★于海躍，周升寶，白小愚，李顯松杭州安恒信息技術(shù)股份有限公司

★周亞超上海安恒時代信息技術(shù)有限公司

關(guān)鍵詞：DCS生產(chǎn)控制系統(tǒng)；工業(yè)控制系統(tǒng)安全

1　項目概況

1.1　項目背景

國家互聯(lián)網(wǎng)信息辦公室發(fā)布的2020年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告指出，工業(yè)控制系統(tǒng)互聯(lián)網(wǎng)側(cè)暴露的工業(yè)設(shè)備有4630臺，涉及國內(nèi)外35家廠商的可編程邏輯控制器、智能樓宇、數(shù)據(jù)采集等47種設(shè)備類型。監(jiān)測發(fā)現(xiàn)重點行業(yè)暴露的聯(lián)網(wǎng)監(jiān)控管理系統(tǒng)有480套，其中石油天然氣有118套。暴露在互聯(lián)網(wǎng)的工業(yè)控制系統(tǒng)一旦被攻擊，將嚴(yán)重威脅生產(chǎn)系統(tǒng)的安全。上半年境內(nèi)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)持續(xù)遭受來自境外的掃描嗅探日均超過2萬次，嗅探行為主要來自于美國、英國、德國等境外國家。嗅探目標(biāo)涉及境內(nèi)能源、制造、通信等重點行業(yè)的聯(lián)網(wǎng)工業(yè)控制設(shè)備和系統(tǒng)，大量關(guān)鍵信息基礎(chǔ)設(shè)施及其聯(lián)網(wǎng)控制系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)信息被境外嗅探，給我國網(wǎng)絡(luò)空間安全帶來隱患。

某集團(tuán)公司儀表計量檢測中心工業(yè)生產(chǎn)控制系統(tǒng)中的兩條生產(chǎn)線的DCS控制系統(tǒng)，目前均未采取安全防護(hù)措施。在巨大利益的驅(qū)使下，DCS生產(chǎn)控制系統(tǒng)已成為了被研究和攻擊的重點目標(biāo)。利益集團(tuán)千方百計采取針對性的手段來突破當(dāng)前已有防護(hù)，而且當(dāng)前DCS控制系統(tǒng)與多廠商多設(shè)備對接，系統(tǒng)設(shè)備分布在各個區(qū)域，情況非常復(fù)雜，現(xiàn)有的防護(hù)措施難以應(yīng)對越來越復(fù)雜的攻擊行為，急需全面提升DCS生產(chǎn)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)等級。

1.2　項目簡介

安恒信息結(jié)合客戶集團(tuán)公司的網(wǎng)絡(luò)安全現(xiàn)狀，確定安全建設(shè)需求，加強(qiáng)“監(jiān)測預(yù)警系統(tǒng)”“應(yīng)急響應(yīng)手段”“大數(shù)據(jù)安全平臺”“信息系統(tǒng)等級保護(hù)建設(shè)”的推進(jìn)工作，全面提升集團(tuán)的工控網(wǎng)絡(luò)安全保護(hù)及整網(wǎng)安全能力，并建立一個完善的信息安全預(yù)防、監(jiān)測、防御和響應(yīng)的縱深防御的安全體系。

1.3　項目目標(biāo)

根據(jù)集團(tuán)網(wǎng)絡(luò)安全所面臨的風(fēng)險及特點，為保障集團(tuán)生產(chǎn)線安全穩(wěn)定運行，本解決方案主要達(dá)成以下幾方面目標(biāo)：

（1）管理人員對目前內(nèi)網(wǎng)所存在風(fēng)險能夠精確掌握。

（2）新上線安全設(shè)備及軟件與現(xiàn)有生產(chǎn)環(huán)境兼容，在不影響正常業(yè)務(wù)的情況下，全面保障集團(tuán)生產(chǎn)運行。

（3）對生產(chǎn)網(wǎng)（車間接入）和辦公網(wǎng)邊界進(jìn)行隔離，確保辦公網(wǎng)對生產(chǎn)網(wǎng)訪問的安全性。

（4）技術(shù)人員對生產(chǎn)網(wǎng)中入侵、異常行為的及時發(fā)現(xiàn)，對現(xiàn)場設(shè)備進(jìn)行深度防護(hù)。

（5）管理人員、技術(shù)人員對整個工控系統(tǒng)各類設(shè)備運行狀況、安全狀況統(tǒng)一管理。

2　項目實施

依據(jù)等保2.0最新要求和集團(tuán)工業(yè)控制系統(tǒng)安全防護(hù)策略，方案整體拓?fù)鋱D如圖1所示。

圖1 方案整體拓?fù)鋱D

2.1　總體設(shè)計思路

根據(jù)前期與客戶的交流，本次方案整體按照等保要求，從建立分區(qū)分域控制體系和構(gòu)建縱深防御體系兩個方面出發(fā)，全面建設(shè)集團(tuán)儀表計量檢測中心兩條生產(chǎn)線DCS控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系，在滿足合規(guī)的同時，達(dá)到整體網(wǎng)絡(luò)安全態(tài)勢可視的目的。

（1）構(gòu)建分域的控制體系方案在總體架構(gòu)上將按照區(qū)域邊界保護(hù)思路進(jìn)行，儀表計量檢測中心工控系統(tǒng)和外部系統(tǒng)從結(jié)構(gòu)上劃分為不同的安全區(qū)域，以安全區(qū)域為單位進(jìn)行安全防御技術(shù)措施的建設(shè)，從而構(gòu)成了分域的安全控制體系。（2）構(gòu)建縱深的防御體系方案包括技術(shù)和管理兩個部分，集團(tuán)工控系統(tǒng)圍繞著安全管理中心，從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境三個維度進(jìn)行安全技術(shù)和措施的設(shè)計，保證業(yè)務(wù)應(yīng)用的可用性、完整性和保密性保護(hù)；通過集中管理，可對安全設(shè)備進(jìn)行聯(lián)動，對確認(rèn)的重大威脅或攻擊可進(jìn)行安全聯(lián)動防護(hù)，充分考慮各種技術(shù)的組合和功能的互補(bǔ)性，提供多重安全措施的綜合防護(hù)能力，從外到內(nèi)形成一個縱深的安全防御體系，保障系統(tǒng)整體的安全保護(hù)能力。

（3）保證一致的安全強(qiáng)度集團(tuán)工控安全等級保護(hù)設(shè)計方案將采用分級的辦法，對于同一安全等級系統(tǒng)采取強(qiáng)度一致的安全措施，并采取統(tǒng)一的防護(hù)策略，使各安全措施在作用和功能上相互補(bǔ)充，形成動態(tài)的防護(hù)體系。

2.2　詳細(xì)方案設(shè)計

2.2.1　安全通信網(wǎng)絡(luò)

工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段；工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點劃分為不同安全域，安全域之間應(yīng)采用技術(shù)隔離手段；涉及實時控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)，應(yīng)使用獨立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。

在工業(yè)控制系統(tǒng)內(nèi)使用廣域網(wǎng)進(jìn)行控制指令或相關(guān)數(shù)據(jù)交換的應(yīng)采用加密認(rèn)證技術(shù)手段實現(xiàn)身份認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸。

工業(yè)防火墻：集團(tuán)現(xiàn)網(wǎng)生產(chǎn)線有兩條鏈路，需要分別在每條鏈路生產(chǎn)網(wǎng)服務(wù)區(qū)的邊界部署工業(yè)防火墻，實現(xiàn)生產(chǎn)服務(wù)區(qū)與各個工廠之間的訪問控制；利用工業(yè)防火墻通過深度解析OPC、Modbus、S7、Ethernet/IP（CIP）等數(shù)十種工控協(xié)議，建立工業(yè)網(wǎng)絡(luò)通信“電子?xùn)艡凇保柚谷魏蝸碜园踩珔^(qū)域外的非授權(quán)訪問，有效抑制病毒、木馬在工控網(wǎng)絡(luò)中的傳播和擴(kuò)散，防護(hù)針對SCADA、PLC、DCS等重要控制系統(tǒng)的各類已知、未知的惡意攻擊和破壞行為。

2.2.2　安全區(qū)域邊界

應(yīng)在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署訪問控制設(shè)備，配置訪問控制策略，禁止任何穿越區(qū)域邊界的通用網(wǎng)絡(luò)服務(wù)；應(yīng)在工業(yè)控制系統(tǒng)內(nèi)安全域和安全域之間的邊界防護(hù)機(jī)制失效時，及時進(jìn)行報警。本次方案設(shè)計在工控系統(tǒng)邊界使用工業(yè)控制系統(tǒng)專用的工控防火墻進(jìn)行工控協(xié)議的安全防護(hù)，在傳統(tǒng)IT網(wǎng)絡(luò)邊界區(qū)使用下一代防火墻為傳統(tǒng)IT網(wǎng)絡(luò)協(xié)議提供安全防護(hù)。

下一代防火墻：為保障傳統(tǒng)IT網(wǎng)絡(luò)與工控系統(tǒng)安全域的安全隔離，加強(qiáng)縱深防護(hù)，需要在安全管理區(qū)部署下一代防火墻，梳理各業(yè)務(wù)流向，使用下一代防火墻對此邊界的入侵行為進(jìn)行安全防護(hù)。

工業(yè)防火墻：在OPC服務(wù)器和數(shù)采專網(wǎng)邊界部署一臺工控防火墻，使用工業(yè)防火墻將工業(yè)網(wǎng)絡(luò)內(nèi)部安全域間進(jìn)行邊界劃分，并配置訪問控制策略，利用工業(yè)防火墻的多業(yè)務(wù)端口實現(xiàn)橫向隔離，只允許特定設(shè)備的特定協(xié)議通過（如OPC、Modbus等）。工業(yè)防火墻具有bypass功能，確保生產(chǎn)業(yè)務(wù)的連續(xù)性。

2.2.3　安全計算環(huán)境

安全計算環(huán)境為整個工業(yè)控制系統(tǒng)提供安全的運行環(huán)境。要保障整個計算環(huán)境的安全，需要部署工控漏洞掃描系統(tǒng)對工業(yè)控制系統(tǒng)計算環(huán)境中的漏洞進(jìn)行非侵入式探測，及時發(fā)現(xiàn)計算環(huán)境的安全隱患。同時部署一臺工業(yè)安全監(jiān)測審計平臺，對網(wǎng)絡(luò)中的工控協(xié)議進(jìn)行安全監(jiān)測。

工控漏洞掃描系統(tǒng)：定期對生產(chǎn)網(wǎng)絡(luò)內(nèi)的終端設(shè)備進(jìn)行漏洞發(fā)現(xiàn)，工控漏掃產(chǎn)品集資產(chǎn)探測識別、漏洞掃描、任務(wù)管理以及報表分析展示等功能于一體；擁有豐富的漏洞信息庫，支持對傳統(tǒng)IT系統(tǒng)（包括：主流操作系統(tǒng)、應(yīng)用服務(wù)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬化系統(tǒng)）的已知漏洞掃描與配置核查，以及對工業(yè)控制系統(tǒng)的已知漏洞識別檢測；適用于各種企業(yè)的工業(yè)控制網(wǎng)絡(luò)環(huán)境中，能夠讓工控系統(tǒng)管理者及時發(fā)現(xiàn)安全漏洞，全面掌握當(dāng)前工業(yè)控制網(wǎng)絡(luò)及系統(tǒng)中的安全風(fēng)險；協(xié)議管理者進(jìn)行漏洞修復(fù)，為提高安全建設(shè)提供直接依據(jù)，從而全面提升整理安全性。

工業(yè)安全監(jiān)測審計平臺：在工控服務(wù)器區(qū)核心交換機(jī)上部署工業(yè)安全監(jiān)測審計平臺，實時監(jiān)測生產(chǎn)過程中產(chǎn)生的所有流量，識別多種工控協(xié)議，實現(xiàn)對工業(yè)控制系統(tǒng)內(nèi)的異常流量、異常行為、異常操作、非法接入等安全風(fēng)險的實時告警。

2.2.4　安全管理中心

等保2.0對工控系統(tǒng)的要求，除了要滿足通用等保安全防護(hù)要求，還需要滿足工控擴(kuò)展要求，同時等保2.0對三級系統(tǒng)安全建設(shè)新增了對安全管理中心的要求，需要再劃分出安全管理域，并將安全設(shè)備審計集中進(jìn)行管理。

工業(yè)安全管理平臺：可以通過專用的安全管理通道，對各安全域的工業(yè)防火墻、安全監(jiān)測審計等安全設(shè)備進(jìn)行集中管控、狀態(tài)監(jiān)測、策略配置下發(fā)等。工業(yè)安全管理平臺可及時發(fā)現(xiàn)、報告并處理工業(yè)控制系統(tǒng)中的網(wǎng)絡(luò)攻擊或異常行為，通過統(tǒng)一調(diào)度安全預(yù)警、安全監(jiān)測、安全防護(hù)和應(yīng)急處置，全方位保障工業(yè)控制系統(tǒng)信息安全。

綜合日志審計系統(tǒng)：集中收集分散在各個安全域探針的日志、流量等信息進(jìn)行信息匯總和集中分析；支持多種設(shè)備型號的日志收集，覆蓋幾乎所有的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、應(yīng)用及數(shù)據(jù)庫等，通過多維度、跨設(shè)備、細(xì)粒度的關(guān)聯(lián)分析，打破信息孤島，自動進(jìn)行日志審計，快速發(fā)現(xiàn)潛在安全事件。

運維審計與風(fēng)險控制系統(tǒng)（堡壘機(jī)）：通過賬號管理、身份認(rèn)證、自動改密、資源授權(quán)、實時阻斷、同步監(jiān)控、審計回放、自動化運維流程管理等功能，增強(qiáng)運維管理的安全性。

工業(yè)安全態(tài)勢感知平臺：工業(yè)控制系統(tǒng)主要部署于企業(yè)生產(chǎn)網(wǎng)，與互聯(lián)網(wǎng)嚴(yán)格隔離，相關(guān)流量與日志信息無法及時獲取。工業(yè)企業(yè)生產(chǎn)網(wǎng)的相關(guān)流量和日志信息是工控安全監(jiān)測的重點區(qū)域，如出現(xiàn)安全隱患或安全事件，可能造成極為嚴(yán)重的后果。為此，有必要建設(shè)一套覆蓋工業(yè)企業(yè)的安全態(tài)勢感知平臺，為工業(yè)控制系統(tǒng)安全監(jiān)測與預(yù)警體系提供技術(shù)支撐。在工業(yè)場景中，對數(shù)據(jù)的實時性要求很高，數(shù)據(jù)的價值隨著時間的流逝而降低。工業(yè)安全監(jiān)測分析能夠?qū)φ诎l(fā)生的事件進(jìn)行實時分析，及時發(fā)現(xiàn)最可疑的安全威脅。

3　案例亮點及創(chuàng)新性

3.1　結(jié)合威脅情報為安全事件提供溯源分析和問題定位

通過基于大數(shù)據(jù)技術(shù)平臺的企業(yè)級網(wǎng)絡(luò)安全監(jiān)控平臺的建設(shè)，在平臺完成以威脅情報中心作為信息源，通過收集內(nèi)部與外部威脅信息，以及與第三方情報提供商合作，形成企業(yè)自主的情報中心，主動掌握攻擊方最新的活動及攻擊手段。在監(jiān)測告警環(huán)節(jié)啟動應(yīng)急響應(yīng)流程，全程跟蹤安全事件及漏洞，將被動挨打轉(zhuǎn)化為主動出擊。依托強(qiáng)大的安全大數(shù)據(jù)處理能力，對公司全網(wǎng)進(jìn)行快速排查與分析，打造主動縱深防御的機(jī)制，第一時間掌握企業(yè)安全態(tài)勢，做到全局把控，避免出現(xiàn)攻擊事件突發(fā)情況的產(chǎn)生，從企業(yè)內(nèi)部根本性解決安全隱患。

3.2　提高了技術(shù)能力和安全意識

在平臺運營過程中，將技術(shù)創(chuàng)新貫穿到業(yè)務(wù)系統(tǒng)的全生命周期中，形成全生命周期的安全檢測機(jī)制；讓各成員企業(yè)最了解自己業(yè)務(wù)的技術(shù)人員主動去檢測自己的業(yè)務(wù)系統(tǒng)，定期對相應(yīng)的人員進(jìn)行評優(yōu)，給予相應(yīng)獎勵，充分調(diào)動了大家的積極性，提高了安全意識與安全技能。

3.3　滿足了工控安全等保合規(guī)性

目前行業(yè)沒有完善的工控安全體系建設(shè)，并且企業(yè)也沒有相應(yīng)的工控安全建設(shè)規(guī)范文件。在當(dāng)前國家政策的指引下，等保的合規(guī)性事關(guān)重要，首先必須滿足等保的最基本相關(guān)要求，然后在這個要求的基礎(chǔ)上再從提高企業(yè)自身的安全運營能力上進(jìn)一步去提升公司的工控安全建設(shè)。方案中應(yīng)用具有免疫特征的安全防護(hù)體系、機(jī)制和關(guān)鍵技術(shù)在保證合規(guī)性建設(shè)的同時，可以持續(xù)解決新技術(shù)、新應(yīng)用所帶來的安全問題。

3.4　提高了安全運維人員的工作效率

（1）通過考核管理模塊，創(chuàng)建考核任務(wù)，可以對各個廠或者相關(guān)人員進(jìn)行整體的安全評價，方便安全運維人員實時掌握各廠或者人員安全工作開展的情況；

（2）安全運維人員可以一鍵生成安全運營及分析報告，以圖形化形式對報告進(jìn)行展現(xiàn)，解放安全運維人員以往需要人工編寫分析運營報告的工作，并且當(dāng)發(fā)生安全事件時，可以提供詳細(xì)的安全事件分析溯源取證信息及專家處置建議指導(dǎo)，幫助企業(yè)洞察網(wǎng)絡(luò)安全態(tài)勢；

（3）“一張卡片看清風(fēng)險，一頁報告看清始末”，可以為企業(yè)安全運維人員展示企業(yè)基本信息以及發(fā)生的安全事件和處置的狀態(tài)，以及系統(tǒng)和資產(chǎn)的安全狀態(tài)、企業(yè)面臨的安全風(fēng)險等，方便安全運維人員及時掌握整個企業(yè)的安全狀況；

（4）方案中平臺提供在線安全培訓(xùn)模塊，可以讓相關(guān)人員及時地學(xué)習(xí)相關(guān)的網(wǎng)絡(luò)安全知識；

（5）可以實時掌握資產(chǎn)訪問流量、訪問次數(shù)變化趨勢、訪問來源、資產(chǎn)的漏洞信息等，方便安全運維人員對整個企業(yè)的資產(chǎn)進(jìn)行安全管理；

（6）平臺可實現(xiàn)安全自動化編排響應(yīng)（自動化處置相關(guān)的事件），將安全運維人員從分析工作中解放出來，可以流程化地完成事件的管理，提高了協(xié)作溝通能力。

作者簡介

于海躍（1992），男，黑龍江鶴崗人，學(xué)士，現(xiàn)就職于杭州安恒信息技術(shù)股份有限公司，主要從事工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全方面的研究。

周升寶（1982-），男，天津人，中級工程師，學(xué)士，現(xiàn)就職于杭州安恒信息技術(shù)股份有限公司，主要從事工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全、工業(yè)自動化方面的研究。

白小愚（1984-），男，北京人，學(xué)士，現(xiàn)就職于杭州安恒信息技術(shù)股份有限公司，主要從事工業(yè)互聯(lián)網(wǎng)威脅評估與態(tài)勢感知技術(shù)方面的研究。

李顯松（1989-），男，重慶人，學(xué)士，現(xiàn)就職于杭州安恒信息技術(shù)股份有限公司，主要從事工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全以及功能安全方面的研究。

周亞超（1985-），女，河北唐山人，高級工程師，博士，現(xiàn)就職于上海安恒時代信息技術(shù)有限公司，主要從事網(wǎng)絡(luò)安全方面的研究。

摘自《自動化博覽》2024年1月刊