★ 北京天地和興科技有限公司

1 項目概況

1.1 項目背景

城市供熱系統(tǒng)作為城市熱力供應的重要組成部分，是城鎮(zhèn)建設的重要基礎設施之一。供熱系統(tǒng)的安全穩(wěn)定運行是國民經(jīng)濟和社會運行的重要基礎。近幾年來，隨著全球工業(yè)信息和互聯(lián)網(wǎng)的快速發(fā)展，工業(yè)企業(yè)信息安全領域遭受惡意攻擊事件時有發(fā)生，這些針對工業(yè)自動化設備、網(wǎng)絡設備和工業(yè)控制系統(tǒng)的漏洞攻擊、信息竊取、信息探測、惡意攻擊對企業(yè)生產(chǎn)、信息安全以及社會公共秩序造成嚴重威脅。

本項目中供熱公司的供熱管網(wǎng)控制系統(tǒng)屬于典型的物理分散、系統(tǒng)分散、風險分散的系統(tǒng)，極易受到各種形式的攻擊，進而對供熱管網(wǎng)控制系統(tǒng)形成惡意破壞以及其他非法操作，導致供熱管網(wǎng)控制系統(tǒng)發(fā)生重大事故，給企業(yè)聲譽帶來負面效應，因此存在巨大的安全風險。

1.2 項目簡介

城市熱力站地理位置分散，覆蓋面廣。大部分城市熱力站通過電信運營商互聯(lián)網(wǎng)網(wǎng)絡與控制系統(tǒng)的數(shù)據(jù)通信，調(diào)度中心控制指令和各熱力站實時控制數(shù)據(jù)以不安全的傳輸協(xié)議進行數(shù)據(jù)傳輸，極易被惡意攻擊者竊取信息數(shù)據(jù)或者對信息數(shù)據(jù)進行篡改，導致無法真實傳遞控制指令和反映當前熱力站控制系統(tǒng)運行狀態(tài)。

可能存在的安全風險有：

（1）破壞供熱系統(tǒng)，中斷正常供熱；

（2）內(nèi)部人員失誤導致業(yè)務中斷；

（3）竊取供熱用戶身份、供熱信息；

（4）竊取財務或辦公信息；

（5）內(nèi)部人員非法交易用戶身份、供熱信息；

（6）外包人員在程序中安插后門；

（7）跨國的政治或商業(yè)目的的信息竊取；

（8）惡意軟件；

（9）網(wǎng)絡被攻擊，通信中斷；

（10）自然災害；

（11）熱力站失火、漏水，導致熱力站控制系統(tǒng)損壞，造成供暖中斷。

供熱行業(yè)網(wǎng)絡安全規(guī)劃框架根據(jù)《網(wǎng)絡安全法》、國家等級保護2.0安全建設要求，在安全體系的指導下，從技術(shù)體系、管理體系、運維體系三大體系入手，進行規(guī)劃設計。

本項目參照相關國家/行業(yè)標準要求，結(jié)合安全現(xiàn)狀與需求分析，針對市政供熱行業(yè)特點，通過安全風險評估的方式全面了解生產(chǎn)控制系統(tǒng)的安全狀況，將問題轉(zhuǎn)化為需求，圍繞“一個中心、三重防護”國家網(wǎng)絡安全等級保護2.0的防護思維進行網(wǎng)絡安全防護體系的詳細設計，形成縱深網(wǎng)絡安全防護能力，并通過完善相關安全管理的制度方式，落實安全管理體系化建設目標，構(gòu)建技防與管理相結(jié)合的網(wǎng)絡安全縱深防御體系，高效發(fā)揮防御體系的防護效能，為市政供熱行業(yè)系統(tǒng)安全運行保駕護航。

1.3 項目目標

本項目通過對供熱管網(wǎng)控制系統(tǒng)的網(wǎng)絡架構(gòu)、邊界及系統(tǒng)風險進行明確，對其面臨的網(wǎng)絡安全風險進行研究，依據(jù)等級保護要求，就現(xiàn)有控制系統(tǒng)的網(wǎng)絡安全問題，提出針對性的安全防護解決方案，并從區(qū)域隔離、接入雙向認證、網(wǎng)絡通信鏈路防護、軟件系統(tǒng)安全、集中監(jiān)管、主動防護等方面出發(fā)，構(gòu)建供熱控制系統(tǒng)安全縱深防御體系，確保供熱管網(wǎng)系統(tǒng)安全運行。

2 項目實施

2.1 方案設計

（1）全面安全風險評估

通過調(diào)研、現(xiàn)場勘查訪問、借助檢查工具與專業(yè)技術(shù)實操，全面發(fā)現(xiàn)與驗證在物理環(huán)境、通信網(wǎng)絡、計算環(huán)境等多層面存在的安全風險，讓企業(yè)領導及安全運維人員系統(tǒng)了解生產(chǎn)網(wǎng)控制系統(tǒng)存在的安全風險。

（2）網(wǎng)絡安全防護體系建設

安全風險評估為安全建設輸出了準確的安全建設需求，需結(jié)合現(xiàn)狀與未來發(fā)展規(guī)劃，遵照國家/行業(yè)相關安全標準要求，遵照用戶建設規(guī)劃，開展網(wǎng)絡安全防護體系設計與建設，并借助先進的工控安全產(chǎn)品，構(gòu)建“一個中心、三重防護”，即安全管理中心、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境，的縱深安全防護技術(shù)體系，完善安全管理體系，形成綜合防御能力，滿足用戶建設目標，滿足網(wǎng)絡安全合規(guī)性要求，滿足供熱控制系統(tǒng)安全防護的實際需要。

（3）智能AI安全監(jiān)控

通過智能AI算法安全分析加強安全運營體系，包括日常運維的規(guī)范化、安全培訓、安全檢查與應急演練的常態(tài)化，并借助平臺技術(shù)手段，構(gòu)建多級級聯(lián)式安全運營平臺應用，實現(xiàn)全網(wǎng)風險動態(tài)感知、趨勢分析、安全預警、聯(lián)動處置。

本方案采用的技術(shù)與產(chǎn)品均為工控安全專用技術(shù)，具有主流工控協(xié)議深度解析能力，支持白名單部署策略，并具有全面的工業(yè)漏洞庫與工業(yè)設備指紋庫，具備工控行為的識別、合規(guī)性檢查、訪問控制、安全審計以及安全風險集中管理、綜合分析與處置的能力，為市政供熱行業(yè)控制系統(tǒng)穩(wěn)定安全運行提供保障。供熱管網(wǎng)控制系統(tǒng)網(wǎng)絡架構(gòu)圖如圖1所示。

圖1 供熱管網(wǎng)控制系統(tǒng)網(wǎng)絡架構(gòu)圖

2.2 項目技術(shù)

對供熱管網(wǎng)控制系統(tǒng)網(wǎng)絡架構(gòu)安全防護風險進行調(diào)研，對系統(tǒng)資產(chǎn)進行梳理，對網(wǎng)絡安全隱患進行風險點分析，并形成相關分析報告。按照國家網(wǎng)絡安全法提出的原則，利用當前先進的網(wǎng)絡安全防護理念、技術(shù)與產(chǎn)品，有序地開展供熱行業(yè)生產(chǎn)系統(tǒng)中網(wǎng)絡安全防護體系的頂層設計、分期設計與建設工作，編制供熱行業(yè)網(wǎng)絡安全立體的防護體系建設標準。同時，研發(fā)自主AI算法引擎創(chuàng)新的網(wǎng)絡安全防護產(chǎn)品，實現(xiàn)全網(wǎng)動態(tài)安全監(jiān)測、風險可視、通報預警與聯(lián)動處置，提高網(wǎng)絡安全綜合管控與防護能力，完成防護建設試點并通過等保2.0等級測評。

在換熱站的網(wǎng)絡出口鏈路部署定制開發(fā)的網(wǎng)絡安全綜合防護終端，與中心網(wǎng)安綜合防護網(wǎng)關配套，利用國密算法對換熱站業(yè)務數(shù)據(jù)進行加解密，有效預防和避免由于管理疏忽造成的數(shù)據(jù)泄露現(xiàn)象，減少或避免因人員操作管理失誤造成的損失。

網(wǎng)安綜合防護終端支持對業(yè)務數(shù)據(jù)傳輸?shù)脑吹刂?目的地址、源端口/目的端口、應用規(guī)格和協(xié)議進行安全防護，同時支持流量審計功能，可以對流經(jīng)設備的流量進行分析、會話統(tǒng)計和工業(yè)協(xié)議解析。

整個方案還采用包過濾技術(shù)、應用網(wǎng)關技術(shù)和狀態(tài)檢測技術(shù)，實現(xiàn)換熱站安全防護網(wǎng)關與首站服務器之間的信息加密傳輸，實時檢測網(wǎng)絡傳輸并對異常數(shù)據(jù)信息及時響應，保障供熱系統(tǒng)的網(wǎng)絡安全。

包過濾技術(shù)是網(wǎng)絡防護中最重要的技術(shù)手段之一，通常通過路由器、防火墻來實現(xiàn)對網(wǎng)絡數(shù)據(jù)包的實時動態(tài)監(jiān)控。該技術(shù)工作原理是檢查數(shù)據(jù)包，整個檢查過程在網(wǎng)絡層進行，保障了數(shù)據(jù)包的傳輸性和安全性。但該技術(shù)可能受到病毒軟件的欺騙，因此仍存在被黑客攻破的可能。

應用網(wǎng)關技術(shù)效果相對包過濾技術(shù)有所提升，該技術(shù)是通過對應用層數(shù)據(jù)包進行檢查的方式來提高網(wǎng)絡安全性，減少風險數(shù)據(jù)的入侵。

狀態(tài)檢測技術(shù)是實現(xiàn)網(wǎng)絡狀態(tài)監(jiān)控監(jiān)測的關鍵技術(shù)，有著較高穩(wěn)定性，網(wǎng)絡安全性提升明顯。另一方面，該技術(shù)對新應用程序也有一定的透明性，突破了應用網(wǎng)關技術(shù)弊端，更繼承了包過濾技術(shù)的優(yōu)點，又提高了對欺騙數(shù)據(jù)包的識別能力，有效降低了被攻擊的可能性，保障了網(wǎng)絡安全。

創(chuàng)新應用圖像AI算法引擎技術(shù)適配供熱場景中的視頻監(jiān)控。對換熱站的視頻監(jiān)控中的蒸汽/煙霧泄漏、液體滴漏等異常生產(chǎn)環(huán)境適配AI算法，可以對異常視頻監(jiān)控畫面進行智能分析并告警，助力安全生產(chǎn)。

2.3 應用場景

（1）安全物理環(huán)境：對換熱站的視頻監(jiān)控中的蒸汽/煙霧泄漏、液體滴漏等異常生產(chǎn)環(huán)境視頻適配AI算法，對異常視頻畫面進行智能分析并告警。

（2）安全通信網(wǎng)絡：在換熱站與供熱管網(wǎng)控制系統(tǒng)鏈路部署加密設備，對自控系統(tǒng)區(qū)域進行安全隔離，在換熱站與供熱管網(wǎng)控制系統(tǒng)之間進行身份認證與數(shù)據(jù)傳輸加密防護。

（3）安全區(qū)域邊界：在供熱管網(wǎng)控制系統(tǒng)核心交換機旁路部署入侵檢測系統(tǒng)，通過交換機鏡像功能，把網(wǎng)絡出入口、重要安全域的通信數(shù)據(jù)送給入侵檢測系統(tǒng)進行實時檢測。

（4）安全計算環(huán)境：針對市政供熱企業(yè)工控網(wǎng)絡中的相關應用服務器、管理操作終端等主機系統(tǒng)，設計安裝部署主機安全防護軟件系統(tǒng)，實現(xiàn)對人機交互界面的主機系統(tǒng)必要的安全管控；白名單的主動防御機制可占用更小的系統(tǒng)計算資源，實現(xiàn)最大的防護效能；有效實現(xiàn)主機防病毒、防第三方軟件的非授權(quán)安裝與使用、主機系統(tǒng)外接口的管控、USB外接存儲設備的認證管控、操作行為審計，為主機系統(tǒng)安全運行提供必要的安全保障。

（5）安全管理中心：在熱管網(wǎng)控制系統(tǒng)劃分出安全管理域，部署日志審計系統(tǒng)、堡壘機系統(tǒng)及定制開發(fā)安全管理平臺。安全管理平臺采用兩級管控平臺的創(chuàng)新布局，可實現(xiàn)報警分級、管控分權(quán)的網(wǎng)絡安全平臺建設，可向上對接上級監(jiān)管機構(gòu)的管控平臺。

本方案通過對供熱公司供熱管網(wǎng)控制系統(tǒng)的網(wǎng)絡架構(gòu)、邊界及系統(tǒng)風險進行明確，對其面臨的網(wǎng)絡安全風險進行研究，依據(jù)等級保護要求，就現(xiàn)有控制系統(tǒng)的網(wǎng)絡安全問題，提出針對性的安全防護解決方案，并從區(qū)域隔離、接入雙向認證、網(wǎng)絡通信鏈路防護、軟件系統(tǒng)安全、集中監(jiān)管、主動防護等方面出發(fā)，構(gòu)建供熱控制系統(tǒng)網(wǎng)絡安全縱深防御體系，確保終端和主站之間的通信鏈路安全，保障終端和主站之間傳輸數(shù)據(jù)的保密性和完整性，同時實現(xiàn)主站和終端之間的雙向身份鑒別。本方案重點防范各種主動攻擊對系統(tǒng)的惡意破壞以及其它非法操作，防止由此導致的供熱管網(wǎng)系統(tǒng)事故，確保供熱公司供熱系統(tǒng)的安全運行，具有很強的現(xiàn)實需求。

3 案例亮點及創(chuàng)新性

（1）實現(xiàn)了市政供熱行業(yè)網(wǎng)絡安全從被動防御向主動防御的轉(zhuǎn)變。通過部署網(wǎng)安綜合防護網(wǎng)關、AI視頻智能分析算法和數(shù)字證書系統(tǒng)的一體化防護方案，使供熱系統(tǒng)建設達到了“智能檢測”“智能上報”“智能響應”的安全防護體系，全面提升了供熱企業(yè)的安全防護和安全管控能力。

（2）構(gòu)建了供熱控制系統(tǒng)網(wǎng)絡安全縱深防御體系，確保了終端和主站之間的通信鏈路安全，保障了終端和主站之間傳輸數(shù)據(jù)的保密性和完整性，同時實現(xiàn)了主站和終端之間的雙向身份鑒別。

（3）自主AI算法引擎的創(chuàng)新應用。安全防護設備采用了自主研發(fā)的AI算法引擎，將OT與IT的防護引擎算法分析、知識庫、防護功能進行了一體化設計，實現(xiàn)了對供熱行業(yè)未知威脅的態(tài)勢感知，助力了供熱企業(yè)安全生產(chǎn)運行。

（4）完善了供熱行業(yè)工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)鏈，貼合了業(yè)務場景化安全建設，推動了企業(yè)數(shù)字化轉(zhuǎn)型升級。

（5）指導了企業(yè)樹牢網(wǎng)絡安全意識，落實了網(wǎng)絡安全工作責任制，防范了網(wǎng)絡風險，切實加強了網(wǎng)絡安全監(jiān)測預警、信息通報和應急處置能力，確保了供熱管網(wǎng)系統(tǒng)安全運行，具有很強的現(xiàn)實需求和示范作用。

（6）加強了供熱管網(wǎng)行業(yè)企業(yè)生產(chǎn)安全和服務風險管理能力，深化了全生命周期資產(chǎn)運用水平。

（7）本方案運用創(chuàng)新技術(shù)建成了完善的供熱系統(tǒng)網(wǎng)絡安全防護體系，其研發(fā)的安全防護體系產(chǎn)品技術(shù)指標達到了國內(nèi)先進水平。

本方案通過對供熱公司供熱管網(wǎng)控制系統(tǒng)的網(wǎng)絡架構(gòu)、邊界及系統(tǒng)風險進行明確，對其面臨的網(wǎng)絡安全風險進行研究，依據(jù)等級保護要求，就現(xiàn)有控制系統(tǒng)的網(wǎng)絡安全問題，提出了針對性的安全防護解決方案，并從區(qū)域隔離、接入雙向認證、網(wǎng)絡通信鏈路防護、軟件系統(tǒng)安全、集中監(jiān)管、主動防護等方面出發(fā)，構(gòu)建了供熱控制系統(tǒng)網(wǎng)絡安全縱深防御體系，確保了終端和主站之間的通信鏈路安全，保障了終端和主站之間傳輸數(shù)據(jù)的保密性和完整性，同時實現(xiàn)了主站和終端之間的雙向身份鑒別。本方案重點防范了各種主動攻擊對系統(tǒng)的惡意破壞以及其它非法操作，防止了由此導致的供熱管網(wǎng)系統(tǒng)事故，確保了供熱公司供熱系統(tǒng)的安全運行，具有很強的現(xiàn)實需求、廣闊的應用前景和較好的示范作用。

《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊（第九輯）》