辛冠莹 苏永刚 樊泽

摘 要：工业控制系统已广泛应用于电力、轨道交通、石油化工、航空航天等工业领域。目前，大量的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化操作。工业控制系统已经成为国家关键基础设施的重要组成部分。由于工业控制系统广泛采用通用网络设备和IT设施，以及与企业信息管理系统的集成，传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向工业控制系统扩散。本文主要对某油田规划建设与安全保密措施进行探讨，并提出相关建设性策略。

关键词：工业控制系统;入侵攻击;安全威胁

一 项目背景

近年来，随着两化融合发展的不断深入，安全威胁向工业控制系统加速渗透，工业领域面临严峻的信息安全挑战。为提升工业企业工业控制系统信息安全的防护水平，保障工业控制系统安全，2016年10月，工业和信息化部印发《工业控制系统信息安全防护指南》，指导工业企业开展工控安全防护工作。此项工作的推出，引起了领导对工业控制系统安全的高度重视，并将工控系统安全防护提升到战略层面。

二 需求分析

工控安全是生产安全的一部分，所有安全防护的目标就是保证生产的安全稳定运行，因此工控系统的实地调研和风险评估是一个非常重要的环节，通过该环节，才可以真正让安全需求落地。

经过调研和评估，总结出如下几个关键的安全薄弱环节：办公网与外网连接，生产网与办公网互通，生产网与办公网边界存在重大安全隐患。作为数据采集及存储的关键部分，OPC 服务器存在诸多安全隐患。工业控制相关的应用系统普遍存在弱口令问题，这也反映出安全意识的不足。工控主机中会存储一些重要的文件，但是文件一般未加密，容易造成核心数据丢失，同时病毒感染的现象普遍。便携式工程师站、操作员站防护手段不足，会成为病毒、木马入侵的跳板。

三 实施方案

3.1建设原则

3.1.1深度防御

在信息安全防护系统设计、实施过程中，建立等级保护深度防御体系，对计算环境、网络边界、通信网络、用户和数据进行全面控制。以《信息系统等级保护基本要求》为依据，按照《信息系统等级保护安全设计技术要求》，建设符合生产系统安全需要的安全计算环境、安全区域边界和安全通信网络。

3.1.2集中管理

集中管理是建设信息安全等级保护深度防御系统的基本要求，是各单位横向集成、纵向贯通，信息共享的前提。同时，在生产控制系统安全防护时，按照统一信息系统安全管理的规范进行规划和设计，确保信息安全防护水平的一致。对业务系统范围内的资源和用户进行统一标记，按照访问控制策略来进行实施，对于各个终端、服务器和边界的事件应统一由审计中心进行分析和响应。另外，应建立全系统范围的网络管理和监控系统，做到管理全局统一，监控严密，响应及时。

3.1.3适度防护

在信息安全防御体系建设过程中，需要考虑对内部的防护，突出适度防护的原则。在考虑可用性和建设成本的前提下，对现有系统进行改造升级，建立满足高安全等级要求的信息系统。

3.2建设架构

3.2.1工控主机卫士部署

对感染病毒的主机进行病毒清理工作。不同于办公主机的杀毒，还要考慮到病毒清理可能对应用软件的破坏，需要先备份后杀毒。在备份主机上确认杀毒方案对当前系统没有影响的情况下，才真正在目标主机上开展相关病毒清理工作，病毒清理干净后，部署主机卫士进行最终加固。通过“白名单”管理机制解决恶意代码对工控主机的攻击问题。可以对主机等USB接口进行管控，杜绝由于移动存储设备所带来的潜在安全风险。

3.2.2工业防火墙部署

工控交换机和工控出口3G路由器中间部署一台工业防火墙用于工控系统的防护。在做好有效的访问控制的同时，通过工业协议的深度解析和指令级控制，有效阻断来自生产网之外的对工控系统的攻击行为。要做好工控协议的深度解析和指令级控制，首先要建立完整的业务模型，这一方面要借助工业防火墙的工业协议智能学习功能，同时也要结合人工的分析和调整，真正实现该阻断的绝不放过，该通过的绝不阻断。

3.2.3  统一安全管理平台部署

在某机房安装统一安全管理平台对工业防火墙、智能监测终端和主机卫士加固过的工作站进行集中管理，并对外提供Web管理能力。有效阻断非法IP的侵入。网络安全从来都不是孤立的，我们在强调技防的同时，也要重视从管理入手去杜绝安全隐患，结合我处的现状及特点，涵盖工控系统边界防护、区域防护和主机防护的纵深防御解决方案，部署了包括威努特工业防火墙、工控主机卫士（主机安全加固）以及统一安全管理平台等。

3.3功能介绍

3.3.1工控主机卫士

1.主机安全防护

工控主机安全防护软件支持操作系统完整性检查，完整性检查包括注册表保护、文件保护、防止操作系统被恶意软件破环等。当操作系统被恶意软件破坏后，工控主机安全防护软件可以通过统一安全管理平台进行告警，提醒信息安全管理员操作系统存在被入侵风险。

2.阻止恶意代码的执行和扩散

工控主机安全防护软件通过“白名单”机制，可以有效阻止“白名单”外的程序及病毒、木马等恶意代码的执行，进而有效避免系统感染震网病毒等工控恶意代码。如果在工业控制系统中有一台设备被恶意病毒感染并通过网络扩散到其它主机后，在部署了工控主机安全防护软件的主机上通过白名单功能就可以阻止病毒的运行，进而保护主机的运行安全。

3.移动存储管理

由于工控网络的封闭性，根据现场调研表情况看，工作站存在未使用的USB端口及光驱。现场工程师可以通过U盘或光盘等与工控网中的设备上传或下载数据信息，在这个过程中，很容易将病毒木马带入工控网络中。工控主机安全防护软件配套使用的安全U盘可以有效保障数据的安全，能够根据需要灵活控制安全U盘和普通U盘的“禁用、只读、可读写”权限。在信息安全源头解决病毒、木马等恶意代码的入侵及传播。

4.主机安全管理

工控主机安全防护软件配合安全管理平台，对白名单外的恶意代码、违规操作进行告警及记录;对人员未授权安装软件进行告警;对普通U盘以及安全U盘的违规使用告警;支持注册表、配臵文件和操作系统文件破坏告警。

3.3.2工业防火墙

1.策略配置

防火墙部署前，提前配置全通ACL策略并记录日志，后期根据ACL策略产生的日志配置详细的ACL策略。安全策略详情见曲子站安全策略和咸阳站安全策略。

2.白名单配置

白名单采用自学习模式，学习完成后通过人工甄别的方式，最终同使用人确定通信访问关系的可信情况并完善白名单。白名单详情见曲子站白名单及咸阳站白名单。

3.3.3统一安全管理平台

管理员通过Web管理界面即可对系统内安装安全卫士的主机进行统一管理，这包括：1.查看已经安装的工业防火墙、智能监测终端和主机卫士当前的工作状态;2.查看已经部署或者配置新的工业防火墙的防火墙策略、白名单策略以及查看和处理已经产生的告警日志和非法报文的拦截记录;3.查看已经部署或者配置新的智能监测终端的工业协议白名单监测策略、违反协议规约策略、无流量策略、异常流量基线配置等及查看和处理相关的日志告警。

四 防护效果

工控安全防护实施后根据工业控制系统信息安全防护能力评估方法对某油田输油单位的129项工业控制信息系统安全防护执行情况进行了评估，基本满足要求。同时，PLC死机现象也明显减少。工业防火墙、工控主机卫士和网闸实实在在的起到了应有的防护作用。