工業(yè)控制系統(tǒng)安全體系建設(shè)

摘 要：隨著“兩化”融合發(fā)展，工控安全問(wèn)題凸顯，按照《工業(yè)控制系統(tǒng)安全防護(hù)指南》的要求，我公司通過(guò)部署工控防火墻、主機(jī)加固、工控安全管理平臺(tái)、安全審計(jì)、入侵防御、USB隔離等措施對(duì)工控系統(tǒng)進(jìn)行了有效的防范。

關(guān)鍵詞：網(wǎng)絡(luò)安全;工控安全;工業(yè)防火墻;工控主機(jī)加固;工控審計(jì)

一、 引言

隨著網(wǎng)絡(luò)安全法和等級(jí)保護(hù)2.0的實(shí)施，工控網(wǎng)絡(luò)成為企業(yè)網(wǎng)絡(luò)安全重點(diǎn)關(guān)注對(duì)象。通過(guò)對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估與檢查，及時(shí)了解網(wǎng)絡(luò)內(nèi)薄弱環(huán)節(jié)，對(duì)監(jiān)控層數(shù)據(jù)進(jìn)行實(shí)時(shí)數(shù)據(jù)審計(jì)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)異常流量和行為;在生產(chǎn)控制網(wǎng)絡(luò)的關(guān)鍵區(qū)域邊界部署可靠的邊界防護(hù)設(shè)備并合理配置防護(hù)策略，實(shí)現(xiàn)分層級(jí)的縱深安全防御、威脅檢測(cè)策略;對(duì)于用戶(hù)通過(guò)上位操作主機(jī)的USB外設(shè)接口拷貝數(shù)據(jù)時(shí)，使用USB安全隔離裝置對(duì)主機(jī)實(shí)施安全加固，有效減少通過(guò)移動(dòng)存儲(chǔ)設(shè)備帶入病毒、惡意程序的機(jī)會(huì)。

二、工控安全體系建設(shè)目標(biāo)

按照《工業(yè)控制系統(tǒng)安全防護(hù)指南》中對(duì)工業(yè)控制網(wǎng)絡(luò)安全等要求，在各單元工業(yè)控制系統(tǒng)的子系統(tǒng)之間、工業(yè)控制系統(tǒng)與甲方內(nèi)網(wǎng)的接口之間加裝工業(yè)級(jí)網(wǎng)絡(luò)安全隔離設(shè)備，建設(shè)統(tǒng)一的網(wǎng)絡(luò)安全管理平臺(tái)。采用安全防護(hù)措施后不能影響整個(gè)工控系統(tǒng)的穩(wěn)定性以及可用性，同時(shí)系統(tǒng)建立可視化的網(wǎng)絡(luò)模型，實(shí)時(shí)監(jiān)視整個(gè)系統(tǒng)設(shè)備的運(yùn)行狀態(tài)和安全狀態(tài)， 一旦發(fā)生安全事件，能在網(wǎng)絡(luò)圖上進(jìn)行實(shí)時(shí)報(bào)警，可指定設(shè)備進(jìn)行歷史查詢(xún)。

通過(guò)工控安全體系建設(shè)需要達(dá)到以下目標(biāo)：

（一）在控制系統(tǒng)網(wǎng)絡(luò)中，對(duì)已經(jīng)部署的工業(yè)防火墻的安全策略進(jìn)行優(yōu)化，確保過(guò)程控制網(wǎng)與生產(chǎn)管理網(wǎng)之間的網(wǎng)絡(luò)隔離;

（二）在數(shù)采網(wǎng)的核心交換機(jī)旁部署工業(yè)安全審計(jì)、異常監(jiān)測(cè)和入侵檢測(cè)等安全設(shè)備;

（三）在中央調(diào)度室增設(shè)安全管理中心，增強(qiáng)安全狀態(tài)實(shí)時(shí)集中監(jiān)控和感知功能;

（四）實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)內(nèi)的異常數(shù)據(jù)和操作行為，實(shí)時(shí)保護(hù)系統(tǒng)安全，及時(shí)阻止惡意代碼對(duì)控制網(wǎng)絡(luò)的破壞;

（五）追溯入侵者對(duì)工業(yè)控制網(wǎng)絡(luò)的惡意攻擊與破壞的源頭和路徑;

（六）降低通過(guò)USB移動(dòng)存儲(chǔ)介質(zhì)的方式拷貝數(shù)據(jù)遭受攻擊的幾率;

（七）重點(diǎn)對(duì)工程師站、操作站進(jìn)行主機(jī)加固，防止外部攻擊。

三、 工控安全體系建設(shè)

（一）、搭建工控安全管理專(zhuān)網(wǎng)

獨(dú)立搭建工控安全專(zhuān)網(wǎng)，用于工業(yè)防火墻、工控安全審計(jì)系統(tǒng)、工控網(wǎng)絡(luò)入侵防御檢測(cè)系統(tǒng)、賬號(hào)集中管理與審計(jì)系統(tǒng)、工控網(wǎng)絡(luò)安全管理平臺(tái)等相關(guān)網(wǎng)絡(luò)安全設(shè)備的管理以及數(shù)據(jù)傳輸，有效的避免了對(duì)控制網(wǎng)絡(luò)的影響。

（二）、部署工業(yè)防火墻

在DCS控制網(wǎng)和MES取數(shù)網(wǎng)之間部署工業(yè)防火墻，實(shí)行白名單管理模式，清理端口，精確開(kāi)放內(nèi)部服務(wù)器服務(wù)端口，限制主要網(wǎng)絡(luò)木馬病毒入侵端口通信。通過(guò)搭建的工控安全管理專(zhuān)網(wǎng)實(shí)現(xiàn)集中管理及攔截日志發(fā)送至工控日志管理平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)日志審計(jì)。

（三）、工控主機(jī)安全加固

在現(xiàn)場(chǎng)控制層的工程師站、操作員站、OPC 服務(wù)器以及數(shù)采服務(wù)器主機(jī)上，MES 層服務(wù)器上部署 InTrust 可信安全管理平臺(tái)，通過(guò)應(yīng)用程序、USB 移動(dòng)存儲(chǔ)的白名單策略，防止用戶(hù)的違規(guī)操作和誤操作，阻止不明程序、移動(dòng)存儲(chǔ)介質(zhì)的濫用，有效提高工控網(wǎng)絡(luò)的綜合“免疫”能力。主機(jī)安全防護(hù)的措施解決了操作系統(tǒng)、安全策略和管理流程、工業(yè)病毒防護(hù)、應(yīng)用軟件漏洞的安全威脅。

（四）、部署工控網(wǎng)絡(luò)安全管理平臺(tái)

在中心控制室部署工控安全管理中心SMP軟件，實(shí)時(shí)接收來(lái)自工控安全防護(hù)設(shè)備的日志，分析、組織、處理網(wǎng)絡(luò)環(huán)境內(nèi)的告警、設(shè)備運(yùn)行信息。它是安全設(shè)備管理系統(tǒng)產(chǎn)品的核心，負(fù)責(zé)連接其它模塊，傳遞運(yùn)行數(shù)據(jù)，并完成所有管理功能的后臺(tái)處理。收集來(lái)自安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器和應(yīng)用系統(tǒng)的數(shù)據(jù)，通過(guò)收集、格式化、過(guò)濾、關(guān)聯(lián)等方式對(duì)事件簡(jiǎn)化和合并，為用戶(hù)展示最有價(jià)值的數(shù)據(jù)信息，數(shù)據(jù)庫(kù)可以存儲(chǔ)各種設(shè)備基本情況、安全日志信息等，在服務(wù)器控制臺(tái)上可以進(jìn)行全部安全事件的顯示。

（五）、部署工控安全審計(jì)系統(tǒng)

在所有DCS裝置現(xiàn)場(chǎng)部署工控安全審計(jì)系統(tǒng)，針對(duì)工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的實(shí)時(shí)告警系統(tǒng)，通過(guò)特定的安全策略，快速識(shí)別出系統(tǒng)中存在的非法操作、異常事件、外部攻擊并實(shí)時(shí)告警。工控安全審計(jì)系統(tǒng)采用旁路監(jiān)聽(tīng)方式進(jìn)行部署，完全不影響現(xiàn)有系統(tǒng)的生產(chǎn)運(yùn)行，可廣泛應(yīng)用于各類(lèi)網(wǎng)絡(luò)應(yīng)用環(huán)境。實(shí)時(shí)網(wǎng)絡(luò)監(jiān)測(cè) 對(duì)工控網(wǎng)絡(luò)中的數(shù)據(jù)、事件行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)、實(shí)時(shí)告警，幫助用戶(hù)實(shí)時(shí)掌握工控網(wǎng)絡(luò)運(yùn)行狀況。網(wǎng)絡(luò)安全審計(jì)對(duì)工控網(wǎng)絡(luò)中存在的所有活動(dòng)提供協(xié)議審計(jì)、行為審計(jì)、內(nèi)容審計(jì)、流量審計(jì)，生成完整記錄便于事件追溯。

（六）、部署工控賬號(hào)集中管理與審計(jì)系統(tǒng)

在中心控制室部署一套工控網(wǎng)絡(luò)安全運(yùn)維審計(jì)系統(tǒng)，實(shí)現(xiàn)運(yùn)維中的集中帳號(hào)管理、集中登錄認(rèn)證、集中用戶(hù)授權(quán)和集中操作審計(jì)，為保證工業(yè)控制網(wǎng)絡(luò)的可用性和安全性，需要通過(guò)設(shè)置工業(yè)防火墻端口控制策略或交換機(jī)ACL訪(fǎng)問(wèn)策略，防止用戶(hù)繞過(guò)工控網(wǎng)絡(luò)安全運(yùn)維主機(jī)直接訪(fǎng)問(wèn)目標(biāo)設(shè)備。

（七）、部署工控入侵防御檢測(cè)系統(tǒng)

在中心控制室部署入侵防御檢測(cè)系統(tǒng)，依照安全策略，對(duì)工業(yè)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，及時(shí)發(fā)現(xiàn)各種非法操作或異常行為，同時(shí)需要深入分析網(wǎng)絡(luò)上捕獲的數(shù)據(jù)包，結(jié)合特征庫(kù)進(jìn)行相應(yīng)的行為匹配，及時(shí)發(fā)現(xiàn)來(lái)自生產(chǎn)網(wǎng)外部或內(nèi)部違反安全策略的行為及被攻擊的跡象，幫助哈石化公司及時(shí)采取應(yīng)對(duì)措施，最終達(dá)到保護(hù)生產(chǎn)網(wǎng)絡(luò)安全。

（八）、部署USB安全隔離裝置

USB 安全隔離裝置是 USB 存儲(chǔ)設(shè)備和計(jì)算機(jī)之間數(shù)據(jù)安全交互的橋梁，對(duì)USB 移動(dòng)存儲(chǔ)設(shè)備數(shù)據(jù)傳輸過(guò)程進(jìn)行病毒查殺隔離，可有效減少通過(guò)USB移動(dòng)存儲(chǔ)設(shè)備攜帶病毒對(duì)內(nèi)網(wǎng)計(jì)算機(jī)的安全性造成威脅。

四、 結(jié)論

隨著信息化的發(fā)展，從伊朗“震網(wǎng)”病毒事件到烏克蘭電力網(wǎng)被黑事件說(shuō)明工控安全風(fēng)險(xiǎn)越來(lái)越大，企業(yè)必須加強(qiáng)工控網(wǎng)絡(luò)安全建設(shè)。我公司通過(guò)工控網(wǎng)絡(luò)安全體系建設(shè)，可以對(duì)工控網(wǎng)絡(luò)進(jìn)行威脅評(píng)估、監(jiān)測(cè)審計(jì)、主機(jī)防護(hù)、集中管理，大大提高了工控網(wǎng)絡(luò)的安全防護(hù)水平，為工控網(wǎng)絡(luò)安全提供了全方位防御體系。

參考文獻(xiàn)：

[1].陳忠平 李旎 劉青鳳 網(wǎng)絡(luò)安全[m]. 北京：清華大學(xué)出版社，2011

作者簡(jiǎn)介：

譚振軍，男，1984年生，2004年畢業(yè)于石油大學(xué)（華東）計(jì)算機(jī)科學(xué)與技術(shù)專(zhuān)業(yè)，工學(xué)學(xué)士，現(xiàn)工作于中國(guó)石油哈爾濱石化分公司信息中心，工程師。主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)，網(wǎng)絡(luò)安全。