一、前言

工業控制系統已廣泛應用于電力、軌道交通、石油化工、航空航天等工業領域。目前，大量的涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化操作。工業控制系統已經成為國家關鍵基礎設施的重要組成部分。

隨著工業化與信息化進程的不斷交叉融合，越來越多的信息技術應用到了工業領域。由于工業控制系統廣泛采用通用網絡設備和IT設施，以及與企業信息管理系統的集成，傳統信息網絡所面臨的病毒、木馬、入侵攻擊、拒絕服務等安全威脅也正在向工業控制系統擴散。

二、項目背景

國內某知名油田分公司下屬采氣廠所轄探區范圍廣闊，天然氣探明儲量具有舉足輕重的戰略地位，是油田最具開發潛力的區塊之一。該采氣廠同時負責多個氣田及其他探區的開發建設和管理，承擔著部分氣量轉輸以及向華北地區及周邊城市供氣的艱巨任務。

采氣廠在2015年8月和2016年5月，先后發生兩次異常停機事件，事件影響惡劣并直接造成了巨大的經濟損失，然而事故原因無法查證。事件引起公司管理層對工業控制系統安全的高度重視，并將工控系統安全防護提升到戰略層面。

三、需求分析

從接到客戶需求的那一刻起，北京威努特技術有限公司（以下簡稱威努特）以實時高效為前提、安全可靠為目標、主動防御為手段，力求為該采氣廠工控系統的安全防護量身打造精準的解決方案。

工控系統安全防護區別于信息系統安全防護的一個重要特征就是：防護的方案一定是基于對客戶生產工藝流程的了解。從大的方面講，工控安全是生產安全的一部分，所有安全防護的目標就是保證生產的安全穩定運行，因此工控系統的實地調研和風險評估是一個非常重要的環節，通過該環節，才可以真正讓安全需求落地。

經過調研和評估，威努特總結出如下幾個關鍵的安全薄弱環節：

管理網與外網連接，生產網與管理網互通，生產網與管理網邊界存在重大安全隱患。

作為數據采集及存儲的關鍵部分，OPC 服務器存在諸多安全隱患。

工業控制相關的應用系統普遍存在弱口令問題，這也反映出安全意識的不足。

工控主機中會存儲一些重要的文件，但是文件一般未加密，容易造成核心數據丟失，同時病毒感染的現象普遍。

便攜式工程師站、操作員站防護手段不足，會成為病毒、木馬入侵的跳板。

四、方案設計

網絡安全從來都不是孤立的，我們在強調技防的同時，也要重視從管理入手去杜絕安全隱患，因此整個安全方案第一步就是幫助客戶建立起一套有針對性的工控安全管理體系。

依托對工業網絡和工業協議的深度認知和深入研究，威努特公司在工控安全領域積累了深厚的技術基礎，結合該采氣廠的現狀及特點，威努特設計了涵蓋工控系統邊界防護、區域防護和主機防護的縱深防御解決方案，部署了包括威努特工業防火墻、工控主機衛士（主機安全加固）以及統一安全管理平臺等在內的一系列自主研發的安全防護產品。

方案邏輯拓撲如下：

五、項目實施

確定方案后，技術服務團隊首先對感染病毒的主機進行病毒清理工作。不同于辦公主機的殺毒，工控主機的病毒清理需要慎之又慎，在最大化降低對生產控制影響的同時，還要考慮到病毒清理可能對應用軟件的破壞，因此需要先備份，后殺毒。在備份主機上確認殺毒方案對當前系統沒有影響的情況下，才真正在目標主機上開展相關病毒清理工作，病毒清理干凈后，部署主機衛士進行最終的加固。

在不同的作業區與管理網的邊界部署工業防火墻，在做好有效的訪問控制的同時，通過工業協議的深度解析和指令級控制，有效阻斷來在生產網之外的對工控系統的攻擊行為。要做好工控協議的深度解析和指令級控制，首先要建立完整的業務模型，這一方面要借助工業防火墻的工業協議智能學習功能，同時也要結合人工的分析和調整，真正實現該阻斷的絕不放過，該通過的絕不阻斷。作為現場的服務工程師，仔細的觀察數據的流量、分析業務的邏輯并確認業務模型的準確性是一個關鍵的環節。

六、防護效果

方案的落地給該客戶帶來的價值是明顯的，不管是工業防火墻還是工控主機衛士，實實在在的起到了應有的防護作用，通過幾張現場的截圖，更清楚的展現給讀者。

工控主機衛士有效阻止非法程序運行，如圖所示：

工控主機衛士對移動存儲設備精準管控，如圖所示：

工業防火墻成功阻斷外網甚至是境外IP的非法訪問，如圖所示：

七、總結

從總體上看，我國工業控制系統信息安全防護體系建設滯后于系統本身的建設，還處于初級階段。工業控制系統種類繁多、協議復雜，那么工控安全就不能搞一刀切，傳統的安全防護思路要繼承，但更要因地制宜、量體裁衣。工控安全是一個更專業、更細化的安全分支，需要每一個從業者不斷開拓創新，從而為國家的網絡空間安全戰略貢獻力量。