現(xiàn)代煤化工智能化建設過程中的網(wǎng)絡信息安全問題淺析

◆高鈺

現(xiàn)代煤化工智能化建設過程中的網(wǎng)絡信息安全問題淺析

◆高鈺

（蒲城清潔能源化工有限責任公司 陜西 715506）

兩化融合的快速發(fā)展和工業(yè)4.0的提出，推動著煤化工行業(yè)逐步走向智能化、數(shù)字化建設的道路，隨之帶來的是網(wǎng)絡信息安全問題日益凸顯。近幾年，煤化工領域存在的網(wǎng)絡信息漏洞和安全隱患不斷暴露，網(wǎng)絡信息安全事故數(shù)目呈上升態(tài)勢。本文就目前煤化工行業(yè)的特點，對其在智能化建設過程中所面臨的網(wǎng)絡信息安全風險進行細致的剖析，并提出一些解決方案。

現(xiàn)代煤化工；智能化；工業(yè)控制系統(tǒng)；網(wǎng)絡信息安全

1 前言

隨著工業(yè)4.0的不斷推進，現(xiàn)代煤化工行業(yè)也在逐步進行智能化建設的嘗試和探索，行業(yè)內普遍使用的工業(yè)控制系統(tǒng)和“大數(shù)據(jù)”、“云端”、“MES”等智能化系統(tǒng)將產生大量信息交互需求，這使得以往相對封閉的工控系統(tǒng)會和公用網(wǎng)絡直接建立連接，系統(tǒng)遭受外界攻擊的可能性大大提高。工業(yè)控制系統(tǒng)的網(wǎng)絡信息安全問題直接威脅到煤化工行業(yè)的安全、穩(wěn)定、經(jīng)濟、優(yōu)質的運行，也將嚴重制約企業(yè)智能化建設的進程。因此，如何提高工業(yè)控制系統(tǒng)在各個階段的安全，確保生產系統(tǒng)穩(wěn)定可靠，防止來自內部或者外部的攻擊，是煤化工企業(yè)在智能化建設過程中要考慮的重點。

2 工業(yè)領域及煤化工行業(yè)內的網(wǎng)絡信息安全事故案例

2.1 工業(yè)領域的網(wǎng)絡信息安全事故案例

2003年1月，美國俄亥俄州Davis-Besse核電站和其他電力設備受到SQLSlammer蠕蟲病毒攻擊，網(wǎng)絡數(shù)據(jù)傳輸量劇增，導致該核電站計算機處理速度變緩、安全參數(shù)顯示系統(tǒng)和過程控制計算機系統(tǒng)癱瘓；

2010年10月，肆虐伊朗的“震網(wǎng)病毒”造成伊朗布什爾核電站推遲發(fā)電，該病毒是世界上首個專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒，在全世界工業(yè)領域引起了多次的感染事故并造成了持續(xù)數(shù)年的恐慌；

2012年5月開始，“火焰病毒”在中東地區(qū)的軍事和工業(yè)領域大范圍傳播；

2018年8月3日，全球晶圓代工龍頭企業(yè)臺積電遭受“勒索病毒”攻擊，導致三條生產線全部停擺，企業(yè)在三天內虧損約17.7億元。

2.2 煤化工行業(yè)內的網(wǎng)絡信息安全事故案例

2010年5月，山東某化工廠某裝置控制系統(tǒng)感染Conficker病毒，造成控制系統(tǒng)服務器與控制器通訊中斷，操作人員無法正常監(jiān)控；

2011年3月，大慶某煉油廠某裝置控制系統(tǒng)感染Conficker病毒，造成控制系統(tǒng)服務器與控制器通訊中斷，操作人員無法正常監(jiān)控；

2019年3月，包頭某化工廠部分裝置DCS系統(tǒng)感染挖礦類病毒，造成部分裝置停車。

3 目前存在的網(wǎng)絡信息安全問題

3.1 煤化工行業(yè)人員對網(wǎng)絡信息安全的重要性認識不足

主要表現(xiàn)在四點，一是大部分煤化工企業(yè)缺乏完善的網(wǎng)絡信息安全管理組織體系，相關的制度建立、落實不到位。二是企業(yè)大都沒有編制翔實可行的網(wǎng)絡信息安全事故預案，也缺少相關的應急演練；三是網(wǎng)絡信息安全管理人員長期得不到培訓和學習的機會，信息技術知識儲備量有限、業(yè)務能力處在較低的一個水平，所以只能依靠外部服務公司。四是煤化工從業(yè)人員大都缺乏網(wǎng)絡信息安全防范意識，認為沒有人會攻擊工業(yè)控制系統(tǒng)，或者是黑客不懂工控協(xié)議，計算機病毒攻擊只是互聯(lián)網(wǎng)行業(yè)的事情，離我們煤化工行業(yè)很遙遠。

3.2 工業(yè)控制系統(tǒng)因為自身特點存在著諸多漏洞

在煤化工行業(yè)，工業(yè)控制系統(tǒng)一直是以穩(wěn)定運行作為維護的要點，因此存在諸多的漏洞。如Windows操作系統(tǒng)更新不及時甚至完全不更新；工業(yè)控制網(wǎng)絡常用的OPC協(xié)議、Modbus協(xié)議簡單，易遭受攻擊；系統(tǒng)安全策略配置不完善，邊界訪問控制缺失、安全防護設備缺失；工控計算機普遍開啟遠程訪問；工控設備弱口令及使用默認密碼等等。與互聯(lián)網(wǎng)行業(yè)、金融行業(yè)相比，煤化工領域在網(wǎng)絡信息安全程度上可以說是弱不禁風，上面的每一個問題都可能讓黑客輕松的攻入系統(tǒng)。

3.3 針對工業(yè)控制系統(tǒng)的病毒越來越多，病毒破壞性極強

例如，近年來造成巨大轟動的“勒索病毒”，目前發(fā)現(xiàn)它的攻擊目的主要是對系統(tǒng)文件進行加密，如果煤化工行業(yè)工業(yè)控制系統(tǒng)感染此類病毒，且沒有有效的手段在短時間之內恢復系統(tǒng)，最壞的結果可能是系統(tǒng)所有的控制策略、安全聯(lián)鎖數(shù)據(jù)被鎖死，工藝裝置在瞬間倒退回調試初期，歷年來的優(yōu)化、技改會化為烏有，想要恢復可能又要經(jīng)過漫長的時間，這損失對于煤化工企業(yè)來說基本是不可接受的。另外，雖然目前已曝光的案例中，“勒索病毒”對工業(yè)控制系統(tǒng)的威脅還暫時停留在加密文件的勒索階段，但從專家對它的攻擊模式分析來看，“勒索病毒”完全具備操控DCS、PLC等系統(tǒng)來控制現(xiàn)場閥門、設備的能力，或者修改操作站畫面的監(jiān)控參數(shù)“欺騙”工藝操作人員，這對煤化工裝置的安全生產來說是重大的隱患。

3.4 煤化工行業(yè)的網(wǎng)絡信息安全設計規(guī)范缺失，企業(yè)想改進也只能摸石頭過河

以往的工業(yè)控制系統(tǒng)在設計之初并未考慮網(wǎng)絡信息安全問題。2016年10月，工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》指導工業(yè)企業(yè)開展工控安全防護工作。但目前國內的各大煤化工設計院還沒建立起完善的網(wǎng)絡信息安全設計規(guī)范。隨著工業(yè)智能化逐步發(fā)展，原本脆弱的工業(yè)控制系統(tǒng)要同時面臨來自內部和外部的更為復雜的安全風險。而企業(yè)面臨的問題是即便想改進，也沒有完善的設計依據(jù)和成功的應用案例來借鑒，只能按照網(wǎng)絡安全服務公司的建議逐步進行嘗試，這無異于摸著石頭過河。

4 工業(yè)控制系統(tǒng)網(wǎng)絡信息安全防護措施

4.1 重新規(guī)劃工業(yè)控制系統(tǒng)網(wǎng)絡結構

常規(guī)的工業(yè)控制系統(tǒng)網(wǎng)絡拓撲結構使得系統(tǒng)內某一個節(jié)點感染病毒后容易快速擴散至其他區(qū)域，因此，合理的規(guī)劃網(wǎng)絡結構至關重要。按照工藝裝置、設備的分布及其重要性、關聯(lián)性重新劃分子網(wǎng)絡區(qū)域，在確保工業(yè)控制系統(tǒng)正常運行的前提下，實現(xiàn)各個區(qū)域、系統(tǒng)之間的相對獨立。在各個子網(wǎng)區(qū)域之間架設工業(yè)級邊界網(wǎng)關，并采用防火墻等技術實現(xiàn)網(wǎng)絡隔離，若某個子區(qū)域遭受了病毒攻擊后，有效的區(qū)域隔離措施可以阻止病毒的進一步擴散。

4.2 針對工業(yè)控制系統(tǒng)特點采取有針對性的防護措施

USB接口是目前工業(yè)控制系統(tǒng)從內部感染計算機病毒的最主要途徑。增加專業(yè)的USB接口管理系統(tǒng)及防病毒軟件，USB接口管理系統(tǒng)會將系統(tǒng)網(wǎng)絡上所有工業(yè)計算機的USB接口管理起來，當U盤等移動存儲設備在接入系統(tǒng)前需要經(jīng)過管理軟件的掃描和認證，確認其中沒有病毒，再給予準入許可，從而保證系統(tǒng)不會被USB病毒攻擊感染。未經(jīng)認證或者無準入許可的U盤將無法接入系統(tǒng)。

4.3 建立系統(tǒng)的白名單管理

系統(tǒng)白名單可以用來阻止未經(jīng)認證的程序運行，既可以在某種程度上保護計算機和網(wǎng)絡不受威脅，也可以對系統(tǒng)運行的必要應用程序加以管理。對于正在運行的應用、工具和進程來說，白名單技術可以提供對系統(tǒng)的全面可視性。在系統(tǒng)遭受攻擊時，也可以提供程序警報，同時還有利于保持系統(tǒng)以最佳性能運行，提高工作效率。

4.4 建立網(wǎng)絡安全審計機制，構建工業(yè)級網(wǎng)絡信息安全報警管理平臺

對于系統(tǒng)內部操作權限管理、工業(yè)控制系統(tǒng)網(wǎng)絡與智能化系統(tǒng)之間的數(shù)據(jù)交換進行嚴格的審計工作，在防止病毒進入系統(tǒng)內部同時，還可以避免企業(yè)內部的重要工藝流程、參數(shù)等關鍵信息被竊取。同時要建立工業(yè)級網(wǎng)絡信息安全報警管理平臺，對于審計出的異常情況和工業(yè)防火墻、網(wǎng)關的通訊信道中的攻擊信息進行匯總，詳細顯示攻擊來源、攻擊目標及其使用的通訊協(xié)議，并劃分報警等級，根據(jù)不同的報警等級來制定工作的優(yōu)先級，為工業(yè)網(wǎng)絡故障的及時排查、分析提供可靠依據(jù)。

4.5 建立異地災備系統(tǒng)

異地災備系統(tǒng)，顧名思義就是在不同的地域，構建一套或者多套相同的系統(tǒng)或者數(shù)據(jù)庫，起到災難后立刻接管或是快速恢復的作用。當企業(yè)工業(yè)控制系統(tǒng)遭受致命性破壞時，通過異地災備系統(tǒng)可以在短時間內恢復系統(tǒng)功能，避免企業(yè)財產損失進一步擴大。

5 結論

在當今激烈的市場競爭環(huán)境下， 智能化建設會給煤化工行業(yè)帶來新的生機，工業(yè)控制系統(tǒng)的網(wǎng)絡信息安全是順利開展安全生產的前提。本文只是針對目前煤化工行業(yè)現(xiàn)狀給出了工業(yè)網(wǎng)絡信息安全的一些安全解決意見。隨著企業(yè)智能化的不斷發(fā)展，企業(yè)使用的信息化設備越來越多，新的網(wǎng)絡安全問題也會不斷出現(xiàn)，這給煤化工的智能化發(fā)展也帶來了嚴峻的考驗。面對復雜的網(wǎng)絡環(huán)境，只有采取科學、合理的安全管控措施，不斷完善企業(yè)網(wǎng)絡信息安全防護體系，實現(xiàn)工業(yè)控制系統(tǒng)的安全性、高效性和穩(wěn)定性，才能為企業(yè)的安全生產創(chuàng)造有利的環(huán)境。

[1]中國科學院沈陽自動化研究所.工業(yè)控制系統(tǒng)信息安全防護技術[R].2014.

[2]李玉敏. 工業(yè)控制網(wǎng)絡信息安全的防護措施與應用[J].中國儀器儀表，2012.

[3]董棟，王寧.網(wǎng)絡信息安全存在的問題及對策研究[J].網(wǎng)絡安全技術及應用，2015.

[4]權京濤，郎偉.工業(yè)控制系統(tǒng)信息安全淺析[J].計算機與網(wǎng)絡，2018.

[5]劉麗娜.工業(yè)網(wǎng)絡信息安全現(xiàn)狀分析及安全防護系統(tǒng)研究[J].網(wǎng)絡安全技術與應用，2017.