★北京網(wǎng)御星云信息技術(shù)有限公司

1 項目概況

1.1 項目背景

在“兩化”融合的行業(yè)發(fā)展需求下，燃氣公司除了ERP、CRM以及OA等多數企業(yè)使用的經(jīng)營(yíng)管理類(lèi)信息系統外，還建立了大量的符合自身需求的生產(chǎn)運營(yíng)類(lèi)的系統，包括SCADA系統、生產(chǎn)調度系統、GIS系統以及其他生產(chǎn)運營(yíng)相關(guān)的工控系統等。當前燃氣企業(yè)正在向“智能管網(wǎng)”的方向邁進(jìn)，對SCADA系統的依賴(lài)更加嚴重。

當前，國家對工業(yè)控制系統的通用性與開(kāi)放性提出了更高的要求。燃氣行業(yè)未來(lái)工業(yè)控制系統面臨的安全威脅也會(huì )越來(lái)越多。燃氣作為國家關(guān)鍵基礎設施之一，特別是隨著(zhù)監管側的相關(guān)法律法規的出臺，工控網(wǎng)絡(luò )安全建設需求愈發(fā)迫切。

1.2 項目簡(jiǎn)介

本方案整體思路是建立ICS的全生命周期的安全防護，即在系統的規劃設計、建設實(shí)施、運行維護、廢棄各階段進(jìn)行安全防護。

本方案總體防護思路如圖1所示。首先對整個(gè)燃氣ICS進(jìn)行全面風(fēng)險評估，掌握目前ICS風(fēng)險現狀；其次對ICS進(jìn)行合理的安全域劃分，在區域之間進(jìn)行邊界隔離，實(shí)現安全域之間的訪(fǎng)問(wèn)控制，并根據相關(guān)標準，在不同區域設置相應的監測、防護策略和技術(shù)措施，保證安全區域內部安全；最后對整個(gè)ICS進(jìn)行統一安全呈現，將各個(gè)防護點(diǎn)組成一個(gè)全面的防護體系，保障整個(gè)ICS安全穩定運行。

圖1 總體防護思路

1.3 項目目標

本項目整體防護目標的設計充分參考了國內外相關(guān)工控安全標準和成熟安全模型，并結合了行業(yè)工控系統的業(yè)務(wù)特點(diǎn)和安全需求。同時(shí)，按照生產(chǎn)優(yōu)先的原則，以保障工控系統生產(chǎn)任務(wù)正常運行為基本出發(fā)點(diǎn)，確保方案中的所有安全防護措施的部署不會(huì )對正常工業(yè)生產(chǎn)構成影響，并充分考慮了他們和工控系統、網(wǎng)絡(luò )和軟硬件設備之間的兼容性。

本項目預期達成以下目標：

燃氣SCADA系統信息安全技術(shù)體系規劃結合燃氣信息系統現狀、安全需求和業(yè)務(wù)發(fā)展實(shí)際需要，分為網(wǎng)絡(luò )安全、主機安全、應用安全、數據安全、基礎設施5個(gè)層面。

（1）網(wǎng)絡(luò )安全：采用工業(yè)防火墻實(shí)現網(wǎng)絡(luò )安全域劃分、工控網(wǎng)與辦公網(wǎng)絡(luò )的技術(shù)隔離，防御外部威脅的侵入，形成從內到外的防護體系。

圖2 總體部署方案

（2）主機安全：采用工業(yè)控制系統終端安全管理平臺統一管控工作站和服務(wù)器，實(shí)現補丁分發(fā)、病毒防護及策略定制，發(fā)現系統存在的漏洞和風(fēng)險，降低終端維護和管理工作量，阻止非法程序和未經(jīng)授權軟件運行，保障工作站和服務(wù)器主機全生命周期的安全。

（3）應用安全：采用工控異常監測系統對燃氣SCADA系統工控網(wǎng)絡(luò )中傳輸的數據進(jìn)行實(shí)時(shí)監測、記錄和審計，及時(shí)發(fā)現網(wǎng)絡(luò )違規操作和異常行為，實(shí)現事前部署、事中監控、事后追溯。

（4）數據安全：燃氣SCADA系統調度中心與場(chǎng)站之間通過(guò)工業(yè)防火墻VPN技術(shù)提供安全訪(fǎng)問(wèn)通道，解決工控網(wǎng)絡(luò )數據傳輸通道加密的問(wèn)題。

（5）基礎設施：采用工控統一安全管理平臺采集、監控燃氣SCADA系統中的IFIX服務(wù)器、中心數據庫、前置機、SCADA工作站、場(chǎng)站無(wú)人值守操作站以及安全設備的可用性，并對其日志信息進(jìn)行統一收集、管理和分析。

2 項目實(shí)施

2.1 防護方案

2.1.1安全域規劃

本方案采取按功能分層的方式對燃氣SCADA系統進(jìn)行分析和安全設計，并根據其應用、數據、用戶(hù)及特定接入的不同安全需求由下至上劃分出四層架構，具體如圖3所示。

圖3 SCADA系統網(wǎng)絡(luò )架構

依據安全域劃分原則，同一安全域擁有相同的安全等級和屬性，域內是相互信任的，安全風(fēng)險主要來(lái)自不同的安全域互訪(fǎng)，需要加強安全域邊界的安全防護。區域之間依據業(yè)務(wù)及安全的需要配置安全策略，有效實(shí)現信息系統合理安全域劃分。具體規劃如圖4所示。

圖4 安全域規劃

2.1.2 場(chǎng)站終端安全防護

將導軌式工業(yè)防火墻部署于場(chǎng)站PLC/RTU與上聯(lián)交換機之間，通過(guò)工業(yè)防火墻特有的應用協(xié)議分析功能和業(yè)務(wù)需求指令配置功能，保證關(guān)鍵鏈路只傳遞業(yè)務(wù)必要信息，避免病毒和病毒的相互感染，更重要的是保證生產(chǎn)指令正確、可靠、及時(shí)地傳遞。具體規劃如圖5所示。

圖5 終端安全防護圖

實(shí)現效果：

（1）基礎功能：具備基礎防火墻功能，包括基于傳統五元組、協(xié)議、資產(chǎn)、時(shí)間等多元組一體化訪(fǎng)問(wèn)控制；支持透明、路由、混合模式部署；設備內置多種工業(yè)防護模型，并可以自定義防護規則。

（2）工業(yè)DPI：支持多種工業(yè)協(xié)議深度解析，包括OPC、Modbus/TCP、Modbus/RTU、Ethernet/IP、IEC104和EIP等協(xié)議，可以做到指令級訪(fǎng)問(wèn)控制。

（3）工業(yè)IPS：預置工控系統攻擊事件庫，全面提升工業(yè)網(wǎng)絡(luò )安全防護能力；基于自然語(yǔ)言描述的可擴展規則引擎，支持自定義報文解析，具備極佳的安全防護擴展能力。

（4）流量自學(xué)習：流量智能學(xué)習，自動(dòng)推薦安全策略幫助管理員輕松運維；流量可視化，讓管理員洞悉工業(yè)網(wǎng)絡(luò )情況。

（5）集中管理：支持工業(yè)防火墻的大規模部署，全網(wǎng)策略統一下發(fā)，設備情況統一展現，日志告警集中顯示。

（6）日志審計：支持設備管理日志和系統日志的記錄和外發(fā)。

2.1.3 調度中心檢測審計

在燃氣調度中心SCADA安全域接入層交換機部署工業(yè)異常檢測系統，并配置鏡像端口對數據流實(shí)施抓取和分析，監控所有流經(jīng)主控系統的網(wǎng)絡(luò )流量和訪(fǎng)問(wèn)行為，對異常流量和行為實(shí)時(shí)監控和報警。在此基礎上增加安全審計產(chǎn)品，可以更好地對入侵和安全事件進(jìn)行關(guān)聯(lián)和管理，并采取短信、郵件等形式的告警。

部署專(zhuān)業(yè)審計設備（如圖6所示），對數據庫操作及日志記錄進(jìn)行安全審計。通過(guò)將SCADA系統所產(chǎn)生的運行日志和操作日志寫(xiě)入關(guān)系數據庫中，對關(guān)系數據庫日志記錄表進(jìn)行審計。

圖6 調度中心檢測審計部署

審計設備對日志記錄的審計包含日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件操作結果等審計記錄，審計設備提供審計記錄導出功能，將定期導出審計記錄進(jìn)行備份保存。審計設備將與系統統一時(shí)鐘源進(jìn)行同步，確保審計記錄時(shí)間的正確性。

實(shí)現效果：

（1）通用網(wǎng)絡(luò )入侵檢測：對采用標準以太網(wǎng)的信息網(wǎng)絡(luò )，檢測已知的各種木馬、蠕蟲(chóng)、僵尸網(wǎng)絡(luò )、緩沖區溢出攻擊、DDOS、掃描探測、欺騙劫持、網(wǎng)站掛馬等。

（2）工控語(yǔ)言專(zhuān)項解讀：支持Modbus協(xié)議、IEC-60870-104協(xié)議、BACnet協(xié)議、DNP3協(xié)議、Modicon協(xié)議、NiagaraFox協(xié)議、SiemensS7協(xié)議等工控協(xié)議的深度解析。

（3）工控網(wǎng)絡(luò )特有檢測策略：通過(guò)對工控語(yǔ)言的解讀，研究其中各種入侵途徑，從而形成特有的工控網(wǎng)絡(luò )檢測策略，并內置在產(chǎn)品中。

（4）利用工控漏洞的入侵行為檢測：支持利用已知工控設備漏洞的入侵攻擊行為檢測，支持利用西門(mén)子、羅克韋爾等廠(chǎng)商設備漏洞的入侵攻擊行為檢測。

（5）網(wǎng)絡(luò )偽造報文攻擊檢測：可發(fā)現惡意構造的異常報文、畸形報文。

（6）可定制的工控網(wǎng)絡(luò )安全異常檢測：產(chǎn)品開(kāi)放其靈活、強大的定制檢測能力，可針對專(zhuān)用工控網(wǎng)絡(luò )的業(yè)務(wù)操作數據進(jìn)行梳理，總結出相應的業(yè)務(wù)白名單，進(jìn)而制定出有效的安全異常檢測規則，實(shí)現具有用戶(hù)特色的專(zhuān)屬檢測方式。

2.1.4 操作站安全防護

工控終端安全管理系統中心服務(wù)器部署在SCADA安全域內，方便進(jìn)行管理，更有利于安全接入管理；客戶(hù)端部署在調度中心和站控的操作員站、工程師站、遠程訪(fǎng)問(wèn)SCADA系統的各個(gè)終端，部署方式可以采用登錄WEB頁(yè)面下載安裝和電子郵件分發(fā)客戶(hù)端相結合的方法。

工控終端安全管理系統中心負責燃氣SCADA區域終端的管理，負責全網(wǎng)各業(yè)務(wù)系統終端計算機的信息收集與策略下發(fā)，實(shí)現對終端計算機的管理，并在服務(wù)器上配置補丁系統，將補丁文件的存貯、發(fā)放和管理集中在服務(wù)器進(jìn)行。負責對各終端計算機進(jìn)行查看，并進(jìn)行策略制定、下發(fā)。

SCADA系統終端安裝客戶(hù)端程序，負責向服務(wù)器上報資產(chǎn)、行為、補丁等信息，同時(shí)從服務(wù)器接收策略，并執行。

圖7 操作站安全防護部署

實(shí)現效果：

以燃氣調度中心內SCADA系統服務(wù)區及終端計算機為管理對象，通過(guò)傳統桌面管理、終端數據防泄密、終端防病毒三大模塊形成全面終端安全解決方案，提升內網(wǎng)安全防護能力和合規管理水平；構建“不可信終端進(jìn)不來(lái)”“入網(wǎng)終端管得住”“敏感數據出不去”的內網(wǎng)終端安全管理體系，逐漸形成桌面管理、數據防泄密、終端防病毒三位一體的終端安全管控產(chǎn)品新業(yè)態(tài)。

（1）終端管理一體化：桌面管理、數據防泄密、終端防病毒三功能合一，一個(gè)客戶(hù)端解決終端安全管理的所有問(wèn)題，減輕用戶(hù)桌面壓力。

（2）全面資產(chǎn)管理：對終端資產(chǎn)全生命周期進(jìn)行管理，提供終端操作系統漏洞檢測和修復、終端平臺環(huán)境規范以及遠程支持和維護等全方位的終端運維管理。

（3）精細化安全防護：天珣客戶(hù)端內置強大的主機防火墻引擎，采用訪(fǎng)問(wèn)控制、流量控制、ARP欺騙控制、網(wǎng)絡(luò )行為模式控制、非法外聯(lián)控制等手段，實(shí)現針對計算機終端的威脅主動(dòng)防御和網(wǎng)絡(luò )行為控制，從而保證計算機終端雙向訪(fǎng)問(wèn)安全、行為受控。

（4）規范終端行為：從終端審計、移動(dòng)存儲管理、安全基線(xiàn)設定等角度，提供全方位的終端合規管理功能，從規范終端用戶(hù)行為出發(fā)，封堵終端違規的漏洞，監控和規范終端用戶(hù)行為，全面提升終端安全管理水平。

（5）敏感數據保護：從讓用戶(hù)了解內網(wǎng)敏感數據的角度出發(fā)，到發(fā)現敏感數據，監控數據流動(dòng)，檢測泄密風(fēng)險并在發(fā)生泄密行為時(shí)及之后進(jìn)行相應的阻止和審計，保證泄密事件發(fā)生前、中、后都能有效地為用戶(hù)提供強有力的技術(shù)支撐。

（6）防病毒：集成經(jīng)過(guò)權威防病毒機構認證的終端防病毒引擎，保證內網(wǎng)每一個(gè)終端節點(diǎn)都處于殺毒軟件的實(shí)時(shí)保護中。

2.1.5兩網(wǎng)隔離

在燃氣調度中心SCADA安全域單獨規劃，使其擁有獨立的VM交換機，在安全域之間使用工控網(wǎng)閘進(jìn)行安全隔離。對SCADA安全域內的服務(wù)器等工控應用進(jìn)行安全隔離防護，避免SCADA域外的安全風(fēng)險入侵SCADA服務(wù)器。工控網(wǎng)閘在SCADA域與非SCADA域之間進(jìn)行安全隔離，監視和控制區域邊界通信，拒絕所有非必要的網(wǎng)絡(luò )數據流，允許例外網(wǎng)絡(luò )數據流，識別邊界入侵行為并有效阻斷。具體兩網(wǎng)隔離部署如圖8所示。

圖8 兩網(wǎng)隔離部署

實(shí)現功能：

（1）OPC應用數據傳輸：支持DCS/SCADA網(wǎng)絡(luò )與管理網(wǎng)絡(luò )之間的OPC應用數據的傳輸；支持協(xié)議格式檢查及內容過(guò)濾；支持同步、異步監測數據的傳輸；支持高安全的自動(dòng)協(xié)商動(dòng)態(tài)端口通訊機制；支持情景模式，能夠設置OPC工控應用允許通信的時(shí)間；支持端口訪(fǎng)問(wèn)控制。

（2）數據庫訪(fǎng)問(wèn)：實(shí)現對多種（如MySql、SqlServer、Oracle、DB2、Sybase）主流數據庫系統的安全訪(fǎng)問(wèn)；支持SQLServer和Oracle數據庫SQL語(yǔ)句過(guò)濾功能；支持實(shí)時(shí)數據庫的訪(fǎng)問(wèn)與數據傳輸。

（3）數據庫同步：支持Oracle、SQLServer、Sybase、Db2等主流數據庫間單向和雙向同步；支持同構、異構同步；支持一對多、多對一同步；支持字段級的同步，具有條件同步等多種同步策略；支持詳細的日志審計和報警功能；支持病毒檢測。

（4）文件同步：實(shí)現文件的安全交換，支持NFS、SMBFS、SAMBA等文件系統；支持跨系統平臺文件同步；支持有客戶(hù)端和無(wú)客戶(hù)端方式；可實(shí)現單向和雙向同步；支持多種文件同步控制；支持內容過(guò)濾和病毒檢測。

（5）FTP訪(fǎng)問(wèn)：實(shí)現安全的FTP訪(fǎng)問(wèn)，支持對用戶(hù)、命令、文件類(lèi)型等細粒度訪(fǎng)問(wèn)控制；支持動(dòng)態(tài)建立數據通道，并可對訪(fǎng)問(wèn)端口號自由定義；支持中文文件名的過(guò)濾控制等多種功能。

（6）定制訪(fǎng)問(wèn)：實(shí)現特定TCP、UDP協(xié)議的數據隔離交換，可合作定制開(kāi)發(fā)針對特定協(xié)議的安全檢測，實(shí)現如黑白名單控制、關(guān)鍵字過(guò)濾等；支持對訪(fǎng)問(wèn)源地址的控制；透明模式支持時(shí)段控制策略，時(shí)間模式可以是一次性或周循環(huán)。

2.1.6 工控信息安全集中管理

工控信息安全管理系統部署于燃氣調度中心SCADA安全域，主要由安全信息管理中心、數據中心和事件采集代理三大組件構成，如圖9所示。

圖9 工控信息安全集中管理部署

管理服務(wù)中心在部署時(shí)可以分為兩部分：服務(wù)器與功能模塊。資產(chǎn)管理子系統、認證管理子系統、報表管理子系統和服務(wù)器層組件（含WEB門(mén)戶(hù)服務(wù)器）需統一安裝在一臺服務(wù)器上，而各功能模塊可以根據用戶(hù)的實(shí)際網(wǎng)絡(luò )規模與主機性能由用戶(hù)確定安裝主機。在安裝時(shí)，所有的功能模塊均可以選擇單獨安裝，或與服務(wù)器共用一臺主機，最大限度地保證部署的靈活性與運行效率。

根據等級保護中提出的“進(jìn)行集中的安全管理”和“系統運維管理”要求，需要實(shí)現主要功能如下：

（1）安全風(fēng)險管理；（2）風(fēng)險評估；（3）風(fēng)險分析；（4）風(fēng)險分級；（5）信息資產(chǎn)管理。

安全管理平臺應能實(shí)現對信息系統內所有的IT資產(chǎn)進(jìn)行集中統一的管理，包括資產(chǎn)的特征、分類(lèi)等屬性；但同時(shí)資產(chǎn)信息管理并不是為了簡(jiǎn)單的統計，而是在統計的基礎上來(lái)發(fā)現資產(chǎn)的安全狀況，并納入到平臺的數據庫中，為其它安全管理模塊提供信息接口。

（1）系統脆弱性管理：各種重要信息資產(chǎn)存在的脆弱性是影響信息系統網(wǎng)絡(luò )安全的重要潛在風(fēng)險，為了了解其安全脆弱性狀況，安全管理平臺應提供脆弱性管理功能，實(shí)現對重要信息資產(chǎn)安全脆弱性的收集和管理。該模塊收集和管理的脆弱性信息主要包括兩類(lèi)：通過(guò)遠程安全掃描可以獲得的安全脆弱性信息和通過(guò)人工評估的方式收集的脆弱性信息。在定期收集到這些脆弱性信息后可以利用脆弱性管理系統進(jìn)行導入和處理，以利于安全管理員對脆弱性信息的查詢(xún)、呈現并采取相應的措施進(jìn)行處理。

（2）安全預警管理：安全管理平臺應能夠管理并實(shí)時(shí)呈現風(fēng)險評估中心所提供的各類(lèi)安全威脅、安全風(fēng)險、安全態(tài)勢、安全隱患等信息；能夠在安全管理平臺統一界面上給出網(wǎng)絡(luò )安全的趨勢分析報表，分析的內容包括漏洞的分布范圍、受影響的系統情況、可能的嚴重程度等；能夠根據全網(wǎng)安全事件的監控情況，在安全管理平臺統一界面上給出現網(wǎng)中主要的攻擊對象分布、攻擊類(lèi)型分布等情況分析，指導全網(wǎng)做好有效的防范工作，防止類(lèi)似事件的發(fā)生；具備接收風(fēng)險數據的接口，能夠在安全管理平臺統一界面上預先定義數據格式，自動(dòng)生成預警信息。

（3）安全響應管理：安全管理平臺應能夠提供響應流程和響應方式的管理，能夠提供專(zhuān)家系統和知識庫的支持，并能夠針對各類(lèi)用戶(hù)所關(guān)心的安全問(wèn)題進(jìn)行響應。響應方式包括從專(zhuān)家系統調用相關(guān)腳本自動(dòng)進(jìn)行漏洞修補、防火墻配置下發(fā)、網(wǎng)絡(luò )設備端口關(guān)閉等操作，從知識庫自動(dòng)/手動(dòng)地進(jìn)行解決方案的匹配，然后通過(guò)自動(dòng)或手動(dòng)產(chǎn)生工單，通知相關(guān)管理員進(jìn)行處理，并對工單的生命周期進(jìn)行監控。此外還包括利用短信、E-mail等方式進(jìn)行通知等。

（4）網(wǎng)絡(luò )安全管理：安全管理平臺應能夠實(shí)現對網(wǎng)絡(luò )設備的集中管理，能夠實(shí)現網(wǎng)絡(luò )設備的升級、網(wǎng)絡(luò )設備工作狀態(tài)監管、網(wǎng)絡(luò )流量監管、網(wǎng)絡(luò )設備漏洞分析與加固等功能，同時(shí)具備對網(wǎng)絡(luò )設備訪(fǎng)問(wèn)日志的統一收集和分析功能。

（5）安全事件管理：安全事件管理是一種實(shí)時(shí)的、動(dòng)態(tài)的管理模型，通過(guò)關(guān)聯(lián)分析來(lái)自不同地點(diǎn)、不同層次、不同類(lèi)型的信息事件，幫助用戶(hù)系統管理人員發(fā)現真正關(guān)注的安全威脅，從而可以準確、實(shí)時(shí)地評估當前的安全態(tài)勢和風(fēng)險，并根據預先制定策略做出快速的響應，有效應對出現的各類(lèi)安全事件。

3 案例亮點(diǎn)及創(chuàng )新性

（1）全面提升了燃氣工控系統網(wǎng)絡(luò )安全防護管理的合規性，符合國家主管部門(mén)、行業(yè)監管部門(mén)的管理要求以及工控安全防護要求；

（2）全面提升了智慧煉化工控網(wǎng)絡(luò )的整體安全性，確保了設備、系統、網(wǎng)絡(luò )的可靠性、穩定性和安全性，為保障民生保駕護航；

（3）全面提升了智慧煉化業(yè)務(wù)人員的安全水平和安全意識，提升了安全管理水平、工作效率和管理效率。

摘自《自動(dòng)化博覽》2023年3月刊