石油化工行业工控系统安全保障实践探究 7页

'信息安全与通信保密·cismag.net65石油化工行业工控系统安全保障实践探究中国石油化工股份有限公司上海高桥分公司钟岚随着石化工艺装置规模不断扩大，工艺日趋复杂，对炼化装置的安全仪表系统进行SIL评估，根据评估的安全和环保要求的不断提高，工业控制系统本身的安全结果对系统进行完善。同时，中石化与合肥通用机械研问题逐渐凸显，其故障有可能导致灾难的发生。究院合作，共同研究石化仪表设备的全生命周期问题。石化行业的工控系统安全保护工作石化行业重视安全保障石化工艺装置工艺本身的安全即是基础保护，其工石化行业的安全理念早已深入人心，各级领导的重艺设计就关乎安全。同样的产品，不同的工艺带来的安视与宣传教育工作功不可没。比如大量的事故通报；安全风险不同。石化行业从对工艺的选择开始，就非常重全规范、制度的宣贯；安全技术培训等。每年石化企业视安全，在成本与安全之间往往选择安全。随着行业自动化控制技术的发展，自控系统克服工艺过程干扰的能力越来越强。从常规控制仪表发展到DCS的应用；从一个石化工艺装置具有上百个监控回路发展到上千个监控回路；从简单控制回路，到复杂回路，再发展到多变量先进控制。使工艺过程得到了较稳定的控制。不仅如此，安全仪表系统的大量应用，也使工艺过程的安全性有了更好的保障。根据国家的相关政策和要求，以及自控应用的经验，中石化制定了一系列行业制度与标准：《中国石化仪表设备管理规定》、《中国石化过程控制系统病毒防治管理办法》、《联锁保护系统管理规定》、《分散型控制均会制订一系列安全教育培训计划，并切实履行计划。系统(DCS)技术规定》、《安全仪表系统(SIS)技术规员工进入石化企业的第一课通常就是接受安全教育。在定》、《仪表检维修规程》等等。这些制度、标准规范石化企业的各项工作中均离不开安全教育，安全是石化的制定，为石化企业工控系统的安全保护起到了至关重员工听到最多的两个字。要的作用。围绕工控系统的安全保护的宣传教育，石化行业主工信部2011年10月下发了“关于加强工业控制系要开展了以下工作：组织仪表技术竞赛培训，仪表管理统信息安全管理的通知”。为此，中石化开展了一系列制度及技术规范培训，控制网络技术培训，防雷及抗干工控系统信息安全的技术工作。首先，在工控系统采购扰技术培训，功能安全技术培训，以及有针对性的系统要求中，提出信息安全及增设防火墙等措施要求；并在维护与系统组态等技术培训。管理制度与标准中注重信息安全内容；其次，加强信息安全技术交流与培训；鼓励个别企业尝试建立工控系统石化行业工控系统的安全需求信息安全监控系统。期望逐渐形成中石化工控系统信息安全技术的标准模式。石化工控系统的安全问题很多，不仅与自控专业有近期，根据功能安全标准的要求，中石化正在开展关，还与工控系统的对象工艺专业有关。自控系统专业责任编辑柴晓 66信息安全与通信保密·2014.06行业应用·IndustryApplications与工艺专业关系密切，而不同的专业分工，会有不同的此，系统网络构建增设信息安全措施愈显重要。角度、立场。因此，石化行业工控系统的安全需求难以受传统工控系统的操作系统平台和网络技术的影响，罗列。在此仅重点谈一谈信息安全的需求与风险：通常系统缺乏相关抵御病毒或黑客攻击的安全策略，一旦(1)整体方案设计存在缺陷感染病毒，系统存在较大的安全风险。另外在系统的组态、这层需求，除了设计水平问题，还往往依托工艺维护过程中使用U盘、光盘等介质，又极容易引入病毒。专业的提出与自控专业对工艺机理的掌握程度。目前，在日常过程控制中，中石化各企业已不同程度受到过病还处于经验判断阶段。由于国内石化行业的风险分析方毒的影响。系统感染病毒后，往往导致网络通讯缓慢、法与基础数据的准确性等问题，系统整体方案还存在许数据丢失、操作站数据无法读取等现象，影响工艺操作，多不确定的安全风险。比如：哪些工艺装置必须独立设威胁安全生产。因此，加强管理，规范行为也同样重要。置SIS？哪些工控系统必须设置第三方信息安全加固系工控系统由自控专业人员负责维护，工艺人员负责统？目前还找不到标准答案。从而形成各种不同的整体操控，这两方面人员对信息技术掌握程度较薄弱。遇到方案，带来安全风险。执行功能安全标准就是为了提高系统感染病毒等信息安全问题，时常有不知原因，难以这方面工作质量。处理的情况发生。而同时信息技术的迅猛发展，带来大(2)质量及其成套设计、安装与调试存在缺陷量信息安全风险。因此，加强宣传培训，提高意识，提工控系统的质量有高低，建设初期必定经过成套设高能力，这是重中之重。计、安装与调试的阶段，通常这部分工作是由供应商负总之，工控系统自身安全问题不能仅仅研究客观因责完成。承担者技术能力、经验等不同，得到的系统完素，还需考虑人为因素。工控系统对信息安全技术的需善程度也就不同；另外，用户工程设计人员以及相关专求，不仅是解决现实问题的需要，更应该是工控系统自业人员参与的深度不同，也会影响系统的质量。系统的身追求完善的需要。缺陷带来安全风险。因此，必须加强管理，不仅需要重(5)新的安全挑战视设备的可靠性和维修性，还应追求寿命周期费用的经自党中央提出两化融合的号召以来，恰逢网络新技济性。并不是采购价格最低，投资成本就最低。工控系术层出不穷。石化工控系统深受影响，一方面中石化企统质量越高，往往采购价格较高，但寿命周期费用越低。业信息化应用不断深入，从MIS应用到ERP系统建成，(3)日常运行维护存在缺陷逐渐发展到自控系统与企业信息系统的集成。基层工艺工控系统建成后，需要通过日常维护、定期检修等装置的自动控制回路已成为企业信息系统的一部分。企一系列工作，使工控系统持续发挥功效。这些工作的质业信息化程度有了很大提高。量问题会带来风险。综合工程学就是研究这方面的专门但另一方面，由于信息化需要，出现工控系统通过科学。应以这一先进科学为依据，指导设备的管理工作。各种接口技术，或者实现互联，或者与管理网连接，甚同样开展执行功能安全标准的目的也是为了提升这方面至与电信网、联通网连接；既有有线连接，也有无线连工作质量。接，使得工控系统网络架构越来越复杂。伴随着系统管(4)对信息安全技术的需求理难度的增加，特别是工控系统信息安全面临的新挑战。传统工控系统通常是一封闭系统，其功能也相对单工业领域迫切需要建立工控系统网络规划与标准。使得一。随着技术的发展，工控系统从简单实现过程的监控工控系统网络建设有章可循，实现可持续发展。作用，发展为承担起越来越多的管理功能，出现了管控一体化的技术发展趋势，大型化工控系统不断出现在工积极与信息安全领域开展合作业领域。系统逐步开放，使得工业设备接口更为简单，系统的互联更加容易。如此，虽然数据得到了共享，但自2012年至今，中石化与上海三零卫士信息安全减弱了工控系统与外界的隔离。带来信息安全风险。因有限公司、上海工业自动化仪表研究院等，开展了一系 信息安全与通信保密·cismag.net67列针对工控系统信息安为。保护操作室和远程全技术的合作与交流：机房中的操作站和工程1)参与由上海三零师站遭到病毒等恶意软卫士信息安全有限公司件的入侵。并在工厂办承担的制订“工业控制公网和控制网之间部署系统信息安全防护技术审计系统，通过OPC协要求和测试评价方法”议审计工厂办公网和控国家标准的交流与讨论。制网之间的所有数据。参与由上海工业自动化2)针对DCS控制网仪表研究院承担的上海内安全。由于DCS控制市地方标准《化工企业网内设备众多，若非法设工艺安全管理实施导则》备接入控制网或是合法的交流与讨论。设备停止工作都会给正常生产带来影响。并且控制网内关于工控系统的信息安全技术标准是一项技术难度的操作站和工程师站的平台配置一般只满足生产要求，较大的工作，如果想要即不影响工控系统实现的功能，信息安全加固措施较弱。若在某台设备上存在病毒或恶又比较完善的起到信息安全保护的作用，就会涉及到各意软件，容易大范围的感染其他设备，并且难以被发现。个不同厂家所提供工控系统的内部技术。这需要大家的因此，采取在DCS上位机与下位机之间部署审计系统二，共同配合与努力。监控控制网内设备连接情况，是否有非法设备接入，以2)在工信部“关于加强工业控制系统信息安全管及网内设备是否正常连接。审计监控控制网内是否存在理的通知”要求下，上海市经信委组织了工控系统信非法广播探询数据包，防止工控网内所有设备信息被非息安全工作检查，由于高桥石化化工装置的高危性以法获取和利用。审计监控控制网内是否有病毒等恶意软及工控系统信息安全技术的薄弱现状。2012年在上件的传播，并及时予以报警与记录。海市经信委的领导与支持下，在中石化与上海工业自3)针对DCS关键设备操作风险。控制网内工程师动化仪表研究院、上海三零卫士信息安全有限公司的站权限高，任何不当的操作都会对控制系统产生影响；共同努力下，针对高桥石化260万吨柴油加氢装置的并且控制网内的工程师站的维护经常由厂商完成，业主DCS实施了信息安全加固。无法详细了解厂商具体工作，若发生问题，很难溯源。经过一年多的项目实施，初步建成了对一套石化因此，在工程师站与DCS控制网之间部署审计系统三，加氢装置DCS进行实时监控的信息安全系统。大型石通过审计系统三可以对工程师站所有操作进行图形化记化控制系统信息安全加固项目——260万吨柴油加氢装录，并严格进行访问控制，审计工程师站的操作。置示范工程，是一套可供业界借鉴的安全解决方案。2.安全保护特点大致情况如下：当前，石油化工领域的工控系统安全保障呈现出如1.安全保护实施下特点：1)针对DCS边界安全。由于工厂办公网应用环境1)信息安全措施从DCS的边界安全延伸到DCS系复杂，使用人员众多。信息安全隐患较多。在工厂办公统内部。由于工控系统其技术的独特性，对其信息安全网和DCS控制网相连接时，容易导致病毒或恶意软件在的加固措施通常仅仅通过边界安全措施实现。系统内部控制网内进行传播，使得控制系统易受攻击和破坏，面需要依托供货商的技术保障。而工控系统与IT领域的临信息安全风险。因此，在工厂办公网和DCS控制网之安全目标不同，造成工控系统内部的信息安全措施的薄间部署安全隔离系统，防止来自于工厂办公网的攻击行弱，从而需要信息安全加固。责任编辑柴晓 68信息安全与通信保密·2014.06行业应用·IndustryApplications2)在对工控系统数据全面审计的基础上，又实现对“过保护”问题，如何做到保护得当，是一大技术难点；工控系统正常运行无影响。项目措施通过对数据的“镜虽然强调安全第一，但效益也需兼顾。因此，必须进像”采集，建立审计规则，实现对工控系统的信息、数行改革，逐步将以前凭经验的工作方式转变为按科学、据监控。即使所配置的设施发生故障，对工控系统的正讲定量的工作方式。从而摸索出一套判断工控系统安常运行也不会有任何影响。全保障是否适当的标准。3)工控系统的信息安全措施采用第三方自主可控技工控系统的安全目标“可用性”与信息安全的目术。工控系统自身安全性很重要。采用国内技术则具有标“保密性”之间的矛盾较难协调也是一大技术难点。了“自身安全”的基础；工控系统种类、数量众多，使长期以来，工控系统在追求“可用性”的过程中，兼得依靠供货商的可操作性较差。采用第三方的技术对系顾了一些功能安全的要求，但忽略了人为因素对功能统展开信息安全保护，为企业的工控系统信息安全加固安全的影响，致使工控系统信息安全技术薄弱。同时打下扎实基础；项目信息安全措施的可优化、自学习功工控系统的实时、快速要求也制约了信息安全“保密性”能，使得对不同工控系统的信息安全加固成为可能。要求的实现。攻克这一难关，需要技术创新。3.面临的问题以及如何完善提高全体人员的信息安全意识是目前保障工作的石化行业工控系统信息安全还存在一些问题：重点，也是难点。要解决以上2个技术难点，首先需首先，在意识上，工控系统的信息安全问题长期不要提高人的意识，使全体人员充分认识到信息安全的受重视。究其原因有多方面，主要有：①工控系统的应用，重要性。历来将人作为系统功能的补充，而非破坏，直到2010年对企业来说，政策的细节化和强制性，会起到巨大发生了“震网”病毒事件，信息安全意识才有所加强；②的引导作用。期待国家和行业主管部门早日发布可操作工控系统历来是属于自控设备而非信息设备，关注的是性较强的强制化规定。在目前工控系统信息安全标准还过程控制技术，除个别制造厂人员，大部分技术人员对未成熟的时期，适当提供一些资金支持，将会大大激发信息技术了解不多，缺少信息安全知识。而信息技术人基层企业在工控领域实施信息安全技术的积极性，也会员又对工控系统技术不熟悉，难以介入；③属于新生事物，促进工控系统信息安全技术更快的成熟起来。各种制度、规范标准还不健全，防范措施也不成熟。因此，石化行业在向安全厂商寻求服务时，也对安全厂加强宣传教育，加大培训力度，完善制度建设，迫在眉睫。商提出了如下要求：加强对用户进行产品与系统的技其次，在管理以及进行系统采购过程中，工控系统术培训，普及一些信息安全技术的常规方法。提高用的信息安全问题也往往被忽略。导致大部分工控系统依户信息安全技术水平与处理信息安全问题的能力；了赖上层工厂网的信息安全建设，缺乏自身保护；缺乏有解用户日常管理方法与需求，不仅为用户提供合适的效的工控系统信息安全监控与审计手段；个别系统网络产品，还应提供信息安全产品的维护管理方法与持续混乱，存在安全隐患；缺乏统一的、成体系的工控系统改进服务。帮助用户制定管理办法与工作标准、技术信息安全管理制度与标准；工控系统信息安全运维工作标准；学习工控系统技术，了解工控系统所控制对象处于被动防御状态。曾经发生多起因信息安全问题导致的机理，从而提升人员进行针对性服务的能力。此外，的装置停工，生产波动等安全事故。还要重视信息安全产品自身的安全性问题，不断完善为了解决上述问题，近几年来，中石化通过加强培产品的质量。训，制度建设，立项整改，力争尽快扭转这种不利局面。作者简介：钟岚，长期从事仪表自控专业工作，面对的难点与重点中石化上海高桥分公司仪表技术专家/高级工程师，高桥石化公司仪表专业技术负责人，兼任中石化集团由于工控系统安全保障工作涉及到“欠保护”与公司仪表专家组成员。责任编辑柴晓 信息安全与通信保密·cismag.net69IndustrialTrends产业趋势卫卫士通荣获“最具投资价值上市公司”奖士通荣获“最具投资价值上市公司”奖近日，由投资者报和怡桥财经联合主办的“投资者·中国新经济论坛暨2014年度中国资本‘金桥奖’评选活动”在北京隆重举行，来自证券、银行、基金、上市公司、媒体等领域的200余位业界精英齐聚一堂。卫士通信息产业股份有限公司以“中国信息安全国家队”的品牌以及在当前国家高度重视网络安全的大环境下所展现出的综合竞争实力被评为“最具投资价值上市公司”奖项，卫士通副总经理、董事会秘书胡凯春出席论坛并代表公司领奖。22014中国信息安全大会成功召开014中国信息安全大会成功召开以“信息安全无处不在”为主题，“2014第十五届中国信息安全大会”在北京新世纪饭店成功召开。中国工程院院士沈昌祥、国家信息化专家咨询委员会委员曲成义，中国计算机学会计算机安全专业委员会主任严明以及卫士通公司、吉大正元公司、广发银行等知名企业的信息安全专家出席本次大会。大会就大数据、物联网、云平台等技术带来的安全新机遇和挑战进等技术带来安全新挑战行了深入探讨，并对过去一年中信息安全领域表现突出的企业进行了表彰。作为可信计算联盟成员的卫士通公司实现了从传统密码产品领域向信息安全产品，再向安全信息产品的完美转型，卫士通公司的安全云平台荣获最具份量的“2014年度中国信息安全优秀产品奖”，同时，电力行业信息安全方案荣获“2014年度中国信息安全优秀解决方案奖”。国内密码技术应用的领跑者吉大正元公司，荣获“2014年度中国信息安全最具影响力企业奖”和“2014年度中国信息安全认证授权优秀产品奖”。《《信息安全与通信保密》杂志社亮相展会信息安全与通信保密》杂志社亮相展会5月21日-23日，第三届中国国防信息化装备与技术展览会在北京中国国际展览中心举行，大会上展示了军用计算机硬件、软件及网络设备、装备信息化与卫星导航、大屏幕投影仪显示设备等国际国内领先的设备与技术。《信息安全与通信保密》杂志社作为参展单位亮相大会，其主办的《通信技术》杂志与《信息安全与通信保密》杂志受到了与会科研人员与参展商的欢迎。捷捷普万兆防火墙为校园网安全护航普万兆防火墙为校园网安全护航针对当前校园网出口面临的众多挑战，捷普公司从网络接入、应用优化、威胁防护与安全管理等多个角度提出了校园网万兆防火墙解决方案。捷普在对NP和FPGA技术的研究基础上，提供了一种以多核处理器和FPGA相结合的万兆防火墙的解决方案，在保证高性能的同时，避免了NP、ASIC架构的防火墙对高层业务应用支持较差的问题。捷普F4000下一代高性能万兆防火墙实现冗余的故障恢复，确保了关键业务的24小时不间断，集成多种安全功能，不仅支持外部攻击防范、内网安全、流量监控、Web过滤、应用层过滤等，还加强了RIP/OSPF/BGP/路由策略及策略路由和IPV6协议的融合，其灵活的模块化结构设计实现了业务功能的按需定制和快速服务、响应升级。责任编辑马沁 70信息安全与通信保密·2014.06新品秀场NewProducts卫士通安全云亮相受关注5月20日-23日，一年一度等单位的代表出席本次会议。卫案，经过多年努力，已经有了深的中国云计算大会在北京国家会士通公司的安全桌面云、安全存厚的积累，近两年推出了安全桌议中心举行，来自中国云计算技储产品也在本次大会成功亮相，面云、安全存储等具备高性能、术产业联盟的90多家企业代表，受到了众多参会人员的关注。高安全的产品。同时积极支持我中国大数据专家委员会的110多作为国内重要的云计算厂国军工企业和国家信息化关键部位委员以及来自全国各地政府部商，卫士通一直致力于打造自主门试点和部署云计算，已经取得门，大型企业、科研机构、高校可控的安全云计算产品和解决方了良好的郊果。双主机物理隔离计算移动通信精确管控三未信安科技自主机建立信息安全屏障系统亮相博览会研发金融数据密码机中晟国计科技有限公司的近日，移动通信安全产北京三未信安科技发展有SOC-TS3ZS-hw双主机物理隔离品——30卫士移动通信精确管限公司自主研发的专用密码设计算机是拥有完全自主知识产权控系统亮相第七届中国国际警用备，适应国内及国际金融业务的高安全性能保密计算机，可运装备博览会，该系统是按照通信安全发展需要，可在应用层面用双独立主机和双网物理隔离原保密安全的要求，解决党政机与RACAL密码机保持兼容。产理，通过实现“使用前核实，使关、部队、军工企业、监狱、公品主要用于实现对主机应用层数用中比对，使用后记录，随时‘心安等单位相应需求的技术方案，据加/解密、消息来源正确性验跳’报告，安全数据保护”等功是针对GSM、WCDMA、TD-证、密钥管理等，是金融数据安能，成功应对各种信息化安全威SCDMA、CDMA2000实施通信全保护的一种有效工具。该产品胁，并充分满足政府、企业在双监测、管控的实战系统，可对重通用性好，可平滑接入各种系统网办公环境下对计算机安全使用要场所、涉密会议等进行精确通平台，满足大多数应用系统的要的保密性需求。信管控，具有覆盖体制全、管控求，在应用系统安全方面具有广精度高、安全可靠等优点。泛的应用前景。责任编辑马沁 信息安全与通信保密·cismag.net71BooksRecommendation图书推荐你的个人信息安全吗互联网思维——工作、生活、商业的大革新李瑞民著电子工业出版社2014年5月钟殿舟著企业管理出版社2014年5月《你的个人信息安全吗(双色)》由从事信息安全行业十《互联网思维》是深入研几年的专家细心收集近年来的究互联网思维的先河之作，各种典型个人信息安全泄露事与其他来自于感觉和案例的件，并全面补充了个人在生活、互联网思维著作不同，本书工作中容易泄露个人信息的方首次逻辑论证了互联网思维方面面，更对信息安全泄露的的存在，并定义了互联网思原理进行了细致讲解。维的具体内涵。PLC与工控系统安全自动化技术及应用韩兵著中国电力出版社2011年1月《PLC与工控系统安全自动化技术数据之巅：大数据革命，及应用》主要介绍PLC的工作原理、编转折——眺望IT巅峰历史、现实与未来程应用与工控系统的安全保障技术。全谢耘著书共分6章，分别介绍了PLC的编程涂子沛著清华大学出版社2014年4月方法与实例；PLC与工控系统自动化；中信出版社2014年5月PLC控制系统的安全性；PLC控制系统《转折——眺望IT巅峰》数据，科学的生机和命脉；的功能安全实现；PLC自动化安全系统是一部开创性著作，它完整数据之巅，进入科学的殿堂，应用实例。的展示了作者关于虚拟映像引领未来的思索。记住，我《PLC与工控系统安全自动化技术和主体认识论的理论，论述们要用数据来说话，用科学及应用》编写的着重点是工控系统安全了基于非结构化信息管理技来思考。《数据之巅》案例自动化技术与应用实例，力求将这一领术的应用模型。以“虚拟映像”丰富、生动，观点更加震撼，域的最新技术成果献给读者，为现场工为基础的应用模式也将成为读起来趣味盎然，又不失科程技术人员研究、开发应用和企业控制未来IT应用的一个具有重大学的风采和素养。系统升级提供工具和范本。意义的新模式。责任编辑贺鑫'