技术文章

当前页面: 首页 >技术文章 >基于纵深防御理念的 DCS 信息安全方案在青岛炼化项目的应用

基于纵深防御理念的 DCS 信息安全方案在青岛炼化项目的应用

供稿:西门子(中国)有限公司 2014/9/15 17:39:43

4 人气:1543

  • 关键词: 信息安全 纵深防御
  • 摘要:近年来,随着工业过程控制系统自动化、数字化、网络化程度的不断提高,工业过程控制系统所面临的信息安全威胁也日益严重。2010年“震网”病毒爆发,工业过程控制系统的信息安全得到了世人前所未有的关注。工业过程控制系统的信息安全关系到工业生产运行安全。 本文介绍了西门子公司基于纵深防御理念的 DCS 信息安全解决方案的总体概念和实施思路。

1.前言

青岛炼化公司一期1000万吨/年炼油项目是我国批准建设的第一个单系列千万吨级炼油项目,是中国石化调整国内炼化产业布局、打造环渤海湾炼化产业集群的重大战略项目。青岛炼化公司位于青岛经济技术开发区重化工园区,位置优越,配套完备,交通便捷。工艺路线采用“焦化+ CFB 锅炉+催化”方案,设计加工进口原油1000万吨/年,拥有16套工艺生产装置和相应的公用工程、辅助设施,占地220公顷,总投资125亿元,总定员500人。年产汽、煤、柴成品油708万吨,液化气、聚丙烯、苯、混苯等化工产品203万吨。青岛大炼油项目按照“大型化、系列化、集约化、信息化”理念进行规划建设,具有规模经济、技术先进、环保领先和效益显著等四个鲜明特征。

青岛炼化公司一期1000万吨/年炼油装置采用西门子 PCS 7 V6.1 过程控制系统作为过程控制系统系统,控制 I/O 点数在23000点左右。二期扩建部分包括苯乙烯、加氢裂化、制氢等装置,采用西门子 PCS 7 V7.0 过程控制系统作为过程控制系统系统,控制 I/O 点数在5500点左右。青岛炼化 DCS 系统网络结构图如图1所示。

2.信息安全需求

青岛炼化 DCS 系统自2008年5月投用以来运行良好。但从2009年底开始,在调用趋势时,有零星的操作员站死机现象出现。 青岛炼化联合西门子的技术人员,对该细节进行认真的分析和判断,最终发现故障原因是由于系统内感染了多种网络病毒。[4]

在确认故障原因后,青岛炼化、中石化工程建设有限公司(SEI)、西门子共同研究制定解决方案。

3.信息安全概念

在 IEC 62443 中针对工业控制系统对信息安全的定义是[1-2]:“a) 保护系统所采取的措施;b) 由建立和维护保护系统的措施所得到的系统状态;c) 能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失;d) 基于计算机系统的能力,能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能,却保证授权人员和系统不被阻止;e) 防止对工业控制系统的非法或有害入侵,或者干扰其正确和计划的操作。” 

目前,我国《计算机信息安全保护条例》的权威定义是:通过计算机技术和网络技术手段,使计算机系统的硬件、软件、数据库等受到保护,最大可能不因偶然的或恶意的因素而遭破坏、更改或泄密,系统能够正常运行,使用户获得对信息使用的安全感。信息安全的目的是保护信息处理系统中存储、处理的信息的安全,其基本属性有:完整性、可用性、保密性、可控性、可靠性。

随着信息技术迅猛发展,计算机及其网络、移动通信和办公自动化设备日益普及,国内大中型企业为了提高企业竞争力,都广泛使用信息技术,特别是网络技术。企业信息设施在提高企业效益的同时,给企业增加了风险隐患,网络安全问题也一直层出不穷,给企业所造成的损失不可估量。

DCS系统作为企业生产控制所必不可少的组成部分,技术上基于计算机网络技术。因此,DCS 系统同样面临着网络安全的问题。由于 DCS 系统在工厂内的重要性和特殊性,确保 DCS 系统的信息安全更为重要。这对于确保工厂的平稳运行和安全生产具有极为重要的意义。[3]

在办公IT领域,其系统安全需求一般可描述为CIA,即机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。由于在办公IT系统中,数据通信多为人与人之间的通信,往往涉及到各种敏感(如财务、人事、企业战略决策等)数据,所以保证机密性是第一位的。其次才是保证数据的完整性,防止攻击者的恶意篡改等。由于办公网一般都为非实时通信,对可靠性的要求也并不高,所以系统的可用性被放到了第三位。

而工业自动化控制领域,尤其是过程控制领域的安全需求则与办公IT系统领域恰好相反。在过程控制领域,第一位的安全需求是可用性,这是由于过程控制对象是液流、压力、运动等物理量,这种控制往往还具有相当高的实时性要求,一旦(哪怕只是很短时间地)失去控制,就会造成及其严重的后果。因此,必须优先保障全年365天不间断(24/7/365)的不间断的可用性、可操作性,确保系统始终可访问,保障过程控制系统与MES系统间的不间断通信。在此基础上,才是保障工业控制通信的完整性。由于过程控制系统中的数据多数是机器与机器之间的通信,其机密性要求相对较低,所以被放到了第三位。

4. 青岛炼化信息安全方案

在深入分析青岛炼化过程控制系统的系统架构、应用特点、安全现状、安全威胁、以及安全需求的基础上,我们将纵深防御理念引入到过程控制信息安全领域,结合过程控制的系统特点,重点研究了网络分区与防护、系统加固与补丁管理等关键技术,提出了一个切实可行的过程控制系统信息安全解决方案。

本技术方案在 IEC62443 标准所提出的纵深防御理念基础上,研究工业领域的工程化解决方案。通过深入研究青岛炼化公司的系统特点与安全需求,将纵深防御的理念引入到过程控制系统安全领域并工程化,提出了石化行业工控系统分层及安全防护的参考模型。该模型不仅适用于青岛炼化项目,在石化行业作为最佳实践具有很高的推广价值。

维护网络安全,确保石油石化过程控制系统的稳定可靠、防止来自内部或外部攻击,就需要在过程控制系统安全防护领域引入纵深防御的理念,研究如通过风险评估定制符合不同过程控制系统的系统架构、应用特点、安全现状、安全威胁、以及安全需求的安全解决方案,在不干扰过程控制业务的前提下,针对不同性质的安全威胁,分层次、系统地在石化过程控制系统中部署上述高安全性的防护措施,这是石油石化过程控制系统信息安全的核心需求,也是本技术方案的研究目标所在。

4.1. 物理安全

通过门禁系统等实现工厂的生产装置、设备、系统等的物理安全,未经授权人员不能接触或靠近生产装置。

4.2. 安全策略与流程

过程控制系统信息安全不是一个单纯的技术问题,而是一个从意识培养开始,涉及到管理、流程、架构、技术、产品等各方面的系统工程。

4.3. 网络分区与边界防护

规划安全单元:安全单元是工厂中一个具备独立功能的部分;在安全单元内部的成员相互信任;对于安全单元的访问只能通过明确定义的访问点;访问点受到监控并且有记录;安全单元内的所有成员是直接连接的 ;造成高网络负荷的成员直接集成在安全单元内部 。如图5所示:

4.4. 用防火墙分隔不同的安全单元

防火墙根据一定的规则检查和过滤数据;通过防火墙保障安全单元的访问点;在安全单元内部无需防火墙 。如图6所示:

图6 防火墙分隔网络单元

4.5. 安全的单元间通信

采用 VPN 系统等技术实现安全的单元间通信。虚拟专用网络(Virtual Private Network ,简称 VPN )指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如  Internet 、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。 

4.6. 活动目录域和工作组

目前大多数工业控制系统的计算机操作系统均基于微软公司的 Windows 平台。Windows 组成网络的模式有两种:工作组(Workgroup)和域(Domain)。大多数系统的组网方式是工作组模式,这带来了很大的安全隐患。而只有域模式是更加安全的组网模式,也是本技术方案所推荐采用的组网模式。

在工组组模式下,所有计算机是对等的,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。因此在工作组构成的对等网中,数据的传输是非常不安全的。在工作组模式下,每台计算机均有自己的 Windows 系统安全配置,不利于全厂统一安全配置,不利于检查和修改安全配置。每台计算机均有自己的用户账号,不利于对账号和密码进行管理和维护。

域的真正含义指的是域控制器控制网络上的计算机能否加入本网络。所有已授权的、合法的计算机信息和用户账号信息均储存在域控制器中,因此,任何人在任何计算机上要登陆网络和计算机,均需要经过身份验证。域控制器管理了网络上所有计算机的安全配置,可以制定全厂统一的安全策略,实现网络上所有计算机的安全配置同步功能。在域控制器可以集中管理和维护域内所有计算机的用户账号和密码,对于需要定期修改密码的用户提供了很大的便利。

4.7. 系统加固与补丁管理

为了最大限度地保护计算机不受到病毒的侵害,需要安装与 DCS 系统兼容的杀毒软件,并且及时更新病毒库。另外,Windows 的补丁也需要及时更新才能保持操作系统的稳定和健康运行。西门子在德国的测试中心会将最新的 Windows 补丁与 PCS 7系统的兼容性测试结果发布在网站上,维护人员根据这些信息可以选择安装补丁。

4.8. 恶意软件的检测和防护

恶意软件的种类繁多、变种更新频率很快。通常的防范措施包括:安装防毒软件及防火墙。但是,这些措施都只能对恶意软件的清除起到有限的作用。防病毒软件的病毒库只对已知的病毒起作用,因此需要及时更新病毒库。但更新病毒库的过程中如果操作不当,也会增加恶意软件的入侵来源。因此,恶意软件的检测和防护措施中最重要的是从源头上检测、控制恶意的入侵,从源头上堵住恶意软件。一旦恶意软件入侵了系统,如何阻断和限制在恶意软件在系统内的传播。如何在不影响系统运行的情况下,清除系统内的病毒。

4.9. 访问控制与账号管理

执行严格的用户管理和统一的访问控制是整个信息安全方案中和核心部分,本方案采取域服务器对整个过程控制系统进行安全策略的统一管理。

访问控制与账号管理的定义是确保任何人未经授权就无法访问、操作过程控制系统的资源。严格的用户/访问管理是整个安全策略和核心部分之一。需要遵循最小权限原则;需要定期检查角色分配和权限;集中管理用户,密码和权限;确定明确的角色和权限的分配。

远程访问推荐的方法:远程访问通过 VPN (虚拟专用网)和隔离网络接入;结合不同的安全技术认证和加密。

5、方案的实施过程

本项目实施过程包括五个阶段:

第一阶段:青岛炼化与西门子、 SEI 签订了项目实施合同,并召开开工会,明确项目的人员安排、实施进度和节点。

第二阶段:西门子和 SEI 进行项目前期设计,制定方案,规划方案的实施细节:如何实施纵深防御的解决方案。并在办公室完成整个系统初步设计、详细设计、软件编程组态、硬件集成、内部测试和文档工作。

第三阶段:青岛炼化和 SEI 到西门子工程公司所在地上海,进行信息安全系统出厂测试工作。对设计的各项指标进行测试和验证工作,经过测试,各项性能满足设计要求,达到了发货的条件。

第四阶段:软硬件设备发货到现场,进行安装调试。为所有计算机配置信息安全设置,安装域服务器、安装杀毒服务器、安装补丁更新服务器、网络交换机、安装相关的软件系统,配置域、配置防火墙、配置工业控制系统联合安全网关,配置DMZ区内的计算机、开通网络支持等。

第五阶段:经过现场安装调试过程,所有系统内的计算机病毒被清除,青岛炼化各个工段依次顺利开车运行。

2011年6月-8月,青岛炼化、中石化工程建设有限公司 SEI 、西门子公司一起成功地实施了青岛炼化信息安全项目,部署了纵深防御解决方案,清除了系统内的病毒。


6、应用效果

2011年8月中旬,青岛炼化大检修完毕,所有装置开始投运。开车以来,PCS 7 系统运行稳定,操作员站运行正常,经过反复测试,在调用趋势时不再出现死机现象。

经过实施预定的信息安全措施,青岛炼化 PCS 7 系统的信息安全等级得到了质的提高,为长期的稳定提供了坚实的保障。

实施信息安全不是目的和结果,而是一个过程。要将信息安全的措施落实到位需要投入长期不懈的努力,只有全方位的措施才能防患于未然。

参考文献

[1] 国际电工委员会. IEC 62443-2-1工业通讯网络-网络和系统安全-第2-1章-建立工业控制系统安全程序[S]. 2010/11.
[2] 国际电工委员会. IEC-PAS 62443-3 工业测量和控制网络和系统信息安全[S]. 2008-1.
[3] 欧阳劲松, 丁 露.  IEC 62443 工控网络与系统信息安全标准综述[J]. 信息技术与标准化, 2012 , (3): 24-27.  
[4] 张波. 基于 PCS 7 的信息安全概念在青岛炼化项目的应用[M]. 北京:机械工业出版社, 2011西门子自动化专家会议论文集: 733-744.

更多内容请访问 西门子(中国)有限公司(http://c.gongkong.com/?cid=37878)

手机扫描二维码分享本页

工控宝APP下载安装

工控速派APP下载安装

 

我来评价

评价:
一般