工业控制系统安全体系建设

摘 要：随着“两化”融合发展，工控安全问题凸显，按照《工业控制系统安全防护指南》的要求，我公司通过部署工控防火墙、主机加固、工控安全管理平台、安全审计、入侵防御、USB隔离等措施对工控系统进行了有效的防范。

关键词：网络安全;工控安全;工业防火墙;工控主机加固;工控审计

一、 引言

随着网络安全法和等级保护2.0的实施，工控网络成为企业网络安全重点关注对象。通过对网络结构、网络安全风险分析，定期进行风险评估与检查，及时了解网络内薄弱环节，对监控层数据进行实时数据审计，及时发现网络内异常流量和行为;在生产控制网络的关键区域边界部署可靠的边界防护设备并合理配置防护策略，实现分层级的纵深安全防御、威胁检测策略;对于用户通过上位操作主机的USB外设接口拷贝数据时，使用USB安全隔离装置对主机实施安全加固，有效减少通过移动存储设备带入病毒、恶意程序的机会。

二、工控安全体系建设目标

按照《工业控制系统安全防护指南》中对工业控制网络安全等要求，在各单元工业控制系统的子系统之间、工业控制系统与甲方内网的接口之间加装工业级网络安全隔离设备，建设统一的网络安全管理平台。采用安全防护措施后不能影响整个工控系统的稳定性以及可用性，同时系统建立可视化的网络模型，实时监视整个系统设备的运行状态和安全状态， 一旦发生安全事件，能在网络图上进行实时报警，可指定设备进行历史查询。

通过工控安全体系建设需要达到以下目标：

（一）在控制系统网络中，对已经部署的工业防火墙的安全策略进行优化，确保过程控制网与生产管理网之间的网络隔离;

（二）在数采网的核心交换机旁部署工业安全审计、异常监测和入侵检测等安全设备;

（三）在中央调度室增设安全管理中心，增强安全状态实时集中监控和感知功能;

（四）实时监控网络内的异常数据和操作行为，实时保护系统安全，及时阻止恶意代码对控制网络的破坏;

（五）追溯入侵者对工业控制网络的恶意攻击与破坏的源头和路径;

（六）降低通过USB移动存储介质的方式拷贝数据遭受攻击的几率;

（七）重点对工程师站、操作站进行主机加固，防止外部攻击。

三、 工控安全体系建设

（一）、搭建工控安全管理专网

独立搭建工控安全专网，用于工业防火墙、工控安全审计系统、工控网络入侵防御检测系统、账号集中管理与审计系统、工控网络安全管理平台等相关网络安全设备的管理以及数据传输，有效的避免了对控制网络的影响。

（二）、部署工业防火墙

在DCS控制网和MES取数网之间部署工业防火墙，实行白名单管理模式，清理端口，精确开放内部服务器服务端口，限制主要网络木马病毒入侵端口通信。通过搭建的工控安全管理专网实现集中管理及拦截日志发送至工控日志管理平台实现网络日志审计。

（三）、工控主机安全加固

在现场控制层的工程师站、操作员站、OPC 服务器以及数采服务器主机上，MES 层服务器上部署 InTrust 可信安全管理平台，通过应用程序、USB 移动存储的白名单策略，防止用户的违规操作和误操作，阻止不明程序、移动存储介质的滥用，有效提高工控網络的综合“免疫”能力。主机安全防护的措施解决了操作系统、安全策略和管理流程、工业病毒防护、应用软件漏洞的安全威胁。

（四）、部署工控网络安全管理平台

在中心控制室部署工控安全管理中心SMP软件，实时接收来自工控安全防护设备的日志，分析、组织、处理网络环境内的告警、设备运行信息。它是安全设备管理系统产品的核心，负责连接其它模块，传递运行数据，并完成所有管理功能的后台处理。收集来自安全设备、网络设备、服务器和应用系统的数据，通过收集、格式化、过滤、关联等方式对事件简化和合并，为用户展示最有价值的数据信息，数据库可以存储各种设备基本情况、安全日志信息等，在服务器控制台上可以进行全部安全事件的显示。

（五）、部署工控安全审计系统

在所有DCS装置现场部署工控安全审计系统，针对工业控制网络设计的实时告警系统，通过特定的安全策略，快速识别出系统中存在的非法操作、异常事件、外部攻击并实时告警。工控安全审计系统采用旁路监听方式进行部署，完全不影响现有系统的生产运行，可广泛应用于各类网络应用环境。实时网络监测 对工控网络中的数据、事件行为进行实时监测、实时告警，帮助用户实时掌握工控网络运行状况。网络安全审计对工控网络中存在的所有活动提供协议审计、行为审计、内容审计、流量审计，生成完整记录便于事件追溯。

（六）、部署工控账号集中管理与审计系统

在中心控制室部署一套工控网络安全运维审计系统，实现运维中的集中帐号管理、集中登录认证、集中用户授权和集中操作审计，为保证工业控制网络的可用性和安全性，需要通过设置工业防火墙端口控制策略或交换机ACL访问策略，防止用户绕过工控网络安全运维主机直接访问目标设备。

（七）、部署工控入侵防御检测系统

在中心控制室部署入侵防御检测系统，依照安全策略，对工业网络、系统的运行状况进行监视，及时发现各种非法操作或异常行为，同时需要深入分析网络上捕获的数据包，结合特征库进行相应的行为匹配，及时发现来自生产网外部或内部违反安全策略的行为及被攻击的迹象，帮助哈石化公司及时采取应对措施，最终达到保护生产网络安全。

（八）、部署USB安全隔离装置

USB 安全隔离装置是 USB 存储设备和计算机之间数据安全交互的桥梁，对USB 移动存储设备数据传输过程进行病毒查杀隔离，可有效减少通过USB移动存储设备携带病毒对内网计算机的安全性造成威胁。

四、 结论

随着信息化的发展，从伊朗“震网”病毒事件到乌克兰电力网被黑事件说明工控安全风险越来越大，企业必须加强工控网络安全建设。我公司通过工控网络安全体系建设，可以对工控网络进行威胁评估、监测审计、主机防护、集中管理，大大提高了工控网络的安全防护水平，为工控网络安全提供了全方位防御体系。

参考文献：

[1].陈忠平 李旎 刘青凤 网络安全[m]. 北京：清华大学出版社，2011

作者简介：

谭振军，男，1984年生，2004年毕业于石油大学（华东）计算机科学与技术专业，工学学士，现工作于中国石油哈尔滨石化分公司信息中心，工程师。主要研究方向：计算机网络，网络安全。