无人值守工业控制系统网络安全解决方案

一、现状概述

随着物联网、工业大数据、工业云等技术的发展，工业互联网时代即将到来，工业大数据分析、工业数据可视化、工业生产智能优化分析成为当下发展趋势，使得基于数字技术、网络互连技术的智能监控、无人值守成为可能。目前，无人值守模式已在许多工业行业中得到应用，如油田泵站系统、变电站电力监控系统、市政水处理系统等。

无人值守模式是网络技术、数字技术以及自动控制技术的有机整合。在无人值守场景中，监控系统需对工业现场大量生产控制数据进行实时采集，并借助网络技术将数据传输至监控中心，同时采用数字技术完成生产数据的可视化和实时分析。为保证工业流程的连续性、可靠性以及高效性，还需借助自动化以及边缘计算技术实现本地化智能控制，从而形成以端点设备（终端、控制器）为节点、以传输网络为载体、以监控平台（工业云、工业互联网平台）为支撑的无人化智能控制体系，极大的提高了工业企业运行效率。

无人值守技术就像一把双刃剑，在带来良好经济效益的同时，也带来了网络安全问题，以上技术及流程都需以网络安全互连、数据安全传输为基础，乌克兰停电、勒索软件、台积电病毒感染等事件记忆犹新，网络安全问题已成为企业不容忽视的重要组成部分。

二、安全风险

依据《等级保护基本要求》、《工业控制系统安全防护规定》等国家标准法律法规，并经实际技术调研，目前采用无人值守的工控系统主要存在以下安全风险。

• 现场控制网络无安全分区，当发生网络安全事件时无法将恶意软件、黑客攻击、非法操作等行为控制在特定区域内，易发生全局性网络安全风险。
• 现场控制网络与监控中心之间无必要的隔离防护措施，无法保障控制网络与监控网络之间的网络与数据安全，易使恶意攻击、病毒木马、非法访问等跨网络传播，对业务生产安全造成威胁。
• 现场控制网络及控制流程缺乏安全监测与审计措施，无法从网络流量、工控协议、生产业务以及行为操作等层面对业务生产情况进行监测和审计，无法及时发现非法访问、非法操作、恶意攻击等行为。
• 现场操作员站、工程师站等上位机系统缺乏必要的主机安全防护措施，无法对主机外设、应用安装、用户行为进行有效控制，易使病毒、木马等恶意软件以主机为载体对控制业务进行攻击。

三、解决方案

1)    安全分区

将不同业务按照工艺流程以及地理位置进行大区划分，同时对控制网络进行安全域划分，在区域间部署工业防火墙，防止由于单点网络攻击造成的全局网络问题。

2)    监测审计

在各无人值守站、无人值守网络部署工业业务审计和安全监测系统，对工业业务流程以及网络流量进行安全监测，及时发现非法操作、不良设备接入、病毒入侵以及黑客攻击等行为并及时告警，将安全事件控制在一定区域内。

3)    主机安全

在主机系统部署白名单软件，通过白名单机制防止病毒木马感染运行以及主机远程攻击的发生，消除恶意软件的传播载体。

主机设备以及存储介质在部署实施前应采取异构查杀机制，在适当环境下设置独立杀毒主机，并在主机内部署安装两种或以上不同类型杀毒软件，对文件、软件进行上线或传输前的安全检查。同时，杀毒主机保持病毒库的及时更新。

四、解决方案应用场景

• 无人值守油田泵站、注采站、集输站控制系统的网络安全防护。
• 无人值守自来水泵站控制系统网络安全防护。
• 无人值守污水处理控制系统网络安全防护。
• 无人值守智能变电站电力监控系统网络安全防护。
• 无人值守智能化工厂控制系统网络安全防护。
• ……