★ 浙江國利網(wǎng)安科技有限公司

1 項目概況

1.1 項目背景

隨著“兩化融合”走向深入，以及信息化、數(shù)字化、智能化快速發(fā)展，關(guān)系國計民生的關(guān)鍵信息基礎(chǔ)設(shè)施（能源、交通、制造業(yè)、水務(wù)等）成為黑客攻擊的主要目標(biāo)，網(wǎng)絡(luò)攻擊事件頻發(fā)。2020年5月，以色列供水系統(tǒng)遭受大規(guī)模網(wǎng)絡(luò)攻擊，目標(biāo)直指生產(chǎn)控制的邏輯控制器。

某水務(wù)環(huán)境集團(tuán)作為集供水、排水、污水治理于一體的城市公共服務(wù)提供商，肩負(fù)著該市近千萬居民的用水安全。集團(tuán)及下屬12家基層單位存在工控系統(tǒng)無法自主可控、工控安全防護(hù)技術(shù)能力薄弱、安全建設(shè)不統(tǒng)一等問題，其工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)迫在眉睫。

1.2 項目簡介

本項目針對該水務(wù)環(huán)境集團(tuán)及其下屬供排水生產(chǎn)企業(yè)工控系統(tǒng)面臨的網(wǎng)絡(luò)安全問題，建設(shè)了覆蓋1個集團(tuán)的工業(yè)安全態(tài)勢感知與管理平臺和12個下屬供排水生產(chǎn)企業(yè)的工控網(wǎng)絡(luò)安全監(jiān)控防護(hù)系統(tǒng)，構(gòu)建了城市水務(wù)供排水網(wǎng)絡(luò)安全協(xié)同防御體系，實現(xiàn)了對工控系統(tǒng)全方位、全天候的網(wǎng)絡(luò)安全態(tài)勢感知，打造了多層級、可擴(kuò)展的平臺架構(gòu)，形成了完備的工控系統(tǒng)安全防御體系，全面提升了集團(tuán)工控網(wǎng)絡(luò)安全防護(hù)的整體水平。

1.3 項目目標(biāo)

城市水務(wù)工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)主要存在安全建設(shè)不全面不完善、安全防護(hù)不夠精準(zhǔn)、工控核心控制器缺乏防護(hù)、安全應(yīng)急響應(yīng)不夠及時等問題。針對該水務(wù)環(huán)境集團(tuán)工控系統(tǒng)網(wǎng)絡(luò)安全面臨的風(fēng)險及行業(yè)安全建設(shè)方案的不足，本項目建設(shè)強(qiáng)化對工業(yè)控制器的防護(hù)，重點關(guān)注工業(yè)控制器內(nèi)組態(tài)工程的異常變更情況，一旦出現(xiàn)對控制器的非法操作，造成組態(tài)工程的刪除、篡改或重要控制參數(shù)的修改、變更，可及時告警，并進(jìn)行恢復(fù)。同時本項目注重各個安全產(chǎn)品之間的協(xié)同，建設(shè)集團(tuán)、企業(yè)兩級工控安全能力體系框架，搭建該水務(wù)環(huán)境集團(tuán)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)及各個水廠廠級安全運維中心，實現(xiàn)全集團(tuán)安全態(tài)勢可視、可知、可管、可控。

平臺部署模式圖如圖1所示。

圖1 平臺部署模式圖

廠級安全運維中心作為“廠級安全運維”的核心，負(fù)責(zé)廠級安全數(shù)據(jù)的收集與分析、廠級安全策略的定制與分發(fā)和廠級安全事件的查看與處置。廠級安全運維中心可以全面地收集安全產(chǎn)品信息、工業(yè)控制器信息以及網(wǎng)絡(luò)設(shè)備信息等，對數(shù)據(jù)進(jìn)行聯(lián)合分析并識別異常事件，生成對應(yīng)的防護(hù)策略。用戶可以對異常事件進(jìn)行處置，對防護(hù)策略進(jìn)行管理與分發(fā)，形成廠級的監(jiān)測、響應(yīng)與防護(hù)的安全體系。

工業(yè)安全態(tài)勢感知平臺是“集團(tuán)態(tài)勢感知”的載體，負(fù)責(zé)收集各個“廠級站點”的數(shù)據(jù)，并進(jìn)行分析和可視化，實現(xiàn)態(tài)勢觀測和威脅預(yù)測的功能。

2 項目實施

2.1 應(yīng)用案例介紹

本方案根據(jù)前期對各個水廠的工控網(wǎng)絡(luò)安全調(diào)研，了解水務(wù)集團(tuán)及各個制水廠、污水處理廠等廠站的工控系統(tǒng)的基本情況，包括整體網(wǎng)絡(luò)架構(gòu)、廠級網(wǎng)絡(luò)架構(gòu)、各個廠站內(nèi)的工控設(shè)備信息、工控主機(jī)信息及當(dāng)前安全防護(hù)狀況，并根據(jù)城市水務(wù)業(yè)務(wù)特點，主要針對區(qū)域邊界、計算環(huán)境及管理中心的改進(jìn)建議進(jìn)行部署，形成集團(tuán)、企業(yè)和廠站三級安全管控模式。整體方案如圖2所示。

圖2 工控網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)拓?fù)涫疽鈭D

在各個水廠工控系統(tǒng)的生產(chǎn)控制區(qū)與信息管理區(qū)之間部署工業(yè)防火墻，通過對通信數(shù)據(jù)進(jìn)行行為級、數(shù)值級的檢測，實現(xiàn)對控制器設(shè)備的訪問控制；在各個水廠與該集團(tuán)的網(wǎng)絡(luò)邊界處部署工業(yè)安全隔離與信息交換系統(tǒng)，以便在物理層面實現(xiàn)網(wǎng)絡(luò)隔離。在各個水廠工控系統(tǒng)的生產(chǎn)控制區(qū)的網(wǎng)絡(luò)核心節(jié)點部署工控安全審計系統(tǒng)，實現(xiàn)資產(chǎn)關(guān)系校驗、網(wǎng)絡(luò)流量審計、入侵檢測和異常行為告警。

在各個水廠工控系統(tǒng)的各個工控主機(jī)、服務(wù)器、接口機(jī)等設(shè)備處安裝工業(yè)主機(jī)安全防護(hù)系統(tǒng)進(jìn)行安全加固，以便對工控主機(jī)的運行資源、數(shù)據(jù)資源和物理存儲資源進(jìn)行管控，防范未知病毒的運行及其對主機(jī)資源的利用。

在各個水廠工控系統(tǒng)生產(chǎn)控制區(qū)的重點控制器交換節(jié)點處，部署國利網(wǎng)安獨有的控制器完整性監(jiān)測與恢復(fù)系統(tǒng)，能夠?qū)刂破鞯倪\行狀態(tài)、數(shù)據(jù)狀態(tài)等進(jìn)行實時、深度監(jiān)測，根據(jù)異常情況進(jìn)行告警和無損恢復(fù)；在各個水廠工控系統(tǒng)生產(chǎn)控制區(qū)的重點控制器前部署控制器防護(hù)系統(tǒng)，對工控協(xié)議進(jìn)行深度檢測，高性能地實現(xiàn)對控制器的防護(hù)。

在各個水廠中部署廠級安全運維中心，對廠區(qū)內(nèi)部署的工控安全產(chǎn)品實現(xiàn)集中管理與統(tǒng)一配置，并將安全信息通過網(wǎng)閘集中上送給集團(tuán)態(tài)勢感知平臺。在水務(wù)集團(tuán)部署工控安全態(tài)勢感知平臺，實現(xiàn)對各個水廠的整體安全態(tài)勢、資產(chǎn)情況、流量數(shù)據(jù)等信息的匯總和研判，從全局視角提升整個水務(wù)集團(tuán)工控系統(tǒng)對安全威脅的發(fā)現(xiàn)識別、理解分析及響應(yīng)處置能力。

2.2 實施成效

本方案從設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全及數(shù)據(jù)安全等角度出發(fā)，構(gòu)建城市水務(wù)工控系統(tǒng)的網(wǎng)絡(luò)安全縱深防御體系。主要實施成效如下所示：

（1）實現(xiàn)工控系統(tǒng)的空間測繪與資產(chǎn)畫像

采用主被動掃描的方式對接入工控系統(tǒng)內(nèi)的資產(chǎn)進(jìn)行測繪，有效測繪硬件資產(chǎn)及軟件資產(chǎn)，形成資產(chǎn)信息庫。通過對網(wǎng)內(nèi)通信關(guān)系的實時捕獲，并結(jié)合高效的資產(chǎn)管理方案，實現(xiàn)工控系統(tǒng)的空間測繪。同時，基于自有知識庫進(jìn)行比對，聯(lián)系上下文進(jìn)行分析，展示資產(chǎn)全貌，并對整個工控系統(tǒng)進(jìn)行風(fēng)險評估，實現(xiàn)將碎片化的資產(chǎn)信息綜合加工形成對相應(yīng)工控系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)、全面、直觀的認(rèn)識。

（2）實現(xiàn)對各水廠工業(yè)控制器的訪問控制和狀態(tài)監(jiān)測

通過采取設(shè)備身份鑒別與白名單訪問控制的方法實現(xiàn)對工業(yè)控制器的保護(hù)，使得所有對工業(yè)控制器的訪問均為已授權(quán)的訪問，確保工業(yè)控制器執(zhí)行的控制命令均來自合法用戶。同時，實現(xiàn)對工業(yè)控制器的運行狀態(tài)、數(shù)據(jù)狀態(tài)等實時、深度監(jiān)測，根據(jù)異常情況進(jìn)行告警與防護(hù)，并可在控制器工藝組態(tài)文件被篡改的情況下快速恢復(fù)安全版本。

（3）實現(xiàn)對各水廠工業(yè)主機(jī)的安全防護(hù)

在調(diào)控中心及各個場站的工控主機(jī)、服務(wù)器等設(shè)備中安裝的工業(yè)主機(jī)安全防護(hù)系統(tǒng)進(jìn)行安全加固，能夠?qū)た刂鳈C(jī)的運行資源、數(shù)據(jù)資源和物理存儲資源進(jìn)行管控，防范未知病毒的運行及其對主機(jī)資源的利用。

（4）強(qiáng)化對生產(chǎn)控制指令的保護(hù)

本方案配置的工控安全審計系統(tǒng)、工業(yè)防火墻等安全設(shè)備能對水廠工控系統(tǒng)中的通信協(xié)議進(jìn)行深度解析，并基于組態(tài)工藝指令組合白名單策略，實現(xiàn)對系統(tǒng)中工控行為及網(wǎng)絡(luò)行為的監(jiān)測和防護(hù)，實現(xiàn)對工控系統(tǒng)參數(shù)變更的閾值及變更頻率的監(jiān)測，及時發(fā)出預(yù)警，并根據(jù)用戶的授權(quán)情況進(jìn)行阻斷，避免發(fā)生安全事故，并提供詳實的數(shù)據(jù)支持。同時，可實現(xiàn)攻擊異常檢測、無流量異常檢測、重要操作行為審計、告警日志審計等功能。

（5）實現(xiàn)區(qū)域網(wǎng)絡(luò)隔離

在各水廠控制層與過程監(jiān)控層之間部署工業(yè)防火墻、各水廠與集團(tuán)之間部署工業(yè)網(wǎng)閘，實現(xiàn)安全區(qū)域隔離。對網(wǎng)絡(luò)邊界進(jìn)行監(jiān)視，識別邊界上的入侵行為并進(jìn)行有效阻斷，保障生產(chǎn)控制區(qū)和生產(chǎn)管理區(qū)之間、生產(chǎn)管理區(qū)與集團(tuán)辦公區(qū)之間的安全。

（6）加強(qiáng)對數(shù)據(jù)的保護(hù)

注重對工控系統(tǒng)內(nèi)的數(shù)據(jù)的備份，如各個水廠生產(chǎn)工業(yè)控制器的組態(tài)工程和重點工藝參數(shù)，定期對數(shù)據(jù)進(jìn)行備份。當(dāng)發(fā)生組態(tài)工程篡改、刪除、修改等事故時能及時恢復(fù)，從而降低用戶的損失。

（7）構(gòu)建集團(tuán)-企業(yè)-廠站三級協(xié)同響應(yīng)體系

在各水廠部署廠級運維中心，對水廠內(nèi)部署的工控安全產(chǎn)品及網(wǎng)絡(luò)設(shè)備進(jìn)行集中管理與統(tǒng)一配置，獲取各個安全產(chǎn)品的日志信息及各個網(wǎng)絡(luò)設(shè)備的接口使用情況，基于安全事件特征進(jìn)行聚類分析，發(fā)現(xiàn)并確認(rèn)安全事件，及時報警響應(yīng)處理，提高管理效率，實現(xiàn)產(chǎn)品功能協(xié)同，降低運行維護(hù)成本。在供水公司及排水公司部署網(wǎng)絡(luò)安全態(tài)勢感知子系統(tǒng)，實現(xiàn)對下轄各水廠和污水廠的安全集中管理。在水務(wù)集團(tuán)部署網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，實現(xiàn)對各個水廠的整體安全態(tài)勢、資產(chǎn)情況、流量數(shù)據(jù)等信息的匯總和研判，從全局視角提升整個水務(wù)集團(tuán)工控系統(tǒng)對安全威脅的發(fā)現(xiàn)識別、理解分析及響應(yīng)處置能力。

3 案例亮點及創(chuàng)新性

3.1 技術(shù)先進(jìn)性

（1）超強(qiáng)的自身安全性和設(shè)備可用性

這是國內(nèi)首個直接部署在工控系統(tǒng)控制器前的產(chǎn)品，可以直接對控制器進(jìn)行安全防護(hù)，其微秒級處理時延少于30μs，優(yōu)于業(yè)界最好性能60μs。該產(chǎn)品采用硬件回路替代邏輯算法實現(xiàn)超低時延，并使用雙處理器架構(gòu)，兩個處理器之間相互獨立，通過有限通信，當(dāng)某一個處理器遭受網(wǎng)絡(luò)攻擊或處理器不能正常工作時，另一個處理器的業(yè)務(wù)處理單元仍能夠正常處理業(yè)務(wù)流程。因此，設(shè)備具有低延時、高可靠以及超強(qiáng)的自身安全性。

（2）國內(nèi)首個組態(tài)工程監(jiān)測與重建技術(shù)

該產(chǎn)品采用主被動雙重檢驗的組態(tài)工程重建和監(jiān)測技術(shù)，能實時測量、收集控制器健康數(shù)據(jù)，為控制器建立全生命周期組態(tài)的信息管理檔案，并解決控制器在遭受組態(tài)篡改攻擊后無法快速恢復(fù)及控制器組態(tài)文件無法審計分析的問題。

（3）工控OT操作深度審計

該產(chǎn)品根據(jù)工藝要求和控制流程，結(jié)合IO點表信息，能智能識別工控系統(tǒng)應(yīng)用服務(wù)對象、角色關(guān)聯(lián)對象、目標(biāo)系統(tǒng)安全域?qū)ο蠛湍繕?biāo)系統(tǒng)參數(shù)安全范圍對象，并根據(jù)識別出來的安全對象，映射生成安全產(chǎn)品防護(hù)策略規(guī)則樹，實現(xiàn)工控OT操作深度審計，支持多指標(biāo)的工控行為檢測及工控數(shù)據(jù)變更檢測，支持深度解析城市水務(wù)行業(yè)常用協(xié)議Modbus、S7、ENIP/CIP、OPC、IEC104等。

3.2 可推廣性

隨著城市水務(wù)數(shù)字化、智慧化建設(shè)浪潮的出現(xiàn)，城市水務(wù)工控網(wǎng)絡(luò)面臨愈加復(fù)雜的網(wǎng)絡(luò)安全風(fēng)險挑戰(zhàn)。本項目為典型的集團(tuán)型水務(wù)企業(yè)提供工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)和運維管理的示范案例，有效保障水廠、污水處理廠等工控系統(tǒng)的生產(chǎn)安全，提高企業(yè)應(yīng)急響應(yīng)能力水平，提高集團(tuán)工控網(wǎng)絡(luò)安全管控能力，具有較好的可復(fù)制性和可推廣性。

《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊（第九輯）》