★鮑立萬(wàn)，江君福，盛文升臺州市水務(wù)集團股份有限公司

★王劍東，王紅杰，葉秀員浙江國利網(wǎng)安科技有限公司

關(guān)鍵詞：工控網(wǎng)絡(luò )安全；城市供水；縱深防御體系；工控資產(chǎn)安全

1　項目概況

1.1　項目背景

隨著(zhù)兩化融合走向深入，工業(yè)數字化、網(wǎng)絡(luò )化、智能化快速發(fā)展，對水全生命周期（包括原水、制水、二次供水等）的網(wǎng)絡(luò )攻擊事件頻發(fā)，地區降水量偏少，各大水庫普遍缺水，城市水務(wù)集團肩負著(zhù)城市整體供水任務(wù)，2023年7月供水量最高已達到97.86萬(wàn)噸。集團及下屬基層單位存在工控系統無(wú)法自主可控、工控安全防護技術(shù)能力薄弱、安全建設不統一等問(wèn)題，其工控系統網(wǎng)絡(luò )安全建設迫在眉睫。

1.2　項目簡(jiǎn)介

基于功能一致性原則，在充分參考城市水務(wù)集團工控網(wǎng)絡(luò )安全建設路徑、思路和做法的基礎上，本項目根據城市水務(wù)集團下屬單位不同安全需求進(jìn)行安全設計和建設，如水廠(chǎng)處理重點(diǎn)是加強關(guān)鍵控制設備（例如加藥、增壓等工藝流程的PLC控制器）防護能力；針對二次供水結合點(diǎn)位分散數量多的情況設計推出輕量級邊界防護設備，加強二次供水底層邊界防護能力，進(jìn)一步提升水全生命周期安全防護能力。

1.3　項目目標

水全生命周期整體工控網(wǎng)絡(luò )安全建設主要存在安全建設不全面不完善、安全防護不精準、工控核心控制器缺乏防護、安全應急響應不及時(shí)、二供終端建設缺乏安全考慮等問(wèn)題。針對城市水務(wù)集團工控系統網(wǎng)絡(luò )安全面臨的風(fēng)險及行業(yè)安全建設方案的不足，本項目建設專(zhuān)注于核心控制層面的防護，側重工業(yè)控制網(wǎng)絡(luò )中在網(wǎng)資產(chǎn)的實(shí)時(shí)監測，尤其是控制器資產(chǎn)信息，及時(shí)發(fā)現潛在威脅和異常資產(chǎn)接入情況，現場(chǎng)人員對現場(chǎng)資產(chǎn)狀態(tài)信息了如指掌，做到不遺漏生命周期中任何一個(gè)環(huán)節的工控網(wǎng)絡(luò )安全，例如常規安全提升方案中極易忽視的二供終端安全建設，由于數量多分散廣的特點(diǎn)，計劃部署輕量級工業(yè)防火墻作為邊界防護，抵御外部入侵行為，保障居民用水正常。

本項目根據城市水務(wù)集團工控網(wǎng)絡(luò )安全建設需求，構建具備“預警”“監測”“響應”“防護”“保障”功能的縱深防御體系，如圖1所示，在滿(mǎn)足等級保護第二級能力要求基礎上，進(jìn)一步提升水全生命周期工控網(wǎng)絡(luò )安全防護能力。

圖1 水全生命周期防護體系

（1）事前“預警”

“預警”功能整合水全生命周期中各級單位自身安全產(chǎn)品信息，包含監測、防護產(chǎn)品采集的信息、運維中心主動(dòng)掃描獲取的信息，以及跟隨知識庫實(shí)時(shí)更新的最新威脅情報信息，對用戶(hù)資產(chǎn)進(jìn)行資產(chǎn)畫(huà)像分析。工控網(wǎng)絡(luò )安全預警以工控安全事件及網(wǎng)絡(luò )安全事件為主，幫助用戶(hù)查看資產(chǎn)的詳細信息、網(wǎng)絡(luò )事件、風(fēng)險暴露點(diǎn)和潛在的漏洞風(fēng)險等，即“預測”資產(chǎn)的風(fēng)險并“感知”網(wǎng)絡(luò )的隱患。

（2）實(shí)時(shí)“監測”

“監測”功能通過(guò)網(wǎng)絡(luò )流量捕捉、主機信息捕捉、工業(yè)控制器信息捕捉、網(wǎng)絡(luò )設備信息捕捉等方式，全面監測用戶(hù)網(wǎng)絡(luò )中的安全狀態(tài)，實(shí)現網(wǎng)絡(luò )的空間測繪，全息展現網(wǎng)絡(luò )中的通信關(guān)系；實(shí)現威脅分析，包含掃描、病毒、惡意代碼、高危遠程訪(fǎng)問(wèn)等網(wǎng)絡(luò )威脅分析；實(shí)現深度流量分析，分析維度包含資產(chǎn)流量、協(xié)議流量、接口流量等；實(shí)現工控操作的審計，細粒度至協(xié)議、功能碼、操作地址、操作值的審計；實(shí)現工控資產(chǎn)識別，識別資產(chǎn)的品牌、型號、系列、固件版本、操作系統等信息；實(shí)現工控異常網(wǎng)絡(luò )事件監測，包含異常通信、跨域鏈接、非法外鏈、異常資產(chǎn)接入等網(wǎng)絡(luò )事件監測；實(shí)現非法工控操作監測，包含非法訪(fǎng)問(wèn)控制器、非法操作功能碼等異常行為監測，全方位、持續性地監測網(wǎng)絡(luò )中存在的威脅。

（3）快速“響應”

“響應”功能是當網(wǎng)絡(luò )中出現威脅的時(shí)候，可以進(jìn)行威脅事件回溯、攻擊路徑還原，可以幫助用戶(hù)查看攻擊的攻擊源、攻擊路徑、攻擊類(lèi)型、攻擊階段、影響范圍等，以此進(jìn)一步幫助用戶(hù)對攻擊進(jìn)行處理，并對攻擊影響范圍進(jìn)行修復。同時(shí)，還可以針對威脅進(jìn)行策略的優(yōu)化并分發(fā)至防護產(chǎn)品進(jìn)行防護。舉例來(lái)說(shuō)，當“監測”功能發(fā)現一個(gè)異常外鏈的網(wǎng)絡(luò )風(fēng)險，即可通過(guò)“響應”功能形成相應的防護策略，并下發(fā)至“防護”產(chǎn)品，阻斷該外鏈行為的數據包，為城市水務(wù)集團及下屬單位提供了快速應急情況響應，可以及時(shí)解決網(wǎng)絡(luò )安全問(wèn)題，持續保障生產(chǎn)穩定。

（4）可靠“防護”

“防護”功能根據用戶(hù)配置的策略，保障用戶(hù)的操作行為符合白名單的設置，對用戶(hù)網(wǎng)絡(luò )進(jìn)行防護。以小至大，分別可以對控制器和操作主機進(jìn)行定點(diǎn)防護，防護內容包含非法操作IP與MAC阻斷、非法操作功能碼阻斷、非法寫(xiě)入數值阻斷等；可以對生產(chǎn)管理區和生產(chǎn)控制區進(jìn)行隔離防護，阻斷不符合白名單的通信報文。

（5）專(zhuān)業(yè)“保障”

“保障”服務(wù)根據水全生命周期單位不同工藝特點(diǎn)提供全方位專(zhuān)業(yè)的安全保障服務(wù)，例如安全風(fēng)險評估、滲透測試、重大活動(dòng)保障、應急演練、應急響應、安全培訓等，力求通過(guò)安全服務(wù)為客戶(hù)持續培養安全人才并提升現場(chǎng)人員安全技術(shù)能力，建立專(zhuān)業(yè)的工控網(wǎng)絡(luò )安全團隊。

2　項目實(shí)施

2.1 應用案例介紹

本方案根據前期對該地區多個(gè)水廠(chǎng)的現場(chǎng)調研，了解了水務(wù)集團及各個(gè)制水廠(chǎng)、泵站、二次供水等工控系統的基本情況，包括其整體網(wǎng)絡(luò )架構、廠(chǎng)級防護能力、工控資產(chǎn)狀態(tài)、二次供水邊界防護等。本項目根據水全生命周期的業(yè)務(wù)特點(diǎn)，針對設備安全、控制安全、應用安全及資產(chǎn)安全等進(jìn)行縱深防御體系建設，并根據集團要求開(kāi)展生產(chǎn)網(wǎng)整體規劃。整體方案如圖2所示。

圖2 工控網(wǎng)絡(luò )安全解決方案網(wǎng)絡(luò )拓撲示意圖

在主力水廠(chǎng)核心控制前端部署控制器防護系統，基于行業(yè)工藝流程特點(diǎn)，精準防護控制器的誤操作、惡意操作，阻斷針對控制器特定漏洞的攻擊行為；在核心交換機旁路部署控制器完整性監測與恢復系統，深入研究工業(yè)控制器本質(zhì)安全，對控制器的運行狀態(tài)、故障診斷及內部組態(tài)工程進(jìn)行實(shí)時(shí)監測和支持無(wú)損恢復控制器組態(tài)工程。

在水廠(chǎng)工控系統的生產(chǎn)控制層與現場(chǎng)監控層之間、二次供水及泵站前端部署工業(yè)防火墻，通過(guò)白名單技術(shù)實(shí)現工業(yè)控制網(wǎng)絡(luò )邊界防護；在水廠(chǎng)生產(chǎn)網(wǎng)邊界部署工業(yè)網(wǎng)閘，實(shí)現物理隔離，保障水廠(chǎng)生產(chǎn)數據上傳。

在水全生命周期工控系統的各個(gè)工控主機、服務(wù)器、接口機等設備安裝工業(yè)主機安全防護系統進(jìn)行安全加固，能夠對工控主機的運行資源、數據資源和物理存儲資源進(jìn)行管控，防范未知病毒的運行及其對主機資源的利用。

在水廠(chǎng)測試運行工控資產(chǎn)健康監測系統，通過(guò)主動(dòng)掃描形式發(fā)現在網(wǎng)資產(chǎn)健康狀態(tài)，防范異常資產(chǎn)接入及時(shí)告警，保障水廠(chǎng)工控資產(chǎn)安全。

在水廠(chǎng)建立廠(chǎng)級安全運維中心，將核心交換機流量鏡像接入工控安全審計、工業(yè)入侵檢測系統進(jìn)行實(shí)時(shí)分析，實(shí)現操作行為審計、外部入侵檢測和異常行為告警；旁路部署日志審計實(shí)現全網(wǎng)日志統一存儲分析；部署數據庫審計實(shí)現數據庫服務(wù)器行為操作審計記錄預警；部署運維審計實(shí)現第三方安全運維審計記錄告警，資源合理劃分；通過(guò)統一安全管理平臺實(shí)現廠(chǎng)內安全設備集中管理與統一配置。

2.2　實(shí)施成效

通過(guò)本方案實(shí)施，從設備安全、控制安全、邊界安全及資產(chǎn)安全等角度出發(fā)，構建水全生命周期工控網(wǎng)絡(luò )安全縱深防御體系。主要實(shí)施成效如下：

（1）實(shí)現水全生命周期的資產(chǎn)繪制和圖譜建立

基于內置完備的工控知識庫，通過(guò)主動(dòng)探測獲取網(wǎng)絡(luò )中的資產(chǎn)指紋信息，對資產(chǎn)關(guān)鍵特征進(jìn)行有效提取，構建基于資產(chǎn)識別、狀態(tài)監測、日志獲取、風(fēng)險預警的全面資產(chǎn)繪制，形成工控資產(chǎn)圖鑒與接入網(wǎng)絡(luò )圖譜?；谫Y產(chǎn)風(fēng)險規則引擎，結合網(wǎng)絡(luò )拓撲動(dòng)態(tài)監測，全局分析資產(chǎn)健康指標，實(shí)現工業(yè)網(wǎng)絡(luò )空間的全息測繪。

（2）實(shí)現水全生命周期關(guān)鍵控制器防護

通過(guò)采取設備身份鑒別與白名單訪(fǎng)問(wèn)控制實(shí)現對工業(yè)控制器的保護，使得所有對工業(yè)控制器的訪(fǎng)問(wèn)均為已授權的訪(fǎng)問(wèn)，確保工業(yè)控制器執行的控制命令均來(lái)自合法用戶(hù)。同時(shí)，實(shí)現對工業(yè)控制器的運行狀態(tài)、數據狀態(tài)等進(jìn)行實(shí)時(shí)、深度監測，根據異常情況進(jìn)行告警與防護，并可在控制器工藝組態(tài)文件被篡改的情況下快速恢復安全版本。

（3）實(shí)現水全生命周期生產(chǎn)邊界隔離

通過(guò)白名單訪(fǎng)問(wèn)控制實(shí)現泵房控制網(wǎng)絡(luò )的區域邊界隔離，對非法訪(fǎng)問(wèn)行為及時(shí)阻斷，有效解決外部入侵威脅，持續保障水全生命周期終端節點(diǎn)生產(chǎn)控制安全；通過(guò)先進(jìn)的網(wǎng)絡(luò )物理隔離技術(shù)和數據擺渡技術(shù)，解決水廠(chǎng)生產(chǎn)網(wǎng)與信息網(wǎng)數據交互與不同安全區域之間的邊界隔離防護問(wèn)題。

（4）實(shí)現水全生命周期資產(chǎn)識別與監測

通過(guò)工控資產(chǎn)健康監測系統，利用主動(dòng)形式識別水廠(chǎng)控制網(wǎng)絡(luò )在網(wǎng)資產(chǎn)健康狀態(tài)并進(jìn)行實(shí)時(shí)監測與分析，識別網(wǎng)絡(luò )內的異常資產(chǎn)接入情況提供快速告警，協(xié)助梳理在網(wǎng)資產(chǎn)網(wǎng)絡(luò )結構，幫助現場(chǎng)人員快速掌握網(wǎng)絡(luò )狀態(tài)，保障生產(chǎn)控制網(wǎng)絡(luò )資產(chǎn)安全。

3　案例亮點(diǎn)及創(chuàng )新性

3.1　技術(shù)先進(jìn)性

（1）基于交互特征的工控通信主體識別技術(shù)

基于工控網(wǎng)絡(luò )通信主體交互特征庫，通過(guò)主動(dòng)掃描和被動(dòng)監控相結合的工控通信主體識別方法，通過(guò)策略自學(xué)習、測試模式等設定，針對連接狀態(tài)、認證狀態(tài)、請求-響應等變遷特征形成高效、高準確度的工控通信主體識別方法，構造數據包主動(dòng)與在網(wǎng)資產(chǎn)通信，提取在網(wǎng)資產(chǎn)自身的資產(chǎn)屬性及運行特征，如資產(chǎn)類(lèi)型、資產(chǎn)型號、操作系統、在離線(xiàn)狀態(tài)、資源使用情況、運行日志、開(kāi)放服務(wù)端口等信息，結合工控網(wǎng)絡(luò )中的會(huì )話(huà)信息特征，再提取相應資產(chǎn)的對外通信內容、通信協(xié)議、流量數據等信息，實(shí)現實(shí)時(shí)監測資產(chǎn)及網(wǎng)絡(luò )狀態(tài)，及時(shí)發(fā)現資產(chǎn)異常、網(wǎng)絡(luò )異常、風(fēng)險暴露面，形成工控資產(chǎn)圖鑒與接入網(wǎng)絡(luò )圖譜。

（2）資產(chǎn)健康度評分算法

基于工控通信主體識別技術(shù)提取在網(wǎng)資產(chǎn)自身的資產(chǎn)屬性、運行特征及工控網(wǎng)絡(luò )會(huì )話(huà)信息，對獲取的信息進(jìn)行分析預處理，融合時(shí)序變化特征，輸出事件及事件等級；構建多維度工控資產(chǎn)健康度評估模型，根據當前網(wǎng)絡(luò )情況、資產(chǎn)重要程度自適應調整事件評估權重，生成相應資產(chǎn)的健康度評分，并輸出資產(chǎn)預測風(fēng)險點(diǎn)。

（3）工控OT操作深度審計

根據工藝要求和控制流程，結合I/O點(diǎn)表信息，智能識別工控系統應用服務(wù)對象、角色關(guān)聯(lián)對象、目標系統安全域對象和目標系統參數安全范圍對象，根據識別出來(lái)的安全對象，映射生成安全產(chǎn)品防護策略規則樹(shù)，實(shí)現工控OT操作深度審計，支持多指標的工控行為檢測及工控數據變更檢測，支持深度解析城市水務(wù)行業(yè)常用協(xié)議Modbus、S7、ENIP/CIP、OPC、IEC104等。

3.2　可推廣性

隨著(zhù)城市水務(wù)數字化、智能化建設浪潮，城市水務(wù)集團水全生命周期工控網(wǎng)絡(luò )安全面臨著(zhù)愈加復雜的網(wǎng)絡(luò )安全風(fēng)險挑戰。通過(guò)此次項目建設，為典型的集團型水務(wù)企業(yè)提供了工控系統網(wǎng)絡(luò )安全建設和運維管理的示范案例，有效保障了水全生命周期的生產(chǎn)安全，提高了整體生產(chǎn)網(wǎng)絡(luò )應急響應能力水平，以及集團工控網(wǎng)絡(luò )安全管控能力水平，并借此建立了集團工控網(wǎng)絡(luò )安全標準，可作為典型案例進(jìn)行示范推廣，為持續推進(jìn)工控網(wǎng)絡(luò )安全建設提供了模板，加強了整體工控網(wǎng)絡(luò )安全防護能力，保障了水全生命周期安全，保證了居民用水安全。

作者簡(jiǎn)介

鮑立萬(wàn)（1973-），男，浙江臺州人，高級工程師，學(xué)士，現就職于臺州市水務(wù)集團股份有限公司，主要從事生產(chǎn)過(guò)程優(yōu)化、智慧水務(wù)方面的研究。

江君福（1977-），男，浙江臺州人，工程師，學(xué)士，現就職于臺州市水務(wù)集團股份有限公司，主要從事智慧水務(wù)方面的研究。

盛文升（1985-），男，浙江臺州人，工程師，碩士，現就職于臺州市水務(wù)集團股份有限公司，主要從事智慧水務(wù)及網(wǎng)絡(luò )安全方面的研究。

王劍東（1979-），男，黑龍江牡丹江人，工程師，碩士，現就職于浙江國利網(wǎng)安科技有限公司，主要從事控制理論與控制工程方面的研究。

王紅杰（1991-），女，山東菏澤人，碩士，現就職于浙江國利網(wǎng)安科技有限公司，主要從事城市關(guān)鍵基礎設施工控網(wǎng)絡(luò )安全方面的研究。

葉秀員（1985-），男，浙江寧波人，學(xué)士，現就職于浙江國利網(wǎng)安科技有限公司，主要研究方向為工業(yè)控制系統網(wǎng)絡(luò )安全。

摘自《自動(dòng)化博覽》2024年1月刊