构建安全防御体系，助公铁隧道畅通无阻

一、项目概述

某公铁隧道位于长江水道之下，是一条公铁合建盾构隧道，于2018年实现公路层、轨道层同步通车运营。该公铁隧道信息系统包括中央计算机系统、BAS系统、交通监控系统、CCTV系统等，其中，中央计算机系统是涉及到市政、交通的重要控制系统。

随着近年来工控信息安全事件的频繁发生，以及《网络安全法》、等级保护2.0等政策法规的公布实施，如何保障中央计算机系统等核心控制系统的安全，是桥隧公司重点关注的工作，客户规划先通过第三方测评摸清家底，发现核心系统中的安全风险，根据风险的影响范围制定整改规划，最终通过安全建设构建核心系统的安全防护和管理体系，消除系统面临的安全风险，提升系统的安全性。

图1 公铁隧道示意图

二、安全现状

图2 重要信息系统安全评测问题统计一览图

测评机构按照等保三级标准对桥隧重要的信息系统开展了详细的评估工作，梳理出针对重要信息系统高危风险项23项，中危风险项42项，低危风险项61项，部分重要技术风险项如下：

1 安全区域边界

访问控制策略不严格，颗粒度粗；例如未对源地址、目的地址、源端口、目的端口和协议等进行核查，以允许/拒绝数据包进出，攻击者容易绕过边界对重要服务器或系统实施攻击；

桥隧的中央计算机系统生产网和办公网存在多个边界，中央计算机子系统、CCTV系统、无线通讯子系统等等，各网络边界缺少必要的入侵防范措施，无法对从生产网内部或外部发起的已知/未知攻击进行实时检测，也无法对入侵行为进行响应。在缺少边界隔离的情况下，一旦内部发生恶意代码的感染，会导致生产网大面积的横向扩展；

生产网络中未采用技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；

生产网中未关闭不需要的系统服务、默认共享和高危端口，如Web、Telnet、Rlogin、FTP等网络通用服务。

2 安全通信网络

现场设备层（传感器、执行器等）与现场控制层（PLC、RTU等控制单元）之间未实现通信过程中数据的保密性；

现场设备层（传感器、执行器等）与现场控制层（PLC、RTU等控制单元）之间未实现通信过程中数据的完整性；

核心交换机未进行硬件冗余，无法保证系统的高可用性；电力监控系统服务器、交换机硬件有冗余部署，但通信线路只接入单节点交换机，另一路交换机未接线，存在安全隐患故障。

3 安全计算环境

生产网中的交通及设备监控工作站、广播及电话工作站、CCTV监控工作站等缺少有效的病毒防护措施，无法提供完整的安全防护；

桥隧的中央计算机系统生产网中的工作站未关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等，确需保留的未通过相关的技术措施实施严格的监控管理；

桥隧的中央计算机系统核心服务器未配置安全审计策略；

交通监控工作站操作系统当前安装了TeamViewer、驱动精灵等软件，未遵循最小安装原则；

I/O服务器、数据库服务器操作系统当前开启了Server服务，已启用135，445，3389等高风险端口，开启了默认共享，共享文件夹为C、D，开启了IPC$；

BAS系统、电力监控系统、广播及电话系统等配置的口令复杂度策略设置不合理。如密码必须符合复杂性要求：已禁用；存在账户Administrator配置了密码永不过期；当前用户未设置密码、口令等不合理设置。

安全管理中心

未建立安全管理中心，实现系统管理、审计管理、安全管理和集中管控的功能要求。

三、整改方案

针对某公铁隧道信息系统在测评中发现的问题，威努特先后与业主单位、测评机构针对市政交通中重要控制系统——中央计算系统的整改建设进行多轮探讨，结合桥隧中央计算机系统的业务特点，以控制桥隧中央计算机系统的风险为目标，深度融合安全管理、安全技术、安全运行三个领域的管理策略，采用全新的安全视角构建整体、动态、主动、精细的四个相互独立又高度融合的安全防御体系。

整体框架参照等级保护2.0安全技术要求“一个中心、三重防护”的理念，分别由工业主机安全防护、系统边界隔离、网络通信异常监测、集中管理、安全运维及安全态势感知体系构成，在方案设计时以安全管理中心作为整个安全的中枢，构建集中管理和态势感知的能力，同时以安全通信网络为纽带，优化基础网络架构，分区分域，从而收缩网络攻击面。以安全区域边界为依托，以访问控制为基础，增强已知和未知攻击的防范能力，通过技术手段来强化纵深防御，实现对威胁的深度检测和及时响应，防患于未然。最终以安全计算环境为重心，以白名单技术为依托，以基于标记的强制访问控制作为技术核心，改进业务风险管控，加强计算环境层面的动态防护。特别是针对市政建设的重要系统，需要在满足国家层面基本要求的情况下，实现重点防护，提升动态、主动防御能力。从“零散建设”走向“全局建设”；从“局部零散松耦合”演变成“深度融合体系化”；构建出动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的网络安全防御体系，为桥隧中央计算机系统输出实战化、体系化、常态化的安全能力，以应对各类网络攻击。

图3 整体安全防护体系设计框架图

动态防御：以风险管理为指导，针对攻击的多样化、多变性，实现网络安全状态持续监测，及时反馈动态调整防御策略、技术和手段，构建切断、诱捕的动态防御能力。

主动防御：基于白名单技术，贯穿核心安全防护产品，针对攻击的复杂性、未知性，结合威胁情报、态势感知，建设发现、分析、响应、溯源的系统和主动防御能力，落实主动防护措施。

纵深防御：实行分区分域管理，对不同区域进行安全隔离，设计多层次防线，实现由外到内、从边界到核心的多重保护以及对攻击的层层阻击。构建纵深防御能力，全面覆盖网络。

精准防护：基于资产的自动化管理，结合不同工业控制系统重要性，综合利用内、外部威胁情报，实现对关键业务系统的有效防护。

整体防控：结合调研评估以及现有安全状态，针对安全防护的碎片化、盲点多，构建全覆盖、多场景、强协同的整体防控能力。

联防联控：作为国家关键信息基础设施，应建立与国家监管部门以及行业组织的信息共享，从而构建联防联控能力，实现企业、行业、国家从点到线再到面的统筹联动。

图4 桥隧系统网络安全解决方案规划

1、根据信息系统的功能特点将现场系统划分为主控监控系统区域、现地控制设备区域、视频监控系统区域。在现地控制设备区域与主控监控系统区域之间部署工业防火墙进行区域隔离，配置基于S7、OPC工控协议指令级防护白名单，构建边界防护体系，阻断与生产无关的工业协议指令和其他非法通讯，实现对生产控制网络的重点防护；在主控监控系统区域与视频监控系统区域之间部署工业互联防火墙，开启细粒度访问控制、入侵防御、病毒过滤等功能，阻止非法访问及网络攻击行为；在中央计算机系统所在网络与企业管理网络之间部署工控安全隔离与信息交换系统，保障仅通过受控的接口进行通信。

图5 OPC协议不符合规约防护与告警

2、网络层部署入侵检测系统，开启入侵检测策略，对扫描探测、入侵攻击、SQL注入攻击、DoS&DDoS攻击、中间人劫持攻击等行为进行检测，同时开启AV等检测功能模块，一旦出现异常工业流量或者网络入侵行为，及时产生告警并上报。

3、核心交换机与SCADA核心交换机、系统核心服务器等主要计算节点全部改造为冗余架构，针对交换机空闲端口采取技术+物理方式进行封堵；在工作站上部署工控主机卫士，配备专用安全U盘，结合“白环境”安全机制，实现对已知未知病毒的全面防护、非法外联行为检测、移动介质管控和双因子认证等能力建设，保证工业主机的运行安全。

图6 工控主机卫士移动介质管控策略

在生产网内部部署统一安全管理平台及日志审计与分析系统构建安全管理中心，对生产网络中安全产品进行集中管理；对网络安全事件统一收集、管理、策略下发，实现工控安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等，降低运维成本，提升运维效率。

图7 安全日志关联分析汇总

在安全管理层面，威努特协助公铁隧道共同梳理已有的安全组织机构及安全管理制度，结合国家等级保护等相关标准和现场的运维特点，针对性地进行查漏补缺，完善针对桥隧系统网络安全管理的系列制度，基于技术体系的建立，全面切实提升信息系统的安全防护和运维能力。

图8 借鉴国家等级保护制度安全管理制度列表

四、客户价值

某公铁隧道中央计算机系统安全防护建设完成后，符合国家相关政策和标准要求，并消除了前期测评过程中的所有高风险和大部分中风险项，在2021年8月份顺利通过等级保护三级测评，等保2.0测评分数高达83.58分。同时在威努特安全服务过程中，某公铁隧道的技术和管理人员也对工控安全建设有了新的认识和了解，逐步形成了更加贴合自身需求的管理模式和技术路线，为后续进一步的工控安全奠定了坚实的基础。

示范标杆效益。作为桥隧工控安全试点示范项目，建设效果达到预期目标，积累工控安全建设经验，可为全国各地桥隧工控系统安全防护建设提供安全防护思路和参考方向；

消除安全隐患。构建安全技术+安全管理立体防护体系，解决移动介质使用混乱等高风险问题，全面提升系统的安全性；

提升工作效率。减少因安全事件可能导致的系统停机时间，为系统的安全运行保驾护航，同时通过安全管理中心的建设也减轻了运维管理人员的工作量；

人才梯队建设。客户与威努特在项目建设全生命周期中，全面深入参与，共同规划、梳理整个项目流程，为后续实现集团安全运营中心规划奠定了扎实的技术及人才基础。