★ 浙江國利網安科技有限公司

1 項目概況

1.1 項目背景

隨著“兩化融合”走向深入，以及信息化、數字化、智能化快速發展，關系國計民生的關鍵信息基礎設施（能源、交通、制造業、水務等）成為黑客攻擊的主要目標，網絡攻擊事件頻發。2020年5月，以色列供水系統遭受大規模網絡攻擊，目標直指生產控制的邏輯控制器。

某水務環境集團作為集供水、排水、污水治理于一體的城市公共服務提供商，肩負著該市近千萬居民的用水安全。集團及下屬12家基層單位存在工控系統無法自主可控、工控安全防護技術能力薄弱、安全建設不統一等問題，其工控系統網絡安全建設迫在眉睫。

1.2 項目簡介

本項目針對該水務環境集團及其下屬供排水生產企業工控系統面臨的網絡安全問題，建設了覆蓋1個集團的工業安全態勢感知與管理平臺和12個下屬供排水生產企業的工控網絡安全監控防護系統，構建了城市水務供排水網絡安全協同防御體系，實現了對工控系統全方位、全天候的網絡安全態勢感知，打造了多層級、可擴展的平臺架構，形成了完備的工控系統安全防御體系，全面提升了集團工控網絡安全防護的整體水平。

1.3 項目目標

城市水務工控系統網絡安全建設主要存在安全建設不全面不完善、安全防護不夠精準、工控核心控制器缺乏防護、安全應急響應不夠及時等問題。針對該水務環境集團工控系統網絡安全面臨的風險及行業安全建設方案的不足，本項目建設強化對工業控制器的防護，重點關注工業控制器內組態工程的異常變更情況，一旦出現對控制器的非法操作，造成組態工程的刪除、篡改或重要控制參數的修改、變更，可及時告警，并進行恢復。同時本項目注重各個安全產品之間的協同，建設集團、企業兩級工控安全能力體系框架，搭建該水務環境集團網絡安全態勢感知系統及各個水廠廠級安全運維中心，實現全集團安全態勢可視、可知、可管、可控。

平臺部署模式圖如圖1所示。

圖1 平臺部署模式圖

廠級安全運維中心作為“廠級安全運維”的核心，負責廠級安全數據的收集與分析、廠級安全策略的定制與分發和廠級安全事件的查看與處置。廠級安全運維中心可以全面地收集安全產品信息、工業控制器信息以及網絡設備信息等，對數據進行聯合分析并識別異常事件，生成對應的防護策略。用戶可以對異常事件進行處置，對防護策略進行管理與分發，形成廠級的監測、響應與防護的安全體系。

工業安全態勢感知平臺是“集團態勢感知”的載體，負責收集各個“廠級站點”的數據，并進行分析和可視化，實現態勢觀測和威脅預測的功能。

2 項目實施

2.1 應用案例介紹

本方案根據前期對各個水廠的工控網絡安全調研，了解水務集團及各個制水廠、污水處理廠等廠站的工控系統的基本情況，包括整體網絡架構、廠級網絡架構、各個廠站內的工控設備信息、工控主機信息及當前安全防護狀況，并根據城市水務業務特點，主要針對區域邊界、計算環境及管理中心的改進建議進行部署，形成集團、企業和廠站三級安全管控模式。整體方案如圖2所示。

圖2 工控網絡安全解決方案網絡拓撲示意圖

在各個水廠工控系統的生產控制區與信息管理區之間部署工業防火墻，通過對通信數據進行行為級、數值級的檢測，實現對控制器設備的訪問控制；在各個水廠與該集團的網絡邊界處部署工業安全隔離與信息交換系統，以便在物理層面實現網絡隔離。在各個水廠工控系統的生產控制區的網絡核心節點部署工控安全審計系統，實現資產關系校驗、網絡流量審計、入侵檢測和異常行為告警。

在各個水廠工控系統的各個工控主機、服務器、接口機等設備處安裝工業主機安全防護系統進行安全加固，以便對工控主機的運行資源、數據資源和物理存儲資源進行管控，防范未知病毒的運行及其對主機資源的利用。

在各個水廠工控系統生產控制區的重點控制器交換節點處，部署國利網安獨有的控制器完整性監測與恢復系統，能夠對控制器的運行狀態、數據狀態等進行實時、深度監測，根據異常情況進行告警和無損恢復；在各個水廠工控系統生產控制區的重點控制器前部署控制器防護系統，對工控協議進行深度檢測，高性能地實現對控制器的防護。

在各個水廠中部署廠級安全運維中心，對廠區內部署的工控安全產品實現集中管理與統一配置，并將安全信息通過網閘集中上送給集團態勢感知平臺。在水務集團部署工控安全態勢感知平臺，實現對各個水廠的整體安全態勢、資產情況、流量數據等信息的匯總和研判，從全局視角提升整個水務集團工控系統對安全威脅的發現識別、理解分析及響應處置能力。

2.2 實施成效

本方案從設備安全、控制安全、網絡安全、應用安全及數據安全等角度出發，構建城市水務工控系統的網絡安全縱深防御體系。主要實施成效如下所示：

（1）實現工控系統的空間測繪與資產畫像

采用主被動掃描的方式對接入工控系統內的資產進行測繪，有效測繪硬件資產及軟件資產，形成資產信息庫。通過對網內通信關系的實時捕獲，并結合高效的資產管理方案，實現工控系統的空間測繪。同時，基于自有知識庫進行比對，聯系上下文進行分析，展示資產全貌，并對整個工控系統進行風險評估，實現將碎片化的資產信息綜合加工形成對相應工控系統網絡安全系統、全面、直觀的認識。

（2）實現對各水廠工業控制器的訪問控制和狀態監測

通過采取設備身份鑒別與白名單訪問控制的方法實現對工業控制器的保護，使得所有對工業控制器的訪問均為已授權的訪問，確保工業控制器執行的控制命令均來自合法用戶。同時，實現對工業控制器的運行狀態、數據狀態等實時、深度監測，根據異常情況進行告警與防護，并可在控制器工藝組態文件被篡改的情況下快速恢復安全版本。

（3）實現對各水廠工業主機的安全防護

在調控中心及各個場站的工控主機、服務器等設備中安裝的工業主機安全防護系統進行安全加固，能夠對工控主機的運行資源、數據資源和物理存儲資源進行管控，防范未知病毒的運行及其對主機資源的利用。

（4）強化對生產控制指令的保護

本方案配置的工控安全審計系統、工業防火墻等安全設備能對水廠工控系統中的通信協議進行深度解析，并基于組態工藝指令組合白名單策略，實現對系統中工控行為及網絡行為的監測和防護，實現對工控系統參數變更的閾值及變更頻率的監測，及時發出預警，并根據用戶的授權情況進行阻斷，避免發生安全事故，并提供詳實的數據支持。同時，可實現攻擊異常檢測、無流量異常檢測、重要操作行為審計、告警日志審計等功能。

（5）實現區域網絡隔離

在各水廠控制層與過程監控層之間部署工業防火墻、各水廠與集團之間部署工業網閘，實現安全區域隔離。對網絡邊界進行監視，識別邊界上的入侵行為并進行有效阻斷，保障生產控制區和生產管理區之間、生產管理區與集團辦公區之間的安全。

（6）加強對數據的保護

注重對工控系統內的數據的備份，如各個水廠生產工業控制器的組態工程和重點工藝參數，定期對數據進行備份。當發生組態工程篡改、刪除、修改等事故時能及時恢復，從而降低用戶的損失。

（7）構建集團-企業-廠站三級協同響應體系

在各水廠部署廠級運維中心，對水廠內部署的工控安全產品及網絡設備進行集中管理與統一配置，獲取各個安全產品的日志信息及各個網絡設備的接口使用情況，基于安全事件特征進行聚類分析，發現并確認安全事件，及時報警響應處理，提高管理效率，實現產品功能協同，降低運行維護成本。在供水公司及排水公司部署網絡安全態勢感知子系統，實現對下轄各水廠和污水廠的安全集中管理。在水務集團部署網絡安全態勢感知系統，實現對各個水廠的整體安全態勢、資產情況、流量數據等信息的匯總和研判，從全局視角提升整個水務集團工控系統對安全威脅的發現識別、理解分析及響應處置能力。

3 案例亮點及創新性

3.1 技術先進性

（1）超強的自身安全性和設備可用性

這是國內首個直接部署在工控系統控制器前的產品，可以直接對控制器進行安全防護，其微秒級處理時延少于30μs，優于業界最好性能60μs。該產品采用硬件回路替代邏輯算法實現超低時延，并使用雙處理器架構，兩個處理器之間相互獨立，通過有限通信，當某一個處理器遭受網絡攻擊或處理器不能正常工作時，另一個處理器的業務處理單元仍能夠正常處理業務流程。因此，設備具有低延時、高可靠以及超強的自身安全性。

（2）國內首個組態工程監測與重建技術

該產品采用主被動雙重檢驗的組態工程重建和監測技術，能實時測量、收集控制器健康數據，為控制器建立全生命周期組態的信息管理檔案，并解決控制器在遭受組態篡改攻擊后無法快速恢復及控制器組態文件無法審計分析的問題。

（3）工控OT操作深度審計

該產品根據工藝要求和控制流程，結合IO點表信息，能智能識別工控系統應用服務對象、角色關聯對象、目標系統安全域對象和目標系統參數安全范圍對象，并根據識別出來的安全對象，映射生成安全產品防護策略規則樹，實現工控OT操作深度審計，支持多指標的工控行為檢測及工控數據變更檢測，支持深度解析城市水務行業常用協議Modbus、S7、ENIP/CIP、OPC、IEC104等。

3.2 可推廣性

隨著城市水務數字化、智慧化建設浪潮的出現，城市水務工控網絡面臨愈加復雜的網絡安全風險挑戰。本項目為典型的集團型水務企業提供工控系統網絡安全建設和運維管理的示范案例，有效保障水廠、污水處理廠等工控系統的生產安全，提高企業應急響應能力水平，提高集團工控網絡安全管控能力，具有較好的可復制性和可推廣性。

《自動化博覽》2023年1月刊暨《工業控制系統信息安全專刊（第九輯）》