随着“工业4.0”、“中国制造2025”“互联网+”行动计划等战略的实施，网络经济的发展和智能社会快速推进，各种新业务形态大量涌现，中国制造业也在两化深度融合的基础上不断进行产业结构调整和升级转型，在给人们的生产生活带来了巨大变化的同时，其开放性、隐蔽性、跨地域性等特性，也使得网络空间存在巨大的安全隐患，安全问题日益突现、迅速放大，其一旦受到网络攻击，将会造成巨大经济损失和社会影响。加强工业互联网安全防护不仅涉及企业自身利益，更是确保工业互联网在各领域能够落地实施的前提，也是产业安全和国家安全的重要基础和保障。

本方案立足石油石化现状，以某油库工控安全加固建设为例，参考企业信息化建设实践经验，结合新技术发展，制定具备战略性、前瞻性、可落地性的工控系统安全防护方案。该方案可广泛应用于智能制造、能源、水利、医疗、电力等领域。本案中某油库通过工业互联网建设，实现了数字油库工控系统构建，最终建成了自动化、信息化、智能化的智慧能源运营体系。通过本方案实施，最终实现了某油库工控安全防护体系的整体建设。

本方案详细方案设计包括工控系统网络安全防护设计、工控系统主机防护与预警设计、服务器终端监测与响应（EDR）、身份认证系统设计。

1.工控系统网络安全防护设计

本方案针对某油库系统的特点，由内而外设计，与工控厂商结合，着眼于茁壮性的机制，从控制系统“自生长”出来的保护方案。具体如下所示：

安全覆盖该系统整个生命周期解决方案；

通过多种手段提高该系统的整体安全性；

源自该系统内部，并非外部补偿性措施；

监测与防御相结合，产品与服务相补充；

总体防护设计：

本方案为某油库工业控制网络提供了全方位的综合防御与保护，并且完整覆盖了工业控制系统整个生命周期。

在软件层面上, 该平台建立在机器智能学习引擎、深度数据包解析引擎和开放式特征匹配三大功能引擎之上，支持工控协议和工业以太网协议，同时适用于PLC、DCS、SCADA等现场环境，不仅具备多种工控网络协议数据的检查、过滤、报警、阻断功能，同时拥有基于工业漏洞库的黑名单入侵防御功能，和基于机器智能学习引擎的白名单主动防御功能、以及大规模分布式实时网络部署和更新等功能，并提供高度开放的平台开发工具包。

硬件层面上，该平台具有全封闭、无风扇、多电源冗余、硬件加密等特点，确保达到苛刻的可靠性和稳定性要求。

智能保护系统能够识别出网络中由于恶意入侵、系统故障、人员误操作所引起的异常控制行为和非法数据包，及时对其进行告警和阻断，并能为后续的安全威胁排查提供依据。

根据上述情况总体防护拓扑如下：

图：总防护示意图

区域安全隔离设计：

区域隔离：智能工业防火墙可以根据工业网络的区域划分，对每个区域进行数据保护，做到横向隔离，纵向保护的安全数据过滤隔离。通过访问控制实现网络的结构安全性，满足实际应用需求。支持Modbus/TCP，OPC，IEC104，DNP3，Profinet，MMS等众多工业协议深度包检测和智能白名单学习及规则部署。

智能工业防火墙除了支持自身安全管理外，同时支持安全监管平台的集中管理，形成“近可分流，远可联动”的整体工控网络安全解决方案，全方位保护工控网络安全，充分保障客户安全投入的价值。

图区域安全隔离部署示意图

1.1 网络监测审计

监测审计：采用监测审计系统对工业控制网络实现实时告警系统，通过特定的安全策略，快速识别出系统中存在的非法操作、异常事件、外部攻击并实时告警，提高了整个系统的监测预警能力有利于对每个目标的安全防护。

图监测审计部署示意图

1.2 控制器保护

控制器终端保护：保护系统为工业控制网络提供了底层及终端设备全方位的综合防御与保护，保护系统能够识别出网络中由于恶意入侵、系统故障、人员误操作所引起的异常控制行为和非法数据包，及时对其进行告警和阻断，并能为后续的安全威胁排查提供依据。

图控制器智能保护部署示意图

2.工控系统主机防护与预警设计

2.1总体设计思路

工控系统主机防护与预警设计包括三方面的内容：检测与预警、控制、管理。

监测与预警

通过工控上位机攻击行为跟踪分析、工控异常行为审计、工控安全态势感知及预计等功能实现工业控制系统的安全检测与预警，全天候全方位感知工控系统网络安全态势。掌握攻击发起的时间、地点、攻击方式、攻击路径和攻击目的/目标。

控制及防御

通过主动防御系统ICS-PDS对已知和未知威胁进行感知、跟踪、识别、控制和处理（清除恶意程序），使进入工业控制网络上位机的恶意程序得到清除处理，守住工业控制系统安全防御的最后一道防线。

管理

通过工业控制系统安全管理平台，对工业控制系统所部署的安全系统及所产生安全事件进行集中统一管理，建立集中统一安全管理策略及安全事件应急处置机制和流程。

2.2功能设计

2.2功能设计

主动防御系统由三大防御体系构成

图主动防御体系构成

对建立的事前、事中、事后防御体系的安全事件及攻击行为进行关联分析

具有六大子防御系统构成上位机防御体系

图主动防御安全保护模型

部署在上位机的ICS-PDS的防御引擎具备对未知和已知攻击进行实时对抗的能力；

主动防御系统具有安全检测及安全加固功能；

对恶意代码或恶意程序的处理提供系统自动处理与人工干预处理（即手动处理）两种模式。

3.0服务器终端检测与响应（EDR）

为保证终端计算机的安全，禁用所有USB设备，只允许使用鼠标键盘设备。

3.1端安全加固

对终端计算机的安全加固，可采取的措施有：补丁管理、防病毒软件监测、主机防火墙，上述措施均增强了终端计算机的安全性和健壮性。

3.2行为监控

对用户行为的监控，包括用户网络资源的进程监控、上网控制。

3.3终端配置管理

配置管理主要完成终端计算机的各种信息的收集和系统参数的配置。通过配置管理，IT管理人员可以准确掌握每台终端计算机的配置状况和运行参数，并批量地对终端计算机的运行参数进行远程修改。

3.4远程维护管理

远程维护就是依靠技术手段和工具，远程对终端计算机进行故障诊断、系统修复和日常维护等。

3.5软件分发管理

软件分发，支持分发任意类型软件，包括：程序生成安装包、MSI安装包、独立软件安装包、各类脚本、文档。同时还需支持在登录用户是普通用户权限（无安装权限）情况下，进行软件自动分发、安装。

3.6资产管理

系统自动登记终端计算机的硬件配置（包括CPU类型、主频、内存、硬盘、显示卡、网卡等等），并自动将终端计算机的操作系统、安装的软件、运行的程序和服务、系统日志、共享资源以及补丁、端口等信息统计汇总，可以按设备类型、部门等方法对设备进行分类管理，使得系统管理员能够轻松自如地管理着整个网络的硬件、软件资源，及时洞察系统配置的变动。

3.7网络管理

系统自动发现网络内所有网络设备（设备的IP地址），通过系统提供的智能学习功能，自动识别网络的物理拓扑结构，生成网络物理连接拓扑图。

3.8设备监控管理

系统自动登记受控终端的硬件配置（包括CPU、内存、硬盘、显示卡、网卡等等），当受控终端的硬件发生变动时能自动向安全管理核心系统发出报警信息；

 4.身份认证系统设计

身份管理平台包括统一身份管理、统一应用管理、集中账号管理、身份库查询API、身份库管理API、统一身份认证、统一权限管理、分级管理、安全审计与用户行为分析、分布式认证部署、系统自身安全保障。

通过与统一身份认证系统的集成，可以实现以下使用效果：

提高用户身份管理、应用系统帐号的管理效率，管理员可以在统一身份认证平台上对所有的应用系统进行集中的帐号管理。

通过与HR信息联动的用户全生命周期管理，从人员入职帐号自动开通到离职时自动注销及帐号的归档管理。

通过与应用系统的统一认证集成，用户使用手机安全令或UKey等强认证方式登录应用系统，整体上提升应用系统访问的安全性，最大程度降低用户名口令方式带来的安全隐患。

对于不同安全级别的应用系统及同一应用系统中的关键操作可以通过策略配置进行二次认证，保证系统访问的安全。

用户在所有平台的访问及关键操作都将被审计平台全部进行基于自然人的审计，并形成图形化展示报表。

可以快速的实现与其他应用系统的集成，更大范围内保护应用系统的使用安全。

统一身份认证管理平台的应用构架方案适用于企业多个应用系统的集中管理需求，可以真正实现一个实名用户永远只在企业中有一个唯一的身份及一套证明其身份的认证方式。采用此方案，真正的将原有对账户资源基本的管理及认证改变为以自然人为主体的安全认证管理模式。让用户无论是在互联网访问企业的邮件系统，或通过企业办公网络访问OA系统都采用相同的身份及认证方式。

5.结论

通过对于某油库的工控系统网络安全防护设计、工控系统主机防护与预警设计、服务器终端监测与响应（EDR）、身份认证系统设计，最终完成油库工控系统网络安全防护体系和应用系统宗盛防御体系建设。新建立的信息安全保障体系，可以为针对信息系统的各种攻击行为建立完善的防御和监管措施。其部署实施具有极有具有重要的意义和价值：

1.满足安全合规要求

使企业工控系统符合国家安全性政策法规，满足其工业网络安全的刚性需求。

2.提高油库安全防护性

为企业工控网络安全稳定运行提供了基础保障，实现病毒、木马等恶意程序的防护，可防范内外部人员攻击、软件后门利用等多种威胁，显著加强企业自身工控系统防范和预警感知能力，有效保障企业及国民经济的稳定发展。

3.优化资源配置

在满足合规要求的同时，利用业主本身现有资源，在有限资源条件下最大限度的提升安全防护水平。

4.树立标杆形成示范

针对工控系统的技术特点以及企业自身的业务特点，实现从管理到技术的完整覆盖，充分满足监管及未来业务发展需要，为能源类企业工控安全防护积累经验，起到良好的示范作用。

本方案可推广适用于SCADA、DCS、PCS、PLC等工业控制系统，可广泛应用于石油石化、天然气、电力、智能制造、水利、铁路、城市轨道交通、城市供水供气供热等工业控制系统中。本方案的布局实施，将为我国工业网络和基础设施网络安全防护能力的全面提升提供助力，为国家关键基础设施防护和网络安全防护体系建设贡献力量。