背景
魯西化工是典型的化工企業(yè)，其化工產品生產過程具有高溫、高壓、易燃、易爆、有毒有害、腐蝕、易揮發(fā)，工藝生產自動化、連續(xù)化、生產裝置大型化、 工藝復雜等特點，由于其各個生產環(huán)節(jié)不安全因素較多，一旦發(fā)生安全事故，具 有事故后果嚴重、危險性和危害性比傳統(tǒng)制造行業(yè)更大的特點。
DCS 和 PLC 數字化控制已經成為化工生產過程控制的主要手段，魯西化工自 動化程度較高，大量使用浙江中控、和利時等 DCS、PLC 控制系統(tǒng)，能夠極大地提高生產效率，但是過程控制系統(tǒng)整呈開放的趨勢，隨著“兩化”的深度融合， 工控系統(tǒng)面臨的安全形勢越來越嚴峻。
現狀
整個魯西集團園區(qū)納入信息化的裝置共 23 個，裝置名稱及其產品、功能如 下：
動力一、動力二裝置為全園區(qū)各裝置提供水、電、氣為主的公共資源和能源， 為園區(qū)重點裝置。
煤化一、煤化二裝置為園區(qū)各工企業(yè)提供主要化工生產原料，包括一氧化碳、 甲醇、液氨等。為園區(qū)重點裝置。
園區(qū)西區(qū)裝置有氟化工、甲烷氯化物、氯化鈣、西區(qū)灌裝站、氯磺酸、西區(qū) 污水處理、有機硅、離子膜。以上裝置大部分涉及重大危險物質，包括氯氣、液 氨、一氧化碳等園區(qū)中區(qū)裝置有氯化芐、三聚氰胺、苯甲醇等裝置，生產氯氣及其下游產品， 其中煤一和動力一裝置在此區(qū)域中。
園區(qū)東區(qū)裝置包括甲酸、丁辛醇、已內酰胺等，均涉及氫氣、一氧化碳等危 險氣體。其中煤二及動力二裝置在此區(qū)域中。
另外西區(qū)和東區(qū)各有一個灌裝區(qū)域，為外來危險品車輛進行化工產品和原料 的裝卸。
網絡拓撲如下：



圖一 網絡拓撲
企業(yè)生產網控制系統(tǒng)數據通過 OPC 接口，由寶信通訊網關進行數據采集轉發(fā)到實時數 據庫 PI1，再通過單向網閘將 PI1 數據導入至實時數據庫 PI2，實現 PI1 與 PI2 的同步，并進 行了生產網與外網的隔離。其中遠程監(jiān)測終端通過 3G 無線網絡經過 PC 機轉發(fā)給通訊網關 進入 PI1 數據庫。
需求分析
隨著企業(yè)應用系統(tǒng)的增加以及信息化建設的不斷推進，MES 系統(tǒng)的實施，生產網絡與管 理網及辦公網之間有著大量數據的讀取、控制指令的下置、計劃排產的下發(fā)。生產網與外網的互聯(lián)互通是一種趨勢也是一種必需，但辦公網及外網的應用復雜，多樣性強。感染病毒及 惡意程序的機率大，生產網的開放，勢必對 PI 數據庫的數據完整性、保密性、安全性形成 挑戰(zhàn)，對 DCS、PLC 控制系統(tǒng)形成嚴重的安全威脅，如果系統(tǒng)受到攻擊或感染病毒后，使得 DCS 或 PLC 控制發(fā)生故障，壓力、溫度、流量、液位、計量等指示失效，檢測系統(tǒng)連鎖報警 失效，或各類儀表電磁閥制動空氣及電源無供給后，一旦重大危險源處于失控狀態(tài)，后果不堪設想，將危急現場操作人員甚至工廠附近人群的生命安全。
所以對控制系統(tǒng)及生產網絡的安全防護是當下要優(yōu)先考慮和解決的問題。
風險分析
1、操作系統(tǒng)安全漏洞：企業(yè)的工程師站/操作站/HMI /Server 基本都是Windows 平臺的，Windows 所采用的存儲數據庫和加密過程導致了一系列安全漏，例如，Windows 把用戶信息和加密口令保存于 NTRegistry 中的 SAM 文件中，即安全帳戶管理 (Security Accounts Management) 數據庫。加密口令分兩個步驟完成。首先，采用 RSA MD4 系統(tǒng)對口令進行加密。第二步則是令人迷惑的缺乏 復雜度的過程，不添加任何“調料”，比如加密口令時考慮時間的因素。結果， Windows 口令比 UNIX 口令更加脆弱，更容易受到一本簡單字典的攻擊。黑客可以利用這些漏洞來破譯一個或多個 Administrator 帳戶的口令，進而對主機進行破壞活動。
另外由于工業(yè)控制系統(tǒng)的特殊性，為了保證過程控制系統(tǒng)的相對獨立性，以 及考慮到系統(tǒng)的穩(wěn)定運行，現場工程師未對 Windows 平臺安裝任何補丁，導致的問題是，不安裝補丁系統(tǒng)就存在被攻擊的可能，從而埋下安全隱患。
2、網絡協(xié)議安全漏洞：本案中TCP/IP 以太網協(xié)議、OPC協(xié)議及通用的交換路由設備越廣泛地應用在工業(yè)控制網絡中，給工業(yè)安全帶來了安全漏洞威脅，具體表現為：
1）TCP/IP協(xié)議鏈路層的安全漏洞
本案以太網中，信道是共享的，任何主機發(fā)送的每一個以太網幀都會到達別的與該主機處于同一網段的所有主機的以太網接口，不法人員稍做設置或修改， 就可以使一個以太網接口接收不屬于它的數據幀。從而對控制網絡關鍵數據的竊取。
2）TCP/IP協(xié)議網絡層安全漏洞
網絡中控制系統(tǒng)、設備及Server都對ICMP echo請求進行響應。所以如果一 旦敵意主機同時運行很多個ping命令向一個系統(tǒng)或服務器發(fā)送超過其處理能力的ICMP echo請求時，就可以淹沒該DCS系統(tǒng)及服務器使其拒絕其他的服務。導致生產失控或停車，另外，ping命令可以在得到允許的網絡中建立秘密通道從而可以在被攻擊系統(tǒng)中開后門進行方便的攻擊，如收集目標上的信息并進行秘密通信 等。
3）OPC Classic 協(xié)議安全問題
現場采集傳輸均采用OPC協(xié)議采集控制層數據，而OPC Classic 協(xié)議(OPC DA,OPC HAD 和OPC A&E)基于微軟的DCOM 協(xié)議，DCOM協(xié)議是在網絡安全問題被廣泛認識之前設計的，極易受到攻擊，并且OPC 通訊采用不固定的端口號，導致目前幾乎無法使用傳統(tǒng)的IT 防火墻來確保其安全性。
4）無線網絡的安全問題拓撲可見，遠程監(jiān)測終端通過3G無線網絡進入生產網，其間沒有任何安全防護手段，不法人員可以通過該條路徑進入企業(yè)內網控制PC，繼而對數據進行非法篡改，和對傳輸惡意控制指令，勢必對控制系統(tǒng)造成嚴重威脅。
3、DCS 和 PLC 控制系統(tǒng)缺乏對程序行為的審計能力 惡意程序行為是對工控系統(tǒng)產生安全威脅最為主要的原因之一，在工控系統(tǒng)端點主機上程序行為是否正常，需要對其所有的行為數據進行深度感知、聚集和細粒度的處理和審計。 操作管理人員的技術水平和安全意識差別較大，容易發(fā)生越權訪問、違規(guī)操作，給生產系統(tǒng)埋下極大的安全隱患。實事上，DCS 和 PLC 系統(tǒng)相對封閉的環(huán)境，也使得來自系統(tǒng)內部人員在應用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操 作成為工業(yè)控制系統(tǒng)所面臨的主要安全風險。例如：缺乏基于分組的 HIS 安全策略。在用戶安全策略的定義界面下，首先要考慮進行分組的設置，分組后再設置 不同級別的用戶從屬于各自的用戶組，從而依據各自裝置的控制站作為操作和監(jiān) 視的范圍。
因此，對生產網絡的訪問行為真實性、完整性進行監(jiān)控、管理與審計是非常必要的。
4、缺乏工控系統(tǒng)的安全威脅預警能力魯西化工的主要產品在生產過程中全部由 DCS 和 PLC 控制，系統(tǒng)的重要性和實時要求及時掌握系統(tǒng)的信息安全情況，目前缺乏對整個系統(tǒng)的安全威脅預警能力，缺乏應急處置安全事件的數據支撐。
5、面對高級持續(xù)性威脅(APT)攻擊，缺乏有效的應對措施 高級持續(xù)性威脅(APT)正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案(如防病毒軟件、防火墻、IPS 等)，并更長時間地潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測。同時，還會采用智能手機、平板電腦和 USB 等移動設備為目標和攻擊對象繼而入侵企業(yè)信息系統(tǒng)的方式。前述以超級工廠病毒(W32.Stuxnet)為代表的針對工業(yè)控制系統(tǒng)的攻擊事件變呈現了這些攻擊技術特征。
但是針對這種 APT 攻擊，現有的安全防護手段均顯得有些無力。這也許需要 整合各種安全技術，通過形成完善的安全防御體系（防御手段的組織化、體系化） 才可能有效，然而 DCS 和 PLC 系統(tǒng)對安全技術及管理的嚴重不足的現實，使其在 面臨持續(xù)攻擊時將會遭到不可估量的安全損失。
方案設計
根據魯西化工的控制系統(tǒng)及信息化生產運行管理流程，結合 GB/17859、 GB/T25070 基本要求，按照等保三級相關相求，構建在安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網絡三重防御體系，通過強化分區(qū)、隔離防護、協(xié)議管 控、入侵防御及安全審計等技術手段構建縱深安全防御體系，確保生產現場 DCS、 PLC 等控制設備的本質安全。具體如下：
● 遵循國家、地方、行業(yè)相關法規(guī)和標準；
● 貫徹等級保護和分域保護的原則；
● 管理與技術并重，互為支撐，互為補充，相互協(xié)同，形成有效的綜合防 范體系；
● 充分依托已有的信息安全基礎設施，加快、加強信息安全保障體系建設。
● 第三級安全的信息系統(tǒng)具備對信息和系統(tǒng)進行基于安全策略強制的安全保護能力。
● 在技術策略方面，第三級要求按照確定的安全策略，實施強制性的安全保護，使數據信息免遭非授權的泄露和破壞，保證較高安全的系統(tǒng)服務。 這些安全技術主要包括物理層、網絡層、系統(tǒng)層、應用層、數據層的以下內容：
○ 對計算機、網絡的設備、環(huán)境和介質采用較嚴格的防護措施，確保其為信息系統(tǒng)的安全運行提供硬件支持，防止由于硬件原因造成信 息的泄露和破壞；
○ 通過對局域計算環(huán)境內各組成部分采用網絡安全監(jiān)控、安全審計、 數據、設備及系統(tǒng)的備份與恢復、集中統(tǒng)一的病毒監(jiān)控體系、兩種級要求的操作系統(tǒng)和數據庫、較高強度密碼支持的存儲和傳輸數據 的加密保護、客體重用等安全機制，實現對局域計算環(huán)境內的信息 安全保護和系統(tǒng)安全運行的支持；
○ 采用分區(qū)域保護和邊界防護（如應用級防火墻、網絡隔離部件、信 息過濾和邊界完整性檢查等），在不同區(qū)域邊界統(tǒng)一制定邊界訪問控 制策略，實現不同安全等級區(qū)域之間安全互操作的較嚴格控制；
○ 按照系統(tǒng)化的要求和層次化結構的方法設計和實現安全子系統(tǒng)，增 強各層面的安全防護能力，通過安全管理中心，在統(tǒng)一安全策略下 對系統(tǒng)安全事件集中審計、集中監(jiān)控和數據分析，并做出響應和處 理，從而構建較為全面的動態(tài)安全體系。
● 在管理策略方面，第三級要求實施體系的安全管理。應建立完整的信息系統(tǒng)安全管理體系，對安全管理過程進行規(guī)范化的定義。根據實際安全需求，成立安全管理機構，配備專職的安全管理人員，落實各級領導及相關人員的責任。
1、具體安全策略
按照層層防護的思想，信息系統(tǒng)由具有相同或不同等級的子系統(tǒng)構成，各子系統(tǒng)均需要實現安全域內部安全、安全域邊界安全及安全域互聯(lián)安全。 邊界保護的目的是對邊界內的局域計算環(huán)境和獨立用戶/用戶群的計算機環(huán)境進行保護，防止非法的用戶連接和數據傳輸。 安全域內部安全是指局域計算環(huán)境自身安全和網絡連接設備自身安全。 安全域互聯(lián)安全是指在不同等級的系統(tǒng)之間互聯(lián)時，應采取的保護原則和保護策略。
2、安全域內部策略
為滿足威脅需求的基本防護要求應實現以下安全域內部的安全目標：
網絡層策略
b1、通過合理的結構設計和網段劃分手段實現合理分配、控制網絡、操 作系統(tǒng)和應用系統(tǒng)資源及路由選擇和控制；
b2、通過網絡訪問控制手段實現網絡、系統(tǒng)和應用的訪問的嚴格控制及數據、文件或其他資源的訪問的嚴格控制；
b3、通過網絡安全審計手段實現記錄用戶操作行為和分析記錄；以及對資源訪問的行為進行記錄、集中分析并響應；
b4、通過邊界完整性檢查手段實現檢測非法接入設備及檢測網絡邊界完 整性；并能切斷非法連接；
b5、通過網絡入侵防范手段實現檢測、集中分析、響應、阻止對網絡和所有主機的各種攻擊；
b6、通過惡意代碼防范手段實現發(fā)現并修補已知漏洞；對惡意代碼的檢測、集中分析、阻止和清除及防止惡意代碼在網絡中的擴散；對惡意代 碼庫和搜索引擎及時更新并防止未授權下載、拷貝軟件或者文件；
B7、通過網絡設備防護手段實現對網絡、系統(tǒng)和應用的嚴格訪問控制及對用戶進行唯一標識；同時對同一個用戶產生多重鑒別信息，其中一個 是不可偽造的鑒別信息并進行多重鑒別；另外對硬件設備進行唯一標識 和合法身份確定；并在持續(xù)非活動狀態(tài)一段時間后自動切斷連接。
系統(tǒng)層策略
c1、通過身份鑒別手段實現對網絡、系統(tǒng)和應用的訪問進行嚴格的限制； 并對用戶進行唯一標識及同一用戶產生多重鑒別信息，其中一個不可偽 造的鑒別信息并進行多重鑒別；對硬件設備進行唯一標識及合法身份確 定并實現在持續(xù)非活動狀態(tài)一段時間后自動切斷連連接；
c2、通過自主訪問控制手段實現對網絡、系統(tǒng)和應用的訪問進行嚴格控制并對數據、文件或其他資源的訪問進行嚴格控制；
c3、通過強制訪問控制手段實現對網絡、系統(tǒng)和應用的訪問進行嚴格控制并對數據、文件或其他資源的訪問進行嚴格控制及對敏感信息及其流 向進行標識；
c4、通過安全審計手段實現記錄用戶操作行為和分析記錄結果并對安全機制失效進行自動監(jiān)測和報警及對資源訪問的行為進行記錄、集中分析 并響應；
c5、通過系統(tǒng)保護手段實現系統(tǒng)軟件、應用軟件的容錯及自動保護當前工作狀態(tài)；
c6、通過剩余信息保護手段實現對存儲介質中的殘余信息的刪除；應、阻止對網絡和所有主機的各種攻擊并重要數據和程序進行完整性檢測和糾錯；
c8、通過惡意代碼防范手段實現對已知漏洞的檢測和修補并防止惡意代碼在網絡中的擴散及對惡意代碼庫和搜索引擎及時更新；防止未授權下 在、拷貝軟件或者文件；
c9、通過系統(tǒng)資源控制手段實現合理使用和控制系統(tǒng)資源及按優(yōu)先級自動分配系統(tǒng)資源并能在持續(xù)非活動狀態(tài)一段時間后自動切斷連接；
應用層策略
d1、通過采取身份鑒別措施，來實現有對網絡、系統(tǒng)和應用的訪問進行嚴格控制，對用戶進行唯一標識，對同一個用戶產生多重鑒別信息進行 多重鑒別，對持續(xù)性非活動狀態(tài)一段時間后自動切斷連接的目標；
d2、通過采取相應的訪問控制措施，來實現對網絡、系統(tǒng)和應用的訪問進行嚴格控制，對數據、文件或其他資源的訪問進行嚴格控制，對敏感 信息進行標識的目標；
d3、通過安全審計措施，來實現記錄用戶操作行為和分析記錄結果，對資源訪問的行為進行記錄、集中分析并響應的目標；
d4、通過對剩余信息采取相應的保護措施，來實現對存儲介質中的殘余信息進行刪除的目標；
d5、通過采取相應的措施來確保通信的完整性，來實現對傳輸和存儲數據進行完整性檢測和糾錯，對通信數據進行完整性檢測和糾錯，重要數 據和程序進行完整性檢測和糾錯的目標；
d6、通過采取相應的措施來確保通信的保密性，來實現對傳輸和存儲中的信息進行保密性保護，防止加密數據被破解的目標；
d7、通過采取相應的抗抵賴性措施，來實現信息源發(fā)的鑒別，基于密碼技術的抗抵賴的目標；
d8、通過采取相應的軟件容錯措施，來實現系統(tǒng)軟件、應用軟件容錯， 軟件故障分析，自動保護當前工作狀態(tài)的，對用戶的誤操作行為進行檢 測、報警和恢復的目標；
d9、通過采取相應的資源控制措施，來實現合理使用和控制系統(tǒng)資源，按優(yōu)先級自動分配系統(tǒng)資源，限制網絡、操作系統(tǒng)和應用系統(tǒng)資源使用， 合理分配、控制網絡、操作系統(tǒng)和應用系統(tǒng)資源，持續(xù)非活動狀態(tài)一段時間后自動切斷連接的目標；
d10、通過相應的措施來控制軟件代碼的安全，來實現對軟件缺陷進行檢查的目標。
數據層策略
e1、通過采取相應數據完整性措施, 來實現對傳輸和存儲數據進行完整性檢測和糾錯，重要數據和程序進行完整性檢測和糾錯的目標；
e2、通過采取數據保密性措施, 來實現保證鑒別數據傳輸和存儲保密性， 對傳輸和存儲中的信息進行保密性保護，防止加密數據被破解的目標；
e3、通過采取數據備份和恢復措施, 來實現對抗中等強度地震、臺風等自然災難造成破壞，防止雷擊事件導致大面積設備被破壞，及時恢復正 常通信，對用戶的誤操作行為進行檢測、報警和恢復，使重要通信線路及時恢復，及時恢復重要數據，保證重要業(yè)務系統(tǒng)及時恢復運行的目標。
3、安全域邊界策略 為滿足威脅需求的基本防護要求應實現以下安全域邊界的安全目標：
● 通過網絡訪問控制手段實現網絡、系統(tǒng)和應用的訪問的嚴格控制；
● 數據、文件或其他資源的訪問的嚴格控制；
● 通過邊界完整性檢查手段實現檢測非法接入設備；
● 檢測網絡邊界完整性；
● 切斷非法連接。
4、安全域互聯(lián)策略 不同安全等級的安全域之間可以根據業(yè)務需要進行互聯(lián)。互聯(lián)問題的本質就是互聯(lián)系統(tǒng)間的邊界安全問題。不同安全等級互聯(lián)，要根據系統(tǒng)業(yè)務和安全需求， 制定相應的多級安全策略，主要包括訪問控制策略和數據交換策略等，采取相應 的邊界保護、訪問控制等安全措施，防止高等級系統(tǒng)的安全受低等級系統(tǒng)的影響。
不同安全等級的安全域互聯(lián)主要有以下幾種情況：
● 位于同一業(yè)務單位域內共享網絡平臺的系統(tǒng)互聯(lián)；
● 位于同一業(yè)務單位域內不同安全等級網絡平臺的系統(tǒng)互聯(lián)；
● 位于不同業(yè)務單位域內的系統(tǒng)互聯(lián)。
方案內容
參照 ANSI/ISA-99 、GB/17859、GB/T25070 等相關要求，將企業(yè)系統(tǒng)結構劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略。區(qū)域與區(qū)域之間利用安全產品進行策略控制，確保每個區(qū)域的相互獨立性，實現風險的最小化和 可控。從以下方面進行設計，如圖 2 所示：

圖二 安全部署圖
辦公網與管理網區(qū)域
由于辦公網直接與互聯(lián)網相連，且應用復雜，人員眾多。存在被感染病毒或被惡意控制的高風險，所以在辦公網與管理網之間部署一臺網絡病毒網關，入侵防御（IPS）系統(tǒng)。可以處理 HTTP、SMTP、POP3、FTP 和 IMAP 等多種協(xié)議，全面保護郵件、WEB 訪問以及文件傳輸過程中的安全。從而有效抵御來自辦公網及互聯(lián)網的網絡病毒和風險，確保內網的安全。管理網絡的安全防護在管理核心區(qū)域需要實現全網數據流量審計和入侵檢測，計劃部署網絡安全
審計和入侵防御（IPS）系統(tǒng)，實現整個區(qū)域數據流的審計和檢測。計劃在核心交換之間部署 1 臺網絡安全審計和 1 臺入侵防御系統(tǒng)。 通過網絡安全審計實現對業(yè)務環(huán)境下的網絡操作行為進行細粒度審計的合規(guī)性管理系統(tǒng)。它通過對業(yè)務人員訪問系統(tǒng)的行為進行解析、分析、記錄、匯報， 用來幫助用戶事前規(guī)劃預防，事中實時監(jiān)視、違規(guī)行為響應，事后合規(guī)報告、事 故追蹤溯源，同時加強內外部網絡行為監(jiān)管、促進核心資產（數據庫、服務器、 網絡設備等）的正常運營通過部署入侵防御系統(tǒng)實現對于病毒、木馬、蠕蟲、僵尸網絡、緩沖區(qū)溢出 攻擊、DDoS、掃描探測、欺騙劫持、SQL 注入、XSS、網站掛馬、異常流量等惡 性攻擊行為有非常準確高效的檢測防御效果，并通過簡單易懂的去技術化語言幫 助用戶分析威脅，對威脅進行有效處理。
DCS 控制器安全防護
浙大中控、和利時 DCS 控制系統(tǒng)其操作站 HIS 和控制站 FCS 通過冗余的基于以太網通訊的控制總線連接，HIS 實現監(jiān)控，操作功能，FCS 則完成具體的控 制運算，輸入/輸出及數據處理功能。由于以太網的開放性，在帶來通訊便捷的 同時也增加了安全風險。
所以必須要在控制器入口端部署控制器防護設備，能夠識別針對控制器的操控服務指令（包括組態(tài)服務、數據上傳服務、數據下載服務、讀服務、寫服務、 控制程序下載服務、操控指令服務等），并能夠根據安全策略要求對非法的服務 請求進行報警和自動阻斷。如圖 2 所示，使用工業(yè)防火墻對控制器進行安全防護， 一方面通過對源、目的地址的控制，僅允許工程師站和操作員站可訪問控制器， 且對關鍵控制點的讀寫權限加以嚴格限制，保障了資源的可信與可控，另一方面， 通過對端口服務的控制，杜絕了一切有意或無意的攻擊，最后使用“白名單”機 制，僅允許 ScnetII 等專有協(xié)議通過，阻斷一切 TCP 及其它訪問，從而確保控制 器的安全。
無線遠程監(jiān)測接入安全防護
如上圖所示，遠程監(jiān)測終端通過 3G 無線網絡聯(lián)入企業(yè)內網，內網 PC 通過NAT 映射到互聯(lián)網。由于 3G 設備 IP 地址的不確定因素，本 PC 開放 UDP 所有訪 問權限，導致外網不法人員通過掃描或嗅探技術捕獲 PC 信息，從而入侵到該 PC 或內網，雖然 PC 與通訊網關采用串口通訊，但仍可通過對 PC 機的入侵破壞數據 的完整性，并且通過了解其串口通信方式，下置惡意指令和傳輸病毒。對 PI 數 據庫及控制系統(tǒng)造成致命破壞。
所以如圖 2 所示，在無線接入 PC 機與控制網絡之間部署一臺工業(yè)防火墻， 僅允許指定的設備、特定的工業(yè)數據進入內網上傳到 PI1 服務，阻斷一切無關的 訪問、控制指令。
工業(yè)控制系統(tǒng)漏洞掃描系統(tǒng)
我們企業(yè)控制網絡布署工業(yè)掃描系統(tǒng)，針對對符合 IEC61131-3 標準的控制 系統(tǒng)上位機（SCADA/HMI）軟件、PLC、器嵌入式軟件以及各種主流現場總線離線 掃描。
與入侵檢測/防御系統(tǒng)等別動防御手段相比，漏洞掃描是一種主動的防范措施；可以有效避免黑客攻擊行為，放患于未然。通過對工業(yè)網絡的掃描，可以了 解工業(yè)網絡安全配置的和運行的應用服務，及時發(fā)現安全漏洞，客觀評估網絡風 險等級，進而及時修復漏洞。
PKI/CA 系統(tǒng) 由于魯西工藝流程、生產配方、生產裝置以及特種產品數據的敏感性，所以布署一套 PKI/CA 系統(tǒng)，一方面通過數字證書來進行相應權限分配，實現對 DCS、PLC 控制系統(tǒng)的分權管理及多因子驗證，另一方面通過 PKI/CA 系統(tǒng)對網絡上傳 的數據信息進行加密和解密、數字簽名和簽名驗證，從而保證：信息除發(fā)送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發(fā)送方能夠通過數字證 書來確認接收方的身份；發(fā)送方對于自己的信息不能抵賴。在保障了數據的完整性與保密性的同時，也增加了防抵賴。
終端防病毒
由于終端應用復雜，感染病毒的可能性較大，所以在終端 PC、工程師站、 操作員站上都進行查殺毒軟件的安裝，前提必須是經過驗證后的殺毒軟件，要確保其對工控軟件的兼容性。
同時，也要及時地對殺毒軟件進行病毒庫的升級，但不能影響工控系統(tǒng)的安全性。我們采取在企業(yè)管理網絡及控制網絡同時布署一臺病毒服務器，企業(yè)管理網絡服務器實時升級，經過驗證之后定時通過人工拷盤或單向導入到控制網絡病毒服務器，以確保控制網絡病毒庫的更新。
網絡準入
由于以太網的高效性與經濟性，企業(yè)每個站點的 DCS、PLC 控制設備都采用以太網接口組成工業(yè)控制網絡，隨著當前智能設備和移動 PC 的廣泛應用，隨時 有可能非法接入企業(yè)的控制網絡，把惡意程序及病毒帶入到控制網絡從而對關鍵控制系統(tǒng)造成致命威脅，所以針對以上威脅，在企業(yè)控制及管理網絡布署網絡準入系統(tǒng)：
● 防止非法的外來電腦、移動 PC 及智能終端接入控制網絡，影響控制系統(tǒng)的安全；
● 防止內部用戶私自接 HUB、無線 AP 等不安全行為；
● 支持思科的 EOU、H3C 的 PORTAL/PORTAL+、策略路由、L2-OOB-VG 虛擬 網關、DHCP 強制、SNMP 強制以及透明網橋等多種入網強制認證技術；
通過網絡準入系統(tǒng)，以實現控制網資源的保護和訪問控制，禁止非法計算機接入內網。即只有經過認證的主機才可以訪問控制網絡資源，而當可疑主機出現時，能夠系統(tǒng)記錄其 IP 地址、MAC 地址、計算機名等基本信息，并自動通過某種方式阻止此計算機訪問局域網，切斷其網絡連接。如下圖所示：

準入控制流程
可信計算
魯西化工關鍵設施的控制系統(tǒng)都是基于 windows 平臺研發(fā)的，所有工程師站及操作員站均使用 Windows XP 系統(tǒng)，2014 年 4 月 8 日隨著微軟宣布徹底取消對 Windows XP 的所有技術支持，終端安全直接影響了魯西化工基礎實施的安全， 我們在網絡層面防護的同時，積極應用國內先進的可信計算技術對用戶的身份認 證、應用程序的完整性和合法性認證，從而確保工程師站、操作員站計算運行環(huán) 境的安全。如圖所示：

可信計算平臺框架
安全管理平臺（SOC）
在企業(yè)管理網部署安全管理中心，如圖 2 所示，對生產控制網絡搜集所有安全信息，并通過對收集到各種安全事件進行深層的分析，統(tǒng)計和關聯(lián)，及時反映被管理資產的安全基線，定位安全風險，對各類安全時間及時提供處理方法和建 議的安全解決方案。
功能如下：
● 面向業(yè)務的統(tǒng)一安全管理
系統(tǒng)內置業(yè)務建模工具，用戶可以構建業(yè)務拓撲，反映業(yè)務支撐系統(tǒng)的資產構成，并自動構建業(yè)務健康指標體系，從業(yè)務的性能與可用性、業(yè)務的脆弱性和業(yè)務的威脅三個維度計算業(yè)務的健康度，協(xié)助用戶從業(yè)務的角度去分析業(yè)務可用性、業(yè)務安全事件和業(yè)務告警。
● 全面的日志采集
可以通過多種方式來收集設備和業(yè)務系統(tǒng)的日志，例如 Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell 腳本、Web Service 等等。
● 智能化安全事件關聯(lián)分析
借助先進的智能事件關聯(lián)分析引擎，系統(tǒng)能夠實時不間斷地對所有范式化后的日志流進行安全事件關聯(lián)分析。系統(tǒng)為分析師提供了三種事件關聯(lián)分析技術， 分別是：基于規(guī)則的關聯(lián)分析、基于情境的關聯(lián)分析和基于行為的關聯(lián)分析，并 提供了豐富的可視化安全事件分析視圖，充分提升分析效率。
● 全面的脆弱性管理
系統(tǒng)實現與天鏡漏掃系統(tǒng)的實時高效聯(lián)動，內置配置核查功能，從技術和管理兩個維度進行全面的資產和業(yè)務脆弱性管控。
● 主動化的預警管理
用戶可以通過預警管理功能發(fā)布內部及外部的早期預警信息，并與網絡中的IP資產進行關聯(lián)，分析出可能受影響的資產，提前讓用戶了解業(yè)務系統(tǒng)可能遭受的攻擊和潛在的安全隱患。系統(tǒng)支持內部預警和外部預警；預警類型包括安全 通告、攻擊預警、漏洞預警和病毒預警等；預警信息包括預備預警、正式預警和 歸檔預警三個狀態(tài)。
總結
DCS/PLC 控制系統(tǒng)是化工生產過程最為關鍵的基礎設施，這些關鍵基礎設施中任何控制系統(tǒng)、工控網絡和數據庫服務器受到干擾或破壞后將對國民的健康、 安全、經濟乃至對國家政府的正常運作造成嚴重影響。事實上，目前化工行業(yè)很多 DCS/PLC 系統(tǒng)都非常脆弱,非常容易受到惡意攻擊。試想，如果 DCS 或 PLC 系統(tǒng)受到攻擊或感染病毒后發(fā)生故障，壓力、溫度、流量、液位、計量等指示失效， 檢測系統(tǒng)連鎖報警失效，或各類儀表電磁閥制動空氣及電源無供給后，一旦重大危險源處于失控狀態(tài)，有毒氣體發(fā)生泄露，后果不堪設想。它的影響可能是時間上的浪費，資源上的消耗，或者是對生態(tài)環(huán)境造成的極大污染，甚至是犧牲生命 的慘痛代價。
綜上所述，通過魯西化工生產控制系統(tǒng)及網絡安全防護工程的建設，有助于為我國推進關鍵基礎設施信息安全防護標準、規(guī)范、策略的形成與實施，促進工業(yè)控制系統(tǒng)信息安全可控產品、技術的成熟，具有重大的經濟及著的社會效益。