工控系统安全如何实现前景规划和技术创新？

每一家做信息化安全建设的企业都以能够成为“试点示范”为骄傲，“试点示范”的基本要求是“创新”，但是“合抱之木始于毫末，万丈高楼起于垒土”，企业创新需要先打好地基，威努特基于自身5000+工控安全建设项目经验，给出了自己的见解--“科学规划、合理建设、推陈出新”。

时间回溯到2018年，在目睹了一件件工控安全事件的频繁爆发后，某煤化工企业工控信息安全专职负责人深深皱起了眉头，随后召开了一次安全会议，会上他首次提出了针对自身企业工控系统进行安全建设的问题。

会议重点讨论了如下几个议题：

1、什么是工控系统安全，为什么要做工控系统安全建设？

2、我们当前需要做什么？

3、如何建设，什么时间建设？

4、建设后有什么用？

什么是工控系统安全？

工业控制系统的安全通常可分为物理安全、功能安全和信息安全三类：

物理安全是减少由于电击、着火、机械危险、辐射、化学危险等因素造成的危害;

功能安全是为了达到设备和工厂安全功能，受保护的相关部分和控制设备的安全相关部分必须正确执行其功能，而且当失效或故障发生时，设备或系统必须仍能保持安全条件或进入到安全状态；

信息安全是保证信息的保密性、完整性、可用性，对于工控系统而言更加注重可用性，其次是完整性和保密性。

综上所述,工控系统安全是针对工业领域物理安全、功能安全、信息安全的一系列防护策略和措施的总称，通过防攻击、防篡改、防病毒、防瘫痪、防窃密等手段来保证工控系统网络的合理运行，达到保障企业安全生产的目的。

为什么要做工控系统安全建设？

伴随国家两化融合的不断推进，煤化工企业提出管控一体化规划，基于TCP/IP以太网通讯的OPC技术将工控网络与信息网络互联、互通，控制网络不再以一个独立的网络运行，随之而来的网络风险及病毒入侵等问题也开始突显，如何在应用信息化带来便利的前提下保障控制系统的安全成为目前需要解决的首要问题。

据权威机构ICS-CERT和OSVDB统计的数据表明，自2010年起，重大工业控制网络安全事件呈指数增长，国家基础设施已成为重灾区，如煤化工、电力、石油、石化等均面临严峻的工业控制网络安全威胁，急需加大在工业控制网络安全建设的投入，防止企业受到工业控制网络安全问题的攻击。

我们当前需要做什么？

1

认清资产，梳理业务

经过专业的第三方咨询及严谨的现场调研，目前企业自身的系统架构如下：

图1 业务流程分层示意图

目前生产控制网络纵向划分为 4 层网络结构，如上图所示。各DCS系统负责不同工业流程的控制，同时配备一套安全仪表系统，各控制单元将现场采集数据集中发送至中央控制室网络实时数据库。

2

看清问题，换位思考

结合目前的常见攻击手段，初步分析整个网络存在以下潜在的安全风险：

（1）生产网与办公管理网络连接后的开放性

病毒或黑客攻击以办公管理网为跳板，穿透中央控制网络，进而渗透到DCS网络。

典型案例：2005年8月，Zotob 蠕虫通过互联网进入企业办公网，进而进入生产控制网络，感染导致戴姆勒 - 克莱斯勒的美国汽车制造厂13台设备下线隔离将近一个小时，直接经济损失超过140万美元。

（2）U盘等移动存储介质接入安全性

病毒以U盘等移动存储介质为载体，可随时进入中央控制网络、DCS网络、SIS网络中的任意一层控制网络。

典型案例：2010年，著名的Stuxnet病毒正是利用这一途径，进入了物理隔离的伊朗纳坦兹铀浓缩工控网络，最后导致1000多台离心机损坏，核电站推迟发电近两年。

（3）便携式电脑等移动终端接入安全性

接入工控网络的移动终端如便携式电脑和智能手机等，可能已经被病毒感染，或者移动终端非法连接互联网。

典型案例：2003年，国内某换流站计算机系统发现病毒，经调查确认是技术人员在系统调试中用笔记本电脑上网所致。

（4）内部人员安全管理风险

心怀不满或被利诱的内部人员，从工控网络内部直接发起网络攻击或植入病毒。

典型案例：2015年爆出，自12年8月开始国内某石化公司的石油管线SCADA系统经常崩溃，调查结果是内部员工徐某和外部人员王某内外勾结在SCADA服务器上植入病毒，企图骗取高额的维修费用。

（5）无线网络，如WLAN的安全风险

无线网络技术的应用，打破了网络的物理边界，攻击者可以通过这一途径直接进入控制网络核心层。

典型案例：2008年，一少年用一个电视遥控器改变轨道扳道器，攻击了波兰Lodz的城铁系统，导致4节车厢出轨，12名乘客受伤。

（6）第三方厂家远程维护连接的安全风险

第三方运维厂商运维终端无安全监测措施，误操作或违规开启互联网通道等将病毒带进生产系统，严重威胁生产系统安全性。

典型案例：2018年，国内某风电场第三方运维厂商通过风功率预测服务器绕过隔离装置直接将生产控制大区暴露到公网，为该站的电力监控系统带来极大的安全风险。

（7）高危安全漏洞无专业人员监控及修复带来的风险

日常披露的高危安全漏洞及历史存在的高危安全漏洞极易使得非法分子以较低的攻击成本对企业的工业控制系统造成破坏，为企业带来高昂的损失，专岗专职的专业技术人员缺失也为这一安全短板带来了更大的挑战。

经过大量的思考讨论以及严谨的市场调研，我们来探讨下一个议题：

如何建设，什么时间建设？

在这期间，威努特通过专业的技术实力成功获得客户信赖，一起参与该项目的规划建设工作。考虑到资金及人员配备情况，最终制定了企业3年安全规划，并立刻着手项目建设：

第一期建设内容（2018-2019）：分区分域，缩小攻击影响面，将工控网络内部按照业务流进行分区分域防护；

第二期建设内容（2019-2020）：聚焦终端及业务流量，发现并阻断内在威胁；

第三期建设内容(2020-2021)：加强工控网和互联网数据交互审查，并实时监控已知及未知漏洞的发展。

至此，这家“试点示范企业”已经完成了他的规划。

按照之前的规划，经过多番论证，进行了如下的安全实践：

一期建设内容

图2一期建设后拓扑

基于工艺流程，采用分区分域、精准防护技术策略，实现对底层控制系统及现场设备的安全防护工作：

（1）中央控制室与DCS的边界隔离，达到网络免受对方区域病毒、蠕虫、黑客等非法访问的威胁，尤其保障控制系统信息网络的安全；

（2）DCS与卸储煤、空分等装置PLC/DCS的区域隔离；

（3）关键控制网络的隔离，避免因工程师站感染病毒而导致整个控制网络出现问题；

（4）确保AB网冗余特性，威努特采用两台工业防火墙确保AB网冗余系数不被降低，同时接入统一安全管理平台进行统一管理。

二期建设内容

图3二期建设后拓扑

在一期基础上，聚焦终端及业务流量，并对运维人员的操作行为进行监控。做到攻击行为可防护，安全运营可监控，满足现有及后续业务系统的发展需求。

（1）部署安全运维管理系统，规范运维工作中内外部人员的操作行为，并对违规操作进行追踪、回溯；

（2）在工控系统中增加工控安全监测审计系统，建立工控网络安全通讯模型，及时对异常流量和异常操作指令进行告警及阻断；

（3）通过“人工杀毒+软件加固”的方式对工业主机进行安全加固，实现对人员账号的认证、授权、审计的统一管理，对移动终端及介质的合规管理，对核心业务软件的可信发布与维护。

三期建设内容

图4三期建设后拓扑

在前两期基础上，重点加强工控网和互联网数据交互审查，并利用先进技术实现潜在漏洞的发掘及管理：

（1）利用安全隔离与信息交换系统确保办公网与工控网数据交换的安全性，阻断来自互联网的攻击；

（2）利用工控漏洞扫描平台定期扫描工控网络系统及设备，确保中高危漏洞及时发现并修复。

随着规划的逐步实现，大家的安全意识越来越强，很快新的问题出现了：

新的技术和业务的发展对产品策略及功能提出了新的要求，之前的设备功能及策略无法完美适配目前业务的发展需求，应如何解决？

该“试点示范企业”针对前期部署的工控安全产品每年进行全面安全评估，涉及软件功能及安全策略配置等，按需进行升级维护，并针对目前现网情况进行策略二次优化，参考工信部信软〔2016〕338号《工业控制系统信息安全防护指南》、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》等相关要求，为后续开展等级保护测评工作打好基础。

建设后有什么用？

按照之前规划落地的情况，该“试点示范企业”对自身工作做了如下的总结：

1

经济效益

• 实现安全能力自动化，运维效率提升

运维效率大幅提升，人员结构得到优化，带来的经济效益表现为人力成本节约5%-8%，企业整体运转效率提升10个百分点。

• “被动+主动”的立体安全模式，避免大额勒索事件带来的经济损失
  

本次建设项目所提供的“白环境”技术理念以及配套专业设备，在针对工业安全场景勒索事件的防护上具备强大的防护能力，可帮助企业避免百万美元级别的损失，每年帮助企业挽回5%-6%的经济损失。

2

社会效益：树立煤化工企业网络安全建设的标杆

2021年，该企业荣获煤化工行业“试点示范企业”。该企业工业安全相关建设的落地，将在其所属煤化工行业针对工业控制系统安全建设起到示范作用，为其相关行业的其他企业提供安全建设的宝贵经验，也将在整个领域形成企业网络安全建设的良好氛围，以推动更多煤化工企业贯彻落实工信部信软〔2016〕338号《工业控制系统信息安全防护指南》及GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》等相关要求。

威努特简介

北京威努特技术有限公司（简称：威努特）成立于2014年，专注于工控安全领域，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务。凭借持续的研发创新能力和丰富的实战经验入选全球六家荣获国际自动化协会ISASecure认证企业之一和亚太地区唯一全球网络安全联盟(GCA)创始成员。

威努特秉承首创的工业网络“白环境” 技术理念，迄今为国内及“一带一路”沿线国家的4000多家客户实现了业务的安全合规运行，已成为最受客户信赖的工控安全领军企业。同时，作为中国工控安全国家队，积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，致力于为国家关键信息基础设施保驾护航。

威努特始终以“专注工控，捍卫安全”为使命，致力于为我国关键信息基础设施网络空间安全保驾护航！

渠道合作咨询   张先生 18201311186

稿件合作   微信:shushu12121

原文始发于微信公众号（威努特工控安全）：工控系统安全如何实现前景规划和技术创新？