青島煉化公司一期1000萬噸/年煉油項目是我國批準建設的第一個單系列千萬噸級煉油項目，是中國石化調整國內煉化產業(yè)布局、打造環(huán)渤海灣煉化產業(yè)集群的重大戰(zhàn)略項目。青島煉化公司一期1000萬噸/年煉油裝置采用西門子PCS 7 V6.1過程控制系統(tǒng)作為過程控制系統(tǒng)系統(tǒng)，控制I/O 點數(shù)在23000點左右。二期擴建部分包括苯乙烯、加氫裂化、制氫等裝置，采用西門子PCS 7 V7.0過程控制系統(tǒng)作為過程控制系統(tǒng)系統(tǒng)，控制I/O 點數(shù)在5500點左右。青島煉化DCS系統(tǒng)網(wǎng)絡結構圖如圖1所示。

　　圖1網(wǎng)絡結構圖

　　信息安全需求

　　青島煉化DCS系統(tǒng)自2008年5月投用以來運行良好。但從2009年底開始，在調用趨勢時，有零星的操作員站死機現(xiàn)象出現(xiàn)。 青島煉化聯(lián)合西門子的技術人員，對該細節(jié)進行認真的分析和判斷，最終發(fā)現(xiàn)故障原因是由于系統(tǒng)內感染了多種網(wǎng)絡病毒。

　　在確認故障原因后，青島煉化、中石化工程建設有限公司(SEI)、西門子共同研究制定解決方案。

　　信息安全概念

　　在IEC 62443 中針對工業(yè)控制系統(tǒng)對信息安全的定義是：

　　· 保護系統(tǒng)所采取的措施;

　　· 由建立和維護保護系統(tǒng)的措施所得到的系統(tǒng)狀態(tài);

　　· 能夠免于對系統(tǒng)資源的非授權訪問和非授權或意外的變更、破壞或者損失;

　　· 基于計算機系統(tǒng)的能力，能夠保證非授權人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能，卻保證授權人員和系統(tǒng)不被阻止;

　　· 防止對工業(yè)控制系統(tǒng)的非法或有害入侵，或者干擾其正確和計劃的操作。

　　目前，我國《計算機信息安全保護條例》的權威定義是：通過計算機技術和網(wǎng)絡技術手段，使計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)庫等受到保護，最大可能不因偶然的或惡意的因素而遭破壞、更改或泄密，系統(tǒng)能夠正常運行，使用戶獲得對信息使用的安全感。信息安全的目的是保護信息處理系統(tǒng)中存儲、處理的信息的安全，其基本屬性有：完整性、可用性、保密性、可控性、可靠性。

　　隨著信息技術迅猛發(fā)展，計算機及其網(wǎng)絡、移動通信和辦公自動化設備日益普及，國內大中型企業(yè)為了提高企業(yè)競爭力，都廣泛使用信息技術，特別是網(wǎng)絡技術。企業(yè)信息設施在提高企業(yè)效益的同時，給企業(yè)增加了風險隱患，網(wǎng)絡安全問題也一直層出不窮，給企業(yè)所造成的損失不可估量。

　　DCS系統(tǒng)作為企業(yè)生產控制所必不可少的組成部分，技術上基于計算機網(wǎng)絡技術。因此，DCS系統(tǒng)同樣面臨著網(wǎng)絡安全的問題。由于DCS系統(tǒng)在工廠內的重要性和特殊性，確保DCS系統(tǒng)的信息安全更為重要。這對于確保工廠的平穩(wěn)運行和安全生產具有極為重要的意義。

　　圖2工業(yè)信息安全與辦公信息安全的比較

　　在辦公IT領域，其系統(tǒng)安全需求一般可描述為CIA，即機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。由于在辦公IT系統(tǒng)中，數(shù)據(jù)通信多為人與人之間的通信，往往涉及到各種敏感(如財務、人事、企業(yè)戰(zhàn)略決策等)數(shù)據(jù)，所以保證機密性是第一位的。其次才是保證數(shù)據(jù)的完整性，防止攻擊者的惡意篡改等。由于辦公網(wǎng)一般都為非實時通信，對可靠性的要求也并不高，所以系統(tǒng)的可用性被放到了第三位。

　　而工業(yè)自動化控制領域，尤其是過程控制領域的安全需求則與辦公IT系統(tǒng)領域恰好相反。在過程控制領域，第一位的安全需求是可用性，這是由于過程控制對象是液流、壓力、運動等物理量，這種控制往往還具有相當高的實時性要求，一旦(哪怕只是很短時間地)失去控制，就會造成及其嚴重的后果。因此，必須優(yōu)先保障全年365天不間斷(24/7/365)的不間斷的可用性、可操作性，確保系統(tǒng)始終可訪問，保障過程控制系統(tǒng)與MES系統(tǒng)間的不間斷通信。在此基礎上，才是保障工業(yè)控制通信的完整性。由于過程控制系統(tǒng)中的數(shù)據(jù)多數(shù)是機器與機器之間的通信，其機密性要求相對較低，所以被放到了第三位。

　　青島煉化信息安全方案

　　在深入分析青島煉化過程控制系統(tǒng)的系統(tǒng)架構、應用特點、安全現(xiàn)狀、安全威脅、以及安全需求的基礎上，我們將縱深防御理念引入到過程控制信息安全領域，結合過程控制的系統(tǒng)特點，重點研究了網(wǎng)絡分區(qū)與防護、系統(tǒng)加固與補丁管理等關鍵技術，提出了一個切實可行的過程控制系統(tǒng)信息安全解決方案。

　　本技術方案在IEC62443標準所提出的縱深防御理念基礎上，研究工業(yè)領域的工程化解決方案。通過深入研究青島煉化公司的系統(tǒng)特點與安全需求，將縱深防御的理念引入到過程控制系統(tǒng)安全領域并工程化，提出了石化行業(yè)工控系統(tǒng)分層及安全防護的參考模型。該模型不僅適用于青島煉化項目，在石化行業(yè)作為最佳實踐具有很高的推廣價值。

　　圖3縱深防御信息安全解決方案的總體架構

　　維護網(wǎng)絡安全，確保石油石化過程控制系統(tǒng)的穩(wěn)定可靠、防止來自內部或外部攻擊，就需要在過程控制系統(tǒng)安全防護領域引入縱深防御的理念，研究如通過風險評估定制符合不同過程控制系統(tǒng)的系統(tǒng)架構、應用特點、安全現(xiàn)狀、安全威脅、以及安全需求的安全解決方案，在不干擾過程控制業(yè)務的前提下，針對不同性質的安全威脅，分層次、系統(tǒng)地在石化過程控制系統(tǒng)中部署上述高安全性的防護措施，這是石油石化過程控制系統(tǒng)信息安全的核心需求，也是本技術方案的研究目標所在。

　　圖4信息安全方案

　　(1)物理安全

　　通過門禁系統(tǒng)等實現(xiàn)工廠的生產裝置、設備、系統(tǒng)等的物理安全，未經授權人員不能接觸或靠近生產裝置。

　　(2)安全策略與流程

　　過程控制系統(tǒng)信息安全不是一個單純的技術問題，而是一個從意識培養(yǎng)開始，涉及到管理、流程、架構、技術、產品等各方面的系統(tǒng)工程。

　　(3)網(wǎng)絡分區(qū)與邊界防護

　　規(guī)劃安全單元：安全單元是工廠中一個具備獨立功能的部分;在安全單元內部的成員相互信任;對于安全單元的訪問只能通過明確定義的訪問點;訪問點受到監(jiān)控并且有記錄;安全單元內的所有成員是直接連接的 ;造成高網(wǎng)絡負荷的成員直接集成在安全單元內部 。如圖5所示:

　　圖5劃分工業(yè)網(wǎng)絡單元

　　(4)用防火墻分隔不同的安全單元

　　防火墻根據(jù)一定的規(guī)則檢查和過濾數(shù)據(jù);通過防火墻保障安全單元的訪問點;在安全單元內部無需防火墻 。如圖6所示：

　　圖6 防火墻分隔網(wǎng)絡單元

　　(5)安全的單元間通信

　　采用VPN系統(tǒng)等技術實現(xiàn)安全的單元間通信。虛擬專用網(wǎng)絡(Virtual Private Network ，簡稱VPN)指的是在公用網(wǎng)絡上建立專用網(wǎng)絡的技術。其之所以稱為虛擬網(wǎng)，主要是因為整個VPN網(wǎng)絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構在公用網(wǎng)絡服務商所提供的網(wǎng)絡平臺，如Internet、ATM(異步傳輸模式〉、Frame Relay (幀中繼)等之上的邏輯網(wǎng)絡，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡或公共網(wǎng)絡的封裝、加密和身份驗證鏈接的專用網(wǎng)絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。

　　(6)活動目錄域和工作組

　　目前大多數(shù)工業(yè)控制系統(tǒng)的計算機操作系統(tǒng)均基于微軟公司的Windows平臺。Windows組成網(wǎng)絡的模式有兩種：工作組(Workgroup)和域(Domain)。大多數(shù)系統(tǒng)的組網(wǎng)方式是工作組模式，這帶來了很大的安全隱患。而只有域模式是更加安全的組網(wǎng)模式，也是本技術方案所推薦采用的組網(wǎng)模式。

　　在工組組模式下，所有計算機是對等的，任何一臺電腦只要接入網(wǎng)絡，其他機器就都可以訪問共享資源，如共享上網(wǎng)等。盡管對等網(wǎng)絡上的共享文件可以加訪問密碼，但是非常容易被破解。因此在工作組構成的對等網(wǎng)中，數(shù)據(jù)的傳輸是非常不安全的。在工作組模式下，每臺計算機均有自己的Windows系統(tǒng)安全配置，不利于全廠統(tǒng)一安全配置，不利于檢查和修改安全配置。每臺計算機均有自己的用戶賬號，不利于對賬號和密碼進行管理和維護。

　　域的真正含義指的是域控制器控制網(wǎng)絡上的計算機能否加入本網(wǎng)絡。所有已授權的、合法的計算機信息和用戶賬號信息均儲存在域控制器中，因此，任何人在任何計算機上要登陸網(wǎng)絡和計算機，均需要經過身份驗證。域控制器管理了網(wǎng)絡上所有計算機的安全配置，可以制定全廠統(tǒng)一的安全策略，實現(xiàn)網(wǎng)絡上所有計算機的安全配置同步功能。在域控制器可以集中管理和維護域內所有計算機的用戶賬號和密碼，對于需要定期修改密碼的用戶提供了很大的便利。

　　圖7活動目錄域

　　(7)系統(tǒng)加固與補丁管理

　　為了最大限度地保護計算機不受到病毒的侵害，需要安裝與DCS系統(tǒng)兼容的殺毒軟件，并且及時更新病毒庫。另外，Windows的補丁也需要及時更新才能保持操作系統(tǒng)的穩(wěn)定和健康運行。西門子在德國的測試中心會將最新的Windows補丁與PCS 7系統(tǒng)的兼容性測試結果發(fā)布在網(wǎng)站上，維護人員根據(jù)這些信息可以選擇安裝補丁。

　　圖8 更新安全補丁

　　(8)惡意軟件的檢測和防護

　　惡意軟件的種類繁多、變種更新頻率很快。通常的防范措施包括：安裝防毒軟件及防火墻。但是，這些措施都只能對惡意軟件的清除起到有限的作用。防病毒軟件的病毒庫只對已知的病毒起作用，因此需要及時更新病毒庫。但更新病毒庫的過程中如果操作不當，也會增加惡意軟件的入侵來源。因此，惡意軟件的檢測和防護措施中最重要的是從源頭上檢測、控制惡意的入侵，從源頭上堵住惡意軟件。一旦惡意軟件入侵了系統(tǒng)，如何阻斷和限制在惡意軟件在系統(tǒng)內的傳播。如何在不影響系統(tǒng)運行的情況下，清除系統(tǒng)內的病毒。

　　(9)訪問控制與賬號管理

　　執(zhí)行嚴格的用戶管理和統(tǒng)一的訪問控制是整個信息安全方案中和核心部分，本方案采取域服務器對整個過程控制系統(tǒng)進行安全策略的統(tǒng)一管理。

　　訪問控制與賬號管理的定義是確保任何人未經授權就無法訪問、操作過程控制系統(tǒng)的資源。嚴格的用戶/訪問管理是整個安全策略和核心部分之一。需要遵循最小權限原則;需要定期檢查角色分配和權限;集中管理用戶，密碼和權限;確定明確的角色和權限的分配。

　　遠程訪問推薦的方法：遠程訪問通過VPN(虛擬專用網(wǎng))和隔離網(wǎng)絡接入;結合不同的安全技術認證和加密。

　　方案的實施過程

　　本項目實施過程包括五個階段：

　　第一階段：青島煉化與西門子、SEI簽訂了項目實施合同，并召開開工會，明確項目的人員安排、實施進度和節(jié)點。

　　第二階段：西門子和SEI進行項目前期設計，制定方案，規(guī)劃方案的實施細節(jié)：如何實施縱深防御的解決方案。并在辦公室完成整個系統(tǒng)初步設計、詳細設計、軟件編程組態(tài)、硬件集成、內部測試和文檔工作。

　　第三階段：青島煉化和SEI到西門子工程公司所在地上海，進行信息安全系統(tǒng)出廠測試工作。對設計的各項指標進行測試和驗證工作，經過測試，各項性能滿足設計要求，達到了發(fā)貨的條件。

　　第四階段：軟硬件設備發(fā)貨到現(xiàn)場，進行安裝調試。為所有計算機配置信息安全設置，安裝域服務器、安裝殺毒服務器、安裝補丁更新服務器、網(wǎng)絡交換機、安裝相關的軟件系統(tǒng)，配置域、配置防火墻、配置工業(yè)控制系統(tǒng)聯(lián)合安全網(wǎng)關，配置DMZ區(qū)內的計算機、開通網(wǎng)絡支持等。

　　第五階段：經過現(xiàn)場安裝調試過程，所有系統(tǒng)內的計算機病毒被清除，青島煉化各個工段依次順利開車運行。

　　2011年6月-8月，青島煉化、中石化工程建設有限公司SEI、西門子公司一起成功地實施了青島煉化信息安全項目，部署了縱深防御解決方案，清除了系統(tǒng)內的病毒。

　　圖9 項目執(zhí)行流程圖

　　應用效果

　　2011年8月中旬，青島煉化大檢修完畢，所有裝置開始投運。開車以來，PCS 7系統(tǒng)運行穩(wěn)定，操作員站運行正常，經過反復測試，在調用趨勢時不再出現(xiàn)死機現(xiàn)象。

　　經過實施預定的信息安全措施，青島煉化PCS 7系統(tǒng)的信息安全等級得到了質的提高，為長期的穩(wěn)定提供了堅實的保障。

　　實施信息安全不是目的和結果，而是一個過程。要將信息安全的措施落實到位需要投入長期不懈的努力，只有全方位的措施才能防患于未然。

（轉載）