一、前言

工業(yè)控制系統已廣泛應用于電力、軌道交通、石油化工、航空航天等工業(yè)領(lǐng)域。目前，大量的涉及國計民生的關(guān)鍵基礎設施依靠工業(yè)控制系統來(lái)實(shí)現自動(dòng)化操作。工業(yè)控制系統已經(jīng)成為國家關(guān)鍵基礎設施的重要組成部分。

隨著(zhù)工業(yè)化與信息化進(jìn)程的不斷交叉融合，越來(lái)越多的信息技術(shù)應用到了工業(yè)領(lǐng)域。由于工業(yè)控制系統廣泛采用通用網(wǎng)絡(luò )設備和IT設施，以及與企業(yè)信息管理系統的集成，傳統信息網(wǎng)絡(luò )所面臨的病毒、木馬、入侵攻擊、拒絕服務(wù)等安全威脅也正在向工業(yè)控制系統擴散。

二、項目背景

國內某知名油田分公司下屬采氣廠(chǎng)所轄探區范圍廣闊，天然氣探明儲量具有舉足輕重的戰略地位，是油田最具開(kāi)發(fā)潛力的區塊之一。該采氣廠(chǎng)同時(shí)負責多個(gè)氣田及其他探區的開(kāi)發(fā)建設和管理，承擔著(zhù)部分氣量轉輸以及向華北地區及周邊城市供氣的艱巨任務(wù)。

采氣廠(chǎng)在2015年8月和2016年5月，先后發(fā)生兩次異常停機事件，事件影響惡劣并直接造成了巨大的經(jīng)濟損失，然而事故原因無(wú)法查證。事件引起公司管理層對工業(yè)控制系統安全的高度重視，并將工控系統安全防護提升到戰略層面。

三、需求分析

從接到客戶(hù)需求的那一刻起，北京威努特技術(shù)有限公司（以下簡(jiǎn)稱(chēng)威努特）以實(shí)時(shí)高效為前提、安全可靠為目標、主動(dòng)防御為手段，力求為該采氣廠(chǎng)工控系統的安全防護量身打造精準的解決方案。

工控系統安全防護區別于信息系統安全防護的一個(gè)重要特征就是：防護的方案一定是基于對客戶(hù)生產(chǎn)工藝流程的了解。從大的方面講，工控安全是生產(chǎn)安全的一部分，所有安全防護的目標就是保證生產(chǎn)的安全穩定運行，因此工控系統的實(shí)地調研和風(fēng)險評估是一個(gè)非常重要的環(huán)節，通過(guò)該環(huán)節，才可以真正讓安全需求落地。

經(jīng)過(guò)調研和評估，威努特總結出如下幾個(gè)關(guān)鍵的安全薄弱環(huán)節：

管理網(wǎng)與外網(wǎng)連接，生產(chǎn)網(wǎng)與管理網(wǎng)互通，生產(chǎn)網(wǎng)與管理網(wǎng)邊界存在重大安全隱患。

作為數據采集及存儲的關(guān)鍵部分，OPC 服務(wù)器存在諸多安全隱患。

工業(yè)控制相關(guān)的應用系統普遍存在弱口令問(wèn)題，這也反映出安全意識的不足。

工控主機中會(huì )存儲一些重要的文件，但是文件一般未加密，容易造成核心數據丟失，同時(shí)病毒感染的現象普遍。

便攜式工程師站、操作員站防護手段不足，會(huì )成為病毒、木馬入侵的跳板。

四、方案設計

網(wǎng)絡(luò )安全從來(lái)都不是孤立的，我們在強調技防的同時(shí)，也要重視從管理入手去杜絕安全隱患，因此整個(gè)安全方案第一步就是幫助客戶(hù)建立起一套有針對性的工控安全管理體系。

依托對工業(yè)網(wǎng)絡(luò )和工業(yè)協(xié)議的深度認知和深入研究，威努特公司在工控安全領(lǐng)域積累了深厚的技術(shù)基礎，結合該采氣廠(chǎng)的現狀及特點(diǎn)，威努特設計了涵蓋工控系統邊界防護、區域防護和主機防護的縱深防御解決方案，部署了包括威努特工業(yè)防火墻、工控主機衛士（主機安全加固）以及統一安全管理平臺等在內的一系列自主研發(fā)的安全防護產(chǎn)品。

方案邏輯拓撲如下：

五、項目實(shí)施

確定方案后，技術(shù)服務(wù)團隊首先對感染病毒的主機進(jìn)行病毒清理工作。不同于辦公主機的殺毒，工控主機的病毒清理需要慎之又慎，在最大化降低對生產(chǎn)控制影響的同時(shí)，還要考慮到病毒清理可能對應用軟件的破壞，因此需要先備份，后殺毒。在備份主機上確認殺毒方案對當前系統沒(méi)有影響的情況下，才真正在目標主機上開(kāi)展相關(guān)病毒清理工作，病毒清理干凈后，部署主機衛士進(jìn)行最終的加固。

在不同的作業(yè)區與管理網(wǎng)的邊界部署工業(yè)防火墻，在做好有效的訪(fǎng)問(wèn)控制的同時(shí)，通過(guò)工業(yè)協(xié)議的深度解析和指令級控制，有效阻斷來(lái)在生產(chǎn)網(wǎng)之外的對工控系統的攻擊行為。要做好工控協(xié)議的深度解析和指令級控制，首先要建立完整的業(yè)務(wù)模型，這一方面要借助工業(yè)防火墻的工業(yè)協(xié)議智能學(xué)習功能，同時(shí)也要結合人工的分析和調整，真正實(shí)現該阻斷的絕不放過(guò)，該通過(guò)的絕不阻斷。作為現場(chǎng)的服務(wù)工程師，仔細的觀(guān)察數據的流量、分析業(yè)務(wù)的邏輯并確認業(yè)務(wù)模型的準確性是一個(gè)關(guān)鍵的環(huán)節。

六、防護效果

方案的落地給該客戶(hù)帶來(lái)的價(jià)值是明顯的，不管是工業(yè)防火墻還是工控主機衛士，實(shí)實(shí)在在的起到了應有的防護作用，通過(guò)幾張現場(chǎng)的截圖，更清楚的展現給讀者。

工控主機衛士有效阻止非法程序運行，如圖所示：

工控主機衛士對移動(dòng)存儲設備精準管控，如圖所示：

工業(yè)防火墻成功阻斷外網(wǎng)甚至是境外IP的非法訪(fǎng)問(wèn)，如圖所示：

七、總結

從總體上看，我國工業(yè)控制系統信息安全防護體系建設滯后于系統本身的建設，還處于初級階段。工業(yè)控制系統種類(lèi)繁多、協(xié)議復雜，那么工控安全就不能搞一刀切，傳統的安全防護思路要繼承，但更要因地制宜、量體裁衣。工控安全是一個(gè)更專(zhuān)業(yè)、更細化的安全分支，需要每一個(gè)從業(yè)者不斷開(kāi)拓創(chuàng )新，從而為國家的網(wǎng)絡(luò )空間安全戰略貢獻力量。