工業(yè)控制系統(tǒng)安全體系建設(shè)

摘 要：隨著“兩化”融合發(fā)展，工控安全問題凸顯，按照《工業(yè)控制系統(tǒng)安全防護(hù)指南》的要求，我公司通過部署工控防火墻、主機(jī)加固、工控安全管理平臺、安全審計、入侵防御、USB隔離等措施對工控系統(tǒng)進(jìn)行了有效的防范。

關(guān)鍵詞：網(wǎng)絡(luò)安全;工控安全;工業(yè)防火墻;工控主機(jī)加固;工控審計

一、 引言

隨著網(wǎng)絡(luò)安全法和等級保護(hù)2.0的實施，工控網(wǎng)絡(luò)成為企業(yè)網(wǎng)絡(luò)安全重點關(guān)注對象。通過對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)安全風(fēng)險分析，定期進(jìn)行風(fēng)險評估與檢查，及時了解網(wǎng)絡(luò)內(nèi)薄弱環(huán)節(jié)，對監(jiān)控層數(shù)據(jù)進(jìn)行實時數(shù)據(jù)審計，及時發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)異常流量和行為;在生產(chǎn)控制網(wǎng)絡(luò)的關(guān)鍵區(qū)域邊界部署可靠的邊界防護(hù)設(shè)備并合理配置防護(hù)策略，實現(xiàn)分層級的縱深安全防御、威脅檢測策略;對于用戶通過上位操作主機(jī)的USB外設(shè)接口拷貝數(shù)據(jù)時，使用USB安全隔離裝置對主機(jī)實施安全加固，有效減少通過移動存儲設(shè)備帶入病毒、惡意程序的機(jī)會。

二、工控安全體系建設(shè)目標(biāo)

按照《工業(yè)控制系統(tǒng)安全防護(hù)指南》中對工業(yè)控制網(wǎng)絡(luò)安全等要求，在各單元工業(yè)控制系統(tǒng)的子系統(tǒng)之間、工業(yè)控制系統(tǒng)與甲方內(nèi)網(wǎng)的接口之間加裝工業(yè)級網(wǎng)絡(luò)安全隔離設(shè)備，建設(shè)統(tǒng)一的網(wǎng)絡(luò)安全管理平臺。采用安全防護(hù)措施后不能影響整個工控系統(tǒng)的穩(wěn)定性以及可用性，同時系統(tǒng)建立可視化的網(wǎng)絡(luò)模型，實時監(jiān)視整個系統(tǒng)設(shè)備的運行狀態(tài)和安全狀態(tài)， 一旦發(fā)生安全事件，能在網(wǎng)絡(luò)圖上進(jìn)行實時報警，可指定設(shè)備進(jìn)行歷史查詢。

通過工控安全體系建設(shè)需要達(dá)到以下目標(biāo)：

（一）在控制系統(tǒng)網(wǎng)絡(luò)中，對已經(jīng)部署的工業(yè)防火墻的安全策略進(jìn)行優(yōu)化，確保過程控制網(wǎng)與生產(chǎn)管理網(wǎng)之間的網(wǎng)絡(luò)隔離;

（二）在數(shù)采網(wǎng)的核心交換機(jī)旁部署工業(yè)安全審計、異常監(jiān)測和入侵檢測等安全設(shè)備;

（三）在中央調(diào)度室增設(shè)安全管理中心，增強(qiáng)安全狀態(tài)實時集中監(jiān)控和感知功能;

（四）實時監(jiān)控網(wǎng)絡(luò)內(nèi)的異常數(shù)據(jù)和操作行為，實時保護(hù)系統(tǒng)安全，及時阻止惡意代碼對控制網(wǎng)絡(luò)的破壞;

（五）追溯入侵者對工業(yè)控制網(wǎng)絡(luò)的惡意攻擊與破壞的源頭和路徑;

（六）降低通過USB移動存儲介質(zhì)的方式拷貝數(shù)據(jù)遭受攻擊的幾率;

（七）重點對工程師站、操作站進(jìn)行主機(jī)加固，防止外部攻擊。

三、 工控安全體系建設(shè)

（一）、搭建工控安全管理專網(wǎng)

獨立搭建工控安全專網(wǎng)，用于工業(yè)防火墻、工控安全審計系統(tǒng)、工控網(wǎng)絡(luò)入侵防御檢測系統(tǒng)、賬號集中管理與審計系統(tǒng)、工控網(wǎng)絡(luò)安全管理平臺等相關(guān)網(wǎng)絡(luò)安全設(shè)備的管理以及數(shù)據(jù)傳輸，有效的避免了對控制網(wǎng)絡(luò)的影響。

（二）、部署工業(yè)防火墻

在DCS控制網(wǎng)和MES取數(shù)網(wǎng)之間部署工業(yè)防火墻，實行白名單管理模式，清理端口，精確開放內(nèi)部服務(wù)器服務(wù)端口，限制主要網(wǎng)絡(luò)木馬病毒入侵端口通信。通過搭建的工控安全管理專網(wǎng)實現(xiàn)集中管理及攔截日志發(fā)送至工控日志管理平臺實現(xiàn)網(wǎng)絡(luò)日志審計。

（三）、工控主機(jī)安全加固

在現(xiàn)場控制層的工程師站、操作員站、OPC 服務(wù)器以及數(shù)采服務(wù)器主機(jī)上，MES 層服務(wù)器上部署 InTrust 可信安全管理平臺，通過應(yīng)用程序、USB 移動存儲的白名單策略，防止用戶的違規(guī)操作和誤操作，阻止不明程序、移動存儲介質(zhì)的濫用，有效提高工控網(wǎng)絡(luò)的綜合“免疫”能力。主機(jī)安全防護(hù)的措施解決了操作系統(tǒng)、安全策略和管理流程、工業(yè)病毒防護(hù)、應(yīng)用軟件漏洞的安全威脅。

（四）、部署工控網(wǎng)絡(luò)安全管理平臺

在中心控制室部署工控安全管理中心SMP軟件，實時接收來自工控安全防護(hù)設(shè)備的日志，分析、組織、處理網(wǎng)絡(luò)環(huán)境內(nèi)的告警、設(shè)備運行信息。它是安全設(shè)備管理系統(tǒng)產(chǎn)品的核心，負(fù)責(zé)連接其它模塊，傳遞運行數(shù)據(jù)，并完成所有管理功能的后臺處理。收集來自安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器和應(yīng)用系統(tǒng)的數(shù)據(jù)，通過收集、格式化、過濾、關(guān)聯(lián)等方式對事件簡化和合并，為用戶展示最有價值的數(shù)據(jù)信息，數(shù)據(jù)庫可以存儲各種設(shè)備基本情況、安全日志信息等，在服務(wù)器控制臺上可以進(jìn)行全部安全事件的顯示。

（五）、部署工控安全審計系統(tǒng)

在所有DCS裝置現(xiàn)場部署工控安全審計系統(tǒng)，針對工業(yè)控制網(wǎng)絡(luò)設(shè)計的實時告警系統(tǒng)，通過特定的安全策略，快速識別出系統(tǒng)中存在的非法操作、異常事件、外部攻擊并實時告警。工控安全審計系統(tǒng)采用旁路監(jiān)聽方式進(jìn)行部署，完全不影響現(xiàn)有系統(tǒng)的生產(chǎn)運行，可廣泛應(yīng)用于各類網(wǎng)絡(luò)應(yīng)用環(huán)境。實時網(wǎng)絡(luò)監(jiān)測 對工控網(wǎng)絡(luò)中的數(shù)據(jù)、事件行為進(jìn)行實時監(jiān)測、實時告警，幫助用戶實時掌握工控網(wǎng)絡(luò)運行狀況。網(wǎng)絡(luò)安全審計對工控網(wǎng)絡(luò)中存在的所有活動提供協(xié)議審計、行為審計、內(nèi)容審計、流量審計，生成完整記錄便于事件追溯。

（六）、部署工控賬號集中管理與審計系統(tǒng)

在中心控制室部署一套工控網(wǎng)絡(luò)安全運維審計系統(tǒng)，實現(xiàn)運維中的集中帳號管理、集中登錄認(rèn)證、集中用戶授權(quán)和集中操作審計，為保證工業(yè)控制網(wǎng)絡(luò)的可用性和安全性，需要通過設(shè)置工業(yè)防火墻端口控制策略或交換機(jī)ACL訪問策略，防止用戶繞過工控網(wǎng)絡(luò)安全運維主機(jī)直接訪問目標(biāo)設(shè)備。

（七）、部署工控入侵防御檢測系統(tǒng)

在中心控制室部署入侵防御檢測系統(tǒng)，依照安全策略，對工業(yè)網(wǎng)絡(luò)、系統(tǒng)的運行狀況進(jìn)行監(jiān)視，及時發(fā)現(xiàn)各種非法操作或異常行為，同時需要深入分析網(wǎng)絡(luò)上捕獲的數(shù)據(jù)包，結(jié)合特征庫進(jìn)行相應(yīng)的行為匹配，及時發(fā)現(xiàn)來自生產(chǎn)網(wǎng)外部或內(nèi)部違反安全策略的行為及被攻擊的跡象，幫助哈石化公司及時采取應(yīng)對措施，最終達(dá)到保護(hù)生產(chǎn)網(wǎng)絡(luò)安全。

（八）、部署USB安全隔離裝置

USB 安全隔離裝置是 USB 存儲設(shè)備和計算機(jī)之間數(shù)據(jù)安全交互的橋梁，對USB 移動存儲設(shè)備數(shù)據(jù)傳輸過程進(jìn)行病毒查殺隔離，可有效減少通過USB移動存儲設(shè)備攜帶病毒對內(nèi)網(wǎng)計算機(jī)的安全性造成威脅。

四、 結(jié)論

隨著信息化的發(fā)展，從伊朗“震網(wǎng)”病毒事件到烏克蘭電力網(wǎng)被黑事件說明工控安全風(fēng)險越來越大，企業(yè)必須加強(qiáng)工控網(wǎng)絡(luò)安全建設(shè)。我公司通過工控網(wǎng)絡(luò)安全體系建設(shè)，可以對工控網(wǎng)絡(luò)進(jìn)行威脅評估、監(jiān)測審計、主機(jī)防護(hù)、集中管理，大大提高了工控網(wǎng)絡(luò)的安全防護(hù)水平，為工控網(wǎng)絡(luò)安全提供了全方位防御體系。

參考文獻(xiàn)：

[1].陳忠平 李旎 劉青鳳 網(wǎng)絡(luò)安全[m]. 北京：清華大學(xué)出版社，2011

作者簡介：

譚振軍，男，1984年生，2004年畢業(yè)于石油大學(xué)（華東）計算機(jī)科學(xué)與技術(shù)專業(yè)，工學(xué)學(xué)士，現(xiàn)工作于中國石油哈爾濱石化分公司信息中心，工程師。主要研究方向：計算機(jī)網(wǎng)絡(luò)，網(wǎng)絡(luò)安全。