某大型煤化工企業(yè)工控系統(tǒng)網(wǎng)絡安全總體解決方案

◆張永正

某大型煤化工企業(yè)工控系統(tǒng)網(wǎng)絡安全總體解決方案

◆張永正

（青島海天煒業(yè)過程控制技術股份有限公司 山東 266100）

本文項目解決了工控系統(tǒng)面臨的工控網(wǎng)絡安全隱患，防止由于病毒感染、惡意攻擊等造成非計劃停車所帶來的損失。采用工控行業(yè)內(nèi)較為先進的“縱深防御體系”的技術思路，以及區(qū)域隔離的防護技術原理來實現(xiàn)對底層控制系統(tǒng)及現(xiàn)場儀表的安全防護，并有效地控制各控制室單元之間病毒等安全威脅的傳播。主要內(nèi)容有：網(wǎng)絡邊界防護與區(qū)域隔離、主機加固、運維審計、網(wǎng)絡準入控制、異常監(jiān)測審計、入侵監(jiān)測、工控安全綜合管理等。該項目在網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全等各層面，提出了卓有成效的解決方案以及防護措施，在煤化工、石化行業(yè)都具有典型的示范作用和很高的推廣價值。

工控系統(tǒng)；網(wǎng)絡安全；縱深防御；解決方案

1 項目建設背景和意義

工業(yè)控制系統(tǒng)廣泛應用于能源、交通、水利以及市政等領域，用于控制生產(chǎn)設備的運行，是我國國民經(jīng)濟、現(xiàn)代社會以及國家安全的重要基礎設施的核心系統(tǒng)，一旦遭受攻擊，將對工業(yè)生產(chǎn)運行和國家經(jīng)濟安全造成重大損失[1]。

隨著計算機和網(wǎng)絡技術的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡連接[2]，尤其是 “工業(yè)4.0”、“兩化深度融合”、“互聯(lián)網(wǎng)+” 、 “工業(yè)互聯(lián)網(wǎng)”等相關概念的提出，在國家政策、技術創(chuàng)新和工業(yè)參與者需求轉變等多個維度的共同驅動和協(xié)同下，工業(yè)正朝著數(shù)字化、網(wǎng)絡化、開放化、集成化的工業(yè)互聯(lián)方向發(fā)展，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)入侵。

隨著近年來敲詐勒索病毒的盛行，設備高危漏洞數(shù)量增加，外國設備后門增多，分布式拒絕服務攻擊事件峰值流量持續(xù)突破新高，聯(lián)網(wǎng)智能設備面臨的安全威脅加劇，工業(yè)控制系統(tǒng)安全威脅與風險不斷加大，對我國工控系統(tǒng)安全不斷提出新的挑戰(zhàn)。網(wǎng)絡空間戰(zhàn)略地位日益提升，網(wǎng)絡空間已經(jīng)成為國家或地區(qū)安全博弈的新戰(zhàn)場，我國在工業(yè)控制系統(tǒng)方面面臨的安全問題也日益復雜。

某煤化工有限公司前期初步建立了網(wǎng)絡安全相關的基本策略，完成了基礎網(wǎng)絡安全保障工作。但是整個網(wǎng)絡安全防護級別不高，與國家發(fā)布的相關標準還有一定差距，在一些薄弱環(huán)節(jié)上仍存在較高的安全隱患。病毒、木馬、黑客以及敵對勢力入侵的可能性仍然存在。需要建立起工控網(wǎng)絡的“縱深防御體系”，防止由于病毒感染、惡意攻擊等造成非計劃停車所帶來的損失，從而構建“本質安全”的生產(chǎn)控制網(wǎng)。

2 項目建設目標和主要任務

2.1 項目建設目標

采用業(yè)界先進的“主動監(jiān)測、縱深防御”的技術思路，依據(jù)《國家網(wǎng)絡安全法》、工信部的《工業(yè)控制系統(tǒng)安全防護指南》以及國家等級保護二級定級建設等相關標準與法規(guī)要求，通過對某公司實際工控系統(tǒng)運行狀況進行風險評估與分析，制定出一套某公司工控網(wǎng)絡安全縱深防御整體解決方案，分期、分批地對現(xiàn)有系統(tǒng)實施整改、加固措施，對工業(yè)控制系統(tǒng)進行全面安全防護。從而建立起符合國家政策要求、覆蓋全面、重點突出、持續(xù)運行的信息安全保障體系，達到國內(nèi)一流的信息安全保障水平，支撐和保障信息系統(tǒng)和業(yè)務的安全穩(wěn)定運行，通過國家等級保護二級定級、備案、測評。

圖1 縱深防御安全架構

2.2 主要任務

對某公司工業(yè)控制網(wǎng)絡實現(xiàn)網(wǎng)絡安全監(jiān)測預警與安全防護，并至少達到國家等級保護二級建設要求，主要包括以下幾個方面：

2.2.1 網(wǎng)絡安全防護

（1）對工控網(wǎng)絡中的場站服務器、操作站、工程師站、實時數(shù)據(jù)庫、等資產(chǎn)進行識別與管理，定期進行病毒和惡意代碼查殺，通過主機防護白名單等技術對資產(chǎn)進行有效防護，保障主機及其運行數(shù)據(jù)的安全；

（2）對網(wǎng)絡中所有設備資產(chǎn)進行身份管理與訪問控制，對運維人員的行為進行管控，確保工控系統(tǒng)、資產(chǎn)與數(shù)據(jù)安全；

（3）提供安全數(shù)據(jù)交換手段，杜絕移動存儲介質“濫用”的安全隱患，保障工控主機間數(shù)據(jù)交換安全；

（4）按照相關標準要求并結合自身實際，合理劃分工控系統(tǒng)網(wǎng)絡邊界和安全域，對工控網(wǎng)絡邊界以及安全域之間采取安全隔離設備和訪問控制措施實現(xiàn)區(qū)域隔離與防護，防止用戶的越權訪問和非法入侵行為，將風險控制在最小區(qū)域內(nèi)，避免擴散與蔓延。

2.2.2 網(wǎng)絡安全監(jiān)測預警

（1）對各裝置工控網(wǎng)絡通訊進行實時監(jiān)測，通過對工業(yè)通信協(xié)議深度解析與審計，及時發(fā)現(xiàn)通訊異常以及工控網(wǎng)絡異常操作行為并報警；建立起網(wǎng)絡監(jiān)測審計機制；

（2）對工業(yè)網(wǎng)絡邊界進行入侵檢測，及時發(fā)現(xiàn)與防范網(wǎng)絡入侵行為；

（3）建立工控網(wǎng)絡安全綜合管理平臺，對某公司控制系統(tǒng)各層級網(wǎng)絡中的安全設備或系統(tǒng)進行集中管理，實現(xiàn)全局配置、集中監(jiān)控、統(tǒng)一管理，提高管理人員的工作效率，降低企業(yè)的人員投入成本；

（4）基于綜合管理平臺，對工控網(wǎng)絡安全態(tài)勢以及設備運行狀況進行感知，并對各種安全狀態(tài)進行研判，及時進行威脅情報預警發(fā)布。

2.2.3 等保二級達標測評及國家政策合規(guī)性檢查

（1）委托有資質的單位按照國家等級保護測評要求，達成等保二級的防護測評；

（2）對標工信部等國家標準，進行對標檢查，符合工信部《工業(yè)控制系統(tǒng)安全防護指南》要求。

3 項目建設內(nèi)容

按照國家和行業(yè)相關標準規(guī)范要求，并結合某公司的工業(yè)控制系統(tǒng)網(wǎng)絡的特點，基于“技術和管理并重”的原則，從技術和管理兩個層面完成項目建設。

3.1 技術方面

從網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全等幾個層面進行安全防護建設，充分考慮DCS安全防護隔離措施后不能影響整個工控系統(tǒng)的穩(wěn)定性以及可用性。系統(tǒng)建立起可視化的網(wǎng)絡模型，能實時監(jiān)視整個系統(tǒng)設備的運行狀態(tài)和安全狀態(tài)，一旦發(fā)生安全事件，能在網(wǎng)絡圖上進行直觀、實時報警。

圖2 某工控網(wǎng)絡安全總體防護架構圖

（1）網(wǎng)絡邊界與區(qū)域隔離防護

網(wǎng)絡邊界防護通過部署工業(yè)控制防火墻，將生產(chǎn)網(wǎng)和其他網(wǎng)絡（GPS、生產(chǎn)輔助、管理信息）進行有效的訪問管控。

使用工業(yè)防火墻進行區(qū)域防護以加強對系統(tǒng)業(yè)務和應用的各種訪問控制。

在霍尼韋爾DCS系統(tǒng)、浙大中控DCS系統(tǒng)、CCS系統(tǒng)、南瑞Open3000 SCADA系統(tǒng)分別在控制網(wǎng)與其他網(wǎng)絡（GPS、生產(chǎn)輔助、管理信息）之間部署工業(yè)防火墻。

（2）主機安全防護

針對浙大中控DCS系統(tǒng)、CCS系統(tǒng)、南瑞Open3000 SCADA系統(tǒng)的操作員站、工程師站、服務器等工業(yè)現(xiàn)場的主機進行安全防護，采用軟件“白名單”機制，只允許受信任的PE文件運行，同時對主機進行加固，可以有效阻止包括震網(wǎng)病毒、Flame、Havex、BlackEnergy以及APT（高級持續(xù)性威脅）、“0-Day”漏洞等在工控主機中的執(zhí)行和利用，實現(xiàn)工控主機從啟動、加載到持續(xù)運行過程全生命周期的安全保障。

（3）工控網(wǎng)絡安全運維審計（安全運維堡壘機）

對霍尼韋爾DCS系統(tǒng)、浙大中控DCS系統(tǒng)、CCS系統(tǒng)、南瑞Open3000 SCADA系統(tǒng)的運維行為進行賬號統(tǒng)一管理、資源和權限統(tǒng)一分配、操作過程全程審計，通過切斷運維終端對工業(yè)網(wǎng)絡設備或資源的直接訪問，采用協(xié)議代理的方式，建立基于唯一身份標識的全局實名制賬號管理，配置集中訪問控制和細粒度的命令級授權策略，實現(xiàn)集中有序的運維安全管理，對用戶從登錄到退出的全程操作行為進行審計，加強工業(yè)控制系統(tǒng)及設備遠程維護的安全管理，降低人為安全風險。

（4）工業(yè)網(wǎng)絡安全審計與異常檢測

工控網(wǎng)絡安全審計與監(jiān)測系統(tǒng)對工控網(wǎng)絡中的網(wǎng)絡流量進行采集、監(jiān)測和分析，有效識別工控網(wǎng)絡中的安全隱患、惡意攻擊以及違規(guī)操作等安全風險。工控網(wǎng)絡安全審計與監(jiān)測系統(tǒng)采用旁路接入方式與各控制系統(tǒng)網(wǎng)絡相連，只抓取現(xiàn)場控制系統(tǒng)網(wǎng)絡數(shù)據(jù)包進行分析處理，不向現(xiàn)場控制系統(tǒng)發(fā)送任何命令和數(shù)據(jù)包。

在CCR的霍尼韋爾DCS、浙大中控DCS的各個裝置交換機以及主降壓所南瑞OPEN-3000系統(tǒng)的交換機上，分別旁路部署一套監(jiān)測與審計引擎，進行工業(yè)協(xié)議的深度解析與審計。

（5）入侵防御檢測

按照等保二級測評定級要求，在某公司的廠級辦公信息網(wǎng)絡上部署入侵防御檢測系統(tǒng)，依照安全策略，對工業(yè)網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，及時發(fā)現(xiàn)各種非法操作或異常行為，同時需要深入分析網(wǎng)絡上捕獲的數(shù)據(jù)包，結合特征庫進行相應的行為匹配，及時發(fā)現(xiàn)來自生產(chǎn)網(wǎng)外部或內(nèi)部違反安全策略的行為及被攻擊的跡象，幫助某公司及時采取應對措施，最終達到保護生產(chǎn)網(wǎng)絡安全的目的。

（6）USB管控

浙江中控DCS、霍尼韋爾DCS、TRICON SIS（CCS）、電氣南瑞SCADA系統(tǒng)各部署一套USB安全隔離裝置可管理網(wǎng)絡內(nèi)任意一臺主機的USB接口。火炬PLC部署一套USB安全隔離裝置，可任意管理某臺操作站或工程師站。USB安全隔離裝置是 USB存儲設備和計算機之間數(shù)據(jù)安全交互的橋梁，對USB移動存儲設備數(shù)據(jù)傳輸過程進行病毒查殺隔離，可有效減少通過USB移動存儲設備攜帶病毒對內(nèi)網(wǎng)計算機的安全造成威脅，保證數(shù)據(jù)快速、安全地傳輸?shù)絻?nèi)網(wǎng)計算機。

（7）工控網(wǎng)絡準入控制系統(tǒng)

分別對霍尼韋爾DCS系統(tǒng)、浙大中控DCS系統(tǒng)、CCS系統(tǒng)、南瑞Open3000 SCADA系統(tǒng)的接入內(nèi)部網(wǎng)絡的終端進行嚴格、高細粒度的管控，保證合法以及安全的終端入網(wǎng)，全過程進行嚴格管控、全方位的操作審計，實現(xiàn)內(nèi)網(wǎng)標準化管理，降低內(nèi)網(wǎng)安全風險，有效規(guī)范管理內(nèi)網(wǎng)行為。

（8）工控網(wǎng)絡安全綜合管理

在某公司廠級辦公信息網(wǎng)絡部署一套工控網(wǎng)絡安全綜合管理平臺，分別接收工業(yè)防火墻、工業(yè)網(wǎng)絡安全審計與異常檢測系統(tǒng)、入侵防御檢測系統(tǒng)等工控網(wǎng)絡安全狀態(tài)的信息、告警信息、日志信息等，并進行安全態(tài)勢分析及綜合管理。實現(xiàn)對全網(wǎng)中各安全設備、系統(tǒng)及主機的統(tǒng)一配置、全面監(jiān)控預警、流量分析等，降低運維成本、提高事件響應效率。

3.2 管理方面

（1）建立健全網(wǎng)絡安全相關管理制度及操作規(guī)范；

（2）建立工控網(wǎng)絡安全組織機構；

（3）人員入職、離崗、安全培訓等相關制度建設與執(zhí)行。

4 結語

某公司工控安全防護項目的實施是海天煒業(yè)公司針對“煤化工行業(yè)整體解決方案“的成功應用，在煤化工行業(yè)具有典型的示范效應，同時海天煒業(yè)結合該項目的實施經(jīng)驗對產(chǎn)品及解決方案做了進一步優(yōu)化，為后續(xù)項目的成功復制與推廣奠定了堅實的基礎，在煤化工、石化行業(yè)都具有很高的推廣價值。

[1]王偉.關于加強工業(yè)控制系統(tǒng)安全防護的認識與思考[J].中國信息化，2014.

[2]閆曉麗.加強我國工業(yè)控制系統(tǒng)安全性的建議[J].信息安全與技術，2013.