炼化企业工业控制安全解决方案

概述:石油炼化工控网络的工业控制系统(ICS)已广泛应用,主要工业控制系统包括:集散控制系统(DCS)、安全仪表系统(SIS)、可编程逻辑控制器(PLC)、可燃气体和有毒气体检测系统(GDS)、安防视频监控系统、工业机房门禁控制系统、火灾报警系统(FAS)等,这些系统在石化公司运行中发挥着巨大的作用。

与传统的基于TCP/IP 协议的网络信息系统的安全相比,ICS的安全防护水平明显偏低。一方面大多数ICS在开发时,由于传统ICS技术的计算资源有限,在设计时只考虑到效率和实时性,而很少考虑安全问题;另一方面,面向未来的新技术(云计算、大数据、物联网、人工智能、5G等)大量应用于工业控制系统,带来了新的安全问题。

常ICS安全问题入系统终端平台脆弱性,系统配置和软件安全漏洞、工控协议安全问题、私有协议的安全问题,隐藏的后门和未知漏洞、用户非法权限控制的接入、网络安全边界模糊以及非授权用户等安全问题。

智能生产使生产制造执行系统(MES)与DCS控制网络实现了管控一体化,工业控制网络也变得更加开放,工业控制系统可以通过互联网、移动终端等直接或间接地访问,增加了潜在的网络安全威胁。

随着炼化调度一体化、网络化的发展,工业控制系统安全成为保证炼化生产平稳运行的关键因素,直接影响石油工业生产运行乃至国家经济命脉安全。因此,落实《网络安全法》、《工信部安全防护指南》、《信息系统安全等级保护2.0》以及《中国石化工业仪表控制系统安全防护实施规定》、《中国石油炼化企业工业控制系统信息安全等级保护及定级指导意见》对于工控安全要求,对加强中国网络安全保障工作,提升网络安全保护能力具有重要意义。

需求分析

炼化生产控制系统信息安全管理,主要问题及需求分析如下:

(1)生产装置DCS系统TS服务器网络(提供远程访问功能)与工厂广域办公网系统互联通过独立网卡及传统IT防火墙进行网络隔离,传统IT防火墙并不是专为工业网络应用设计的产品,同时安全策略基于“黑名单”规则,且配置复杂,一旦配置不当,存在一些不必要的端口和协议没有关闭的情况,将导致网络攻击、病毒传播等安全风险,需要引入基于“白名单”安全策略的工业环境边界防护设备,采用“白名单”规则,只允许需要地址和协议通过,更好的满足工业生产网络的要求。 

(2)生产控制网络与工厂广域办公网边界缺少入侵检测手段,无法识别和检测来自生产控制区外的恶意代码入侵和网络攻击行为,尤其是针对一些高级持续性威胁的有效检测,容易以办公网为跳板对生产控制系统内部发动攻击;需要采取有效的入侵检测手段,对异常访问、病毒、木马入侵行为的检测和告警。

(3)生产装置DCS控制网络中未部署针对工业网络安全监测设备,无法对控制网络中存在的违规操作、越权操作、异常流量、网络威胁等行为及时发现、报告并处理,需要采取有效的网络安全审计措施,便于事件追踪溯源。

(4)DCS上位操作主机(操作站、工程师站)对USB接口使用没有有效的技术防护与权限控制措施,且对于临时接入生产网络的移动存储设备(U盘,移动硬盘等)没有病毒查杀机制,存在病毒、木马通过USB移动存储介质进入工业控制系统的风险,需要采取有效措施对移动U盘等外设的使用进行管理,阻止恶意代码传播,保证生产稳定有序进行;

(5)对过程监控设备(操作站、工程师站、服务器等)的登录、应用服务资源(例如TS 服务器)访问等过程中没有严格使用身份认证管理防护措施;存在登录账户及密码使用默认口令或弱口令,没有定期更新口令;需要制定用户登陆认证管理制度,保障账户安全。

(6)缺乏工业监测审计系统对工业控制系统日常运维人员的操作行为的统一审计管理,对于因人为原因造成的生产业务异常事件无法溯源,也无法找到事件发生的根本原因,影响对事件的定性分析,需要重点管控维护过程中的关键操作行为并对所有操作行为进行取证。

(7)缺乏工业安全统一监管平台对现有网络安全产品的实时监测安全设备状态、采集设备产生的日志、事件、流量、下发安全策略的统一管理,从而实现安全产品的高效管理。


解决方案

石化工业控制系统网络信息安全解决方案建设考虑到工业控制系统的特性,结合炼化生产生产控制系统的实际情况,从外到内构成“纵深防御、分区防护”体系。按照“一个中心,三重防护”的原则,从安全通信网络、安全区域边界、安全计算环境、安全管理中心等层面加以实现:

安全通信网络

工控网络采用独立组网,并根据业务特点划分不同网络安全区域,并在不同网络安全区域之间进行网络隔离;对关键网络设备和线路实现冗余备份,对广域网传输的数据采用加密技术确保传输信息的保密性等。

安全区域边界

对工控网络内部各安全域之间以及工控网络与非工控网络的数据访问进行控制,只允许授权访问通过边界保护设备;对工控网络协议进行分析监测,对网络攻击、病毒等安全事件进行检测,及时发现网络中的威胁事件。

安全计算环境

加强服务器、工程师站等工业主机的身份鉴别和访问控制措施,严格限制用户访问权限;保证工控应用系统身份认证数据和业务数据完整性和保密性,防止非授权操作、误操作或信息泄露;并根据需要实现数据定时备份或实时备份功能,保证数据可用性。

安全管理中心

加强网络设备和安全设备集中认证和审计日志的集中统一管理;加强对网络运行状况的集中监控;实现系统管理员、安全管理员、审计管理员的权限分离、身份鉴别以及操作过程的监控审计等功能。

具体解决方案实现的具体步骤如下:

边界防护

对工控协议的深度解析,抵御已知安全风险,保障通信数据的合法性,实现对工业控制网络的深度防护。

行为审计

在各生产装置DCS系统之间、TS服务器外联网络和工厂广域办公网相连的边界网络给设备上旁路个部署一套工业监控审计系统及入侵防范系统,对入侵工控网络的威胁源进行有效检测及检测审计;

主机加固

对所有工控网络中的电脑或服务器全部部署USB防御系统及工业安全卫士。对主机的USB接口安全使用进行有效管理及对主机病毒和安全进程防护。

终端防护

在所有工控网络中的电脑或服务器等终端安装部署USB防御系统及工业安全卫士。对主机的USB接口安全使用进行有效管理和对主机病毒和安全进程防护,抵御网络攻击,提升防病毒入侵能力,给予终端计算机全生命周期的安全防护。

入侵检测

在DCS系统的TS服务器外联网络,与工厂广域办公网相连的边界网络设备上旁路各部署一套工业监控审计系统和工业入侵检测系统,快速识别系统中存在的非法操作、异常事件等外部攻击,并实时监测、告警。

日志审计

在生产网络部署日志审计系统对日志的采集、集中存储管理、合规审计、实时监控及安全告警等功能,为安全事件的分析、溯源提供了有力的支撑。

集中管理

在生产网络部署统一安全管理平台,对管控中心CCR等工控网络内的所有网络安全节点进行统一管理、统一配置,审计信息统一存储、统一分析,从而构建工控系统的整体安全防御体系。

部署说明