上海北横通道隧道工程工控安全防护方案

总体概述

近年来，上海市城市建设正处于快速发展阶段，城市总体空间布局由原来的“单中心”向“多心、多核、一轴两链”转变，随着城市空间布局的调整，交通需求结构也将产生新的变化。根据最新规划，未来北横通道沿线地区将有较大规模的开发建设，开发建筑总量将达到 1.7 亿平方米，增幅达 40%。然而目前北岸地区的地面道路系统扩容潜力有限。因此，需要通过立体化改造措施，提升北横通道容量，以适应北部地区的发展。在这种背景下，上海提出了建设北横通道。

隧道交通信息系统的网络与传统办公系统的网络有着本质上的区别，其通信协议为专有的工业控制协议，对系统及网络环境的稳定性要求也极高。因此，传统的信息安全防护设备，如传统的防火墙、病毒查杀、漏洞扫描、隔离网关等在进行工业控制网络安全防护时起不到实质的作用，甚至会影响工控系统正常运行。对工业控制系统而言，从系统规划、设计、实施、上线、生产、运维到废弃的整个漫长的生命周期中，各个阶段都面临着不同的网络安全问题。要真正做到工业控制系统网络安全，必须对工业控制系统网络安全做一个适应工控系统特性的全生命周期的规划。

工信部于 2016 年 11 月下发了工信部信软〔2016〕338 号文件《工业控制系统信息安全防护指南》，要求地方工业和信息化主管部门根据工业和信息化部统筹安排，指导本行政区域内的工业企业制定工控安全防护实施方案，推动企业分期分批达到本指南相关要求。同时，工业控制系统应用企业以及从事工业控制系统规划、设计、建设、运维、评估的企事业单位适用本指南。

2019年5月13日下午，“等保2.0”（即：《信息安全技术网络安全等级保护基本要求》）在国家市场监督管理总局召开的新闻发布会上正式发布，并确定于2019年12月1日正式实施。开展等级保护工作首先需要能够明确等级保护对象，在等保1.0中定义的的等级保护对象为“信息安全等级保护工作直接作用的具体信息和信息系统”，而随着信息技术的快速发展和网络威胁向工业控制系统的蔓延，等保2.0为应对这种趋势，将等级保护对象，在包括基础信息网络的基础上，通过扩展要求和附录的形式，增加了云计算、物联网、移动互联、工业控制系统、大数据五大新兴应用场景的覆盖。

等保2.0的设计理念为“一个中心，三重防御”，一个中心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全网络通信”，完成了从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。

等保2.0有法可依，有责必究，合规不再应只是纸上谈兵，《网络安全法》第二十一条要求，国家实施网络安全等级保护制度；第二十五条规定，网络运营者应当制定网络安全事件应急预案；第三十一条要求，关键信息基础设施，在网络安全等级制度的基础上，实行重点保护；第五十九条明确提出了一旦违法将会收到相应的处罚。因此，在等保2.0实施之后，不开展等级保护等于违反《网络安全法》，有关主管部门将以及法律规定进行处罚。

自2010年“震网”事件以来，针对工业控制领域的网络攻击事件与日俱增，工控系统早已不是大家潜意识中毫无风险的“世外桃源”，而能源行业，钢铁冶金，轨道交通，智能制造等关系国计民生的关键信息基础设施，是等级保护的重点保护对象，应当予以足够重视并在等保2.0的要求下不断提升自身的网络安全保护能力，在合法合规的基础上，真正由“被动”变“主动”。

项目目标

本方案针对上海北横通道隧道工程隧道工业信息系统，进行符合工信部《工业控制系统安全防护指南》（简称《指南》）及《信息安全技术网络安全等级保护基本要求》的技术要求的方案设计，通过本方案的设计内容，可以达到如下目标：

• 构建符合隧道工业控制系统安全需求的工业信息网络安全综合防护方案；

• 围绕隧道工业信息系统安全通信网络、安全边界区域、安全计算环境、安全管理中心，建设工业企业网络安全综合防护平台；

• 形成工业控制系统安全防护服务能力，对工业控制系统提供综合防护平台安全服务，实时监测、告警、通报、处置各类安全事件，提高工业控制系统安全保障能力。

工业控制系统的安全防护设计

根据现状选用具有自主知识产权的安全设备及系统，在不影响工控系统运行的前提下，设计部署适合企业实际需求的工控信息安全系统，通过划分安全区域、隔离控制系统、终端加固，消除当前工业控制系统的安全隐患，杜绝通过网络传播信息安全威胁，保障装置的安全稳定运行。总体防护图下：

安全防护架构图

1. 安全通信网络

利用工业防火墙实现隧道工业控制网络与外部环网的强逻辑隔离，采用“黑名单+白名单”防护策略进行指令级的访问控制策略，实现外部环网对隧道工业控制系统的安全访问，防范网络攻击与工控病毒的入侵。

工业防火墙不仅进行逻辑子网（VLAN）划分并部署访问控制策略，限制访问的IP、端口及协议等，同时采用VPN技术、智能学习引擎技术、基于工业协议深度数据包解析的黑白名单结合技术，对WEB访问、SQL请求数据包进行安全解析控制，并根据相应的安全策略对报文进行安全过滤；通过学习和深度数据包解析技术，能精确到数据是读还是写，通过学习正常的数据行为生成白名单，同时结合操作系统、组态软件、PLC等漏洞库黑名单，与实时传输数据进行比较、匹配、判断，如果发现其用户节点的行为不符合白名单中的行为特征，对此行为进行阻断或告警，以此避免工业控制网络受到未知漏洞威胁，同时还可以有效的阻止操作人员异常操作带来的危害，从而保障生产网络之间及其与生产管理层之间数据的安全性、完整性与保密性。

在监测审计层面采用工业安全审计系统，通过协议与流量监控，实时监测工控网络状态，检测工控网络中入侵行为，根据用户定义的审计策略，追踪工控网络安全事件，它能对工控网络的数据进行留存，实时了解工业现场网络安全状态，若发生安全事故，也可对通过数据的审计进行事件的追溯，保障工业控制系统安全稳定运行。

2. 安全区域边界

在隧道工业控制网络与预留上级控制中心边界布署工业隔离网关，确保隧道工业控制网络与上级控制中心网络纵向上的“物理”隔离，利用工业隔离网关实现上级控制中心网络与隧道工业控制网络的安全隔离与数据单向传输，实现测点级安全防护。

工业隔离网关内部两端由两个独立主机系统组成，每个主机系统分别具有独立的运算单元和存储单元，各自运行独立的操作系统和应用系统。其中一端的主机系统为控制端，负责接入到工业控制网络；另一端为信息端，负责接入到信息网络（上级控制中心）。控制端与信息端主机分别运行高性能工业通信软件。控制端提供各种标准工业通信标准的客户端/主端（Client/Master）通信功能，如：OPC Client、Modbus Master等，实现对工业系统的接入与通信；信息端主机提供服务器端/从端（Server/Slave）通信功能，如：OPC Server、Modbus Slave等，实现与各种远程后台系统、数据中心系统、数据库系统的接入和数据交互。

工业隔离网关采用“2+1”的物理结构，通过物理层和软件层的共同配合，彻底截断TCP连接，实现工业协议数据的定向采集和转发，达到数据完全自我定义、解析、审查，从根本上杜绝了非法数据的通过，确保生产控制系统不受攻击和入侵。上位机因数据采集而带来的性能消耗，减少系统死机及蓝屏概率。

3. 安全计算环境

计算环境安全是指现场工作站、服务器等主机系统的信息存储、处理及实施安全策略的相关的安全性。由于这些系统和设备普遍存在漏洞、后门等安全隐患，同时企业内部人员安全意识薄弱，加上第三方运维人员流动性大，导致内部因素导致的风险远大于外部攻击带来的风险。终端滥用资源、非法接入、非授权访问、终端安全漏洞、恶意终端破坏，信息泄密等风险严重威胁着企业的内网安全，因此计算环境安全防护是工控网络安全防范的重点。

针对生产网络内部关键应用系统的服务器，以及上位机、操作工作站等缺乏安全加固措施，方案采用以白名单技术为核心的工控终端管控软件为主要措施，安全免疫为辅，在条件成熟情况下进行安全补丁和恶意代码防护的整体加固措施。

传统终端管控软件不适用工控系统，因为从技术方面，传统终端管控软件的病毒查杀技术不适用工控主机的安全要求，传统终端管控软件也无法适用工控主机的使用环境；从管理和运维方面，传统终端管控软件安装过程复杂、运维难度大，兼容性问题长期不能解决，有由于涉及到担责的问题，主机安装杀毒软件从程序上需要工控系统集成商的许可。所以生产网络内的主机应该通过安装针对工业控制系统开发的工控终端管控软件（主机卫士）强化主机的安全能力，包括主机软件和进程监控、网络端口和外设端口管理。

通过设置生产网络内的主机应该只能运行与工业生产相关的软件应用程序，其他与生产无关的软件或应用程序需要禁止安装，以防止无关程序的漏洞或误操作而影响业务程序的运行，所以终端软件应该能够智能识别软件的安装与升级，并以白名单方式避免非法软件安装。终端软件在进程启动之前进行安全性检查以保证运行进程的合法性和完整性，同时对系统做深入的分析，感知针对操作系统漏洞进行的恶意代码执行过程，发现隐藏的进程，保护系统的完整性。

主机卫士通过白名单方式管理开放的网络端口，并对高危端口和非法开放端口进行预警。基于网络端口发现隐藏的网络通信，以防止数据泄露和入侵渗透；为防止大流量的网络攻击影响业务运行，通过网络流量优化的处理措施，避免直接关闭进程或网络端口而影响生产控制。主机卫士并且对USB外部接口进行监控和管理，USB接口在控制网中有应用，所以需要加强管理，包括对USB设备的识别、授权许可、状态监测、行为审计等管理措施。

安全配置：通过对主机进行相关的配置修改，提高主机的防护能力，包括对业务应用不使用的服务端口（例如3389端口）进行关闭配置；对操作系统的登录设置复杂度较高密码；对组态软件修改默认用户名密码等配置和操作。每次配置的变更应当经过测试。

4. 安全管理中心

建立安全管理中心可以对在工业控制生产网中部署的安全产品进行统一管理、配置和运维。对整个生产网络中每个工控防护系统以及收集网络流量的智能检测终端部署节点进行策略配置下发、网络流量分析、设备统一管理等，可以通过统一安全管理中心，实时掌握工业控制网络情况，出现问题及时定位问题发生位置和原因；通过被动方式采集用户网络中各工控产品海量数据信息，并进行管理、配置和运维，对整个生产网络中每个可部署节点进行策略配置下发、网络流量分析，对各设备进行集中化策略配置下发、存储、备份、查询、审计、告警、响应，并出具丰富的报表报告，实时掌握工业控制网络情况，出现问题及时定位问题发生位置和原因，获悉企业工业控制网络整体的安全状态，实现全生命周期的日志管理。为整个业务系统提供统一的、集中的、标准化的管理手段和机制。