引言

　　2019年12月1日，《網絡安全等級保護基本要求》的正式實施標志著等級保護制度整體進入 2.0 時代，等級保護對象范圍從傳統的網絡和信息系統，向“云移物工大”上進行了擴展。GB/T22239由單獨的基本要求演變為通用安全要求+新技術安全擴展要求，且技術要求和管理要求都做了調整。而關鍵信息基礎設施也在定級要求上明確指出“定級原則上不低于三級”的要求。在“關鍵信息基礎設施的等保2.0之路”系列文章中，天地和興將從關鍵信息基礎設施保護的實踐出發，梳理并提供2.0時代等保安全建設的整體解決方案，旨在助力關鍵信息基礎設施運營者網絡安全防護能力和信息安全管理能力的提升，應對各類網絡風險和挑戰。

　　一、安全現狀

　　伴隨著城市化進程的加速，城市容量增大、規模晉級，城鄉結合部外擴，中小城市及縣鎮成為國內供熱行業市場的發展重點。在熱力生產的鍋爐房控制系統、輸送熱網的控制系統信息化建設中靈活運用網絡技術、變頻技術、DCS技術、PLC技術，并結合供熱系統的特點以實現系統的自動化控制，工業過程和信息化系統融合的需求越來越迫切，這樣的融合使得原本封閉、獨立的工業控制系統失去了免遭網絡攻擊的天然屏障，其控制系統網絡表現出具有急劇擴大的邊界、不斷增加的設備數量、更加復雜的交互行為等特點，一些原本對信息系統的攻擊也能對市政供熱系統造成巨大影響。

　　當前供熱系統普遍存在以下網絡安全風險：

　　l 城市熱力站地理位置分散，覆蓋面廣，大部分采用GPRS/3G/4G等運營商無線網絡實現熱力站與調度中心的數據通信，通過運營商無線公網進行傳輸。調度中心控制指令和各熱力站實時過程數據均以明文傳輸，極易被惡意攻擊者竊取信息數據或者對信息數據進行篡改，導致無法真實傳遞控制指令和反映當前熱力站控制系統運行狀態;

　　l 為了提高市政供熱系統運行效率，控制系統網絡與企業信息網絡相連卻缺乏有效的隔離措施和數據流向控制策略，企業信息網絡與互聯網聯通，極易導致惡意攻擊者滲透進入市政供熱控制系統;

　　l 調度中心網絡與熱力站網絡直接跨域相連，缺乏有效的區域隔離措施，任何一個網絡的流量異常，都會擴散到其他網絡，從而影響市政供熱控制系統的正常運行;

　　l 各熱力站與調度中心之間建立通信連接時缺乏有效的身份認證機制，惡意攻擊者能夠冒用合法熱力站的身份向調度中心發送偽造的過程數據，亦或偽裝成調度中心欺騙熱力站向其發送過程數據或接收其偽造的控制指令，達到欺騙通信、欺騙控制的目的，破壞市政供熱系統的正常運行甚至導致系統癱瘓;

　　l 市政供熱控制系統中普遍使用了基于windows操作系統的服務器、終端設備和應用軟件，多數控制系統編程和組態軟件對操作系統、數據庫等軟件的版本采用了強耦合的方式，版本的升級將會導致控制系統軟件無法正常運轉。為保障市政供熱控制系統開車后穩定運行，通常不會安裝升級補丁，極易導致操作系統和應用軟件被攻擊。另外為了方便使用，操作系統和應用軟件普遍存在弱口令問題;

　　l 市政供熱控制系統中普遍缺少必要的網絡審計、設備日志審計、數據庫審計、運維審計等措施，無法做到風險信息的完全回溯;

　　l 市政供熱控制系統網絡中普遍缺乏對設備資產的管理與監控機制，導致未知終端設備能夠輕易接入控制系統網絡，使攻擊者能夠以這些設備為跳板侵入到控制系統網絡并發起攻擊。同時，對控制系統網絡運行情況缺乏監控和感知能力，無法及時發現控制系統網絡中出現的可疑或攻擊行為。

　　二、解決方案

　　面以上安全風險，天地和興做了深入的調查與研究，為集中供熱系統提供全生命周期的網絡安全解決方案。

　　01風險評估方案

　　市政供熱控制系統是一種從統一熱源，以熱水或蒸汽為介質，經供熱管網向區域內的用戶供應生活和生產用熱的供熱系統，也稱區域供熱，是城市能源建設的一項基礎設施。供熱行業熱源、管道、信息資產較為分散，可以通過全方位的風險評估對其生產控制網絡和管理過程中存在的各種風險和問題做到檢查與驗證。天地和興將針對供熱系統區域、控制系統設備精細化檢查，采用專用風險評估工具對當前網絡環境進行深度的工控漏洞挖掘，最終生成權威的安全風險評估報告，為用戶全面了解生產控制系統網絡安全風險提供依據。

圖 典型的攻擊者類型、動機和能力

　　02安全防護方案

　　集中供熱系統主要包括熱源、 熱網和用戶三個組成組成部分，對于一些規模較大的直供系統而言，熱源和采暖終端之間還會設置熱力站。其中熱源主要為熱電聯產、 熱電站、區域供熱廠、區域鍋爐房以煤、重油或天然氣為燃料進行生產而產生的熱能。對于熱電廠、供熱鍋爐房生產監控系統的網絡安全防護建設，遵循《網絡安全法》、《信息安全技術網絡安全等級保護基本要求》“一個中心、三重防護”的安全理念，通過部署工控防火墻、工控安全審計、入侵檢測、賬號運維及管理系統等安全防護產品，提升生產監控系統網絡整體防護能力，部署示意圖如下：

　　安全通信網絡：在生產控制大區和信息管理大區之間串行部署單向隔離網閘，用于生產控制大區到管理信息大區的非網絡方式的單向數據傳輸;加密認證網關部署在控制系統的內部局域網與管網調度數據網絡的路由器之間，用來保障GIS系統縱向數據傳輸過程中的數據機密性、完整性。

　　安全區域邊界：在熱力站PLC控制器與網絡交換機之間的不同級別安全域部署工控防火墻，建立不同安全域之間的訪問控制策略，有效隔離其他區域發生的網絡安全事故，對工業通信協議進行深度包過濾檢測。實現區域之間的邏輯隔離、報文過濾、訪問控制等功能。避免在一個系統或區域里爆發的工控安全事件擴散到其他系統或區域當中，保障區域間通信網絡安全。通過在核心交換機上旁路部署入侵檢測系統、工控威脅檢測系統、工控安全審計平臺，實時監測網絡邊界、安全域內重要節點的異常行為并進行審計告警，異常行為包括各類已知、未知的入侵行為，網絡病毒，非法訪問等。

　　安全計算環境：在主要的工程師站、服務器、監控站、操作員站等上位機上部署主機防護系統客戶端，搭配USBkey使用。構建主機白名單、防病毒、自動加固為一體的閉環安全環境，解決主機帶毒運行、難打補丁、配置落后、移動外設等帶來的風險隱患，通過外設主動防御、雙因子認證、重要文件行為審計等，確保主機身份鑒別、訪問控制、惡意代碼防范、入侵防范得到有效控制。

　　安全管理中心：組建信息安全管理專網，部署工控安全分析與監管平臺、賬號管理及運維審計系統，將網絡內部署的信息安全產品運維和報警日志進行集中收集及管理，以總攬大局的方式為計算機監控系統網絡信息安全故障的實時報警、及時排查和數據分析提供了可靠的依據。

　　03安全檢查方案

　　集中供熱系統被關鍵信息基礎設施等保定級為三級及以上，作為公用事業，大多數供熱企業存在較大的重點系統安全檢查問題，無定期做安全檢查、整改意識，極易導致病毒爆發。沒有常規地對系統進行安全檢查和殺毒掃描。

　　開展信息安全檢查，進一步梳理、掌握供熱單位重要網絡與信息安全基本情況，查找突出的問題和薄弱環節。分析面臨的安全威脅和風險，有針對性的采取防范對策和改進措施，加強網絡與信息系統安全管理和技術防護，促進安全防護能力和水平提升，預防和減少重大信息安全事件的發生。

　　04應急演練方案

　　為提高應對網絡與信息安全事件的處置能力，預防和減少網絡與信息安全事件造成的危害和損失，天地和興會參照《網絡安全法》第五章規定網絡安全監測預警和應急處理制度建設，協助供熱企業建立“事前評估、中期防護、事后追溯”的三步走策略。通過制定演練方案，使各部門和人員進一步明確應急流程、熟悉必要的應急操作，提高企業內部人員對網絡和信息安全突發事件的協調配合能力和應急處置能力。

　　05安全服務方案

　　針對主管、運維等部門的“專業壁壘”等問題，天地和興為相關人員提供專業的培訓、咨詢、運維等服務，涉及網絡安全培訓、安全防護標準培訓、當前攻防技術培訓與應用、安全管理與規范操作日常運維等內容。協助企業全員提高專業知識與安全防范意識。同時，天地和興還提供7*24小時的專家級安全咨詢服務與運維、應急保障。

　　06安全運營方案

　　安全運營的好壞直接影響工控系統網絡安全防護體系的防護效能。安全運營涵蓋內容較多，包括安全運營中心建立、安全意識培訓、安全運營管理、安全體系管理、安全運維管理等多維度內容。針對企業實際情況進行詳細方案設計，規范供熱企業的整體安全運營工作。

　　三、總結

　　本方案以安全可控為目標、監控審計為特征，構建供熱企業生產控制系統新一代主動防御體系，全面提高工控系統的整體安全性。項目的成功實施，將為供熱企業工業控制系統網絡安全防護體系開創行之有效的安全建設模式，通過縱向建立安全管理體系、安全技術體系、安全運行體系和安全管理中心的“三個體系，一個中心，三重防護”的安全保障體系框架，提高市政供熱生產一體化安全防護的能力。