劍指工控，各展風(fēng)采

為實(shí)現(xiàn)國家所出臺(tái)的相關(guān)工業(yè)安全政策以及企業(yè)對(duì)工控安全理念的落地，安全廠商深入工業(yè)企業(yè)業(yè)務(wù)，深入挖掘應(yīng)用場景，在自身領(lǐng)域不斷耕耘，將自身安全理念、安全技術(shù)與服務(wù)與工業(yè)環(huán)境完美融合，逐漸打造出了在不同行業(yè)下較為完善的工控安全解決方案，為我國工控系統(tǒng)安全保駕護(hù)航。

綠盟：風(fēng)電場系統(tǒng)安全

電力行業(yè)是工控安全保障尤為重要的領(lǐng)域，同時(shí)，國家也有具體相關(guān)的條款規(guī)定在電力行業(yè)應(yīng)確保的安全措施。綠盟科技在風(fēng)電場系統(tǒng)防護(hù)中有著完善的安全策略，為滿足相關(guān)部門規(guī)定，綠盟科技從入侵檢測、主機(jī)設(shè)備與網(wǎng)絡(luò)配置安全加固、存儲(chǔ)器與外設(shè)管理、安全審計(jì)、數(shù)據(jù)備份、惡意代碼防范、設(shè)備選型及漏洞整改等方面構(gòu)建針對(duì)風(fēng)電場的安全防護(hù)。

根據(jù)相關(guān)部門的相關(guān)要求來構(gòu)建針對(duì)風(fēng)電場的安全防護(hù)，主要討論以下幾個(gè)重要方面：

1.入侵檢測

根據(jù)規(guī)定：生產(chǎn)控制大區(qū)可以統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測系統(tǒng)，應(yīng)合理設(shè)置檢測規(guī)則，檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡(luò)邊界正常信息流中的入侵行為，分析潛在威脅并進(jìn)行安全審計(jì)。

圖4 風(fēng)電場監(jiān)控系統(tǒng)網(wǎng)絡(luò)入侵檢測系統(tǒng)部署圖

建議在生產(chǎn)控制大區(qū)控制區(qū)（安全Ⅰ區(qū)）與非控制區(qū)（安全Ⅱ區(qū)）和OMS工作站匯聚交換機(jī)分別部署一套入侵監(jiān)測系統(tǒng)，合理設(shè)置檢測規(guī)則，檢測發(fā)現(xiàn)隱藏于流經(jīng)網(wǎng)絡(luò)邊界正常信息流中的入侵行為，分析潛在威脅并進(jìn)行安全審計(jì)。入侵檢測系統(tǒng)為旁路部署僅接受并分析交換機(jī)鏡像過來的數(shù)據(jù)，不參與數(shù)據(jù)的轉(zhuǎn)發(fā)工作，如圖4。

2. 主機(jī)設(shè)備與網(wǎng)絡(luò)配置安全加固

根據(jù)規(guī)定：發(fā)電廠廠級(jí)信息監(jiān)控系統(tǒng)等關(guān)鍵應(yīng)用系統(tǒng)的主服務(wù)器，以及網(wǎng)絡(luò)邊界處的通信網(wǎng)關(guān)機(jī)、Web服務(wù)器等，應(yīng)使用安全加固的操作系統(tǒng)。

建議在風(fēng)電場監(jiān)控系統(tǒng)中進(jìn)行加固時(shí)使用主機(jī)安全加固軟件進(jìn)行加固，需要的加固軟件的版本有Windows版、Linux版。主機(jī)及網(wǎng)絡(luò)設(shè)備安全配置也可參考電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求和國調(diào)中心下發(fā)關(guān)于開展并網(wǎng)電廠電力監(jiān)控系統(tǒng)涉網(wǎng)安全防護(hù)專項(xiàng)治理活動(dòng)的通知所強(qiáng)調(diào)的安全控制措施。

3. 安全審計(jì)

根據(jù)規(guī)定：生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)應(yīng)具備安全審計(jì)功能，能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析，及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為。對(duì)于用戶登錄行為，應(yīng)進(jìn)行嚴(yán)格的安全審計(jì)。

圖5 風(fēng)電場監(jiān)控系統(tǒng)安全審計(jì)系統(tǒng)部署結(jié)構(gòu)圖

建議風(fēng)電場可通過在監(jiān)控系統(tǒng)中旁路部署安全審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行集中收集分析，如圖5。

天融信：基于用戶行為基線的安全防護(hù)

在安全與生產(chǎn)之間其實(shí)存在著諸多矛盾：安全防范與生產(chǎn)過程的沖突；終端安全與應(yīng)用軟件的沖突；安全加固與生產(chǎn)過程的沖突；檢測維度與安全監(jiān)控需求的沖突；新技術(shù)應(yīng)用與生產(chǎn)工藝的沖突等。因此，在確保生產(chǎn)業(yè)務(wù)連續(xù)穩(wěn)定運(yùn)行下進(jìn)行工控系統(tǒng)的安全防護(hù)成為了基本前提。

在這樣的矛盾下，天融信總結(jié)出“基于用戶行為基線”的安全防護(hù)模型，根據(jù)用戶生產(chǎn)網(wǎng)中流量、終端等其他節(jié)點(diǎn)，以最小化為基本原則，采用以安全防護(hù)手段為基礎(chǔ)，態(tài)勢分析為核心，應(yīng)急響應(yīng)為技術(shù)手段的綜合解決方案。

1.安全防護(hù)。防護(hù)對(duì)象包含網(wǎng)絡(luò)中的控制設(shè)備、管理設(shè)備、感知設(shè)備等，防護(hù)范圍覆蓋生產(chǎn)網(wǎng)，安全防護(hù)中心作為數(shù)據(jù)探知，將基于各個(gè)節(jié)點(diǎn)的數(shù)據(jù)上送至態(tài)勢感知系統(tǒng)，用作安全環(huán)境、基線的分析，并執(zhí)行分析結(jié)果。同時(shí)，將生產(chǎn)網(wǎng)網(wǎng)絡(luò)、應(yīng)用等運(yùn)行狀態(tài)傳遞至應(yīng)急響應(yīng)體系進(jìn)行統(tǒng)一的運(yùn)維監(jiān)控。

2.態(tài)勢分析。態(tài)勢分析作為生產(chǎn)網(wǎng)安全防護(hù)的“大腦”，承擔(dān)安全信息分析，通過收集安全防護(hù)體系中監(jiān)測數(shù)據(jù)，利用大數(shù)據(jù)，基于用戶的安全基線進(jìn)行安全建模，通過模型間的組合進(jìn)行流式分析，分析網(wǎng)絡(luò)中安全威脅及脆弱性，后依據(jù)分析結(jié)果下發(fā)策略至安全防護(hù)設(shè)備、安全審計(jì)設(shè)備以及應(yīng)急響應(yīng)團(tuán)隊(duì)執(zhí)行安全策略的落地，形成基于用戶行為的縱向安全防護(hù)體系。

3.應(yīng)急響應(yīng)。應(yīng)急響應(yīng)體系包含運(yùn)行監(jiān)測中心及應(yīng)急響應(yīng)團(tuán)隊(duì)以及整體安全管理執(zhí)行機(jī)構(gòu)。

通過上述三套技術(shù)體系進(jìn)行安全信息的互聯(lián)互通，構(gòu)成針對(duì)工業(yè)控制系統(tǒng)的動(dòng)態(tài)防護(hù)體系，根據(jù)網(wǎng)絡(luò)中威脅分布及類型實(shí)時(shí)更新完善安全防護(hù)策略，并輔以行業(yè)、控制、工藝專家對(duì)生產(chǎn)過程進(jìn)行縱深監(jiān)控分析，形成安全閉環(huán)生態(tài)，在不影響生產(chǎn)獨(dú)立性的前提下，將安全手段與控制過程進(jìn)行有機(jī)結(jié)合，做到工業(yè)控制系統(tǒng)安全的技術(shù)落地。

對(duì)生產(chǎn)網(wǎng)及其流量基線采用“自上而下”的設(shè)計(jì)，對(duì)各個(gè)網(wǎng)元節(jié)點(diǎn)間數(shù)據(jù)進(jìn)行分析，建立“純凈”的網(wǎng)絡(luò)環(huán)境，對(duì)于白名單外的連接、指令、進(jìn)程等，則交由態(tài)勢分析進(jìn)一步分析，形成事前防范的能力，部分無法通過調(diào)整策略解決的安全事件則通過應(yīng)急響應(yīng)體系完成安全的應(yīng)急處置，自動(dòng)化解決。

在安全體系的建設(shè)上采用“自下而上”，即即優(yōu)先保障獨(dú)立控制系統(tǒng)安全，其后再對(duì)生產(chǎn)網(wǎng)進(jìn)行監(jiān)測，兩者數(shù)據(jù)作為態(tài)勢分析的基礎(chǔ)，從而進(jìn)行態(tài)勢分析平臺(tái)的建設(shè)；在擁有一定分析能力的基礎(chǔ)上再輔以主動(dòng)感知手段，最后進(jìn)行整體聯(lián)動(dòng)，并建立應(yīng)急響應(yīng)體系，完成安全閉環(huán)。

安恒：“PMPE”體系智能守護(hù)電力系統(tǒng)安全

安恒通過研究工控系統(tǒng)特性，結(jié)合各不同行業(yè)的特點(diǎn)，經(jīng)過眾多項(xiàng)目實(shí)踐檢驗(yàn)，提出“PMPE”的安全技術(shù)架構(gòu)，“PMPE”工控安全防護(hù)體系作為技術(shù)保障，構(gòu)建有效抵御工控系統(tǒng)病毒木馬傳播影響及惡意網(wǎng)絡(luò)攻擊行為，有效的降低工控安全運(yùn)行維護(hù)難度及成本，實(shí)現(xiàn)工控系統(tǒng)全生命周期的安全防護(hù)。

“PMPE”的安全技術(shù)架構(gòu)（如圖6）以預(yù)警、監(jiān)控、保護(hù)、應(yīng)急作為核心，結(jié)合安恒信息的安全服務(wù)及工控安全產(chǎn)品，構(gòu)建貫穿火力發(fā)電行業(yè)工業(yè)控制系統(tǒng)（DCS、DEH、NCS、輔控、SIS等系統(tǒng)）全生命周期的安全防護(hù)體系，為火力發(fā)電企業(yè)的工控網(wǎng)絡(luò)安全保駕護(hù)航。

圖6 PMPE防護(hù)體系

預(yù)警的核心功能包括網(wǎng)絡(luò)行為審計(jì)、整體的風(fēng)險(xiǎn)評(píng)估、無損漏洞檢測等技術(shù)手段，通過周期性或?qū)崟r(shí)分析網(wǎng)絡(luò)安全狀態(tài)，判斷可能出現(xiàn)的網(wǎng)絡(luò)安全事件，達(dá)到安全預(yù)警的作用；

安全監(jiān)控是整個(gè)技術(shù)安全體系的核心，負(fù)責(zé)監(jiān)控整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，并集中管理安全設(shè)備、主機(jī)設(shè)備、網(wǎng)絡(luò)交換設(shè)備等。

安全防護(hù)是安全保障的核心功能，目前包括網(wǎng)絡(luò)防護(hù)和主機(jī)防護(hù)。

應(yīng)急處置環(huán)節(jié)是技術(shù)安全體系的最后一道保障，可通過平臺(tái)處置和現(xiàn)場處置兩種技術(shù)措施規(guī)避險(xiǎn)情的發(fā)生，即使由于種種原因發(fā)生安全事件時(shí)，也可以通過故障恢復(fù)措施將工控安全設(shè)備恢復(fù)成正常生產(chǎn)的安全狀態(tài)。

由于電廠網(wǎng)絡(luò)原有安全措施缺乏有效的隔離和防護(hù)、監(jiān)測審計(jì)等手段，在安全Ⅰ區(qū)及管理信息大區(qū)內(nèi)部缺乏合理的威脅發(fā)現(xiàn)防護(hù)機(jī)制，無法做到及時(shí)告警和響應(yīng)，而且無有效監(jiān)控平臺(tái)，無法統(tǒng)一監(jiān)控整廠安全態(tài)勢。

圖7 電廠安全防護(hù)技術(shù)架構(gòu)

因此，根據(jù)以上不足，安恒通過在中央控制室部署工業(yè)安全威脅感知中心，利用大數(shù)據(jù)分析能力在本地完成建模，對(duì)工業(yè)企業(yè)的安全態(tài)勢進(jìn)行感知和展示；通過工業(yè)防火墻部署在信息管理大區(qū)和生產(chǎn)控制大區(qū)的互聯(lián)邊界，采用黑白名單技術(shù)實(shí)現(xiàn)協(xié)議深度解析及工業(yè)入侵防御；部署工控網(wǎng)絡(luò)監(jiān)測審計(jì)平臺(tái)，發(fā)現(xiàn)工控環(huán)境中的惡意攻擊流量等；管理信息大區(qū)部署APT預(yù)警平臺(tái)、數(shù)據(jù)庫審計(jì)平臺(tái)、Web應(yīng)用防火墻，建立網(wǎng)絡(luò)安全防護(hù)、預(yù)警及審計(jì)體系，如圖7。

立思辰：合規(guī)和零干預(yù)的全方位網(wǎng)絡(luò)監(jiān)測

工控系統(tǒng)的網(wǎng)絡(luò)安全有其自身特點(diǎn)，但對(duì)其加固仍需按照“安全評(píng)估+防護(hù)建設(shè)”的思路進(jìn)行：

對(duì)目標(biāo)工控系統(tǒng)進(jìn)行深入的安全評(píng)估，包括物理安全、資產(chǎn)安全、威脅分析、脆弱性分析、安全管理制度評(píng)估等，根據(jù)各個(gè)子項(xiàng)安全評(píng)估的結(jié)果給出工控系統(tǒng)安全評(píng)估報(bào)告，指出該系統(tǒng)目前存在的缺陷和不足，并提出合理化建議；

提供各種工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)方法和設(shè)備以及工控網(wǎng)絡(luò)安全培訓(xùn)，提供完整的工控網(wǎng)絡(luò)安全管理建設(shè)方案，工業(yè)控制系統(tǒng)安全管理包括安全防護(hù)和監(jiān)管，其中安全防護(hù)是通過技術(shù)和管理兩方面，而監(jiān)管分為N個(gè)層面，分別為企業(yè)層面和N個(gè)上級(jí)部門監(jiān)管層面，通過對(duì)前端日志信息的收集、匯總和關(guān)聯(lián)分析，可及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊行為，從而進(jìn)行報(bào)警。

立思辰在電力行業(yè)曾對(duì)浙江省內(nèi)大型火力發(fā)電企業(yè)進(jìn)行工控安全評(píng)估并提供了完整的解決方案。在安全評(píng)估過程中發(fā)現(xiàn)盡管是同樣的火電發(fā)電廠，但其使用的DCS系統(tǒng)也來自于不同的廠家，即使同品牌的DCS系統(tǒng)在不通的業(yè)務(wù)邏輯下其系統(tǒng)配置和操作邏輯也不同，具有鮮明的業(yè)務(wù)特點(diǎn)。與傳統(tǒng)的信息安全建設(shè)不同，不能簡單的將某個(gè)或多個(gè)安全防護(hù)設(shè)備以統(tǒng)一的安裝思路粗暴地部署到工業(yè)現(xiàn)場中。立思辰通過實(shí)地深入大型火力發(fā)電企業(yè)的業(yè)務(wù)現(xiàn)場，抓取電廠工控DCS系統(tǒng)的實(shí)際業(yè)務(wù)系統(tǒng)數(shù)據(jù)并進(jìn)行分析，在了解其實(shí)際業(yè)務(wù)邏輯之后提供切實(shí)有效的建設(shè)實(shí)施方案。在方案中，對(duì)安全加固產(chǎn)品也根據(jù)業(yè)務(wù)參數(shù)進(jìn)行了合理配置，確保對(duì)原有工控DCS系統(tǒng)的零干預(yù)，同時(shí)保證安全加固產(chǎn)品運(yùn)行的穩(wěn)定和有效。