某大型煤化工企業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全總體解決方案

◆張永正

某大型煤化工企業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全總體解決方案

◆張永正

（青島海天煒業(yè)過程控制技術(shù)股份有限公司 山東 266100）

本文項(xiàng)目解決了工控系統(tǒng)面臨的工控網(wǎng)絡(luò)安全隱患，防止由于病毒感染、惡意攻擊等造成非計(jì)劃停車所帶來的損失。采用工控行業(yè)內(nèi)較為先進(jìn)的“縱深防御體系”的技術(shù)思路，以及區(qū)域隔離的防護(hù)技術(shù)原理來實(shí)現(xiàn)對底層控制系統(tǒng)及現(xiàn)場儀表的安全防護(hù)，并有效地控制各控制室單元之間病毒等安全威脅的傳播。主要內(nèi)容有：網(wǎng)絡(luò)邊界防護(hù)與區(qū)域隔離、主機(jī)加固、運(yùn)維審計(jì)、網(wǎng)絡(luò)準(zhǔn)入控制、異常監(jiān)測審計(jì)、入侵監(jiān)測、工控安全綜合管理等。該項(xiàng)目在網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等各層面，提出了卓有成效的解決方案以及防護(hù)措施，在煤化工、石化行業(yè)都具有典型的示范作用和很高的推廣價值。

工控系統(tǒng)；網(wǎng)絡(luò)安全；縱深防御；解決方案

1 項(xiàng)目建設(shè)背景和意義

工業(yè)控制系統(tǒng)廣泛應(yīng)用于能源、交通、水利以及市政等領(lǐng)域，用于控制生產(chǎn)設(shè)備的運(yùn)行，是我國國民經(jīng)濟(jì)、現(xiàn)代社會以及國家安全的重要基礎(chǔ)設(shè)施的核心系統(tǒng)，一旦遭受攻擊，將對工業(yè)生產(chǎn)運(yùn)行和國家經(jīng)濟(jì)安全造成重大損失[1]。

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接[2]，尤其是 “工業(yè)4.0”、“兩化深度融合”、“互聯(lián)網(wǎng)+” 、 “工業(yè)互聯(lián)網(wǎng)”等相關(guān)概念的提出，在國家政策、技術(shù)創(chuàng)新和工業(yè)參與者需求轉(zhuǎn)變等多個維度的共同驅(qū)動和協(xié)同下，工業(yè)正朝著數(shù)字化、網(wǎng)絡(luò)化、開放化、集成化的工業(yè)互聯(lián)方向發(fā)展，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)入侵。

隨著近年來敲詐勒索病毒的盛行，設(shè)備高危漏洞數(shù)量增加，外國設(shè)備后門增多，分布式拒絕服務(wù)攻擊事件峰值流量持續(xù)突破新高，聯(lián)網(wǎng)智能設(shè)備面臨的安全威脅加劇，工業(yè)控制系統(tǒng)安全威脅與風(fēng)險不斷加大，對我國工控系統(tǒng)安全不斷提出新的挑戰(zhàn)。網(wǎng)絡(luò)空間戰(zhàn)略地位日益提升，網(wǎng)絡(luò)空間已經(jīng)成為國家或地區(qū)安全博弈的新戰(zhàn)場，我國在工業(yè)控制系統(tǒng)方面面臨的安全問題也日益復(fù)雜。

某煤化工有限公司前期初步建立了網(wǎng)絡(luò)安全相關(guān)的基本策略，完成了基礎(chǔ)網(wǎng)絡(luò)安全保障工作。但是整個網(wǎng)絡(luò)安全防護(hù)級別不高，與國家發(fā)布的相關(guān)標(biāo)準(zhǔn)還有一定差距，在一些薄弱環(huán)節(jié)上仍存在較高的安全隱患。病毒、木馬、黑客以及敵對勢力入侵的可能性仍然存在。需要建立起工控網(wǎng)絡(luò)的“縱深防御體系”，防止由于病毒感染、惡意攻擊等造成非計(jì)劃停車所帶來的損失，從而構(gòu)建“本質(zhì)安全”的生產(chǎn)控制網(wǎng)。

2 項(xiàng)目建設(shè)目標(biāo)和主要任務(wù)

2.1 項(xiàng)目建設(shè)目標(biāo)

采用業(yè)界先進(jìn)的“主動監(jiān)測、縱深防御”的技術(shù)思路，依據(jù)《國家網(wǎng)絡(luò)安全法》、工信部的《工業(yè)控制系統(tǒng)安全防護(hù)指南》以及國家等級保護(hù)二級定級建設(shè)等相關(guān)標(biāo)準(zhǔn)與法規(guī)要求，通過對某公司實(shí)際工控系統(tǒng)運(yùn)行狀況進(jìn)行風(fēng)險評估與分析，制定出一套某公司工控網(wǎng)絡(luò)安全縱深防御整體解決方案，分期、分批地對現(xiàn)有系統(tǒng)實(shí)施整改、加固措施，對工業(yè)控制系統(tǒng)進(jìn)行全面安全防護(hù)。從而建立起符合國家政策要求、覆蓋全面、重點(diǎn)突出、持續(xù)運(yùn)行的信息安全保障體系，達(dá)到國內(nèi)一流的信息安全保障水平，支撐和保障信息系統(tǒng)和業(yè)務(wù)的安全穩(wěn)定運(yùn)行，通過國家等級保護(hù)二級定級、備案、測評。

圖1 縱深防御安全架構(gòu)

2.2 主要任務(wù)

對某公司工業(yè)控制網(wǎng)絡(luò)實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)測預(yù)警與安全防護(hù)，并至少達(dá)到國家等級保護(hù)二級建設(shè)要求，主要包括以下幾個方面：

2.2.1 網(wǎng)絡(luò)安全防護(hù)

（1）對工控網(wǎng)絡(luò)中的場站服務(wù)器、操作站、工程師站、實(shí)時數(shù)據(jù)庫、等資產(chǎn)進(jìn)行識別與管理，定期進(jìn)行病毒和惡意代碼查殺，通過主機(jī)防護(hù)白名單等技術(shù)對資產(chǎn)進(jìn)行有效防護(hù)，保障主機(jī)及其運(yùn)行數(shù)據(jù)的安全；

（2）對網(wǎng)絡(luò)中所有設(shè)備資產(chǎn)進(jìn)行身份管理與訪問控制，對運(yùn)維人員的行為進(jìn)行管控，確保工控系統(tǒng)、資產(chǎn)與數(shù)據(jù)安全；

（3）提供安全數(shù)據(jù)交換手段，杜絕移動存儲介質(zhì)“濫用”的安全隱患，保障工控主機(jī)間數(shù)據(jù)交換安全；

（4）按照相關(guān)標(biāo)準(zhǔn)要求并結(jié)合自身實(shí)際，合理劃分工控系統(tǒng)網(wǎng)絡(luò)邊界和安全域，對工控網(wǎng)絡(luò)邊界以及安全域之間采取安全隔離設(shè)備和訪問控制措施實(shí)現(xiàn)區(qū)域隔離與防護(hù)，防止用戶的越權(quán)訪問和非法入侵行為，將風(fēng)險控制在最小區(qū)域內(nèi)，避免擴(kuò)散與蔓延。

2.2.2 網(wǎng)絡(luò)安全監(jiān)測預(yù)警

（1）對各裝置工控網(wǎng)絡(luò)通訊進(jìn)行實(shí)時監(jiān)測，通過對工業(yè)通信協(xié)議深度解析與審計(jì)，及時發(fā)現(xiàn)通訊異常以及工控網(wǎng)絡(luò)異常操作行為并報警；建立起網(wǎng)絡(luò)監(jiān)測審計(jì)機(jī)制；

（2）對工業(yè)網(wǎng)絡(luò)邊界進(jìn)行入侵檢測，及時發(fā)現(xiàn)與防范網(wǎng)絡(luò)入侵行為；

（3）建立工控網(wǎng)絡(luò)安全綜合管理平臺，對某公司控制系統(tǒng)各層級網(wǎng)絡(luò)中的安全設(shè)備或系統(tǒng)進(jìn)行集中管理，實(shí)現(xiàn)全局配置、集中監(jiān)控、統(tǒng)一管理，提高管理人員的工作效率，降低企業(yè)的人員投入成本；

（4）基于綜合管理平臺，對工控網(wǎng)絡(luò)安全態(tài)勢以及設(shè)備運(yùn)行狀況進(jìn)行感知，并對各種安全狀態(tài)進(jìn)行研判，及時進(jìn)行威脅情報預(yù)警發(fā)布。

2.2.3 等保二級達(dá)標(biāo)測評及國家政策合規(guī)性檢查

（1）委托有資質(zhì)的單位按照國家等級保護(hù)測評要求，達(dá)成等保二級的防護(hù)測評；

（2）對標(biāo)工信部等國家標(biāo)準(zhǔn)，進(jìn)行對標(biāo)檢查，符合工信部《工業(yè)控制系統(tǒng)安全防護(hù)指南》要求。

3 項(xiàng)目建設(shè)內(nèi)容

按照國家和行業(yè)相關(guān)標(biāo)準(zhǔn)規(guī)范要求，并結(jié)合某公司的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的特點(diǎn)，基于“技術(shù)和管理并重”的原則，從技術(shù)和管理兩個層面完成項(xiàng)目建設(shè)。

3.1 技術(shù)方面

從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等幾個層面進(jìn)行安全防護(hù)建設(shè)，充分考慮DCS安全防護(hù)隔離措施后不能影響整個工控系統(tǒng)的穩(wěn)定性以及可用性。系統(tǒng)建立起可視化的網(wǎng)絡(luò)模型，能實(shí)時監(jiān)視整個系統(tǒng)設(shè)備的運(yùn)行狀態(tài)和安全狀態(tài)，一旦發(fā)生安全事件，能在網(wǎng)絡(luò)圖上進(jìn)行直觀、實(shí)時報警。

圖2 某工控網(wǎng)絡(luò)安全總體防護(hù)架構(gòu)圖

（1）網(wǎng)絡(luò)邊界與區(qū)域隔離防護(hù)

網(wǎng)絡(luò)邊界防護(hù)通過部署工業(yè)控制防火墻，將生產(chǎn)網(wǎng)和其他網(wǎng)絡(luò)（GPS、生產(chǎn)輔助、管理信息）進(jìn)行有效的訪問管控。

使用工業(yè)防火墻進(jìn)行區(qū)域防護(hù)以加強(qiáng)對系統(tǒng)業(yè)務(wù)和應(yīng)用的各種訪問控制。

在霍尼韋爾DCS系統(tǒng)、浙大中控DCS系統(tǒng)、CCS系統(tǒng)、南瑞Open3000 SCADA系統(tǒng)分別在控制網(wǎng)與其他網(wǎng)絡(luò)（GPS、生產(chǎn)輔助、管理信息）之間部署工業(yè)防火墻。

（2）主機(jī)安全防護(hù)

針對浙大中控DCS系統(tǒng)、CCS系統(tǒng)、南瑞Open3000 SCADA系統(tǒng)的操作員站、工程師站、服務(wù)器等工業(yè)現(xiàn)場的主機(jī)進(jìn)行安全防護(hù)，采用軟件“白名單”機(jī)制，只允許受信任的PE文件運(yùn)行，同時對主機(jī)進(jìn)行加固，可以有效阻止包括震網(wǎng)病毒、Flame、Havex、BlackEnergy以及APT（高級持續(xù)性威脅）、“0-Day”漏洞等在工控主機(jī)中的執(zhí)行和利用，實(shí)現(xiàn)工控主機(jī)從啟動、加載到持續(xù)運(yùn)行過程全生命周期的安全保障。

（3）工控網(wǎng)絡(luò)安全運(yùn)維審計(jì)（安全運(yùn)維堡壘機(jī)）

對霍尼韋爾DCS系統(tǒng)、浙大中控DCS系統(tǒng)、CCS系統(tǒng)、南瑞Open3000 SCADA系統(tǒng)的運(yùn)維行為進(jìn)行賬號統(tǒng)一管理、資源和權(quán)限統(tǒng)一分配、操作過程全程審計(jì)，通過切斷運(yùn)維終端對工業(yè)網(wǎng)絡(luò)設(shè)備或資源的直接訪問，采用協(xié)議代理的方式，建立基于唯一身份標(biāo)識的全局實(shí)名制賬號管理，配置集中訪問控制和細(xì)粒度的命令級授權(quán)策略，實(shí)現(xiàn)集中有序的運(yùn)維安全管理，對用戶從登錄到退出的全程操作行為進(jìn)行審計(jì)，加強(qiáng)工業(yè)控制系統(tǒng)及設(shè)備遠(yuǎn)程維護(hù)的安全管理，降低人為安全風(fēng)險。

（4）工業(yè)網(wǎng)絡(luò)安全審計(jì)與異常檢測

工控網(wǎng)絡(luò)安全審計(jì)與監(jiān)測系統(tǒng)對工控網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量進(jìn)行采集、監(jiān)測和分析，有效識別工控網(wǎng)絡(luò)中的安全隱患、惡意攻擊以及違規(guī)操作等安全風(fēng)險。工控網(wǎng)絡(luò)安全審計(jì)與監(jiān)測系統(tǒng)采用旁路接入方式與各控制系統(tǒng)網(wǎng)絡(luò)相連，只抓取現(xiàn)場控制系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析處理，不向現(xiàn)場控制系統(tǒng)發(fā)送任何命令和數(shù)據(jù)包。

在CCR的霍尼韋爾DCS、浙大中控DCS的各個裝置交換機(jī)以及主降壓所南瑞OPEN-3000系統(tǒng)的交換機(jī)上，分別旁路部署一套監(jiān)測與審計(jì)引擎，進(jìn)行工業(yè)協(xié)議的深度解析與審計(jì)。

（5）入侵防御檢測

按照等保二級測評定級要求，在某公司的廠級辦公信息網(wǎng)絡(luò)上部署入侵防御檢測系統(tǒng)，依照安全策略，對工業(yè)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，及時發(fā)現(xiàn)各種非法操作或異常行為，同時需要深入分析網(wǎng)絡(luò)上捕獲的數(shù)據(jù)包，結(jié)合特征庫進(jìn)行相應(yīng)的行為匹配，及時發(fā)現(xiàn)來自生產(chǎn)網(wǎng)外部或內(nèi)部違反安全策略的行為及被攻擊的跡象，幫助某公司及時采取應(yīng)對措施，最終達(dá)到保護(hù)生產(chǎn)網(wǎng)絡(luò)安全的目的。

（6）USB管控

浙江中控DCS、霍尼韋爾DCS、TRICON SIS（CCS）、電氣南瑞SCADA系統(tǒng)各部署一套USB安全隔離裝置可管理網(wǎng)絡(luò)內(nèi)任意一臺主機(jī)的USB接口?；鹁鍼LC部署一套USB安全隔離裝置，可任意管理某臺操作站或工程師站。USB安全隔離裝置是 USB存儲設(shè)備和計(jì)算機(jī)之間數(shù)據(jù)安全交互的橋梁，對USB移動存儲設(shè)備數(shù)據(jù)傳輸過程進(jìn)行病毒查殺隔離，可有效減少通過USB移動存儲設(shè)備攜帶病毒對內(nèi)網(wǎng)計(jì)算機(jī)的安全造成威脅，保證數(shù)據(jù)快速、安全地傳輸?shù)絻?nèi)網(wǎng)計(jì)算機(jī)。

（7）工控網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)

分別對霍尼韋爾DCS系統(tǒng)、浙大中控DCS系統(tǒng)、CCS系統(tǒng)、南瑞Open3000 SCADA系統(tǒng)的接入內(nèi)部網(wǎng)絡(luò)的終端進(jìn)行嚴(yán)格、高細(xì)粒度的管控，保證合法以及安全的終端入網(wǎng)，全過程進(jìn)行嚴(yán)格管控、全方位的操作審計(jì)，實(shí)現(xiàn)內(nèi)網(wǎng)標(biāo)準(zhǔn)化管理，降低內(nèi)網(wǎng)安全風(fēng)險，有效規(guī)范管理內(nèi)網(wǎng)行為。

（8）工控網(wǎng)絡(luò)安全綜合管理

在某公司廠級辦公信息網(wǎng)絡(luò)部署一套工控網(wǎng)絡(luò)安全綜合管理平臺，分別接收工業(yè)防火墻、工業(yè)網(wǎng)絡(luò)安全審計(jì)與異常檢測系統(tǒng)、入侵防御檢測系統(tǒng)等工控網(wǎng)絡(luò)安全狀態(tài)的信息、告警信息、日志信息等，并進(jìn)行安全態(tài)勢分析及綜合管理。實(shí)現(xiàn)對全網(wǎng)中各安全設(shè)備、系統(tǒng)及主機(jī)的統(tǒng)一配置、全面監(jiān)控預(yù)警、流量分析等，降低運(yùn)維成本、提高事件響應(yīng)效率。

3.2 管理方面

（1）建立健全網(wǎng)絡(luò)安全相關(guān)管理制度及操作規(guī)范；

（2）建立工控網(wǎng)絡(luò)安全組織機(jī)構(gòu)；

（3）人員入職、離崗、安全培訓(xùn)等相關(guān)制度建設(shè)與執(zhí)行。

4 結(jié)語

某公司工控安全防護(hù)項(xiàng)目的實(shí)施是海天煒業(yè)公司針對“煤化工行業(yè)整體解決方案“的成功應(yīng)用，在煤化工行業(yè)具有典型的示范效應(yīng)，同時海天煒業(yè)結(jié)合該項(xiàng)目的實(shí)施經(jīng)驗(yàn)對產(chǎn)品及解決方案做了進(jìn)一步優(yōu)化，為后續(xù)項(xiàng)目的成功復(fù)制與推廣奠定了堅(jiān)實(shí)的基礎(chǔ)，在煤化工、石化行業(yè)都具有很高的推廣價值。

[1]王偉.關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)安全防護(hù)的認(rèn)識與思考[J].中國信息化，2014.

[2]閆曉麗.加強(qiáng)我國工業(yè)控制系統(tǒng)安全性的建議[J].信息安全與技術(shù)，2013.