★ 丁查明，刘杰，吕杨，王俊杰中国市政工程华北设计研究总院有限公司

摘要：对长输供热工程的能源监控中心、能源站所涉及的工业控制系统及其所依托的工控网络进行网络安全防护。深度结合长输供热工程业务现状及未来发展趋势，从网络边界、通信网络、计算终端的角度出发，按照“事前预警、事中管控、事后处置、安全运营”的防护原则，构建长输供热工程工控网络主动防御安全防护体系。

关键词：长输供热工程；工控安全；安全运营；主动防御；调度中心

1 引言

随着工业信息化和工业互联网技术的快速发展以及“智能制造2025”时代的到来，工业控制系统的技术正在不断革新，主要体现在两个方向：

（1）为了保证生产运行效率和提高生产管理效率，自动化的很多应用领域大力推进工控系统自身的集中化管理；

（2）工控系统的互联互通性开始加强，工业控制网络与信息化网络甚至互联网也产生了直接或者间接的联系。工业信息化与工业互联网技术开始向各行业推进，引领了新型的运营模式。

在“智能化、智慧化运营”理念的推动下，将以PLC/DCS、分布式SCADA系统为代表的工控系统应用到城市长输供热工程，结合长输供热工程运营业务情况，运用“大数据、物联网”等先进技术，并与上层信息化系统相融合，为长输供热管网的热力调度、供热综合分析、辅助决策提供依据。本文结合海阳长输供暖项目对长输供热工程工控安全防护解决方案做了详细阐述。

2 长输供热工程简介

该长输供热工程建设输送干线2×DN1000供热管道，路由长度约15km；建设输送支线2×DN800供热管道，路由长度约20.5km；建设输送支线2×DN700供热管道，路由长度约6.5km；配套建设能源站3座，分别为1号能源监控站、2号能源监控站及3号能源监控站，并在1号能源监控站综合楼内设置综合管网调度中心。本项目中的工业控制系统主要以PLC/DCS、SCADA系统、现场执行设备、传感器为主，网络结构以站控工业局域网（双网冗余）、调度控制环网、专线（运营商专线）为主；智能化信息系统位于能源分配中心，可在监视供热管网运行关键工艺参数的同时，利用大数据、智能算法模型技术为热能调度提供决策依据。

该长输供热工程的工控安全防护主要以综合管网调度中心、1号能源监控站、2号能源监控站及3号能源监控站的供热调度系统和站控系统及其工业网络为主，从计算环境安全、通信网络安全、区域边界安全、生产运营安全的角度出发，建立工控安全主动防御体系，如图1所示。

图1 长输供热工程流程图

3 建设目标

为确保长输供热工程综合管网调度中心SCADA系统及能源站站控系统的工控网络安全及其运行的合规性、稳定性，并确保符合国内工控系统网络安全防护的相关标准、规范和最佳实践，本方案对项目中的工控系统从计算环境安全、通信网络安全、区域边界安全、生产运营安全的角度进行安全规划。

本方案的规划设计，可确保综合管网调度中心SCADA系统及能源站监控系统及其工控网络符合国家及供热管网行业的相关要求，实现对黑客、病毒、恶意代码等的抵御，阻止内部/外部人员的非法访问，并在遭受外部攻击和破坏时能及时恢复系统，建立“事前预警、事中管控、事后处置、安全运营”的主动防御工控安全体系，确保防护范围内业务数据的“可用性、完整性、机密性”。

本项目建设目标如下：

（1）抵御来自工控网络外部的恶意攻击和破坏。

（2）防止勒索病毒、木马等恶意程序对工控关键系统造成不利影响和破坏。

（3）对工控关键系统主机进行USB接口管控、系统加固、病毒防范等。

（4）对综合管网调度中心SCADA系统及能源站监控系统的运维人员进行实时管控与审计。

（5）实现工控网络的高安全隔离与访问控制、业务数据交换的深度审计与行为管控。

（6）对生产管理网路进行深度地审计及行为管控。

（7）在长输供热工程工控网络划分安全区域，实现域间安全隔离与访问控制。

（8）形成长输供热工程热能调度与生产运营的有效安全保障。

（9）以工控资产为核心，结合关键日志、事件信息，对长输供热工程进行威胁风险研判与网络态势感知。

4 设计依据

本项目引用下列文件，凡是标注日期的引用文件版本适用于本项目，凡是不标注日期的引用文件，其最新版本（包括所有的修订单）适用于本项目。

（1）中华人民共和国主席令〔2017〕第53号《中华人民共和国网络安全法》；

（2）GB/T22239-2019《信息安全技术网络安全等级保护基本要求》；

（3）GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》；

（4）GB/T22240-2016《信息安全技术网络安全等级保护定级指南》；

（5）GB/T26333-2010《工业控制网络安全风险评估规范》；

（6）GB/T36323-2018《信息安全技术工业控制系统安全管理基本要求》；

（7）GB/T36466-2018《信息安全技术工业控制系统风险评估实施指南》；

（8）工信部信软〔2016〕338号《工业控制系统信息安全防护指南》；

（9）工信部信软〔2017〕316号《工业控制系统信息安全行动计划（2018-2020）》。

5 方案技术路线

与传统的IT信息安全的要求不同，工控系统的安全防护将保障所有系统部件的可用性放在首位，然后才是完整性和保密性。工控系统的实时性指标、持续可操作性、稳定的系统访问、系统性能、专用工业控制系统安全保护技术以及全生命周期的安全，都需要在工控网络安全建设时重点考虑。

本方案主要目的是实现综合管网调度中心SCADA系统及能源站站控系统及其工控网络的网络安全防护，结合长输供热工程实际的业务情况，建设“事前预警、事中管控、事后处置、安全运营”的长输供热工程主动防御工控安全体系。

（1）事前预警：在网络安全事件发生前对网络行为和事件信息进行综合关联，实现安全预警。

（2）事中管控：在网络安全事件发生时或在运维过程中依托安全设备进行综合审计、行为管控。

（3）事后处置：在网络安全事件发生后，进行应急处置、恢复运营和事件定责，快速恢复生产。

（4）安全运营：使网络安全防护保持在持续的更新与完善状态，有效应对高级威胁与攻击。

图2 系统框架图

6 整体解决方案

依据工控网络安全建设相关政策、标准、指南等文件要求，充分结合长输供热工程业务安全的真实需求，对保护对象进行区域划分和定级，并从通信网络防护、区域边界防护、计算环境防护等各方面对其进行不同级别的安全防护设计；同时利用安全管理手段保障安全防护的有效协同及一体化管理，保障安全技术措施有效运行和落地；通过“事前预警、事中管控、事后处置、安全运营”的安全设计思想，构建工控网络安全主动防御防护体系，突出技术思维和立体防范，注重全方位主动防御、整体防控和精准防护。

从长输供热工程综合管网调度中心SCADA系统及能源站站控系统的各类安全边界、区域内网络审计、计算终端安全、主动防御和安全运营的防护角度，在不影响长输供热工程业务运营的情况下部署工业防火墙、工业边界防火墙、计算终端安全一体化装置、外来设备准入管控装置和工控安全管理一体化装置。同时，合理规划安全策略及安全能力输出，发挥工控网络安全设备应有的功能及作用，为长输供热工程工控网络安全提供保障。

区域边界安全：在能源站和监控中心的网络边界划分安全区域，在安全区域边界部署工业防火墙设备，实现域间访问控制；把区域内部与工控网络有联系的其他系统作为域内边界，使用工业防火墙进行安全防护，落实边界安全防护措施；在安全区域边界进行访问控制及安全隔离的同时，分析进入安全区域的网络数据包，实时监测数据流，并使用模式匹配、统计分析等技术检测攻击行为，当发现可疑行为时，可及时作出告警、响应。

通信网络安全：对安全区域内的核心网络流量及工业通信数据进行深度解析、审计，对安全域工控网络的流量违规行为、无流量以及高流量行为进行预警；同时在安全区域内网中释放大量高仿真的虚假节点和虚开端口，通过层层预警、攻击捕获等技术手段保障区域工控网络的通信安全。

计算环境安全：在安全域内的计算环境（终端及服务器）部署工控安全管理一体化装置的客户端，实现计算环境（终端及服务器）的白名单管控功能，阻止恶意程序的入侵及发作，并将计算环境（终端及服务器）进行系统、应用、数据按数据节点同步进行整体实时备份；对所有接入计算环境（终端及服务器）的USB外设进行病毒查杀和管控，杜绝因外来设备的使用导致恶意程序的传播；对于计算环境（终端及服务器），均须通过工控安全管理一体化装置进行运维，并对运维行为进行实时监控与录屏，发现不法行为可直接阻断；全面、精准地检测安全域内计算终端中存在的各种脆弱性问题，包括各种安全漏洞、安全配置问题、不合规行为等，在信息系统受到危害之前为管理员提供专业、有效的漏洞分析和修补建议，并结合可信的漏洞管理流程对漏洞进行预警、扫描修复、审计，防患于未然；各种网络设备、网络安全设备、主机等，通过资产管理、运行状态监控、日志收集和存储、事件分析和告警以及配置管理等方式，对事件进行范式化和合并，并为用户展示最有价值的数据信息；数据库可以存储各种设备的基本情况、运行状态、安全日志信息等，以资产管理、资产性能和可用性监测、日志管理以及资产配置四个方面对工控网络进行风险研判及态势感知。

通过上述对区域边界、通信网络、计算环境以及安全管理相关安全技术措施与安全策略的部署，归纳总结长输供热工程业务的主动防御工控网络安全体系如下：

（1）事前预警：在网络安全事件发生前，对边界安全防护设备、入侵防范措施发出的预警信息进行综合关联，结合工业应用仿真与计算环境仿真等技术，在内网中释放高仿真的虚假节点和虚开端口，通过层层预警、攻击捕获、溯源定位等技术手段保障区域工控网络的通信安全；利用多种漏洞特征库及智能算法的高速解析引擎对工业生产网络镜像流量数据进行深度解析和智能关联分析，实现对工业控制网络的异常行为、协议攻击和关键事件的实时检测，对异常工业报文、异常操作行为、异常访问及恶意攻击等的及时告警以及对多种安全风险的监测分析和预警，确保工业网络安全受到侵犯时及时预警。

（2）事中管控：在网络安全事件发生时或在运维过程中所进行的管控。通过安全联动迅速调整边界防护设备策略，加强计算环境白名单管控力度，调整运维审计系统监管力度，从区域边界、计算环境、运维角度对攻击源进行封堵；同时利用新一代企业级反病毒引擎（融入沙盒、病毒过滤技术、SAMAT（自监测、分析、报告技术）、安全主动管理、未知病毒主动防御等独有技术，杀毒效率更高），在网络安全事件发生时或者在运维过程中对“黑木蠕”进行有效的管控。

（3）事后处置：事后处置用于网络安全事件发生后的处置。利用系统备份与恢复、攻击回溯、运维审计过程回放等技术快速恢复关键服务器与终端的运行，确定攻击源头，判定相关责任，在恢复生产的同时定性网络安全事件。做到“事前可知、事中可控、事后可查”的操作全过程管理，回顾网络安全事件发生前后的操作，确定事故责任。

（4）安全运营：根据企业内出现的网络安全事件和网络态势进行事件总结，完善网络安全管理，动态调整工控安全策略，使网络安全建设保持在持续更新与完善的状态，有效应对高级威胁（APT）攻击。对移动存储介质的管控是日常运营中的重要组成部分，对移动存储介质进行病毒隔离、查杀、管控，有效规避移动存储介质直接插在工程师站上导致的病毒感染问题。态势感知以可视化方式综合展现网络的攻击态势、事件态势等总体态势，及时掌握工控安全发展趋势，从全局的角度呈现域内工控网络安全态势。工控安全管理界面如图3所示。

图3 工控安全管理界面图

7 项目难点与创新点

（1）计算环境的安全防护

在工控网络安全建设的过程中，对计算环境的安全防护主要以白名单管控为主，无法做到对带毒移动介质的查杀与隔离，因此在系统出现故障时无法及时备份与恢复。本项目中的外来设备准入管控与计算终端安全一体化装置在提供白名单管控的同时可对外来移动存储介质进行深度管控与隔离查杀，并提供系统备份与恢复功能（最大512节点），提供工业应用仿真与环境仿真，形成域内工业蜜网，可有效保障域内主机的安全与持续运行。

（2）工控网络安全的主动防御

本项目具有“事前防御、事中管控、事后处置、安全运营”的主动防御体系，可实现区域边界安全、计算环境安全、通信网络安全的多方联动，可主动抵御非法的攻击与入侵，实现工控网络的安全运营。本项目不是单纯的安全设备堆砌，也不是为了合规才部署的安全设备。

（3）工控安全管理一体化

本项目中部署的工控安全管理一体化装置，集入侵防范技术、工业流量审计技术、运维审计与管理技术、漏洞扫描与管理技术及工业网络安全管理技术于一体，利用虚拟化、集成化技术，实现占用空间小、性能高、可靠性高等优势，解决了多点故障难管控和统一运维管理的难题。

8 解决方案价值

（1）提升了长输供热工程生产安全性

本方案深度融合了长输供热工程调度系统及能源站站控系统的业务应用，降低了长输供热工程安全运营风险，提高了安全运维效率，为长输供热工程自动化、智能化建设提供了可靠的安全保障。

（2）构建了长输供热工程安全化体系

本方案强化了区域边界、域内网络、计算环境、工业应用的安全防护，增强了长输供热工程从执行层至调度层的整体安全防护能力，确保了长输供热工程的安全生产、可持续运营，构建了“事前防御、事中管控、事后处置、安全运营”的主动防御体系。

（3）促进了长输供热工程智能化发展

通过本方案所建设的长输供热工程工控网络安全主动防御体系，可解决长输供热工程智能化建设过程中带来的网络安全风险，保障了长输供热工程工控系统安全及设备可靠运行与安全运营，促进了工业自动化业务与上层信息化系统的融合，为数字化转型与智能化发展打下了坚实的安全基础。

（4）满足了标准合规性要求

本方案符合《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)《工业控制系统信息安全防护指南》及供热管网行业相关政策、标准及监管要求。

9 结语

在工业信息化与工业互联网技术快速发展以及“智能制造2025”的大背景下，工业企业加快了数字化转型与智能化发展的步伐，但随之而来的安全威胁与风险也与日俱增，高级威胁（APT）、工业自动化系统漏洞、0day攻击、病毒变异等都给工业企业带来了巨大的安全威胁与隐患。对于保障民生的关键基础设备的安全防护，国家已相继制定和颁布了相应的制度和法规，并要求与工控网络安全防护同步规划、同步建设。但工控网络安全建设不仅仅是合规，只有深度结合工业企业业务的“事前防御、事中管控、事后处置、安全运营”主动防御体系才能顺应“智能制造2025”大背景下的业务发展。目前工控网络安全主动防御体系已在供热、供水、燃气等市政行业大力推广。

作者简介

丁查明（1993-），男，安徽安庆人，工程师，学士，现就职于中国市政工程华北设计研究总院有限公司，主要从事市政工程电气自控设计方面的研究。

刘   杰（1971-），男，山东莱州人，高级工程师，学士，现就职于中国市政工程华北设计研究总院有限公司，主要从事市政工程电气自控方面的研究。

吕   杨（1981-），男，山西阳泉人，高级工程师，学士，现就职于中国市政工程华北设计研究总院有限公司，主要从事市政工程电气自控方面的研究。

王俊杰（1993-），女，河北高碑店人，工程师，学士，现就职于中国市政工程华北设计研究总院有限公司，主要从事市政工程电气自控方面的研究。

参考文献：

[1] 夏冀. 以贯标提升工业控制系统信息安全防护水平[J]. 自动化博览, 2021, 38 (07) : 42 - 44.

[2] 王照. 工业控制系统信息安全解决方案探究[J]. 数字通信世界, 2022, 07 : 82 - 84.

[3] 李阳. 关于工业控制系统信息安全的研究[J]. 信息系统工程, 2020, 02 : 69 - 70.

[4] 龙海军. 工业控制系统信息安全防护措施 [J]. 科技创新导报, 2022, 04 : 8 - 9.

[5] 徐达. 工业控制系统信息安全现状 [J]. 电脑知识与技术, 2019, 15 (26) : 38 - 39.

[6] 赖红娇. 工业控制系统信息安全的探索与实践 [J]. 石油化工自动化, 2018, 06 : 59 - 62.

[7] 肖建荣. 工业控制系统信息安全软件与监控综述 [J]. 自动化博览, 2018, 35 (S2) : 16 - 22.

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》