隨著兩化融合發展，工控網絡呈現出整體開放趨勢，各種威脅不斷增加。工控系統網絡安全風險所帶來的，不再僅僅是信息泄露、系統無法使用等“小”問題，而是會可能對現實世界造成直接的、實質性影響的大問題，工控安全不僅關系到生產安全和經濟發展，還影響到社會穩定和國家安定。

2010年“震網”病毒破壞了伊朗核設施，影響巨大，這標志著工控網絡攻擊從傳統“軟攻擊”升級為直接攻擊關鍵信息基礎設施等要害系統的“硬摧毀”，不得不令人深思。

從“震網”病毒到“Havex”病毒，再到勒索病毒，工控系統網絡安全事件不斷給世人敲響警鐘。從總體上看，我國工控系統信息安全防護建設明顯滯后于工控系統建設，在防護意識、防護策略、防護機制、法律法規、防護檢測等方面都存在不少問題，國內相關研究工作尚在起步階段。

2.1　工控系統網絡安全現狀

一方面，諸如石化這樣的流程工業，生產的強連續性、高安全性、特定的高溫高壓環境要求控制系統必須保證安全穩定地運行，一旦控制系統設備、網絡受到攻擊或感染病毒后發生故障，生產將處于失控狀態，后果不堪設想。

另一方面，就國內石化領域DCS系統占比而言，霍尼韋爾、西門子、艾默生、GE等國外廠商占據一大半以上份額，而國內廠商浙江中控、和利時等品牌更多地被用在中小型石化系統或輔控系統中。在西方發達國家對國內工業控制核心技術壟斷環境下，工控系統面臨的安全形勢愈發嚴峻。

從國家層面而言，由于歷史原因，我國工業控制系統同樣存在著信息安全管理制度不健全，相關標準規范缺失，安全防護能力和應急處置能力弱等問題。這些都對我國工控系統安全造成了嚴重威脅。

2.2　石化工控系統網絡安全面臨挑戰

石化工控系統網絡面臨諸多威脅，體現在以下方面：

·行業的特殊性

石化行業是典型的流程工業，對控制系統的信息安全要求相對比較高，需要符合行業屬性的技術、管理等體系。

·入侵的多樣性

石化工控系統的一大特點是結構固定，有固定的拓撲形式和相對單一的網絡動態，但網絡組成元素、工控節點眾多。因此，工控系統的入侵途徑更多，可能來自異構網絡、工業以太網、現場總線、無線網、移動介質、維修接入，甚至誤操作等。

·后果的嚴重性

與物理世界的互動性是工控系統與信息系統的區別之一，因此，石化工控系統受到威脅可能直接導致現實社會中的重大災難和群體性事件。

·管理的復雜性

多數石化工業企業的控制網絡中，新舊系統并存，而且舊系統在設計時基本沒考慮信息安全的問題；同時多種工控品牌系統并存也給安全管理帶來一定挑戰。

3.1　平臺構建必要性

石油煉化作為國家關鍵信息基礎設施的重要組成部分，行業目前還沒有建立完整的預警防護機制，對工控網絡安全問題的認知還不夠清晰。國內基礎工業設施所用的控制系統國產化比率較低，國內企業對國外系統的漏洞及后門認知不清,對這些系統安全性也沒有相應的指標來衡量。雖然近年來控制系統國產率逐漸提高，但國內自主的控制系統網絡安全性卻無法驗證，更無法對這些控制系統網絡漏洞提供安全建議。

此外，石化工業控制系統為滿足連續生產的要求，基本處于實時運轉的狀態，且控制的生產環境基本為高溫、高壓的危險環境，故不能針對生產中的工控系統做實時安全研究驗證和應急演練。

因此，在構建石化工控系統安全研究與應急演練平臺，在平臺上開展相關的工控安全研究和應急演練，可填補國內石化對于工業控制系統網絡安全研究、服務和應急演練的空白。

3.2　國家政策的支持

在此之前，我國的工業控制系統網絡安全相關標準在信息安全標準化技術委員會以及工業過程測量和控制標準化技術委員會的指導下，參考“信息安全技術信息系統安全等級保護基本要求”完成了相關標準編制工作，為國家基礎工業控制系統網絡安全建設提供了準則。

自2017年6月1日起施行的《網絡安全法》用了整整一節來強調重點保障關鍵信息基礎設施的運行安全并界定了關鍵信息基礎設施的范圍。

2016年11月工信部下發了《工業控制系統信息安全防護指南》（以下簡稱《指南》），其中也涉及到對工業系統離線環境和應急演練的要求，在“安全軟件選擇與管理”的第一條要求：“在工業主機上采用經過離線環境中充分驗證測試的防病毒軟件或應用程序白名單軟件，只允許經過工業企業自身授權和安全評估的軟件運行”。文中的離線環境就是區別于工業運行的實際環境，即本文需要搭建的石化工控系統安全研究與應急演練平臺。

“邊界安全防護”的第一條要求：“分離工業控制系統的開發、測試和生產環境”。本條目中工業控制系統的開發、測試環境的功能可由本文討論的平臺完成。

“安全監測與應急演練”的第四條要求：“定期對工業控制系統的應急響應預案進行演練，必要時對應急響應預案進行修訂”。可充分在本文論證的平臺上開展應急演練和應急響應預案的修訂。

除《指南》外，工信部發布的工控系統信息安全三年行動計劃提出：到2020年建成“一網一庫三平臺”。

“一網”是指全國工控安全在線監測網絡。

“一庫”是指工控安全應急資源庫。按照《國家網絡安全事件應急預案》總體要求，應急資源庫匯聚漏洞、風險、解決方案、預案等信息，實現輔助決策、預案演練等功能。

“三平臺”是指工控安全仿真測試平臺、信息共享平臺和信息通報平臺。本文論證的平臺以石化生產相關真實工業控制場景為基礎，模擬業務流程，還原真實現場，滿足培訓、測試、驗證、試驗等多元化需求。

平臺功能的設計，除了結合石油煉化的行業特點外，還需響應國家相關政策的要求。因此，平臺建設遵循“體系建設、持續研究、滾動發展”的總體思路。從根本上構建自主可控、高可信度、大規模、開放式的石化工控系統安全研究與應急演練平臺。

平臺的功能由以下五部分組成：

4.1　安全攻防演練

平臺根據石油煉化典型應用場景的工業控制系統，建立石油煉化工業控制系統安全攻防演練系統。可以實現如下特點：

（1）跟蹤最新的攻防技術，針對攻防系統尋找可能的網絡攻擊切入點。

（2）模擬工控網絡攻擊，深入分析攻擊途徑、攻擊方式以及攻擊對系統的影響。

（3）針對攻擊制定防護方案，向國家石化企業、廠商提供產品、系統及網絡改進建議。

4.2　滲透監控

建立石油煉化工業控制系統網絡滲透監控系統，從系統中對滲透攻擊的方式進行捕獲、監控，加強對攻擊手段的研究與防護。

4.3　安全數據中心

建立石油煉化工業控制系統安全數據中心，定期發布最新工業控制系統安全信息，包含：

（1）漏洞庫：收集石化行業設備和集成服務提供商的漏洞信息，提供漏洞內容描述、攻擊方式、攻擊影響、漏洞設備列表、漏洞根源分析、漏洞探測方法、漏洞的保護措施等相關數據。

（2）模型庫：建立石化工業控制系統模型庫，提供模型描述、設備列表、組網連接方式、網絡數據分析等。

（3）大數據分析中心：從廠商、設備類型、行業等多個維度統計風險漏洞信息，統計石化工控系統網絡攻擊發生的趨勢，不同應用場景的攻擊手段、地理分布、攻擊系統分布等多個維度的數據，進行數據關聯分析和挖掘等，為石化行業工控安全態勢感知做技術儲備。

4.4　威脅復現及行業拓展

針對石油煉化工業控制系統已遭受的攻擊，進行完整的復現。

（1）威脅復現：針對目前已經存在的網絡攻擊行為，在同等網絡條件下進行復現。

（2）系統拓展：同一個威脅一般只針對特定的網絡、設備及終端，對于該種攻擊技術是否會對其他類型的設備和系統造成攻擊進行驗證，并發出威脅預警。

（3）行業拓展：針對已經存在的威脅，進行行業拓展，預防相同網絡威脅蔓延至其它工控行業。

4.5　設備、網絡安全評測

對入網的操作系統、終端設備、網絡等進行安全評測。

（1）對工控設備進行準入測試，保證進入石化系統網絡設備的安全、可靠。

（2）為設備供應商提供安全測評報告。

（3）為行業提供石化工控網絡安全咨詢、加固建議。

基于平臺功能設計需求，平臺由目標業務系統、環境仿真系統、網絡測試系統、入侵誘捕系統、模擬攻擊系統、保護驗證系統以及多媒體展示系統等子系統組成：

5.1　目標業務系統

以石化行業的生產系統為建設依據建設。該目標業務系統是安全研究與演練的目標，系統中的控制器、I/O部件、服務器、工程師站、操作員站等都屬于目標業務系統。

可以選石化行業典型的裝置以及典型的工控系統配置，如霍尼韋爾PKS系統、浙江中控ECS-700控制系統等，如圖1所示。

圖1 目標業務系統網絡結構圖（浙江中控）

5.2　環境仿真系統

環境仿真系統以石化的裝置工藝為原型，為隔離的目標業務系統提供仿真環境。環境仿真系統可提高安全研究的可靠性，實現目標業務系統與演示場景的組合。

環境仿真系統可以選取石化行業典型的工藝，如“PX”、“柴油加氫”等，滿足如下特點：

（1）仿真演示需要符合石化行業的特點，使用最具代表性的設備模型或虛擬現實技術來展示，如圖2所示；

圖2 高仿真沙盤搭建的石化環境仿真系統圖

（2）需要配合目標業務系統的工作狀態展示，如正常工作或受到攻擊；

（3）演示效果直觀可見，例如通過高仿真模型的聲、光、電變化體現攻擊效果；

（4）可以實現多次仿真演示，即演示對環境仿真系統不能造成永久破壞。

5.3　網絡測試系統

利用專業網絡工具設備對目標業務系統進行網絡測試/攻擊的軟硬件設備及相應方法論。如：集成專業的工控知識庫，包括工業漏洞庫、工控設備庫、威脅特征庫、工控協議庫的網絡分析設備等。

5.4　入侵誘捕系統

入侵誘捕系統是一種情報收集系統，該系統利用工控網絡蜜罐引誘黑客入侵，然后通過各類數據采集功能獲取黑客的入侵方法，通過對各類數據的分析掌握工控系統的最新漏洞、黑客的攻擊工具和攻擊路徑，為開展工控網絡安全研究收集大量的數據。入侵誘捕系統包括工控網絡蜜罐系統、工控入侵監控系統等。

5.5　模擬攻擊系統

用于展示攻擊效果的系統，包括目標業務系統中被控制的設備、展現攻擊路徑的軟硬件。模擬攻擊系統有兩方面的工作，一是對工業控制系統的硬件和上位機軟件進行安全威脅分析，利用創新性的科學方法和專業級的威脅分析工具，實現攻擊路徑分析，網絡、設備安全性分析，漏洞庫驗證等功能，進而找到工控網絡中的薄弱環節。二是針對薄弱環節編寫攻擊腳本，并將腳本植入攻擊介質中，如U盤等，如圖3所示。

圖3 利用U盤進行的模擬攻擊示意圖

5.6　保護驗證系統

用于監測審計/防護針對目標業務系統的網絡攻擊的軟硬件。

該系統可用于各類網絡安全防護設備接入并進行防護技術與產品的功能驗證。系統所需要的網絡安全技術要求對網絡攻擊能及時發現、報警并攔截，保護（攔截）設備采用串聯方式部署，審計（報警）設備采用旁路方式進行部署，兼具黑、白名單規則。

5.7　多媒體展示系統

多媒體展示系統由多媒體電視、大屏、多功能培訓工位等組成，該系統覆蓋實驗室全景，全方位展示平臺建設內容，可用于參觀、解說、人員培訓等，如圖4所示。