★ 浙江國利網(wǎng)安科技有限公司

1 項目概況

1.1 項目背景

隨著(zhù)“兩化融合”走向深入，以及信息化、數字化、智能化快速發(fā)展，關(guān)系國計民生的關(guān)鍵信息基礎設施（能源、交通、制造業(yè)、水務(wù)等）成為黑客攻擊的主要目標，網(wǎng)絡(luò )攻擊事件頻發(fā)。2020年5月，以色列供水系統遭受大規模網(wǎng)絡(luò )攻擊，目標直指生產(chǎn)控制的邏輯控制器。

某水務(wù)環(huán)境集團作為集供水、排水、污水治理于一體的城市公共服務(wù)提供商，肩負著(zhù)該市近千萬(wàn)居民的用水安全。集團及下屬12家基層單位存在工控系統無(wú)法自主可控、工控安全防護技術(shù)能力薄弱、安全建設不統一等問(wèn)題，其工控系統網(wǎng)絡(luò )安全建設迫在眉睫。

1.2 項目簡(jiǎn)介

本項目針對該水務(wù)環(huán)境集團及其下屬供排水生產(chǎn)企業(yè)工控系統面臨的網(wǎng)絡(luò )安全問(wèn)題，建設了覆蓋1個(gè)集團的工業(yè)安全態(tài)勢感知與管理平臺和12個(gè)下屬供排水生產(chǎn)企業(yè)的工控網(wǎng)絡(luò )安全監控防護系統，構建了城市水務(wù)供排水網(wǎng)絡(luò )安全協(xié)同防御體系，實(shí)現了對工控系統全方位、全天候的網(wǎng)絡(luò )安全態(tài)勢感知，打造了多層級、可擴展的平臺架構，形成了完備的工控系統安全防御體系，全面提升了集團工控網(wǎng)絡(luò )安全防護的整體水平。

1.3 項目目標

城市水務(wù)工控系統網(wǎng)絡(luò )安全建設主要存在安全建設不全面不完善、安全防護不夠精準、工控核心控制器缺乏防護、安全應急響應不夠及時(shí)等問(wèn)題。針對該水務(wù)環(huán)境集團工控系統網(wǎng)絡(luò )安全面臨的風(fēng)險及行業(yè)安全建設方案的不足，本項目建設強化對工業(yè)控制器的防護，重點(diǎn)關(guān)注工業(yè)控制器內組態(tài)工程的異常變更情況，一旦出現對控制器的非法操作，造成組態(tài)工程的刪除、篡改或重要控制參數的修改、變更，可及時(shí)告警，并進(jìn)行恢復。同時(shí)本項目注重各個(gè)安全產(chǎn)品之間的協(xié)同，建設集團、企業(yè)兩級工控安全能力體系框架，搭建該水務(wù)環(huán)境集團網(wǎng)絡(luò )安全態(tài)勢感知系統及各個(gè)水廠(chǎng)廠(chǎng)級安全運維中心，實(shí)現全集團安全態(tài)勢可視、可知、可管、可控。

平臺部署模式圖如圖1所示。

圖1 平臺部署模式圖

廠(chǎng)級安全運維中心作為“廠(chǎng)級安全運維”的核心，負責廠(chǎng)級安全數據的收集與分析、廠(chǎng)級安全策略的定制與分發(fā)和廠(chǎng)級安全事件的查看與處置。廠(chǎng)級安全運維中心可以全面地收集安全產(chǎn)品信息、工業(yè)控制器信息以及網(wǎng)絡(luò )設備信息等，對數據進(jìn)行聯(lián)合分析并識別異常事件，生成對應的防護策略。用戶(hù)可以對異常事件進(jìn)行處置，對防護策略進(jìn)行管理與分發(fā)，形成廠(chǎng)級的監測、響應與防護的安全體系。

工業(yè)安全態(tài)勢感知平臺是“集團態(tài)勢感知”的載體，負責收集各個(gè)“廠(chǎng)級站點(diǎn)”的數據，并進(jìn)行分析和可視化，實(shí)現態(tài)勢觀(guān)測和威脅預測的功能。

2 項目實(shí)施

2.1 應用案例介紹

本方案根據前期對各個(gè)水廠(chǎng)的工控網(wǎng)絡(luò )安全調研，了解水務(wù)集團及各個(gè)制水廠(chǎng)、污水處理廠(chǎng)等廠(chǎng)站的工控系統的基本情況，包括整體網(wǎng)絡(luò )架構、廠(chǎng)級網(wǎng)絡(luò )架構、各個(gè)廠(chǎng)站內的工控設備信息、工控主機信息及當前安全防護狀況，并根據城市水務(wù)業(yè)務(wù)特點(diǎn)，主要針對區域邊界、計算環(huán)境及管理中心的改進(jìn)建議進(jìn)行部署，形成集團、企業(yè)和廠(chǎng)站三級安全管控模式。整體方案如圖2所示。

圖2 工控網(wǎng)絡(luò )安全解決方案網(wǎng)絡(luò )拓撲示意圖

在各個(gè)水廠(chǎng)工控系統的生產(chǎn)控制區與信息管理區之間部署工業(yè)防火墻，通過(guò)對通信數據進(jìn)行行為級、數值級的檢測，實(shí)現對控制器設備的訪(fǎng)問(wèn)控制；在各個(gè)水廠(chǎng)與該集團的網(wǎng)絡(luò )邊界處部署工業(yè)安全隔離與信息交換系統，以便在物理層面實(shí)現網(wǎng)絡(luò )隔離。在各個(gè)水廠(chǎng)工控系統的生產(chǎn)控制區的網(wǎng)絡(luò )核心節點(diǎn)部署工控安全審計系統，實(shí)現資產(chǎn)關(guān)系校驗、網(wǎng)絡(luò )流量審計、入侵檢測和異常行為告警。

在各個(gè)水廠(chǎng)工控系統的各個(gè)工控主機、服務(wù)器、接口機等設備處安裝工業(yè)主機安全防護系統進(jìn)行安全加固，以便對工控主機的運行資源、數據資源和物理存儲資源進(jìn)行管控，防范未知病毒的運行及其對主機資源的利用。

在各個(gè)水廠(chǎng)工控系統生產(chǎn)控制區的重點(diǎn)控制器交換節點(diǎn)處，部署國利網(wǎng)安獨有的控制器完整性監測與恢復系統，能夠對控制器的運行狀態(tài)、數據狀態(tài)等進(jìn)行實(shí)時(shí)、深度監測，根據異常情況進(jìn)行告警和無(wú)損恢復；在各個(gè)水廠(chǎng)工控系統生產(chǎn)控制區的重點(diǎn)控制器前部署控制器防護系統，對工控協(xié)議進(jìn)行深度檢測，高性能地實(shí)現對控制器的防護。

在各個(gè)水廠(chǎng)中部署廠(chǎng)級安全運維中心，對廠(chǎng)區內部署的工控安全產(chǎn)品實(shí)現集中管理與統一配置，并將安全信息通過(guò)網(wǎng)閘集中上送給集團態(tài)勢感知平臺。在水務(wù)集團部署工控安全態(tài)勢感知平臺，實(shí)現對各個(gè)水廠(chǎng)的整體安全態(tài)勢、資產(chǎn)情況、流量數據等信息的匯總和研判，從全局視角提升整個(gè)水務(wù)集團工控系統對安全威脅的發(fā)現識別、理解分析及響應處置能力。

2.2 實(shí)施成效

本方案從設備安全、控制安全、網(wǎng)絡(luò )安全、應用安全及數據安全等角度出發(fā)，構建城市水務(wù)工控系統的網(wǎng)絡(luò )安全縱深防御體系。主要實(shí)施成效如下所示：

（1）實(shí)現工控系統的空間測繪與資產(chǎn)畫(huà)像

采用主被動(dòng)掃描的方式對接入工控系統內的資產(chǎn)進(jìn)行測繪，有效測繪硬件資產(chǎn)及軟件資產(chǎn)，形成資產(chǎn)信息庫。通過(guò)對網(wǎng)內通信關(guān)系的實(shí)時(shí)捕獲，并結合高效的資產(chǎn)管理方案，實(shí)現工控系統的空間測繪。同時(shí)，基于自有知識庫進(jìn)行比對，聯(lián)系上下文進(jìn)行分析，展示資產(chǎn)全貌，并對整個(gè)工控系統進(jìn)行風(fēng)險評估，實(shí)現將碎片化的資產(chǎn)信息綜合加工形成對相應工控系統網(wǎng)絡(luò )安全系統、全面、直觀(guān)的認識。

（2）實(shí)現對各水廠(chǎng)工業(yè)控制器的訪(fǎng)問(wèn)控制和狀態(tài)監測

通過(guò)采取設備身份鑒別與白名單訪(fǎng)問(wèn)控制的方法實(shí)現對工業(yè)控制器的保護，使得所有對工業(yè)控制器的訪(fǎng)問(wèn)均為已授權的訪(fǎng)問(wèn)，確保工業(yè)控制器執行的控制命令均來(lái)自合法用戶(hù)。同時(shí)，實(shí)現對工業(yè)控制器的運行狀態(tài)、數據狀態(tài)等實(shí)時(shí)、深度監測，根據異常情況進(jìn)行告警與防護，并可在控制器工藝組態(tài)文件被篡改的情況下快速恢復安全版本。

（3）實(shí)現對各水廠(chǎng)工業(yè)主機的安全防護

在調控中心及各個(gè)場(chǎng)站的工控主機、服務(wù)器等設備中安裝的工業(yè)主機安全防護系統進(jìn)行安全加固，能夠對工控主機的運行資源、數據資源和物理存儲資源進(jìn)行管控，防范未知病毒的運行及其對主機資源的利用。

（4）強化對生產(chǎn)控制指令的保護

本方案配置的工控安全審計系統、工業(yè)防火墻等安全設備能對水廠(chǎng)工控系統中的通信協(xié)議進(jìn)行深度解析，并基于組態(tài)工藝指令組合白名單策略，實(shí)現對系統中工控行為及網(wǎng)絡(luò )行為的監測和防護，實(shí)現對工控系統參數變更的閾值及變更頻率的監測，及時(shí)發(fā)出預警，并根據用戶(hù)的授權情況進(jìn)行阻斷，避免發(fā)生安全事故，并提供詳實(shí)的數據支持。同時(shí)，可實(shí)現攻擊異常檢測、無(wú)流量異常檢測、重要操作行為審計、告警日志審計等功能。

（5）實(shí)現區域網(wǎng)絡(luò )隔離

在各水廠(chǎng)控制層與過(guò)程監控層之間部署工業(yè)防火墻、各水廠(chǎng)與集團之間部署工業(yè)網(wǎng)閘，實(shí)現安全區域隔離。對網(wǎng)絡(luò )邊界進(jìn)行監視，識別邊界上的入侵行為并進(jìn)行有效阻斷，保障生產(chǎn)控制區和生產(chǎn)管理區之間、生產(chǎn)管理區與集團辦公區之間的安全。

（6）加強對數據的保護

注重對工控系統內的數據的備份，如各個(gè)水廠(chǎng)生產(chǎn)工業(yè)控制器的組態(tài)工程和重點(diǎn)工藝參數，定期對數據進(jìn)行備份。當發(fā)生組態(tài)工程篡改、刪除、修改等事故時(shí)能及時(shí)恢復，從而降低用戶(hù)的損失。

（7）構建集團-企業(yè)-廠(chǎng)站三級協(xié)同響應體系

在各水廠(chǎng)部署廠(chǎng)級運維中心，對水廠(chǎng)內部署的工控安全產(chǎn)品及網(wǎng)絡(luò )設備進(jìn)行集中管理與統一配置，獲取各個(gè)安全產(chǎn)品的日志信息及各個(gè)網(wǎng)絡(luò )設備的接口使用情況，基于安全事件特征進(jìn)行聚類(lèi)分析，發(fā)現并確認安全事件，及時(shí)報警響應處理，提高管理效率，實(shí)現產(chǎn)品功能協(xié)同，降低運行維護成本。在供水公司及排水公司部署網(wǎng)絡(luò )安全態(tài)勢感知子系統，實(shí)現對下轄各水廠(chǎng)和污水廠(chǎng)的安全集中管理。在水務(wù)集團部署網(wǎng)絡(luò )安全態(tài)勢感知系統，實(shí)現對各個(gè)水廠(chǎng)的整體安全態(tài)勢、資產(chǎn)情況、流量數據等信息的匯總和研判，從全局視角提升整個(gè)水務(wù)集團工控系統對安全威脅的發(fā)現識別、理解分析及響應處置能力。

3 案例亮點(diǎn)及創(chuàng )新性

3.1 技術(shù)先進(jìn)性

（1）超強的自身安全性和設備可用性

這是國內首個(gè)直接部署在工控系統控制器前的產(chǎn)品，可以直接對控制器進(jìn)行安全防護，其微秒級處理時(shí)延少于30μs，優(yōu)于業(yè)界最好性能60μs。該產(chǎn)品采用硬件回路替代邏輯算法實(shí)現超低時(shí)延，并使用雙處理器架構，兩個(gè)處理器之間相互獨立，通過(guò)有限通信，當某一個(gè)處理器遭受網(wǎng)絡(luò )攻擊或處理器不能正常工作時(shí)，另一個(gè)處理器的業(yè)務(wù)處理單元仍能夠正常處理業(yè)務(wù)流程。因此，設備具有低延時(shí)、高可靠以及超強的自身安全性。

（2）國內首個(gè)組態(tài)工程監測與重建技術(shù)

該產(chǎn)品采用主被動(dòng)雙重檢驗的組態(tài)工程重建和監測技術(shù)，能實(shí)時(shí)測量、收集控制器健康數據，為控制器建立全生命周期組態(tài)的信息管理檔案，并解決控制器在遭受組態(tài)篡改攻擊后無(wú)法快速恢復及控制器組態(tài)文件無(wú)法審計分析的問(wèn)題。

（3）工控OT操作深度審計

該產(chǎn)品根據工藝要求和控制流程，結合IO點(diǎn)表信息，能智能識別工控系統應用服務(wù)對象、角色關(guān)聯(lián)對象、目標系統安全域對象和目標系統參數安全范圍對象，并根據識別出來(lái)的安全對象，映射生成安全產(chǎn)品防護策略規則樹(shù)，實(shí)現工控OT操作深度審計，支持多指標的工控行為檢測及工控數據變更檢測，支持深度解析城市水務(wù)行業(yè)常用協(xié)議Modbus、S7、ENIP/CIP、OPC、IEC104等。

3.2 可推廣性

隨著(zhù)城市水務(wù)數字化、智慧化建設浪潮的出現，城市水務(wù)工控網(wǎng)絡(luò )面臨愈加復雜的網(wǎng)絡(luò )安全風(fēng)險挑戰。本項目為典型的集團型水務(wù)企業(yè)提供工控系統網(wǎng)絡(luò )安全建設和運維管理的示范案例，有效保障水廠(chǎng)、污水處理廠(chǎng)等工控系統的生產(chǎn)安全，提高企業(yè)應急響應能力水平，提高集團工控網(wǎng)絡(luò )安全管控能力，具有較好的可復制性和可推廣性。

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統信息安全專(zhuān)刊（第九輯）》