★趙峰，趙萌杭州中電安科現代科技有限公司

關(guān)鍵詞：工業(yè)控制系統安全；等級保護2.0；SCADA系統防護

1　項目概況

隨著(zhù)天然氣管道企業(yè)信息化、管控一體化的建設與實(shí)現，越來(lái)越多的控制系統通過(guò)信息技術(shù)實(shí)現互聯(lián)互通，使得工控系統網(wǎng)絡(luò )架構愈發(fā)復雜，迫使內部的安全隱患逐漸暴露，工業(yè)控制系統網(wǎng)絡(luò )安全問(wèn)題日益突出。各類(lèi)生產(chǎn)系統一旦遭受惡意攻擊、勒索病毒等安全威脅，發(fā)生生產(chǎn)事故，將會(huì )直接導致經(jīng)濟損失、天然氣泄漏，甚至人員傷亡。

中電安科幫助某天然氣分公司完成了工控安全建設。根據某天然氣管道實(shí)際情況，結合相關(guān)標準要求，科學(xué)合理評估出某天然氣管道SCADA系統合規差距和安全風(fēng)險，確定了安全保護措施，并在此基礎上設計了一整套完整的安全體系。該項目以“一個(gè)中心、三重防護”為核心指導思想，從安全計算環(huán)境、安全區域邊界、安全通信網(wǎng)絡(luò )以及安全管理中心方面構建安全技術(shù)體系，滿(mǎn)足等級保護2.0第三級系統的相關(guān)安全要求。

該項目的實(shí)施，有效提升了企業(yè)網(wǎng)絡(luò )安全防護管理的合規性，符合國家主管部門(mén)、行業(yè)監管部門(mén)的管理要求以及工控安全防護要求。本次安全建設采用最低干擾方式，未對業(yè)務(wù)產(chǎn)生任何影響，通過(guò)可視化平臺可清晰地看到生產(chǎn)網(wǎng)各節點(diǎn)的通訊情況，大幅提升了對資產(chǎn)的掌握程度。本次安全建設實(shí)現了對生產(chǎn)網(wǎng)網(wǎng)絡(luò )安全事件的事前預防、事中控制、事后可查，保障了天然氣管道控制系統的安全運行。

2　項目實(shí)施

隨著(zhù)互聯(lián)網(wǎng)+、智慧城市、物聯(lián)網(wǎng)、工業(yè)4.0、大數據和云計算等新概念與新技術(shù)的不斷涌現，工業(yè)信息化不斷深入，工業(yè)生產(chǎn)和互聯(lián)網(wǎng)之間不再彼此孤立，而是彼此緊密關(guān)聯(lián)起來(lái)，越來(lái)越多的控制系統通過(guò)信息技術(shù)實(shí)現互聯(lián)互通，使得工控系統網(wǎng)絡(luò )架構愈發(fā)復雜。。

天然氣企業(yè)作為國家的關(guān)鍵基礎設施之一，在“兩化融合”期間除了建立ERP、CRM以及OA等多數企業(yè)會(huì )使用的經(jīng)營(yíng)管理類(lèi)信息系統外，也建立了大量的符合自身需求的生產(chǎn)運營(yíng)類(lèi)的系統，其中就包括了SCADA系統、生產(chǎn)調度系統、GIS系統以及其他生產(chǎn)運營(yíng)相關(guān)的工控系統等，特別是天然氣企業(yè)正在往“智能管網(wǎng)”的方向邁進(jìn)，對工業(yè)控制系統的依賴(lài)度更加嚴重。工業(yè)控制系統產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式和互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )聯(lián)接，致使病毒、木馬等威脅正在向工業(yè)控制系統擴散，造成了工業(yè)控制系統信息安全問(wèn)題的日益突出，一旦各類(lèi)生產(chǎn)系統遭受惡意攻擊、勒索病毒等安全威脅，發(fā)生生產(chǎn)事故，將會(huì )直接導致重大經(jīng)濟損失，甚至引發(fā)社會(huì )恐慌，危及國家安全。如何應對工業(yè)控制系統所帶來(lái)的風(fēng)險成為天然氣企業(yè)未來(lái)需要解決的重要問(wèn)題。

某天然氣管道工控系統的核心是SCADA系統，主要工作是用于天然氣管道調度數據的采集和分析。系統主要包括SCADA系統、GIS、生產(chǎn)調度系統、仿真系統和安全保護系統等，通過(guò)專(zhuān)線(xiàn)、移動(dòng)運營(yíng)商等技術(shù)與下級門(mén)站所站進(jìn)行連接，實(shí)現數據的采集和分析，上層系統也會(huì )將相應的指令下發(fā)給下層單位。當前某天然氣管道主要存在如下網(wǎng)絡(luò )安全問(wèn)題和風(fēng)險：

（1）網(wǎng)絡(luò )隔離不合理

系統采用了傳統的IT防火墻進(jìn)行防護，無(wú)法對工控網(wǎng)絡(luò )做到有效的防護。另外許多控制網(wǎng)絡(luò )都是“敞開(kāi)的”，不同的接入網(wǎng)絡(luò )之間都沒(méi)有有效的隔離，尤其是基于OPC、Modbus等通訊的工業(yè)控制網(wǎng)絡(luò )，容易造成安全故障并通過(guò)網(wǎng)絡(luò )迅速蔓延。

（2）工控系統普遍存在漏洞

由于工控系統大多以滿(mǎn)足工業(yè)生產(chǎn)為前提，并沒(méi)有太多考慮自身的系統安全問(wèn)題，工控設備普遍存在漏洞。國家信息安全漏洞平臺中已公布的工業(yè)控制系統漏洞，包括西門(mén)子產(chǎn)品漏洞、施耐德產(chǎn)品漏洞、RTU產(chǎn)品漏洞等。

（3）缺乏審計監測機制

控制中心沒(méi)有部署安全監控設備，無(wú)法及時(shí)發(fā)現、告警控制網(wǎng)內的非法數據流量和異常操作行為。系統缺少控制系統安全審計機制。獨立的安全審計人員應當定期檢查和驗證系統日志記錄，并主動(dòng)判斷安全控制措施是否充分。未針對其工控系統建立信息安全審計機制，可能造成無(wú)法及時(shí)發(fā)現、追溯系統內部或源于網(wǎng)絡(luò )的信息安全事件。

（4）終端存在安全隱患，缺少技術(shù)手段

生產(chǎn)環(huán)境中操作站多數采用Windows XP，上線(xiàn)后基本不會(huì )對操作系統進(jìn)行升級，而操作系統在使用期間不斷曝出漏洞，導致操作站和服務(wù)器暴露在風(fēng)險中。另外，在終端上對于執行的系統及程序缺少有效的安全控制措施，導致惡意軟件及病毒可以毫無(wú)阻礙地執行，甚至工業(yè)的控制程序及系統直接感染惡意代碼，對生產(chǎn)造成嚴重的安全風(fēng)險。

同時(shí)，在生產(chǎn)環(huán)境中存在隨意使用U盤(pán)、移動(dòng)硬盤(pán)、手機等移動(dòng)存儲介質(zhì)現象，有可能將傳染病毒、木馬等威脅因素帶入生產(chǎn)系統。加上防病毒軟件的安裝不全面或者即使安裝后也不及時(shí)更新防病毒軟件版本和惡意代碼庫，出現問(wèn)題后無(wú)法及時(shí)準確定位產(chǎn)生問(wèn)題的原因、影響范圍及追究責任。

（5）安全運維問(wèn)題

目前系統主要通過(guò)遠程桌面方式進(jìn)行運維，缺乏完善的運維審計機制，對運維人員的操作過(guò)程沒(méi)有記錄、審計，不能發(fā)現越權訪(fǎng)問(wèn)、異常操作等行為。一旦發(fā)生事故，需要大量時(shí)間確定問(wèn)題，不能夠及時(shí)有效地解決問(wèn)題，也沒(méi)有追溯手段。

（6）操作人員缺乏信息安全意識

工控系統的操作人員往往不是IT人員，而是生產(chǎn)調度人員，這也使得工控終端缺乏傳統IT的管控，使其成為外部威脅的可能接入點(diǎn)，如USB接口、維修連接、筆記本電腦等。

針對以上某天然氣管道工控系統的安全現狀與風(fēng)險，中電安科幫其完成了工控安全建設。根據某天然氣管道實(shí)際情況，結合《網(wǎng)絡(luò )安全等級保護基本要求》《網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》《工業(yè)控制系統信息安全防護指南》等相關(guān)標準要求，科學(xué)合理評估出某天然氣管道SCADA系統合規差距和安全風(fēng)險，確定了安全保護措施，并在此基礎上設計了一整套完整的網(wǎng)絡(luò )安全體系。該方案以“一個(gè)中心、三重防護”為核心指導思想，從安全計算環(huán)境、安全區域邊界、安全通信網(wǎng)絡(luò )以及安全管理中心方面構建安全技術(shù)體系，并協(xié)助建立安全管理制度體系，滿(mǎn)足等級保護2.0第三級系統的相關(guān)安全要求。

（1）安全區域邊界

控制中心在與站場(chǎng)控制系統、閥室等網(wǎng)絡(luò )連接邊界處通過(guò)部署工控防火墻進(jìn)行邊界防護，基于工控協(xié)議配置合理的主機訪(fǎng)問(wèn)規則，針對工業(yè)控制網(wǎng)絡(luò )在同一個(gè)大網(wǎng)的情況，通過(guò)ACL等安全訪(fǎng)問(wèn)策略的配置對生產(chǎn)網(wǎng)絡(luò )進(jìn)行邏輯分區。

控制中心內部SCADA系統與中間數據庫或管理信息系統之間，部署隔離工業(yè)網(wǎng)閘保證其安全性，除必須開(kāi)放的用于數據交換的特定應用通道外，不提供任何對外的服務(wù)。

（2）安全通信網(wǎng)絡(luò )

在各場(chǎng)站的工控系統分別部署工控安全監測審計系統，監測審計對工控流量進(jìn)行監測分析，識別出工控協(xié)議，并對工控協(xié)議深度解析，同時(shí)將違規操作、非法操作和程序下載、IP變更、組態(tài)變更、PLC啟停等關(guān)鍵事件以及病毒、木馬、黑客等攻擊行為數據傳送到部署在控制中心的工控安全管理平臺中。工控安全管理平臺系統對監測審計進(jìn)行統一監控與管理，將監測引擎傳送過(guò)來(lái)的異常數據進(jìn)行統計分析，并告警顯示，同時(shí)依據通訊流量進(jìn)行節點(diǎn)網(wǎng)絡(luò )拓撲動(dòng)態(tài)生成和工控資產(chǎn)識別，實(shí)現對工控網(wǎng)絡(luò )的監測與審計，為事后提供追溯分析依據。

在網(wǎng)絡(luò )關(guān)鍵節點(diǎn)處，通過(guò)工控入侵檢測系統進(jìn)行入侵攻擊行為的檢測識別，發(fā)現并防止網(wǎng)絡(luò )攻擊行為，尤其對基于工業(yè)控制漏洞、工業(yè)控制異常指令以及關(guān)鍵事件進(jìn)行及時(shí)告警，避免入侵行為或疑似入侵攻擊的行為發(fā)生。

（3）安全計算環(huán)境

在生產(chǎn)網(wǎng)各工控系統中的操作員站、工程師站以及服務(wù)器等工業(yè)主機上安裝部署終端安全管理系統客戶(hù)端，在調度中心部署終端安全管理系統服務(wù)端，通過(guò)服務(wù)端對客戶(hù)端進(jìn)行統一管理與監控、策略下發(fā)、異常報警等，實(shí)現對工業(yè)主機的進(jìn)程白名單管理，對流量、USB口管控，有效抵御未知病毒、木馬、惡意程序、非法入侵等針對終端的攻擊，實(shí)現工業(yè)主機安全防護與加固。

通過(guò)數據庫審計系統全面審計在使用數據庫過(guò)程中的訪(fǎng)問(wèn)過(guò)程，對于越權訪(fǎng)問(wèn)、異常數據庫操作以及對數據庫關(guān)鍵數據進(jìn)行關(guān)鍵指令操作過(guò)程全面審計，檢測識別非授權操作的行為，避免數據庫刪除、篡改、異常訪(fǎng)問(wèn)等情況發(fā)生，為數據庫系統的安全運行及事后審計提供有力保障。

（4）安全管理中心

通過(guò)工控安全管理平臺，實(shí)現對工控防火墻、工控安全監測審計管理系統、終端安全管理系統、堡壘機等安全產(chǎn)品以及交換機的統一管理與監控。同時(shí)針對被防護資產(chǎn)綜合全部安全要素信息，通過(guò)多種數據、分析方法構建動(dòng)態(tài)的多層次、全天候網(wǎng)絡(luò )安全管理，結合等級保護管理，為天然氣管道構建網(wǎng)絡(luò )安全動(dòng)態(tài)深度防御體系，形成對安全威脅、風(fēng)險隱患的動(dòng)態(tài)持續管理。

通過(guò)堡壘主機，進(jìn)行集中賬號管理、集中登錄認證、集中用戶(hù)授權和集中操作審計，實(shí)現對運維人員的操作行為審計，以及對違規操作、非法訪(fǎng)問(wèn)等行為的有效監督，為事后追溯提供依據，解決了運維行為無(wú)法監控的問(wèn)題以及在訪(fǎng)問(wèn)系統資源、操作記錄無(wú)法做到安全審計、事后可追溯的問(wèn)題。

（5）安全管理制度

通過(guò)制定和完善工控網(wǎng)絡(luò )安全管理制度，形成由安全策略、管理制度、操作規程等構成的全面的信息安全管理制度保障體系，做到有章可循、有法可依、人人有責的工控網(wǎng)絡(luò )和系統安全建設格局；定期組織工業(yè)控制系統信息安全培訓，定期進(jìn)行風(fēng)險評估等，實(shí)現某天然氣管道整體信息安全防護。

3　案例亮點(diǎn)及創(chuàng )新性

本方案從網(wǎng)絡(luò )、終端、通信、運維、管理等多個(gè)層面提供了完整的安全防護與管理手段，實(shí)現了工控網(wǎng)絡(luò )全面的安全保護，有效提升了企業(yè)網(wǎng)絡(luò )安全防護管理的合規性，滿(mǎn)足了《網(wǎng)絡(luò )安全法》框架下關(guān)鍵信息基礎設施保護制度要求、網(wǎng)絡(luò )安全等級保護制度要求和防護指南的相關(guān)要求。本方案安全建設采用非侵入式安全監測與防護工作方式（最小干擾方式），未對業(yè)務(wù)產(chǎn)生任何影響，通過(guò)可視化平臺可清晰地看到生產(chǎn)網(wǎng)各節點(diǎn)的通訊情況，大幅提升了對資產(chǎn)的掌握程度。本方案在采用安全技術(shù)和產(chǎn)品的同時(shí)，也重視安全管理，不斷完善各類(lèi)安全管理規章制度和操作規程，提高了安全管理水平。本次安全建設實(shí)現了對某天然氣管道生產(chǎn)網(wǎng)網(wǎng)絡(luò )安全事件的事前預防、事中控制、事后可查，保障了天然氣管道控制系統的安全運行。

作者簡(jiǎn)介

趙　峰（1978-），男，河南南陽(yáng)人，高級工程師，學(xué)士，現就職于杭州中電安科現代科技有限公司，主要從事工業(yè)自動(dòng)化方面的研究。

趙　萌（1990-），男，北京人，學(xué)士，現就職于杭州中電安科現代科技有限公司，主要從事網(wǎng)絡(luò )安全方面的研究。

摘自《自動(dòng)化博覽》2024年1月刊