無人值守工業控制系統網絡安全解決方案

一、現狀概述

随着物聯網、工業大資料、工業雲等技術的發展，工業網際網路時代即将到來，工業大資料分析、工業資料可視化、工業生産智能優化分析成為當下發展趨勢，使得基于數字技術、網絡互連技術的智能監控、無人值守成為可能。目前，無人值守模式已在許多工業行業中得到應用，如油田泵站系統、變電站電力監控系統、市政水處理系統等。

無人值守模式是網絡技術、數字技術以及自動控制技術的有機整合。在無人值守場景中，監控系統需對工業現場大量生産控制資料進行實時采集，并借助網絡技術将資料傳輸至監控中心，同時采用數字技術完成生産資料的可視化和實時分析。為保證工業流程的連續性、可靠性以及高效性，還需借助自動化以及邊緣計算技術實作本地化智能控制，進而形成以端點裝置（終端、控制器）為節點、以傳輸網絡為載體、以監控平台（工業雲、工業網際網路平台）為支撐的無人化智能控制體系，極大的提高了工業企業運作效率。

無人值守技術就像一把雙刃劍，在帶來良好經濟效益的同時，也帶來了網絡安全問題，以上技術及流程都需以網絡安全互連、資料安全傳輸為基礎，烏克蘭停電、勒索軟體、台積電病毒感染等事件記憶猶新，網絡安全問題已成為企業不容忽視的重要組成部分。

二、安全風險

依據《等級保護基本要求》、《工業控制系統安全防護規定》等國家标準法律法規，并經實際技術調研，目前采用無人值守的工控系統主要存在以下安全風險。

• 現場控制網絡無安全分區，當發生網絡安全事件時無法将惡意軟體、黑客攻擊、非法操作等行為控制在特定區域内，易發生全局性網絡安全風險。
• 現場控制網絡與監控中心之間無必要的隔離防護措施，無法保障控制網絡與監控網絡之間的網絡與資料安全，易使惡意攻擊、病毒木馬、非法通路等跨網絡傳播，對業務生産安全造成威脅。
• 現場控制網絡及控制流程缺乏安全監測與審計措施，無法從網絡流量、工控協定、生産業務以及行為操作等層面對業務生産情況進行監測和審計，無法及時發現非法通路、非法操作、惡意攻擊等行為。
• 現場操作員站、工程師站等上位機系統缺乏必要的主機安全防護措施，無法對主機外設、應用安裝、使用者行為進行有效控制，易使病毒、木馬等惡意軟體以主機為載體對控制業務進行攻擊。

三、解決方案

1)    安全分區

将不同業務按照工藝流程以及地理位置進行大區劃分，同時對控制網絡進行安全域劃分，在區域間部署工業防火牆，防止由于單點網絡攻擊造成的全局網絡問題。

2)    監測審計

在各無人值守站、無人值守網絡部署工業業務審計和安全監測系統，對工業業務流程以及網絡流量進行安全監測，及時發現非法操作、不良裝置接入、病毒入侵以及黑客攻擊等行為并及時告警，将安全事件控制在一定區域内。

3)    主機安全

在主機系統部署白名單軟體，通過白名單機制防止病毒木馬感染運作以及主機遠端攻擊的發生，消除惡意軟體的傳播載體。

主機裝置以及存儲媒體在部署實施前應采取異構清除機制，在适當環境下設定獨立殺毒主機，并在主機内部署安裝兩種或以上不同類型防毒軟體，對檔案、軟體進行上線或傳輸前的安全檢查。同時，殺毒主機保持病毒庫的及時更新。

四、解決方案應用場景

• 無人值守油田泵站、注采站、集輸站控制系統的網絡安全防護。
• 無人值守自來水泵站控制系統網絡安全防護。
• 無人值守污水處理控制系統網絡安全防護。
• 無人值守智能變電站電力監控系統網絡安全防護。
• 無人值守智能化工廠控制系統網絡安全防護。
• ……