近日，海天煒業(yè)的工程師團隊赴江蘇某石化有限責任公司進行了工控網(wǎng)絡(luò)安全項目實施。江蘇某石化歷史悠久，控制系統(tǒng)品牌、類型多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。本項目通過Guard防火墻的部署，實現(xiàn)了用戶工控網(wǎng)絡(luò)關(guān)鍵設(shè)備節(jié)點以及網(wǎng)絡(luò)邊界的有效防護，整體提升了用戶系統(tǒng)的網(wǎng)絡(luò)安全保障能力。

項目概況：MES系統(tǒng)建設(shè)帶來的生產(chǎn)網(wǎng)絡(luò)安全防護需求

前期，江蘇某石化已完成基于實時數(shù)據(jù)庫應(yīng)用的MES系統(tǒng)建設(shè)。實時數(shù)據(jù)庫的建立是以采集過程控制系統(tǒng)的數(shù)據(jù)為前提，這就需要MES 的信息網(wǎng)絡(luò)必須要實現(xiàn)與控制網(wǎng)絡(luò)之間的數(shù)據(jù)交換，控制網(wǎng)絡(luò)不再以一個獨立的網(wǎng)絡(luò)運行，而要與信息網(wǎng)絡(luò)互通、互聯(lián)。

MES 系統(tǒng)實施后，生產(chǎn)網(wǎng)絡(luò)與管理網(wǎng)及辦公網(wǎng)之間有著大量數(shù)據(jù)的讀取、控制指令的下置、計劃排產(chǎn)的下發(fā)。生產(chǎn)網(wǎng)與外網(wǎng)的互聯(lián)互通是一種趨勢也是一種必需，但辦公網(wǎng)及外網(wǎng)的應(yīng)用復(fù)雜，多樣性強。感染病毒及惡意程序的機率大，生產(chǎn)網(wǎng)的開放，勢必對 PI 數(shù)據(jù)庫的數(shù)據(jù)完整性、保密性、安全性形成挑戰(zhàn)，對DCS、PLC控制系統(tǒng)形成嚴重的安全威脅，如果系統(tǒng)受到攻擊或感染病毒后，使得DCS或PLC控制發(fā)生故障，壓力、溫度、流量、液位、計量等指示失效，檢測系統(tǒng)連鎖報警失效，或各類儀表電磁閥制動空氣及電源無供給后，一旦重大危險源處于失控狀態(tài)，后果不堪設(shè)想，將危急現(xiàn)場操作人員甚至工廠附近人群的生命安全。

所以，江蘇某石化啟動了對控制系統(tǒng)及生產(chǎn)網(wǎng)絡(luò)的安全防護項目。

解決方案：基于網(wǎng)絡(luò)安全、網(wǎng)路安全、關(guān)鍵設(shè)備安全需要的解決方案

針對江蘇某石化的網(wǎng)絡(luò)結(jié)構(gòu)及要求，海天煒業(yè)分別在如下幾個安全薄弱環(huán)節(jié)及功能網(wǎng)絡(luò)邊界部署工業(yè)網(wǎng)絡(luò)安全產(chǎn)品，達到多層面分重點的網(wǎng)絡(luò)安全防護目的。

1、控制系統(tǒng)網(wǎng)絡(luò)安全防護

在控制器入口端部署控制器防護設(shè)備，能夠識別針對控制器的操控服務(wù)指令（包括組態(tài)服務(wù)、數(shù)據(jù)上傳服務(wù)、數(shù)據(jù)下載服務(wù)、讀服務(wù)、寫服務(wù)、控制程序下載服務(wù)、操控指令服務(wù)等），并能夠根據(jù)安全策略要求對非法的服務(wù)請求進行報警和自動阻斷。使用工業(yè)防火墻對控制器進行安全防護，一方面通過對源、目的地址的控制，僅允許工程師站和操作員站可訪問控制器，且對關(guān)鍵控制點的讀寫權(quán)限加以嚴格限制，保障了資源的可信與可控，另一方面，通過對端口服務(wù)的控制，杜絕了一切有意或無意的攻擊，最后使用“白名單”機制，僅允許OPC 等專有協(xié)議通過，阻斷一切 TCP 及其它訪問，從而確保控制器的安全。

2、網(wǎng)路邊界防護

在OPC Server與數(shù)據(jù)采集服務(wù)器之間加裝Guard防火墻，對OPC Server進行防護，保護采集到的數(shù)據(jù)在傳輸中不被病毒篡改及刪除。在OPC Server與數(shù)據(jù)采集服務(wù)器之間加裝Guard防火墻，對OPC Server進行防護，保護采集到的數(shù)據(jù)在傳輸中不被病毒篡改及刪除；將生產(chǎn)管理系統(tǒng)MES所在數(shù)采網(wǎng)與控制網(wǎng)隔離，Guard工業(yè)防火墻插件能夠過濾兩個區(qū)域網(wǎng)絡(luò)間的通信，防止數(shù)采網(wǎng)或者控制網(wǎng)中節(jié)點感染病毒后，在數(shù)采網(wǎng)和控制網(wǎng)之間互相傳播。

3、關(guān)鍵設(shè)備防護

在控制網(wǎng)內(nèi)部，操作站安裝的操作系統(tǒng)為Windows系統(tǒng)，工程師站、操作站與DCS控制器使用OPC協(xié)議進行通訊，一旦感染針對OPC協(xié)議的病毒，將極易導(dǎo)致DCS控制器誤動作或出現(xiàn)故障，危險性較大。如果工程師站、操作站感染了普通的網(wǎng)絡(luò)病毒也會造成控制系統(tǒng)網(wǎng)絡(luò)擁堵或崩潰。因此在控制網(wǎng)內(nèi)部，重點對工程師站、操作站進行安全防護，對進入和出去的訪問行為進行有效的控制，防止非授權(quán)行為的任意接入，避免發(fā)生網(wǎng)絡(luò)惡意行為對工程師站、操作員等關(guān)鍵系統(tǒng)的破壞性和非法操作。

項目方案如下圖所示（示意圖）：

項目實施：高效、規(guī)范施工

在中控室現(xiàn)場，海天煒業(yè)的工程師嚴格遵守項目實施流程，規(guī)范施工。經(jīng)過短短三天的緊張實施，終于完工。

實施內(nèi)容包括：

將Guard工業(yè)防火墻部署在OPC服務(wù)器與數(shù)采接口機之間，Buffer機通過工業(yè)防火墻與OPC服務(wù)器進行通訊，采集來自控制網(wǎng)絡(luò)的數(shù)據(jù)，有效的隔離了信息網(wǎng)絡(luò)與控制網(wǎng)絡(luò)，在保證OPC通訊正常進行的同時將其它通訊端口全部關(guān)閉，最大化防止了病毒的傳播。

使用中央管理平臺，實現(xiàn)數(shù)采網(wǎng)絡(luò)通訊的統(tǒng)一管控和報警信息，完成所列裝置的安全隔離工作。主要內(nèi)容包括：安裝中央管理平臺、Guard工業(yè)防火墻的部署、配置與組態(tài)。

在策略組態(tài)過程中，海天煒業(yè)工程師充分考慮了客戶的具體需求，對于符合標準OPC協(xié)議的裝置，配置OPC Classic-TCP協(xié)議并下裝；對于WINCC SERVER等服務(wù)器，鑒于其客戶端較多，涉及幾個生產(chǎn)子網(wǎng)，因此沒有采用以往根據(jù)數(shù)采機IP地址建立一對一通訊關(guān)系的做法，代之以配置相關(guān)工控通訊協(xié)議并精準開放部分端口的方式。

現(xiàn)場裝置

海天煒業(yè)Guard工業(yè)防火墻

Guard工業(yè)防火墻是海天煒業(yè)聯(lián)合中科院軟件所共同推出的一款自主工控網(wǎng)絡(luò)安全防護產(chǎn)品，也是首批榮獲國家發(fā)改委資金支持的工業(yè)防火墻，屬于新一代工業(yè)協(xié)議增強型防火墻，通過區(qū)域隔離、通訊管控、實時報警，為工業(yè)通訊提供獨特的、工業(yè)級的專業(yè)隔離防護解決方案。能深層保障工業(yè)通訊安全，有效防止蠕蟲、病毒的傳播和擴散，從而創(chuàng)建“本質(zhì)安全”的生產(chǎn)控制網(wǎng)。

Guard工業(yè)防火墻通過了公安部檢測，取得了EAL3、ISCCC等認證和銷售許可證，適用于企業(yè)辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)的隔離、保護控制系統(tǒng)的安全。廣泛應(yīng)用于石油石化、電力、煙草、冶金、化工、管道以及水處理等多個行業(yè)。在產(chǎn)品性能、自身安全性等方面均處于業(yè)界領(lǐng)先水平，是一款能真正有效保護工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的設(shè)備。