安全需求分析

汽车制造业

MES系统 DNC系统 生产 安全域1
管理层
工控安全隔离装置
交换机 安全配置核查系统 HMI 历史数据库 运行监控系统 实时数据库 打印机
过程 安全域2
监控层 工控漏洞扫描系统
安全交换机 工控安全审计系统 工控入侵检测系统
工程师站 A 操作员站 A 实时数据库A 操作员站 B 工程师站 B 工程师站 C 终端管控系统 操作员站 C 实时数据库C
现场
控制层 工控安全网关 CNC 工控安全网关 工控安全网关 安全域3 安全域4 安全域53
现场
设备层 CNC-MT 仪表装置 三坐标测量仪
图 4.12 车厂安全防护图

• 外部边界隔离和监测。外部边界为 ICS区域与 IT区域的边界，即安全域划分示意图中安全域 1 与安全域 2 之间的边界，部署工控安全网关，作为外部威胁进入 ICS环境的第一道边界防护；
• 工控环境中的细分安全域边界之间部署工控安全网关，形成纵深防御的结构，对通信行为进行 严格控制。对应图中的安全域 3、安全域 4、安全域 5 与安全域 2 之间的边界分别部署控制设备；
• 在安全域 2 中部署工控安全审计系统，对流量和操作进行审计，并对工控环境中分布式部署的 所有工控设备的运行状态和日志进行集中监控；
• 在安全域 2 中部署工控漏洞扫描和工控安全配置核查系统，辅助运维过程中的脆弱性管理；
• 在工控环境中所有安全域中的 IT服务器和 PC 设备部署终端管控系统，实施外设管控、进程管 控和恶意代码防范；
• 如果在工业网中存在自动化设备厂商远程运维的情况，需要在网络中部署 VPN或者 CA认证系 统，用以识别远程运维人员的身份，提高工业网远程接入的可信化认证能力。

市政工控典型安全解决方案

水务场景

4.3.1.1 水务 SCADA系统架构
水务的 SCADA系统主要由操作员站，工程师站，取水泵房 SCADA系统，加药间 SCADA系统，反 冲洗 SCADA系统，送水泵房 SCADA系统，脱水泵房 SCADA系统等构成。其具体的结构图如图所示。
操作员站1 操作员站2 数据库服务器 视频服务器 WEB服务器
交换机
人机界面 人机界面 人机界面 人机界面 人机界面
取水泵房PLC 加药间PLC 返冲洗PLC 送水泵房PLC 脱水泵房PLC
图 4.13 自来水厂安全防护图
2. 安全需求分析

1. 门户网站安全分析
   水务系统门户网站可以从外网直接访问，因此访问群体较复杂，聚集了大量的国内外访问流量，也 容易引起黑客的关注。其所面临的安全威胁主要有：

• 黑客通过 SQL注入、跨站脚本等攻击方式，可以轻的拿到门户网站的管理权限，进而篡改网 页代码；攻击者有可能将门户网站替换成钓鱼网站或者黄色网站，或者在主页上发布敏感言论， 对企业造成极其恶劣的负面影响。
• 入侵者成功获取 WEB服务器的控制权限后，可以以该服务器为跳板，对内网进行渗透、探测扫描， 发起攻击，对企业内部敏感数据造成威胁。而从当前主机安全评估结果来看，黑客进入内网后， 可以轻而易举攻陷其他服务器。
  传统的边界防护设备，如防火墙和入侵防护系统，作为整体安全策略中不可缺少的重要模块，局限 于自身的产品定位和防护深度，不能有效的针对 Web 应用攻击提供完善的防御能力。因此，有必要采 用专业的 WEB防护系统，有效防护各类攻击、降低网站安全风险。

2. 网络边界安全分析
   计算机网络本身具有一定的脆弱性，随时都有可能遭受来自各方面的袭击和破坏，有些甚至是毁灭 性的。网络不安全的主要因素如下：

• 网络协议的自身并不安全。网络是一个开放式的信息系统，可以与 Internet 相联，与网络中任 何一台计算机进行信息交互。由于 TCP/IP 协议自身存在脆弱性，网络处于危险之中。
• 病毒蠕虫的快速传播。水务系统内网一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处 理性能的下降，同时也会对核心敏感的数据造成严重的威胁，甚至造成网络的拥塞，导致业务 的中断。
• 现有防火墙解决方案的不足。在网络应用层出不穷、新型威胁不断涌现的背景下，无论是传统 防火墙、统一威胁管理设备（UTM）还是“下一代防火墙（NF）”，均已远远不能满足用户对 自身网络的安全防护诉求，主要体现在传统防火墙不能对网络应用、用户进行有效识别和控制， 现有的基于 IP 地址的访问控制已经不可靠。
  3 业务系统安全分析
  随着网络环境的不断发展和完善，水务系统中不仅各项业务工作如订单管理、文件分发等由计算机 替代，而且信息存储及信息提供也转变为数字方式。业务系统不安全的主要因素如下：
• 系统漏洞给业务系统造成极大的威胁。恶意入侵者可以利用系统的漏洞，通过发起恶意扫描和 远程溢出等攻击，进入业务系统后台，获取、篡改甚至破坏敏感的数据，乃至破坏整个网络的 正常运行。
• 网络安全审计问题尤为突出。防火墙、入侵检测等传统网络安全手段可实现对网络异常行为的 管理和监测，如控制网络连接和访问的合法性、监测网络攻击事件等，但是不能监控网络内容 和已经授权的正常内部网络访问的行为，因此对由于正常网络访问行为导致的信息泄漏事件、 网络资源滥用行为（即时通讯、论坛、在线频、 P2P 下载、网络游戏等）无能为力，也难以 实现针对内容、行为的监控管理及安全事件的追查取证。因此，迫切需要一种安全手段对上述 问题进行有效监控和管理。因此对于任何一个安全体系来说，审计追查手段都是必不可少的。
• 人为失误及业务权限管理问题，如弱口令，不正确的共享、应用系统的错误使用等，内部人员 对业务应用系统的越权访问、违规操作，或者操作人员直接的错误输入导致系统宕机等。

3. 安全解决方案
4. 门户网站防护
   采用 web 应用防护系统来确保 web 应用系统安全。 提供事前预防、事中防护、事后补偿的整体解决方案。作为 用防护系统可以避免 web 服务器直接暴露于互联网上，监控 Server/Application 层双向数据实施检测和保护，可以降低 宽及资源耗尽型拒绝服务攻击。
   Web 应用防护系统需要具备针对“攻击事件” web 客户端和服务器端的中间人，Web 应
   HTTP/HTTPS 双向流量，对网络层、Web web 站点的安全风险，并需要能够护各类带
5. 网络边界防护
   采用网络入侵防护系统实现网络边界的安全防护。网络边界的安全防护系统具有智能协议识别和分 析，协议异常检测，流量异常检测的功能，有效发现绑定在任意端口的各种木马、后门，发现未知的溢 出攻击、零日攻击以及拒绝服务攻击，并可以有效抵御分布式拒绝服务攻击 (DDOS)、未知的蠕虫、流 氓流量的攻击。
6. 网络安全审计
   水务系统中需要部署安全审计设备，主要完成以下功能：

• 内容审计。提供深入的内容审计功能，可对网站访问、邮件收发、远程终端访问、数据库访问、 数据传输、文件共享等提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒 度的审计追踪。
• 行为审计。提供全面的网络行为审计功能，根据设定的行为审计策略，对网站访问、邮件收发、 数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、移动应用、在线视频、P2P 下载、 网络游戏等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。
• 流量审计。提供基于协议识别的流量分析功能，实时统计出当前网络中的各种报文流量，进行 综合流量分析，为流量管理策略的制定提供可靠支持。

城市燃气系统安全解决方案

4.3.2.1 总体概述
城市燃气系统 SCADA系统主要由调度控制中心、储配站门站、输配站、无人站、重要用户监测点 等组成。SCADA 系统主要由调度控制中心、站控系统及数据传输通讯系统三大部分组成。其特点为调 度中心和子站相互配合的方式。其具体的架构如图所示。
GPS时钟 SCADA实时、 GIS服务器 仿真服务器 生产调度应用 服务器 历史服务器 服务器
交换机
防火墙
工程师站 操作员站
交换机
通信运营商汇聚 通信运营商汇聚
大屏幕系统
防火墙 防火墙
路由器 光纤
热备冗余
操作员站 无线 无线 路由器 路由器
热备冗余 操作员站
工业 工业 因特网 内网 交换机 交换机
热备冗余 网络摄像头
操作员站
冗余
Web浏览 Web浏览 Web浏览
移动终端 移动终端 PC 大宗用户 网络摄像头 储配站/门站 输配站 无人站 /CNG/
调压柜 压力监测点
图 4.14 城市燃气安全防护图
调度控制中心：根据 SCADA系统规模大小分为总调度控制中心、备用调度控制中心和区域调度控 制中心，完成对城市高中压燃气管网各重要站场、远控截断阀室的监控，同时完成对中压管网监测点的 监视，实现管网运行优化、制定输送计划、计量管理等一系列任务。
站控系统：根据管网站场分布，在门站、输配站、调压站、压力监测点等设置不同规模的站控系统。 站控系统是 SCADA系统的远程监控站，它们执行主调度控制中心指令，实现站内数据采集及处理、联 锁保护、连续控制及对工艺设备运行状态的监视，并向主调度控制中心上传所采集的各种数据与信息。
4.3.2.2 安全防护方案

1. 边界安全防护方案
   在每个站控系统 PLC/RTU 和工业交换机之间部署工业安全网关，防止恶意流量或攻击通过门站直 接进入现场站。
   在 SCADA服务器，工程师站，操作员站的网络前段部署工业防火墙，将所有流向服务器的数据进 行深度解析，保护该服务器免受异常操作、非法指令恶意控制、病毒攻击等行为干扰和破坏。
2. 综合安全防护方案

• 安全区域划分。对整个燃气网络系统进行安全区域划分，实现对业务系统区、访问用户、互联 网出口、核心交换区之间的相互访问进行权限控制，同时 SCADA工控系统区域也进行划分。 通过安全区域划分为提升整个安全防护水准提供基础。
• 提升网络安全防护可靠性。对核心交换区、移动用户接入区、敏感数据接入区关键节点设备进 行冗余架构设计，实现双机热备，保证整个安全防护体系设备的高可靠性。
• 部署数据库审计系统，数据访问职责划分清晰。通过在敏感数据区部署数据库审计系统，能够 实时审计用户对数据库的操作，包括建立表格、删除、修改等行为。
• 数据保护得到加强。部署数据防泄密系统，保证单位保密数据在生产、传输、存储等环节不会 被泄密，即使数据被拷贝走，也无法打开。
• 部署安全统一管理区。整个网络系统各个安全防护措施部署后，需要进行有效的管理与运维。 通过部署威胁分析系统、漏洞扫描系统、堡机等设备，有效完成安全的统一管理；在 SCADA 中心区域部署工控漏洞扫描系统、工控安全审计、工控入侵检测系统等设备来进行整个 SCADA 工控系统的安全管理。

参考资料

绿盟 2019工业控制系统信息安全保障框架