單位工控系統信息安全建設

工業控制系統（以下簡稱工控系統）是國家關鍵基礎設施最重要的組成部分，涉及一系列關系到國計民生的基礎性行業。隨著“兩化”融合、“互聯網+”戰略的推進，工控系統正由封閉、私有轉向開放、互聯。越來越多的計算機和網絡技術應用于工控系統，在為人民生活、工業生產等帶來極大推動作用的同時，也帶來了信息安全問題。

筆者單位作為大型的生產企業，有著典型的SCADA和PLC兩大類工控系統。工業控制網絡與辦公管理網絡的直接互聯打破了工控系統的信息孤島，導致工業控制網絡直接面對辦公管理網絡的威脅和攻擊。

圖1 筆者單位工控系統信息安全建設劃分

現有的工控系統在設計、研發中沒有充分考慮安全問題，在部署、運維中又缺乏安全意識和相關專業技術的支撐，導致工控系統中存在較高的脆弱性。面對IT系統與控制系統融合帶來的安全風險以及工控系統本身的脆弱性威脅，我們通過積極開展工控系統信息安全建設，完善工控系統信息安全防護，為進一步提高生產穩定性、加強生產安全性提供有效保障。

建設方案

單位工控系統信息安全建設整體方案主要依據行業網絡安全“分級分域、整體保護、積極預防、動態管理”的總體策略，首先對整個工控系統進行全面風險評估掌握目前工控系統風險現狀；通過制定工控安全策略、管理制度和防護規則，以及對工控網絡進行安全域規劃和部署防護措施提高工控網邊界安全，降低來自管理網的風險；對工控系統進行異常行為的實時監測和事件的分析審計預警，提高安全預防能力；最后對整個工控系統進行統一安全呈現，將各個防護點組成一個的防護體系，提高單位工控系統的整體安全水平。

如圖1所示，單位工控系統信息安全建設分為風險評估、策略制定和部署安全措施三方面工作。

建設實施

1.風險評估

所有工控安全建設都應該是基于對自身工控安全現狀的精確掌握，單位采用調查訪談、基線核查、漏洞掃描以及滲透測試等手段對生產、動力和物流等工控系統進行全面風險評估，如圖2所示。主要內容包括：工控設備安全性評估、工控軟件安全性評估、各類操作站安全性評估和工控網絡安全性評估，以及安全管理評估。

通過這幾方面內容的評估，發現工控系統中網絡設備、控制PLC、操作站、工程師站以及組態軟件等存在的漏洞，根據漏洞情況對其被利用的可能性和嚴重性進行深入分析；對各操作站、工程師站等終端設備以及工業交換機等網絡設備的安全配置情況進行核查，尋找在配置方面可能存在的風險；在工控網絡層面，通過對網絡結構、網絡協議、各節點網絡流量、網絡規范性等多個方面進行深入分析，尋找網絡層面可能存在的風險。

2.策略制定

圖2 進行全面風險評估

圖3 劃分安全域，并進行監測和防護

單位的工控安全策略基于“業務優先”，應用等級保護中“分級分域”的思路制定了分層分域的安全策略，將相應的網絡、服務器、應用系統、組態軟件和控制設備對應到工控系統的現場設備層、現場控制層及過程監控層。在現場設備層以組態軟件和控制設備運維防護為主。現場控制層以操作員站保護、網絡邊界防護、網絡監控為主；過程控制層以網絡防護、數據庫、服務器防護為主。同時以車間工控網絡為基本單位結合系統功能、安全需求和地域范圍進行安全域劃分，將生產、物流和動力能源的工控網絡劃分為八個安全域，并進行監測和防護（如圖3所示）。域內屬于通用技術的主機、軟件、應用和數據等參照二級的等保要求執行安全策略。

安全管理策略：能夠對工業環境拓撲進行監控的統一呈現，能夠收集工控系統中安全設備告警信息進行統一關聯展示和對主機設備、安全設備、網絡設備、數據庫等監控對象狀態性能監控的正確展示。實現工業控制網絡的統一安全管理，在對系統進行可用性與性能的監控、事件的分析審計預警、風險與態勢的度量與評估、數據流行為的合規分析的同時，還對后期部署工控安全設備和措施進行統一管理。

安全防護策略：在安全域間網絡邊界和安全域內主控PLC前端采用工業防火墻、網閘等防護措施進行安全域之間的邏輯隔離。防護措施支持工業協議并配置訪問控制列表，采用白名單模式，僅設置必要的工控系統操作、管理和維護訪問規則，對于沒有定義的明確定義的訪問應缺省拒絕；根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；對進出網絡的信息內容進行過濾，實現對工業協議命令級的控制等。

入侵防范策略：在工控網絡邊界處監視并阻斷以下攻擊行為：端口掃描、拒絕服務攻擊、緩沖區溢出攻擊、非法組態攻擊、惡意下載攻擊、程序注入攻擊、惡意控制指令攻擊等。當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。

工控機安全策略：工控主機設備操作系統采用“最小安裝”原則，僅安裝自身業務運行操作所需的操作系統組件及應用軟件。拆除或封閉工業主機上不必要的USB、無線等外設接口。啟用工控主機的系統防火墻前應經過嚴格測試以確保對業務無影響。對工控主機的通信協議和端口的訪問控制宜采用白名單模式進行。

3.部署安全措施

根據安全策略，單位在各安全域的網絡邊界部署了工業防火墻，對工控網絡進行安全隔離、訪問控制和入侵防御。在安全域內主控PLC前端部署導軌式工業防火墻，通過工控協議深度包檢測和訪問控制做重要控制設備的安全防護。在生產網部署工控異常監測系統，針對工控網絡協議的掃描、攻擊行為和異常網絡流量進行檢測和預警。在生產網部署工控安全管理平臺，統一管理工控系統的信息資產，綜合分析安全事件等，如圖4所示。

安全防護措施：在網絡邊界和主控PLC前端配置訪問控制規則，基于IP地址和端口號、MAC地址等對請求連接主機身份進行鑒別，禁止同未通過身份鑒別的主機建立網絡連接；進行細粒度主、客體訪問控制，粒度細化到IP地址和端口號、MAC地址及應用協議，以及對網絡協議和MODBUS、S7等工業協議指令進行鑒別與過濾。配置入侵防御規則對基于工控漏洞的攻擊行為進行入侵防護，保護工控網絡中無法打補丁的控制設備。

安全檢測措施：通過對工控系統中的工控語言進行專項解讀，配置工控網絡檢測策略，實時監測網絡通信協議、業務訪問關系和數據流量等信息，發現針對工控網絡中的入侵攻擊和網絡協議異常行為，實現了對各工業控制網絡系統的有效入侵檢測。

安全管理措施：建立工控信息安全管理平臺對工控系統進行統一的監控和呈現，監控主機設備、安全設備、網絡設備、數據庫等對象的狀態性能，關聯工控系統中安全設備的告警信息，分析、審計和預警安全事件，度量、評估安全風險，實現工業控制網絡的統一安全管理。

安全運維措施：做好工業控制網絡、工業主機和工業控制設備的安全配置，建立工業控制系統配置清單，定期進行配置審計。強化工業控制設備、SCADA軟件、工業通信設備等的登錄賬戶及密碼，避免使用默認口令或弱口令，定期更新口令。建立工控安全管理制度、成立工控安全領導小組，開展安全應急演練，明確工控安全管理責任人，落實工控安全責任制等。

應用效果

結合公司工控系統的網絡結構特點、功能特點和安全需求，及“網絡分層分域隔離-域內異常監測-分層安全防護-統一安全管理”整體工控安全防護思路。我們通過工控系統信息安全建設對整個工控系統進行全面風險評估掌握目前工控系統風險現狀；對各工控網絡進行安全域隔離降低來至管理網絡的安全風險；在各工控系統安全域內進行異常監測、分層防護，以保證工控系統內部安全；最后對整個工控系統進行統一安全呈現和管理，將各個防護點組成一個全面的防護體系，保障了整個工控系統的安全穩定運行。