1、项目背景

某化工企业位于我国西北边陲，是全球最大乙炔法PVC和国内最大氯碱生产商。该企业具备年产205万吨聚氯乙烯树脂、146万吨离子膜烧碱、280万吨电石、88万吨粘胶纤维、320万锭粘胶纱等产品的生产能力。产品广泛应用于纺织、建材、新能源、国防等20余行业，市场遍布国内外，出口至90多个国家和地区，享有高市场知名度和信誉。

随着“两化融合”的推进，该化工企业正在经历业务和商业模式的深刻变革。封闭的工控系统正在逐渐打破“信息孤岛”，与公共网络连接，这导致传统信息系统的安全威胁向工控系统扩散。为“摸清家底、掌握短板、控制风险”，特开展此次针对工控系统的全面的网络安全风险评估工作。

2、项目介绍

该化工企业的工控系统主要由多个工序的DCS系统（集散式控制系统）以及其他辅助系统构成，这些辅助系统包括GDS系统（通用数据服务报警系统）、SIS系统（安全仪表系统）、ESD系统（安全保护系统）等。其中DCS系统主要是采用美国通用电气公司的GE PAC8000控制系统搭建。工控系统均采用冗余设计原则，确保系统的稳定与可靠。关键设备采取冗余部署策略，进一步增强了系统的容错能力。网络拓扑图如下：

图1.工控系统网络拓扑图

在整个工控系统中，重大危险源数据和能耗监测数据经过加密处理后，通过单向网闸设备对外传输。此外，系统设置禁止互联网出口，严格限制与外部互联网络的交互，充分保障数据的安全与机密性。

经深入调研，业务系统内负责网络通信功能的设备，如汇聚交换机、核心交换机等及其相关组件，其CPU和内存的使用率均能在业务高峰期满足需求，显示出良好的性能，为工控系统高效、可靠运行提供硬件支撑。

3、项目目标

本次项目的核心目标在于深入检查该企业工控系统的硬件效能、系统漏洞与配置、脆弱性，以及各网络（安全）设备的安全策略，并全面评估其网络架构和管理制度。

物理环境层面：对存放设备的机房及机柜间物理环境、设备部署情况进行检查评估；

网络层面：通过漏洞扫描、手工渗透等手段从攻击者视角挖掘网络中存在的薄弱点。

平台层面：通过检查设备外观、物理接口、状态指示灯等硬件配置情况，和系统软件中权限划分、安全策略等软件配置情况进行评估。

安全管理层面：通过对系统管理人员、操作和运维人员的访谈，查阅各项工作记录文档和管理制度文件对系统安全管理情况进行检查评估。

4、评估结果

4.1 评估情况

物理环境层面：调研机房及机柜间11个。机房建设位置合理；每个机房放置两瓶手持干粉灭火器作为应急消防手段；机房均铺设防静电地板，其中1个机房设置了静电释放桩，有效避免了进入机房人员静电影响；同时各机房配置有工业精密空调对温湿度进行调控，并配备有检测仪表实时监控；机房内部署了UPS应急电源，保障紧急情况的设备供电。

网络层面：调研工控系统24个，涵盖服务器20台，工控主机118台，控制设备287个，网络设备100个，安全设备2台。

平台层面：随机抽取了12台工控主机进行安全基线检查，发现均未达到安全基线要求，如：未安装防病毒软件、未开启防火墙、未配置本地安全策略，并且未做账户权限划分、系统补丁未及时更新等。

安全管理层面：通过查阅客户发布的管理制度文件和对现场人员的访谈了解到目前客户安全管理工作还未完善，相关制度还在编制过程中，现有制度文件和管理手段无法支撑目前工控系统的安全管理工作。

4.2 工作难点

・设备位置分散、部署环境恶劣且设施老旧，在评估过程中需要实地走访，对于评估人员身体素质要求较高。

・现场缺乏网络拓扑、资产清单等材料，评估人员需花费大量时间梳理网络结构，绘制网络拓扑和整理记录资产清单。

・现场未停产期间无法对设备进行脆弱性探测，需要评估人员通过收集设备信息结合自身经验模拟攻击者思维，识别出设备可能存在的脆弱性。

・客户未配置网络安全专业人员，现场人员对网络安全概念不甚了解，需评估人员对其普及网络安全基础知识后才能有效开展工作。

4.3 安全问题总结

4.3.1 物理环境层面存在问题

・访问控制不规范：有2个机房在安全管理方面存在不足，既未安装电子门禁系统，也未安排专人进行值守。无法对进出人员进行有效管控和记录。

・防盗窃监控措施不足：目前，2个机房尚未安装视频监控设备，因此无法进行实时的安全监控。对机房中人员操作和设备安全无法进行记录。

・设备及线缆标识模糊：存在2个机房内的设备和线缆未进行明显标注或已标注标签存在脱落情况。

・电磁防护措施不到位：经过检查发现，部分机房和机柜内的通信线缆与电源线缆存在未隔离铺设的情况。容易造成电磁干扰，影响通信质量和设备的正常运行。电源电缆输送的是交流电，交变电流比较大时会产生比较强磁场。如果把通信电缆跟电源电缆一起走线，会对通信电缆造成感应电流的干扰影响。这种干扰可能导致数据传输错误、信号丢失或设备故障。

・防水防潮措施不足：靠近水路管线的机房及机柜间未加强防水防潮措施，导致部分机房及机柜间墙面存在渗水情况。

4.3.2 网络层面存在问题

・安全区域未划分：工控系统未能按照工业网络层级进行安全域的合理划分。这一现状可能增加了系统的安全风险，并可能影响到整个工业网络的安全稳定。

・访问控制措施缺乏：工控系统区域间存在网络互通的情况，且未采取相应的访问控制措施。

・安全检测能力不足：工控系统内部尚无法实现实时异常操作与安全攻击行为的检测。

4.3.3 平台层面存在问题

・安全策略配置存在缺陷：工控主机的身份鉴别、安全审计以及本地防火墙策略尚未启用，这可能导致未授权访问和系统安全漏洞。

・入侵防范能力亟待加强：工控主机未部署防病毒软件，系统补丁更新不及时，同时存在高危端口开放的情况，这增加了系统遭受恶意攻击的风险。

・外设管理控制不够严格：工控主机的外设接口未进行有效封闭，可能导致非法设备接入和数据泄露。

・缺乏集中管控能力：无法对网络设备和主机进行统一监控，这影响了系统管理的效率和安全性。

・集中安全监测能力不足：由于未部署安全设备，无法对网络安全事件进行统一分析，无法及时发现和应对安全威胁。

4.3.4 安全管理层面存在问题

・缺乏能有效支撑工控系统网络安全管理工作的正式文件，现场管理人员普遍为自动化相关专业人员，未配置网络安全专业人员，无法有效开展网络安全管理工作。

4.4 安全整改建议

4.4.1 物理环境层面安全整改建议

为确保现场机柜间的安全监控与应急响应能力，需增设视频监控系统与消防报警系统。同时对资产设施增加标识，确保维护和管理的便捷。

4.4.2 网络层面安全整改建议

・为确保工程师站的安全性，建议在其前端部署高效的入侵检测及安全审计设备。这些设备将对传输数据进行全面而细致的安全审计，确保所有行为都能被覆盖并受到监督，尤其是对重要行为和关键安全事件，需进行更为严格的审计。

・在各控制系统的操作层和设备层之间，建议安装工业防火墙，以实施严格的访问控制策略，从而保护现场控制层免受未经授权的访问。

・此外，为增强网络的安全性，建议启用网络设备的日志策略，并合理配置访问控制列表（ACL）策略，以限制系统或人员对网络设备的直接访问权限。

・在数据传输方面，推荐使用加密方式，并在传输过程中实施身份认证和完整性校验机制，以确保数据的机密性、真实性和完整性。这些措施将共同增强工程师站及其周边环境的整体安全防护能力。

4.4.3 平台层面安全整改建议

・建议为工程师站安装白名单防护软件；

・建议对已知漏洞及时进行修复，在测试环境对补丁进行充分测试且通过后，进行推广安装；

・建议关闭不必要的服务，在鉴别业务需求后，对闲置的网络服务进行关闭；

・建议通过配置本地安全策略，开启日志审计，审计内容应包括审核帐号登录事件、审核帐号管理、审核目录服务访问、审核登录事件、审核对象访问、审核策略更改、审核特权使用、审核过程跟踪、审核系统事件等信息；

・建议在工程师站上限制非法登录的次数（如3次），并启用口令复杂度配置，设置口令最长使用期限（如90天）并禁用密码存储功能，从而防止口令被恶意猜解；

・建议在不影响业务的前提下，关闭或锁定默认帐户、更改默认帐户名称、配置复杂口令，从而防范非授权用户的未授权访问。

4.4.4 安全管理层面安全整改建议

建议建立健全工业控制网络安全管理体系，明确工业控制系统网络安全方针和策略，明确工业控制系统网络安全责任部门及职责划分，加强工业控制系统网络安全人才培养，补充完善工业控制系统管理制度并落实。

5、项目价值

资产梳理：全面把握系统风险

通过对企业资产的系统梳理，我们帮助用户全面了解信息系统风险情况，确保管理层对系统安全状况有清晰、准确的认识，为制定风险应对策略提供坚实基础。

风险评估：科学量化安全风险

本报告采用科学、全面的风险评估方法，对业务系统安全性能进行深入分析，准确识别潜在的安全风险，为企业降低被攻击风险提供有力支持。

安全建设指导：降低企业成本

根据风险评估过程中输出的各种成果文档，本报告为企业提供详尽的系统安全建设指导，助力企业在保障信息安全的同时，有效节约资金、人力、时间等成本。

专业服务：安全无忧

我们遵循国家标准，制定完善的风险评估方案，并根据评估结果为企业提供专业的风险处置建议。我们致力于为用户提供安全无忧的专业服务，确保企业信息安全得到全面保障。