編者按：隨著(zhù)物聯(lián)網(wǎng)、云計算、移動(dòng)互聯(lián)網(wǎng)、大數據、人工智能等新技術(shù)的飛速發(fā)展，以及IT與OT技術(shù)的進(jìn)一步融合，工業(yè)制造、城市交通、電力能源、農業(yè)等各大行業(yè)領(lǐng)域的智慧化發(fā)展已成為必然趨勢。推進(jìn)各領(lǐng)域向智慧化發(fā)展是一項復雜而龐大的系統工程，既需要單一技術(shù)與裝備的突破應用，還需要系統化的集成創(chuàng )新。智慧系統解決方案是推廣普及智能化技術(shù)的關(guān)鍵手段，是促進(jìn)各行業(yè)智能化水平提升的核心。

為深化智慧產(chǎn)業(yè)發(fā)展，進(jìn)一步提升智慧產(chǎn)業(yè)各領(lǐng)域系統解決方案應用水平，現由中國自動(dòng)化學(xué)會(huì )、智能制造推進(jìn)合作創(chuàng )新聯(lián)盟、工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟、邊緣計算產(chǎn)業(yè)聯(lián)盟、中國儀器儀表行業(yè)協(xié)會(huì )主辦，《自動(dòng)化博覽》雜志社&控制網(wǎng)（fcfhome.com）承辦的“2018智慧系統解決方案征集”活動(dòng)已正式啟動(dòng)，面向全行業(yè)公開(kāi)征集智慧系統解決方案。本刊特開(kāi)設智慧系統解決方案專(zhuān)欄，刊發(fā)其中優(yōu)秀的解決方案以饗讀者。

隨著(zhù)“工業(yè)4.0”、“中國制造2025”“互聯(lián)網(wǎng)+”行動(dòng)計劃等戰略的實(shí)施，網(wǎng)絡(luò )經(jīng)濟的發(fā)展和智能社會(huì )快速推進(jìn)，各種新業(yè)務(wù)形態(tài)大量涌現，中國制造業(yè)也在兩化深度融合的基礎上不斷進(jìn)行產(chǎn)業(yè)結構調整和升級轉型，在給人們的生產(chǎn)生活帶來(lái)了巨大變化的同時(shí)，其開(kāi)放性、隱蔽性、跨地域性等特性，也使得網(wǎng)絡(luò )空間存在巨大的安全隱患，安全問(wèn)題日益突顯、迅速放大，其一旦受到網(wǎng)絡(luò )攻擊，將會(huì )造成巨大經(jīng)濟損失和社會(huì )影響。加強工業(yè)互聯(lián)網(wǎng)安全防護不僅涉及企業(yè)自身利益，更是確保工業(yè)互聯(lián)網(wǎng)在各領(lǐng)域能夠落地實(shí)施的前提，也是產(chǎn)業(yè)安全和國家安全的重要基礎和保障。

本方案立足石油石化現狀，以某市油庫工控安全加固建設為例，參考企業(yè)信息化建設實(shí)踐經(jīng)驗，結合新技術(shù)發(fā)展，制定具備戰略性、前瞻性、可落地性的工控系統安全防護方案。該方案可廣泛應用于智能制造、能源、水利、醫療、電力等領(lǐng)域。本案中某市油庫通過(guò)工業(yè)互聯(lián)網(wǎng)建設，實(shí)現了數字油庫工控系統構建，最終建成了自動(dòng)化、信息化、智能化的智慧能源運營(yíng)體系。通過(guò)本方案實(shí)施，最終實(shí)現了某市油庫工控安全防護體系的整體建設。

本設計方案包括工控系統網(wǎng)絡(luò )安全防護設計、工控系統主機防護與預警設計、服務(wù)器終端監測與響應（EDR）、身份認證系統設計。

1 工控系統網(wǎng)絡(luò )安全防護設計

本方案針對某市油庫系統的特點(diǎn)，由內而外設計，與工控廠(chǎng)商結合，著(zhù)眼于茁壯性的機制，從控制系統“自生長(cháng)”出來(lái)的保護方案，如圖1所示。具體思路如下：

圖1  全生命周期解決方案示意圖

（1）全生命周期解決方案；

（2）通過(guò)多種手段提高該系統的整體安全性；

（3）源自該系統內部，并非外部補償性措施；

（4）監測與防御相結合，產(chǎn)品與服務(wù)相補充。

1.1 總體防護設計

本方案某市油庫工業(yè)控制網(wǎng)絡(luò )提供了全方位的綜合防御與保護，并且完整覆蓋了工業(yè)控制系統整個(gè)生命周期。

在軟件層面上, 該平臺建立在機器智能學(xué)習引擎、深度數據包解析引擎和開(kāi)放式特征匹配三大功能引擎之上，支持工控協(xié)議和工業(yè)以太網(wǎng)協(xié)議，同時(shí)適用于PLC、DCS、SCADA等現場(chǎng)環(huán)境，不僅具備多種工控網(wǎng)絡(luò )協(xié)議數據的檢查、過(guò)濾、報警、阻斷功能，同時(shí)擁有基于工業(yè)漏洞庫的黑名單入侵防御功能，和基于機器智能學(xué)習引擎的白名單主動(dòng)防御功能以及大規模分布式實(shí)時(shí)網(wǎng)絡(luò )部署和更新等功能，并提供高度開(kāi)放的平臺開(kāi)發(fā)工具包。
硬件層面上，該平臺具有全封閉、無(wú)風(fēng)扇、多電源冗余、硬件加密等特點(diǎn)，確保達到苛刻的可靠性和穩定性要求。

智能保護系統能夠識別出網(wǎng)絡(luò )中由于惡意入侵、系統故障、人員誤操作所引起的異?？刂菩袨楹头欠〝祿?，及時(shí)對其進(jìn)行告警和阻斷，并能為后續的安全威脅排查提供依據。

根據上述情況總體防護拓撲如圖2所示。

圖2  總防護示意圖

1.2 區域安全隔離設計

區域隔離：智能工業(yè)防火墻可以根據工業(yè)網(wǎng)絡(luò )的區域劃分，對每個(gè)區域進(jìn)行數據保護，做到橫向隔離，縱向保護的安全數據過(guò)濾隔離。通過(guò)訪(fǎng)問(wèn)控制實(shí)現網(wǎng)絡(luò )的結構安全性，滿(mǎn)足實(shí)際應用需求。支持Modbus/TCP、OPC、IEC104、DNP3、Profinet、MMS等眾多工業(yè)協(xié)議深度包檢測和智能白名單學(xué)習及規則部署。

智能工業(yè)防火墻除了支持自身安全管理外，同時(shí)支持統一安全管理平臺的集中管理，形成“近可分流，遠可聯(lián)動(dòng)”的整體工控網(wǎng)絡(luò )安全解決方案，全方位保護工控網(wǎng)絡(luò )安全，充分保障客戶(hù)安全投入的價(jià)值。

圖3 區域安全隔離部署示意圖

1.3 網(wǎng)絡(luò )監測審計

監測審計：采用監測審計系統對工業(yè)控制網(wǎng)絡(luò )實(shí)現實(shí)時(shí)告警系統，通過(guò)特定的安全策略，快速識別出系統中存在的非法操作、異常事件、外部攻擊并實(shí)時(shí)告警，提高了整個(gè)系統的監測預警能力有利于對每個(gè)目標的安全防護。

圖4 監測審計部署示意圖

1.4 控制器保護

控制器終端保護：保護系統為工業(yè)控制網(wǎng)絡(luò )提供了底層及終端設備全方位的綜合防御與保護，保護系統能夠識別出網(wǎng)絡(luò )中由于惡意入侵、系統故障、人員誤操作所引起的異?？刂菩袨楹头欠〝祿?，及時(shí)對其進(jìn)行告警和阻斷，并能為后續的安全威脅排查提供依據。

圖5 控制器智能保護部署示意圖

2 工控系統主機防護與預警設計

2.1 總體設計思路

工控系統主機防護與預警設計包括三方面的內容：檢測與預警、控制、管理。

（1）監測與預警

通過(guò)工控上位機攻擊行為跟蹤分析、工控異常行為審計、工控安全態(tài)勢感知及預計等功能實(shí)現工業(yè)控制系統的安全檢測與預警，全天候全方位感知工控系統網(wǎng)絡(luò )安全態(tài)勢。掌握攻擊發(fā)起的時(shí)間、地點(diǎn)、攻擊方式、攻擊路徑和攻擊目的/目標。

（2）控制及防御

通過(guò)主動(dòng)防御系統ICS-PDS對已知和未知威脅進(jìn)行感知、跟蹤、識別、控制和處理（清除惡意程序），使進(jìn)入工業(yè)控制網(wǎng)絡(luò )上位機的惡意程序得到清除處理，守住工業(yè)控制系統安全防御的最后一道防線(xiàn)。

（3）管理

通過(guò)工業(yè)控制系統統一安全管理平臺，對工業(yè)控制系統所部署的安全系統及所產(chǎn)生安全事件進(jìn)行集中統一管理，建立集中統一安全管理策略及安全事件應急處置機制和流程。

圖6  集中統一安全管理策略及安全事件應急處置機制示意圖

2.2 功能設計

（1）主動(dòng)防御系統由三大防御體系構成如圖7所示。

圖7  主動(dòng)防御體系構成

（2）對建立的事前、事中、事后防御體系的安全事件及攻擊行為進(jìn)行關(guān)聯(lián)分析；

（2）具有六大子防御系統構成上位機防御體系；

圖8 主動(dòng)防御安全保護模型

（3）部署在上位機的ICS-PDS的防御引擎具備對未知和已知攻擊進(jìn)行實(shí)時(shí)對抗的能力；

（4）主動(dòng)防御系統具有安全檢測及安全加固功能；

（5）對惡意代碼或惡意程序的處理提供系統自動(dòng)處理與人工干預處理（即手動(dòng)處理）兩種模式。

3 服務(wù)器終端檢測與響應（EDR）

為保證終端計算機的安全，禁用所有USB設備，只允許使用鼠標鍵盤(pán)設備。

3.1 端安全加固

對終端計算機的安全加固，可采取的措施有：補丁管理、防病毒軟件監測、主機防火墻，上述措施均增強了終端計算機的安全性和健壯性。

3.2 行為監控

對用戶(hù)行為的監控，包括用戶(hù)網(wǎng)絡(luò )資源的進(jìn)程監控、上網(wǎng)控制。

3.3 終端配置管理

配置管理主要完成終端計算機的各種信息的收集和系統參數的配置。通過(guò)配置管理，IT管理人員可以準確掌握每臺終端計算機的配置狀況和運行參數，并批量地對終端計算機的運行參數進(jìn)行遠程修改。

3.4 遠程維護管理

遠程維護就是依靠技術(shù)手段和工具，遠程對終端計算機進(jìn)行故障診斷、系統修復和日常維護等。

3.5 軟件分發(fā)管理

軟件分發(fā)，支持分發(fā)任意類(lèi)型軟件，包括：程序生成安裝包、MSI安裝包、獨立軟件安裝包、各類(lèi)腳本、文檔。同時(shí)還需支持在登錄用戶(hù)是普通用戶(hù)權限（無(wú)安裝權限）情況下，進(jìn)行軟件自動(dòng)分發(fā)、安裝。

3.6 資產(chǎn)管理

系統自動(dòng)登記終端計算機的硬件配置（包括CPU類(lèi)型、主頻、內存、硬盤(pán)、顯示卡、網(wǎng)卡等），并自動(dòng)將終端計算機的操作系統、安裝的軟件、運行的程序和服務(wù)、系統日志、共享資源以及補丁、端口等信息統計匯總，可以按設備類(lèi)型、部門(mén)等方法對設備進(jìn)行分類(lèi)管理，使得系統管理員能夠輕松自如地管理著(zhù)整個(gè)網(wǎng)絡(luò )的硬件、軟件資源，及時(shí)洞察系統配置的變動(dòng)。

3.7 網(wǎng)絡(luò )管理

系統自動(dòng)發(fā)現網(wǎng)絡(luò )內所有網(wǎng)絡(luò )設備（設備的IP地址），通過(guò)系統提供的智能學(xué)習功能，自動(dòng)識別網(wǎng)絡(luò )的物理拓撲結構，生成網(wǎng)絡(luò )物理連接拓撲圖。

3.8 設備監控管理

系統自動(dòng)登記受控終端的硬件配置（包括CPU、內存、硬盤(pán)、顯示卡、網(wǎng)卡等等），當受控終端的硬件發(fā)生變動(dòng)時(shí)能自動(dòng)向安全管理核心系統發(fā)出報警信息。

4 身份認證系統設計

身份管理平臺包括統一身份管理、統一應用管理、集中賬號管理、身份庫查詢(xún)API、身份庫管理API、統一身份認證、統一權限管理、分級管理、安全審計與用戶(hù)行為分析、分布式認證部署、系統自身安全保障。

通過(guò)與統一身份認證系統的集成，可以實(shí)現以下使用效果：

（1）提高用戶(hù)身份管理、應用系統帳號的管理效率，管理員可以在統一身份認證平臺上對所有的應用系統進(jìn)行集中的帳號管理。

（2）通過(guò)與HR信息聯(lián)動(dòng)的用戶(hù)全生命周期管理，從人員入職帳號自動(dòng)開(kāi)通到離職時(shí)自動(dòng)注銷(xiāo)及帳號的歸檔管理。

（3）通過(guò)與應用系統的統一認證集成，用戶(hù)使用手機安全令或UKey等強認證方式登錄應用系統，整體上提升應用系統訪(fǎng)問(wèn)的安全性，最大程度降低用戶(hù)名口令方式帶來(lái)的安全隱患。

（4）對于不同安全級別的應用系統及同一應用系統中的關(guān)鍵操作可以通過(guò)策略配置進(jìn)行二次認證，保證系統訪(fǎng)問(wèn)的安全。

（5）用戶(hù)在所有平臺的訪(fǎng)問(wèn)及關(guān)鍵操作都將被審計平臺全部進(jìn)行基于自然人的審計，并形成圖形化展示報表。

（6）可以快速實(shí)現與其他應用系統的集成，更大范圍內保護應用系統的使用安全。

統一身份認證管理平臺的應用構架方案適用于企業(yè)多個(gè)應用系統的集中管理需求，可以真正實(shí)現一個(gè)實(shí)名用戶(hù)永遠只在企業(yè)中有一個(gè)唯一的身份及一套證明其身份的認證方式。采用此方案，真正的將原有對賬戶(hù)資源基本的管理及認證改變?yōu)橐宰匀蝗藶橹黧w的安全認證管理模式。讓用戶(hù)無(wú)論是在互聯(lián)網(wǎng)訪(fǎng)問(wèn)企業(yè)的郵件系統，或通過(guò)企業(yè)辦公網(wǎng)絡(luò )訪(fǎng)問(wèn)OA系統都采用相同的身份及認證方式。

5 結論

通過(guò)對于某市油庫的工控系統網(wǎng)絡(luò )安全防護設計、工控系統主機防護與預警設計、服務(wù)器終端監測與響應（EDR）、身份認證系統設計，最終完成油庫工控系統網(wǎng)絡(luò )安全防護體系和應用系統綜合防御體系建設。新建立的信息安全保障體系，可以為針對信息系統的各種攻擊行為建立完善的防御和監管措施。其部署實(shí)施具有重要的意義和價(jià)值：

（1）滿(mǎn)足安全合規要求

使企業(yè)工控系統符合國家安全性政策法規，滿(mǎn)足其工業(yè)網(wǎng)絡(luò )安全的剛性需求。

（2）提高油庫安全防護性

為企業(yè)工控網(wǎng)絡(luò )安全穩定運行提供了基礎保障，實(shí)現病毒、木馬等惡意程序的防護，可防范內外部人員攻擊、軟件后門(mén)利用等多種威脅，顯著(zhù)加強企業(yè)自身工控系統防范和預警感知能力，有效保障企業(yè)及國民經(jīng)濟的穩定發(fā)展。

（3）優(yōu)化資源配置

在滿(mǎn)足合規要求的同時(shí)，利用業(yè)主本身現有資源，在有限資源條件下最大限度地提升安全防護水平。

（4）樹(shù)立標桿形成示范

針對工控系統的技術(shù)特點(diǎn)以及企業(yè)自身的業(yè)務(wù)特點(diǎn)，實(shí)現從管理到技術(shù)的完整覆蓋，充分滿(mǎn)足監管及未來(lái)業(yè)務(wù)發(fā)展需要，為能源類(lèi)企業(yè)工控安全防護積累經(jīng)驗，起到良好的示范作用。

本方案可推廣適用于SCADA、DCS、PCS、PLC等工業(yè)控制系統，可廣泛應用于石油石化、天然氣、電力、智能制造、水利、鐵路、城市軌道交通、城市供水供氣供熱等工業(yè)控制系統中。本方案的推廣實(shí)施，將為我國工業(yè)網(wǎng)絡(luò )和基礎設施網(wǎng)絡(luò )安全防護能力的全面提升提供助力，為國家關(guān)鍵基礎設施防護和網(wǎng)絡(luò )安全防護體系建設貢獻力量。

摘自《自動(dòng)化博覽》2018年11月刊