工業控制系統的大規模應用提升了石油石化行業的生產效率，如何將傳統的工業控制系統安全互聯，落地“新基建”背景下的工業互聯網安全，成為亟待解決的需求。石油石化行業一直是重點關注行業，隨著信息化與工業化的深度融合，工業控制系統網絡攻擊的手段不斷更新和變化，安全防護工作面臨多重挑戰。為了更好監控和保障系統穩定、高效運行，及時識別和防范安全風險，同時滿足國家和行業監管要求，保證信息安全管理工作的依法合規，綠盟科技通過構建工控系統安全防御體系，全面支撐石油石化行業工業互聯網安全防護建設。

工業控制系統風險分析

石油石化行業工業控制系統（ICS）主要涉及分布式控制系統（DCS）、安全儀表系統（SIS）、壓縮機控制系統（CCS）、可燃氣報警系統（GDS）、各種可編程邏輯器件（PLC）等。分別從各工業控制系統的業務交互邏輯、接口、協議等方面進行安全風險分析：

1 通信協議漏洞

組態軟件、PLC嵌入式系統等在設計過程中主要考慮可用性、實時性，對安全性考慮不足。

2 操作系統漏洞

大部分工業控制系統的工程師站、操作員站及服務器在正常運行的系統中很難安裝相關補丁，存在被攻擊、被入侵的可能。

3 應用軟件漏洞

由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問題。

4 網絡互聯帶來的安全風險

在企業實際應用環境中，許多控制網絡都是“敞開的”，在各控制系統和區域邊界缺乏有效的安全審計、入侵檢測等策略和機制，無法實時發現和應對來自系統內部和外部的非法訪問和惡意攻擊，尤其是基于OPC、Modbus等開放通信協議的工業控制網絡，黑客一旦控制該系統中的某一網絡節點，就可能導致生產運行的癱瘓。

綠盟科技工業控制系統安全防御體系解決方案

基于多年石油石化行業網絡安全建設經驗積累，通過工業控制系統風險分析，結合實際業務場景需求，提出綠盟科技工業控制系統安全防御體系解決方案。

1 隔離防護

落實“管網分離”建設要求，避免管理網/MES遭受攻擊后威脅到生產網，該隔離為應用層單向即管理網/MES對訪問控制策略允許的目標設備進行只讀操作，禁用基于管理網/MES向底層系統或設備進行其它操作行為。

2 訪問控制

避免工業控制環境中的勒索病毒、挖礦病毒等蠕蟲式的病毒帶來內部大規模感染風險及APT攻擊內部越權訪問等惡意攻擊行為，采用工業控制系統訪問控制措施。在工程師站到PLC/DCS之間實現訪問控制措施，對工控專用協議進行深度分析，確保數據包的合法性，實現工控網絡的深層防護。通過基于工業協議的識別對訪問行為進行控制。

3 脆弱性評估

針對生產網安全管理中心的工業控制系統進行周期性風險評估，結合漏洞挖掘、配置核查等多個角度，針對工業現場進行漏洞挖掘驗證，具備資產發現、信息收集、漏洞掃描、漏洞挖掘、漏洞回放驗證、風險評估、報表展示、漏洞跟蹤等完備的漏洞管理能力。

4 網絡風險監測

針對工業協議進行深度解析對于操作指令中包含的針對點表、寄存器的異常操作進行報警，最大限度地保護控制系統的安全。快速識別出油化行業工控系統中的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播并實時報警，詳實記錄一切網絡通信行為，包括指令級的工業控制協議通信記錄，為工業控制系統的安全事故調查提供堅實的基礎。對日志至少保留六個月，符合網絡法律法規要求。

5 終端安全管理

在管理網、生產網、控制網的工程師站、操作員站、OPC服務器以及其他服務器建設基于終端側的安全管控，針對工業控制系統主機提供安全監督，滿足用戶對工業控制系統安全審計備案及安全保護措施的要求，提供完整的工業安全記錄，便于信息追蹤、系統安全管理和風險防范。

6 安全合規運維

為滿足生產網安全運維合規需求，并具備雙因素認證能力，通過基于唯一身份標識的集中賬號與訪問控制策略，與各服務器、網絡設備、安全設備、數據庫服務器等無縫連接，實現業務管理員、運維管理員和第三方服務人員的集中精細化的系統運維操作管理和審計。

7 安全管理中心工控安全預警和管理

貼合工業控制系統安全運營建設思路，從工業控制系統安全的角度，從廠站端做好事件采集分析、服務端做好安全分析，對采集得到的結果進行統一分析與展示，發現工控網絡內部的異常行為，如新增資產、時間異常、新增關系、負載變更、異常訪問等行為，實現對工控現場安全事件的預警與響應。

方案價值

基于石油石化行業工業互聯網場景全生命周期的安全防護體系，貼合“新基建”工業互聯網安全建設特點。將基礎的安全防護產品與功能安全、信息安全進行深度融合，融入故障診斷、異常告警、態勢感知、攻擊檢測等持續可運營的安全防護理念，最大限度保障工業控制系統穩定、高效、安全運行。
      原文來源：綠盟科技