◆王寶來 陳安國 肖 偉

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防御體系研究

◆王寶來 陳安國 肖 偉

（開灤能源化工股份有限公司呂家坨礦業(yè)分公司 河北 063000）

隨著兩化融合的深度推進，工業(yè)控制系統(tǒng)在“設(shè)計、研發(fā)、生產(chǎn)、運營、維護”等各階段也不斷提升工業(yè)化和信息化的融合，這也導(dǎo)致工業(yè)控制系統(tǒng)在多個環(huán)節(jié)被攻擊的可能性。本文通過對當(dāng)前我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的現(xiàn)狀分析后，提出一種集網(wǎng)絡(luò)安全、全生命周期以及運維與管理體系為一體的多維度立體綜合網(wǎng)絡(luò)安全防御體系。

工業(yè)控制系統(tǒng)；安全評估；防御體系；監(jiān)測預(yù)警

1 引言

當(dāng)前，我國工業(yè)控制系統(tǒng)呈現(xiàn)出“數(shù)字化、智能化、網(wǎng)絡(luò)化”發(fā)展趨勢的同時也面臨著嚴(yán)峻的網(wǎng)絡(luò)安全威脅。隨著兩化融合的深度推進，工業(yè)控制系統(tǒng)在“設(shè)計、研發(fā)、生產(chǎn)、運營、維護”等各階段也不斷提升工業(yè)化和信息化的融合，這也導(dǎo)致工業(yè)控制系統(tǒng)在“設(shè)計、研發(fā)、生產(chǎn)、運營、維護”等多個環(huán)節(jié)被攻擊的可能性[1]。

2 工業(yè)控制系統(tǒng)工業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

當(dāng)前，我國工控網(wǎng)絡(luò)安全防護工作還處于起步階段，工業(yè)控制系統(tǒng)安全防護意識淡薄，主動開展工作的積極性不高，現(xiàn)有的安全防護手段匱乏，缺乏自我保護能力，大部分工控系統(tǒng)長期處于“亞健康”狀態(tài)，突出問題表現(xiàn)如下[1-3]：

（1）缺乏對國外工控產(chǎn)品自主安全控制手段

絕大多數(shù)的工業(yè)控制系統(tǒng)采用國外知名產(chǎn)品，系統(tǒng)投運時間較長、缺乏維護、升級空難，造成系統(tǒng)普遍存在大量漏洞和后門，對其安全性無法實現(xiàn)自主可控。

（2）工控系統(tǒng)網(wǎng)絡(luò)防御手段匱乏

工控系統(tǒng)與企業(yè)網(wǎng)絡(luò)、互聯(lián)網(wǎng)之間缺乏有效的防護策略與措施。工控系統(tǒng)所面臨的攻擊、病毒、木馬等惡意攻擊行為已經(jīng)不再是以往破壞類型，更多的是趨向于竊取、控制的類型，潛伏周期相對較長，如APT攻擊，需要專業(yè)的監(jiān)測手段與工具，才能及時掌握網(wǎng)絡(luò)中工控系統(tǒng)的安全狀況[4]。

（3）工控系統(tǒng)安全管理基礎(chǔ)薄弱

一是在現(xiàn)場關(guān)鍵工控系統(tǒng)設(shè)備與終端保護認(rèn)識不足。在多數(shù)企業(yè)，無論是管理人員還是技術(shù)人員，不了解工控系統(tǒng)網(wǎng)絡(luò)安全防護工作的內(nèi)容，認(rèn)為工業(yè)控制系統(tǒng)不需要保護，使得工業(yè)控制系統(tǒng)被攻擊路徑不斷增多，系統(tǒng)安全岌岌可危。

二是現(xiàn)場管理制度體系不健全。未建立專門的工控安全信息管理組織機構(gòu)，未設(shè)置專門管理崗位?，F(xiàn)場人員很少接受專門的工控安全培訓(xùn)，缺乏工控系統(tǒng)安全風(fēng)險識別和應(yīng)急響應(yīng)的實戰(zhàn)經(jīng)驗。

三是工控網(wǎng)絡(luò)安全應(yīng)急管理機制缺乏演練。長期不組織演練，使得方案成為“一紙空文”。

3 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全整體防御體系

基于我國工業(yè)控制系統(tǒng)產(chǎn)業(yè)長遠(yuǎn)發(fā)展規(guī)劃以及所面臨的網(wǎng)絡(luò)安全挑戰(zhàn)，以工業(yè)控制系統(tǒng)關(guān)鍵技術(shù)應(yīng)用和工藝流程特點為落腳點，研究提出一種多維度立體綜合網(wǎng)絡(luò)安全防御體系。該防御體系貫穿工業(yè)控制系統(tǒng)的全生命周期，結(jié)合協(xié)議復(fù)雜多樣、實時性強、節(jié)點計算資源有限、設(shè)備可靠性要求高、故障恢復(fù)時間短、安全機制不影響實時性等特點設(shè)計的。采用多層次的縱深協(xié)同網(wǎng)絡(luò)安全防御技術(shù)和全方位的監(jiān)控手段，不斷更新和完善技術(shù)與管理手段，以實現(xiàn)工控網(wǎng)絡(luò)可信、可控互聯(lián)和安全穩(wěn)定運行，如圖1所示。

圖1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防御體系三維架構(gòu)示意圖

3.1 縱深協(xié)同網(wǎng)絡(luò)安全防御體系

縱深防御是指基于正確劃分工業(yè)控制系統(tǒng)控制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，根據(jù)不同區(qū)域的特點，從工業(yè)控制系統(tǒng)系統(tǒng)本體、區(qū)域、邊界等方面采取多層次、系統(tǒng)性、針對性的網(wǎng)絡(luò)安全防御技術(shù)措施。

（1）本體安全防御[5]

本體安全防御（設(shè)備層和控制層）是指工控設(shè)備自身的安全性，針對工業(yè)控制系統(tǒng)自動化控制設(shè)備的網(wǎng)絡(luò)安全防護需求，突出自動控制專用網(wǎng)絡(luò)、協(xié)議應(yīng)用，依托具有深度解析工業(yè)屬性的網(wǎng)絡(luò)安全掃描設(shè)備，對工控系統(tǒng)進行脆弱性和漏洞早期探測、網(wǎng)絡(luò)安全風(fēng)險診斷，針對發(fā)現(xiàn)的問題，及時調(diào)整安全設(shè)計，通過采用補償加固等終端防護措施，使其漏洞、后門、安全缺陷等隱患得到有效控制；從長遠(yuǎn)來看，通過持續(xù)的技術(shù)創(chuàng)新，逐步實現(xiàn)工業(yè)控制系統(tǒng)設(shè)備CPU、存儲、操作系統(tǒng)內(nèi)核、基本安全算法與協(xié)議等基礎(chǔ)軟硬件的完整可信、自主可控，未來實現(xiàn)將可信平臺植入到工業(yè)業(yè)務(wù)系統(tǒng)。

（2）網(wǎng)絡(luò)安全防御

在網(wǎng)絡(luò)安全防御（網(wǎng)絡(luò)、數(shù)據(jù)以及應(yīng)用層）方面，利用工控防火墻、工控專用網(wǎng)絡(luò)與公共網(wǎng)絡(luò)問的隔離網(wǎng)關(guān)、信息傳輸加密或敏感數(shù)據(jù)存儲加密、VPN、防病毒、鑒別認(rèn)證等手段提高工控系統(tǒng)對內(nèi)外部攻擊行為的抵抗能力，并可對系統(tǒng)可能存在潛在威脅和風(fēng)險采取相應(yīng)的安全措施。例如在生產(chǎn)執(zhí)行層與管理決策層邊界部署身份鑒別、訪問控制、入侵檢測、行為審計、攻擊行為過濾等邊界防護措施；在過程控制層與生產(chǎn)執(zhí)行層邊界主要基于工業(yè)協(xié)議的深度解析，確保過程控制系統(tǒng)與現(xiàn)場控制設(shè)備之間、HMI和現(xiàn)場控制設(shè)備之間通訊與控制的合法性，通過“黑”、“白”名單相結(jié)合的防護機制，有效阻止來辦公網(wǎng)的網(wǎng)絡(luò)病毒、非法入侵、惡意控制等威脅，保障數(shù)據(jù)、應(yīng)用安全。

3.2 全生命周期網(wǎng)絡(luò)安全防御體系[1]

從系統(tǒng)規(guī)劃、設(shè)計、實施、上線、生產(chǎn)、運維到廢棄的整個漫長生命周期中，各個階段都面臨著不同的網(wǎng)絡(luò)安全問題，必須對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計一個適應(yīng)工控系統(tǒng)特性的全生命周期的網(wǎng)絡(luò)安全保障體系，以持續(xù)保障其安全可靠運行。

因此，應(yīng)當(dāng)從工業(yè)控制系統(tǒng)生命周期的維度，在系統(tǒng)規(guī)劃、分析、設(shè)計、開發(fā)、建設(shè)、驗收、運營和維護、系統(tǒng)廢棄的每一個階段都要進行網(wǎng)絡(luò)安全管理，包括：

（1）在系統(tǒng)設(shè)計和分析階段進行安全目標(biāo)、安全體系、防護藍(lán)圖等頂層設(shè)計，并將安全防護設(shè)計與系統(tǒng)設(shè)計相融合；

（2）在系統(tǒng)開發(fā)階段進行代碼安全評估，測試階段同期進行安全測試，包括產(chǎn)品選型、信息系統(tǒng)IT產(chǎn)品、工業(yè)裝備、信息系統(tǒng)安全防護產(chǎn)品和控制系統(tǒng)安全防護產(chǎn)品的安全功能測試和防護能力測試；

（3）在建設(shè)完成并驗收階段同時進行風(fēng)險評估和測評，通過集成測試、協(xié)議一致性測試，只有經(jīng)過網(wǎng)絡(luò)安全驗收測試、風(fēng)險評估、網(wǎng)絡(luò)安全保障能力評估后可上線運行，保障系統(tǒng)安全防護措施的合規(guī)性與可靠性；

（4）在運營和維護階段，應(yīng)進行周期性風(fēng)險評估，通過搭建制造工業(yè)控制系統(tǒng)攻防環(huán)境，進行深入的工控系統(tǒng)漏洞挖掘、攻防演練，及時了解工控系統(tǒng)風(fēng)險漏洞及攻擊手段、路徑，持續(xù)改進與優(yōu)化安全技術(shù)與管理措施；

（5）在系統(tǒng)廢棄階段做好系統(tǒng)數(shù)據(jù)的備份和殘余信息的銷毀等，保障系統(tǒng)保障全生命周期的系統(tǒng)安全。

3.3 全方位網(wǎng)絡(luò)安全運維與管理體系

嚴(yán)格遵守國家監(jiān)管政策要求，結(jié)合工業(yè)控制系統(tǒng)系統(tǒng)的安全防護要素，建立適應(yīng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理與運維體系，從技術(shù)、設(shè)備、人員、管理、運維等多個維度建立長效安全機制，不斷優(yōu)化改進網(wǎng)絡(luò)安全防護機制。

（1）安全管理

以風(fēng)險管理為核心，建立健全工控網(wǎng)絡(luò)安全管理與運維組織機構(gòu)，成立管理運維團隊，明確安全責(zé)任分工，重點從工業(yè)控制系統(tǒng)資產(chǎn)安全、軟件選擇與管理、配置和補丁管理、邊界安全防護、數(shù)據(jù)安全、身份認(rèn)證、遠(yuǎn)程訪問安全、安全監(jiān)測和應(yīng)急處理、供應(yīng)鏈管理、落實責(zé)任等方面制定建立符合本企業(yè)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度體系，逐漸形成長效的安全機制[6]。

（2）安全評估

針對制造工控系統(tǒng)各層級中的設(shè)備、協(xié)議、結(jié)構(gòu)、行為和流程等可能存在的威脅，進行專家周期性風(fēng)險評估，采用科學(xué)的風(fēng)險評估工具和方法，借助全面數(shù)據(jù)收集、全網(wǎng)攻擊路徑分析、結(jié)構(gòu)安全性分析、流程審計、網(wǎng)絡(luò)行為審計等手段，及時發(fā)現(xiàn)設(shè)備與系統(tǒng)漏洞以及等APT攻擊、DDoS攻擊等網(wǎng)絡(luò)安全威脅，提出網(wǎng)絡(luò)安全防護優(yōu)化與改進方案，實現(xiàn)工業(yè)控制系統(tǒng)控制網(wǎng)絡(luò)的動態(tài)安全[6]。

（3）安全監(jiān)測預(yù)警

通過對系統(tǒng)內(nèi)部的網(wǎng)絡(luò)流量、文件傳輸、訪問記錄等流量、應(yīng)用和操作行為的綜合分析與數(shù)據(jù)挖掘，分析行為特征，構(gòu)建行為模型，實現(xiàn)對已知威脅和未知威脅的感知，具備與其他安全防護技術(shù)聯(lián)動和主動防御能力，形成事前預(yù)警、事中阻止和事后追溯的管控模式。

（4）運維與應(yīng)急響應(yīng)

通過對辦公和生產(chǎn)網(wǎng)絡(luò)內(nèi)數(shù)據(jù)流量、網(wǎng)絡(luò)日志和行為特征的分析，對企業(yè)網(wǎng)絡(luò)異常實現(xiàn)動態(tài)分析與監(jiān)測預(yù)警，啟動相應(yīng)應(yīng)急響應(yīng)機制，構(gòu)建主動防御體系，實現(xiàn)持續(xù)、動態(tài)的安全運維。建立應(yīng)急響應(yīng)體系，并加強應(yīng)急演練，保障應(yīng)急演練的有效性和可操作性，保障系統(tǒng)能持續(xù)運營。

4 結(jié)語

通過對當(dāng)前我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全存在的問題以及面臨的挑戰(zhàn)，提出一種多維度立體綜合網(wǎng)絡(luò)安全防御體系。該防御體系貫穿工業(yè)控制系統(tǒng)的全生命周期，采用多層次的縱深協(xié)同網(wǎng)絡(luò)安全防御技術(shù)和全方位的安全監(jiān)控手段，不斷更新和完善技術(shù)與管理手段，以實現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)可信、可控互聯(lián)和安全穩(wěn)定運行。

[1]許鳳凱.工業(yè)控制系統(tǒng)工業(yè)控制系統(tǒng)全生命周期信息安全保障[J].自動化博覽，2016（01）.

[2]余勇.林為民.工業(yè)控制SCADA系統(tǒng)的信息安全防護體系研究[J].信息網(wǎng)絡(luò)安全，2012（05）：74-77.

[3]宗健.工業(yè)4.0時代的工控網(wǎng)絡(luò)安全防護研[J].環(huán)保安全，2016（04）.

[4]邱金龍.工業(yè)控制系統(tǒng)信息安全的未來趨勢[J].信息與電腦，2016（04）.

[5]陳庶樵，李江力，井珂.匡恩網(wǎng)絡(luò)工控網(wǎng)絡(luò)立體化之道[J].信息安全研究，2017，3（08）.

[6]張敏，張五一，韓桂芬.工業(yè)控制系統(tǒng)信息安全防護體系研究[J].工業(yè)控制計算機，2013（10）.