城燃+工控技術，如何更安全

文／姜 勇

完善工控網絡安全系統的構建，通過等級保護等手段有效保護城燃行業的生產安全。

近年來，針對工控系統的攻擊事件層出不窮。伊朗攻擊以色列供水控制系統等事件表明，工控系統已成為國家級網絡攻擊的主戰場。

城燃企業的生產運行控制系統離不開網絡技術的支持。因此，工控網絡安全問題成為現階段城燃公司共同面臨的問題。

軟硬安全結合

在許多燃氣公司眼中，燃氣安全隱患局限于天然氣管道泄漏和壓縮機設備故障，安全大檢查從來不查生產系統的網絡安全，認為網絡安全是單位信息化工作人員（網管）的事情，不是安全部門的事情。

作為國家關鍵信息基礎設施的天然氣行業，一旦遭受攻擊系統癱瘓導致停氣，受到的影響和損失將更大。特別是它涉及到千家萬戶居民用氣的民生問題，所以應當引起足夠的重視。

本人認為，應當重塑城燃安全理念，“軟安全”與“硬安全”結合，依照《中華人民共和國網絡安全法》等國家強制性標準和規章制度，推廣工控安全等級保護的理念，進行工控網絡安全技術的推廣，完善工控網絡安全系統的構建，通過等級保護等手段，有效地保護城燃行業的生產安全，提升企業的可靠性管理水平。

城燃行業的工控系統面臨一定的網絡安全威脅，最好的防護辦法就是采用基于等級保護的網絡安全技術建立安全保護系統，明確企業的防護目標，了解具體存在以及潛在的問題，最后按照國家信息系統安全等級保護制度的相關要求實施網絡安全保護工作。

●完善硬件和軟件系統，共同保障城燃行業安全。 供圖/視覺中國

在實施等級保護技術過程中，城燃公司安全崗不應只管“硬”安全，還應進行現場調研、分析技術差距、分析管理差距、技術方案設計、整改安全問題等相關工作。綜合應用安全區域邊界防護、安全審計技術、計算環境安全技術以及脆弱性管理等方面完善企業網絡安全狀況，部署殺毒軟件，阻止病毒入侵，徹底解決城燃行業面臨的“軟”安全問題，提升整個行業的工業控制系統網絡安全防護水平，保障國家能源安全。

網絡安全等級建設途徑

燃氣公司網絡安全環境現狀分析

目前大多數燃氣公司調控中心使用的系統前期部署了工控防火墻，起到了對系統的一定邊界防護效果。對未經授權的訪問請求和工控協議，都可以通過工控防火墻進行阻斷和攔截。

城燃網絡安全等級建設途徑

最佳解決路徑是提供一個企業網絡安全等級建設的思路。以某燃氣公司的門戶網站（官網）為例，首先將網站分為不同等級的區域，重點區域重點保護。技術人員在進行需求分析時首先應該進行差距分析，也就是對網絡安全等級以及防護風險的分析。在進行風險評估時，技術人員可以采用滲透測試的方法，分析出攻擊的思路和具體操作，同時提出主要的解決方案，對其進行網絡邊界保護、數據備份保護以及其他支撐性基礎保護。

完善系統化安全建設企業實施等級網絡安全技術的第二個要點是完善系統化安全建設。為此，建議采用一個中心、三重防護以及三個體系的建設理論。一個中心指的是安全管理中心，三重防護指的是安全計算環境防護、安全網絡通信防護和安全區域邊界防護，三個體系指的是運行體系、管理體系以及技術體系。

完善系統化安全建設的要點包括4個方面：遵循國家印發的《信息系統安全等級保護基本要求》，實施合理化構建手段；科學參照《信息系統等級保護安全設計技術要求》，引入安全域的概念，加強邊界防護，控制訪問需求；開發安全控制技術，使用安全技術控制策略，實施有效的安全管理策略。

基于等級保護的解決之道

安全區域劃分和安全邊界

目前，大多數燃氣公司生產運行監控系統和日常辦公系統沒有進行有效隔離（多數共用一個網絡），不滿足分區分域的安全防護要求，需要在生產系統和辦公系統之間部署必要的隔離裝置。解決方法：部署下一代防火墻系統，防火墻同時開啟防病毒功能；通過該防火墻進行安全區域劃分，劃分終端辦公區域和生產系統區域。

在檢測網絡安全入侵行為方面，目前大多數燃氣公司調控中心生產運行監控系統分布的4 個區域還不具備相應能力，無法對常見的漏洞利用攻擊、SQL 注入攻擊、XSS、緩沖區溢出等基于應用層的入侵行為進行有效監控和阻斷。解決方法：部署入侵檢測系統，通過核心交換機將全部業務流量鏡像給入侵檢測系統該系統對全業務流量進行深度分析，發現攻擊行為并及時報警，可將攻擊行為上報給新增的下一代防火墻，實現聯動風險阻斷，減少運行維護人員的手動干預。

安全審計

網絡安全審計設計。大多數城燃公司缺乏針對網絡安全日志和業務系統相關日志的存留審計能力，不滿足《中華人民共和國網絡安全法》對系統日志保留6 個月以上要求。解決方法：分級部署日志審計系統，對網絡安全、各類設備和操作系統日志進行記錄留存，進行綜合分析和展現，便于管理人員對海量日志的精確查找和安全事件的分析溯源。

系統運維管理。缺少必要的安全審計和管控手段，一旦出現人為惡意或者無意錯誤操作造成生產系統或網絡系統故障或癱瘓，無法進行必要的事件過程還原手段，無法定責和追責。解決方法：在城燃公司調度控制室部署堡壘機（運維安全審計系統），公司內部以及外部廠商支持人員的系統運維工作都通過堡壘機進行審計和管控。

主機安全。一般燃氣公司調控中心的生產系統會部署主機衛士，但用于視頻監控和日常辦公終端缺乏必要的終端安全防御手段，特別是針對終端惡意代碼的監測和查殺有局限。解決方法：在視頻監控和日常辦公終端和服務器上安裝終端威脅防御系統（EDR），實現統一病毒查殺、漏洞管理、系統加固，保護計算環境內主機計算機系統安全和信息數據安全。在城燃公司調度控制室統一部署EDR 管理平臺，負責整體惡意代碼防護軟件的升級和監測。

脆弱性管理。在安全脆弱性（系統漏掃）發現方面，還不具備相應的安全能力。等級保護測評人員通過系統漏掃設備對SCADA 和生產視頻監控系統進行漏洞掃描，發現高危漏洞內容無法通過測評檢查。解決方法：在城燃公司調度控制室部署一套漏洞掃描系統，定期對生產和辦公系統進行漏洞掃描，通知設備和系統廠家進行漏洞封堵。在不具備漏洞升級的條件下，可以通過下一代防火墻進行漏洞端口封堵，避免出現安全漏洞被惡意利用的風險。