随着21世纪的到来,中国石化行业进入了跨越式的发展阶段。多个千万吨炼油和百万吨乙烯的炼化一体化工厂陆续在中国建成并投入商业化运行。石油化工行业的飞速发展为石油化工自动化和信息化提供了非常好的基础。笔者曾参加和主持了中国石化的多套乙烯和炼化一体化的全厂自动化系统的设计、建设、开车、投产运行。对石油化工自动化系统网络安全设计有些心得体会,在这里和大家分享。
石油化工要求自动化系统安全、可靠、实时、可用。石油化工生命周期一般是15-20年。全生命周期当中,有必要探索网络管理、网络安全和网络运维。自动化系统的处理能力和通信协议,网络的边界条件及体系结构,工控网络和IT网络不完全一样。
1. 石油化工自动化工控网络安全现状
(1) 从传统封闭式孤岛系统演变到开放式网络系统;
(2) 工控系统规模越来越大,要求越来越高;
(3) 工控系统与信息管理系统集成技术不断提高;
电脑(4) 工控系统采用通用硬件、软件越来越多;
(5) 工控系统与信息系统网络安全性要求更高;
(6) 工控系统网络要求长周期连续、实时响应;
(7) 工控系统网络生命周期、网络安全意识较低。
2. 工控网络安全主要风险
(1) 缺乏有效的工控网络策略及管理程序;
(2) 缺乏物理安全防护、访问控制策略;
(3) TCP/IP和OPC广泛使用,对工控网络安全性、可靠性带来挑战;
(4) 通用工作站采用Windows平台,尚未安装补丁系统;
(5) 通用工作站、服务器等,病毒入侵、扩散,导致网络风暴;
(6) 网络内部各层次和系统间相互干扰,攻击事件无法追踪;
(7) 工控系统制造商、网络安全产品制造商、用户合作意识不够。
3. 石油化工自动化系统集成
这里介绍的自动化系统已经不是单一的分散控制系统(DCS)或者单一的安全仪表系统(SIS),而是若干个石油化工自动化系统集成,通常包括:
(1) 分散控制系统(DCS)
(2) 现场总线控制系统(FCS)
(3) 安全仪表系统(SIS)
(4) 智能设备管理系统(IDM)
(5) 可编程序逻辑控制器(PLC)
(6) 压缩机组控制系统(CCS)
(7) 可燃/有毒气体检测系统(GDS)
(8) 转动设备监视系统(MMS)
(9) 罐区自动化系统(TAS)
(10) 操作数据管理系统(ODS)
(11) 先进报警管理系统(AAS)
(12) 先进过程控制系统(APC)
(13) 操作员仿真培训系统(OTS)
(14) 无线仪表系统(WIS)
DCS、SIS、FCS、IDS、PLC、CCS、GDS等系统是涉及石电脑油化工工厂正常安全运转的系统。MMS、TAS、ODS、AAS、APC、OTS、WIS等系统属于生产精益管理的系统。
4. 石油石化自动化系统网络架构
这里介绍石油化工自动化系统网络通常包括DCS/FCS网络、SIS网络、IDS网络、GDS网络、MMS网络、TAS网络、ODS网络、AAS网络、APC网络、OTS网络、WIS网络、DMZ网络等。
现在石油化工自动化系统网络架构按照IEC62443标准进行设计,网络架构的设计原则是:纵向分层、横向分域。
石油化工自动系统纵向分层是分成4层,第1层实时控制层,第2层监视控制层,第3层操作管理层,第3.5层是安全数据缓冲层,第4层调度管理层(通常由工厂IT负责)。
石油化工自动系统横向分域是指按照生产装置(单元)分局域网1到局域网N。小生产装置或公用工程共用局域网。这里非常重要的设计原则是保证每个生产装置和单元能独立开停车。
4.1 实时控制层(L1)
实时控制层(L1)是石油化工自动化系统的核心,确保生产装置实时正常运行。
(1) L1层网络包括控制器、I/O总线、I/O模件、通信模件、电源模件等均为冗余;
(2) L1层网络封闭,数据通信协议专有化;
(3) L1层网络节点核心设备控制站传输实时数据和各种操作指令;
(4) L1层网络节点存在工控协议、TCP/IP协议漏洞,用户越权非法用户访问等;
(5) 该层实行优先级通信(输入信息、控制器信息优先),确保控制信息传输可靠。
4.2 监视控制层(L2)
(1) 监视控制层(L2)由两个独立的互为冗余的网络构成,包括现场机柜间(FAR)和中央控制室(CCR)两个区域,采用冗余单模光纤相连接;
(2) L2层网络包括服务器、工程师站、操作员站、交换机等节点,提供监视、管理、操作、控制功能,点对点通信,实时数据、历史数据采集等;
(3) L2层网络封闭,软件和协议专有化,监视管理和操作控制L1实时控制层节点;
(4) L2层网络工程师站、操作员站、服务器以及网络设备等主机漏洞、病毒等;
(5) 该层实行优先级通信,确保L2-L1监控信息传输冗余可靠,L2-L1之间实行口(porch)过滤,L2压制广播、多点/单点大信息量传输;
(6) 该层网络边界配置防火墙/交换机,安装主机安全软件,配置专用U盘,配置工控安全监测系统。
4.3 操作管理层(L3)
(1) 操作管理层(L3)包括带路由功能核心交换机、防火墙,通过星形连接方式将L2层网络汇聚起来,L3层位于CCR;
(2) L3层网络节点:全局工艺工程师站、全局DCS工程师站、中心服务器、终端工作站(TS)、历史服务器、网络安全监控站;
(3) L3层网络执行全局操作管理,对L2层分区组态维护、采集,查看和调用各分区实时数据、画面、趋势和报警。
4.4 安全数据缓冲层(L3.5)/生产调度层(L4)
(1) 安全数据缓冲层(DMZ)(L3.5)包括交换机、防火墙、ODS中心服务器(实时数据库、关系数据库)、WEB服务器、防病毒服务器等;
(2) L3.5层是操作管理层(L3)与生产调度层(L4)之间的缓冲区,加强L3、L4层进行信息交换的安全策略,保护L3层不受来自外部的攻击;
(3) 所有来自L4层的外部访问只能访问L3.5层,确保L3、L2、L1层正常安全运行,安装防火墙,有三个网络接口,第1个口接L3层(内部网络),第2个口接L4层(以太网),第3个口接DMZ边界网络。
(4) 生产调度层(L4)包括防火墙、交换机、生产调度站、ODS客户端、WEB客户端等管理节点,通过防火墙访问L3.5层服务器,获取过程信息、画面、报表等。
5 网络安全策略
(1)安全隔离
·隔离设备:工控防火墙;
·隔离位置:不同网络边界之间、不同安全区域边界之间、控制器前隔离;
·控制器前部署工控防火墙:限制访问控制,有权限的设备才能访问控制器;阻止非法数据包对控制器的影响,减轻控制器负荷,保护控制器不受风暴的数据包攻击等。
(2)病毒防护
·病毒防护采用软件白名单方式;
·只允许在白名单范围内的程序运行,工控系统安装的程序单一稳定,适合软件白名单方式运行。
(3)安全审计
·日志审计和流量监控,网络设备、主机系统的日志收集。
(4)身份鉴别
·双因子鉴别(工程师、值班长、网络设备管理员等):口令+证书,动态口令等;
·单因子鉴别:操作员用口令;
·在登录工控系统,进行组态下装和重要参数修改时应进行身份鉴别。
(5)设备自身保护
·主机操作系统加固:关闭多余服务,安装系统补丁,删除多余系统组件;
·网络设备加固:关闭不需要的服务,限制远程管理地址,使用加密方式进行远程管理;
·工控系统自身防护:采用合适软件开发模式,减少软件漏洞,启用自身鉴别、加大口令复杂度,用户权限控制,日志记录等。
(6)边界完整性
·非授权设备接入:关闭交换机未用端口,端口地址绑定等方式;
·外部数据输入:严控U盘、光盘等移动介质的管理,启用数据运转系统,全部输入数据先存放在文档服务器进行病毒查杀,内部终端从服务器中读取数据;
·无线网络使用:DCS、SCADA使用无线网络传输数据,必须对无线信号加密,接入设备认证,无线-有线网络间使用工控防火墙或网关隔离等。
(7)控制网络的拓扑为星型结构,每个设备的接入带宽完全独享,单点的通讯故障不影响其它设备通讯。
(8)控制网络完全冗余(硬件、光纤、供电均冗余等),BUS1和BUS2同时工作,数据设差错检验,确保两网数据完全一致。
(9)控制网络BUS1和BUS2应完全不相交,全双工工作方式,设备应同时进行数据变送和接收,二层交换机之间不应打环。
(10)控制器防火墙只允许与控制器有关信息通过,控制、I/O通信、点对点通信保证确定性。
(11)防病毒软件:McAfee、Norton,工控系统基于微软系统的PC和运行杀毒软件。
6 网络安全待解决问题
(1)培养既懂自动化系统硬件、软件,又懂网络安全解决方案的复合型人才;
(2)工控系统集成商(制造商)和信息安全制造商应深度合作研发电脑适用的工控系统安全解决方案;
(3)工控系统信息安全产品可靠性、可用性、工业环境运行等待提高;
(4)自动控制人员加强网络安全知识学习、培训、应用,总结经验;
(5)尽快编制工控系统网络安全管理策略及程序。
作者简介:黄步余,中国石化工程建设有限公司副总工程师、专家委员会委员;长期从事石油化工自动化工程设计,曾任多项大型乙烯工程自动控制设计负责人、审核人,获多项国家及省部级奖励;负责编制多项石油化工自动化行业国家和行业标准规范;主编《分散控制系统在工业过程中的应用》,副主编《石油化工自动控制设计手册》;中国自动化学会理事,北京自动化学会副理事长,北京市人民政府顾问(第六、七届);中石化自控中心站技术委员会副主任,《石油化工自动化》编委会副主任等。
本文为根据黄步余在第六届工业控制系统信息安全峰会(第二站)上所做报告整理而成。
电脑