文／姜 勇

完善工控網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建，通過等級保護(hù)等手段有效保護(hù)城燃行業(yè)的生產(chǎn)安全。

近年來，針對工控系統(tǒng)的攻擊事件層出不窮。伊朗攻擊以色列供水控制系統(tǒng)等事件表明，工控系統(tǒng)已成為國家級網(wǎng)絡(luò)攻擊的主戰(zhàn)場。

城燃企業(yè)的生產(chǎn)運行控制系統(tǒng)離不開網(wǎng)絡(luò)技術(shù)的支持。因此，工控網(wǎng)絡(luò)安全問題成為現(xiàn)階段城燃公司共同面臨的問題。

軟硬安全結(jié)合

在許多燃?xì)夤狙壑?，燃?xì)獍踩[患局限于天然氣管道泄漏和壓縮機設(shè)備故障，安全大檢查從來不查生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)安全，認(rèn)為網(wǎng)絡(luò)安全是單位信息化工作人員（網(wǎng)管）的事情，不是安全部門的事情。

作為國家關(guān)鍵信息基礎(chǔ)設(shè)施的天然氣行業(yè)，一旦遭受攻擊系統(tǒng)癱瘓導(dǎo)致停氣，受到的影響和損失將更大。特別是它涉及到千家萬戶居民用氣的民生問題，所以應(yīng)當(dāng)引起足夠的重視。

本人認(rèn)為，應(yīng)當(dāng)重塑城燃安全理念，“軟安全”與“硬安全”結(jié)合，依照《中華人民共和國網(wǎng)絡(luò)安全法》等國家強制性標(biāo)準(zhǔn)和規(guī)章制度，推廣工控安全等級保護(hù)的理念，進(jìn)行工控網(wǎng)絡(luò)安全技術(shù)的推廣，完善工控網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建，通過等級保護(hù)等手段，有效地保護(hù)城燃行業(yè)的生產(chǎn)安全，提升企業(yè)的可靠性管理水平。

城燃行業(yè)的工控系統(tǒng)面臨一定的網(wǎng)絡(luò)安全威脅，最好的防護(hù)辦法就是采用基于等級保護(hù)的網(wǎng)絡(luò)安全技術(shù)建立安全保護(hù)系統(tǒng)，明確企業(yè)的防護(hù)目標(biāo)，了解具體存在以及潛在的問題，最后按照國家信息系統(tǒng)安全等級保護(hù)制度的相關(guān)要求實施網(wǎng)絡(luò)安全保護(hù)工作。

●完善硬件和軟件系統(tǒng)，共同保障城燃行業(yè)安全。 供圖/視覺中國

在實施等級保護(hù)技術(shù)過程中，城燃公司安全崗不應(yīng)只管“硬”安全，還應(yīng)進(jìn)行現(xiàn)場調(diào)研、分析技術(shù)差距、分析管理差距、技術(shù)方案設(shè)計、整改安全問題等相關(guān)工作。綜合應(yīng)用安全區(qū)域邊界防護(hù)、安全審計技術(shù)、計算環(huán)境安全技術(shù)以及脆弱性管理等方面完善企業(yè)網(wǎng)絡(luò)安全狀況，部署殺毒軟件，阻止病毒入侵，徹底解決城燃行業(yè)面臨的“軟”安全問題，提升整個行業(yè)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平，保障國家能源安全。

網(wǎng)絡(luò)安全等級建設(shè)途徑

燃?xì)夤揪W(wǎng)絡(luò)安全環(huán)境現(xiàn)狀分析

目前大多數(shù)燃?xì)夤菊{(diào)控中心使用的系統(tǒng)前期部署了工控防火墻，起到了對系統(tǒng)的一定邊界防護(hù)效果。對未經(jīng)授權(quán)的訪問請求和工控協(xié)議，都可以通過工控防火墻進(jìn)行阻斷和攔截。

城燃網(wǎng)絡(luò)安全等級建設(shè)途徑

最佳解決路徑是提供一個企業(yè)網(wǎng)絡(luò)安全等級建設(shè)的思路。以某燃?xì)夤镜拈T戶網(wǎng)站（官網(wǎng)）為例，首先將網(wǎng)站分為不同等級的區(qū)域，重點區(qū)域重點保護(hù)。技術(shù)人員在進(jìn)行需求分析時首先應(yīng)該進(jìn)行差距分析，也就是對網(wǎng)絡(luò)安全等級以及防護(hù)風(fēng)險的分析。在進(jìn)行風(fēng)險評估時，技術(shù)人員可以采用滲透測試的方法，分析出攻擊的思路和具體操作，同時提出主要的解決方案，對其進(jìn)行網(wǎng)絡(luò)邊界保護(hù)、數(shù)據(jù)備份保護(hù)以及其他支撐性基礎(chǔ)保護(hù)。

完善系統(tǒng)化安全建設(shè)企業(yè)實施等級網(wǎng)絡(luò)安全技術(shù)的第二個要點是完善系統(tǒng)化安全建設(shè)。為此，建議采用一個中心、三重防護(hù)以及三個體系的建設(shè)理論。一個中心指的是安全管理中心，三重防護(hù)指的是安全計算環(huán)境防護(hù)、安全網(wǎng)絡(luò)通信防護(hù)和安全區(qū)域邊界防護(hù)，三個體系指的是運行體系、管理體系以及技術(shù)體系。

完善系統(tǒng)化安全建設(shè)的要點包括4個方面：遵循國家印發(fā)的《信息系統(tǒng)安全等級保護(hù)基本要求》，實施合理化構(gòu)建手段；科學(xué)參照《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》，引入安全域的概念，加強邊界防護(hù)，控制訪問需求；開發(fā)安全控制技術(shù)，使用安全技術(shù)控制策略，實施有效的安全管理策略。

基于等級保護(hù)的解決之道

安全區(qū)域劃分和安全邊界

目前，大多數(shù)燃?xì)夤旧a(chǎn)運行監(jiān)控系統(tǒng)和日常辦公系統(tǒng)沒有進(jìn)行有效隔離（多數(shù)共用一個網(wǎng)絡(luò)），不滿足分區(qū)分域的安全防護(hù)要求，需要在生產(chǎn)系統(tǒng)和辦公系統(tǒng)之間部署必要的隔離裝置。解決方法：部署下一代防火墻系統(tǒng)，防火墻同時開啟防病毒功能；通過該防火墻進(jìn)行安全區(qū)域劃分，劃分終端辦公區(qū)域和生產(chǎn)系統(tǒng)區(qū)域。

在檢測網(wǎng)絡(luò)安全入侵行為方面，目前大多數(shù)燃?xì)夤菊{(diào)控中心生產(chǎn)運行監(jiān)控系統(tǒng)分布的4 個區(qū)域還不具備相應(yīng)能力，無法對常見的漏洞利用攻擊、SQL 注入攻擊、XSS、緩沖區(qū)溢出等基于應(yīng)用層的入侵行為進(jìn)行有效監(jiān)控和阻斷。解決方法：部署入侵檢測系統(tǒng)，通過核心交換機將全部業(yè)務(wù)流量鏡像給入侵檢測系統(tǒng)該系統(tǒng)對全業(yè)務(wù)流量進(jìn)行深度分析，發(fā)現(xiàn)攻擊行為并及時報警，可將攻擊行為上報給新增的下一代防火墻，實現(xiàn)聯(lián)動風(fēng)險阻斷，減少運行維護(hù)人員的手動干預(yù)。

安全審計

網(wǎng)絡(luò)安全審計設(shè)計。大多數(shù)城燃公司缺乏針對網(wǎng)絡(luò)安全日志和業(yè)務(wù)系統(tǒng)相關(guān)日志的存留審計能力，不滿足《中華人民共和國網(wǎng)絡(luò)安全法》對系統(tǒng)日志保留6 個月以上要求。解決方法：分級部署日志審計系統(tǒng)，對網(wǎng)絡(luò)安全、各類設(shè)備和操作系統(tǒng)日志進(jìn)行記錄留存，進(jìn)行綜合分析和展現(xiàn)，便于管理人員對海量日志的精確查找和安全事件的分析溯源。

系統(tǒng)運維管理。缺少必要的安全審計和管控手段，一旦出現(xiàn)人為惡意或者無意錯誤操作造成生產(chǎn)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)故障或癱瘓，無法進(jìn)行必要的事件過程還原手段，無法定責(zé)和追責(zé)。解決方法：在城燃公司調(diào)度控制室部署堡壘機（運維安全審計系統(tǒng)），公司內(nèi)部以及外部廠商支持人員的系統(tǒng)運維工作都通過堡壘機進(jìn)行審計和管控。

主機安全。一般燃?xì)夤菊{(diào)控中心的生產(chǎn)系統(tǒng)會部署主機衛(wèi)士，但用于視頻監(jiān)控和日常辦公終端缺乏必要的終端安全防御手段，特別是針對終端惡意代碼的監(jiān)測和查殺有局限。解決方法：在視頻監(jiān)控和日常辦公終端和服務(wù)器上安裝終端威脅防御系統(tǒng)（EDR），實現(xiàn)統(tǒng)一病毒查殺、漏洞管理、系統(tǒng)加固，保護(hù)計算環(huán)境內(nèi)主機計算機系統(tǒng)安全和信息數(shù)據(jù)安全。在城燃公司調(diào)度控制室統(tǒng)一部署EDR 管理平臺，負(fù)責(zé)整體惡意代碼防護(hù)軟件的升級和監(jiān)測。

脆弱性管理。在安全脆弱性（系統(tǒng)漏掃）發(fā)現(xiàn)方面，還不具備相應(yīng)的安全能力。等級保護(hù)測評人員通過系統(tǒng)漏掃設(shè)備對SCADA 和生產(chǎn)視頻監(jiān)控系統(tǒng)進(jìn)行漏洞掃描，發(fā)現(xiàn)高危漏洞內(nèi)容無法通過測評檢查。解決方法：在城燃公司調(diào)度控制室部署一套漏洞掃描系統(tǒng)，定期對生產(chǎn)和辦公系統(tǒng)進(jìn)行漏洞掃描，通知設(shè)備和系統(tǒng)廠家進(jìn)行漏洞封堵。在不具備漏洞升級的條件下，可以通過下一代防火墻進(jìn)行漏洞端口封堵，避免出現(xiàn)安全漏洞被惡意利用的風(fēng)險。