工業過程控制網絡安全防護系統設計與應用

杜魯濱

（新能鳳凰（滕州）能源有限公司，山東滕州 277527）

1 工業控制系統網絡安全現狀分析

工廠控制系統如圖1用于生產操作、監控，同時系統通過交換機、OPC 服務器與MES、MIS 系統進行連接，現場生產數據和報警信息可實時上傳，管理層可以通過外網或手持移動設備直接查看生產的實時數據，為生產決策的執行提供了便利，然而在便捷的同時，現有系統網絡安全存在的一些隱患，操作站和服務器之間沒有病毒防護措施，但操作站經常出現U盤插入帶來病毒、員工值班期間看視頻、玩游戲、進行與工作無關事情等行為，這些危險行為一旦影響生產將給企業帶來巨額損失。目前大多數企業控制系統種類品牌不唯一、各自廠家的控制系統安全防護措施不通，基于工控系統可靠性、穩定性、連續性的嚴格要求，對工業控制系統整體網絡防護建立一套整體的網絡防護措施是十分必要的。大部分工控系統都采用殺毒防護軟件，缺陷有兩點：第一，病毒庫更新困難，更新帶來不確定性，容易導致工控系統部分功能失效；第二，商用殺毒軟件誤殺、查毒消耗CPU 資源導致工控系統異常都是影響生產安全的重大隱患。另外，很多控制系統都缺少網絡安全防護措施。

圖1 工業生產過程控制網絡

2 工業控制網絡完全系統設計要求

2.1規范性

依據工信部【2016】338號文《工業控制系統信息安全防護指南》，并參照GB/T 26333《工業控制網絡安全風險評估規范》、GB/T 33007《工業通信網絡網絡和系統安全建立工業自動化和控制系統安全程序》及GB/T 33009《工業自動化和控制系統網絡安全集散控制系統（DCS）》等相關規范設計。

2.2可持續性

工控網絡安全不只是一個具有開始和結束日期的項目，也沒有一套防御系統可以防止網絡安全事件導致的所有后果。安全級別經常隨著時間的推移而下降，網絡安全隨著新的威脅和脆弱性的不斷變化，風險會不斷變化，技術實施需要采取不同的方法來維持安全收益并將風險保持在可接受的水平。所以方案設計不僅要滿足現在的需求兼顧未來的變化又要具備控制系統的故障恢復能力以保證業務的可持續性。

2.3可靠性

項目實施后部署的產品能夠可靠穩定地為現場工控系統的正常運行保駕護航，決不能出現因為安全防護產品的原因導致影響現場正常生產運行的情況。確保故障或入侵時不影響運行、不停車；保證完整性，確保接收到錯誤的設備或錯誤的數據不跳變、不影響工藝；保證機密性，確保數據不被竊聽。工業控制系統鑒于高可用性的需求，往往網絡、控制節點、采集單元進行冗余設計，要求高實時性、高確定性，而且運行在嵌入式環境，對信息安全的技術措施有很大的限制，因此需要設計針對性的安全策略、方法和技術。

3 工業控制系統網絡完全系統多層防護系統設計與應用

3.1終端層

通過對工控機與服務器安裝配置主機白名單軟件，以實現對工業主機的全面安全防護，根據白名單列表對可執行文件的執行進行監控，對白名單內的可執行文件允許執行，對白名單外的可執行文件阻止執行，有效阻止病毒、木馬及0-day漏洞的感染和被利用，保障工控主機安全。主機安全衛士軟件滿足規范性、可持續性、可靠性的設計原則，不影響控制系統的正常運行，內存占用和CPU 使用率低，具備強大的自身安全性和易管理性，其功能分為四部分：

白名單管理：對白名單的相關操作，如增加白名單中可信任的運行程序等，需管理員權限。

日志管理：任何用戶均可查閱、導出主機安全衛士中的防護日志；查閱操作日志需要管理員權限。

設置：可修改登錄密碼，設置告警方式、工作模式，啟/停自身防護功能等，需管理員權限。

針對USB 等移動存儲介質的濫用，導致病毒擴散至控制網絡的情況，對所有主機的USB 端口進行禁用。

3.2邊界防火墻

使用工控防火墻對域內和域間分區做訪問控制，基于無IP 設計、無通用協議棧、UC/OS 進行開發設計，不影響工控系統間的正常通信，能有效識別與跟蹤OPC 通信動態端口，能根據OPC 指令白名單實時監控OPC 指令行為，過濾非法指令。

3.3堡壘機

保障網絡和數據不受來自外部和內部用戶的入侵和破壞，運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動的服務器，以便集中報警、及時處理及審計定責。集中管理資產權限，全程記錄操作數據，實時還原運維場景，構建云上統一、安全、高效運維通道；保障云端運維工作權限可管控、操作可審計、合規可遵從。實現維護接入的集中化管理并對運行維護進行統一管理，包括設備賬號管理、運維人員身份管理、第三方客戶端操作工具的統一管理。其具備以下功能：

認證功能：能夠整合運維管理手段及第三方認證系統，制定靈活的運維策略和權限管理，實現運維人員統一權限管理，解決操作者合法訪問操作資源的問題，避免可能存在的越權訪問，建立有效的訪問控制；

監控功能：實現運維日志記錄，記錄運維操作的日志信息，包括對被管理資源的詳細操作行為實時監控，能夠對于高危及敏感的操作進行實時告警；

審計功能：實現運維操作審計，對運維人員的操作進行全程監控和記錄，實現運維操作的安全審計，滿足信息安全審計要求；能夠有效地檢索運維操作細節；能夠提供靈活的報表及統計分析。

3.4數據備份與恢復

數據備份既可以按照預先設定的時間，或由特定事件觸發后，自動將目標備份到服務器中，也可以根據自己的需要啟動備份操作。手工備份可以選擇一個或全部備份集合進行備份，以及其他一些臨時性的文件或數據。

數據恢復通過客戶端手工恢復功能快速地將備份系統上的數據恢復到本地系統中。既可以使用定制的備份策略，也可以使用服務器上設置的缺省配置，從服務器上下載或更新備份配置，并選取需要的設置。

基于工業過程控制系統建立如圖2的多層網絡防護體系。

圖2 多層防護的工業生產過程控制網絡