摘 要：隨著“兩化”融合發(fā)展，工控安全問題凸顯，按照《工業(yè)控制系統(tǒng)安全防護指南》的要求，我公司通過部署工控防火墻、主機加固、工控安全管理平臺、安全審計、入侵防御、USB隔離等措施對工控系統(tǒng)進行了有效的防范。

關鍵詞：網絡安全;工控安全;工業(yè)防火墻;工控主機加固;工控審計

一、 引言

隨著網絡安全法和等級保護2.0的實施，工控網絡成為企業(yè)網絡安全重點關注對象。通過對網絡結構、網絡安全風險分析，定期進行風險評估與檢查，及時了解網絡內薄弱環(huán)節(jié)，對監(jiān)控層數(shù)據(jù)進行實時數(shù)據(jù)審計，及時發(fā)現(xiàn)網絡內異常流量和行為;在生產控制網絡的關鍵區(qū)域邊界部署可靠的邊界防護設備并合理配置防護策略，實現(xiàn)分層級的縱深安全防御、威脅檢測策略;對于用戶通過上位操作主機的USB外設接口拷貝數(shù)據(jù)時，使用USB安全隔離裝置對主機實施安全加固，有效減少通過移動存儲設備帶入病毒、惡意程序的機會。

二、工控安全體系建設目標

按照《工業(yè)控制系統(tǒng)安全防護指南》中對工業(yè)控制網絡安全等要求，在各單元工業(yè)控制系統(tǒng)的子系統(tǒng)之間、工業(yè)控制系統(tǒng)與甲方內網的接口之間加裝工業(yè)級網絡安全隔離設備，建設統(tǒng)一的網絡安全管理平臺。采用安全防護措施后不能影響整個工控系統(tǒng)的穩(wěn)定性以及可用性，同時系統(tǒng)建立可視化的網絡模型，實時監(jiān)視整個系統(tǒng)設備的運行狀態(tài)和安全狀態(tài)， 一旦發(fā)生安全事件，能在網絡圖上進行實時報警，可指定設備進行歷史查詢。

通過工控安全體系建設需要達到以下目標：

（一）在控制系統(tǒng)網絡中，對已經部署的工業(yè)防火墻的安全策略進行優(yōu)化，確保過程控制網與生產管理網之間的網絡隔離;

（二）在數(shù)采網的核心交換機旁部署工業(yè)安全審計、異常監(jiān)測和入侵檢測等安全設備;

（三）在中央調度室增設安全管理中心，增強安全狀態(tài)實時集中監(jiān)控和感知功能;

（四）實時監(jiān)控網絡內的異常數(shù)據(jù)和操作行為，實時保護系統(tǒng)安全，及時阻止惡意代碼對控制網絡的破壞;

（五）追溯入侵者對工業(yè)控制網絡的惡意攻擊與破壞的源頭和路徑;

（六）降低通過USB移動存儲介質的方式拷貝數(shù)據(jù)遭受攻擊的幾率;

（七）重點對工程師站、操作站進行主機加固，防止外部攻擊。

三、 工控安全體系建設

（一）、搭建工控安全管理專網

獨立搭建工控安全專網，用于工業(yè)防火墻、工控安全審計系統(tǒng)、工控網絡入侵防御檢測系統(tǒng)、賬號集中管理與審計系統(tǒng)、工控網絡安全管理平臺等相關網絡安全設備的管理以及數(shù)據(jù)傳輸，有效的避免了對控制網絡的影響。

（二）、部署工業(yè)防火墻

在DCS控制網和MES取數(shù)網之間部署工業(yè)防火墻，實行白名單管理模式，清理端口，精確開放內部服務器服務端口，限制主要網絡木馬病毒入侵端口通信。通過搭建的工控安全管理專網實現(xiàn)集中管理及攔截日志發(fā)送至工控日志管理平臺實現(xiàn)網絡日志審計。

（三）、工控主機安全加固

在現(xiàn)場控制層的工程師站、操作員站、OPC 服務器以及數(shù)采服務器主機上，MES 層服務器上部署 InTrust 可信安全管理平臺，通過應用程序、USB 移動存儲的白名單策略，防止用戶的違規(guī)操作和誤操作，阻止不明程序、移動存儲介質的濫用，有效提高工控網絡的綜合“免疫”能力。主機安全防護的措施解決了操作系統(tǒng)、安全策略和管理流程、工業(yè)病毒防護、應用軟件漏洞的安全威脅。

（四）、部署工控網絡安全管理平臺

在中心控制室部署工控安全管理中心SMP軟件，實時接收來自工控安全防護設備的日志，分析、組織、處理網絡環(huán)境內的告警、設備運行信息。它是安全設備管理系統(tǒng)產品的核心，負責連接其它模塊，傳遞運行數(shù)據(jù)，并完成所有管理功能的后臺處理。收集來自安全設備、網絡設備、服務器和應用系統(tǒng)的數(shù)據(jù)，通過收集、格式化、過濾、關聯(lián)等方式對事件簡化和合并，為用戶展示最有價值的數(shù)據(jù)信息，數(shù)據(jù)庫可以存儲各種設備基本情況、安全日志信息等，在服務器控制臺上可以進行全部安全事件的顯示。

（五）、部署工控安全審計系統(tǒng)

在所有DCS裝置現(xiàn)場部署工控安全審計系統(tǒng)，針對工業(yè)控制網絡設計的實時告警系統(tǒng)，通過特定的安全策略，快速識別出系統(tǒng)中存在的非法操作、異常事件、外部攻擊并實時告警。工控安全審計系統(tǒng)采用旁路監(jiān)聽方式進行部署，完全不影響現(xiàn)有系統(tǒng)的生產運行，可廣泛應用于各類網絡應用環(huán)境。實時網絡監(jiān)測 對工控網絡中的數(shù)據(jù)、事件行為進行實時監(jiān)測、實時告警，幫助用戶實時掌握工控網絡運行狀況。網絡安全審計對工控網絡中存在的所有活動提供協(xié)議審計、行為審計、內容審計、流量審計，生成完整記錄便于事件追溯。

（六）、部署工控賬號集中管理與審計系統(tǒng)

在中心控制室部署一套工控網絡安全運維審計系統(tǒng)，實現(xiàn)運維中的集中帳號管理、集中登錄認證、集中用戶授權和集中操作審計，為保證工業(yè)控制網絡的可用性和安全性，需要通過設置工業(yè)防火墻端口控制策略或交換機ACL訪問策略，防止用戶繞過工控網絡安全運維主機直接訪問目標設備。

（七）、部署工控入侵防御檢測系統(tǒng)

在中心控制室部署入侵防御檢測系統(tǒng)，依照安全策略，對工業(yè)網絡、系統(tǒng)的運行狀況進行監(jiān)視，及時發(fā)現(xiàn)各種非法操作或異常行為，同時需要深入分析網絡上捕獲的數(shù)據(jù)包，結合特征庫進行相應的行為匹配，及時發(fā)現(xiàn)來自生產網外部或內部違反安全策略的行為及被攻擊的跡象，幫助哈石化公司及時采取應對措施，最終達到保護生產網絡安全。

（八）、部署USB安全隔離裝置

USB 安全隔離裝置是 USB 存儲設備和計算機之間數(shù)據(jù)安全交互的橋梁，對USB 移動存儲設備數(shù)據(jù)傳輸過程進行病毒查殺隔離，可有效減少通過USB移動存儲設備攜帶病毒對內網計算機的安全性造成威脅。

四、 結論

隨著信息化的發(fā)展，從伊朗“震網”病毒事件到烏克蘭電力網被黑事件說明工控安全風險越來越大，企業(yè)必須加強工控網絡安全建設。我公司通過工控網絡安全體系建設，可以對工控網絡進行威脅評估、監(jiān)測審計、主機防護、集中管理，大大提高了工控網絡的安全防護水平，為工控網絡安全提供了全方位防御體系。

參考文獻：

[1].陳忠平 李旎 劉青鳳 網絡安全[m]. 北京：清華大學出版社，2011

作者簡介：

譚振軍，男，1984年生，2004年畢業(yè)于石油大學（華東）計算機科學與技術專業(yè)，工學學士，現(xiàn)工作于中國石油哈爾濱石化分公司信息中心，工程師。主要研究方向：計算機網絡，網絡安全。