工業控制系統安全體系建設

摘 要：隨著“兩化”融合發展，工控安全問題凸顯，按照《工業控制系統安全防護指南》的要求，我公司通過部署工控防火墻、主機加固、工控安全管理平臺、安全審計、入侵防御、USB隔離等措施對工控系統進行了有效的防范。

關鍵詞：網絡安全;工控安全;工業防火墻;工控主機加固;工控審計

一、 引言

隨著網絡安全法和等級保護2.0的實施，工控網絡成為企業網絡安全重點關注對象。通過對網絡結構、網絡安全風險分析，定期進行風險評估與檢查，及時了解網絡內薄弱環節，對監控層數據進行實時數據審計，及時發現網絡內異常流量和行為;在生產控制網絡的關鍵區域邊界部署可靠的邊界防護設備并合理配置防護策略，實現分層級的縱深安全防御、威脅檢測策略;對于用戶通過上位操作主機的USB外設接口拷貝數據時，使用USB安全隔離裝置對主機實施安全加固，有效減少通過移動存儲設備帶入病毒、惡意程序的機會。

二、工控安全體系建設目標

按照《工業控制系統安全防護指南》中對工業控制網絡安全等要求，在各單元工業控制系統的子系統之間、工業控制系統與甲方內網的接口之間加裝工業級網絡安全隔離設備，建設統一的網絡安全管理平臺。采用安全防護措施后不能影響整個工控系統的穩定性以及可用性，同時系統建立可視化的網絡模型，實時監視整個系統設備的運行狀態和安全狀態， 一旦發生安全事件，能在網絡圖上進行實時報警，可指定設備進行歷史查詢。

通過工控安全體系建設需要達到以下目標：

（一）在控制系統網絡中，對已經部署的工業防火墻的安全策略進行優化，確保過程控制網與生產管理網之間的網絡隔離;

（二）在數采網的核心交換機旁部署工業安全審計、異常監測和入侵檢測等安全設備;

（三）在中央調度室增設安全管理中心，增強安全狀態實時集中監控和感知功能;

（四）實時監控網絡內的異常數據和操作行為，實時保護系統安全，及時阻止惡意代碼對控制網絡的破壞;

（五）追溯入侵者對工業控制網絡的惡意攻擊與破壞的源頭和路徑;

（六）降低通過USB移動存儲介質的方式拷貝數據遭受攻擊的幾率;

（七）重點對工程師站、操作站進行主機加固，防止外部攻擊。

三、 工控安全體系建設

（一）、搭建工控安全管理專網

獨立搭建工控安全專網，用于工業防火墻、工控安全審計系統、工控網絡入侵防御檢測系統、賬號集中管理與審計系統、工控網絡安全管理平臺等相關網絡安全設備的管理以及數據傳輸，有效的避免了對控制網絡的影響。

（二）、部署工業防火墻

在DCS控制網和MES取數網之間部署工業防火墻，實行白名單管理模式，清理端口，精確開放內部服務器服務端口，限制主要網絡木馬病毒入侵端口通信。通過搭建的工控安全管理專網實現集中管理及攔截日志發送至工控日志管理平臺實現網絡日志審計。

（三）、工控主機安全加固

在現場控制層的工程師站、操作員站、OPC 服務器以及數采服務器主機上，MES 層服務器上部署 InTrust 可信安全管理平臺，通過應用程序、USB 移動存儲的白名單策略，防止用戶的違規操作和誤操作，阻止不明程序、移動存儲介質的濫用，有效提高工控網絡的綜合“免疫”能力。主機安全防護的措施解決了操作系統、安全策略和管理流程、工業病毒防護、應用軟件漏洞的安全威脅。

（四）、部署工控網絡安全管理平臺

在中心控制室部署工控安全管理中心SMP軟件，實時接收來自工控安全防護設備的日志，分析、組織、處理網絡環境內的告警、設備運行信息。它是安全設備管理系統產品的核心，負責連接其它模塊，傳遞運行數據，并完成所有管理功能的后臺處理。收集來自安全設備、網絡設備、服務器和應用系統的數據，通過收集、格式化、過濾、關聯等方式對事件簡化和合并，為用戶展示最有價值的數據信息，數據庫可以存儲各種設備基本情況、安全日志信息等，在服務器控制臺上可以進行全部安全事件的顯示。

（五）、部署工控安全審計系統

在所有DCS裝置現場部署工控安全審計系統，針對工業控制網絡設計的實時告警系統，通過特定的安全策略，快速識別出系統中存在的非法操作、異常事件、外部攻擊并實時告警。工控安全審計系統采用旁路監聽方式進行部署，完全不影響現有系統的生產運行，可廣泛應用于各類網絡應用環境。實時網絡監測 對工控網絡中的數據、事件行為進行實時監測、實時告警，幫助用戶實時掌握工控網絡運行狀況。網絡安全審計對工控網絡中存在的所有活動提供協議審計、行為審計、內容審計、流量審計，生成完整記錄便于事件追溯。

（六）、部署工控賬號集中管理與審計系統

在中心控制室部署一套工控網絡安全運維審計系統，實現運維中的集中帳號管理、集中登錄認證、集中用戶授權和集中操作審計，為保證工業控制網絡的可用性和安全性，需要通過設置工業防火墻端口控制策略或交換機ACL訪問策略，防止用戶繞過工控網絡安全運維主機直接訪問目標設備。

（七）、部署工控入侵防御檢測系統

在中心控制室部署入侵防御檢測系統，依照安全策略，對工業網絡、系統的運行狀況進行監視，及時發現各種非法操作或異常行為，同時需要深入分析網絡上捕獲的數據包，結合特征庫進行相應的行為匹配，及時發現來自生產網外部或內部違反安全策略的行為及被攻擊的跡象，幫助哈石化公司及時采取應對措施，最終達到保護生產網絡安全。

（八）、部署USB安全隔離裝置

USB 安全隔離裝置是 USB 存儲設備和計算機之間數據安全交互的橋梁，對USB 移動存儲設備數據傳輸過程進行病毒查殺隔離，可有效減少通過USB移動存儲設備攜帶病毒對內網計算機的安全性造成威脅。

四、 結論

隨著信息化的發展，從伊朗“震網”病毒事件到烏克蘭電力網被黑事件說明工控安全風險越來越大，企業必須加強工控網絡安全建設。我公司通過工控網絡安全體系建設，可以對工控網絡進行威脅評估、監測審計、主機防護、集中管理，大大提高了工控網絡的安全防護水平，為工控網絡安全提供了全方位防御體系。

參考文獻：

[1].陳忠平 李旎 劉青鳳 網絡安全[m]. 北京：清華大學出版社，2011

作者簡介：

譚振軍，男，1984年生，2004年畢業于石油大學（華東）計算機科學與技術專業，工學學士，現工作于中國石油哈爾濱石化分公司信息中心，工程師。主要研究方向：計算機網絡，網絡安全。