無人值守工業控制系統網絡安全解決方案

1、現狀概述

隨着物聯網、工業大數據、工業雲等技術的發展，工業互聯網時代即將到來，工業大數據分析、工業數據可視化、工業生產智能優化分析成爲當下發展趨勢，使得基於數字技術、網絡互連技術的智能監控、無人值守成爲可能。目前，無人值守模式已在許多工業行業中獲得應用，如油田泵站系統、變電站電力監控系統、市政水處理系統等。

無人值守模式是網絡技術、數字技術以及自動控制技術的有機整合。在無人值守場景中，監控系統需對工業現場大量生產控制數據進行實時採集，並藉助網絡技術將數據傳輸至監控中心，同時採用數字技術完成生產數據的可視化和實時分析。爲保證工業流程的連續性、可靠性以及高效性，還需藉助自動化以及邊緣計算技術實現本地化智能控制，從而造成以端點設備（終端、控制器）爲節點、以傳輸網絡爲載體、以監控平臺（工業雲、工業互聯網平臺）爲支撐的無人化智能控制體系，極大的提升了工業企業運行效率。

無人值守技術就像一把雙刃劍，在帶來良好經濟效益的同時，也帶來了網絡安全問題，以上技術及流程都需以網絡安全互連、數據安全傳輸爲基礎，烏克蘭停電、勒索軟件、臺積電病毒感染等事件記憶猶新，網絡安全問題已成爲企業不容忽視的重要組成部分。

2、安全風險

依據《等級保護基本要求》、《工業控制系統安全防禦規定》等國家標準法律法規，並經實際技術調研，目前採用無人值守的工控系統主要存在如下安全風險。

• 現場控制網絡無安全分區，當發生網絡安全事件時沒法將惡意軟件、黑客攻擊、非法操做等行爲控制在特定區域內，易發生全局性網絡安全風險。
• 現場控制網絡與監控中心之間無必要的隔離防禦措施，沒法保障控制網絡與監控網絡之間的網絡與數據安全，易使惡意攻擊、病毒木馬、非法訪問等跨網絡傳播，對業務生產安全形成威脅。
• 現場控制網絡及控制流程缺少安全監測與審計措施，沒法從網絡流量、工控協議、生產業務以及行爲操做等層面對業務生產狀況進行監測和審計，沒法及時發現非法訪問、非法操做、惡意攻擊等行爲。
• 現場操做員站、工程師站等上位機系統缺少必要的主機安全防禦措施，沒法對主機外設、應用安裝、用戶行爲進行有效控制，易使病毒、木馬等惡意軟件以主機爲載體對控制業務進行攻擊。

3、解決方案

1)    安全分區

將不一樣業務按照工藝流程以及地理位置進行大區劃分，同時對控制網絡進行安全域劃分，在區域間部署工業防火牆，防止因爲單點網絡攻擊形成的全局網絡問題。

2)    監測審計

在各無人值守站、無人值守網絡部署工業業務審計和安全監測系統，對工業業務流程以及網絡流量進行安全監測，及時發現非法操做、不良設備接入、病毒入侵以及黑客攻擊等行爲並及時告警，將安全事件控制在必定區域內。

3)    主機安全

在主機系統部署白名單軟件，經過白名單機制防止病毒木馬感染運行以及主機遠程攻擊的發生，消除惡意軟件的傳播載體。

主機設備以及存儲介質在部署實施前應採起異構查殺機制，在適當環境下設置獨立殺毒主機，並在主機內部署安裝兩種或以上不一樣類型殺毒軟件，對文件、軟件進行上線或傳輸前的安全檢查。同時，殺毒主機保持病毒庫的及時更新。

4、解決方案應用場景

• 無人值守油田泵站、注採站、集輸站控制系統的網絡安全防禦。
• 無人值守自來水泵站控制系統網絡安全防禦。
• 無人值守污水處理控制系統網絡安全防禦。
• 無人值守智能變電站電力監控系統網絡安全防禦。
• 無人值守智能化工廠控制系統網絡安全防禦。
• ……