背景
魯西化工是典型的化工企業(yè)，其化工產(chǎn)品生產(chǎn)過(guò)程具有高溫、高壓、易燃、易爆、有毒有害、腐蝕、易揮發(fā)，工藝生產(chǎn)自動(dòng)化、連續化、生產(chǎn)裝置大型化、 工藝復雜等特點(diǎn)，由于其各個(gè)生產(chǎn)環(huán)節不安全因素較多，一旦發(fā)生安全事故，具 有事故后果嚴重、危險性和危害性比傳統制造行業(yè)更大的特點(diǎn)。
DCS 和 PLC 數字化控制已經(jīng)成為化工生產(chǎn)過(guò)程控制的主要手段，魯西化工自 動(dòng)化程度較高，大量使用浙江中控、和利時(shí)等 DCS、PLC 控制系統，能夠極大地提高生產(chǎn)效率，但是過(guò)程控制系統整呈開(kāi)放的趨勢，隨著(zhù)“兩化”的深度融合， 工控系統面臨的安全形勢越來(lái)越嚴峻。
現狀
整個(gè)魯西集團園區納入信息化的裝置共 23 個(gè)，裝置名稱(chēng)及其產(chǎn)品、功能如 下：
動(dòng)力一、動(dòng)力二裝置為全園區各裝置提供水、電、氣為主的公共資源和能源， 為園區重點(diǎn)裝置。
煤化一、煤化二裝置為園區各工企業(yè)提供主要化工生產(chǎn)原料，包括一氧化碳、 甲醇、液氨等。為園區重點(diǎn)裝置。
園區西區裝置有氟化工、甲烷氯化物、氯化鈣、西區灌裝站、氯磺酸、西區 污水處理、有機硅、離子膜。以上裝置大部分涉及重大危險物質(zhì)，包括氯氣、液 氨、一氧化碳等園區中區裝置有氯化芐、三聚氰胺、苯甲醇等裝置，生產(chǎn)氯氣及其下游產(chǎn)品， 其中煤一和動(dòng)力一裝置在此區域中。
園區東區裝置包括甲酸、丁辛醇、已內酰胺等，均涉及氫氣、一氧化碳等危 險氣體。其中煤二及動(dòng)力二裝置在此區域中。
另外西區和東區各有一個(gè)灌裝區域，為外來(lái)危險品車(chē)輛進(jìn)行化工產(chǎn)品和原料 的裝卸。
網(wǎng)絡(luò )拓撲如下：



圖一 網(wǎng)絡(luò )拓撲
企業(yè)生產(chǎn)網(wǎng)控制系統數據通過(guò) OPC 接口，由寶信通訊網(wǎng)關(guān)進(jìn)行數據采集轉發(fā)到實(shí)時(shí)數 據庫 PI1，再通過(guò)單向網(wǎng)閘將 PI1 數據導入至實(shí)時(shí)數據庫 PI2，實(shí)現 PI1 與 PI2 的同步，并進(jìn) 行了生產(chǎn)網(wǎng)與外網(wǎng)的隔離。其中遠程監測終端通過(guò) 3G 無(wú)線(xiàn)網(wǎng)絡(luò )經(jīng)過(guò) PC 機轉發(fā)給通訊網(wǎng)關(guān) 進(jìn)入 PI1 數據庫。
需求分析
隨著(zhù)企業(yè)應用系統的增加以及信息化建設的不斷推進(jìn)，MES 系統的實(shí)施，生產(chǎn)網(wǎng)絡(luò )與管 理網(wǎng)及辦公網(wǎng)之間有著(zhù)大量數據的讀取、控制指令的下置、計劃排產(chǎn)的下發(fā)。生產(chǎn)網(wǎng)與外網(wǎng)的互聯(lián)互通是一種趨勢也是一種必需，但辦公網(wǎng)及外網(wǎng)的應用復雜，多樣性強。感染病毒及 惡意程序的機率大，生產(chǎn)網(wǎng)的開(kāi)放，勢必對 PI 數據庫的數據完整性、保密性、安全性形成 挑戰，對 DCS、PLC 控制系統形成嚴重的安全威脅，如果系統受到攻擊或感染病毒后，使得 DCS 或 PLC 控制發(fā)生故障，壓力、溫度、流量、液位、計量等指示失效，檢測系統連鎖報警 失效，或各類(lèi)儀表電磁閥制動(dòng)空氣及電源無(wú)供給后，一旦重大危險源處于失控狀態(tài)，后果不堪設想，將危急現場(chǎng)操作人員甚至工廠(chǎng)附近人群的生命安全。
所以對控制系統及生產(chǎn)網(wǎng)絡(luò )的安全防護是當下要優(yōu)先考慮和解決的問(wèn)題。
風(fēng)險分析
1、操作系統安全漏洞：企業(yè)的工程師站/操作站/HMI /Server 基本都是Windows 平臺的，Windows 所采用的存儲數據庫和加密過(guò)程導致了一系列安全漏，例如，Windows 把用戶(hù)信息和加密口令保存于 NTRegistry 中的 SAM 文件中，即安全帳戶(hù)管理 (Security Accounts Management) 數據庫。加密口令分兩個(gè)步驟完成。首先，采用 RSA MD4 系統對口令進(jìn)行加密。第二步則是令人迷惑的缺乏 復雜度的過(guò)程，不添加任何“調料”，比如加密口令時(shí)考慮時(shí)間的因素。結果， Windows 口令比 UNIX 口令更加脆弱，更容易受到一本簡(jiǎn)單字典的攻擊。黑客可以利用這些漏洞來(lái)破譯一個(gè)或多個(gè) Administrator 帳戶(hù)的口令，進(jìn)而對主機進(jìn)行破壞活動(dòng)。
另外由于工業(yè)控制系統的特殊性，為了保證過(guò)程控制系統的相對獨立性，以 及考慮到系統的穩定運行，現場(chǎng)工程師未對 Windows 平臺安裝任何補丁，導致的問(wèn)題是，不安裝補丁系統就存在被攻擊的可能，從而埋下安全隱患。
2、網(wǎng)絡(luò )協(xié)議安全漏洞：本案中TCP/IP 以太網(wǎng)協(xié)議、OPC協(xié)議及通用的交換路由設備越廣泛地應用在工業(yè)控制網(wǎng)絡(luò )中，給工業(yè)安全帶來(lái)了安全漏洞威脅，具體表現為：
1）TCP/IP協(xié)議鏈路層的安全漏洞
本案以太網(wǎng)中，信道是共享的，任何主機發(fā)送的每一個(gè)以太網(wǎng)幀都會(huì )到達別的與該主機處于同一網(wǎng)段的所有主機的以太網(wǎng)接口，不法人員稍做設置或修改， 就可以使一個(gè)以太網(wǎng)接口接收不屬于它的數據幀。從而對控制網(wǎng)絡(luò )關(guān)鍵數據的竊取。
2）TCP/IP協(xié)議網(wǎng)絡(luò )層安全漏洞
網(wǎng)絡(luò )中控制系統、設備及Server都對ICMP echo請求進(jìn)行響應。所以如果一 旦敵意主機同時(shí)運行很多個(gè)ping命令向一個(gè)系統或服務(wù)器發(fā)送超過(guò)其處理能力的ICMP echo請求時(shí)，就可以淹沒(méi)該DCS系統及服務(wù)器使其拒絕其他的服務(wù)。導致生產(chǎn)失控或停車(chē)，另外，ping命令可以在得到允許的網(wǎng)絡(luò )中建立秘密通道從而可以在被攻擊系統中開(kāi)后門(mén)進(jìn)行方便的攻擊，如收集目標上的信息并進(jìn)行秘密通信 等。
3）OPC Classic 協(xié)議安全問(wèn)題
現場(chǎng)采集傳輸均采用OPC協(xié)議采集控制層數據，而OPC Classic 協(xié)議(OPC DA,OPC HAD 和OPC A&E)基于微軟的DCOM 協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò )安全問(wèn)題被廣泛認識之前設計的，極易受到攻擊，并且OPC 通訊采用不固定的端口號，導致目前幾乎無(wú)法使用傳統的IT 防火墻來(lái)確保其安全性。
4）無(wú)線(xiàn)網(wǎng)絡(luò )的安全問(wèn)題拓撲可見(jiàn)，遠程監測終端通過(guò)3G無(wú)線(xiàn)網(wǎng)絡(luò )進(jìn)入生產(chǎn)網(wǎng)，其間沒(méi)有任何安全防護手段，不法人員可以通過(guò)該條路徑進(jìn)入企業(yè)內網(wǎng)控制PC，繼而對數據進(jìn)行非法篡改，和對傳輸惡意控制指令，勢必對控制系統造成嚴重威脅。
3、DCS 和 PLC 控制系統缺乏對程序行為的審計能力 惡意程序行為是對工控系統產(chǎn)生安全威脅最為主要的原因之一，在工控系統端點(diǎn)主機上程序行為是否正常，需要對其所有的行為數據進(jìn)行深度感知、聚集和細粒度的處理和審計。 操作管理人員的技術(shù)水平和安全意識差別較大，容易發(fā)生越權訪(fǎng)問(wèn)、違規操作，給生產(chǎn)系統埋下極大的安全隱患。實(shí)事上，DCS 和 PLC 系統相對封閉的環(huán)境，也使得來(lái)自系統內部人員在應用系統層面的誤操作、違規操作或故意的破壞性操 作成為工業(yè)控制系統所面臨的主要安全風(fēng)險。例如：缺乏基于分組的 HIS 安全策略。在用戶(hù)安全策略的定義界面下，首先要考慮進(jìn)行分組的設置，分組后再設置 不同級別的用戶(hù)從屬于各自的用戶(hù)組，從而依據各自裝置的控制站作為操作和監 視的范圍。
因此，對生產(chǎn)網(wǎng)絡(luò )的訪(fǎng)問(wèn)行為真實(shí)性、完整性進(jìn)行監控、管理與審計是非常必要的。
4、缺乏工控系統的安全威脅預警能力魯西化工的主要產(chǎn)品在生產(chǎn)過(guò)程中全部由 DCS 和 PLC 控制，系統的重要性和實(shí)時(shí)要求及時(shí)掌握系統的信息安全情況，目前缺乏對整個(gè)系統的安全威脅預警能力，缺乏應急處置安全事件的數據支撐。
5、面對高級持續性威脅(APT)攻擊，缺乏有效的應對措施 高級持續性威脅(APT)正在通過(guò)一切方式，繞過(guò)基于代碼的傳統安全方案(如防病毒軟件、防火墻、IPS 等)，并更長(cháng)時(shí)間地潛伏在系統中，讓傳統防御體系難以偵測。同時(shí)，還會(huì )采用智能手機、平板電腦和 USB 等移動(dòng)設備為目標和攻擊對象繼而入侵企業(yè)信息系統的方式。前述以超級工廠(chǎng)病毒(W32.Stuxnet)為代表的針對工業(yè)控制系統的攻擊事件變呈現了這些攻擊技術(shù)特征。
但是針對這種 APT 攻擊，現有的安全防護手段均顯得有些無(wú)力。這也許需要 整合各種安全技術(shù)，通過(guò)形成完善的安全防御體系（防御手段的組織化、體系化） 才可能有效，然而 DCS 和 PLC 系統對安全技術(shù)及管理的嚴重不足的現實(shí)，使其在 面臨持續攻擊時(shí)將會(huì )遭到不可估量的安全損失。
方案設計
根據魯西化工的控制系統及信息化生產(chǎn)運行管理流程，結合 GB/17859、 GB/T25070 基本要求，按照等保三級相關(guān)相求，構建在安全管理中心支持下的計算環(huán)境、區域邊界、通信網(wǎng)絡(luò )三重防御體系，通過(guò)強化分區、隔離防護、協(xié)議管 控、入侵防御及安全審計等技術(shù)手段構建縱深安全防御體系，確保生產(chǎn)現場(chǎng) DCS、 PLC 等控制設備的本質(zhì)安全。具體如下：
● 遵循國家、地方、行業(yè)相關(guān)法規和標準；
● 貫徹等級保護和分域保護的原則；
● 管理與技術(shù)并重，互為支撐，互為補充，相互協(xié)同，形成有效的綜合防 范體系；
● 充分依托已有的信息安全基礎設施，加快、加強信息安全保障體系建設。
● 第三級安全的信息系統具備對信息和系統進(jìn)行基于安全策略強制的安全保護能力。
● 在技術(shù)策略方面，第三級要求按照確定的安全策略，實(shí)施強制性的安全保護，使數據信息免遭非授權的泄露和破壞，保證較高安全的系統服務(wù)。 這些安全技術(shù)主要包括物理層、網(wǎng)絡(luò )層、系統層、應用層、數據層的以下內容：
○ 對計算機、網(wǎng)絡(luò )的設備、環(huán)境和介質(zhì)采用較嚴格的防護措施，確保其為信息系統的安全運行提供硬件支持，防止由于硬件原因造成信 息的泄露和破壞；
○ 通過(guò)對局域計算環(huán)境內各組成部分采用網(wǎng)絡(luò )安全監控、安全審計、 數據、設備及系統的備份與恢復、集中統一的病毒監控體系、兩種級要求的操作系統和數據庫、較高強度密碼支持的存儲和傳輸數據 的加密保護、客體重用等安全機制，實(shí)現對局域計算環(huán)境內的信息 安全保護和系統安全運行的支持；
○ 采用分區域保護和邊界防護（如應用級防火墻、網(wǎng)絡(luò )隔離部件、信 息過(guò)濾和邊界完整性檢查等），在不同區域邊界統一制定邊界訪(fǎng)問(wèn)控 制策略，實(shí)現不同安全等級區域之間安全互操作的較嚴格控制；
○ 按照系統化的要求和層次化結構的方法設計和實(shí)現安全子系統，增 強各層面的安全防護能力，通過(guò)安全管理中心，在統一安全策略下 對系統安全事件集中審計、集中監控和數據分析，并做出響應和處 理，從而構建較為全面的動(dòng)態(tài)安全體系。
● 在管理策略方面，第三級要求實(shí)施體系的安全管理。應建立完整的信息系統安全管理體系，對安全管理過(guò)程進(jìn)行規范化的定義。根據實(shí)際安全需求，成立安全管理機構，配備專(zhuān)職的安全管理人員，落實(shí)各級領(lǐng)導及相關(guān)人員的責任。
1、具體安全策略
按照層層防護的思想，信息系統由具有相同或不同等級的子系統構成，各子系統均需要實(shí)現安全域內部安全、安全域邊界安全及安全域互聯(lián)安全。 邊界保護的目的是對邊界內的局域計算環(huán)境和獨立用戶(hù)/用戶(hù)群的計算機環(huán)境進(jìn)行保護，防止非法的用戶(hù)連接和數據傳輸。 安全域內部安全是指局域計算環(huán)境自身安全和網(wǎng)絡(luò )連接設備自身安全。 安全域互聯(lián)安全是指在不同等級的系統之間互聯(lián)時(shí)，應采取的保護原則和保護策略。
2、安全域內部策略
為滿(mǎn)足威脅需求的基本防護要求應實(shí)現以下安全域內部的安全目標：
網(wǎng)絡(luò )層策略
b1、通過(guò)合理的結構設計和網(wǎng)段劃分手段實(shí)現合理分配、控制網(wǎng)絡(luò )、操 作系統和應用系統資源及路由選擇和控制；
b2、通過(guò)網(wǎng)絡(luò )訪(fǎng)問(wèn)控制手段實(shí)現網(wǎng)絡(luò )、系統和應用的訪(fǎng)問(wèn)的嚴格控制及數據、文件或其他資源的訪(fǎng)問(wèn)的嚴格控制；
b3、通過(guò)網(wǎng)絡(luò )安全審計手段實(shí)現記錄用戶(hù)操作行為和分析記錄；以及對資源訪(fǎng)問(wèn)的行為進(jìn)行記錄、集中分析并響應；
b4、通過(guò)邊界完整性檢查手段實(shí)現檢測非法接入設備及檢測網(wǎng)絡(luò )邊界完 整性；并能切斷非法連接；
b5、通過(guò)網(wǎng)絡(luò )入侵防范手段實(shí)現檢測、集中分析、響應、阻止對網(wǎng)絡(luò )和所有主機的各種攻擊；
b6、通過(guò)惡意代碼防范手段實(shí)現發(fā)現并修補已知漏洞；對惡意代碼的檢測、集中分析、阻止和清除及防止惡意代碼在網(wǎng)絡(luò )中的擴散；對惡意代 碼庫和搜索引擎及時(shí)更新并防止未授權下載、拷貝軟件或者文件；
B7、通過(guò)網(wǎng)絡(luò )設備防護手段實(shí)現對網(wǎng)絡(luò )、系統和應用的嚴格訪(fǎng)問(wèn)控制及對用戶(hù)進(jìn)行唯一標識；同時(shí)對同一個(gè)用戶(hù)產(chǎn)生多重鑒別信息，其中一個(gè) 是不可偽造的鑒別信息并進(jìn)行多重鑒別；另外對硬件設備進(jìn)行唯一標識 和合法身份確定；并在持續非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接。
系統層策略
c1、通過(guò)身份鑒別手段實(shí)現對網(wǎng)絡(luò )、系統和應用的訪(fǎng)問(wèn)進(jìn)行嚴格的限制； 并對用戶(hù)進(jìn)行唯一標識及同一用戶(hù)產(chǎn)生多重鑒別信息，其中一個(gè)不可偽 造的鑒別信息并進(jìn)行多重鑒別；對硬件設備進(jìn)行唯一標識及合法身份確 定并實(shí)現在持續非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連連接；
c2、通過(guò)自主訪(fǎng)問(wèn)控制手段實(shí)現對網(wǎng)絡(luò )、系統和應用的訪(fǎng)問(wèn)進(jìn)行嚴格控制并對數據、文件或其他資源的訪(fǎng)問(wèn)進(jìn)行嚴格控制；
c3、通過(guò)強制訪(fǎng)問(wèn)控制手段實(shí)現對網(wǎng)絡(luò )、系統和應用的訪(fǎng)問(wèn)進(jìn)行嚴格控制并對數據、文件或其他資源的訪(fǎng)問(wèn)進(jìn)行嚴格控制及對敏感信息及其流 向進(jìn)行標識；
c4、通過(guò)安全審計手段實(shí)現記錄用戶(hù)操作行為和分析記錄結果并對安全機制失效進(jìn)行自動(dòng)監測和報警及對資源訪(fǎng)問(wèn)的行為進(jìn)行記錄、集中分析 并響應；
c5、通過(guò)系統保護手段實(shí)現系統軟件、應用軟件的容錯及自動(dòng)保護當前工作狀態(tài)；
c6、通過(guò)剩余信息保護手段實(shí)現對存儲介質(zhì)中的殘余信息的刪除；應、阻止對網(wǎng)絡(luò )和所有主機的各種攻擊并重要數據和程序進(jìn)行完整性檢測和糾錯；
c8、通過(guò)惡意代碼防范手段實(shí)現對已知漏洞的檢測和修補并防止惡意代碼在網(wǎng)絡(luò )中的擴散及對惡意代碼庫和搜索引擎及時(shí)更新；防止未授權下 在、拷貝軟件或者文件；
c9、通過(guò)系統資源控制手段實(shí)現合理使用和控制系統資源及按優(yōu)先級自動(dòng)分配系統資源并能在持續非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接；
應用層策略
d1、通過(guò)采取身份鑒別措施，來(lái)實(shí)現有對網(wǎng)絡(luò )、系統和應用的訪(fǎng)問(wèn)進(jìn)行嚴格控制，對用戶(hù)進(jìn)行唯一標識，對同一個(gè)用戶(hù)產(chǎn)生多重鑒別信息進(jìn)行 多重鑒別，對持續性非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接的目標；
d2、通過(guò)采取相應的訪(fǎng)問(wèn)控制措施，來(lái)實(shí)現對網(wǎng)絡(luò )、系統和應用的訪(fǎng)問(wèn)進(jìn)行嚴格控制，對數據、文件或其他資源的訪(fǎng)問(wèn)進(jìn)行嚴格控制，對敏感 信息進(jìn)行標識的目標；
d3、通過(guò)安全審計措施，來(lái)實(shí)現記錄用戶(hù)操作行為和分析記錄結果，對資源訪(fǎng)問(wèn)的行為進(jìn)行記錄、集中分析并響應的目標；
d4、通過(guò)對剩余信息采取相應的保護措施，來(lái)實(shí)現對存儲介質(zhì)中的殘余信息進(jìn)行刪除的目標；
d5、通過(guò)采取相應的措施來(lái)確保通信的完整性，來(lái)實(shí)現對傳輸和存儲數據進(jìn)行完整性檢測和糾錯，對通信數據進(jìn)行完整性檢測和糾錯，重要數 據和程序進(jìn)行完整性檢測和糾錯的目標；
d6、通過(guò)采取相應的措施來(lái)確保通信的保密性，來(lái)實(shí)現對傳輸和存儲中的信息進(jìn)行保密性保護，防止加密數據被破解的目標；
d7、通過(guò)采取相應的抗抵賴(lài)性措施，來(lái)實(shí)現信息源發(fā)的鑒別，基于密碼技術(shù)的抗抵賴(lài)的目標；
d8、通過(guò)采取相應的軟件容錯措施，來(lái)實(shí)現系統軟件、應用軟件容錯， 軟件故障分析，自動(dòng)保護當前工作狀態(tài)的，對用戶(hù)的誤操作行為進(jìn)行檢 測、報警和恢復的目標；
d9、通過(guò)采取相應的資源控制措施，來(lái)實(shí)現合理使用和控制系統資源，按優(yōu)先級自動(dòng)分配系統資源，限制網(wǎng)絡(luò )、操作系統和應用系統資源使用， 合理分配、控制網(wǎng)絡(luò )、操作系統和應用系統資源，持續非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接的目標；
d10、通過(guò)相應的措施來(lái)控制軟件代碼的安全，來(lái)實(shí)現對軟件缺陷進(jìn)行檢查的目標。
數據層策略
e1、通過(guò)采取相應數據完整性措施, 來(lái)實(shí)現對傳輸和存儲數據進(jìn)行完整性檢測和糾錯，重要數據和程序進(jìn)行完整性檢測和糾錯的目標；
e2、通過(guò)采取數據保密性措施, 來(lái)實(shí)現保證鑒別數據傳輸和存儲保密性， 對傳輸和存儲中的信息進(jìn)行保密性保護，防止加密數據被破解的目標；
e3、通過(guò)采取數據備份和恢復措施, 來(lái)實(shí)現對抗中等強度地震、臺風(fēng)等自然災難造成破壞，防止雷擊事件導致大面積設備被破壞，及時(shí)恢復正 常通信，對用戶(hù)的誤操作行為進(jìn)行檢測、報警和恢復，使重要通信線(xiàn)路及時(shí)恢復，及時(shí)恢復重要數據，保證重要業(yè)務(wù)系統及時(shí)恢復運行的目標。
3、安全域邊界策略 為滿(mǎn)足威脅需求的基本防護要求應實(shí)現以下安全域邊界的安全目標：
● 通過(guò)網(wǎng)絡(luò )訪(fǎng)問(wèn)控制手段實(shí)現網(wǎng)絡(luò )、系統和應用的訪(fǎng)問(wèn)的嚴格控制；
● 數據、文件或其他資源的訪(fǎng)問(wèn)的嚴格控制；
● 通過(guò)邊界完整性檢查手段實(shí)現檢測非法接入設備；
● 檢測網(wǎng)絡(luò )邊界完整性；
● 切斷非法連接。
4、安全域互聯(lián)策略 不同安全等級的安全域之間可以根據業(yè)務(wù)需要進(jìn)行互聯(lián)?；ヂ?lián)問(wèn)題的本質(zhì)就是互聯(lián)系統間的邊界安全問(wèn)題。不同安全等級互聯(lián)，要根據系統業(yè)務(wù)和安全需求， 制定相應的多級安全策略，主要包括訪(fǎng)問(wèn)控制策略和數據交換策略等，采取相應 的邊界保護、訪(fǎng)問(wèn)控制等安全措施，防止高等級系統的安全受低等級系統的影響。
不同安全等級的安全域互聯(lián)主要有以下幾種情況：
● 位于同一業(yè)務(wù)單位域內共享網(wǎng)絡(luò )平臺的系統互聯(lián)；
● 位于同一業(yè)務(wù)單位域內不同安全等級網(wǎng)絡(luò )平臺的系統互聯(lián)；
● 位于不同業(yè)務(wù)單位域內的系統互聯(lián)。
方案內容
參照 ANSI/ISA-99 、GB/17859、GB/T25070 等相關(guān)要求，將企業(yè)系統結構劃分成不同的區域可以幫助企業(yè)有效地建立“縱深防御”策略。區域與區域之間利用安全產(chǎn)品進(jìn)行策略控制，確保每個(gè)區域的相互獨立性，實(shí)現風(fēng)險的最小化和 可控。從以下方面進(jìn)行設計，如圖 2 所示：

圖二 安全部署圖
辦公網(wǎng)與管理網(wǎng)區域
由于辦公網(wǎng)直接與互聯(lián)網(wǎng)相連，且應用復雜，人員眾多。存在被感染病毒或被惡意控制的高風(fēng)險，所以在辦公網(wǎng)與管理網(wǎng)之間部署一臺網(wǎng)絡(luò )病毒網(wǎng)關(guān)，入侵防御（IPS）系統?？梢蕴幚?HTTP、SMTP、POP3、FTP 和 IMAP 等多種協(xié)議，全面保護郵件、WEB 訪(fǎng)問(wèn)以及文件傳輸過(guò)程中的安全。從而有效抵御來(lái)自辦公網(wǎng)及互聯(lián)網(wǎng)的網(wǎng)絡(luò )病毒和風(fēng)險，確保內網(wǎng)的安全。管理網(wǎng)絡(luò )的安全防護在管理核心區域需要實(shí)現全網(wǎng)數據流量審計和入侵檢測，計劃部署網(wǎng)絡(luò )安全
審計和入侵防御（IPS）系統，實(shí)現整個(gè)區域數據流的審計和檢測。計劃在核心交換之間部署 1 臺網(wǎng)絡(luò )安全審計和 1 臺入侵防御系統。 通過(guò)網(wǎng)絡(luò )安全審計實(shí)現對業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò )操作行為進(jìn)行細粒度審計的合規性管理系統。它通過(guò)對業(yè)務(wù)人員訪(fǎng)問(wèn)系統的行為進(jìn)行解析、分析、記錄、匯報， 用來(lái)幫助用戶(hù)事前規劃預防，事中實(shí)時(shí)監視、違規行為響應，事后合規報告、事 故追蹤溯源，同時(shí)加強內外部網(wǎng)絡(luò )行為監管、促進(jìn)核心資產(chǎn)（數據庫、服務(wù)器、 網(wǎng)絡(luò )設備等）的正常運營(yíng)通過(guò)部署入侵防御系統實(shí)現對于病毒、木馬、蠕蟲(chóng)、僵尸網(wǎng)絡(luò )、緩沖區溢出 攻擊、DDoS、掃描探測、欺騙劫持、SQL 注入、XSS、網(wǎng)站掛馬、異常流量等惡 性攻擊行為有非常準確高效的檢測防御效果，并通過(guò)簡(jiǎn)單易懂的去技術(shù)化語(yǔ)言幫 助用戶(hù)分析威脅，對威脅進(jìn)行有效處理。
DCS 控制器安全防護
浙大中控、和利時(shí) DCS 控制系統其操作站 HIS 和控制站 FCS 通過(guò)冗余的基于以太網(wǎng)通訊的控制總線(xiàn)連接，HIS 實(shí)現監控，操作功能，FCS 則完成具體的控 制運算，輸入/輸出及數據處理功能。由于以太網(wǎng)的開(kāi)放性，在帶來(lái)通訊便捷的 同時(shí)也增加了安全風(fēng)險。
所以必須要在控制器入口端部署控制器防護設備，能夠識別針對控制器的操控服務(wù)指令（包括組態(tài)服務(wù)、數據上傳服務(wù)、數據下載服務(wù)、讀服務(wù)、寫(xiě)服務(wù)、 控制程序下載服務(wù)、操控指令服務(wù)等），并能夠根據安全策略要求對非法的服務(wù) 請求進(jìn)行報警和自動(dòng)阻斷。如圖 2 所示，使用工業(yè)防火墻對控制器進(jìn)行安全防護， 一方面通過(guò)對源、目的地址的控制，僅允許工程師站和操作員站可訪(fǎng)問(wèn)控制器， 且對關(guān)鍵控制點(diǎn)的讀寫(xiě)權限加以嚴格限制，保障了資源的可信與可控，另一方面， 通過(guò)對端口服務(wù)的控制，杜絕了一切有意或無(wú)意的攻擊，最后使用“白名單”機 制，僅允許 ScnetII 等專(zhuān)有協(xié)議通過(guò)，阻斷一切 TCP 及其它訪(fǎng)問(wèn)，從而確?？刂?器的安全。
無(wú)線(xiàn)遠程監測接入安全防護
如上圖所示，遠程監測終端通過(guò) 3G 無(wú)線(xiàn)網(wǎng)絡(luò )聯(lián)入企業(yè)內網(wǎng)，內網(wǎng) PC 通過(guò)NAT 映射到互聯(lián)網(wǎng)。由于 3G 設備 IP 地址的不確定因素，本 PC 開(kāi)放 UDP 所有訪(fǎng) 問(wèn)權限，導致外網(wǎng)不法人員通過(guò)掃描或嗅探技術(shù)捕獲 PC 信息，從而入侵到該 PC 或內網(wǎng)，雖然 PC 與通訊網(wǎng)關(guān)采用串口通訊，但仍可通過(guò)對 PC 機的入侵破壞數據 的完整性，并且通過(guò)了解其串口通信方式，下置惡意指令和傳輸病毒。對 PI 數 據庫及控制系統造成致命破壞。
所以如圖 2 所示，在無(wú)線(xiàn)接入 PC 機與控制網(wǎng)絡(luò )之間部署一臺工業(yè)防火墻， 僅允許指定的設備、特定的工業(yè)數據進(jìn)入內網(wǎng)上傳到 PI1 服務(wù)，阻斷一切無(wú)關(guān)的 訪(fǎng)問(wèn)、控制指令。
工業(yè)控制系統漏洞掃描系統
我們企業(yè)控制網(wǎng)絡(luò )布署工業(yè)掃描系統，針對對符合 IEC61131-3 標準的控制 系統上位機（SCADA/HMI）軟件、PLC、器嵌入式軟件以及各種主流現場(chǎng)總線(xiàn)離線(xiàn) 掃描。
與入侵檢測/防御系統等別動(dòng)防御手段相比，漏洞掃描是一種主動(dòng)的防范措施；可以有效避免黑客攻擊行為，放患于未然。通過(guò)對工業(yè)網(wǎng)絡(luò )的掃描，可以了 解工業(yè)網(wǎng)絡(luò )安全配置的和運行的應用服務(wù)，及時(shí)發(fā)現安全漏洞，客觀(guān)評估網(wǎng)絡(luò )風(fēng) 險等級，進(jìn)而及時(shí)修復漏洞。
PKI/CA 系統 由于魯西工藝流程、生產(chǎn)配方、生產(chǎn)裝置以及特種產(chǎn)品數據的敏感性，所以布署一套 PKI/CA 系統，一方面通過(guò)數字證書(shū)來(lái)進(jìn)行相應權限分配，實(shí)現對 DCS、PLC 控制系統的分權管理及多因子驗證，另一方面通過(guò) PKI/CA 系統對網(wǎng)絡(luò )上傳 的數據信息進(jìn)行加密和解密、數字簽名和簽名驗證，從而保證：信息除發(fā)送方和接收方外不被其它人竊??；信息在傳輸過(guò)程中不被篡改；發(fā)送方能夠通過(guò)數字證 書(shū)來(lái)確認接收方的身份；發(fā)送方對于自己的信息不能抵賴(lài)。在保障了數據的完整性與保密性的同時(shí)，也增加了防抵賴(lài)。
終端防病毒
由于終端應用復雜，感染病毒的可能性較大，所以在終端 PC、工程師站、 操作員站上都進(jìn)行查殺毒軟件的安裝，前提必須是經(jīng)過(guò)驗證后的殺毒軟件，要確保其對工控軟件的兼容性。
同時(shí)，也要及時(shí)地對殺毒軟件進(jìn)行病毒庫的升級，但不能影響工控系統的安全性。我們采取在企業(yè)管理網(wǎng)絡(luò )及控制網(wǎng)絡(luò )同時(shí)布署一臺病毒服務(wù)器，企業(yè)管理網(wǎng)絡(luò )服務(wù)器實(shí)時(shí)升級，經(jīng)過(guò)驗證之后定時(shí)通過(guò)人工拷盤(pán)或單向導入到控制網(wǎng)絡(luò )病毒服務(wù)器，以確?？刂凭W(wǎng)絡(luò )病毒庫的更新。
網(wǎng)絡(luò )準入
由于以太網(wǎng)的高效性與經(jīng)濟性，企業(yè)每個(gè)站點(diǎn)的 DCS、PLC 控制設備都采用以太網(wǎng)接口組成工業(yè)控制網(wǎng)絡(luò )，隨著(zhù)當前智能設備和移動(dòng) PC 的廣泛應用，隨時(shí) 有可能非法接入企業(yè)的控制網(wǎng)絡(luò )，把惡意程序及病毒帶入到控制網(wǎng)絡(luò )從而對關(guān)鍵控制系統造成致命威脅，所以針對以上威脅，在企業(yè)控制及管理網(wǎng)絡(luò )布署網(wǎng)絡(luò )準入系統：
● 防止非法的外來(lái)電腦、移動(dòng) PC 及智能終端接入控制網(wǎng)絡(luò )，影響控制系統的安全；
● 防止內部用戶(hù)私自接 HUB、無(wú)線(xiàn) AP 等不安全行為；
● 支持思科的 EOU、H3C 的 PORTAL/PORTAL+、策略路由、L2-OOB-VG 虛擬 網(wǎng)關(guān)、DHCP 強制、SNMP 強制以及透明網(wǎng)橋等多種入網(wǎng)強制認證技術(shù)；
通過(guò)網(wǎng)絡(luò )準入系統，以實(shí)現控制網(wǎng)資源的保護和訪(fǎng)問(wèn)控制，禁止非法計算機接入內網(wǎng)。即只有經(jīng)過(guò)認證的主機才可以訪(fǎng)問(wèn)控制網(wǎng)絡(luò )資源，而當可疑主機出現時(shí)，能夠系統記錄其 IP 地址、MAC 地址、計算機名等基本信息，并自動(dòng)通過(guò)某種方式阻止此計算機訪(fǎng)問(wèn)局域網(wǎng)，切斷其網(wǎng)絡(luò )連接。如下圖所示：

準入控制流程
可信計算
魯西化工關(guān)鍵設施的控制系統都是基于 windows 平臺研發(fā)的，所有工程師站及操作員站均使用 Windows XP 系統，2014 年 4 月 8 日隨著(zhù)微軟宣布徹底取消對 Windows XP 的所有技術(shù)支持，終端安全直接影響了魯西化工基礎實(shí)施的安全， 我們在網(wǎng)絡(luò )層面防護的同時(shí)，積極應用國內先進(jìn)的可信計算技術(shù)對用戶(hù)的身份認 證、應用程序的完整性和合法性認證，從而確保工程師站、操作員站計算運行環(huán) 境的安全。如圖所示：

可信計算平臺框架
安全管理平臺（SOC）
在企業(yè)管理網(wǎng)部署安全管理中心，如圖 2 所示，對生產(chǎn)控制網(wǎng)絡(luò )搜集所有安全信息，并通過(guò)對收集到各種安全事件進(jìn)行深層的分析，統計和關(guān)聯(lián)，及時(shí)反映被管理資產(chǎn)的安全基線(xiàn)，定位安全風(fēng)險，對各類(lèi)安全時(shí)間及時(shí)提供處理方法和建 議的安全解決方案。
功能如下：
● 面向業(yè)務(wù)的統一安全管理
系統內置業(yè)務(wù)建模工具，用戶(hù)可以構建業(yè)務(wù)拓撲，反映業(yè)務(wù)支撐系統的資產(chǎn)構成，并自動(dòng)構建業(yè)務(wù)健康指標體系，從業(yè)務(wù)的性能與可用性、業(yè)務(wù)的脆弱性和業(yè)務(wù)的威脅三個(gè)維度計算業(yè)務(wù)的健康度，協(xié)助用戶(hù)從業(yè)務(wù)的角度去分析業(yè)務(wù)可用性、業(yè)務(wù)安全事件和業(yè)務(wù)告警。
● 全面的日志采集
可以通過(guò)多種方式來(lái)收集設備和業(yè)務(wù)系統的日志，例如 Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell 腳本、Web Service 等等。
● 智能化安全事件關(guān)聯(lián)分析
借助先進(jìn)的智能事件關(guān)聯(lián)分析引擎，系統能夠實(shí)時(shí)不間斷地對所有范式化后的日志流進(jìn)行安全事件關(guān)聯(lián)分析。系統為分析師提供了三種事件關(guān)聯(lián)分析技術(shù)， 分別是：基于規則的關(guān)聯(lián)分析、基于情境的關(guān)聯(lián)分析和基于行為的關(guān)聯(lián)分析，并 提供了豐富的可視化安全事件分析視圖，充分提升分析效率。
● 全面的脆弱性管理
系統實(shí)現與天鏡漏掃系統的實(shí)時(shí)高效聯(lián)動(dòng)，內置配置核查功能，從技術(shù)和管理兩個(gè)維度進(jìn)行全面的資產(chǎn)和業(yè)務(wù)脆弱性管控。
● 主動(dòng)化的預警管理
用戶(hù)可以通過(guò)預警管理功能發(fā)布內部及外部的早期預警信息，并與網(wǎng)絡(luò )中的IP資產(chǎn)進(jìn)行關(guān)聯(lián)，分析出可能受影響的資產(chǎn)，提前讓用戶(hù)了解業(yè)務(wù)系統可能遭受的攻擊和潛在的安全隱患。系統支持內部預警和外部預警；預警類(lèi)型包括安全 通告、攻擊預警、漏洞預警和病毒預警等；預警信息包括預備預警、正式預警和 歸檔預警三個(gè)狀態(tài)。
總結
DCS/PLC 控制系統是化工生產(chǎn)過(guò)程最為關(guān)鍵的基礎設施，這些關(guān)鍵基礎設施中任何控制系統、工控網(wǎng)絡(luò )和數據庫服務(wù)器受到干擾或破壞后將對國民的健康、 安全、經(jīng)濟乃至對國家政府的正常運作造成嚴重影響。事實(shí)上，目前化工行業(yè)很多 DCS/PLC 系統都非常脆弱,非常容易受到惡意攻擊。試想，如果 DCS 或 PLC 系統受到攻擊或感染病毒后發(fā)生故障，壓力、溫度、流量、液位、計量等指示失效， 檢測系統連鎖報警失效，或各類(lèi)儀表電磁閥制動(dòng)空氣及電源無(wú)供給后，一旦重大危險源處于失控狀態(tài)，有毒氣體發(fā)生泄露，后果不堪設想。它的影響可能是時(shí)間上的浪費，資源上的消耗，或者是對生態(tài)環(huán)境造成的極大污染，甚至是犧牲生命 的慘痛代價(jià)。
綜上所述，通過(guò)魯西化工生產(chǎn)控制系統及網(wǎng)絡(luò )安全防護工程的建設，有助于為我國推進(jìn)關(guān)鍵基礎設施信息安全防護標準、規范、策略的形成與實(shí)施，促進(jìn)工業(yè)控制系統信息安全可控產(chǎn)品、技術(shù)的成熟，具有重大的經(jīng)濟及著(zhù)的社會(huì )效益。