石油行業(yè)工控網(wǎng)絡(luò)安全縱深防御體系概要設(shè)計

摘要：面對日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢，網(wǎng)絡(luò)安全問題已成為國家安全的重要課題。國家網(wǎng)絡(luò)安全法、國家網(wǎng)絡(luò)安全等級保護(hù)制度等對于工控系統(tǒng)安全建設(shè)提出了更高要求，為保護(hù)工控網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施安全，實現(xiàn)入侵防護(hù)、病毒防護(hù)、攻擊防護(hù)等安全防護(hù)能力。以石油行業(yè)為例，就工業(yè)控制系統(tǒng)存在的安全隱患，設(shè)計一種多層次、多方位、多功能的工控安全縱深防御體系。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；工控安全；縱深防御

一、前言

目前，工控系統(tǒng)安全問題備受重視，國家網(wǎng)絡(luò)安全法、公安部信息安全等級保護(hù)制度陸續(xù)發(fā)布，要求大型工業(yè)企業(yè)必須建立起相應(yīng)的工控系統(tǒng)安全管理手段、技術(shù)支撐以及運營體系來滿足國家針對工控系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施信息安全相關(guān)合規(guī)性要求。

《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239-2019）自2019年12月1日正式實施，更加完善地調(diào)整了網(wǎng)絡(luò)安全防護(hù)的根本要求，在提出通用安全要求的基礎(chǔ)之上，針對工業(yè)控制、移動互聯(lián)、智能應(yīng)用、云計算和物聯(lián)網(wǎng)等新型信息化領(lǐng)域技術(shù)的個性安全保護(hù)需求提出了不同的安全擴(kuò)展要求。為了滿足合規(guī)性要求，保護(hù)國家重要關(guān)鍵基礎(chǔ)設(shè)施免受侵害，本文以石油行業(yè)為例，針對工業(yè)控制系統(tǒng)存在的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行基于縱深防御思想的安全防護(hù)體系設(shè)計。

二、石油行業(yè)工控安全風(fēng)險分析

由于本身特點和先天安全設(shè)計方面的缺陷，工控系統(tǒng)隱藏著較多的安全脆弱性隱患，包括應(yīng)用系統(tǒng)漏洞、工控協(xié)議漏洞、操作系統(tǒng)漏洞、邊界安全風(fēng)險、主機(jī)安全隱患、設(shè)備接入、認(rèn)證授權(quán)隱患等[1]。一旦因病毒暴發(fā)、黑客攻擊等威脅因素導(dǎo)致工控系統(tǒng)出現(xiàn)異常狀況，則直接對現(xiàn)實物理生產(chǎn)過程產(chǎn)生致命影響。例如，黑客非法獲取工業(yè)控制系統(tǒng)控制權(quán)限，極易對現(xiàn)場設(shè)備、人員造成物理傷害，或者工控系統(tǒng)遭受大規(guī)模病毒感染，則可導(dǎo)致正常的生產(chǎn)業(yè)務(wù)中斷，甚至導(dǎo)致裝置過載、爆炸等，造成嚴(yán)重的生產(chǎn)安全事故[2]。

三、石油行業(yè)工控安全縱深防御體系設(shè)計

石油行業(yè)縱深防御體系的設(shè)計遵照適度安全、分區(qū)分域、多重防護(hù)原則，綜合考慮建設(shè)成本，在保障工業(yè)控制系統(tǒng)高穩(wěn)定性、高可用性的同時，針對系統(tǒng)的突出風(fēng)險，提出相應(yīng)的銷項措施，并按照黑客攻擊視角進(jìn)行縱深防御體系的整體設(shè)計。

（一）石油行業(yè)典型工控網(wǎng)絡(luò)結(jié)構(gòu)

石油行業(yè)工業(yè)控制系統(tǒng)根據(jù)功能以及安全需求，對照“等保2.0”的相關(guān)標(biāo)準(zhǔn)，劃分為五個不同層級，分別是現(xiàn)場設(shè)備層（井、間、站）、現(xiàn)場控制層、過程監(jiān)控層（作業(yè)區(qū)）、生產(chǎn)管理層（采油廠）和企業(yè)資源層（辦公網(wǎng)）。針對過程監(jiān)控層，對作業(yè)區(qū)內(nèi)不同 SCADA 系統(tǒng)所下聯(lián)的不同井、間、站進(jìn)行單獨區(qū)域的劃分，如圖1所示。

（二）工控網(wǎng)絡(luò)安全風(fēng)險分析

相較于傳統(tǒng)的IT系統(tǒng)，工業(yè)控制系統(tǒng)由于其穩(wěn)定性、連續(xù)性的生產(chǎn)需求，采用的生產(chǎn)網(wǎng)絡(luò)設(shè)備不會輕易升級和調(diào)整，網(wǎng)絡(luò)安全設(shè)計應(yīng)以確保生產(chǎn)系統(tǒng)高可用性為前提，采用與之適配的安全防護(hù)技術(shù)[3]。

（三）縱深防御體系設(shè)計

縱深防御體系由現(xiàn)場控制層、過程監(jiān)控層（作業(yè)區(qū)）、生產(chǎn)管理層（采油廠）和企業(yè)資源層（辦公網(wǎng)）四道防線組成，以網(wǎng)絡(luò)隔離、分區(qū)分域為設(shè)計思想，根據(jù)每個防區(qū)業(yè)務(wù)特點和面臨風(fēng)險采用不同安全防護(hù)設(shè)備，分層部署專業(yè)級防護(hù)設(shè)備，深入解析工業(yè)網(wǎng)絡(luò)協(xié)議，阻斷黑客攻擊路徑，增大黑客攻擊成本，有效抵御非授權(quán)訪問、內(nèi)外部網(wǎng)絡(luò)攻擊等行為。

1.防線一：企業(yè)資源層

企業(yè)資源層主要為辦公網(wǎng)和服務(wù)器集群，防護(hù)重點為互聯(lián)網(wǎng)側(cè)入侵與內(nèi)部網(wǎng)絡(luò)違規(guī)使用。

服務(wù)器集群主要為服務(wù)器、應(yīng)用系統(tǒng)等信息資產(chǎn)，面向內(nèi)部網(wǎng)絡(luò)用戶提供數(shù)據(jù)服務(wù)。存在風(fēng)險主要為服務(wù)器高危漏洞、應(yīng)用業(yè)務(wù)漏洞風(fēng)險。采用網(wǎng)絡(luò)入侵監(jiān)測、日志審計、堡壘機(jī)等設(shè)備進(jìn)行安全管控與入侵監(jiān)測，通過漏洞掃描發(fā)現(xiàn)脆弱資產(chǎn)。

辦公網(wǎng)絡(luò)區(qū)主要為終端計算機(jī)，存在風(fēng)險主要為操作系統(tǒng)漏洞、弱口令、外設(shè)使用等。另一方面由于內(nèi)部網(wǎng)絡(luò)用戶數(shù)量眾多、網(wǎng)絡(luò)安全意識較差，來自互聯(lián)網(wǎng)側(cè)釣魚攻擊、社工攻擊等的計算機(jī)木馬病毒易于感染傳播，對工控網(wǎng)絡(luò)造成嚴(yán)重威脅。需采用網(wǎng)絡(luò)層入侵監(jiān)測、入侵誘捕、漏洞掃描，主機(jī)層數(shù)據(jù)防泄漏、主機(jī)防護(hù)等設(shè)備進(jìn)行重點防護(hù)。建議設(shè)備部署情況見表1。

2.防線二：生產(chǎn)管理層

生產(chǎn)管理層直接與辦公網(wǎng)絡(luò)相聯(lián)接，防護(hù)重點為辦公網(wǎng)跳板攻擊、木馬病毒、未授權(quán)網(wǎng)絡(luò)訪問等。

采用面向辦公網(wǎng)流量的隔離防護(hù)與入侵監(jiān)測，在該層設(shè)立安全管理中心，需要具備入侵檢測、主機(jī)防護(hù)、日志審計、漏洞掃描等安全功能，開啟細(xì)粒度訪問控制策略，深度識別工業(yè)協(xié)議，杜絕辦公網(wǎng)與工控網(wǎng)之間的非授權(quán)交互，有效監(jiān)測阻斷病毒傳播、黑客攻擊等行為，防止黑客在突破第一道防線后持續(xù)實施辦公網(wǎng)跳板攻擊、工控網(wǎng)橫向滲透和非授權(quán)訪問等入侵行為。

部署工業(yè)防火墻進(jìn)行安全隔離與訪問控制，針對工控網(wǎng)絡(luò)中大量的工業(yè)主機(jī)終端、實時數(shù)據(jù)庫、生產(chǎn)控制系統(tǒng)、工業(yè)網(wǎng)絡(luò)設(shè)備等重要資產(chǎn)，通過工業(yè)堡壘機(jī)進(jìn)行認(rèn)證管理、賬號管理、權(quán)限管理、操作審計等，保障安全運維人員通過本地或遠(yuǎn)程方式對工業(yè)資產(chǎn)進(jìn)行運維操作的準(zhǔn)入、控制以及審計。建議設(shè)備部署情況見表2。

3.防線三：過程監(jiān)控層

過程監(jiān)控層主要防護(hù)對象為工程師站、操作員站上位機(jī)等主機(jī)設(shè)備。主機(jī)設(shè)備多為Windows操作系統(tǒng)，面臨的主要風(fēng)險為主機(jī)漏洞、病毒木馬、非授權(quán)操作等行為。

針對主機(jī)設(shè)備風(fēng)險，對其進(jìn)行主機(jī)安全加固，并部署主機(jī)安全衛(wèi)士防護(hù)系統(tǒng)。啟用基于進(jìn)程、網(wǎng)絡(luò)、外設(shè)的白名單防護(hù)機(jī)制，防止已知未知威脅。對工業(yè)主機(jī)進(jìn)行進(jìn)程級掃描，通過對進(jìn)程名、路徑、MD5等進(jìn)程信息，協(xié)議、方向（連入連出）、端口等網(wǎng)絡(luò)信息，設(shè)備類別、設(shè)備名稱、設(shè)備標(biāo)識等外設(shè)信息進(jìn)行白名單掃描，以及電子簽名機(jī)制，建立可信的白名單庫。確保只有白名單內(nèi)的軟件才可以運行、白名單內(nèi)的網(wǎng)絡(luò)才可以通信、白名單內(nèi)的外設(shè)才可以接入，以此對病毒、木馬、違規(guī)軟件等已知未知威脅進(jìn)行防護(hù)。

部署入侵監(jiān)測系統(tǒng)進(jìn)行安全監(jiān)控，部署流量探針對各節(jié)點流量信息進(jìn)行全面綜合分析，通過采集IP地址、MAC地址、時間、協(xié)議、方向、端口、指令數(shù)據(jù)、應(yīng)用層數(shù)據(jù)等信息，形成漏洞防護(hù)、網(wǎng)絡(luò)掃描、蠕蟲病毒、木馬后門、窮舉探測、緩沖區(qū)溢出、異常報文、指令監(jiān)控等安全審計日志，為綜合管控平臺提供不同位置、時間、類型的數(shù)據(jù)，從而幫助決策。

部署工業(yè)防護(hù)墻進(jìn)行隔離，為各作業(yè)區(qū)提供相對獨立的安全生產(chǎn)環(huán)境，阻斷未授權(quán)訪問，將攻擊流量限制在作業(yè)區(qū)，阻止其威脅擴(kuò)散，通過嚴(yán)格的分域隔離防護(hù)機(jī)制限制事件在整網(wǎng)蔓延。建議設(shè)備部署情況見表3。

4.防線四：現(xiàn)場控制層

現(xiàn)場控制層主要防護(hù)對象為DCS、PLC等現(xiàn)場控制設(shè)備。由于石油企業(yè)大多地域分布范圍廣，多采用無線數(shù)據(jù)傳輸、遠(yuǎn)程控制等方式進(jìn)行部署。面臨的風(fēng)險主要為設(shè)備自身漏洞、工程師站組態(tài)指令惡意操作等風(fēng)險。

部署安全接入網(wǎng)關(guān)實現(xiàn)身份認(rèn)證與準(zhǔn)入，確保生產(chǎn)指令下達(dá)的唯一性，利用國產(chǎn)密碼算法，實現(xiàn)身份認(rèn)證、加密數(shù)據(jù)傳輸?shù)劝踩δ埽ＷC數(shù)據(jù)來源的唯一性、數(shù)據(jù)源的不可篡改性、數(shù)據(jù)操作的不可抵賴性等數(shù)據(jù)安全防護(hù)[4]。

在企業(yè)資源層部署一套綜合管控平臺，接收以上四道防線防火墻、入侵監(jiān)測系統(tǒng)、工業(yè)流量探針、主機(jī)安全防護(hù)系統(tǒng)等安全設(shè)備日志進(jìn)行綜合安全分析，結(jié)合企業(yè)資產(chǎn)情況進(jìn)行工控安全的集中管控與態(tài)勢感知，實時監(jiān)測分析工控網(wǎng)絡(luò)安全狀態(tài)，為安全管理員提供趨勢預(yù)測與威脅感知決策信息，可通過設(shè)備聯(lián)動直接向相應(yīng)網(wǎng)絡(luò)位置的防火墻下達(dá)阻斷指令，提高應(yīng)急響應(yīng)事件處置效率，提升安全管理水平。

四、結(jié)語

石油行業(yè)工業(yè)控制系統(tǒng)和能源行業(yè)安全穩(wěn)定關(guān)系到國計民生，在我國信息化高速發(fā)展期，更應(yīng)注重網(wǎng)絡(luò)安全的整體性設(shè)計，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全建設(shè)是工業(yè)企業(yè)信息化建設(shè)的重要一環(huán)。

本文立足石油行業(yè)網(wǎng)絡(luò)現(xiàn)狀與業(yè)務(wù)特點，以縱深防御為設(shè)計思想，根據(jù)“等保2.0”的具體要求，進(jìn)行了工控安全防護(hù)體系的具體設(shè)計，實現(xiàn)態(tài)勢感知、入侵監(jiān)測、入侵誘捕、主機(jī)防護(hù)、安全加固、橫向隔離、縱向分層、身份認(rèn)證等多項安全功能，為石油企業(yè)工控安全建設(shè)提供參考。

參考文獻(xiàn)

[1]魯玉慶.油田工業(yè)控制系統(tǒng)信息安全縱深防御初探[J].自動化博覽，2020，37（06）：44-47.

[2]馮登國.網(wǎng)絡(luò)空間安全技術(shù)發(fā)展趨勢研究[J].信息安全研究，2025，11（01）：2-4.

[3]陳贊，陳星原，朱智岳.工業(yè)互聯(lián)網(wǎng)環(huán)境下IT/OT融合的安全防御技術(shù)研究[J].無線互聯(lián)科技，2024，21（20）：118-120.

[4]朱健.大型煉化企業(yè)工控系統(tǒng)安全防御淺析[J].儀器儀表用戶，2022，29（02）：105-108.

作者單位：新疆油田公司數(shù)據(jù)公司

責(zé)任編輯：王穎振 鄭凱津