石油化工行业工控系统安全保障应用实践 商杰

发表时间:2020/8/5   来源:《基层建设》2020年第9期   作者:商杰
[导读] 摘要:石化行业控制系统的稳定运行与信息安全密不可分,运维人员需要管理越来越庞大、越来越复杂的石化行业控制系统,对系统进行定期检查和维护,减少安全事件发生的可能,保障石化行业控制系统持续、稳定运行。
        新疆中泰新鑫化工科技股份有限公司  乌鲁木齐  831500
        摘要:石化行业控制系统的稳定运行与信息安全密不可分,运维人员需要管理越来越庞大、越来越复杂的石化行业控制系统,对系统进行定期检查和维护,减少安全事件发生的可能,保障石化行业控制系统持续、稳定运行。因此,安全运维不仅要保障安全措施足够全面,可及时处置各类安全事件,还要保障安全处置不会给在役石化行业控制系统带来衍生的安全风险。
        关键词:石化行业控制系统;运维模式;安全运维;
        1石化行业控制系统
        ICS是几种类型控制系统的总称,包括数据采集与监视控制系统、分散控制系统和其他控制系统,如在石化行业部门和关键基础设施中经常使用的可编程逻辑控制器。石化行业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成。大规模的控制系统也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等,操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等,管理级包括生产管理系统和企业资源系统等,通信网络包括商用以太网、石化行业以太网、现场总线等。
        2石化行业控制系统安全运维模型
        2.1石化行业控制系统安全运维模型
        石化行业控制系统安全运维在业界并没有一个统一模型。对此,结合信息系统安全运维的“安全运维”和“运维安全”两种模式,模型中的资源具体包括人、财务、信息、技术四种资源。这些资源在管理的基础上服务于石化行业控制系统安全运维模型的各个要素。石化行业控制系统安全运维模型通过实现数据、载体、环境和边界四个实体对象全生命周期的可用性、完整性、真实性、机密性、不可否认性等若干安全属性来支撑业务的正常运行。安全运维活动通过组织石化行业控制系统安全、稳定运行的保障工作来支撑石化行业现场生产的正常进行。安全运维分为“安全运维”和“运维安全”两种模式。在实现安全属性的过程中,针对“安全运维”采取合规要求、安全策略、运维准备、运维实施、运维评审、持续改进六个动态安全环节的技术手段与措施,在“运维安全”采取合规要求、风险评估、风险处置、过程监控、运维评审、持续改进的六个动态安全环节的技术手段和措施。为实现上述对象的安全属性,需要充足的人力、财力、技术、信息资源提供保障。以上的各类对象、环节、资源都必须进行综合有效的管理。
        2.2石化行业控制系统安全运维对象
        石化行业生产是石化行业企业存在与生存的核心活动,是一个石化行业企业的本质工作。石化行业控制系统安全运维工作的本质是保障石化行业控制系统安全、稳定运行,保障工业生产连续、正常实施。本文所关注的业务是石化行业控制系统支撑的业务活动。业务活动离不开数据、载体、环境与边界实体对象的运用,业务活动正常运行也是通过实体对象的安全属性来实现。另一方面,业务活动的正常进行还需要投入人力、财力、信息和技术资源。在运维过程中,保障数据安全,需要考虑数据的产生、处理、加工、存储、使用、传输以及销毁过程的安全,通过对数据自身、载体和载体所处的环境及其边界的保护来确保数据的可用性、完整性和机密性。例如,考虑在加入安全保障措施和石化行业网络安全设备后,上下位机数据流的完整性、数据与数据之间的转换、数据的融合、数据的安全等级问题等。
        3石化行业控制系统安全运维模式
        安全运维模式的过程可分为运维准备、运维实施、运维评审与持续改进这四个阶段。四个阶段具体细分为合规要求、安全策略、运维准备、运维实施、运维评审与持续改进这六个环节。安全运维准备阶段包含了合规要求、安全策略、运维准备这三个环节。该阶段主要完成石化行业控制系统安全运维策略制定和安全运维前期的准备工作。运维实施阶段重点解决安全策略落实和运维服务的实施,即通过技术手段和方式开展运维服务工作,解决石化行业控制系统的业务、数据安全、载体安全、环境及边界安全问题。

运维评审与持续改进是后期阶段。运维评审主要是对安全运维服务的有效性进行评价,从质量控制、全生命周期过程管控、运维费用控制等方面衡量安全运维服务。持续改进则是实现自我纠错、逐步提升的过程。安全运维活动必然是一个动态的循环系统,周而复始,不断提高和改进。
        4石化行业控制系统运维安全
        运维安全的重点在于安全,是研究在运维活动、运维组织、运维环境、运维工具及运维人员等环节中作用于业务系统的安全保障措施的安全性,识别整个运维过程可能面临的安全风险,并讨论如何避免这些风险。通过对石化行业控制系统运维的组织结构、人员、策略、工具、设施和活动的风险识别、风险分析、风险评估、风险处置及风险预防与控制等活动,依据流程开展监控、告警、响应、评估等运行维护活动。运维安全是保障石化行业控制系统安全运维工作的合规性、安全性和有效性的过程,其具体过程包括合规要求、风险评估、风险处置、过程监控、运维评审与持续改进,共六个环节。
        (1)运维安全的整个过程是:从安全合规要求出发,对现有安全运维活动的组织结构、人员、策略、工具、设施活动以及过程中面临的风险进行风险评估,并根据风险评估的结果进行处置,将风险降到最低。
        (2)合规要求、风险评估是石化行业控制系统安全需求的主要来源。合规要求是指运维的安全需求对国家相关法律法规、规章制度、标准规范的符合性。风险评估主要是对运维过程中的问题、运维过程自身的脆弱性、所面临的威胁以及其可能带来的损失进行评估。
        (3)风险处置是运维安全的技术主体阶段,通过制定控制风险的计划并实施控制,降低风险发生的可能性并减少其对石化行业控制系统的不良影响。该阶段根据风险提取的安全需求,盘点现有的安全技术手段和管理措施,并进行合理选择。针对所选择的技术手段和管理措施拟定风险处置计划,最后根据风险处置计划实施。
        (4)过程监控的主要工作是对运维过程人员操作行为、设备运行状况、安全事件监控和已实施的风险处置进行有效性监控,获取安全证据,保障系统安全。
        (5)运维评审阶段的主要任务是根据安全论据及证据,对监控获取的运维状况进行安全运维服务实施有效性评价,从质量控制、全生命周期过程管控、运维费用控制等方面衡量当前安全运维服务。
        (6)持续改进环节是针对评审过程中发现的问题进行修正和改进,调整风险处置的措施,并对现有运维工作的全部或部分构成进行重新实施,以形成一个周而复始、螺旋式上升式的过程。
        5结论
        石化行业控制系统安全运维中,安全运维和运维安全两种模式存在相互依存和相互促进的关系,彼此之间存在着共性。两者都是从信息安全合规要求出发,需要遵循和满足国家及行业的法律、法规、规章制度、标准规范等。通过运维评审方式对现有运维组织、运维人员、运维对象、运维策略、运维过程和运维手段进行安全运维服务有效性评价。从质量控制、全生命周期过程管控、运维费用控制等方面衡量安全运维服务,并针对评审过程发现的问题进行修正和改进,调整控制措施、对现有的运维工作的全部或部分构成进行重新实施,形成一个周而复始、螺旋式上升的过程。
        参考文献:
        [1]李少毅.电厂DCS集散控制系统的设计及应用[J].科学与财富,2017(24):91.
        [2]张亚博.网上问题单系统的设计与实现[D].北京:北京邮电大学,2009.
        [3]战莹,任丽丽,周子琨.基于ITIL的企业IT运维管理系统的应用[J].石油规划设计,2016(6):51-53.
        [4]何秀全,罗圣,夏晴,等.基于ITIL的高校IT服务管理应用研究[J].现代教育技术,2011(10):60-63.
 
投稿 打印文章 转寄朋友 留言编辑 收藏文章
  期刊推荐
1/1
转寄给朋友
朋友的昵称:
朋友的邮件地址:
您的昵称:
您的邮件地址:
邮件主题:
推荐理由:

写信给编辑
标题:
内容:
您的昵称:
您的邮件地址: