★于海跃，周升宝，白小愚，李显松杭州安恒信息技术股份有限公司

★周亚超上海安恒时代信息技术有限公司

关键词：DCS生产控制系统；工业控制系统安全

1　项目概况

1.1　项目背景

国家互联网信息办公室发布的2020年上半年我国互联网网络安全监测数据分析报告指出，工业控制系统互联网侧暴露的工业设备有4630台，涉及国内外35家厂商的可编程逻辑控制器、智能楼宇、数据采集等47种设备类型。监测发现重点行业暴露的联网监控管理系统有480套，其中石油天然气有118套。暴露在互联网的工业控制系统一旦被攻击，将严重威胁生产系统的安全。上半年境内工业控制系统的网络资产持续遭受来自境外的扫描嗅探日均超过2万次，嗅探行为主要来自于美国、英国、德国等境外国家。嗅探目标涉及境内能源、制造、通信等重点行业的联网工业控制设备和系统，大量关键信息基础设施及其联网控制系统的网络资产信息被境外嗅探，给我国网络空间安全带来隐患。

某集团公司仪表计量检测中心工业生产控制系统中的两条生产线的DCS控制系统，目前均未采取安全防护措施。在巨大利益的驱使下，DCS生产控制系统已成为了被研究和攻击的重点目标。利益集团千方百计采取针对性的手段来突破当前已有防护，而且当前DCS控制系统与多厂商多设备对接，系统设备分布在各个区域，情况非常复杂，现有的防护措施难以应对越来越复杂的攻击行为，急需全面提升DCS生产控制系统的网络安全防护等级。

1.2　项目简介

安恒信息结合客户集团公司的网络安全现状，确定安全建设需求，加强“监测预警系统”“应急响应手段”“大数据安全平台”“信息系统等级保护建设”的推进工作，全面提升集团的工控网络安全保护及整网安全能力，并建立一个完善的信息安全预防、监测、防御和响应的纵深防御的安全体系。

1.3　项目目标

根据集团网络安全所面临的风险及特点，为保障集团生产线安全稳定运行，本解决方案主要达成以下几方面目标：

（1）管理人员对目前内网所存在风险能够精确掌握。

（2）新上线安全设备及软件与现有生产环境兼容，在不影响正常业务的情况下，全面保障集团生产运行。

（3）对生产网（车间接入）和办公网边界进行隔离，确保办公网对生产网访问的安全性。

（4）技术人员对生产网中入侵、异常行为的及时发现，对现场设备进行深度防护。

（5）管理人员、技术人员对整个工控系统各类设备运行状况、安全状况统一管理。

2　项目实施

依据等保2.0最新要求和集团工业控制系统安全防护策略，方案整体拓扑图如图1所示。

图1 方案整体拓扑图

2.1　总体设计思路

根据前期与客户的交流，本次方案整体按照等保要求，从建立分区分域控制体系和构建纵深防御体系两个方面出发，全面建设集团仪表计量检测中心两条生产线DCS控制系统的网络安全防护体系，在满足合规的同时，达到整体网络安全态势可视的目的。

（1）构建分域的控制体系方案在总体架构上将按照区域边界保护思路进行，仪表计量检测中心工控系统和外部系统从结构上划分为不同的安全区域，以安全区域为单位进行安全防御技术措施的建设，从而构成了分域的安全控制体系。（2）构建纵深的防御体系方案包括技术和管理两个部分，集团工控系统围绕着安全管理中心，从安全通信网络、安全区域边界、安全计算环境三个维度进行安全技术和措施的设计，保证业务应用的可用性、完整性和保密性保护；通过集中管理，可对安全设备进行联动，对确认的重大威胁或攻击可进行安全联动防护，充分考虑各种技术的组合和功能的互补性，提供多重安全措施的综合防护能力，从外到内形成一个纵深的安全防御体系，保障系统整体的安全保护能力。

（3）保证一致的安全强度集团工控安全等级保护设计方案将采用分级的办法，对于同一安全等级系统采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。

2.2　详细方案设计

2.2.1　安全通信网络

工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用单向的技术隔离手段；工业控制系统内部应根据业务特点划分为不同安全域，安全域之间应采用技术隔离手段；涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。

工业防火墙：集团现网生产线有两条链路，需要分别在每条链路生产网服务区的边界部署工业防火墙，实现生产服务区与各个工厂之间的访问控制；利用工业防火墙通过深度解析OPC、Modbus、S7、Ethernet/IP（CIP）等数十种工控协议，建立工业网络通信“电子栅栏”，阻止任何来自安全区域外的非授权访问，有效抑制病毒、木马在工控网络中的传播和扩散，防护针对SCADA、PLC、DCS等重要控制系统的各类已知、未知的恶意攻击和破坏行为。

2.2.2　安全区域边界

应在工业控制系统与企业其他系统之间部署访问控制设备，配置访问控制策略，禁止任何穿越区域边界的通用网络服务；应在工业控制系统内安全域和安全域之间的边界防护机制失效时，及时进行报警。本次方案设计在工控系统边界使用工业控制系统专用的工控防火墙进行工控协议的安全防护，在传统IT网络边界区使用下一代防火墙为传统IT网络协议提供安全防护。

下一代防火墙：为保障传统IT网络与工控系统安全域的安全隔离，加强纵深防护，需要在安全管理区部署下一代防火墙，梳理各业务流向，使用下一代防火墙对此边界的入侵行为进行安全防护。

工业防火墙：在OPC服务器和数采专网边界部署一台工控防火墙，使用工业防火墙将工业网络内部安全域间进行边界划分，并配置访问控制策略，利用工业防火墙的多业务端口实现横向隔离，只允许特定设备的特定协议通过（如OPC、Modbus等）。工业防火墙具有bypass功能，确保生产业务的连续性。

2.2.3　安全计算环境

安全计算环境为整个工业控制系统提供安全的运行环境。要保障整个计算环境的安全，需要部署工控漏洞扫描系统对工业控制系统计算环境中的漏洞进行非侵入式探测，及时发现计算环境的安全隐患。同时部署一台工业安全监测审计平台，对网络中的工控协议进行安全监测。

工控漏洞扫描系统：定期对生产网络内的终端设备进行漏洞发现，工控漏扫产品集资产探测识别、漏洞扫描、任务管理以及报表分析展示等功能于一体；拥有丰富的漏洞信息库，支持对传统IT系统（包括：主流操作系统、应用服务、数据库、网络设备、安全设备、虚拟化系统）的已知漏洞扫描与配置核查，以及对工业控制系统的已知漏洞识别检测；适用于各种企业的工业控制网络环境中，能够让工控系统管理者及时发现安全漏洞，全面掌握当前工业控制网络及系统中的安全风险；协议管理者进行漏洞修复，为提高安全建设提供直接依据，从而全面提升整理安全性。

工业安全监测审计平台：在工控服务器区核心交换机上部署工业安全监测审计平台，实时监测生产过程中产生的所有流量，识别多种工控协议，实现对工业控制系统内的异常流量、异常行为、异常操作、非法接入等安全风险的实时告警。

2.2.4　安全管理中心

等保2.0对工控系统的要求，除了要满足通用等保安全防护要求，还需要满足工控扩展要求，同时等保2.0对三级系统安全建设新增了对安全管理中心的要求，需要再划分出安全管理域，并将安全设备审计集中进行管理。

工业安全管理平台：可以通过专用的安全管理通道，对各安全域的工业防火墙、安全监测审计等安全设备进行集中管控、状态监测、策略配置下发等。工业安全管理平台可及时发现、报告并处理工业控制系统中的网络攻击或异常行为，通过统一调度安全预警、安全监测、安全防护和应急处置，全方位保障工业控制系统信息安全。

综合日志审计系统：集中收集分散在各个安全域探针的日志、流量等信息进行信息汇总和集中分析；支持多种设备型号的日志收集，覆盖几乎所有的网络设备、安全设备、主机、应用及数据库等，通过多维度、跨设备、细粒度的关联分析，打破信息孤岛，自动进行日志审计，快速发现潜在安全事件。

运维审计与风险控制系统（堡垒机）：通过账号管理、身份认证、自动改密、资源授权、实时阻断、同步监控、审计回放、自动化运维流程管理等功能，增强运维管理的安全性。

工业安全态势感知平台：工业控制系统主要部署于企业生产网，与互联网严格隔离，相关流量与日志信息无法及时获取。工业企业生产网的相关流量和日志信息是工控安全监测的重点区域，如出现安全隐患或安全事件，可能造成极为严重的后果。为此，有必要建设一套覆盖工业企业的安全态势感知平台，为工业控制系统安全监测与预警体系提供技术支撑。在工业场景中，对数据的实时性要求很高，数据的价值随着时间的流逝而降低。工业安全监测分析能够对正在发生的事件进行实时分析，及时发现最可疑的安全威胁。

3　案例亮点及创新性

3.1　结合威胁情报为安全事件提供溯源分析和问题定位

通过基于大数据技术平台的企业级网络安全监控平台的建设，在平台完成以威胁情报中心作为信息源，通过收集内部与外部威胁信息，以及与第三方情报提供商合作，形成企业自主的情报中心，主动掌握攻击方最新的活动及攻击手段。在监测告警环节启动应急响应流程，全程跟踪安全事件及漏洞，将被动挨打转化为主动出击。依托强大的安全大数据处理能力，对公司全网进行快速排查与分析，打造主动纵深防御的机制，第一时间掌握企业安全态势，做到全局把控，避免出现攻击事件突发情况的产生，从企业内部根本性解决安全隐患。

3.2　提高了技术能力和安全意识

在平台运营过程中，将技术创新贯穿到业务系统的全生命周期中，形成全生命周期的安全检测机制；让各成员企业最了解自己业务的技术人员主动去检测自己的业务系统，定期对相应的人员进行评优，给予相应奖励，充分调动了大家的积极性，提高了安全意识与安全技能。

3.3　满足了工控安全等保合规性

目前行业没有完善的工控安全体系建设，并且企业也没有相应的工控安全建设规范文件。在当前国家政策的指引下，等保的合规性事关重要，首先必须满足等保的最基本相关要求，然后在这个要求的基础上再从提高企业自身的安全运营能力上进一步去提升公司的工控安全建设。方案中应用具有免疫特征的安全防护体系、机制和关键技术在保证合规性建设的同时，可以持续解决新技术、新应用所带来的安全问题。

3.4　提高了安全运维人员的工作效率

（1）通过考核管理模块，创建考核任务，可以对各个厂或者相关人员进行整体的安全评价，方便安全运维人员实时掌握各厂或者人员安全工作开展的情况；

（2）安全运维人员可以一键生成安全运营及分析报告，以图形化形式对报告进行展现，解放安全运维人员以往需要人工编写分析运营报告的工作，并且当发生安全事件时，可以提供详细的安全事件分析溯源取证信息及专家处置建议指导，帮助企业洞察网络安全态势；

（3）“一张卡片看清风险，一页报告看清始末”，可以为企业安全运维人员展示企业基本信息以及发生的安全事件和处置的状态，以及系统和资产的安全状态、企业面临的安全风险等，方便安全运维人员及时掌握整个企业的安全状况；

（4）方案中平台提供在线安全培训模块，可以让相关人员及时地学习相关的网络安全知识；

（5）可以实时掌握资产访问流量、访问次数变化趋势、访问来源、资产的漏洞信息等，方便安全运维人员对整个企业的资产进行安全管理；

（6）平台可实现安全自动化编排响应（自动化处置相关的事件），将安全运维人员从分析工作中解放出来，可以流程化地完成事件的管理，提高了协作沟通能力。

作者简介

于海跃（1992），男，黑龙江鹤岗人，学士，现就职于杭州安恒信息技术股份有限公司，主要从事工业控制系统网络安全方面的研究。

周升宝（1982-），男，天津人，中级工程师，学士，现就职于杭州安恒信息技术股份有限公司，主要从事工业控制系统网络安全、工业自动化方面的研究。

白小愚（1984-），男，北京人，学士，现就职于杭州安恒信息技术股份有限公司，主要从事工业互联网威胁评估与态势感知技术方面的研究。

李显松（1989-），男，重庆人，学士，现就职于杭州安恒信息技术股份有限公司，主要从事工业信息安全、工业互联网安全以及功能安全方面的研究。

周亚超（1985-），女，河北唐山人，高级工程师，博士，现就职于上海安恒时代信息技术有限公司，主要从事网络安全方面的研究。

摘自《自动化博览》2024年1月刊