截至2024年，国家信息安全漏洞共享平台（CNVD）共收录工控漏洞3228个，其中高危漏洞1507个，占比高达46.69%，中危漏洞1539个，占比47.68%，低危漏洞182个。

随着工业4.0和物联网技术的广泛应用，燃气行业的工控系统面临着前所未有的安全挑战。网络攻击和数据泄露的风险不断增加。在这个“隐形战场”上，北京威努特技术有限公司（以下简称“威努特”）凭借多年的技术积累和创新实践为燃气行业提供全方位的工控安全解决方案。

新技术的应用使得原来封闭的工业控制系统网络越来越“开放”，随着工业互联网、两化融合以及智慧燃气信息化建设的不断完善，燃气生产控制网络不可避免会遭遇更多的网络威胁。

燃气工控系统承载着燃气供应、调配和管理的核心任务。一旦攻击者利用系统漏洞、恶意代码等手段进行渗透和破坏，可能会导致燃气泄漏、火灾爆炸等严重后果。然而，由于工控系统的特殊性和复杂性，传统的安全防护手段往往难以奏效，使得燃气工控安全成为一个“隐形战场”。

例1：2024年2月施耐德公司（Schneider Electric），遭到Cactus勒索软件攻击，导致TB级数据泄露。泄露数据包含客户工业控制和自动化系统以及遵守环境和能源法规的敏感信息；




例2：2024年1月，乌克兰国家石油天然气公司（Naftogaz）的一个数据中心遭受了大规模网络攻击，导致公司网站和呼叫中心陷入瘫痪。作为乌克兰燃料和能源领域的龙头企业，Naftogaz的瘫痪对乌克兰能源供应造成了重大影响，同时也暴露了能源行业网络安全的脆弱性；




例3：2023年12月，黑客攻击导致伊朗全国70%的加油站服务中断，首都德黑兰也受到了重大影响。

市政燃气行业网络架构一般分为3层架构：

包括ERP/WEB等系统，实现客户关系、决策支持、企业信息门户等整个生产环境的优化管理；

包括SCADA系统/数据库系统等，实现燃气生产调度、调压管理、数据统计、计量、保护等；

利用各种先进控制方法，通过对站场端输配系统的PLC等系统进行优化控制，保证燃气输配处于最佳状态下运行；完成燃气输配设备的工艺控制、数据采集、信号处理和参数监测，对各种设备进行直接控制，常见协议有MODBUS TCP、DNP3.0等；燃气输配相关的现场设备，包括安全阀、放空阀、压力表、分离器、调压器、温度计、加臭装置等。

图1 市政燃气行业典型网络架构

市政燃气供气流程一般分为：热水炉加热、油气分离器、气体残渣进行过滤、二次脱水、脱油、除尘、调压、加臭等过程。生产过程控制系统主要由调度中心控制系统和门站、储输配站、调压计量站等系统组成。调度中心的SCADA系统通讯一般采用Modbus TCP和OPC协议实时采集天然气站场数据，远程控制阀门开关。同时通过实时数据接口与GIS、仿真、生产调度管理系统的服务器进行数据共享。站控SCADA系统多采用PLC/RTU控制实时监控门站、传输配站、调压计量站运行，通过Modbus TCP和OPC通讯协议，采用无线GPRS/CDMA、卫星通信，有线的光纤，专线等通讯方式将数据传输至调度中心。

按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》，结合市政燃气行业当前在技术防护方面以及安全管理制度建设方面所面临的防护现状，现从安全区域边界、安全通信网络、安全计算环境、安全管理中心以及安全管理制度建设，5个方面进行燃气工控安全防护建设需求分析与总结：

调控中心MCC与办公网之间、调控中心MCC与厂站之间，需实现区域边界的隔离与有效地访问控制，针对内部异常流量、用户异常行为以及安全事件，需建立有效的网络攻击监测机制，实现实时监测、记录及告警提示。

需根据工业控制系统中业务的重要性、实时性及关联性、对现场受控设备的影响程度的要求等逻辑划分不同的安全域，不同安全域之间需采取隔离手段。

由于大部分工控主机、服务器身份认证机制简单，需采用技术手段，进行复杂度设置、密码更换周期设置、登录失败处理的设置。并且应提供异地实时备份功能，将重要数据实时备份至备份场地，制定数据、系统的备份策略和恢复策略，满足等保合规建设要求。

需按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》“一个中心”合规建设要求，建立统一的安全管理中心，实现对工控安全设备的集中管控。

需按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》管理制度建设要求，建立成体系的工控安全管理制度，解决目前燃气公司缺少安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理方面的问题。

为了应对燃气工控安全的挑战，威努特将从市政燃气工业控制系统网络分区分域设计、安全区域边界防护、安全通信网络防护、安全计算环境防护、安全管理中心建设等方面给出详细设计规划。

图2 市政燃气行业工控安全整体解决方案

结合分区原则，划分出不同的安全域进行精细化管控，通过在各区域边界处部署工业防火墙实现燃气行业工业场景下的边界安全防护传统，由于传统防火墙基于黑名单保护业务网络，不适用于业务流程固定的工业现场，而威努特的工业防火墙凭借创新的工控系统安全“白环境”防护理念，不但能够有效避免传统防火墙带来的隐患和维护成本，而且还可有效检测到市政燃气工业控制系统网络中的通信异常和协议异常并加以阻止，避免PLC、DCS等被攻击，更加适合工业场景。除此之外通过在边界部署工控安全隔离与信息交换系统，可解决边界物理隔离、协议隔离、应用隔离、内容隔离以及风险隔离的安全防护问题。

图3 威努特工业防火墙“三重固化”白名单技术

通过在调控中心MCC核心交换机、厂站交换机旁路部署工控安全监测与审计系统/高级威胁检测系统，可有效解决网络流量分析问题、入侵检测问题、高级威胁持续监测问题，尤其是针对未知威胁的监测问题。

其中工控安全监测与审计系统搭载了威努特自主研发的深度数据包解析引擎，可实现工控协议值域级检测与审计并且可真正实现对工业控制网络的“零影响”，提高网络内、外入侵和恶意代码防御能力。

图4 威努特工控安全监测与审计系统“值域级”技术图示

通过在调控中心MCC以及厂站的服务器、工程师站及操作员站上部署工控主机卫士产品，可有效解决双因子认证身份鉴别问题、主客体访问控制问题、安全审计问题、入侵防范问题及恶意代码防范问题，并且工控主机卫士产品充分利用应用程序白名单系统的高安全、高性能、低开销等特点，实现了工控主机系统从启动、加载到持续运行过程的全生命周期的安全保障。

移动外设管控采用“移动介质安检站+工控主机卫士+安全U盘”的闭环管控模式，以“不杀毒不可用”的流程操作逻辑构建全生命周期的移动外设管控体系。

图5 威努特外设综合管控能力

通过在安全管理中心部署数据备份与恢复系统，对系统中的程序、数据进行备份，制定恢复策略，可有效解决数据丢失难找回、勒索病毒攻击问题。在遭受勒索软件攻击时，恢复到未受感染的状态，避免支付赎金来解密数据。

按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》安全管理中心防护建设要求，通过在安全管理中心建设统一安全管理平台、日志审计、数据库审计、安全运维管理平台、工控漏洞扫描平台、工业安全态势感知平台实现生产控制系统安全状态监测、安全日志审计、数据库日志审计、资产台账统计和工控流量异常分析及业务的快速恢复能力。

通过工业安全态势感知平台可实时采集市政燃气工业控制系统工控网络区域边界、通信网络和计算环境的安全告警和日志，可以实时分析燃气公司的安全态势；通过企业工控安全健康指数计算方法，可以实时计算燃气公司的工控安全健康指数，将燃气公司的安全态势量化分析，通过将安全告警和网络拓扑中的设备资产相结合，可以实现燃气公司整体的安全态势可视化。可有效解决当下燃气公司整体安全态势可视化的问题。

图6 实时监测分析预警态势感知体系

整体方案借鉴国家等保、关保等制度标准，从安全管理制度、安全管理机构、安全管理人员、安全建设管理以及安全运维管理，形成了“五大”安全管理体系。

工业控制系统安全防护管理（制度）体系，主要包括“三级”管理（制度）体系及相关文档，如下图所示：

图7 安全管理制度“三级”体系

在一个完整的工业控制系统管理体系中，应具备六项基本职能，如下图所示：

图8 安全组织机构组织规划

制定人员行为管理规范，确定人员管理范围及职责，如：工业控制系统工程验收人员管理规范、工业控制系统安全运维管理规范、工业控制系统人员保密协议规范、工业控制系统外部人员管理规范。

工业控制系统安全是一个组织的责任，安全计划的组织实施应从决策层开始，决策层必须明确各相关机构（人员）职责，决策层应提供（或授权、委托指定机构）充足的资金和技术保障，在安全方案设计过程中应考虑国内外相关工业控制系统的安全标准。工业控制系统安全建设方案的第一步是进行需求分析，在系统设计阶段就应将安全需求纳入其中。

明确工业控制系统的风险，是风险管理的第一步，一个风险的形成过程中，并不只是系统和设备的缺陷一种因素，人员的风险意识、风险的识别能力及分析能力、风险处理措施的有效性、风险管理机制的完善程序等都是风险的重要组成因素。通过建立应急响应机构，制定应急响应预案，通过建立专家资源库、厂商资源库等人力资源措施，通过对应急响应预案不低于一年两次的演练，可以在发生紧急事件时，做到规范化操作，更快的恢复应用和数据，尽量减少损失。

某燃气集团为响应国家及企业自身要求，以满足“数智化三网分离”安全要求进行整改，涉及1个集控中心、4个门站、7个调压站、4个储备站，其中生产网、视频网、办公网共用网络设备及链路。威努特技术专家通过现场访谈及调研，对现有SCADA系统集控中心、场站数据互联、工控安全多方面进行规划设计，形成符合企业现状的建设方案。

在生产网、视频网、办公网之间部署安全隔离与信息交换系统，保证三个网络之间的隔离，并实现双向数据的安全传输。

在集控中心和场站分别部署工业互联防火墙和工业防火墙以保障生产数据安全。

在集控中心关键网络节点处旁路部署工控安全监测与审计系统，对集控中心所通过的工业协议流量进行审计，实现生产指令的实时监测与预警。

威努特技术服务工程师在不影响系统正常运行的基础上完成了病毒查杀工作，通过在SCADA服务器、操作员站上部署工控主机卫士，利用白名单技术实现了对恶意代码的有效防范，并实现移动介质管控。

本次方案建立了基于“白环境”的防护体系，针对集团当前存在的多个痛点，提出了有效的解决方案。满足集团“数智化三网分离”安全要求，为集团数智化转型提供了稳固的基础，树立了工控安全建设的新标杆。

根据工控企业当前的网络安全现状并结合工控系统运行环境相对稳定，系统更新频率较低的特点，按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》和工业和信息化部印发的【2024】14号《工业控制系统网络安全防护指南》关于工控主机安全软件的选择与管理中的要求，提出基于“白名单”机制的工业控制系统网络安全“白环境”解决方案，形成了基于“一个中心、三重防护”的纵深安全防护体系，通过对工控网络流量、工控主机状态等进行监控，收集并分析工控网络数据及软件运行状态，建立工控系统正常工作环境下的安全状态基线和模型，进而构筑工控安全“白环境”防护理念，确保：

只有被信任的设备，才能接入工控网络；

只有被信任的流量，才能在工控网络上传输；

只有被信任的软件，才允许被执行。