隨著“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃的推進(jìn)，移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等先進(jìn)的信息傳輸和處理技術(shù)在石化領(lǐng)域的應(yīng)用越來(lái)越普及。毫無(wú)疑問，先進(jìn)的信息通訊技術(shù)不僅大幅提升了行業(yè)的運(yùn)營(yíng)效率，同時(shí)也是行業(yè)節(jié)能減排、綠色發(fā)展、轉(zhuǎn)型升級(jí)的重要抓手，為行業(yè)帶來(lái)了新的升級(jí)空間和發(fā)展動(dòng)力。但與此同時(shí)，在信息化與工業(yè)化融合過程中，網(wǎng)絡(luò)信息安全、工業(yè)控制系統(tǒng)安全等問題也隨之凸顯出來(lái)。

 

　　 日前有信息安全方面的專家對(duì)記者表示，目前我國(guó)石化行業(yè)的工業(yè)控制系統(tǒng)幾乎是在沒有任何防護(hù)的狀態(tài)下，暴露在萬(wàn)網(wǎng)互聯(lián)、萬(wàn)物互聯(lián)的環(huán)境中，這無(wú)異于一個(gè)人在人頭攢動(dòng)的大街上“裸奔”。而更讓人擔(dān)憂的不是這種“裸奔”狀態(tài)本身，而是絕大多數(shù)的企業(yè)管理者對(duì)此一無(wú)所知。

 

　 　風(fēng)險(xiǎn)看不見，更危險(xiǎn)！

 

　 　“我一直對(duì)行業(yè)的工控系統(tǒng)信息安全有一種擔(dān)心。”作為石化自動(dòng)化行業(yè)的專家，中國(guó)石油和化工自動(dòng)化應(yīng)用協(xié)會(huì)秘書長(zhǎng)陳明海表示，“這種擔(dān)心來(lái)自于兩方面：一是石化行業(yè)肩負(fù)著國(guó)家石化能源和基礎(chǔ)原材料供給重任，在保障國(guó)民經(jīng)濟(jì)安全運(yùn)行中發(fā)揮著舉足輕重的作用，生產(chǎn)中一旦出現(xiàn)任何的異常，都有可能造成嚴(yán)重的安全事故或重大的社會(huì)影響；二是目前國(guó)內(nèi)大型的石化裝置所采用的高端控制系統(tǒng)和信息系統(tǒng)的軟硬件大多是進(jìn)口的，幾乎被國(guó)外所壟斷，這就好比是自家的房門鑰匙拿在外人手里，讓我們毫無(wú)安全感可言。只要有人想惡意入侵，我們就毫無(wú)防御能力。” 

 

　 　據(jù)介紹，過去，石化企業(yè)作為一個(gè)獨(dú)立的運(yùn)營(yíng)單位，其生產(chǎn)系統(tǒng)與外界是隔離的，外面的威脅不會(huì)通過企業(yè)內(nèi)部的網(wǎng)絡(luò)進(jìn)入到生產(chǎn)系統(tǒng)。但隨著兩化融合的推進(jìn)以及互聯(lián)網(wǎng)技術(shù)的應(yīng)用，原來(lái)獨(dú)立運(yùn)行的控制設(shè)備全部進(jìn)行了大規(guī)模聯(lián)網(wǎng)和集中式管理，與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)的連接使得病毒、木馬等威脅輕而易舉地?cái)U(kuò)散到了工業(yè)控制系統(tǒng)，網(wǎng)絡(luò)安全問題也隨之而來(lái)。但這些風(fēng)險(xiǎn)都是潛在的，并不像生產(chǎn)現(xiàn)場(chǎng)安全隱患那樣看得見摸得著。

 

　　 “聯(lián)網(wǎng)后，過程控制系統(tǒng)就變成了開放的狀態(tài)，辦公系統(tǒng)的網(wǎng)絡(luò)病毒會(huì)對(duì)生產(chǎn)系統(tǒng)產(chǎn)生威脅，原來(lái)企業(yè)生產(chǎn)安全主要面對(duì)現(xiàn)場(chǎng)的管理，而現(xiàn)在，還要考慮來(lái)自于互聯(lián)網(wǎng)的各種威脅。如果工控系統(tǒng)沒有防護(hù)體系，工廠里的機(jī)器設(shè)備就會(huì)直接暴露在公共網(wǎng)絡(luò)上。目前在互聯(lián)網(wǎng)上，就可以直接掃描到許多的工控系統(tǒng)和設(shè)備以及軟件，外部人員可以直接聯(lián)入系統(tǒng)內(nèi)部，如果將來(lái)一旦爆發(fā)網(wǎng)絡(luò)空間戰(zhàn)，一個(gè)國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施將是首個(gè)被攻擊的對(duì)象。”北京力控華康科技有限公司市場(chǎng)部經(jīng)理李光朋在接受中國(guó)化工報(bào)記者采訪時(shí)這樣表示。

 

　　 陳明海也強(qiáng)調(diào)了互聯(lián)網(wǎng)給生產(chǎn)系統(tǒng)帶來(lái)的隱患：“石化行業(yè)是一個(gè)高危行業(yè)，企業(yè)生產(chǎn)中涉及到有毒有害、易燃易爆、腐蝕、易揮發(fā)等化學(xué)品，多數(shù)的企業(yè)涉及高溫高壓工藝，同時(shí)，工藝復(fù)雜，生產(chǎn)過程又是環(huán)環(huán)相扣的連續(xù)化生產(chǎn)，每道工序間相互關(guān)聯(lián)、相互影響，控制系統(tǒng)一旦出問題就會(huì)產(chǎn)生重大影響。目前我國(guó)的煉油、石化等行業(yè)普遍采用DCS（分散控制系統(tǒng)）和PLC（可編程邏輯控制器）等數(shù)字化手段，自動(dòng)化程度高，原本獨(dú)立運(yùn)行的控制體系聯(lián)網(wǎng)后很容易受到來(lái)自互聯(lián)網(wǎng)的各種病毒和漏洞的影響。如果一個(gè)關(guān)鍵的大型石化裝置遭到惡意攻擊，后果將不堪設(shè)想。”

 

　 　有著多年信息安全工作經(jīng)驗(yàn)的中國(guó)電子科技集團(tuán)公司首席專家張建軍則認(rèn)為，工業(yè)控制系統(tǒng)的大規(guī)模聯(lián)網(wǎng)帶來(lái)的安全問題不容忽視，且不說(shuō)工控系統(tǒng)的安全性問題，光是聯(lián)網(wǎng)本身就有許多問題。原來(lái)兩個(gè)生產(chǎn)廠之間的控制系統(tǒng)是各自獨(dú)立運(yùn)行的，控制系統(tǒng)的信息只在企業(yè)內(nèi)部傳輸，但在信息聯(lián)網(wǎng)后，在沒有做任何隔離的情況下，兩個(gè)工廠的控制系統(tǒng)之間多了一個(gè)后門。“這就好像我家和鄰居家本來(lái)各走各的門，互不相通。但忽然有一天發(fā)現(xiàn)，有一個(gè)通道可以直接把我家和鄰居家聯(lián)通�？上攵�知這種情況有多危險(xiǎn)！”

 

　 　張建軍介紹說(shuō)：“目前我國(guó)的工業(yè)控制系統(tǒng)信息安全比較薄弱，與十幾年前的商用網(wǎng)絡(luò)信息安全的水平相當(dāng)。十幾年前我們計(jì)算機(jī)用戶沒有幾個(gè)人知道什么是防火墻，什么是入侵檢測(cè)，僅有的一點(diǎn)安全知識(shí)就是防病毒。目前，工業(yè)控制領(lǐng)域網(wǎng)絡(luò)技術(shù)的應(yīng)用許多還處于起步階段，相關(guān)人員對(duì)這方面的知識(shí)知之甚少。”

 

　 　盡管行業(yè)管理者對(duì)工控系統(tǒng)安全了解還不多，但在工業(yè)系統(tǒng)發(fā)生的安全事故卻已經(jīng)向我們發(fā)出警告。早在2009年和2010年間，伊朗核設(shè)施曾遭遇震網(wǎng)（Stuxnet）病毒攻擊，導(dǎo)致伊朗1000多臺(tái)離心機(jī)癱瘓。近幾年，石化企業(yè)因網(wǎng)絡(luò)病毒引起的安全事件層出不窮，美國(guó)的4家石油公司曾對(duì)外宣稱，他們的計(jì)算機(jī)系統(tǒng)感染了Stuxnet病毒；我國(guó)青島某煉廠的控制系統(tǒng)也曾因感染蠕蟲病毒導(dǎo)致裝置停產(chǎn)。工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題已經(jīng)日益凸顯。

 

　　 行業(yè)情況復(fù)雜，升級(jí)難！

 

　　 然而，專家們表示，與傳統(tǒng)企業(yè)信息化的安全不同，石化行業(yè)有自身的特點(diǎn)，其工業(yè)控制系統(tǒng)十分復(fù)雜，傳統(tǒng)IT安全產(chǎn)品對(duì)石化領(lǐng)域的適應(yīng)性不強(qiáng)，解決問題的能力非常有限，很難滿足石化行業(yè)的特殊要求，要想解決好石化行業(yè)工控系統(tǒng)信息安全問題并不是一件容易的事。

 

　　“石化領(lǐng)域的工控系統(tǒng)信息安全問題太復(fù)雜了！行業(yè)與行業(yè)之間、企業(yè)與企業(yè)之間，甚至是一個(gè)企業(yè)的內(nèi)部情況都是千差萬(wàn)別的，企業(yè)生產(chǎn)現(xiàn)場(chǎng)的產(chǎn)品種類繁多，出現(xiàn)的問題常常是IT領(lǐng)域中沒有遇到過的情況。”在工控系統(tǒng)領(lǐng)域打拼了多年的李光朋對(duì)石化行業(yè)工控系統(tǒng)信息安全問題的復(fù)雜性有著深刻的理解。

 

　　 張建軍對(duì)此也表達(dá)了同樣的觀點(diǎn)：“石化行業(yè)的情況十分復(fù)雜，企業(yè)的性質(zhì)不同，生產(chǎn)的產(chǎn)品不同，其所需的解決方案也就不同。比如分散的油田和集中的石化廠需要的方案就會(huì)有所區(qū)別，而危險(xiǎn)化學(xué)品和一般化學(xué)品的生產(chǎn)對(duì)安全防護(hù)的要求級(jí)別也不同，系統(tǒng)安全解決方案提供商要針對(duì)不同系統(tǒng)提供定制化的解決方案。”

 

　 　關(guān)于石化行業(yè)工控信息安全復(fù)雜性的原因，業(yè)內(nèi)專家將其歸納為3類。

 

　　 首先，石化生產(chǎn)的連續(xù)性讓系統(tǒng)升級(jí)變得十分困難。多數(shù)石化裝置特別是大型的石化裝置只要一開車就是長(zhǎng)周期的連續(xù)運(yùn)行，一旦發(fā)生計(jì)劃外停車，就會(huì)造成巨大的損失。這就使得企業(yè)即使發(fā)現(xiàn)了系統(tǒng)安全漏洞，也根本沒有時(shí)間來(lái)對(duì)系統(tǒng)進(jìn)行升級(jí)和修復(fù)，而病毒與防護(hù)系統(tǒng)卻是實(shí)時(shí)更新的。

 

　　 其次，管理人員的主觀因素讓系統(tǒng)升級(jí)變得困難。現(xiàn)場(chǎng)的技術(shù)人員一般情況下是不敢貿(mào)然對(duì)系統(tǒng)進(jìn)行主動(dòng)更新和修補(bǔ)的，只要生產(chǎn)裝置不出問題，能不動(dòng)就不動(dòng)，因?yàn)橄到y(tǒng)升級(jí)會(huì)帶來(lái)一些不確定因素，有可能導(dǎo)致裝置運(yùn)行不穩(wěn)定，而造成經(jīng)濟(jì)損失。因此，大量的工控系統(tǒng)存在已知卻無(wú)法得到修復(fù)的低級(jí)漏洞。 

 

　 　再次，石化行業(yè)的裝置壽命都比較長(zhǎng)，有的一用就是幾十年，因此其控制網(wǎng)絡(luò)或控制系統(tǒng)的技術(shù)和產(chǎn)品跨代時(shí)間也就比較長(zhǎng)。目前在一些企業(yè)應(yīng)用的產(chǎn)品和技術(shù)還是30年前的，因此造成工控領(lǐng)域的網(wǎng)絡(luò)環(huán)境類型復(fù)雜多樣，新開發(fā)的信息安全技術(shù)很難全面適應(yīng)不同類型的系統(tǒng)。同時(shí)，就網(wǎng)絡(luò)架構(gòu)而言，不同的供應(yīng)商提供的網(wǎng)絡(luò)系統(tǒng)不同，不同生產(chǎn)企業(yè)搭建的網(wǎng)絡(luò)不同，即使是同一供應(yīng)商為不同用戶提供的網(wǎng)絡(luò)系統(tǒng)也是五花八門，這就使得石化行業(yè)的工控系統(tǒng)信息安全越發(fā)難做。

 

　 　“石化系統(tǒng)的復(fù)雜性要求一定要有專業(yè)的公司針對(duì)行業(yè)的特點(diǎn)開發(fā)針對(duì)性強(qiáng)的產(chǎn)品來(lái)滿足行業(yè)的需求，而且一個(gè)安全產(chǎn)品不可能包打天下，只能是先開發(fā)客戶需求最為迫切的產(chǎn)品�？刂葡到y(tǒng)及生產(chǎn)網(wǎng)絡(luò)的安全防護(hù)是當(dāng)下企業(yè)要優(yōu)先考慮和解決的問題，我們開發(fā)的隔離網(wǎng)關(guān)系列產(chǎn)品

pSafetylink，就是針對(duì)連續(xù)生產(chǎn)的安全性和可靠性有著極高要求的石化和化工等行業(yè)的。”李光朋對(duì)記者說(shuō)。

 

　 　據(jù)悉，力控華康工業(yè)隔離網(wǎng)關(guān)系列產(chǎn)品pSafetylink，在雙主機(jī)之間采用專有網(wǎng)絡(luò)隔離技術(shù)PSL，可徹底阻斷任何網(wǎng)絡(luò)形式的連接，從物理層面斷開了控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的直接網(wǎng)絡(luò)連接，同時(shí)保證生產(chǎn)數(shù)據(jù)的安全交換。pSafetylink通過內(nèi)嵌的高性能工業(yè)通信軟件，支持各種主流工業(yè)SCADA通信標(biāo)準(zhǔn)（如OPC、Modbus、DNP3等），在為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)間的實(shí)時(shí)數(shù)據(jù)交換提供綠色通道的同時(shí)，又有效解決了工業(yè)控制網(wǎng)絡(luò)外連時(shí)面臨的安全問題。

 

　　 目前國(guó)內(nèi)開發(fā)的可用于石化行業(yè)的工控安全產(chǎn)品還有工業(yè)通訊隔離網(wǎng)關(guān)、工業(yè)防火墻、安全監(jiān)控裝置、工控可信技術(shù)安全平臺(tái)、安全數(shù)采網(wǎng)關(guān)等。

     揚(yáng)子石化和華東理工大學(xué)聯(lián)合研發(fā)的高級(jí)過程控制（APC）系統(tǒng)在揚(yáng)子乙烯裝置得到成功應(yīng)用。該系統(tǒng)先進(jìn)高效，改變了過去傳統(tǒng)的基本控制方式，提高了乙烯裝置的安穩(wěn)運(yùn)行水平。圖為揚(yáng)子石化乙烯裝置崗位職工正在操作APC控制系統(tǒng)。 

 

　　安全產(chǎn)品開發(fā)，沒有人！

 

　 　石化行業(yè)的復(fù)雜性，讓行業(yè)工控系統(tǒng)信息安全面臨著巨大的挑戰(zhàn)，雖然市場(chǎng)已經(jīng)啟動(dòng)，但企業(yè)需求卻難以滿足。記者在采訪中了解到，目前國(guó)內(nèi)專門從事工業(yè)控制系統(tǒng)信息安全產(chǎn)品開發(fā)的公司屈指可數(shù)，而針對(duì)石化行業(yè)提供解決方案的更是鳳毛麟角。行業(yè)的復(fù)雜性讓一些大型的通用產(chǎn)品的供應(yīng)商望而卻步，而與此同時(shí)，那些專業(yè)的解決方案提供商也面臨著諸多困擾，開發(fā)周期長(zhǎng)、產(chǎn)品利潤(rùn)率低、專業(yè)復(fù)合型技術(shù)人員的缺乏制約了行業(yè)和企業(yè)的發(fā)展。

 

　 　石化行業(yè)的復(fù)雜性也決定了其信息安全產(chǎn)品將以定制化為主，市場(chǎng)比較單一，用戶少，產(chǎn)品復(fù)制性差，因此，產(chǎn)品開發(fā)企業(yè)利潤(rùn)率低，人均產(chǎn)出少，員工的待遇自然不像其他商用安全產(chǎn)品的開發(fā)商那么優(yōu)厚，高素質(zhì)的開發(fā)人才也就很難留住。而一個(gè)產(chǎn)品從開發(fā)到成熟穩(wěn)定一般需要3~5年的時(shí)間，一些成熟的產(chǎn)品在行業(yè)中的推廣速度也不像商用產(chǎn)品推廣速度那么快。

 

　　 李光朋告訴記者，專業(yè)人才的缺乏對(duì)產(chǎn)品開發(fā)和公司的發(fā)展形成了一定制約。工業(yè)控制系統(tǒng)信息安全是一個(gè)新興的交叉領(lǐng)域，要求該領(lǐng)域的技術(shù)人員既要懂工業(yè)控制，又要有信息化的知識(shí)，同時(shí)還要對(duì)網(wǎng)絡(luò)信息安全有所了解。目前市場(chǎng)沒有現(xiàn)成的復(fù)合型人才可用，都是企業(yè)自己培養(yǎng)。

 

　　 力控華康是國(guó)內(nèi)最早從事工業(yè)控制系統(tǒng)信息安全技術(shù)研發(fā)的廠商之一，這家公司面臨的問題具有很強(qiáng)的代表性。

 

　 　在對(duì)企業(yè)的采訪中記者也了解到，目前石化企業(yè)中在生產(chǎn)現(xiàn)場(chǎng)負(fù)責(zé)工業(yè)控制的技術(shù)人員基本上都是學(xué)自動(dòng)化出身的，由于缺乏信息安全知識(shí)，使得本來(lái)就十分脆弱的工控信息安全問題變得更為嚴(yán)峻。

 

　　 張建軍也表示，目前在石化行業(yè)中，無(wú)論是管理人員還是技術(shù)人員，對(duì)工控系統(tǒng)的安全意識(shí)十分薄弱，同時(shí)基本的安全知識(shí)、安全技能和技術(shù)手段都很缺乏。

 

　　 工業(yè)和信息化部賽迪智庫(kù)的研究員安琳曾撰文指出，面對(duì)工控系統(tǒng)的安全隱患，用戶企業(yè)延續(xù)了信息安全防護(hù)的舊思路，認(rèn)為工控系統(tǒng)安全屬于純技術(shù)問題，要求工控系統(tǒng)廠商提供整改方案，或者轉(zhuǎn)向第三方廠商購(gòu)買安全解決方案。但安琳認(rèn)為，安全防護(hù)不只是技術(shù)問題，更重要的是通過流程制度對(duì)安全脆弱性進(jìn)行控制，并保證人員對(duì)流程制度的堅(jiān)決執(zhí)行。很多情況下，安全事故的發(fā)生和關(guān)鍵信息的泄露與人的因素直接相關(guān)。

 

　 　如何使安全管理融入到日常管理的流程中，并強(qiáng)化落實(shí)流程的執(zhí)行，加強(qiáng)人員的管理，提供人員素質(zhì)，是工業(yè)企業(yè)必須認(rèn)真思考和解決的問題。

        據(jù)目前已知的數(shù)據(jù)顯示，工業(yè)控制系統(tǒng)的信息安全事件主要集中于能源、水利、化工、政府機(jī)構(gòu)以及核設(shè)施等領(lǐng)域。在中國(guó)，這類事件的發(fā)生呈逐年上升的趨勢(shì)。