浅析热源厂工业互联网安全防护系统设计

★ 关玲，杨继武 济南热电集团有限公司

★ 原颖平，魏磊 北京网御星云信息技术有限公司

摘要：近年来，全球工业控制系统网络安全态势日益复杂严峻，世界范围内针对工业控制系统的入侵、病毒、木马攻击等行为大幅增长。频发的恶性安全事故，对人员、设备、公共安全环境等造成严重危害。特别是震惊世界的伊朗核电站“震网”病毒事件，再次给全球工业界控制系统的信息安全问题敲响了警钟，加强工业控制系统的信息安全防护已经成为广泛共识，相关标准、技术、方案和设备日趋完善。本文通过对热源厂现场的实际网络安全调研和风险评估，总结出热源厂的整体安全风险，梳理出现场的安全需求，并结合国家相关行业标准以及政策法规，通过针对热源厂网络安全设计和主机安全设计加强了该厂的整体安全能力，对整个市政供热行业起到了示范效应，可在同行业进行复制推广。

关键词：关键基础设施；热源厂；工业互联网；网络安全

1 引言

城市供热系统是利用集中热源，通过供热管网等设施向热能用户供应生产或生活用热能的供热方式，北方冬季城市供暖能够确保人们在寒冷的冬季正常生活和工作，是关系民生的重要组成部分，是国家关键基础设施。城市供热系统一般由热源、热网和热用户三部分组成。热源又称热力的生产，主要是指生产和制备一定参数热媒的锅炉房或热源厂。发展智慧供热，加强供热系统工业互联网建设是实现节能减排、清洁供热、用户满意度提升、企业效率提升的重要手段，同时也是建设好智慧城市的重要一环。热源厂是供热系统的重要环节，加强热源厂工业互联网安全建设，能够更好地提升供热保障能力、服务保障能力、企业竞争能力，强化企业基础管理，推动公司多元发展。供热系统流程如图1所示。

图1 供热系统流程图

2020年9月，中国在联合国大会上向世界宣布了2030年前实现碳达峰、2060年前实现碳中和的目标。

2020年，习近平总书记提出“双碳”目标，这对我国绿色低碳发展具有引领性、系统性，可以带来环境质量改善和产业发展的多重效应。着眼于降低碳排放，有利于推动经济结构绿色转型，加快形成绿色生产方式，助推高质量发展。突出降低碳排放，有利于传统污染物和温室气体排放的协同治理，使环境质量改善与温室气体控制产生显著的协同增效作用。市政供热行业是国家关键基础设施，是实现碳中和、碳达峰目标的关键行业。城市供热系统作为北方居民冬季生活的重要保障，在落实“双碳”目标过程中具有举足轻重的地位，实现智慧供热，加强供热工业互联网建设将成为我国供热实现节能减排、清洁能源的绿色先锋。

随着《中华人民共和国网络安全法》的颁布实施，城市供热关系到国家民生，被认定为国家关键信息基础设施系统，在信息安全等级保护三级的基础之上实现重点保护。本方案采用的终端安全+网络安全的针对性解决方案，充分考虑了热源厂真实的安全需求。

2 建设目标和主要任务

2.1 建设目标

针对热源厂应用场景中涉及的工控终端安全、网络安全等实际需求，结合分析现场业务逻辑、数据流向等方面进行安全建设，最终实现安全能力覆盖终端侧、网络侧，旨在降低热源厂生产过程中产生安全风险的可能性，有效防范项目建成后的病毒传播感染和恶意代码。

2.2 主要任务

（1）构建热源厂工控终端安全防护场景，针对热源厂实际应用情况和工业控制系统环境，工控终端安全防护建成后，既要保障同工业控制系统的兼容性，又要保障工业控制系统安全防护的有效性，帮助降低病毒感染的几率，保证冬季供热的安全稳定运行。

（2）构建工控网络安全防护场景，保障生产网和管理网交互场景下相关联网工控设备的安全性，从数据层面、网络行为层面、网络环境脆弱性层面进行安全建设，切实保护热源厂业务正常运行，实现热源厂生产网络的安全防护和安全隔离要求。

3 安全风险与需求分析

3.1 风险分析

热源厂工业互联网安全工作在深入推进的过程中，面临一系列新生和固有的安全问题。

（1）终端安全：热源厂各种类型工控终端在生产网络互联互通环境下，联网更加便捷，组网更加灵活，虽然热源厂因为业务需求还是有一部分终端设备是孤岛方式，但是在未来势必会接入整体生产网络中，方便运维和数据的连通传输。老旧工控终端系统的漏洞问题和内在潜存的病毒问题是工控终端始终潜在的风险。

（2）网络安全：生产网络的未来特性是逐渐扁平化、简洁化，组网方式更加灵活，网络拓扑的变化更加多样和复杂，面对底层工业控制系统的种类更加丰富，在现有生产网络环境下，同样面临传统组网方式下的各类网络安全问题，包括系统非法入侵、信息泄露、恶意程序、DDoS攻击等。

上述安全风险需要通过工控终端安全防护、网络安全防护等安全措施来保障热源厂业务稳定运行，避免网络安全事件诱发生产安全事故、造成经济损失。

3.2 需求分析

3.2.1 工控网络安全需求

热源厂生产网边界是生产网的唯一出口，面临的安全风险极大，各类复合网络攻击手段以及针对网站的流量攻击均是常见的安全威胁。应予以严格的安全防护手段在此边界进行设防，维护整个热源厂生产系统不被侵入。

3.2.2 工控终端安全需求

热源厂工控终端设备较为老旧，终端设备部署较为分散，操作人员的计算机水平也参差不齐，因此终端设备的安全管理成为网络管理人员最为棘手的安全问题。终端泄密、非授权访问、内部攻击、潜在病毒等都对生产终端安全造成威胁。各类终端和服务器系统的补丁管理同样是一个重要问题。

病毒是对计算环境造成危害最大的隐患，特别是蠕虫病毒，会立刻向其他生产子网迅速蔓延，这样会大量占据正常业务十分有限的带宽，造成网络性能严重下降甚至网络通信中断，严重影响正常业务开展。对工控生产终端进行有效的安全防护是解决工控生产环境的必要需求。

4 安全方案设计

为保障城市供热供能生产的安全稳定进行，有必要针对热源厂的工业互联网进行安全防护体系建设，热源厂工业互联网安全防护体系建设将按照我国网络安全等级保护要求，在安全通用要求的基础上，进一步提出针对工控系统的安全扩展要求。特别是针对安全通信网络和安全计算环境两项，在生产网和管理网边界增加部署工业网络隔离设备，实现热源厂工业控制系统网络环境的网络架构安全防护要求和通信传输要求。

同时，针对热源厂内分布的大量工控终端，提供安全管理能力。通过在工控终端安装基于白名单技术的工业主机安全防护系统，防范恶意程序的运行、确保终端的网络链接安全可信、阻断病毒木马的扩散、规范外接输入设备的使用、检测终端安全性及评分，保障终端的行为始终在受控信任范围内，实现对工控主机全面的安全防护。保障工作站、服务器的可用性、可靠性和可信性。热源厂工业互联网安全架构如图2所示。

图2 热源厂工业互联网安全架构图

（1）网络安全层面，热源厂的生产控制网（即工控网）与生产管理网（即信息管理网络）边界通过部署工业安全网闸实现物理隔离与数据的安全传输。工业安全网闸系统采用专用信息摆渡机制，解决由网络隔离引起的数据交换问题，保持网络之间隔离的特性，同时提供一种安全、有效的数据传输途径，采用非标准协议构成安全隧道，保障数据传输的安全性。工业安全网闸只允许生产控制网采集的数据流向生产管理网，允许符合生产控制网传输协议的数据返回到控制网络，不容许任何其它数据返回到控制网络。并对流经的数据报文进行严格协议格式检查和内容过滤，对OPC工业协议进行深度解析、合规性检查、指令过滤等操作。同时对网络环境中存在的OPC数据进行“智能学习”，获取当前网络中指令参数等情况，帮助技术人员配置防护策略，降低部署难度，保证生产网和管理网的通讯安全。

（2）主机安全层面，通过基于白名单主动防御技术和安全基线检测技术的工业主机安全防护系统构建可控、可靠、可管理和符合安全基线规范的工控网络“白环境”纵深安全防御体系。通过终端数据采集分析和威胁情报判断，自学习并生成的工控终端正常安全可信行为的白名单。如果发现其用户节点的行为不符合白名单中的行为特征，主机安全防护系统将会对此行为进行记录或阻断，以此避免工业控制网络受到未知威胁，有效阻止操作人员异常操作带来的危害。同时，通过配置终端安全基线规范（例如检查防火墙状态、共享服务状态、系统关键配置等）去检测系统所有终端安全基线的运行情况，记录和自动修复不符合安全基线的违规终端，避免不被信任的终端接入系统。工业主机安全防护系统由服务端和客户端构成。

5 关键技术与能力

5.1 基于主机白名单AI自学习智能分类建模

工控主机安全系统采用基于“白名单”的主动防御技术和安全基线检测技术，目的是为用户构建可控、可靠、可管理和符合安全基线规范的工控网络“白环境”纵深安全防御体系。“白名单”可以让主机一直处于安全的状态：有些应用场合中主机无人时时值守，那么其行为许可应采用智能化方式代替用户做出决策，而不能将决策权交给普通操作员（例如弹出对话框来询问普通操作人员某一个进程是否允许被创建）。采用该技术，通过部署初期一次固化，来达到永久安全。

防护原理：从源头上讲，主机威胁一般由移动设备或网络流量引入，从行为上说大多由于恶意进程创建或恶意库文件加载入内存导致。若能确保只有可信的软件才可以加载入内存、只有可信的设备可以接入主机、只有正常的流量能够流入系统便可保证主机处于安全状态，不给病毒、蠕虫生存的空间。

基于以上防护方式的工控主机安全加固系统主要具有以下几个特点：

（1）有自学习能力的白名单生态系统

通过终端数据采集分析和威胁情报判断，系统自学习并生成工控终端正常安全可信行为的白名单。通过AI自学习自动分类建模生成白名单规则库，根据规则进行智能匹配。区别于实时采样及全盘扫描技术生成的白名单规则，自学习技术能更准确、更高效地帮助用户建立可信白环境，能在最大程度降低误报和误判。

（2）有自构建能力的白名单工作环境

系统创新性地将进程白名单、网络连接白名单、外设管理白名单和安全基线检测等技术引入工业主机网络安全防护领域，诠释下一代人工智能主机安全防护软件。

（3）使用高效率的AC自动机算法

基于威胁情报赋能安全可信的白名单模式技术采用模字符串匹配算法Aho–Corasick，算法匹配架构如图3所示。

图3 算法匹配架构图

基于上述分析，使用“白名单”方法，可在进程、设备两方面进行过滤来保证主机安全。可有效阻断不符合白名单的行为并进行记录，以此避免工业控制网络受到未知威胁，避免不被信任的终端接入系统，同时还可以有效阻止操作人员异常操作带来的危害，对工控主机加固起到进一步深化的作用。

5.2 基于工业生产网络的安全隔离技术

安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统，模拟人工在两个隔离网络之间的信息交换。其本质在于：两个独立主机系统之间，不存在通信的物理连接和逻辑连接，不存在依据TCP/IP协议的信息包转发，只有格式化数据块的无协议“摆渡”。被隔离网络之间的数据传递方式采用完全的私有方式，不具备任何通用性。

网络安全隔离与信息交换系统要想做好防护的角色，首先必须能够保证自身系统的安全性。安全隔离与信息交换系统具有极高的自身防护特性，可以阻止来自从网络任何协议层发起的攻击、入侵和非法访问。网络之间所有的TCP/IP连接在安全隔离与信息交换系统上都要进行完全的应用协议还原，还原后的应用层信息根据用户的策略进行强制检查后，以格式化数据块的方式通过隔离交换矩阵进行单向交换，在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信，即实现“协议落地、内容检测”。

这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的通讯安全与自身安全性。工作原理如图4所示。

图4 工业网闸工作原理图

6 示范价值

（1）保障热源厂正常运行，保障城市供热的持续生产

凭借热源厂在城市供热系统中的经济贡献地位与社会功能地位，本方案为安全生产提供保障，能够有效避免热源厂因网络安全事件的停工损失，从安全层面助力热源厂提高生产效率，保障智慧供热的高效、稳定、有序运行。保障北方冬季的稳定供热，对当地人民生活幸福及经济发展具有重大意义。

（2）完善工业互联网安全产业链，完善安全场景化实践

贴合实际业务的场景化安全建设是提升工业互联网安全研究的重要驱动力，基于城市供热业务场景的部署验证可推动供热行业对于工业互联网安全的关注，进而加快产业成熟，不断提高工业互联网安全投入。

（3）推动绿色能源行业数字化升级，稳步实现双碳目标

本方案作为供热行业在工业互联网应用方面的安全建设标杆项目，一定程度上弥补了业务场景的安全空白，从保护新技术应用场景的角度保障热源厂清洁能源的持续供给，为节能减排做出突出贡献，贯彻构建人类命运共同体理念，有力推动社会稳步实现“碳达峰、碳中和”的战略目标。

7 小结

当前，工业网络信息化、数字化发展趋势显著，尤其在供热能源行业，正逐步向“清洁、低碳、高效、安全、智能”转型，发展智能化、精益化管理等模式。目前工业互联网+垂直行业存在的突出问题在于使用工业互联网相关技术特性的同时没有充分考虑到终端安全、工控安全、物联网安全、数据安全等。本方案通过分析热源厂的业务场景及其所需的安全需求，构建多维度、深层次的针对性安全场景化方案，追求安全防护与业务深度耦合以及最终的有效落地。本方案的实施有利于促进国内工业控制信息安全产品和供热行业的发展以及工业互联网产业的成熟，弥补国内城市供热在工业互联网安全建设的空白，推动国内产业的发展。

作者简介

关玲（1977-），女，北京人，学士，现任济南热电集团有限公司信息中心副主任，研究方向为热电自动化、网络安全。

杨继武（1971-），男，山东人，高级专工，现就职于济南热电集团有限公司，研究方向为热电自动化、工业互联网安全。

原颖平（1982-），女，山东人，学士，现任北京网御星云信息技术有限公司工业互联网安全行业销售总监，研究方向为工业互联网安全。

魏 磊（1987-），男，学士，现任北京网御星云信息技术有限公司工业互联网安全技术经理，研究方向为工业互联网安全。

参考文献

[1] GB/T 22239-2019.信息安全技术 网络安全等级保护基本要求[S].

[2] 国务院. 关键信息基础设施安全保护条例[Z]. 2021.

来源 | 《自动化博览》2022年第一期暨《工业控制系统信息安全专刊（第八辑）》

声明：本文来自工业安全产业联盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。