★ 浙江国利网安科技有限公司

1 项目概况

1.1 项目背景

随着“两化融合”走向深入，以及信息化、数字化、智能化快速发展，关系国计民生的关键信息基础设施（能源、交通、制造业、水务等）成为黑客攻击的主要目标，网络攻击事件频发。2020年5月，以色列供水系统遭受大规模网络攻击，目标直指生产控制的逻辑控制器。

某水务环境集团作为集供水、排水、污水治理于一体的城市公共服务提供商，肩负着该市近千万居民的用水安全。集团及下属12家基层单位存在工控系统无法自主可控、工控安全防护技术能力薄弱、安全建设不统一等问题，其工控系统网络安全建设迫在眉睫。

1.2 项目简介

本项目针对该水务环境集团及其下属供排水生产企业工控系统面临的网络安全问题，建设了覆盖1个集团的工业安全态势感知与管理平台和12个下属供排水生产企业的工控网络安全监控防护系统，构建了城市水务供排水网络安全协同防御体系，实现了对工控系统全方位、全天候的网络安全态势感知，打造了多层级、可扩展的平台架构，形成了完备的工控系统安全防御体系，全面提升了集团工控网络安全防护的整体水平。

1.3 项目目标

城市水务工控系统网络安全建设主要存在安全建设不全面不完善、安全防护不够精准、工控核心控制器缺乏防护、安全应急响应不够及时等问题。针对该水务环境集团工控系统网络安全面临的风险及行业安全建设方案的不足，本项目建设强化对工业控制器的防护，重点关注工业控制器内组态工程的异常变更情况，一旦出现对控制器的非法操作，造成组态工程的删除、篡改或重要控制参数的修改、变更，可及时告警，并进行恢复。同时本项目注重各个安全产品之间的协同，建设集团、企业两级工控安全能力体系框架，搭建该水务环境集团网络安全态势感知系统及各个水厂厂级安全运维中心，实现全集团安全态势可视、可知、可管、可控。

平台部署模式图如图1所示。

图1 平台部署模式图

厂级安全运维中心作为“厂级安全运维”的核心，负责厂级安全数据的收集与分析、厂级安全策略的定制与分发和厂级安全事件的查看与处置。厂级安全运维中心可以全面地收集安全产品信息、工业控制器信息以及网络设备信息等，对数据进行联合分析并识别异常事件，生成对应的防护策略。用户可以对异常事件进行处置，对防护策略进行管理与分发，形成厂级的监测、响应与防护的安全体系。

工业安全态势感知平台是“集团态势感知”的载体，负责收集各个“厂级站点”的数据，并进行分析和可视化，实现态势观测和威胁预测的功能。

2 项目实施

2.1 应用案例介绍

本方案根据前期对各个水厂的工控网络安全调研，了解水务集团及各个制水厂、污水处理厂等厂站的工控系统的基本情况，包括整体网络架构、厂级网络架构、各个厂站内的工控设备信息、工控主机信息及当前安全防护状况，并根据城市水务业务特点，主要针对区域边界、计算环境及管理中心的改进建议进行部署，形成集团、企业和厂站三级安全管控模式。整体方案如图2所示。

图2 工控网络安全解决方案网络拓扑示意图

在各个水厂工控系统的生产控制区与信息管理区之间部署工业防火墙，通过对通信数据进行行为级、数值级的检测，实现对控制器设备的访问控制；在各个水厂与该集团的网络边界处部署工业安全隔离与信息交换系统，以便在物理层面实现网络隔离。在各个水厂工控系统的生产控制区的网络核心节点部署工控安全审计系统，实现资产关系校验、网络流量审计、入侵检测和异常行为告警。

在各个水厂工控系统的各个工控主机、服务器、接口机等设备处安装工业主机安全防护系统进行安全加固，以便对工控主机的运行资源、数据资源和物理存储资源进行管控，防范未知病毒的运行及其对主机资源的利用。

在各个水厂工控系统生产控制区的重点控制器交换节点处，部署国利网安独有的控制器完整性监测与恢复系统，能够对控制器的运行状态、数据状态等进行实时、深度监测，根据异常情况进行告警和无损恢复；在各个水厂工控系统生产控制区的重点控制器前部署控制器防护系统，对工控协议进行深度检测，高性能地实现对控制器的防护。

在各个水厂中部署厂级安全运维中心，对厂区内部署的工控安全产品实现集中管理与统一配置，并将安全信息通过网闸集中上送给集团态势感知平台。在水务集团部署工控安全态势感知平台，实现对各个水厂的整体安全态势、资产情况、流量数据等信息的汇总和研判，从全局视角提升整个水务集团工控系统对安全威胁的发现识别、理解分析及响应处置能力。

2.2 实施成效

本方案从设备安全、控制安全、网络安全、应用安全及数据安全等角度出发，构建城市水务工控系统的网络安全纵深防御体系。主要实施成效如下所示：

（1）实现工控系统的空间测绘与资产画像

采用主被动扫描的方式对接入工控系统内的资产进行测绘，有效测绘硬件资产及软件资产，形成资产信息库。通过对网内通信关系的实时捕获，并结合高效的资产管理方案，实现工控系统的空间测绘。同时，基于自有知识库进行比对，联系上下文进行分析，展示资产全貌，并对整个工控系统进行风险评估，实现将碎片化的资产信息综合加工形成对相应工控系统网络安全系统、全面、直观的认识。

（2）实现对各水厂工业控制器的访问控制和状态监测

通过采取设备身份鉴别与白名单访问控制的方法实现对工业控制器的保护，使得所有对工业控制器的访问均为已授权的访问，确保工业控制器执行的控制命令均来自合法用户。同时，实现对工业控制器的运行状态、数据状态等实时、深度监测，根据异常情况进行告警与防护，并可在控制器工艺组态文件被篡改的情况下快速恢复安全版本。

（3）实现对各水厂工业主机的安全防护

在调控中心及各个场站的工控主机、服务器等设备中安装的工业主机安全防护系统进行安全加固，能够对工控主机的运行资源、数据资源和物理存储资源进行管控，防范未知病毒的运行及其对主机资源的利用。

（4）强化对生产控制指令的保护

本方案配置的工控安全审计系统、工业防火墙等安全设备能对水厂工控系统中的通信协议进行深度解析，并基于组态工艺指令组合白名单策略，实现对系统中工控行为及网络行为的监测和防护，实现对工控系统参数变更的阈值及变更频率的监测，及时发出预警，并根据用户的授权情况进行阻断，避免发生安全事故，并提供详实的数据支持。同时，可实现攻击异常检测、无流量异常检测、重要操作行为审计、告警日志审计等功能。

（5）实现区域网络隔离

在各水厂控制层与过程监控层之间部署工业防火墙、各水厂与集团之间部署工业网闸，实现安全区域隔离。对网络边界进行监视，识别边界上的入侵行为并进行有效阻断，保障生产控制区和生产管理区之间、生产管理区与集团办公区之间的安全。

（6）加强对数据的保护

注重对工控系统内的数据的备份，如各个水厂生产工业控制器的组态工程和重点工艺参数，定期对数据进行备份。当发生组态工程篡改、删除、修改等事故时能及时恢复，从而降低用户的损失。

（7）构建集团-企业-厂站三级协同响应体系

在各水厂部署厂级运维中心，对水厂内部署的工控安全产品及网络设备进行集中管理与统一配置，获取各个安全产品的日志信息及各个网络设备的接口使用情况，基于安全事件特征进行聚类分析，发现并确认安全事件，及时报警响应处理，提高管理效率，实现产品功能协同，降低运行维护成本。在供水公司及排水公司部署网络安全态势感知子系统，实现对下辖各水厂和污水厂的安全集中管理。在水务集团部署网络安全态势感知系统，实现对各个水厂的整体安全态势、资产情况、流量数据等信息的汇总和研判，从全局视角提升整个水务集团工控系统对安全威胁的发现识别、理解分析及响应处置能力。

3 案例亮点及创新性

3.1 技术先进性

（1）超强的自身安全性和设备可用性

这是国内首个直接部署在工控系统控制器前的产品，可以直接对控制器进行安全防护，其微秒级处理时延少于30μs，优于业界最好性能60μs。该产品采用硬件回路替代逻辑算法实现超低时延，并使用双处理器架构，两个处理器之间相互独立，通过有限通信，当某一个处理器遭受网络攻击或处理器不能正常工作时，另一个处理器的业务处理单元仍能够正常处理业务流程。因此，设备具有低延时、高可靠以及超强的自身安全性。

（2）国内首个组态工程监测与重建技术

该产品采用主被动双重检验的组态工程重建和监测技术，能实时测量、收集控制器健康数据，为控制器建立全生命周期组态的信息管理档案，并解决控制器在遭受组态篡改攻击后无法快速恢复及控制器组态文件无法审计分析的问题。

（3）工控OT操作深度审计

该产品根据工艺要求和控制流程，结合IO点表信息，能智能识别工控系统应用服务对象、角色关联对象、目标系统安全域对象和目标系统参数安全范围对象，并根据识别出来的安全对象，映射生成安全产品防护策略规则树，实现工控OT操作深度审计，支持多指标的工控行为检测及工控数据变更检测，支持深度解析城市水务行业常用协议Modbus、S7、ENIP/CIP、OPC、IEC104等。

3.2 可推广性

随着城市水务数字化、智慧化建设浪潮的出现，城市水务工控网络面临愈加复杂的网络安全风险挑战。本项目为典型的集团型水务企业提供工控系统网络安全建设和运维管理的示范案例，有效保障水厂、污水处理厂等工控系统的生产安全，提高企业应急响应能力水平，提高集团工控网络安全管控能力，具有较好的可复制性和可推广性。

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》