★ 机械工业仪器仪表综合技术经济研究所 张亚彬，张鑫，王麟琨，刘瑶

★ 国家石油天然气管网集团有限公司油气调控中心 孙铁良，黄河，吕峰 

油气管网场站工控系统是一个典型的信息物理系统（Cyber Physical System，CPS）应用，它将物理过程的控制与网络技术紧密结合，实现了对油气传输、处理和储存等过程的监测与控制。油气管网场站涉及到大量的物理设备（如输油泵、压缩机组）和复杂的工艺流程（如过滤、分离），任何功能上的故障或异常都可能导致严重的安全问题，如设备损毁、油气泄漏甚至爆炸。因此，将安全功能内嵌到油气管网场站工控系统中，可实时监测和预测潜在的功能故障，以便及时采取措施防止事故的发生，保障了物理设备和生产过程的安全。油气场站的工控系统通过网络连接大量传感器、控制器和执行器，其面临的信息安全威胁日益增多。传统的网络安全措施如防火墙、入侵检测系统等，虽然能提供一定的防护，但在面对复杂的新型攻击时仍显不足。因此，有必要通过多层次的安全机制，增强网络系统的抗攻击能力，减少因网络攻击导致的系统故障和生产中断。此外，CPS的特性使得功能安全和信息安全紧密相关，传统的信息安全与功能安全分治方法难以有效应对复杂的综合安全威胁。因此，有必要将功能安全和信息安全融合，实现安全机制的协同防御，提高系统的整体安全水平。

为了提升工控系统防御安全的自主性和自适应性，本文提出了融合功能安全与信息安全的场站工控系统融合安全策略，即将功能安全机制与信息安全协同机制融入进场站工控系统中，使其具备自主感知、自主分析和自主响应的能力，对于保障油气管网场站的物理过程安全和网络系统安全、实现协同防御、提升自主性和自适应能力、保障生产过程的连续性和可靠性等具有重要意义。

融合安全防护策略是工业控制系统与物理生产系统不断融合环境下衍生出的安全防护需求，是面向网络化数字化业务，将信息安全与功能安全内置到CPS系统的全生命周期内，从体系化、全局化视角构建的动态的CPS整体安全防御体系，保障了工业控制系统与物理生产系统的整体运行安全。该策略要求在信息物理系统内部建设功能安全能力、信息安全能力、功能安全与信息安全协同能力，使得CPS系统具备自身免疫能力。融合安全防护策略的特点概况如下： 

（1）整体安全。整体安全是指安全系统具备层层设防、协同防御的能力。融合安全防护策略对信息安全事件具有自我感知、自我响应能力；对于信息物理跨域攻击事件，具有信息安全能力与功能安全能力联动效应，实现跨域攻击链的全域感知、跨域评估、协同响应，保证物理生产系统连续安全运行。

（2）冲突消解。冲突消解本质上是解决了功能安全与信息安全冲突问题，确保了信息安全技术的架构、配置和功能等对功能安全的影响处于可接受水平。针对优化后的功能安全技术和信息安全技术，分析信息安全技术的架构、配置和功能对功能安全的增强、冲突和协同作用；当两者存在冲突时开展冲突风险评估，依据风险可接受标准优化信息安全技术。此时，信息安全技术防护的能力等级仍将符合系统风险评估的等级要求。

（3）“三同步”原则。“三同步”是指CPS系统建设与融合安全防护能力建设需要同步规划、同步建设和同步运行，实现对融合安全防护的全生命周期管控，做好建设与运行的相结合、安全感知与安全响应的相结合。同步规划是融合安全防护的起点和关键，强调关口前移，实现融合安全防护与CPS的深度结合和全面覆盖。同步建设是融合安全防护策略的落地和保障，强调CPS建设时引入信息安全能力、功能安全能力、信息安全与功能安全协同能力。同步运行是指融合安全防护的生命，通过规划、建设形成的安全能力需要具备运营、技术、人员和管理规范，形成一个完整的体系，输出安全能力，提升完全防御整体水平。

融合安全策略是结合油气管网场站工控网络基础架构，基于风险驱动设计和能力导向设计的总体思想，通过全域态势动态感知、信息安全与功能安全协同、风险决策动态适配等关键技术，构建多层次、协同联动的CPS系统纵深防御体系，其主要框架如图1所示。

图1 场站融合安全策略的技术框架

针对由硬件故障、人员误操作等带来的异常状态，通过功能安全监测模块进行实时的动态监测，并将异常状态参数传送给系统。系统判断当前的工艺异常是否大于可接受阈值，如果工艺异常小于可接受阈值，则继续进行监测，如果工艺异常大于可接受阈值，根据需要启动功能安全的各级保护层。针对场站工业控制系统可能面临的信息安全攻击，通过信息安全监测模块进行实时的动态监测，如果没有发现异常，则继续进行监测。如果信息安全监测模块发现了异常，则启动信息安全预警联动机制。在这个过程中，利用多域指令级对比措施分析当前的信息安全攻击是否已经影响现场工艺参数/仪器仪表状态，如果已经影响到现场工艺参数/仪器仪表状态，则需要综合考虑功能安全与信息安全带来的影响。针对后果等级较高的场景，建议安全仪表系统与基本过程控制系统（basic process control system，BPCS）实行物理隔离，在其他一般的场景下可实施逻辑隔离。

场站全时全域动态感知是指全面、快速、准确地获得场站工业控制系统和物理生产系统的安全运行状态，是保障站场安全运行的重要基础。从场站物理设备设施危险事件或事故成因来看，信息安全事件、设备物理故障、人为误操作、自然环境因素等是引起传输数据异常、业务逻辑异常、工艺参数异常的原因。基于此，全域态势动态感知要素的监测是指对导致场站生产系统运行态势发生改变的各种不确定要素和过程变量进行动态测量。感知维度涉及网络安全感知、设备安全感知、业务逻辑感知、工艺参数感知、用户行为分析等。 

（1）网络安全感知：鉴于油气管网场站网络设备、服务器、应用程序的规模化和复杂化特点，灵活采用网络入侵检测技术和主机入侵检测技术相结合的方式。网络入侵检测技术监控整个场站的网络流量，识别可疑活动和已知攻击模式，适合对外部攻击和网络流量进行中央管理。主机入侵检测系统技术面向特定的主机，监控系统文件和日志，检测异常行为。

（2）设备安全感知：主要包括终端设备状态监测和固件/软件的完整性检查。终端设备状态监测是指监测所有连接设备的健康状态，包括传感器、控制器、执行器等，确保它们正常运行且未被篡改。设备安全状态监测内容主要包括通信状态（即监测设备与控制系统的连接状态，确保数据传输及时且可靠）、性能指标（如处理速度、响应时间、功耗等，以确保其在合理范围内运行）、故障检测（诸如传感器失效、控制器错误配置等）、所处环境监控等。固件完整性检测主要是定期检查设备固件是否与厂商提供的最新版本一致，防止被破坏而长时间未发现产生的安全漏洞。

（3）业务逻辑感知：主要包括场站操作过程监控和控制网络危险报文检测。场站操作过程监控侧重于监测生产过程中的关键行为指标，按照可接受的阈值设置预警机制，一旦监测到异常情况（如设备启停过程不符合规范），便自动发出警报，从而确保生产流程按照预定的操作规范和标准执行。网络危险报文检测是指建立模型对发送和接收的组态报文进行完整性验证，以检测与历史（或上文）数据不符的通信行为，及时发现伪装或篡改的报文。

（4）工艺参数感知：通过多种类型的传感器，实时监测和采集关键的工艺参数以确保生产运行的安全性、可靠性和高效性。所有这些数据通过通信协议实时传送到控制中枢，控制中枢通过对历史数据和实时数据进行比对，识别操作过程中的异常模式，并提供预警。（5）用户行为分析：用户行为分析是保护场站工业控制系统和数据的关键措施。它主要是通过建立用户正常行为的基线模型，发现异常登录行为、权限提升行为和不寻常的访问模式等。

在油气管网场站工控系统中，信息安全保护层与功能安全保护层的有效协同是确保系统持久安全可靠的重要基础。两安保护层协同是建立在安全一体化风险评估基础上的，而一体化风险评估重点关注信息安全事件可能对功能安全的影响，如黑客攻击破坏安全仪表系统的控制逻辑。将信息安全防护作为外部屏障抵御病毒和恶意攻击，功能安全措施作为工业控制系统的免疫系统开展主动防御和响应，当信息安全防护失效，病毒或攻击侵入时，功能安全措施应能及时发现异常/偏差并触发保护（如导入安全状态）；与此同时应在工控系统部署信息安全探测措施（如探针）实时监测运行异常，通过系统异常行为分析（如工艺参数偏离、异常报文等）判断并发出异常事件报警。同时，通过定期的检验测试来评估工业控制系统健康状态和功能安全与信息安全一体化防护系统状态。功能安全系统在信息安全防护下运行，信息安全防护对功能安全的负面影响应控制在可接受范围，确保工业控制系统在信息安全防护失效后可通过功能安全实现风险可控。

风险决策动态适配是充分考虑场站工业控制系统状态的动态性，依据风险评估结果实时调整风险管理的决略。风险决策动态适配本质上是在线的风险评估与决策逻辑，并且综合考虑信息安全风险和功能安全风险。独立的功能安全评估可参考标准IEC 61508，单独的信息安全评估可参考标准IEC 62443，一体化风险评估宜从CPS视角开展网络物理攻击风险评估，建立一系列的网络物理攻击风险评估模型，如：攻击者通过入侵网络，篡改传递到物理生产系统的控制指令和传感器的数据；通过DDoS等手段，攻击者可以使控制系统无法正常工作；又如：通过控制指令改变物理设备的工作状态，导致设备损坏或故障。

基于3.1节场站全时全域动态感知获取的数据，实时识别异常行为，并作为3.3节的风险决策与应急联动的输入，基于不同的风险评估结果，从成本、效益和安全性等多个目标进行平衡，适配最优的决策方案。基于风险评估结果和环境变化，根据3.3节动态适配风险控制策略，实施相应的功能安全措施和信息安全措施。

针对油气管网场站的传统信息安全与功能安全分治方式难以有效应对复杂的综合安全威胁的问题，本文提出了油气管网场站工控系统融合安全防护策略，通过全域态势动态感知、信息安全与功能安全协同、风险决策动态适配等关键技术，保障了油气管网场站的整体安全，实现了功能安全与信息安全的协同防御能力。

参考文献略。