★赵峰，赵萌杭州中电安科现代科技有限公司

关键词：工业控制系统安全；等级保护2.0；SCADA系统防护

1　项目概况

随着天然气管道企业信息化、管控一体化的建设与实现，越来越多的控制系统通过信息技术实现互联互通，使得工控系统网络架构愈发复杂，迫使内部的安全隐患逐渐暴露，工业控制系统网络安全问题日益突出。各类生产系统一旦遭受恶意攻击、勒索病毒等安全威胁，发生生产事故，将会直接导致经济损失、天然气泄漏，甚至人员伤亡。

中电安科帮助某天然气分公司完成了工控安全建设。根据某天然气管道实际情况，结合相关标准要求，科学合理评估出某天然气管道SCADA系统合规差距和安全风险，确定了安全保护措施，并在此基础上设计了一整套完整的安全体系。该项目以“一个中心、三重防护”为核心指导思想，从安全计算环境、安全区域边界、安全通信网络以及安全管理中心方面构建安全技术体系，满足等级保护2.0第三级系统的相关安全要求。

该项目的实施，有效提升了企业网络安全防护管理的合规性，符合国家主管部门、行业监管部门的管理要求以及工控安全防护要求。本次安全建设采用最低干扰方式，未对业务产生任何影响，通过可视化平台可清晰地看到生产网各节点的通讯情况，大幅提升了对资产的掌握程度。本次安全建设实现了对生产网网络安全事件的事前预防、事中控制、事后可查，保障了天然气管道控制系统的安全运行。

2　项目实施

随着互联网+、智慧城市、物联网、工业4.0、大数据和云计算等新概念与新技术的不断涌现，工业信息化不断深入，工业生产和互联网之间不再彼此孤立，而是彼此紧密关联起来，越来越多的控制系统通过信息技术实现互联互通，使得工控系统网络架构愈发复杂。。

天然气企业作为国家的关键基础设施之一，在“两化融合”期间除了建立ERP、CRM以及OA等多数企业会使用的经营管理类信息系统外，也建立了大量的符合自身需求的生产运营类的系统，其中就包括了SCADA系统、生产调度系统、GIS系统以及其他生产运营相关的工控系统等，特别是天然气企业正在往“智能管网”的方向迈进，对工业控制系统的依赖度更加严重。工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式和互联网等公共网络联接，致使病毒、木马等威胁正在向工业控制系统扩散，造成了工业控制系统信息安全问题的日益突出，一旦各类生产系统遭受恶意攻击、勒索病毒等安全威胁，发生生产事故，将会直接导致重大经济损失，甚至引发社会恐慌，危及国家安全。如何应对工业控制系统所带来的风险成为天然气企业未来需要解决的重要问题。

某天然气管道工控系统的核心是SCADA系统，主要工作是用于天然气管道调度数据的采集和分析。系统主要包括SCADA系统、GIS、生产调度系统、仿真系统和安全保护系统等，通过专线、移动运营商等技术与下级门站所站进行连接，实现数据的采集和分析，上层系统也会将相应的指令下发给下层单位。当前某天然气管道主要存在如下网络安全问题和风险：

（1）网络隔离不合理

系统采用了传统的IT防火墙进行防护，无法对工控网络做到有效的防护。另外许多控制网络都是“敞开的”，不同的接入网络之间都没有有效的隔离，尤其是基于OPC、Modbus等通讯的工业控制网络，容易造成安全故障并通过网络迅速蔓延。

（2）工控系统普遍存在漏洞

由于工控系统大多以满足工业生产为前提，并没有太多考虑自身的系统安全问题，工控设备普遍存在漏洞。国家信息安全漏洞平台中已公布的工业控制系统漏洞，包括西门子产品漏洞、施耐德产品漏洞、RTU产品漏洞等。

（3）缺乏审计监测机制

控制中心没有部署安全监控设备，无法及时发现、告警控制网内的非法数据流量和异常操作行为。系统缺少控制系统安全审计机制。独立的安全审计人员应当定期检查和验证系统日志记录，并主动判断安全控制措施是否充分。未针对其工控系统建立信息安全审计机制，可能造成无法及时发现、追溯系统内部或源于网络的信息安全事件。

（4）终端存在安全隐患，缺少技术手段

生产环境中操作站多数采用Windows XP，上线后基本不会对操作系统进行升级，而操作系统在使用期间不断曝出漏洞，导致操作站和服务器暴露在风险中。另外，在终端上对于执行的系统及程序缺少有效的安全控制措施，导致恶意软件及病毒可以毫无阻碍地执行，甚至工业的控制程序及系统直接感染恶意代码，对生产造成严重的安全风险。

同时，在生产环境中存在随意使用U盘、移动硬盘、手机等移动存储介质现象，有可能将传染病毒、木马等威胁因素带入生产系统。加上防病毒软件的安装不全面或者即使安装后也不及时更新防病毒软件版本和恶意代码库，出现问题后无法及时准确定位产生问题的原因、影响范围及追究责任。

（5）安全运维问题

目前系统主要通过远程桌面方式进行运维，缺乏完善的运维审计机制，对运维人员的操作过程没有记录、审计，不能发现越权访问、异常操作等行为。一旦发生事故，需要大量时间确定问题，不能够及时有效地解决问题，也没有追溯手段。

（6）操作人员缺乏信息安全意识

工控系统的操作人员往往不是IT人员，而是生产调度人员，这也使得工控终端缺乏传统IT的管控，使其成为外部威胁的可能接入点，如USB接口、维修连接、笔记本电脑等。

针对以上某天然气管道工控系统的安全现状与风险，中电安科帮其完成了工控安全建设。根据某天然气管道实际情况，结合《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》《工业控制系统信息安全防护指南》等相关标准要求，科学合理评估出某天然气管道SCADA系统合规差距和安全风险，确定了安全保护措施，并在此基础上设计了一整套完整的网络安全体系。该方案以“一个中心、三重防护”为核心指导思想，从安全计算环境、安全区域边界、安全通信网络以及安全管理中心方面构建安全技术体系，并协助建立安全管理制度体系，满足等级保护2.0第三级系统的相关安全要求。

（1）安全区域边界

控制中心在与站场控制系统、阀室等网络连接边界处通过部署工控防火墙进行边界防护，基于工控协议配置合理的主机访问规则，针对工业控制网络在同一个大网的情况，通过ACL等安全访问策略的配置对生产网络进行逻辑分区。

控制中心内部SCADA系统与中间数据库或管理信息系统之间，部署隔离工业网闸保证其安全性，除必须开放的用于数据交换的特定应用通道外，不提供任何对外的服务。

（2）安全通信网络

在各场站的工控系统分别部署工控安全监测审计系统，监测审计对工控流量进行监测分析，识别出工控协议，并对工控协议深度解析，同时将违规操作、非法操作和程序下载、IP变更、组态变更、PLC启停等关键事件以及病毒、木马、黑客等攻击行为数据传送到部署在控制中心的工控安全管理平台中。工控安全管理平台系统对监测审计进行统一监控与管理，将监测引擎传送过来的异常数据进行统计分析，并告警显示，同时依据通讯流量进行节点网络拓扑动态生成和工控资产识别，实现对工控网络的监测与审计，为事后提供追溯分析依据。

在网络关键节点处，通过工控入侵检测系统进行入侵攻击行为的检测识别，发现并防止网络攻击行为，尤其对基于工业控制漏洞、工业控制异常指令以及关键事件进行及时告警，避免入侵行为或疑似入侵攻击的行为发生。

（3）安全计算环境

在生产网各工控系统中的操作员站、工程师站以及服务器等工业主机上安装部署终端安全管理系统客户端，在调度中心部署终端安全管理系统服务端，通过服务端对客户端进行统一管理与监控、策略下发、异常报警等，实现对工业主机的进程白名单管理，对流量、USB口管控，有效抵御未知病毒、木马、恶意程序、非法入侵等针对终端的攻击，实现工业主机安全防护与加固。

通过数据库审计系统全面审计在使用数据库过程中的访问过程，对于越权访问、异常数据库操作以及对数据库关键数据进行关键指令操作过程全面审计，检测识别非授权操作的行为，避免数据库删除、篡改、异常访问等情况发生，为数据库系统的安全运行及事后审计提供有力保障。

（4）安全管理中心

通过工控安全管理平台，实现对工控防火墙、工控安全监测审计管理系统、终端安全管理系统、堡垒机等安全产品以及交换机的统一管理与监控。同时针对被防护资产综合全部安全要素信息，通过多种数据、分析方法构建动态的多层次、全天候网络安全管理，结合等级保护管理，为天然气管道构建网络安全动态深度防御体系，形成对安全威胁、风险隐患的动态持续管理。

通过堡垒主机，进行集中账号管理、集中登录认证、集中用户授权和集中操作审计，实现对运维人员的操作行为审计，以及对违规操作、非法访问等行为的有效监督，为事后追溯提供依据，解决了运维行为无法监控的问题以及在访问系统资源、操作记录无法做到安全审计、事后可追溯的问题。

（5）安全管理制度

通过制定和完善工控网络安全管理制度，形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度保障体系，做到有章可循、有法可依、人人有责的工控网络和系统安全建设格局；定期组织工业控制系统信息安全培训，定期进行风险评估等，实现某天然气管道整体信息安全防护。

3　案例亮点及创新性

本方案从网络、终端、通信、运维、管理等多个层面提供了完整的安全防护与管理手段，实现了工控网络全面的安全保护，有效提升了企业网络安全防护管理的合规性，满足了《网络安全法》框架下关键信息基础设施保护制度要求、网络安全等级保护制度要求和防护指南的相关要求。本方案安全建设采用非侵入式安全监测与防护工作方式（最小干扰方式），未对业务产生任何影响，通过可视化平台可清晰地看到生产网各节点的通讯情况，大幅提升了对资产的掌握程度。本方案在采用安全技术和产品的同时，也重视安全管理，不断完善各类安全管理规章制度和操作规程，提高了安全管理水平。本次安全建设实现了对某天然气管道生产网网络安全事件的事前预防、事中控制、事后可查，保障了天然气管道控制系统的安全运行。

作者简介

赵　峰（1978-），男，河南南阳人，高级工程师，学士，现就职于杭州中电安科现代科技有限公司，主要从事工业自动化方面的研究。

赵　萌（1990-），男，北京人，学士，现就职于杭州中电安科现代科技有限公司，主要从事网络安全方面的研究。

摘自《自动化博览》2024年1月刊