某大型煤化工企业工控系统网络安全总体解决方案

2019-09-13张永正

网络安全技术与应用 2019年9期

◆张永正

◆张永正

（青岛海天炜业过程控制技术股份有限公司山东 266100）

本文项目解决了工控系统面临的工控网络安全隐患，防止由于病毒感染、恶意攻击等造成非计划停车所带来的损失。采用工控行业内较为先进的“纵深防御体系”的技术思路，以及区域隔离的防护技术原理来实现对底层控制系统及现场仪表的安全防护，并有效地控制各控制室单元之间病毒等安全威胁的传播。主要内容有：网络边界防护与区域隔离、主机加固、运维审计、网络准入控制、异常监测审计、入侵监测、工控安全综合管理等。该项目在网络安全、主机安全、应用安全、数据安全等各层面，提出了卓有成效的解决方案以及防护措施，在煤化工、石化行业都具有典型的示范作用和很高的推广价值。

工控系统；网络安全；纵深防御；解决方案

1 项目建设背景和意义

工业控制系统广泛应用于能源、交通、水利以及市政等领域，用于控制生产设备的运行，是我国国民经济、现代社会以及国家安全的重要基础设施的核心系统，一旦遭受攻击，将对工业生产运行和国家经济安全造成重大损失[1]。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接[2]，尤其是 “工业4.0”、“两化深度融合”、“互联网+” 、 “工业互联网”等相关概念的提出，在国家政策、技术创新和工业参与者需求转变等多个维度的共同驱动和协同下，工业正朝着数字化、网络化、开放化、集成化的工业互联方向发展，病毒、木马等威胁正在向工业控制系统入侵。

随着近年来敲诈勒索病毒的盛行，设备高危漏洞数量增加，外国设备后门增多，分布式拒绝服务攻击事件峰值流量持续突破新高，联网智能设备面临的安全威胁加剧，工业控制系统安全威胁与风险不断加大，对我国工控系统安全不断提出新的挑战。网络空间战略地位日益提升，网络空间已经成为国家或地区安全博弈的新战场，我国在工业控制系统方面面临的安全问题也日益复杂。

某煤化工有限公司前期初步建立了网络安全相关的基本策略，完成了基础网络安全保障工作。但是整个网络安全防护级别不高，与国家发布的相关标准还有一定差距，在一些薄弱环节上仍存在较高的安全隐患。病毒、木马、黑客以及敌对势力入侵的可能性仍然存在。需要建立起工控网络的“纵深防御体系”，防止由于病毒感染、恶意攻击等造成非计划停车所带来的损失，从而构建“本质安全”的生产控制网。

2 项目建设目标和主要任务

2.1 项目建设目标

采用业界先进的“主动监测、纵深防御”的技术思路，依据《国家网络安全法》、工信部的《工业控制系统安全防护指南》以及国家等级保护二级定级建设等相关标准与法规要求，通过对某公司实际工控系统运行状况进行风险评估与分析，制定出一套某公司工控网络安全纵深防御整体解决方案，分期、分批地对现有系统实施整改、加固措施，对工业控制系统进行全面安全防护。从而建立起符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保障体系，达到国内一流的信息安全保障水平，支撑和保障信息系统和业务的安全稳定运行，通过国家等级保护二级定级、备案、测评。

图1 纵深防御安全架构

2.2 主要任务

对某公司工业控制网络实现网络安全监测预警与安全防护，并至少达到国家等级保护二级建设要求，主要包括以下几个方面：

2.2.1 网络安全防护

（1）对工控网络中的场站服务器、操作站、工程师站、实时数据库、等资产进行识别与管理，定期进行病毒和恶意代码查杀，通过主机防护白名单等技术对资产进行有效防护，保障主机及其运行数据的安全；

（2）对网络中所有设备资产进行身份管理与访问控制，对运维人员的行为进行管控，确保工控系统、资产与数据安全；

（3）提供安全数据交换手段，杜绝移动存储介质“滥用”的安全隐患，保障工控主机间数据交换安全；

（4）按照相关标准要求并结合自身实际，合理划分工控系统网络边界和安全域，对工控网络边界以及安全域之间采取安全隔离设备和访问控制措施实现区域隔离与防护，防止用户的越权访问和非法入侵行为，将风险控制在最小区域内，避免扩散与蔓延。

2.2.2 网络安全监测预警

（1）对各装置工控网络通讯进行实时监测，通过对工业通信协议深度解析与审计，及时发现通讯异常以及工控网络异常操作行为并报警；建立起网络监测审计机制；

（2）对工业网络边界进行入侵检测，及时发现与防范网络入侵行为；

（3）建立工控网络安全综合管理平台，对某公司控制系统各层级网络中的安全设备或系统进行集中管理，实现全局配置、集中监控、统一管理，提高管理人员的工作效率，降低企业的人员投入成本；

（4）基于综合管理平台，对工控网络安全态势以及设备运行状况进行感知，并对各种安全状态进行研判，及时进行威胁情报预警发布。

2.2.3 等保二级达标测评及国家政策合规性检查

（1）委托有资质的单位按照国家等级保护测评要求，达成等保二级的防护测评；

（2）对标工信部等国家标准，进行对标检查，符合工信部《工业控制系统安全防护指南》要求。

3 项目建设内容

按照国家和行业相关标准规范要求，并结合某公司的工业控制系统网络的特点，基于“技术和管理并重”的原则，从技术和管理两个层面完成项目建设。

3.1 技术方面

从网络安全、主机安全、应用安全、数据安全等几个层面进行安全防护建设，充分考虑DCS安全防护隔离措施后不能影响整个工控系统的稳定性以及可用性。系统建立起可视化的网络模型，能实时监视整个系统设备的运行状态和安全状态，一旦发生安全事件，能在网络图上进行直观、实时报警。

图2 某工控网络安全总体防护架构图

（1）网络边界与区域隔离防护

网络边界防护通过部署工业控制防火墙，将生产网和其他网络（GPS、生产辅助、管理信息）进行有效的访问管控。

使用工业防火墙进行区域防护以加强对系统业务和应用的各种访问控制。

在霍尼韦尔DCS系统、浙大中控DCS系统、CCS系统、南瑞Open3000 SCADA系统分别在控制网与其他网络（GPS、生产辅助、管理信息）之间部署工业防火墙。

（2）主机安全防护

针对浙大中控DCS系统、CCS系统、南瑞Open3000 SCADA系统的操作员站、工程师站、服务器等工业现场的主机进行安全防护，采用软件“白名单”机制，只允许受信任的PE文件运行，同时对主机进行加固，可以有效阻止包括震网病毒、Flame、Havex、BlackEnergy以及APT（高级持续性威胁）、“0-Day”漏洞等在工控主机中的执行和利用，实现工控主机从启动、加载到持续运行过程全生命周期的安全保障。

（3）工控网络安全运维审计（安全运维堡垒机）

对霍尼韦尔DCS系统、浙大中控DCS系统、CCS系统、南瑞Open3000 SCADA系统的运维行为进行账号统一管理、资源和权限统一分配、操作过程全程审计，通过切断运维终端对工业网络设备或资源的直接访问，采用协议代理的方式，建立基于唯一身份标识的全局实名制账号管理，配置集中访问控制和细粒度的命令级授权策略，实现集中有序的运维安全管理，对用户从登录到退出的全程操作行为进行审计，加强工业控制系统及设备远程维护的安全管理，降低人为安全风险。

（4）工业网络安全审计与异常检测

工控网络安全审计与监测系统对工控网络中的网络流量进行采集、监测和分析，有效识别工控网络中的安全隐患、恶意攻击以及违规操作等安全风险。工控网络安全审计与监测系统采用旁路接入方式与各控制系统网络相连，只抓取现场控制系统网络数据包进行分析处理，不向现场控制系统发送任何命令和数据包。

在CCR的霍尼韦尔DCS、浙大中控DCS的各个装置交换机以及主降压所南瑞OPEN-3000系统的交换机上，分别旁路部署一套监测与审计引擎，进行工业协议的深度解析与审计。

（5）入侵防御检测

按照等保二级测评定级要求，在某公司的厂级办公信息网络上部署入侵防御检测系统，依照安全策略，对工业网络、系统的运行状况进行监视，及时发现各种非法操作或异常行为，同时需要深入分析网络上捕获的数据包，结合特征库进行相应的行为匹配，及时发现来自生产网外部或内部违反安全策略的行为及被攻击的迹象，帮助某公司及时采取应对措施，最终达到保护生产网络安全的目的。

（6）USB管控

浙江中控DCS、霍尼韦尔DCS、TRICON SIS（CCS）、电气南瑞SCADA系统各部署一套USB安全隔离装置可管理网络内任意一台主机的USB接口。火炬PLC部署一套USB安全隔离装置，可任意管理某台操作站或工程师站。USB安全隔离装置是 USB存储设备和计算机之间数据安全交互的桥梁，对USB移动存储设备数据传输过程进行病毒查杀隔离，可有效减少通过USB移动存储设备携带病毒对内网计算机的安全造成威胁，保证数据快速、安全地传输到内网计算机。

（7）工控网络准入控制系统

分别对霍尼韦尔DCS系统、浙大中控DCS系统、CCS系统、南瑞Open3000 SCADA系统的接入内部网络的终端进行严格、高细粒度的管控，保证合法以及安全的终端入网，全过程进行严格管控、全方位的操作审计，实现内网标准化管理，降低内网安全风险，有效规范管理内网行为。

（8）工控网络安全综合管理

在某公司厂级办公信息网络部署一套工控网络安全综合管理平台，分别接收工业防火墙、工业网络安全审计与异常检测系统、入侵防御检测系统等工控网络安全状态的信息、告警信息、日志信息等，并进行安全态势分析及综合管理。实现对全网中各安全设备、系统及主机的统一配置、全面监控预警、流量分析等，降低运维成本、提高事件响应效率。