1項目概況

本項目針對石油石化行業(yè)，按照網絡安全等級保護制度框架，采用“縱深安全防護”原則，通過分析主機、設備、數據及網絡安全等防護需求，構建基于邊界防護、監(jiān)測預警、入侵檢測、終端安全等多層次防御體系。

1.1項目背景

石化行業(yè)的工控網絡系統進行安全防護時，面臨核心的安全問題包括：

（1）工業(yè)控制系統品牌眾多。

（2）工業(yè)控制系統安全設計考慮不足。系統漏洞、組件漏洞、協議薄弱性在封閉專有的環(huán)境下都可以通過隔離來保護，但是網絡開放、數據傳輸的發(fā)展趨勢使工控系統的弱點暴露無遺，工業(yè)控制系統從縱深安全防護到內生安全建設還有很長的路要走。

（3）終端安全和邊界防護是最基本的安全需求。

（4）網絡安全管理的需求。

（5）數據傳輸場景必須存在。

（6）整體的安全管理體系尚未建立。

本項目重點解決以上石化企業(yè)面臨的網絡和信息安全問題，以滿足安全合規(guī)性需求與網絡安全運維管理需求。

1.2項目簡介

根據石化企業(yè)的工業(yè)控制網絡安全基礎，本項目結合網絡安全等級保護基本要求，針對工業(yè)控制系統網絡，從網絡層、系統層出發(fā)，通過風險評估，梳理資產臺賬，進行脆弱性分析和威脅分析，掌握網絡安全現狀，安全防護設計才可有的放矢。安全防護設計在Defence-In-Depth的防御思想下，根據“網絡安全分層”、“業(yè)務安全分域”的原則，實現終端安全防護和網絡邊界防護。同時配置異常監(jiān)測設備以提升工控系統及網絡的監(jiān)測預警能力，通過配置統一安全管理平臺，建設安全管理專網，提升工業(yè)控制系統網絡的綜合安全管理，加強動態(tài)防御能力。

1.3項目目標

本項目按照網絡安全等級保護制度框架，采用“縱深安全防護”原則，旨在保障工業(yè)控制系統核心安全。通過項目實施覆蓋控制系統終端，細化強化通訊策略，抵御0day漏洞風險，避免網絡病毒感染傳播風險，實現網絡整體安全態(tài)勢的把控、溯源分析，以及通過安全的通道進行運維操作。此外，項目將單點單向的安全防護納入到一個集成平臺，通過網絡拓撲的形式詳細展現企業(yè)全資產的分布維度與安全狀態(tài)，進行綜合安全管理控制。最終有效提升企業(yè)的安全管理能力和抵御網絡安全風險水平，避免各種網絡安全突發(fā)事件對企業(yè)生產系統的影響，保障生產連續(xù)性，避免財產損失、安全損失以及名譽損失。石油化工行業(yè)防護部署架構如圖1所示。

圖1 石油化工行業(yè)防護部署架構圖

2項目實施

（1）風險評估

風險評估是項目開展的基礎，也是項目結束的驗證環(huán)節(jié)。本項目的風險評估貫穿整個防護設計與實施過程，通過風險評估手段來驗證防護的有效性。

（2）測試與試點應用相結合

本項目實施過程的一大特色是結合石化企業(yè)工業(yè)生產系統的特性，在風險評估過程中獲取了生產環(huán)境的網絡架構、系統環(huán)境、應用組件、通信數據。依托工控網絡安全實驗室完善的工業(yè)控制系統環(huán)境，包括Honeywell PKS C300、AB 5000、ABB AC800F、Emerson Delta V、Siemens S7-300、安控RTU HC511、施耐德昆騰CP651等市場主流工控系統，以及Wurldtech WT-ATP3-31、思博倫SPT-C1等專業(yè)測試設備，搭建仿真系統，進行工藝模擬、安全性驗證，進而選取現場裝置系統實施安裝，試運行測試，進而由點及面，全面開展網絡安全建設。

（3）安全防護設計實施

本項目從終端安全防護、安全監(jiān)測、安全審計、統一管理等不同功能方向，結合采用功能安全與信息安全全生命周期安全防護，應用不同層次、不同方面工控網絡和安全防護。具體建設實施內容包括：

· 網絡安全分層分區(qū)

通過工業(yè)防火墻實現管理網與生產網的隔離，并保證數據傳輸需求；根據業(yè)務劃分安全區(qū)域，針對跨裝置存在的操作站互聯情況，在操作站之間加裝工業(yè)防火墻，實現安全域間的安全通信；通過防火墻對控制系統進行防護，保護下裝控制器的數據在傳輸中不被病毒篡改及刪除，防止控制網中節(jié)點感染病毒。

· 主機可信安全

工控主機（服務器、工程師站、操作站）安裝主機安全防護白名單軟件，白名單防護方案是通過對工控上位機與服務器安裝配置主機安全防御平臺實現全面的安全防護，包括計算機進程管理、可信特征庫生成、主機USB接口管理、控制策略配置、白名單運行控制、自身完整性保護等功能?？尚庞嬎銘眉軜嬋鐖D2所示。

圖2 可信計算應用架構圖

· 網絡監(jiān)測、審計與運維

通過異常檢測系統實現網絡非法操作、異常事件、外部攻擊檢測并實時告警；通過審計系統對網絡中存在的所有活動提供協議審計、行為審計、內容審計、流量審計；通過運維系統可以切斷運維終端對工業(yè)網絡設備或資源的直接訪問，采用協議代理的方式，建立基于唯一身份標識的全局實名制賬號管理，配置集中訪問控制和細粒度的命令級授權策略，實現集中有序的運維安全管理，對用戶從登錄到退出的全程操作行為進行審計，加強工業(yè)控制系統及設備遠程維護的安全管理。工控網絡安全審計與異常檢測平臺架構如圖3所示。

圖3 工控網絡安全審計與異常檢測平臺架構圖

· 數據備份系統

針對生產數據、文件以及系統進行保護，定期備份。在災難事件發(fā)生時，可將數據以及操作系統恢復至最新備份時間點，以保證生產業(yè)務的快速恢復。并可為后期實施數據中心或災備建立基礎。

· 建設安全管理專網，搭建統一安全管理平臺

統一管理工業(yè)控制的系統設備、安全設備及日志信息，將多個設備日志信息關聯分析，對所有工控安全設備的事件統一展示并分析。通過對控制網絡中的邊界隔離、入侵防御監(jiān)測、主機防護、工控安全審計等安全產品進行集中管理，實現對全網中各安全設備、系統及主機的統一配置、全面監(jiān)控、實時告警、流量分析、網絡態(tài)勢預測與預警等，降低運維成本、提高事件響應效率。該平臺一般都部署在工業(yè)辦公網里，方便管理人員對整個網絡態(tài)勢的總體認知。這是等保2.0安全管理中心的具體體現。

· 建立網絡安全管理體系，完善制度規(guī)范

按網絡安全等級保護要求，本次項目在完成技術防護措施基礎上，配合企業(yè)，建立了安全管理體系，應用了安全管理制度，包括組織人員、物理及環(huán)境、應急預案、運維管理等，以保障安全管理制度對運維工作的可靠性，確保工控系統有完整的保護措施。

在項目實施期間，還進行了主機殺毒處理、漏洞離線匹配與驗證升級、安全基線加固服務。

3案例亮點

（1）通過部署安全防護設備，對企業(yè)工業(yè)控制系統網絡進行了全面梳理、評估、加固，輸出資產臺賬、風險評估報告、運維管理手冊，并以項目應用為起點，著手建立網絡信息安全管理體系，實施可靠、可控、安全的工控安全運維管理。

（2）風險評估基于信息安全與功能安全，結合工控信息安全的獨特性，將應用功能安全HAZOP分析方法對工控系統信息安全進行評估。

（3）縱深安全防護原則，并且點面網結合，從工業(yè)主機終端安全、訪問控制、網絡邊界防護以及網絡安全管理方面，大幅度提升網絡安全防護水平和防御能力。

（4）加強了安全運維管理能力，保障生產系統的穩(wěn)定運行，保證了數據傳輸的高效持續(xù)。

（5）安全合規(guī)性需求，根據網絡安全等級保護2.0標準要求，在網絡安全等級保護制度框架內，結合其實際需求，務實地解決安全痛點。

（6）有效地提升了企業(yè)的安全管理能力和抵御網絡安全風險的水平，避免各種網絡安全突發(fā)事件對企業(yè)生產系統的影響，保障了生產連續(xù)性，避免財產損失、安全損失以及名譽損失。

來源 | 《自動化博覽》2022年1月刊暨《工業(yè)控制系統信息安全專刊（第八輯）》