專用U盤,配置工控安全監測系統。
4.3 操作管理層(L3)
(1) 操作管理層(L3)包括帶路由功能核心交換機、防火墻,通過星形連接方式將L2層網絡匯聚起來,L3層位于CCR;
(2) L3層網絡節點:全局工藝工程師站、全局DCS工程師站、中心服務器、終端工作站(TS)、歷史服務器、網絡安全監控站;
(3) L3層網絡執行全局操作管理,對L2層分區組態維護、采集,查看和調用各分區實時數據、畫面、趨勢和報警。
4.4 安全數據緩沖層(L3.5)/生產調度層(L4)
(1) 安全數據緩沖層(DMZ)(L3.5)包括交換機、防火墻、ODS中心服務器(實時數據庫、關系數據庫)、WEB服務器、防病毒服務器等;
(2) L3.5層是操作管理層(L3)與生產調度層(L4)之間的緩沖區,加強L3、L4層進行信息交換的安全策略,保護L3層不受來自外部的攻擊;
(3) 所有來自L4層的外部訪問只能訪問L3.5層,確保L3、L2、L1層正常安全運行,安裝防火墻,有三個網絡接口,第1個口接L3層(內部網絡),第2個口接L4層(以太網),第3個口接DMZ邊界網絡。
(4) 生產調度層(L4)包括防火墻、交換機、生產調度站、ODS客戶端、WEB客戶端等管理節點,通過防火墻訪問L3.5層服務器,獲取過程信息、畫面、報表等。
5 網絡安全策略
(1)安全隔離
·隔離設備:工控防火墻;
·隔離位置:不同網絡邊界之間、不同安全區域邊界之間、控制器前隔離;
·控制器前部署工控防火墻:限制訪問控制,有權限的設備才能訪問控制器;阻止非法數據包對控制器的影響,減輕控制器負荷,保護控制器不受風暴的數據包攻擊等。
(2)病毒防護
·病毒防護采用軟件白名單方式;
·只允許在白名單范圍內的程序運行,工控系統安裝的程序單一穩定,適合軟件白名單方式運行。
(3)安全審計
·日志審計和流量監控,網絡設備、主機系統的日志收集。
(4)身份鑒別
·雙因子鑒別(工程師、值班長、網絡設備管理員等):口令+證書,動態口令等;
·單因子鑒別:操作員用口令;
·在登錄工控系統,進行組態下裝和重要參數修改時應進行身份鑒別。
(5)設備自身保護
·主機操作系統加固:關閉多余服務,安裝系統補丁,刪除多余系統組件;
·網絡設備加固:關閉不需要的服務,限制遠程管理地址,使用加密方式進行遠程管理;
·工控系統自身防護:采用合適軟件開發模式,減少軟件漏洞,啟用自身鑒別、加大口令復雜度,用戶權限控制,日志記錄等。
(6)邊界完整性
·非授權設備接入:關閉交換機未用端口,端口地址綁定等方式;
·外部數據輸入:嚴控U盤、光盤等移動介質的管理,啟用數據運轉系統,全部輸入數據先存放在文檔服務器進行病毒查殺,內部終端從服務器中讀取數據;
·無線網絡使用:DCS、SCADA使用無線網絡傳輸數據,必須對無線信號加密,接入設備認證,無線-有線網絡間使用工控防火墻或網關隔離等。
(7)控制網絡的拓撲為星型結構,每個設備的接入帶寬完全獨享,單點的通訊故障不影響其它設備通訊。
(8)控制網絡完全冗余(硬件、光纖、供電均冗余等),BUS1和BUS2同時工作,數據設差錯檢驗,確保兩網數據完全一致。
(9)控制網絡BUS1和BUS2應完全不相交,全雙工工作方式,設備應同時進行數據變送和接收,二層交換機之間不應打環。
(10)控制器防火墻只允許與控制器有關信息通過,控制、I/O通信、點對點通信保證確定性。
(11)防病毒軟件:McAfee、Norton,工控系統基于微軟系統的PC和運行殺毒軟件。
6 網絡安全待解決問題
(1)培養既懂自動化系統硬件、軟件,又懂網絡安全解決方案的復合型人才;
(2)工控系統集成商(制造商)和信息安全制造商應深度合作研發適用的工控系統安全解決方案;
(3)工控系統信息安全產品可靠性、可用性、工業環境運行等待提高;
(4)自動控制人員加強網絡安全知識學習、培訓、應用,總結經驗;
(5)盡快編制工控系統網絡安全管理策略及程序。
作者簡介:中國石化工程建設有限公司副總工程師、專家委員會委員;長期從事石油化工自動化工程設計,曾任多項大型乙烯工程自動控制設計負責人、審核人,獲多項國家及省部級獎勵;負責編制多項石油化工自動化行業國家和行業標準規范;主編《分散控制系統在工業過程中的應用》,副主編《石油化工自動控制設計手冊》;中國自動化學會理事,北京自動化學會副理事長,北京市人民政府顧問(第六、七屆);中石化自控中心站技術委員會副主任,《石油化工自動化》編委會副主任等。
本文為根據黃步余在第六屆工業控制系統信息安全峰會(第二站)上所做報告整理而成。
