1　前言

当前，工业信息安全威胁呈现不断增长趋势，随着网络信息技术的飞速发展、两化融合的不断深入，以及工业4.0时代的到来，各行各业全面面向信息网络，在享受信息网络带来便利的同时，大规模、高强度的工业信息安全事件频频发生：2010年伊朗核设施遭受震网病毒攻击；2015年12月，乌克兰电厂遭受黑客攻击，导致大面积居民停电；2018年4月，工业路由器摩莎EDR-810曝17个严重漏洞……据不完全统计，近年来每年发生的工业信息安全事件均接近300起。

工业控制系统和设备大量暴露在互联网上，也已成为各国工业信息安全的重要威胁和软肋。根据国家工业信息安全发展研究中心监测，截至2017年12月，全球暴露在互联网上的工业控制设备超过10万个。

而国内暴露在互联网上的工业控制系统数量增幅尤其明显，增速超过了全球平均水平，其中相当大一部分都存在高危安全漏洞。国内工业信息安全产业发展存在明显的不足，如产业生态尚不健全，仍未形成良性发展的产业链；核心技术的积累不够，仍然处于跟跑状态；安全服务能力亟待提升，安全服务市场占有率较低等。

针对国内现有工控信息安全市场的不足，工业和信息化部于2016年10月17日发布《工业控制系统信息安全防护指南》，《指南》整体思路借鉴了等级保护的思想，具体提出了十一条三十款要求，贴近实际工业企业真实情况，务实可落地；2017年底印发《工业控制系统信息安全行动计划（2018-2020年）》，要求建设“一网一库三平台”的国家工业信息安全技术保障体系。

工业控制网络安全需要警钟长鸣，立足自主创新，才能摆脱核心技术产品受制于人的局面，立足自主创新，才能实现发展与安全的协同推进。力控华康依托工业自动化和工业信息化的多年沉淀、积累的实践经验，自主创新开发出适用于工业控制现场的工业通信网关pFieldComm系列、工业安全隔离产品pSafetyLink系列、工业防火墙HC-ISG系列、安全通信网关HC-ICG系列、工控安全管理平台、主机安全卫士、工业安全审计等产品，并在石油、石化、燃气、钢铁、有色、矿山、电力、煤矿、供水等诸多行业成功应用，为国内工业网络安全保驾护航。

2　护航工业控制系统网络安全

工业控制系统网络是由工业自动化生产设备，如SCADA、DCS、PLC等各种过程控制系统组成的网络，不同于IT网络，工业控制系统网络具有以下特点：

（1）专用通信协议或规约（OPC、Modbus、DNP3等）；

（2）系统传输、处理信息的实时性要求高，尽量避免停机、重启等操作；

（3）系统故障必须及时响应处理，不可预料的中断会造成经济损失或其他危害；

（4）为满足特定应用场景、任务单一性以及系统稳定性；为保障生产的连续性，减少可能的风险，因此系统或设备很少升级，甚至不升级。

工业控制系统的核心是工业软件，工控系统的作用是其对于生产流程的自动化管控，一旦可用性出现问题，整个生产流程将会受到极大影响，造成不可挽回的损失。在工业控制领域，可用性作为信息安全建设的首要目标，工业领域的安全主要分为功能安全、物理安全、信息安全等。工业控制系统基于专用通信协议，与生产直接相关、数据传输、处理信息的实时性要求高，不能停机和重启等特点，对功能安全和实时性要求较高。

传统IT信息安全标准的三要素分别为：保密性、完整性和可用性，如工业领域中门户网站、办公系统、财务系统、ERP系统、MES系统等信息化系统。传统IT信息安全以保密性为首，信息系统允许适度延迟、重启。因此常规IT信息安全技术无法直接用来有效地解决工业控制系统网络全部安全问题。

2.1　防护体系及策略

在工业网络安全护航的过程中，力控华康积累经验，提出了三大工业网络安全体系、五层防护策略。

三大安全体系包括：

（1）风险评估

建立信息安全风险评估机制，对工业控制系统的安全风险进行系统、全面分析，找到整个体系的薄弱点根据需求进行安全规划设计。

（2）安全规划设计

根据评估结果制定工业控制系统的安全解决方案，可借鉴传统IT系统安全分区和纵深防御的成熟做法；也要充分考虑工业控制系统的特殊性，坚持功能安全和信息安全相结合的原则，保障生产任务的不间断运行。涵盖设备安全、控制安全、网络安全、数据安全、应用安全等多个层级的安全防护技术，最终为用户提供可选择适合工业控制系统的安全技术和产品。

（3）安全管理可持续性改进

完善安全制度和人员素质提升，掌握整个安全防护体系为使用安全防护技术去构建纵深防护体系，通过综合安全管理持续改进，保证整个体系的良性运转。

五层防护策略包括：

（1）第一层：信息网络及系统防护，主要侧重信息系统及互联网络的安全方面；

（2）第二层：生产控制网络防护，主要是监控系统及带有控制命令的安全防护；

（3）第三层：主机防御加固强化，提升主机系统如SCADA、PLC自身的防病毒/防攻击能力；

（4）第四层：工业软件安全加强，软件的版本管理和备份管理，密码定时更新、软件补丁更新等；

（5）第五层：制定安全管理制度加强人员培训。

2.2　安全防护产品

为实现安全防护的三大体系及五层策略，力控华康依托在工业自动化和工业信息化方面多年沉淀的实践经验，自主创新研发多款产品。其中如下几款产品颇具有代表性：

（1）pSafetyLink系列工业安全隔离网关。此款产品可以对工业协议进行解析，提取其中的数据元素，可以作到针对测点一级的访问控制。如对于OPC标准可以控制到Item（项）一级，对于Modbus协议可以控制到寄存器。pSafetyLink系列工业安全隔离网关可以对测点进行可见范围和读写权限两方面的控制。

（2）HC-ISG系列工业防火墙不但支持传统防火墙的基础访问控制功能，还可提供针对工业协议的指令级深度检测，实现了对Modbus、OPC DA、DNP3等主流工业协议和规约的细粒度检查和过滤，帮助用户防护来自网络的病毒传播、黑客攻击等行为，避免其对控制网络的影响和对生产流程的破坏，同时具备Bypass及全透明无间断部署功能，保证业务的连续性；规则报警功能可以有效对异常操作进行处理，避免因未及时处理造成损失和危害；而且它采用白名单机制，可以较少甚至不用升级，符合工业现场特点。

（3）pFliedComm系列工业通讯网关定位于解决工业网络中协议、规约复杂多样，数据通讯接口不畅的问题。采用高性能嵌入式硬件平台，内嵌力控华康自主研发的工业数据采集和处理系统，具有多种通信规约库，可以实现对不同软件系统、控制器和现场设备数据的集中采集、预处理、协议转换和复用转发。

（4）工控安全管理平台ISC采用B/S结构，可全面监控力控华康自研设备的运行状态，采集其安全事件。平台可对各类关键运行指标设置监控阈值，对采集的事件进行归一化处理和关联分析。安全管理平台还可以针对第三方控制设备做现场控制系统的生产报警管理（基于ISA18.2标准），当出现运行指标异常或发现攻击行为或违规访问时，可及时进行多种方式的告警，帮助管理员迅速定位故障点，发现高危安全事件，及时采取有效措施，保障用户生产业务的连续性。

（5）工控安全审计系统是专门为工业控制网络量身打造的工控网络安全产品，它能实时监测工控网络的状态，检测工控网络中入侵行为，也能根据用户定义的审计策略，追踪工控网络安全事件，对工控网络的数据进行留存。

2.3　行业应用
力控华康护航工业安全领域这么多年来，已积累了丰富的经验，并且在各行各业的产品应用中取得巨大成就。
（1）炼化行业信息接入MES系统安全防护系统，如图1所示。

图1 炼化行业信息接入MES系统安全防护系统

炼化行业主要使用DCS作为生产控制系统， DCS普遍使用OPC通信协议向上级系统传递数据，所以OPC通信的安全防护是重中之重，华康根据这一特点，完美接入OPC通讯，在不同安全防护层次增加部署不同的安全防护产品，全面保护工业数据与上层MES系统间的互通互联。

（2）城市燃气行业指挥调度系统安全防护系统，如图2所示。

图2 城市燃气行业指挥调度系统安全防护系统

城市燃气指挥调度系统可分为门站（场站）、调度中心（项目公司）、区域公司、集团公司四个等级。城市燃气调度中心是城市燃气 SCADA 系统的核心部分，它监控门站、中高压站、中低压站、大用户站等设备的实时运行状况，记录燃气管网的运行数据，为区域公司、集团公司提供相关数据等。为保证数据在不同等级区域间的安全传输，力控华康依据多年安全防护经验，在不同等级区间部署相应的安全设备及管理平台，保障数据在生产传输过程中的安全性。

（3）油气生产物联网安全防护系统，如图3所示。

图3 油气生产物联网安全防护系统

油气生产物联网系统一般是由油、气井、站库、作业区、采油厂几个部分组成，为了保障数据在传输过程中的安全性，分三个等级采取防护措施：

·在各站库与作业区之间部署安全隔离设备，保护现场数据的安全性；

·在各作业区与采油厂之间部署安全隔离设备，采用单项导入模式，保护作业区的数据安全；

·在采油厂与外网接入点部署工业防火墙，防止一些威胁通过互联网进入油气生产物联网系统。

（4）化工行业安全防护系统，如图4所示。

通过在不同区域部署华康安全设备实现对各生产装置DCS/PLC控制网络的高安全级别的安全防护，彻底避免办公网络对控制网络可能产生的干扰。对现有生产过程不产生影响的前提下，保证现有数据采集功能的实现。解决某一个装置的控制网络由于内控不当出现了网络安全问题后，横向感染、传播到其它装置的控制网络提高控制网络的内控管理要求，防止由于内控不当，由内部人员通过U盘、笔记本电脑等途径直接从内网造成控制网络安全问题。

图4 化工行业安全防护系统

3　结语

力控华康作为国内较早从事工业控制系统信息安全技术研发的厂商之一，已发展成为中国领先的工业控制系统信息安全产品及服务提供商，参与了包括GB/T 30976在内的多个信息安全国家标准的制定工作。凭借多年来在工业控制领域信息安全方面的优良表现，工业控制系统信息安全产品成功入选“2013年国家信息安全专项及下一代研发、产业化和规模商用专项”清单。

作者简介

鲍　磊（1986-），男，安徽人，本科，现任北京力控华康科技有限公司产品经理，研究方向为工控网络安全产品、技术应用及安全方案。

摘自《工业控制系统信息安全专刊（第五辑）》