背景分析

随着智能化改造进程，生产网络从封闭走向互联，在线系统网络安全威胁加剧，但大部分新建的系统依然缺乏网络安全规划和设计。工控网络安全主要问题包括：工控系统责任单位安全意识有待加强、工控网络安全风险感知能力欠缺、现有防护手段无法防御不断升级的网络攻击和数据窃取、在工业互联网大潮下，工控系统网络安全面临设备高危漏洞、外国设备后门、APT、病毒、无线技术应用带来的风险等主要安全威胁。

差异性分析报告

热力控制系统属于《中华人民共和国网络安全法》中规定的“关键基础设施”中“生产业务类”系统。某热力公司存在的安全问题和伴随的风险如下：

总公司机房

1.机房出入口未安装电子门禁系统。

2.未对机房进行有效区域划分，未配置过度区域，机房内部存放了纸箱等杂物。

3.机房未安装防盗报警系统和视频监控系统。

4.机房未配备自动消防系统。

5.机房窗户未密封。

6.机房无温湿度自动调节控制措施。

换热站机房

1.机房出入口未安装电子门禁系统。

2.机房无温湿度自动调节控制措施。

3.机房防静电地板胶未全部铺设，且无有效静电处理措施。

架构安全风险

1.防火墙IPS特征库、软件升级等授权过期，无法及时更新到最新状态。

2.防火墙和路由器开启了不安全的访问控制策略。

主机安全问题

未启用操作系统和数据库安全配置策略。

后端SCADA安全问题

SCADA存在CVE-2017-7972漏洞。

前端PLC安全问题

1.PLC操作软件可直接操作，未启用“用户登录”功能。

2.人机界面触摸单元未禁用COM物理接口、USB物理接口。

3.人机界面自带操作系统存在CVE-2016-8374漏洞。

4.工业交换机存在CVE-2016-8352漏洞。

解决办法及可持续性解决方案建议

总体优化思路

1. 防护措施和防护能力。结合现有资源，优先考虑已有防护措施是否达到了相应的防护能力，另一方面考虑还有哪些防护措施未落地。

2. 生产和管理严格区分。热力工控数据、网络等重要信息资产独立成网成域，日常管理、经营等严格限制与生产系统数据交互；

3. 工控运行监控和响应。通过各类安全防护措施的落地，确保热力工控系统运行的高可用性和可回溯性。

4. 横向数据严格把控。通过严格的隔离手段确保生产数据和管理数据安全隔离，管理区域访问生产区域时，通过单向的访问控制手段实现热力工控数据的可控访问。

5. 安全管理制度建设可行性。通过调研，沟通，了解现有安全制度，定制全面的，具有可行性，和符合热力行业特殊性的安全制度。

信息机房优化

对于总公司机房需按照最新GB/T50174机房建设标准改造现有机房，在真正实现生产系统和管理系统物理隔离的前提下，强化生产系统机房区域的物理安全防护能力，包括但不限于以下几个方面：物理访问控制、物理防盗窃和防破坏、机房温湿度控制、防静电、电磁防护、备用冗余供电、防水渗透、防尘、防水凝露、实时运行监控检测等。

对于前端换热站等条件有限的机房，至少需满足：物理访问控制、防静电、温湿度控制、备用冗余供电等。

工控架构优化

工业控制系统推荐的等级保护安全技术设计构建在安全管理中心支持下的计算环境、区域边界、通信网络三重防御体系，采用分层、分区的架构，结合工业控制系统总线协议复杂多样、实时性要求强、节点计算资源有限、设备可靠性要求高、故障恢复时间短、安全机制不能影响实时性等特点进行设计，以实现可信、可控、可管的系统安全互联、区域边界安全防护和计算环境安全。此外，IEC 62443-1-1标准中对工业控制系统按照功能进行了层次划分，第0层：现场设备层，第1层：现场控制层，第2层：过程监控层，第3层：生产管理层，第4层：企业资源层。

在工业控制系统第0～3层为工业控制系统等级保护的范畴，即为设计框架覆盖的区域；横向上对工业控制系统进行安全区域的划分，根据工业控制系统中业务的重要性、实时性、业务的关联性、对现场受控设备的影响程度以及功能范围、资产属性等，形成不同的安全防护区域，所有系统都必须置于相应的安全区域内，具体分区以工业现场实际情况为准。

工控系统网络安全等级保护设计框架如图1所示：

热力工控系统具有其特殊性，因此在工控架构优化设计时需要根据其业务特点具体分析。结合网络安全等级保护及工信部对工控系统安全防护要求，热力工控系统在优化时需要从工控的安全计算环境、工控的安全区域边界、工控的安全通信网络三个层面综合考虑。

根据初步方案结合工控的安全计算环境、工控的安全区域边界、工控的安全通信网络相关要求给出热力工控整体架构优化的参考，具体内容可在现场评估活动结束后根据数据详情做进一步规划。

安全区域划分

安全区域划分是为了更好地对工控不同组成部分进行管理区分和管控，通过安全区域的划分至少要实现不同区域具备不同技术安全防护策略、不同管理安全防护策略，根据热力工控系统特点，总体可细化为三个安全区域：

换热通信网：

即换热站等前端至广电专网逻辑区域，包括各类无线和有线温压传感器、PLC控制组件、交换机、基于触摸显示器的PLC参数设定运维系统组件及广电运营商提供的无线设备和光传输设备等。

生产控制网：

公司机房内软件服务器、服务器汇聚交换机、防火墙、路由器等。

管理信息网：

分公司接入路由器、总公司互联网边界防火墙、负载均衡、上网行为管理、核心交换机及楼层汇聚、接入交换机等。

安全层次划分

结合工控系统网络安全等级保护设计框架要求和热力工控系统特点，热力工控系统的安全层次划分需要结合安全区域划分特点实施。具体包括：

现场设备层：涉及换热通信网安全区域，包含各类无线和有线温压传感器、PLC控制组件等。

现场控制层：涉及换热通信网安全区域，包含工业交换机、无线设备和光传输设备等。

过程监控层：仅PLC触摸控制模块涉及换热通信网安全区域；同时，生产管理层未来建立的生产安全管理中心也属于热控过程监控层范围。

生产管理层：涉及生产控制网安全区域，由SCADA、服务器、网络设备和安全设备组成。

企业经营管理层：涉及管理信息网安全区域，由网络设备、安全设备、总公司和分公司业务系统、服务器组成。

工控安全评估

一、网络安全等级保护测评

按照《GB/T22239 网络安全等级保护基本要求》，对热力工控系统采用最新评估标准和方法进行网络安全等级保护评估，评估内容至少包括：

物理和环境安全

室外控制设备放置应远离强电磁干扰、热源和应远离极端天气环境等，如无法避免，在遇到极端天气时应及时做好应急处置及检修确保设备正常运行等。

网络和通信安全

工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术隔离手段；涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其它数据网及外部公共信息网的安全隔离；在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输；工业控制系统与企业其他系统之间部署访问控制设备，配置访问控制策略。

设备和计算安全

控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等设备和计算方面的安全要求，如受条件限制控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通过管理手段控制等。

安全建设管理

工业控制系统重要设备及专用信息安全产品应通过国家及行业监管部门认可的专业机构的安全性及电磁兼容性检测后方可采购使用等。

安全运维管理

应采取必要的措施识别安全漏洞和隐患，并根据风险分析的后果，对发现的安全漏洞和隐患在确保安全生产的情况下及时进行修补；或评估可能的影响后采取必要的补救措施，补救措施宜在系统维护期间开展等。

二、工控系统风险评估

结合工信部《工业控制系统信息安全防护能力评估工作实施细则》和《风险评估规范》评估内容至少包含以下内容：

安全软件选择与管理

企业工业主机上安装防病毒软件或应用程序白名单软件，应在离线环境中充分验证测试，确保其不会对工业控制系统的正常运行造成影响等。

配置和补丁管理

做好工业控制网络、工业主机和工业控制装备的安全配置，建立工业控制系统配置清单，定期进行配置审计等。

边界安全防护

通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护，禁止没有防护的工业控制网络与互联网连接等。

物理和环境安全防护

对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施等。

身份认证

强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码，避免使用默认口令或弱口令，定期更新口令等。

远程访问安全

保留工业控制系统的相关访问日志，并对操作过程进行安全审计等。

安全监测和应急预案演练

企业应部署具备对工业控制系统与网络进行状态监测、日志采集与时间管理、流量采集与行为分析、异常告警及关联分析等功能的网络安全监测设备，及时发现、报告并处理设备状态异常、恶意软件软件传播、异常流量、异常诊断日志、端口扫描，暴力破解等网络攻击及异常行为等。

供应链管理

在选择工业控制系统规划、设计、建设、运维或评估等服务商时，优先考虑具备工控安全防护经验的企事业单位，以合同等方式明确服务商应承担的信息安全责任和义务等。

三、工控系统安全测试

进行安全测试工作的前提是不能影响工业控制系统安全和正常生产过程。安全测试过程除了需遵循相关原则外，还需采取必要的策略，并综合考虑工业控制系统的特殊设计、功能、应用系统、协议以及使用的设备等，充分利用设计或功能方面的缺陷或漏洞进行切入。

侦测是工控安全测试环节的第一步，也是最重要的一环，直接影响后续安全测试的策略制定。工控安全测试的侦测阶段与传统IT安全测试相同，如在互联网上搜索企业的所有相关信息，分析与测试目标相关的IP地址、电子邮件、网页快照等。

外部测试指的是通过互联网对面向互联网的网络环境进行测试。应尽量避免直接对工业控制系统进行渗透，选择面向互联网的临近网络，如管理信息网，然后通过管理信息网进入生产控制网。根据大多数工业安全标准,尤其是ISA-99/ IEC 62443，不仅要求生产网需与其它网络隔离，还规定了数据流向不能从高级别管理区域（level 4 and 5）流向低级别生产区域（level 0 to 3），如下图所示：

在实验室或者测试环境搭建模拟真实生产控制系统的平台，采用相同的设备类型、型号和版本，并尽可能采用真实系统的备份镜像进行测试，采取各项安全测试手段，尽最大可能发现模拟环境的潜在问题。

取得控制设备操作权限或破坏控制设备是非法攻击的重要目的。由于前期未进行安全设计，大部分基于IP的工业控制协议都缺乏加密认证机制，很容易被修改、劫持、破坏，甚至造成设备被直接控制，需对工控设备进行安全性和健壮性测试，挖掘其未知安全漏洞。

工控安全加固

一、工控安全边界加固

工控通信协议数据过滤机制。

工控通信协议信息泄露防护机制。

工控安全区域边界安全审计机制。

二、安全通信网络加固

现场总线完整性、保密性保护机制。

无线网络传输数据完整性、保密性保护机制。

工控网络实时响应机制。

通信网络异常监测机制。

无线网络攻击防护机制。

三、安全计算环境加固

工业控制身份鉴别机制。

现场设备访问控制机制。

现场设备安全审计机制。

现场设备数据完整性/保密性保护机制。

控制过程完整性保护机制。

四、安全制度建设

根据现状，可提出三级分层管理制度建设：

决策层

决策层是方针策略层，了解热力公司的需求和现有实际情况，配合定制出符合热力行业情况的发展方向和未来几年内可达到的目标和成绩。

管理层

管理层是规章制度层，了解各部门之间工作情况，互相的需求和存在的难点。定制符合实际情况的相关规章制度，提高各部门之间结合的效率，做到事事有据有制度可依。使得相关工作标准化，流程化，提高工作效率。

员工层

员工层是流程表格层，实际跟随相关人员详细了解工作细节，定制符合实际情况的以及具有可行性的标准安全工作流程并制定相关工作表格表单，使得工作人员工作规范化，表单也便于留存和事后查因。

结语

以上为对热力行业公司的工控安全解决方案，通过差异性分析来提出解决方案，以加强监测和检测的主动防御为优化思路，结合网络安全等级保护基本要求，形成一系列的工业安全评估，最终达到工控安全加固的目的，并且从制度层面推动热力行业工控安全的建设和发展。希望此解决方案可以为业界同仁提供帮助和参考。