★北京网御星云信息技术有限公司

1 项目概况

1.1 项目背景

在“两化”融合的行业发展需求下，燃气公司除了ERP、CRM以及OA等多数企业使用的经营管理类信息系统外，还建立了大量的符合自身需求的生产运营类的系统，包括SCADA系统、生产调度系统、GIS系统以及其他生产运营相关的工控系统等。当前燃气企业正在向“智能管网”的方向迈进，对SCADA系统的依赖更加严重。

当前，国家对工业控制系统的通用性与开放性提出了更高的要求。燃气行业未来工业控制系统面临的安全威胁也会越来越多。燃气作为国家关键基础设施之一，特别是随着监管侧的相关法律法规的出台，工控网络安全建设需求愈发迫切。

1.2 项目简介

本方案整体思路是建立ICS的全生命周期的安全防护，即在系统的规划设计、建设实施、运行维护、废弃各阶段进行安全防护。

本方案总体防护思路如图1所示。首先对整个燃气ICS进行全面风险评估，掌握目前ICS风险现状；其次对ICS进行合理的安全域划分，在区域之间进行边界隔离，实现安全域之间的访问控制，并根据相关标准，在不同区域设置相应的监测、防护策略和技术措施，保证安全区域内部安全；最后对整个ICS进行统一安全呈现，将各个防护点组成一个全面的防护体系，保障整个ICS安全稳定运行。

图1 总体防护思路

1.3 项目目标

本项目整体防护目标的设计充分参考了国内外相关工控安全标准和成熟安全模型，并结合了行业工控系统的业务特点和安全需求。同时，按照生产优先的原则，以保障工控系统生产任务正常运行为基本出发点，确保方案中的所有安全防护措施的部署不会对正常工业生产构成影响，并充分考虑了他们和工控系统、网络和软硬件设备之间的兼容性。

本项目预期达成以下目标：

燃气SCADA系统信息安全技术体系规划结合燃气信息系统现状、安全需求和业务发展实际需要，分为网络安全、主机安全、应用安全、数据安全、基础设施5个层面。

（1）网络安全：采用工业防火墙实现网络安全域划分、工控网与办公网络的技术隔离，防御外部威胁的侵入，形成从内到外的防护体系。

图2 总体部署方案

（2）主机安全：采用工业控制系统终端安全管理平台统一管控工作站和服务器，实现补丁分发、病毒防护及策略定制，发现系统存在的漏洞和风险，降低终端维护和管理工作量，阻止非法程序和未经授权软件运行，保障工作站和服务器主机全生命周期的安全。

（3）应用安全：采用工控异常监测系统对燃气SCADA系统工控网络中传输的数据进行实时监测、记录和审计，及时发现网络违规操作和异常行为，实现事前部署、事中监控、事后追溯。

（4）数据安全：燃气SCADA系统调度中心与场站之间通过工业防火墙VPN技术提供安全访问通道，解决工控网络数据传输通道加密的问题。

（5）基础设施：采用工控统一安全管理平台采集、监控燃气SCADA系统中的IFIX服务器、中心数据库、前置机、SCADA工作站、场站无人值守操作站以及安全设备的可用性，并对其日志信息进行统一收集、管理和分析。

2 项目实施

2.1 防护方案

2.1.1安全域规划

本方案采取按功能分层的方式对燃气SCADA系统进行分析和安全设计，并根据其应用、数据、用户及特定接入的不同安全需求由下至上划分出四层架构，具体如图3所示。

图3 SCADA系统网络架构

依据安全域划分原则，同一安全域拥有相同的安全等级和属性，域内是相互信任的，安全风险主要来自不同的安全域互访，需要加强安全域边界的安全防护。区域之间依据业务及安全的需要配置安全策略，有效实现信息系统合理安全域划分。具体规划如图4所示。

图4 安全域规划

2.1.2 场站终端安全防护

将导轨式工业防火墙部署于场站PLC/RTU与上联交换机之间，通过工业防火墙特有的应用协议分析功能和业务需求指令配置功能，保证关键链路只传递业务必要信息，避免病毒和病毒的相互感染，更重要的是保证生产指令正确、可靠、及时地传递。具体规划如图5所示。

图5 终端安全防护图

实现效果：

（1）基础功能：具备基础防火墙功能，包括基于传统五元组、协议、资产、时间等多元组一体化访问控制；支持透明、路由、混合模式部署；设备内置多种工业防护模型，并可以自定义防护规则。

（2）工业DPI：支持多种工业协议深度解析，包括OPC、Modbus/TCP、Modbus/RTU、Ethernet/IP、IEC104和EIP等协议，可以做到指令级访问控制。

（3）工业IPS：预置工控系统攻击事件库，全面提升工业网络安全防护能力；基于自然语言描述的可扩展规则引擎，支持自定义报文解析，具备极佳的安全防护扩展能力。

（4）流量自学习：流量智能学习，自动推荐安全策略帮助管理员轻松运维；流量可视化，让管理员洞悉工业网络情况。

（5）集中管理：支持工业防火墙的大规模部署，全网策略统一下发，设备情况统一展现，日志告警集中显示。

（6）日志审计：支持设备管理日志和系统日志的记录和外发。

2.1.3 调度中心检测审计

在燃气调度中心SCADA安全域接入层交换机部署工业异常检测系统，并配置镜像端口对数据流实施抓取和分析，监控所有流经主控系统的网络流量和访问行为，对异常流量和行为实时监控和报警。在此基础上增加安全审计产品，可以更好地对入侵和安全事件进行关联和管理，并采取短信、邮件等形式的告警。

部署专业审计设备（如图6所示），对数据库操作及日志记录进行安全审计。通过将SCADA系统所产生的运行日志和操作日志写入关系数据库中，对关系数据库日志记录表进行审计。

图6 调度中心检测审计部署

审计设备对日志记录的审计包含日期和时间、用户、事件类型、事件操作结果等审计记录，审计设备提供审计记录导出功能，将定期导出审计记录进行备份保存。审计设备将与系统统一时钟源进行同步，确保审计记录时间的正确性。

实现效果：

（1）通用网络入侵检测：对采用标准以太网的信息网络，检测已知的各种木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDOS、扫描探测、欺骗劫持、网站挂马等。

（2）工控语言专项解读：支持Modbus协议、IEC-60870-104协议、BACnet协议、DNP3协议、Modicon协议、NiagaraFox协议、SiemensS7协议等工控协议的深度解析。

（3）工控网络特有检测策略：通过对工控语言的解读，研究其中各种入侵途径，从而形成特有的工控网络检测策略，并内置在产品中。

（4）利用工控漏洞的入侵行为检测：支持利用已知工控设备漏洞的入侵攻击行为检测，支持利用西门子、罗克韦尔等厂商设备漏洞的入侵攻击行为检测。

（5）网络伪造报文攻击检测：可发现恶意构造的异常报文、畸形报文。

（6）可定制的工控网络安全异常检测：产品开放其灵活、强大的定制检测能力，可针对专用工控网络的业务操作数据进行梳理，总结出相应的业务白名单，进而制定出有效的安全异常检测规则，实现具有用户特色的专属检测方式。

2.1.4 操作站安全防护

工控终端安全管理系统中心服务器部署在SCADA安全域内，方便进行管理，更有利于安全接入管理；客户端部署在调度中心和站控的操作员站、工程师站、远程访问SCADA系统的各个终端，部署方式可以采用登录WEB页面下载安装和电子邮件分发客户端相结合的方法。

工控终端安全管理系统中心负责燃气SCADA区域终端的管理，负责全网各业务系统终端计算机的信息收集与策略下发，实现对终端计算机的管理，并在服务器上配置补丁系统，将补丁文件的存贮、发放和管理集中在服务器进行。负责对各终端计算机进行查看，并进行策略制定、下发。

SCADA系统终端安装客户端程序，负责向服务器上报资产、行为、补丁等信息，同时从服务器接收策略，并执行。

图7 操作站安全防护部署

实现效果：

以燃气调度中心内SCADA系统服务区及终端计算机为管理对象，通过传统桌面管理、终端数据防泄密、终端防病毒三大模块形成全面终端安全解决方案，提升内网安全防护能力和合规管理水平；构建“不可信终端进不来”“入网终端管得住”“敏感数据出不去”的内网终端安全管理体系，逐渐形成桌面管理、数据防泄密、终端防病毒三位一体的终端安全管控产品新业态。

（1）终端管理一体化：桌面管理、数据防泄密、终端防病毒三功能合一，一个客户端解决终端安全管理的所有问题，减轻用户桌面压力。

（2）全面资产管理：对终端资产全生命周期进行管理，提供终端操作系统漏洞检测和修复、终端平台环境规范以及远程支持和维护等全方位的终端运维管理。

（3）精细化安全防护：天珣客户端内置强大的主机防火墙引擎，采用访问控制、流量控制、ARP欺骗控制、网络行为模式控制、非法外联控制等手段，实现针对计算机终端的威胁主动防御和网络行为控制，从而保证计算机终端双向访问安全、行为受控。

（4）规范终端行为：从终端审计、移动存储管理、安全基线设定等角度，提供全方位的终端合规管理功能，从规范终端用户行为出发，封堵终端违规的漏洞，监控和规范终端用户行为，全面提升终端安全管理水平。

（5）敏感数据保护：从让用户了解内网敏感数据的角度出发，到发现敏感数据，监控数据流动，检测泄密风险并在发生泄密行为时及之后进行相应的阻止和审计，保证泄密事件发生前、中、后都能有效地为用户提供强有力的技术支撑。

（6）防病毒：集成经过权威防病毒机构认证的终端防病毒引擎，保证内网每一个终端节点都处于杀毒软件的实时保护中。

2.1.5两网隔离

在燃气调度中心SCADA安全域单独规划，使其拥有独立的VM交换机，在安全域之间使用工控网闸进行安全隔离。对SCADA安全域内的服务器等工控应用进行安全隔离防护，避免SCADA域外的安全风险入侵SCADA服务器。工控网闸在SCADA域与非SCADA域之间进行安全隔离，监视和控制区域边界通信，拒绝所有非必要的网络数据流，允许例外网络数据流，识别边界入侵行为并有效阻断。具体两网隔离部署如图8所示。

图8 两网隔离部署

实现功能：

（1）OPC应用数据传输：支持DCS/SCADA网络与管理网络之间的OPC应用数据的传输；支持协议格式检查及内容过滤；支持同步、异步监测数据的传输；支持高安全的自动协商动态端口通讯机制；支持情景模式，能够设置OPC工控应用允许通信的时间；支持端口访问控制。

（2）数据库访问：实现对多种（如MySql、SqlServer、Oracle、DB2、Sybase）主流数据库系统的安全访问；支持SQLServer和Oracle数据库SQL语句过滤功能；支持实时数据库的访问与数据传输。

（3）数据库同步：支持Oracle、SQLServer、Sybase、Db2等主流数据库间单向和双向同步；支持同构、异构同步；支持一对多、多对一同步；支持字段级的同步，具有条件同步等多种同步策略；支持详细的日志审计和报警功能；支持病毒检测。

（4）文件同步：实现文件的安全交换，支持NFS、SMBFS、SAMBA等文件系统；支持跨系统平台文件同步；支持有客户端和无客户端方式；可实现单向和双向同步；支持多种文件同步控制；支持内容过滤和病毒检测。

（5）FTP访问：实现安全的FTP访问，支持对用户、命令、文件类型等细粒度访问控制；支持动态建立数据通道，并可对访问端口号自由定义；支持中文文件名的过滤控制等多种功能。

（6）定制访问：实现特定TCP、UDP协议的数据隔离交换，可合作定制开发针对特定协议的安全检测，实现如黑白名单控制、关键字过滤等；支持对访问源地址的控制；透明模式支持时段控制策略，时间模式可以是一次性或周循环。

2.1.6 工控信息安全集中管理

工控信息安全管理系统部署于燃气调度中心SCADA安全域，主要由安全信息管理中心、数据中心和事件采集代理三大组件构成，如图9所示。

图9 工控信息安全集中管理部署

管理服务中心在部署时可以分为两部分：服务器与功能模块。资产管理子系统、认证管理子系统、报表管理子系统和服务器层组件（含WEB门户服务器）需统一安装在一台服务器上，而各功能模块可以根据用户的实际网络规模与主机性能由用户确定安装主机。在安装时，所有的功能模块均可以选择单独安装，或与服务器共用一台主机，最大限度地保证部署的灵活性与运行效率。

根据等级保护中提出的“进行集中的安全管理”和“系统运维管理”要求，需要实现主要功能如下：

（1）安全风险管理；（2）风险评估；（3）风险分析；（4）风险分级；（5）信息资产管理。

安全管理平台应能实现对信息系统内所有的IT资产进行集中统一的管理，包括资产的特征、分类等属性；但同时资产信息管理并不是为了简单的统计，而是在统计的基础上来发现资产的安全状况，并纳入到平台的数据库中，为其它安全管理模块提供信息接口。

（1）系统脆弱性管理：各种重要信息资产存在的脆弱性是影响信息系统网络安全的重要潜在风险，为了了解其安全脆弱性状况，安全管理平台应提供脆弱性管理功能，实现对重要信息资产安全脆弱性的收集和管理。该模块收集和管理的脆弱性信息主要包括两类：通过远程安全扫描可以获得的安全脆弱性信息和通过人工评估的方式收集的脆弱性信息。在定期收集到这些脆弱性信息后可以利用脆弱性管理系统进行导入和处理，以利于安全管理员对脆弱性信息的查询、呈现并采取相应的措施进行处理。

（2）安全预警管理：安全管理平台应能够管理并实时呈现风险评估中心所提供的各类安全威胁、安全风险、安全态势、安全隐患等信息；能够在安全管理平台统一界面上给出网络安全的趋势分析报表，分析的内容包括漏洞的分布范围、受影响的系统情况、可能的严重程度等；能够根据全网安全事件的监控情况，在安全管理平台统一界面上给出现网中主要的攻击对象分布、攻击类型分布等情况分析，指导全网做好有效的防范工作，防止类似事件的发生；具备接收风险数据的接口，能够在安全管理平台统一界面上预先定义数据格式，自动生成预警信息。

（3）安全响应管理：安全管理平台应能够提供响应流程和响应方式的管理，能够提供专家系统和知识库的支持，并能够针对各类用户所关心的安全问题进行响应。响应方式包括从专家系统调用相关脚本自动进行漏洞修补、防火墙配置下发、网络设备端口关闭等操作，从知识库自动/手动地进行解决方案的匹配，然后通过自动或手动产生工单，通知相关管理员进行处理，并对工单的生命周期进行监控。此外还包括利用短信、E-mail等方式进行通知等。

（4）网络安全管理：安全管理平台应能够实现对网络设备的集中管理，能够实现网络设备的升级、网络设备工作状态监管、网络流量监管、网络设备漏洞分析与加固等功能，同时具备对网络设备访问日志的统一收集和分析功能。

（5）安全事件管理：安全事件管理是一种实时的、动态的管理模型，通过关联分析来自不同地点、不同层次、不同类型的信息事件，帮助用户系统管理人员发现真正关注的安全威胁，从而可以准确、实时地评估当前的安全态势和风险，并根据预先制定策略做出快速的响应，有效应对出现的各类安全事件。

3 案例亮点及创新性

（1）全面提升了燃气工控系统网络安全防护管理的合规性，符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求；

（2）全面提升了智慧炼化工控网络的整体安全性，确保了设备、系统、网络的可靠性、稳定性和安全性，为保障民生保驾护航；

（3）全面提升了智慧炼化业务人员的安全水平和安全意识，提升了安全管理水平、工作效率和管理效率。

摘自《自动化博览》2023年3月刊