背景

魯西化工是典型的化工企業(yè)，其化工產(chǎn)品生產(chǎn)過程具有高溫、高壓、易燃、易爆、有毒有害、腐蝕、易揮發(fā)，工藝生產(chǎn)自動(dòng)化、連續(xù)化、生產(chǎn)裝置大型化、工藝復(fù)雜等特點(diǎn)，由于其各個(gè)生產(chǎn)環(huán)節(jié)不安全因素較多，一旦發(fā)生安全事故，具 有事故后果嚴(yán)重、危險(xiǎn)性和危害性比傳統(tǒng)制造行業(yè)更大的特點(diǎn)。

DCS和PLC數(shù)字化控制已經(jīng)成為化工生產(chǎn)過程控制的主要手段，魯西化工自動(dòng)化程度較高，大量使用浙江中控、和利時(shí)等 DCS、PLC 控制系統(tǒng)，能夠極大地提高生產(chǎn)效率，但是過程控制系統(tǒng)整呈開放的趨勢(shì)，隨著“兩化”的深度融合，工控系統(tǒng)面臨的安全形勢(shì)越來越嚴(yán)峻。

現(xiàn)狀

整個(gè)魯西集團(tuán)園區(qū)納入信息化的裝置共23個(gè)，裝置名稱及其產(chǎn)品、功能如下：

動(dòng)力一、動(dòng)力二裝置為全園區(qū)各裝置提供水、電、氣為主的公共資源和能源，為園區(qū)重點(diǎn)裝置。

煤化一、煤化二裝置為園區(qū)各工企業(yè)提供主要化工生產(chǎn)原料，包括一氧化碳、甲醇、液氨等。為園區(qū)重點(diǎn)裝置。

園區(qū)西區(qū)裝置有氟化工、甲烷氯化物、氯化鈣、西區(qū)灌裝站、氯磺酸、西區(qū)污水處理、有機(jī)硅、離子膜。以上裝置大部分涉及重大危險(xiǎn)物質(zhì)，包括氯氣、液 氨、一氧化碳等園區(qū)中區(qū)裝置有氯化芐、三聚氰胺、苯甲醇等裝置，生產(chǎn)氯氣及其下游產(chǎn)品，其中煤一和動(dòng)力一裝置在此區(qū)域中。

園區(qū)東區(qū)裝置包括甲酸、丁辛醇、已內(nèi)酰胺等，均涉及氫氣、一氧化碳等危險(xiǎn)氣體。其中煤二及動(dòng)力二裝置在此區(qū)域中。

另外西區(qū)和東區(qū)各有一個(gè)灌裝區(qū)域，為外來危險(xiǎn)品車輛進(jìn)行化工產(chǎn)品和原料的裝卸。

網(wǎng)絡(luò)拓?fù)淙缦拢?/p>

圖一 網(wǎng)絡(luò)拓?fù)?/p>

企業(yè)生產(chǎn)網(wǎng)控制系統(tǒng)數(shù)據(jù)通過OPC接口，由寶信通訊網(wǎng)關(guān)進(jìn)行數(shù)據(jù)采集轉(zhuǎn)發(fā)到實(shí)時(shí)數(shù)據(jù)庫(kù)PI1，再通過單向網(wǎng)閘將PI1數(shù)據(jù)導(dǎo)入至實(shí)時(shí)數(shù)據(jù)庫(kù)PI2，實(shí)現(xiàn)PI1與PI2的同步，并進(jìn)行了生產(chǎn)網(wǎng)與外網(wǎng)的隔離。其中遠(yuǎn)程監(jiān)測(cè)終端通過3G無線網(wǎng)絡(luò)經(jīng)過PC機(jī)轉(zhuǎn)發(fā)給通訊網(wǎng)關(guān)進(jìn)入PI1數(shù)據(jù)庫(kù)。

需求分析

隨著企業(yè)應(yīng)用系統(tǒng)的增加以及信息化建設(shè)的不斷推進(jìn)，MES系統(tǒng)的實(shí)施，生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)及辦公網(wǎng)之間有著大量數(shù)據(jù)的讀取、控制指令的下置、計(jì)劃排產(chǎn)的下發(fā)。生產(chǎn)網(wǎng)與外網(wǎng)的互聯(lián)互通是一種趨勢(shì)也是一種必需，但辦公網(wǎng)及外網(wǎng)的應(yīng)用復(fù)雜，多樣性強(qiáng)。感染病毒及惡意程序的機(jī)率大，生產(chǎn)網(wǎng)的開放，勢(shì)必對(duì) PI 數(shù)據(jù)庫(kù)的數(shù)據(jù)完整性、保密性、安全性形成挑戰(zhàn)，對(duì)DCS、PLC控制系統(tǒng)形成嚴(yán)重的安全威脅，如果系統(tǒng)受到攻擊或感染病毒后，使得DCS或PLC控制發(fā)生故障，壓力、溫度、流量、液位、計(jì)量等指示失效，檢測(cè)系統(tǒng)連鎖報(bào)警失效，或各類儀表電磁閥制動(dòng)空氣及電源無供給后，一旦重大危險(xiǎn)源處于失控狀態(tài)，后果不堪設(shè)想，將危急現(xiàn)場(chǎng)操作人員甚至工廠附近人群的生命安全。

所以對(duì)控制系統(tǒng)及生產(chǎn)網(wǎng)絡(luò)的安全防護(hù)是當(dāng)下要優(yōu)先考慮和解決的問題。

風(fēng)險(xiǎn)分析

1、操作系統(tǒng)安全漏洞：企業(yè)的工程師站/操作站/HMI/Server基本都是Windows平臺(tái)的，Windows所采用的存儲(chǔ)數(shù)據(jù)庫(kù)和加密過程導(dǎo)致了一系列安全漏，例如，Windows把用戶信息和加密口令保存于NTRegistry中的SAM文件中，即安全帳戶管理 (Security Accounts Management) 數(shù)據(jù)庫(kù)。加密口令分兩個(gè)步驟完成。首先，采用RSA  MD4  系統(tǒng)對(duì)口令進(jìn)行加密。第二步則是令人迷惑的缺乏 復(fù)雜度的過程，不添加任何“調(diào)料”，比如加密口令時(shí)考慮時(shí)間的因素。結(jié)果， Windows口令比UNIX口令更加脆弱，更容易受到一本簡(jiǎn)單字典的攻擊。黑客可以利用這些漏洞來破譯一個(gè)或多個(gè) Administrator帳戶的口令，進(jìn)而對(duì)主機(jī)進(jìn)行破壞活動(dòng)。

另外由于工業(yè)控制系統(tǒng)的特殊性，為了保證過程控制系統(tǒng)的相對(duì)獨(dú)立性，以及考慮到系統(tǒng)的穩(wěn)定運(yùn)行，現(xiàn)場(chǎng)工程師未對(duì)Windows平臺(tái)安裝任何補(bǔ)丁，導(dǎo)致的問題是，不安裝補(bǔ)丁系統(tǒng)就存在被攻擊的可能，從而埋下安全隱患。

2、網(wǎng)絡(luò)協(xié)議安全漏洞：本案中TCP/IP以太網(wǎng)協(xié)議、OPC協(xié)議及通用的交換路由設(shè)備越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中，給工業(yè)安全帶來了安全漏洞威脅，具體表現(xiàn)為：

1）TCP/IP協(xié)議鏈路層的安全漏洞

本案以太網(wǎng)中，信道是共享的，任何主機(jī)發(fā)送的每一個(gè)以太網(wǎng)幀都會(huì)到達(dá)別的與該主機(jī)處于同一網(wǎng)段的所有主機(jī)的以太網(wǎng)接口，不法人員稍做設(shè)置或修改，就可以使一個(gè)以太網(wǎng)接口接收不屬于它的數(shù)據(jù)幀。從而對(duì)控制網(wǎng)絡(luò)關(guān)鍵數(shù)據(jù)的竊取。

2）TCP/IP協(xié)議網(wǎng)絡(luò)層安全漏洞

網(wǎng)絡(luò)中控制系統(tǒng)、設(shè)備及Server都對(duì)ICMP echo請(qǐng)求進(jìn)行響應(yīng)。所以如果一旦敵意主機(jī)同時(shí)運(yùn)行很多個(gè)ping命令向一個(gè)系統(tǒng)或服務(wù)器發(fā)送超過其處理能力的ICMP echo請(qǐng)求時(shí)，就可以淹沒該DCS系統(tǒng)及服務(wù)器使其拒絕其他的服務(wù)。導(dǎo)致生產(chǎn)失控或停車，另外，ping命令可以在得到允許的網(wǎng)絡(luò)中建立秘密通道從而可以在被攻擊系統(tǒng)中開后門進(jìn)行方便的攻擊，如收集目標(biāo)上的信息并進(jìn)行秘密通信等。

3）OPC  Classic協(xié)議安全問題

現(xiàn)場(chǎng)采集傳輸均采用OPC協(xié)議采集控制層數(shù)據(jù)，而OPC Classic協(xié)議(OPC DA,OPC HAD 和OPC A&E)基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的，極易受到攻擊，并且OPC通訊采用不固定的端口號(hào)，導(dǎo)致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。

4）無線網(wǎng)絡(luò)的安全問題拓?fù)淇梢姡h(yuǎn)程監(jiān)測(cè)終端通過3G無線網(wǎng)絡(luò)進(jìn)入生產(chǎn)網(wǎng)，其間沒有任何安全防護(hù)手段，不法人員可以通過該條路徑進(jìn)入企業(yè)內(nèi)網(wǎng)控制PC，繼而對(duì)數(shù)據(jù)進(jìn)行非法篡改，和對(duì)傳輸惡意控制指令，勢(shì)必對(duì)控制系統(tǒng)造成嚴(yán)重威脅。

3、DCS和PLC控制系統(tǒng)缺乏對(duì)程序行為的審計(jì)能力 惡意程序行為是對(duì)工控系統(tǒng)產(chǎn)生安全威脅最為主要的原因之一，在工控系統(tǒng)端點(diǎn)主機(jī)上程序行為是否正常，需要對(duì)其所有的行為數(shù)據(jù)進(jìn)行深度感知、聚集和細(xì)粒度的處理和審計(jì)。操作管理人員的技術(shù)水平和安全意識(shí)差別較大，容易發(fā)生越權(quán)訪問、違規(guī)操作，給生產(chǎn)系統(tǒng)埋下極大的安全隱患。實(shí)事上，DCS和PLC系統(tǒng)相對(duì)封閉的環(huán)境，也使得來自系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操 作成為工業(yè)控制系統(tǒng)所面臨的主要安全風(fēng)險(xiǎn)。例如：缺乏基于分組的 HIS 安全策略。在用戶安全策略的定義界面下，首先要考慮進(jìn)行分組的設(shè)置，分組后再設(shè)置 不同級(jí)別的用戶從屬于各自的用戶組，從而依據(jù)各自裝置的控制站作為操作和監(jiān)視的范圍。

因此，對(duì)生產(chǎn)網(wǎng)絡(luò)的訪問行為真實(shí)性、完整性進(jìn)行監(jiān)控、管理與審計(jì)是非常必要的。

4、缺乏工控系統(tǒng)的安全威脅預(yù)警能力魯西化工的主要產(chǎn)品在生產(chǎn)過程中全部由DCS和PLC控制，系統(tǒng)的重要性和實(shí)時(shí)要求及時(shí)掌握系統(tǒng)的信息安全情況，目前缺乏對(duì)整個(gè)系統(tǒng)的安全威脅預(yù)警能力，缺乏應(yīng)急處置安全事件的數(shù)據(jù)支撐。

5、面對(duì)高級(jí)持續(xù)性威脅(APT)攻擊，缺乏有效的應(yīng)對(duì)措施 高級(jí)持續(xù)性威脅(APT)正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案(如防病毒軟件、防火墻、IPS等)，并更長(zhǎng)時(shí)間地潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測(cè)。同時(shí)，還會(huì)采用智能手機(jī)、平板電腦和USB等移動(dòng)設(shè)備為目標(biāo)和攻擊對(duì)象繼而入侵企業(yè)信息系統(tǒng)的方式。前述以超級(jí)工廠病毒(W32.Stuxnet)為代表的針對(duì)工業(yè)控制系統(tǒng)的攻擊事件變呈現(xiàn)了這些攻擊技術(shù)特征。

但是針對(duì)這種APT攻擊，現(xiàn)有的安全防護(hù)手段均顯得有些無力。這也許需要整合各種安全技術(shù)，通過形成完善的安全防御體系（防御手段的組織化、體系化）才可能有效，然而DCS和PLC系統(tǒng)對(duì)安全技術(shù)及管理的嚴(yán)重不足的現(xiàn)實(shí)，使其在面臨持續(xù)攻擊時(shí)將會(huì)遭到不可估量的安全損失。

方案設(shè)計(jì)

根據(jù)魯西化工的控制系統(tǒng)及信息化生產(chǎn)運(yùn)行管理流程，結(jié)合 GB/17859、 GB/T25070 基本要求，按照等保三級(jí)相關(guān)相求，構(gòu)建在安全管理中心支持下的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系，通過強(qiáng)化分區(qū)、隔離防護(hù)、協(xié)議管 控、入侵防御及安全審計(jì)等技術(shù)手段構(gòu)建縱深安全防御體系，確保生產(chǎn)現(xiàn)場(chǎng)DCS、 PLC等控制設(shè)備的本質(zhì)安全。具體如下：

● 遵循國(guó)家、地方、行業(yè)相關(guān)法規(guī)和標(biāo)準(zhǔn)；

● 貫徹等級(jí)保護(hù)和分域保護(hù)的原則；

● 管理與技術(shù)并重，互為支撐，互為補(bǔ)充，相互協(xié)同，形成有效的綜合防范體系；

● 充分依托已有的信息安全基礎(chǔ)設(shè)施，加快、加強(qiáng)信息安全保障體系建設(shè)。

● 第三級(jí)安全的信息系統(tǒng)具備對(duì)信息和系統(tǒng)進(jìn)行基于安全策略強(qiáng)制的安全保護(hù)能力。

● 在技術(shù)策略方面，第三級(jí)要求按照確定的安全策略，實(shí)施強(qiáng)制性的安全保護(hù)，使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞，保證較高安全的系統(tǒng)服務(wù)。這些安全技術(shù)主要包括物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層的以下內(nèi)容：

○ 對(duì)計(jì)算機(jī)、網(wǎng)絡(luò)的設(shè)備、環(huán)境和介質(zhì)采用較嚴(yán)格的防護(hù)措施，確保其為信息系統(tǒng)的安全運(yùn)行提供硬件支持，防止由于硬件原因造成信 息的泄露和破壞；

○ 通過對(duì)局域計(jì)算環(huán)境內(nèi)各組成部分采用網(wǎng)絡(luò)安全監(jiān)控、安全審計(jì)、 數(shù)據(jù)、設(shè)備及系統(tǒng)的備份與恢復(fù)、集中統(tǒng)一的病毒監(jiān)控體系、兩種級(jí)要求的操作系統(tǒng)和數(shù)據(jù)庫(kù)、較高強(qiáng)度密碼支持的存儲(chǔ)和傳輸數(shù)據(jù) 的加密保護(hù)、客體重用等安全機(jī)制，實(shí)現(xiàn)對(duì)局域計(jì)算環(huán)境內(nèi)的信息 安全保護(hù)和系統(tǒng)安全運(yùn)行的支持；

○ 采用分區(qū)域保護(hù)和邊界防護(hù)（如應(yīng)用級(jí)防火墻、網(wǎng)絡(luò)隔離部件、信息過濾和邊界完整性檢查等），在不同區(qū)域邊界統(tǒng)一制定邊界訪問控制策略，實(shí)現(xiàn)不同安全等級(jí)區(qū)域之間安全互操作的較嚴(yán)格控制；

○ 按照系統(tǒng)化的要求和層次化結(jié)構(gòu)的方法設(shè)計(jì)和實(shí)現(xiàn)安全子系統(tǒng)，增 強(qiáng)各層面的安全防護(hù)能力，通過安全管理中心，在統(tǒng)一安全策略下 對(duì)系統(tǒng)安全事件集中審計(jì)、集中監(jiān)控和數(shù)據(jù)分析，并做出響應(yīng)和處 理，從而構(gòu)建較為全面的動(dòng)態(tài)安全體系。

● 在管理策略方面，第三級(jí)要求實(shí)施體系的安全管理。應(yīng)建立完整的信息系統(tǒng)安全管理體系，對(duì)安全管理過程進(jìn)行規(guī)范化的定義。根據(jù)實(shí)際安全需求，成立安全管理機(jī)構(gòu)，配備專職的安全管理人員，落實(shí)各級(jí)領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任。

1、具體安全策略

按照層層防護(hù)的思想，信息系統(tǒng)由具有相同或不同等級(jí)的子系統(tǒng)構(gòu)成，各子系統(tǒng)均需要實(shí)現(xiàn)安全域內(nèi)部安全、安全域邊界安全及安全域互聯(lián)安全。邊界保護(hù)的目的是對(duì)邊界內(nèi)的局域計(jì)算環(huán)境和獨(dú)立用戶/用戶群的計(jì)算機(jī)環(huán)境進(jìn)行保護(hù)，防止非法的用戶連接和數(shù)據(jù)傳輸。 安全域內(nèi)部安全是指局域計(jì)算環(huán)境自身安全和網(wǎng)絡(luò)連接設(shè)備自身安全。安全域互聯(lián)安全是指在不同等級(jí)的系統(tǒng)之間互聯(lián)時(shí)，應(yīng)采取的保護(hù)原則和保護(hù)策略。

2、安全域內(nèi)部策略

為滿足威脅需求的基本防護(hù)要求應(yīng)實(shí)現(xiàn)以下安全域內(nèi)部的安全目標(biāo)：

網(wǎng)絡(luò)層策略

b1、通過合理的結(jié)構(gòu)設(shè)計(jì)和網(wǎng)段劃分手段實(shí)現(xiàn)合理分配、控制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源及路由選擇和控制；

b2、通過網(wǎng)絡(luò)訪問控制手段實(shí)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問的嚴(yán)格控制及數(shù)據(jù)、文件或其他資源的訪問的嚴(yán)格控制；

b3、通過網(wǎng)絡(luò)安全審計(jì)手段實(shí)現(xiàn)記錄用戶操作行為和分析記錄；以及對(duì)資源訪問的行為進(jìn)行記錄、集中分析并響應(yīng)；

b4、通過邊界完整性檢查手段實(shí)現(xiàn)檢測(cè)非法接入設(shè)備及檢測(cè)網(wǎng)絡(luò)邊界完整性；并能切斷非法連接；

b5、通過網(wǎng)絡(luò)入侵防范手段實(shí)現(xiàn)檢測(cè)、集中分析、響應(yīng)、阻止對(duì)網(wǎng)絡(luò)和所有主機(jī)的各種攻擊；

b6、通過惡意代碼防范手段實(shí)現(xiàn)發(fā)現(xiàn)并修補(bǔ)已知漏洞；對(duì)惡意代碼的檢測(cè)、集中分析、阻止和清除及防止惡意代碼在網(wǎng)絡(luò)中的擴(kuò)散；對(duì)惡意代 碼庫(kù)和搜索引擎及時(shí)更新并防止未授權(quán)下載、拷貝軟件或者文件；

B7、通過網(wǎng)絡(luò)設(shè)備防護(hù)手段實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的嚴(yán)格訪問控制及對(duì)用戶進(jìn)行唯一標(biāo)識(shí)；同時(shí)對(duì)同一個(gè)用戶產(chǎn)生多重鑒別信息，其中一個(gè)是不可偽造的鑒別信息并進(jìn)行多重鑒別；另外對(duì)硬件設(shè)備進(jìn)行唯一標(biāo)識(shí)和合法身份確定；并在持續(xù)非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接。

系統(tǒng)層策略

c1、通過身份鑒別手段實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格的限制；并對(duì)用戶進(jìn)行唯一標(biāo)識(shí)及同一用戶產(chǎn)生多重鑒別信息，其中一個(gè)不可偽造的鑒別信息并進(jìn)行多重鑒別；對(duì)硬件設(shè)備進(jìn)行唯一標(biāo)識(shí)及合法身份確 定并實(shí)現(xiàn)在持續(xù)非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連連接；

c2、通過自主訪問控制手段實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格控制并對(duì)數(shù)據(jù)、文件或其他資源的訪問進(jìn)行嚴(yán)格控制；

c3、通過強(qiáng)制訪問控制手段實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格控制并對(duì)數(shù)據(jù)、文件或其他資源的訪問進(jìn)行嚴(yán)格控制及對(duì)敏感信息及其流向進(jìn)行標(biāo)識(shí)；

c4、通過安全審計(jì)手段實(shí)現(xiàn)記錄用戶操作行為和分析記錄結(jié)果并對(duì)安全機(jī)制失效進(jìn)行自動(dòng)監(jiān)測(cè)和報(bào)警及對(duì)資源訪問的行為進(jìn)行記錄、集中分析并響應(yīng)；

c5、通過系統(tǒng)保護(hù)手段實(shí)現(xiàn)系統(tǒng)軟件、應(yīng)用軟件的容錯(cuò)及自動(dòng)保護(hù)當(dāng)前工作狀態(tài)；

c6、通過剩余信息保護(hù)手段實(shí)現(xiàn)對(duì)存儲(chǔ)介質(zhì)中的殘余信息的刪除；應(yīng)、阻止對(duì)網(wǎng)絡(luò)和所有主機(jī)的各種攻擊并重要數(shù)據(jù)和程序進(jìn)行完整性檢測(cè)和糾錯(cuò)；

c8、通過惡意代碼防范手段實(shí)現(xiàn)對(duì)已知漏洞的檢測(cè)和修補(bǔ)并防止惡意代碼在網(wǎng)絡(luò)中的擴(kuò)散及對(duì)惡意代碼庫(kù)和搜索引擎及時(shí)更新；防止未授權(quán)下在、拷貝軟件或者文件；

c9、通過系統(tǒng)資源控制手段實(shí)現(xiàn)合理使用和控制系統(tǒng)資源及按優(yōu)先級(jí)自動(dòng)分配系統(tǒng)資源并能在持續(xù)非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接；

應(yīng)用層策略

d1、通過采取身份鑒別措施，來實(shí)現(xiàn)有對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格控制，對(duì)用戶進(jìn)行唯一標(biāo)識(shí)，對(duì)同一個(gè)用戶產(chǎn)生多重鑒別信息進(jìn)行多重鑒別，對(duì)持續(xù)性非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接的目標(biāo)；

d2、通過采取相應(yīng)的訪問控制措施，來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格控制，對(duì)數(shù)據(jù)、文件或其他資源的訪問進(jìn)行嚴(yán)格控制，對(duì)敏感 信息進(jìn)行標(biāo)識(shí)的目標(biāo)；

d3、通過安全審計(jì)措施，來實(shí)現(xiàn)記錄用戶操作行為和分析記錄結(jié)果，對(duì)資源訪問的行為進(jìn)行記錄、集中分析并響應(yīng)的目標(biāo)；

d4、通過對(duì)剩余信息采取相應(yīng)的保護(hù)措施，來實(shí)現(xiàn)對(duì)存儲(chǔ)介質(zhì)中的殘余信息進(jìn)行刪除的目標(biāo)；

d5、通過采取相應(yīng)的措施來確保通信的完整性，來實(shí)現(xiàn)對(duì)傳輸和存儲(chǔ)數(shù)據(jù)進(jìn)行完整性檢測(cè)和糾錯(cuò)，對(duì)通信數(shù)據(jù)進(jìn)行完整性檢測(cè)和糾錯(cuò)，重要數(shù) 據(jù)和程序進(jìn)行完整性檢測(cè)和糾錯(cuò)的目標(biāo)；

d6、通過采取相應(yīng)的措施來確保通信的保密性，來實(shí)現(xiàn)對(duì)傳輸和存儲(chǔ)中的信息進(jìn)行保密性保護(hù)，防止加密數(shù)據(jù)被破解的目標(biāo)；

d7、通過采取相應(yīng)的抗抵賴性措施，來實(shí)現(xiàn)信息源發(fā)的鑒別，基于密碼技術(shù)的抗抵賴的目標(biāo)；

d8、通過采取相應(yīng)的軟件容錯(cuò)措施，來實(shí)現(xiàn)系統(tǒng)軟件、應(yīng)用軟件容錯(cuò)，軟件故障分析，自動(dòng)保護(hù)當(dāng)前工作狀態(tài)的，對(duì)用戶的誤操作行為進(jìn)行檢測(cè)、報(bào)警和恢復(fù)的目標(biāo)；

d9、通過采取相應(yīng)的資源控制措施，來實(shí)現(xiàn)合理使用和控制系統(tǒng)資源，按優(yōu)先級(jí)自動(dòng)分配系統(tǒng)資源，限制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源使用，合理分配、控制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源，持續(xù)非活動(dòng)狀態(tài)一段時(shí)間后自動(dòng)切斷連接的目標(biāo)；

d10、通過相應(yīng)的措施來控制軟件代碼的安全，來實(shí)現(xiàn)對(duì)軟件缺陷進(jìn)行檢查的目標(biāo)。

數(shù)據(jù)層策略

e1、通過采取相應(yīng)數(shù)據(jù)完整性措施,來實(shí)現(xiàn)對(duì)傳輸和存儲(chǔ)數(shù)據(jù)進(jìn)行完整性檢測(cè)和糾錯(cuò)，重要數(shù)據(jù)和程序進(jìn)行完整性檢測(cè)和糾錯(cuò)的目標(biāo)；

e2、通過采取數(shù)據(jù)保密性措施,來實(shí)現(xiàn)保證鑒別數(shù)據(jù)傳輸和存儲(chǔ)保密性，對(duì)傳輸和存儲(chǔ)中的信息進(jìn)行保密性保護(hù)，防止加密數(shù)據(jù)被破解的目標(biāo)；

e3、通過采取數(shù)據(jù)備份和恢復(fù)措施, 來實(shí)現(xiàn)對(duì)抗中等強(qiáng)度地震、臺(tái)風(fēng)等自然災(zāi)難造成破壞，防止雷擊事件導(dǎo)致大面積設(shè)備被破壞，及時(shí)恢復(fù)正 常通信，對(duì)用戶的誤操作行為進(jìn)行檢測(cè)、報(bào)警和恢復(fù)，使重要通信線路及時(shí)恢復(fù)，及時(shí)恢復(fù)重要數(shù)據(jù)，保證重要業(yè)務(wù)系統(tǒng)及時(shí)恢復(fù)運(yùn)行的目標(biāo)。

3、安全域邊界策略 為滿足威脅需求的基本防護(hù)要求應(yīng)實(shí)現(xiàn)以下安全域邊界的安全目標(biāo)：

● 通過網(wǎng)絡(luò)訪問控制手段實(shí)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問的嚴(yán)格控制；

● 數(shù)據(jù)、文件或其他資源的訪問的嚴(yán)格控制；

● 通過邊界完整性檢查手段實(shí)現(xiàn)檢測(cè)非法接入設(shè)備；

● 檢測(cè)網(wǎng)絡(luò)邊界完整性；

● 切斷非法連接。

4、安全域互聯(lián)策略 不同安全等級(jí)的安全域之間可以根據(jù)業(yè)務(wù)需要進(jìn)行互聯(lián)?；ヂ?lián)問題的本質(zhì)就是互聯(lián)系統(tǒng)間的邊界安全問題。不同安全等級(jí)互聯(lián)，要根據(jù)系統(tǒng)業(yè)務(wù)和安全需求， 制定相應(yīng)的多級(jí)安全策略，主要包括訪問控制策略和數(shù)據(jù)交換策略等，采取相應(yīng) 的邊界保護(hù)、訪問控制等安全措施，防止高等級(jí)系統(tǒng)的安全受低等級(jí)系統(tǒng)的影響。

不同安全等級(jí)的安全域互聯(lián)主要有以下幾種情況：

● 位于同一業(yè)務(wù)單位域內(nèi)共享網(wǎng)絡(luò)平臺(tái)的系統(tǒng)互聯(lián)；

● 位于同一業(yè)務(wù)單位域內(nèi)不同安全等級(jí)網(wǎng)絡(luò)平臺(tái)的系統(tǒng)互聯(lián)；

● 位于不同業(yè)務(wù)單位域內(nèi)的系統(tǒng)互聯(lián)。

方案內(nèi)容

參照ANSI/ISA-99、GB/17859、GB/T25070等相關(guān)要求，將企業(yè)系統(tǒng)結(jié)構(gòu)劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略。區(qū)域與區(qū)域之間利用安全產(chǎn)品進(jìn)行策略控制，確保每個(gè)區(qū)域的相互獨(dú)立性，實(shí)現(xiàn)風(fēng)險(xiǎn)的最小化和可控。從以下方面進(jìn)行設(shè)計(jì)，如圖2所示：

圖二  安全部署圖

辦公網(wǎng)與管理網(wǎng)區(qū)域

由于辦公網(wǎng)直接與互聯(lián)網(wǎng)相連，且應(yīng)用復(fù)雜，人員眾多。存在被感染病毒或被惡意控制的高風(fēng)險(xiǎn)，所以在辦公網(wǎng)與管理網(wǎng)之間部署一臺(tái)網(wǎng)絡(luò)病毒網(wǎng)關(guān)，入侵防御（IPS）系統(tǒng)?？梢蕴幚?HTTP、SMTP、POP3、FTP 和 IMAP 等多種協(xié)議，全面保護(hù)郵件、WEB 訪問以及文件傳輸過程中的安全。從而有效抵御來自辦公網(wǎng)及互聯(lián)網(wǎng)的網(wǎng)絡(luò)病毒和風(fēng)險(xiǎn)，確保內(nèi)網(wǎng)的安全。管理網(wǎng)絡(luò)的安全防護(hù)在管理核心區(qū)域需要實(shí)現(xiàn)全網(wǎng)數(shù)據(jù)流量審計(jì)和入侵檢測(cè)，計(jì)劃部署網(wǎng)絡(luò)安全

審計(jì)和入侵防御（IPS）系統(tǒng)，實(shí)現(xiàn)整個(gè)區(qū)域數(shù)據(jù)流的審計(jì)和檢測(cè)。計(jì)劃在核心交換之間部署 1 臺(tái)網(wǎng)絡(luò)安全審計(jì)和 1 臺(tái)入侵防御系統(tǒng)。 通過網(wǎng)絡(luò)安全審計(jì)實(shí)現(xiàn)對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理系統(tǒng)。它通過對(duì)業(yè)務(wù)人員訪問系統(tǒng)的行為進(jìn)行解析、分析、記錄、匯報(bào)， 用來幫助用戶事前規(guī)劃預(yù)防，事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng)，事后合規(guī)報(bào)告、事 故追蹤溯源，同時(shí)加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)（數(shù)據(jù)庫(kù)、服務(wù)器、 網(wǎng)絡(luò)設(shè)備等）的正常運(yùn)營(yíng)通過部署入侵防御系統(tǒng)實(shí)現(xiàn)對(duì)于病毒、木馬、蠕蟲、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出 攻擊、DDoS、掃描探測(cè)、欺騙劫持、SQL 注入、XSS、網(wǎng)站掛馬、異常流量等惡 性攻擊行為有非常準(zhǔn)確高效的檢測(cè)防御效果，并通過簡(jiǎn)單易懂的去技術(shù)化語(yǔ)言幫 助用戶分析威脅，對(duì)威脅進(jìn)行有效處理。

DCS 控制器安全防護(hù)

浙大中控、和利時(shí)DCS控制系統(tǒng)其操作站HIS和控制站FCS通過冗余的基于以太網(wǎng)通訊的控制總線連接，HIS實(shí)現(xiàn)監(jiān)控，操作功能，F(xiàn)CS則完成具體的控 制運(yùn)算，輸入/輸出及數(shù)據(jù)處理功能。由于以太網(wǎng)的開放性，在帶來通訊便捷的 同時(shí)也增加了安全風(fēng)險(xiǎn)。

所以必須要在控制器入口端部署控制器防護(hù)設(shè)備，能夠識(shí)別針對(duì)控制器的操控服務(wù)指令（包括組態(tài)服務(wù)、數(shù)據(jù)上傳服務(wù)、數(shù)據(jù)下載服務(wù)、讀服務(wù)、寫服務(wù)、 控制程序下載服務(wù)、操控指令服務(wù)等），并能夠根據(jù)安全策略要求對(duì)非法的服務(wù) 請(qǐng)求進(jìn)行報(bào)警和自動(dòng)阻斷。如圖2所示，使用工業(yè)防火墻對(duì)控制器進(jìn)行安全防護(hù)， 一方面通過對(duì)源、目的地址的控制，僅允許工程師站和操作員站可訪問控制器， 且對(duì)關(guān)鍵控制點(diǎn)的讀寫權(quán)限加以嚴(yán)格限制，保障了資源的可信與可控，另一方面， 通過對(duì)端口服務(wù)的控制，杜絕了一切有意或無意的攻擊，最后使用“白名單”機(jī) 制，僅允許ScnetII等專有協(xié)議通過，阻斷一切TCP及其它訪問，從而確?？刂?器的安全。

無線遠(yuǎn)程監(jiān)測(cè)接入安全防護(hù)

如上圖所示，遠(yuǎn)程監(jiān)測(cè)終端通過3G無線網(wǎng)絡(luò)聯(lián)入企業(yè)內(nèi)網(wǎng)，內(nèi)網(wǎng)PC通過NAT 映射到互聯(lián)網(wǎng)。由于3G設(shè)備IP地址的不確定因素，本PC開放UDP所有訪 問權(quán)限，導(dǎo)致外網(wǎng)不法人員通過掃描或嗅探技術(shù)捕獲PC信息，從而入侵到該P(yáng)C或內(nèi)網(wǎng)，雖然PC與通訊網(wǎng)關(guān)采用串口通訊，但仍可通過對(duì)PC機(jī)的入侵破壞數(shù)據(jù) 的完整性，并且通過了解其串口通信方式，下置惡意指令和傳輸病毒。對(duì)PI數(shù)據(jù)庫(kù)及控制系統(tǒng)造成致命破壞。

所以如圖2所示，在無線接入PC機(jī)與控制網(wǎng)絡(luò)之間部署一臺(tái)工業(yè)防火墻，僅允許指定的設(shè)備、特定的工業(yè)數(shù)據(jù)進(jìn)入內(nèi)網(wǎng)上傳到PI1服務(wù)，阻斷一切無關(guān)的訪問、控制指令。

工業(yè)控制系統(tǒng)漏洞掃描系統(tǒng)

我們企業(yè)控制網(wǎng)絡(luò)布署工業(yè)掃描系統(tǒng)，針對(duì)對(duì)符合IEC61131-3標(biāo)準(zhǔn)的控制 系統(tǒng)上位機(jī)（SCADA/HMI）軟件、PLC、器嵌入式軟件以及各種主流現(xiàn)場(chǎng)總線離線 掃描。

與入侵檢測(cè)/防御系統(tǒng)等別動(dòng)防御手段相比，漏洞掃描是一種主動(dòng)的防范措施；可以有效避免黑客攻擊行為，放患于未然。通過對(duì)工業(yè)網(wǎng)絡(luò)的掃描，可以了解工業(yè)網(wǎng)絡(luò)安全配置的和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng) 險(xiǎn)等級(jí)，進(jìn)而及時(shí)修復(fù)漏洞。

PKI/CA系統(tǒng) 由于魯西工藝流程、生產(chǎn)配方、生產(chǎn)裝置以及特種產(chǎn)品數(shù)據(jù)的敏感性，所以布署一套PKI/CA系統(tǒng)，一方面通過數(shù)字證書來進(jìn)行相應(yīng)權(quán)限分配，實(shí)現(xiàn)對(duì)DCS、PLC 控制系統(tǒng)的分權(quán)管理及多因子驗(yàn)證，另一方面通過 PKI/CA系統(tǒng)對(duì)網(wǎng)絡(luò)上傳 的數(shù)據(jù)信息進(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，從而保證：信息除發(fā)送方和接收方外不被其它人竊?。恍畔⒃趥鬏斶^程中不被篡改；發(fā)送方能夠通過數(shù)字證 書來確認(rèn)接收方的身份；發(fā)送方對(duì)于自己的信息不能抵賴。在保障了數(shù)據(jù)的完整性與保密性的同時(shí)，也增加了防抵賴。

終端防病毒

由于終端應(yīng)用復(fù)雜，感染病毒的可能性較大，所以在終端 PC、工程師站、 操作員站上都進(jìn)行查殺毒軟件的安裝，前提必須是經(jīng)過驗(yàn)證后的殺毒軟件，要確保其對(duì)工控軟件的兼容性。

同時(shí)，也要及時(shí)地對(duì)殺毒軟件進(jìn)行病毒庫(kù)的升級(jí)，但不能影響工控系統(tǒng)的安全性。我們采取在企業(yè)管理網(wǎng)絡(luò)及控制網(wǎng)絡(luò)同時(shí)布署一臺(tái)病毒服務(wù)器，企業(yè)管理網(wǎng)絡(luò)服務(wù)器實(shí)時(shí)升級(jí)，經(jīng)過驗(yàn)證之后定時(shí)通過人工拷盤或單向?qū)氲娇刂凭W(wǎng)絡(luò)病毒服務(wù)器，以確?？刂凭W(wǎng)絡(luò)病毒庫(kù)的更新。

網(wǎng)絡(luò)準(zhǔn)入

由于以太網(wǎng)的高效性與經(jīng)濟(jì)性，企業(yè)每個(gè)站點(diǎn)的 DCS、PLC 控制設(shè)備都采用以太網(wǎng)接口組成工業(yè)控制網(wǎng)絡(luò)，隨著當(dāng)前智能設(shè)備和移動(dòng) PC 的廣泛應(yīng)用，隨時(shí) 有可能非法接入企業(yè)的控制網(wǎng)絡(luò)，把惡意程序及病毒帶入到控制網(wǎng)絡(luò)從而對(duì)關(guān)鍵控制系統(tǒng)造成致命威脅，所以針對(duì)以上威脅，在企業(yè)控制及管理網(wǎng)絡(luò)布署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)：

● 防止非法的外來電腦、移動(dòng) PC 及智能終端接入控制網(wǎng)絡(luò)，影響控制系統(tǒng)的安全；

● 防止內(nèi)部用戶私自接 HUB、無線 AP 等不安全行為；

● 支持思科的 EOU、H3C 的 PORTAL/PORTAL+、策略路由、L2-OOB-VG 虛擬 網(wǎng)關(guān)、DHCP 強(qiáng)制、SNMP 強(qiáng)制以及透明網(wǎng)橋等多種入網(wǎng)強(qiáng)制認(rèn)證技術(shù)；

通過網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，以實(shí)現(xiàn)控制網(wǎng)資源的保護(hù)和訪問控制，禁止非法計(jì)算機(jī)接入內(nèi)網(wǎng)。即只有經(jīng)過認(rèn)證的主機(jī)才可以訪問控制網(wǎng)絡(luò)資源，而當(dāng)可疑主機(jī)出現(xiàn)時(shí)，能夠系統(tǒng)記錄其 IP 地址、MAC 地址、計(jì)算機(jī)名等基本信息，并自動(dòng)通過某種方式阻止此計(jì)算機(jī)訪問局域網(wǎng)，切斷其網(wǎng)絡(luò)連接。如下圖所示：

準(zhǔn)入控制流程

可信計(jì)算

魯西化工關(guān)鍵設(shè)施的控制系統(tǒng)都是基于 windows 平臺(tái)研發(fā)的，所有工程師站及操作員站均使用 Windows  XP 系統(tǒng)，2014 年 4 月 8 日隨著微軟宣布徹底取消對(duì) Windows  XP 的所有技術(shù)支持，終端安全直接影響了魯西化工基礎(chǔ)實(shí)施的安全， 我們?cè)诰W(wǎng)絡(luò)層面防護(hù)的同時(shí)，積極應(yīng)用國(guó)內(nèi)先進(jìn)的可信計(jì)算技術(shù)對(duì)用戶的身份認(rèn) 證、應(yīng)用程序的完整性和合法性認(rèn)證，從而確保工程師站、操作員站計(jì)算運(yùn)行環(huán) 境的安全。如圖所示：

可信計(jì)算平臺(tái)框架

安全管理平臺(tái)（SOC）

在企業(yè)管理網(wǎng)部署安全管理中心，如圖 2 所示，對(duì)生產(chǎn)控制網(wǎng)絡(luò)搜集所有安全信息，并通過對(duì)收集到各種安全事件進(jìn)行深層的分析，統(tǒng)計(jì)和關(guān)聯(lián)，及時(shí)反映被管理資產(chǎn)的安全基線，定位安全風(fēng)險(xiǎn)，對(duì)各類安全時(shí)間及時(shí)提供處理方法和建 議的安全解決方案。

功能如下：

● 面向業(yè)務(wù)的統(tǒng)一安全管理

系統(tǒng)內(nèi)置業(yè)務(wù)建模工具，用戶可以構(gòu)建業(yè)務(wù)拓?fù)?，反映業(yè)務(wù)支撐系統(tǒng)的資產(chǎn)構(gòu)成，并自動(dòng)構(gòu)建業(yè)務(wù)健康指標(biāo)體系，從業(yè)務(wù)的性能與可用性、業(yè)務(wù)的脆弱性和業(yè)務(wù)的威脅三個(gè)維度計(jì)算業(yè)務(wù)的健康度，協(xié)助用戶從業(yè)務(wù)的角度去分析業(yè)務(wù)可用性、業(yè)務(wù)安全事件和業(yè)務(wù)告警。

● 全面的日志采集

可以通過多種方式來收集設(shè)備和業(yè)務(wù)系統(tǒng)的日志，例如 Syslog、SNMP Trap、FTP、OPSEC  LEA、NETBIOS、ODBC、WMI、Shell 腳本、Web  Service 等等。

● 智能化安全事件關(guān)聯(lián)分析

借助先進(jìn)的智能事件關(guān)聯(lián)分析引擎，系統(tǒng)能夠?qū)崟r(shí)不間斷地對(duì)所有范式化后的日志流進(jìn)行安全事件關(guān)聯(lián)分析。系統(tǒng)為分析師提供了三種事件關(guān)聯(lián)分析技術(shù)， 分別是：基于規(guī)則的關(guān)聯(lián)分析、基于情境的關(guān)聯(lián)分析和基于行為的關(guān)聯(lián)分析，并 提供了豐富的可視化安全事件分析視圖，充分提升分析效率。

● 全面的脆弱性管理

系統(tǒng)實(shí)現(xiàn)與天鏡漏掃系統(tǒng)的實(shí)時(shí)高效聯(lián)動(dòng)，內(nèi)置配置核查功能，從技術(shù)和管理兩個(gè)維度進(jìn)行全面的資產(chǎn)和業(yè)務(wù)脆弱性管控。

● 主動(dòng)化的預(yù)警管理

用戶可以通過預(yù)警管理功能發(fā)布內(nèi)部及外部的早期預(yù)警信息，并與網(wǎng)絡(luò)中的IP資產(chǎn)進(jìn)行關(guān)聯(lián)，分析出可能受影響的資產(chǎn)，提前讓用戶了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。系統(tǒng)支持內(nèi)部預(yù)警和外部預(yù)警；預(yù)警類型包括安全 通告、攻擊預(yù)警、漏洞預(yù)警和病毒預(yù)警等；預(yù)警信息包括預(yù)備預(yù)警、正式預(yù)警和 歸檔預(yù)警三個(gè)狀態(tài)。

總結(jié)

DCS/PLC 控制系統(tǒng)是化工生產(chǎn)過程最為關(guān)鍵的基礎(chǔ)設(shè)施，這些關(guān)鍵基礎(chǔ)設(shè)施中任何控制系統(tǒng)、工控網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)服務(wù)器受到干擾或破壞后將對(duì)國(guó)民的健康、 安全、經(jīng)濟(jì)乃至對(duì)國(guó)家政府的正常運(yùn)作造成嚴(yán)重影響。事實(shí)上，目前化工行業(yè)很多 DCS/PLC 系統(tǒng)都非常脆弱,非常容易受到惡意攻擊。試想，如果 DCS 或 PLC 系統(tǒng)受到攻擊或感染病毒后發(fā)生故障，壓力、溫度、流量、液位、計(jì)量等指示失效， 檢測(cè)系統(tǒng)連鎖報(bào)警失效，或各類儀表電磁閥制動(dòng)空氣及電源無供給后，一旦重大危險(xiǎn)源處于失控狀態(tài)，有毒氣體發(fā)生泄露，后果不堪設(shè)想。它的影響可能是時(shí)間上的浪費(fèi)，資源上的消耗，或者是對(duì)生態(tài)環(huán)境造成的極大污染，甚至是犧牲生命 的慘痛代價(jià)。

綜上所述，通過魯西化工生產(chǎn)控制系統(tǒng)及網(wǎng)絡(luò)安全防護(hù)工程的建設(shè)，有助于為我國(guó)推進(jìn)關(guān)鍵基礎(chǔ)設(shè)施信息安全防護(hù)標(biāo)準(zhǔn)、規(guī)范、策略的形成與實(shí)施，促進(jìn)工業(yè)控制系統(tǒng)信息安全可控產(chǎn)品、技術(shù)的成熟，具有重大的經(jīng)濟(jì)及著的社會(huì)效益。