石油行業工控網絡安全縱深防御體系概要設計

摘要：面對日益嚴峻的網絡安全形勢，網絡安全問題已成為國家安全的重要課題。國家網絡安全法、國家網絡安全等級保護制度等對于工控系統安全建設提出了更高要求，為保護工控網絡關鍵信息基礎設施安全，實現入侵防護、病毒防護、攻擊防護等安全防護能力。以石油行業為例，就工業控制系統存在的安全隱患，設計一種多層次、多方位、多功能的工控安全縱深防御體系。

關鍵詞：工業控制系統；工控安全；縱深防御

一、前言

目前，工控系統安全問題備受重視，國家網絡安全法、公安部信息安全等級保護制度陸續發布，要求大型工業企業必須建立起相應的工控系統安全管理手段、技術支撐以及運營體系來滿足國家針對工控系統等關鍵信息基礎設施信息安全相關合規性要求。

《信息安全技術網絡安全等級保護基本要求》（GB/T 22239-2019）自2019年12月1日正式實施，更加完善地調整了網絡安全防護的根本要求，在提出通用安全要求的基礎之上，針對工業控制、移動互聯、智能應用、云計算和物聯網等新型信息化領域技術的個性安全保護需求提出了不同的安全擴展要求。為了滿足合規性要求，保護國家重要關鍵基礎設施免受侵害，本文以石油行業為例，針對工業控制系統存在的網絡安全風險進行基于縱深防御思想的安全防護體系設計。

二、石油行業工控安全風險分析

由于本身特點和先天安全設計方面的缺陷，工控系統隱藏著較多的安全脆弱性隱患，包括應用系統漏洞、工控協議漏洞、操作系統漏洞、邊界安全風險、主機安全隱患、設備接入、認證授權隱患等[1]。一旦因病毒暴發、黑客攻擊等威脅因素導致工控系統出現異常狀況，則直接對現實物理生產過程產生致命影響。例如，黑客非法獲取工業控制系統控制權限，極易對現場設備、人員造成物理傷害，或者工控系統遭受大規模病毒感染，則可導致正常的生產業務中斷，甚至導致裝置過載、爆炸等，造成嚴重的生產安全事故[2]。

三、石油行業工控安全縱深防御體系設計

石油行業縱深防御體系的設計遵照適度安全、分區分域、多重防護原則，綜合考慮建設成本，在保障工業控制系統高穩定性、高可用性的同時，針對系統的突出風險，提出相應的銷項措施，并按照黑客攻擊視角進行縱深防御體系的整體設計。

（一）石油行業典型工控網絡結構

石油行業工業控制系統根據功能以及安全需求，對照“等保2.0”的相關標準，劃分為五個不同層級，分別是現場設備層（井、間、站）、現場控制層、過程監控層（作業區）、生產管理層（采油廠）和企業資源層（辦公網）。針對過程監控層，對作業區內不同 SCADA 系統所下聯的不同井、間、站進行單獨區域的劃分，如圖1所示。

（二）工控網絡安全風險分析

相較于傳統的IT系統，工業控制系統由于其穩定性、連續性的生產需求，采用的生產網絡設備不會輕易升級和調整，網絡安全設計應以確保生產系統高可用性為前提，采用與之適配的安全防護技術[3]。

（三）縱深防御體系設計

縱深防御體系由現場控制層、過程監控層（作業區）、生產管理層（采油廠）和企業資源層（辦公網）四道防線組成，以網絡隔離、分區分域為設計思想，根據每個防區業務特點和面臨風險采用不同安全防護設備，分層部署專業級防護設備，深入解析工業網絡協議，阻斷黑客攻擊路徑，增大黑客攻擊成本，有效抵御非授權訪問、內外部網絡攻擊等行為。

1.防線一：企業資源層

企業資源層主要為辦公網和服務器集群，防護重點為互聯網側入侵與內部網絡違規使用。

服務器集群主要為服務器、應用系統等信息資產，面向內部網絡用戶提供數據服務。存在風險主要為服務器高危漏洞、應用業務漏洞風險。采用網絡入侵監測、日志審計、堡壘機等設備進行安全管控與入侵監測，通過漏洞掃描發現脆弱資產。

辦公網絡區主要為終端計算機，存在風險主要為操作系統漏洞、弱口令、外設使用等。另一方面由于內部網絡用戶數量眾多、網絡安全意識較差，來自互聯網側釣魚攻擊、社工攻擊等的計算機木馬病毒易于感染傳播，對工控網絡造成嚴重威脅。需采用網絡層入侵監測、入侵誘捕、漏洞掃描，主機層數據防泄漏、主機防護等設備進行重點防護。建議設備部署情況見表1。

2.防線二：生產管理層

生產管理層直接與辦公網絡相聯接，防護重點為辦公網跳板攻擊、木馬病毒、未授權網絡訪問等。

采用面向辦公網流量的隔離防護與入侵監測，在該層設立安全管理中心，需要具備入侵檢測、主機防護、日志審計、漏洞掃描等安全功能，開啟細粒度訪問控制策略，深度識別工業協議，杜絕辦公網與工控網之間的非授權交互，有效監測阻斷病毒傳播、黑客攻擊等行為，防止黑客在突破第一道防線后持續實施辦公網跳板攻擊、工控網橫向滲透和非授權訪問等入侵行為。

部署工業防火墻進行安全隔離與訪問控制，針對工控網絡中大量的工業主機終端、實時數據庫、生產控制系統、工業網絡設備等重要資產，通過工業堡壘機進行認證管理、賬號管理、權限管理、操作審計等，保障安全運維人員通過本地或遠程方式對工業資產進行運維操作的準入、控制以及審計。建議設備部署情況見表2。

3.防線三：過程監控層

過程監控層主要防護對象為工程師站、操作員站上位機等主機設備。主機設備多為Windows操作系統，面臨的主要風險為主機漏洞、病毒木馬、非授權操作等行為。

針對主機設備風險，對其進行主機安全加固，并部署主機安全衛士防護系統。啟用基于進程、網絡、外設的白名單防護機制，防止已知未知威脅。對工業主機進行進程級掃描，通過對進程名、路徑、MD5等進程信息，協議、方向（連入連出）、端口等網絡信息，設備類別、設備名稱、設備標識等外設信息進行白名單掃描，以及電子簽名機制，建立可信的白名單庫。確保只有白名單內的軟件才可以運行、白名單內的網絡才可以通信、白名單內的外設才可以接入，以此對病毒、木馬、違規軟件等已知未知威脅進行防護。

部署入侵監測系統進行安全監控，部署流量探針對各節點流量信息進行全面綜合分析，通過采集IP地址、MAC地址、時間、協議、方向、端口、指令數據、應用層數據等信息，形成漏洞防護、網絡掃描、蠕蟲病毒、木馬后門、窮舉探測、緩沖區溢出、異常報文、指令監控等安全審計日志，為綜合管控平臺提供不同位置、時間、類型的數據，從而幫助決策。

部署工業防護墻進行隔離，為各作業區提供相對獨立的安全生產環境，阻斷未授權訪問，將攻擊流量限制在作業區，阻止其威脅擴散，通過嚴格的分域隔離防護機制限制事件在整網蔓延。建議設備部署情況見表3。

4.防線四：現場控制層

現場控制層主要防護對象為DCS、PLC等現場控制設備。由于石油企業大多地域分布范圍廣，多采用無線數據傳輸、遠程控制等方式進行部署。面臨的風險主要為設備自身漏洞、工程師站組態指令惡意操作等風險。

部署安全接入網關實現身份認證與準入，確保生產指令下達的唯一性，利用國產密碼算法，實現身份認證、加密數據傳輸等安全功能，保證數據來源的唯一性、數據源的不可篡改性、數據操作的不可抵賴性等數據安全防護[4]。

在企業資源層部署一套綜合管控平臺，接收以上四道防線防火墻、入侵監測系統、工業流量探針、主機安全防護系統等安全設備日志進行綜合安全分析，結合企業資產情況進行工控安全的集中管控與態勢感知，實時監測分析工控網絡安全狀態，為安全管理員提供趨勢預測與威脅感知決策信息，可通過設備聯動直接向相應網絡位置的防火墻下達阻斷指令，提高應急響應事件處置效率，提升安全管理水平。

四、結語

石油行業工業控制系統和能源行業安全穩定關系到國計民生，在我國信息化高速發展期，更應注重網絡安全的整體性設計，工業控制系統網絡安全建設是工業企業信息化建設的重要一環。

本文立足石油行業網絡現狀與業務特點，以縱深防御為設計思想，根據“等保2.0”的具體要求，進行了工控安全防護體系的具體設計，實現態勢感知、入侵監測、入侵誘捕、主機防護、安全加固、橫向隔離、縱向分層、身份認證等多項安全功能，為石油企業工控安全建設提供參考。

參考文獻

[1]魯玉慶.油田工業控制系統信息安全縱深防御初探[J].自動化博覽，2020，37（06）：44-47.

[2]馮登國.網絡空間安全技術發展趨勢研究[J].信息安全研究，2025，11（01）：2-4.

[3]陳贊，陳星原，朱智岳.工業互聯網環境下IT/OT融合的安全防御技術研究[J].無線互聯科技，2024，21（20）：118-120.

[4]朱健.大型煉化企業工控系統安全防御淺析[J].儀器儀表用戶，2022，29（02）：105-108.

作者單位：新疆油田公司數據公司

責任編輯：王穎振 鄭凱津