1項目概況

本項目針對石油石化行業(yè)，按照網(wǎng)絡安全等級保護制度框架，采用“縱深安全防護”原則，通過分析主機、設備、數(shù)據(jù)及網(wǎng)絡安全等防護需求，構(gòu)建基于邊界防護、監(jiān)測預警、入侵檢測、終端安全等多層次防御體系。

1.1項目背景

石化行業(yè)的工控網(wǎng)絡系統(tǒng)進行安全防護時，面臨核心的安全問題包括：

（1）工業(yè)控制系統(tǒng)品牌眾多。

（2）工業(yè)控制系統(tǒng)安全設計考慮不足。系統(tǒng)漏洞、組件漏洞、協(xié)議薄弱性在封閉專有的環(huán)境下都可以通過隔離來保護，但是網(wǎng)絡開放、數(shù)據(jù)傳輸?shù)陌l(fā)展趨勢使工控系統(tǒng)的弱點暴露無遺，工業(yè)控制系統(tǒng)從縱深安全防護到內(nèi)生安全建設還有很長的路要走。

（3）終端安全和邊界防護是最基本的安全需求。

（4）網(wǎng)絡安全管理的需求。

（5）數(shù)據(jù)傳輸場景必須存在。

（6）整體的安全管理體系尚未建立。

本項目重點解決以上石化企業(yè)面臨的網(wǎng)絡和信息安全問題，以滿足安全合規(guī)性需求與網(wǎng)絡安全運維管理需求。

1.2項目簡介

根據(jù)石化企業(yè)的工業(yè)控制網(wǎng)絡安全基礎，本項目結(jié)合網(wǎng)絡安全等級保護基本要求，針對工業(yè)控制系統(tǒng)網(wǎng)絡，從網(wǎng)絡層、系統(tǒng)層出發(fā)，通過風險評估，梳理資產(chǎn)臺賬，進行脆弱性分析和威脅分析，掌握網(wǎng)絡安全現(xiàn)狀，安全防護設計才可有的放矢。安全防護設計在Defence-In-Depth的防御思想下，根據(jù)“網(wǎng)絡安全分層”、“業(yè)務安全分域”的原則，實現(xiàn)終端安全防護和網(wǎng)絡邊界防護。同時配置異常監(jiān)測設備以提升工控系統(tǒng)及網(wǎng)絡的監(jiān)測預警能力，通過配置統(tǒng)一安全管理平臺，建設安全管理專網(wǎng)，提升工業(yè)控制系統(tǒng)網(wǎng)絡的綜合安全管理，加強動態(tài)防御能力。

1.3項目目標

本項目按照網(wǎng)絡安全等級保護制度框架，采用“縱深安全防護”原則，旨在保障工業(yè)控制系統(tǒng)核心安全。通過項目實施覆蓋控制系統(tǒng)終端，細化強化通訊策略，抵御0day漏洞風險，避免網(wǎng)絡病毒感染傳播風險，實現(xiàn)網(wǎng)絡整體安全態(tài)勢的把控、溯源分析，以及通過安全的通道進行運維操作。此外，項目將單點單向的安全防護納入到一個集成平臺，通過網(wǎng)絡拓撲的形式詳細展現(xiàn)企業(yè)全資產(chǎn)的分布維度與安全狀態(tài)，進行綜合安全管理控制。最終有效提升企業(yè)的安全管理能力和抵御網(wǎng)絡安全風險水平，避免各種網(wǎng)絡安全突發(fā)事件對企業(yè)生產(chǎn)系統(tǒng)的影響，保障生產(chǎn)連續(xù)性，避免財產(chǎn)損失、安全損失以及名譽損失。石油化工行業(yè)防護部署架構(gòu)如圖1所示。

圖1 石油化工行業(yè)防護部署架構(gòu)圖

2項目實施

（1）風險評估

風險評估是項目開展的基礎，也是項目結(jié)束的驗證環(huán)節(jié)。本項目的風險評估貫穿整個防護設計與實施過程，通過風險評估手段來驗證防護的有效性。

（2）測試與試點應用相結(jié)合

本項目實施過程的一大特色是結(jié)合石化企業(yè)工業(yè)生產(chǎn)系統(tǒng)的特性，在風險評估過程中獲取了生產(chǎn)環(huán)境的網(wǎng)絡架構(gòu)、系統(tǒng)環(huán)境、應用組件、通信數(shù)據(jù)。依托工控網(wǎng)絡安全實驗室完善的工業(yè)控制系統(tǒng)環(huán)境，包括Honeywell PKS C300、AB 5000、ABB AC800F、Emerson Delta V、Siemens S7-300、安控RTU HC511、施耐德昆騰CP651等市場主流工控系統(tǒng)，以及Wurldtech WT-ATP3-31、思博倫SPT-C1等專業(yè)測試設備，搭建仿真系統(tǒng)，進行工藝模擬、安全性驗證，進而選取現(xiàn)場裝置系統(tǒng)實施安裝，試運行測試，進而由點及面，全面開展網(wǎng)絡安全建設。

（3）安全防護設計實施

本項目從終端安全防護、安全監(jiān)測、安全審計、統(tǒng)一管理等不同功能方向，結(jié)合采用功能安全與信息安全全生命周期安全防護，應用不同層次、不同方面工控網(wǎng)絡和安全防護。具體建設實施內(nèi)容包括：

· 網(wǎng)絡安全分層分區(qū)

通過工業(yè)防火墻實現(xiàn)管理網(wǎng)與生產(chǎn)網(wǎng)的隔離，并保證數(shù)據(jù)傳輸需求；根據(jù)業(yè)務劃分安全區(qū)域，針對跨裝置存在的操作站互聯(lián)情況，在操作站之間加裝工業(yè)防火墻，實現(xiàn)安全域間的安全通信；通過防火墻對控制系統(tǒng)進行防護，保護下裝控制器的數(shù)據(jù)在傳輸中不被病毒篡改及刪除，防止控制網(wǎng)中節(jié)點感染病毒。

· 主機可信安全

工控主機（服務器、工程師站、操作站）安裝主機安全防護白名單軟件，白名單防護方案是通過對工控上位機與服務器安裝配置主機安全防御平臺實現(xiàn)全面的安全防護，包括計算機進程管理、可信特征庫生成、主機USB接口管理、控制策略配置、白名單運行控制、自身完整性保護等功能。可信計算應用架構(gòu)如圖2所示。

圖2 可信計算應用架構(gòu)圖

· 網(wǎng)絡監(jiān)測、審計與運維

通過異常檢測系統(tǒng)實現(xiàn)網(wǎng)絡非法操作、異常事件、外部攻擊檢測并實時告警；通過審計系統(tǒng)對網(wǎng)絡中存在的所有活動提供協(xié)議審計、行為審計、內(nèi)容審計、流量審計；通過運維系統(tǒng)可以切斷運維終端對工業(yè)網(wǎng)絡設備或資源的直接訪問，采用協(xié)議代理的方式，建立基于唯一身份標識的全局實名制賬號管理，配置集中訪問控制和細粒度的命令級授權策略，實現(xiàn)集中有序的運維安全管理，對用戶從登錄到退出的全程操作行為進行審計，加強工業(yè)控制系統(tǒng)及設備遠程維護的安全管理。工控網(wǎng)絡安全審計與異常檢測平臺架構(gòu)如圖3所示。

圖3 工控網(wǎng)絡安全審計與異常檢測平臺架構(gòu)圖

· 數(shù)據(jù)備份系統(tǒng)

針對生產(chǎn)數(shù)據(jù)、文件以及系統(tǒng)進行保護，定期備份。在災難事件發(fā)生時，可將數(shù)據(jù)以及操作系統(tǒng)恢復至最新備份時間點，以保證生產(chǎn)業(yè)務的快速恢復。并可為后期實施數(shù)據(jù)中心或災備建立基礎。

· 建設安全管理專網(wǎng)，搭建統(tǒng)一安全管理平臺

統(tǒng)一管理工業(yè)控制的系統(tǒng)設備、安全設備及日志信息，將多個設備日志信息關聯(lián)分析，對所有工控安全設備的事件統(tǒng)一展示并分析。通過對控制網(wǎng)絡中的邊界隔離、入侵防御監(jiān)測、主機防護、工控安全審計等安全產(chǎn)品進行集中管理，實現(xiàn)對全網(wǎng)中各安全設備、系統(tǒng)及主機的統(tǒng)一配置、全面監(jiān)控、實時告警、流量分析、網(wǎng)絡態(tài)勢預測與預警等，降低運維成本、提高事件響應效率。該平臺一般都部署在工業(yè)辦公網(wǎng)里，方便管理人員對整個網(wǎng)絡態(tài)勢的總體認知。這是等保2.0安全管理中心的具體體現(xiàn)。

· 建立網(wǎng)絡安全管理體系，完善制度規(guī)范

按網(wǎng)絡安全等級保護要求，本次項目在完成技術防護措施基礎上，配合企業(yè)，建立了安全管理體系，應用了安全管理制度，包括組織人員、物理及環(huán)境、應急預案、運維管理等，以保障安全管理制度對運維工作的可靠性，確保工控系統(tǒng)有完整的保護措施。

在項目實施期間，還進行了主機殺毒處理、漏洞離線匹配與驗證升級、安全基線加固服務。

3案例亮點

（1）通過部署安全防護設備，對企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡進行了全面梳理、評估、加固，輸出資產(chǎn)臺賬、風險評估報告、運維管理手冊，并以項目應用為起點，著手建立網(wǎng)絡信息安全管理體系，實施可靠、可控、安全的工控安全運維管理。

（2）風險評估基于信息安全與功能安全，結(jié)合工控信息安全的獨特性，將應用功能安全HAZOP分析方法對工控系統(tǒng)信息安全進行評估。

（3）縱深安全防護原則，并且點面網(wǎng)結(jié)合，從工業(yè)主機終端安全、訪問控制、網(wǎng)絡邊界防護以及網(wǎng)絡安全管理方面，大幅度提升網(wǎng)絡安全防護水平和防御能力。

（4）加強了安全運維管理能力，保障生產(chǎn)系統(tǒng)的穩(wěn)定運行，保證了數(shù)據(jù)傳輸?shù)母咝С掷m(xù)。

（5）安全合規(guī)性需求，根據(jù)網(wǎng)絡安全等級保護2.0標準要求，在網(wǎng)絡安全等級保護制度框架內(nèi)，結(jié)合其實際需求，務實地解決安全痛點。

（6）有效地提升了企業(yè)的安全管理能力和抵御網(wǎng)絡安全風險的水平，避免各種網(wǎng)絡安全突發(fā)事件對企業(yè)生產(chǎn)系統(tǒng)的影響，保障了生產(chǎn)連續(xù)性，避免財產(chǎn)損失、安全損失以及名譽損失。

來源 | 《自動化博覽》2022年1月刊暨《工業(yè)控制系統(tǒng)信息安全?？ǖ诎溯嫞?/p>