瞿宇辰

（四川九洲電器集團(tuán)有限公司，四川綿陽，621000）

0 引言

就目前所整理的安全問題來看，其中呈現(xiàn)出事件頻發(fā)、上報(bào)數(shù)量逐年增多的特點(diǎn)，說明技術(shù)的發(fā)展給了網(wǎng)絡(luò)問題滋生的條件，但所面臨的問題并非難治之癥，需要在合理分析現(xiàn)有問題的前提下，就其中可改善的部分給定完善意見，從而更好的抵御外來網(wǎng)絡(luò)干擾。通過給出解決思路能夠更好的踐行服務(wù)國民生活和提升生活質(zhì)量的需求，因此要求技術(shù)人員要深化個(gè)人專業(yè)能力，針對(duì)性的構(gòu)建安全防御體系。

1 工業(yè)控制網(wǎng)絡(luò)的安全問題分析

1.1 當(dāng)前工業(yè)控制網(wǎng)絡(luò)安全問題的基本特點(diǎn)

結(jié)合大量數(shù)據(jù)信息可以看出，目前工業(yè)控制網(wǎng)絡(luò)的安全性較低，在信息化逐漸深入的狀態(tài)下，安全事件頻發(fā)在預(yù)料之中，但相較于普通互聯(lián)網(wǎng)安全問題，以工業(yè)控制網(wǎng)絡(luò)為背景的問題對(duì)于經(jīng)濟(jì)發(fā)展的打擊需要著重考量，若持續(xù)較長的時(shí)間，會(huì)導(dǎo)致經(jīng)濟(jì)效益甚至是人員安全均受到一定的損失，不利于我國開展經(jīng)濟(jì)建設(shè)活動(dòng)[1]。而分析現(xiàn)有工控網(wǎng)絡(luò)問題需要結(jié)合其所展現(xiàn)的基本特點(diǎn)，生產(chǎn)網(wǎng)和辦公網(wǎng)組成網(wǎng)絡(luò)體系，其中生產(chǎn)網(wǎng)遭受網(wǎng)絡(luò)攻擊對(duì)于現(xiàn)實(shí)經(jīng)濟(jì)效益的影響更為明顯，因此需要確定安全問題的具體特征。就生產(chǎn)網(wǎng)中所面臨的問題來看，其中涵蓋黑客惡意攻擊、工控機(jī)中毒、終端控制系統(tǒng)漏洞等不利事件，嚴(yán)重影響工控網(wǎng)絡(luò)系統(tǒng)的安全性。由此可見，需要針對(duì)工控網(wǎng)絡(luò)保護(hù)中的薄弱環(huán)節(jié)展開研討。

1.2 工業(yè)控制網(wǎng)絡(luò)保護(hù)的薄弱環(huán)節(jié)

1.2.1 保護(hù)力度不足

由于多數(shù)管理者片面的認(rèn)為在外部網(wǎng)絡(luò)與工控網(wǎng)絡(luò)中建立物理隔離系統(tǒng)即可保障安全，因而將管理和技術(shù)作用的重點(diǎn)聚焦到與工控網(wǎng)絡(luò)相連的外部網(wǎng)絡(luò)上，忽視了自身安全問題的研究，使得目前所構(gòu)建的保護(hù)系統(tǒng)仍存在諸多問題，而就保護(hù)力度這一層面呈現(xiàn)出結(jié)構(gòu)、設(shè)備、行為、技術(shù)等要素重視程度不高的問題。具體體現(xiàn)在以下幾點(diǎn)：（1）結(jié)構(gòu)方面：缺少風(fēng)險(xiǎn)評(píng)估的措施，沒能就網(wǎng)絡(luò)邊界保護(hù)給出對(duì)應(yīng)的管理舉措，使得相關(guān)企業(yè)所設(shè)置的生產(chǎn)控制網(wǎng)與信息網(wǎng)直接相連，有些生產(chǎn)網(wǎng)甚至可通過VPN直接訪問，外部用戶能夠獲取到SCADA系統(tǒng)中的數(shù)據(jù)信息，即便是設(shè)置了防火墻，但管理信息網(wǎng)與工控網(wǎng)處在同一網(wǎng)段，不利于保護(hù)系統(tǒng)的數(shù)據(jù)安全；（2）設(shè)備方面：由于技術(shù)的限制，我國目前在工控網(wǎng)安全系統(tǒng)中所使用的設(shè)備來源于國外，其中涉及到設(shè)備缺陷和協(xié)議問題，容易出現(xiàn)漏洞難以修復(fù)的不良影響，無法實(shí)現(xiàn)自主管控，因此一定程度上抑制了組件的可靠性產(chǎn)出，使得工控網(wǎng)系統(tǒng)缺乏風(fēng)險(xiǎn)管理能力；（3）行為方面：在此方面主要表現(xiàn)為缺少設(shè)置安全審計(jì)的作業(yè)，存在著IP公用的情況，無法在第一時(shí)間發(fā)現(xiàn)系統(tǒng)中所出現(xiàn)的異常行為，說明所設(shè)計(jì)的保護(hù)防御體系不具備監(jiān)控與審計(jì)的能力；（4）技術(shù)實(shí)現(xiàn)方面：上文提到設(shè)備多來源于國外，自然在控制系統(tǒng)管理方面缺乏自主自控能力，無法針對(duì)其中的服務(wù)設(shè)計(jì)可信計(jì)算模式[2]。

1.2.2 保護(hù)體系理論缺失

信息網(wǎng)與工控網(wǎng)之間存在著管理上的差別，但部分人員直接將信息網(wǎng)的安全防護(hù)理論應(yīng)用于工控網(wǎng)中，沒能認(rèn)清二者之間的差異，因此所設(shè)定的保護(hù)系統(tǒng)不具備科學(xué)理論的支持。首先，兩類網(wǎng)絡(luò)機(jī)制在保護(hù)需求方面存在差異，工控網(wǎng)面對(duì)的是各類控制系統(tǒng)，工作目標(biāo)是避免業(yè)務(wù)數(shù)據(jù)和控制系統(tǒng)遭受破壞，而信息網(wǎng)面對(duì)的是業(yè)務(wù)系統(tǒng)，其管理目標(biāo)是不被攻擊者竊取關(guān)鍵信息[3]。其次，業(yè)務(wù)請(qǐng)求響應(yīng)時(shí)間上不同，工控網(wǎng)響應(yīng)時(shí)間短，一般要求在毫秒級(jí)，而信息網(wǎng)為百毫秒級(jí)。最后，更新周期不同，工控網(wǎng)要保證不間斷運(yùn)轉(zhuǎn)，不能隨意設(shè)置重啟或停機(jī)的操作，難以實(shí)現(xiàn)更新作業(yè)，而信息網(wǎng)需要及時(shí)更新安全補(bǔ)丁，具備更新周期短的特點(diǎn)。因此，完全套用信息網(wǎng)系統(tǒng)保護(hù)理論不足以應(yīng)對(duì)工控網(wǎng)的安全問題。

1.2.3 設(shè)備資產(chǎn)監(jiān)管程度不夠

相關(guān)企業(yè)在開展設(shè)備監(jiān)管的環(huán)節(jié)，對(duì)于其中所包含的類型和數(shù)量的認(rèn)知不夠清晰，使得所構(gòu)建的資產(chǎn)視圖并不具備現(xiàn)實(shí)作用，出現(xiàn)設(shè)備變更等也難以形成對(duì)應(yīng)的報(bào)告，無從考證設(shè)備重置的狀態(tài)。并且部分企業(yè)所構(gòu)建的業(yè)務(wù)系統(tǒng)中缺少對(duì)終端設(shè)備接入的管理措施，為外部網(wǎng)絡(luò)攻擊提供跳板，對(duì)于全面掌控能力的提升是種抑制。因此，所形成的網(wǎng)絡(luò)不具備及時(shí)感知安全問題的能力，自然難以對(duì)攻擊事件作出反應(yīng)，給出反制的方案[4]。

2 工業(yè)控制網(wǎng)絡(luò)安全問題的解決思路

2.1 準(zhǔn)確分析工控網(wǎng)絡(luò)的特點(diǎn)

工業(yè)控制安全防御體系特點(diǎn)研究需要基于其所應(yīng)對(duì)的作業(yè)項(xiàng)目以及其安全保護(hù)需求來看。由于信息網(wǎng)絡(luò)與工業(yè)控制網(wǎng)絡(luò)所具備的安全保護(hù)需求有所差別，因此不能將信息網(wǎng)絡(luò)中所采用的體系直接應(yīng)用于此，需要準(zhǔn)確分析工控網(wǎng)安全防御體系所具備的特點(diǎn)。首先對(duì)于工控網(wǎng)而言，其區(qū)別與信息網(wǎng)絡(luò)可隨時(shí)予以更新的特點(diǎn)，能夠?qū)I(yè)務(wù)請(qǐng)求的響應(yīng)時(shí)間控制在毫秒級(jí)的范圍內(nèi)，所采用的加密等安全保護(hù)機(jī)制，應(yīng)當(dāng)滿足響應(yīng)時(shí)間以及通信協(xié)議的相關(guān)要求。對(duì)于OPC協(xié)議而言，如果按照信息網(wǎng)絡(luò)處理方式施行加密機(jī)制的辦法，使得業(yè)務(wù)相應(yīng)時(shí)間予以提升，擴(kuò)展為之前的5～8倍，則可能會(huì)影響到工控網(wǎng)運(yùn)行的穩(wěn)定性和安全性能，因而對(duì)于工控網(wǎng)來講，要保證其協(xié)議報(bào)文的完整程度，并考量傳輸兩端身份的合法性。其次界定網(wǎng)絡(luò)環(huán)境使其具備清晰明確的特點(diǎn)，面對(duì)信息網(wǎng)絡(luò)所具備的互通互聯(lián)特性，使得在此種網(wǎng)絡(luò)基礎(chǔ)上開展操作行為、連接終端設(shè)備等，不存在明確的局限內(nèi)容，因此網(wǎng)絡(luò)編制也不夠明確，使得在開展安全保護(hù)作業(yè)的過程中，所面臨的網(wǎng)絡(luò)環(huán)境更為復(fù)雜，提升了控制的難度。而工業(yè)控制網(wǎng)絡(luò)，其所具備的特點(diǎn)是邊界較為清晰可信，使得終端設(shè)備連接通信協(xié)議以及其他操作行為均可在可控的網(wǎng)絡(luò)環(huán)境內(nèi)開展，通過一定的措施明確了上述操作行為的邊界范圍，所形成的研究對(duì)象更為有限。最后結(jié)合工控網(wǎng)的基本特點(diǎn)，在設(shè)計(jì)安全防御體系的過程中，要充分考量其所使用的免疫學(xué)理論是否適用于所建項(xiàng)目。

2.2 全面推行先進(jìn)的管理理念

對(duì)于安全管理理念的升級(jí)要立足于現(xiàn)階段工控網(wǎng)所遭受的攻擊類型，對(duì)于封閉的網(wǎng)絡(luò)同樣要提升管理意識(shí)，由于惡意病毒等可攻擊現(xiàn)有內(nèi)部封閉網(wǎng)絡(luò)，因此為其設(shè)設(shè)置防御系統(tǒng)十分必要。并且，對(duì)于生產(chǎn)網(wǎng)和辦公網(wǎng)要采取不同的機(jī)制，生產(chǎn)網(wǎng)設(shè)置白名單，辦公網(wǎng)設(shè)置黑名單，不同的機(jī)制下，所提供的數(shù)據(jù)才能夠被合理應(yīng)用。而對(duì)于生產(chǎn)網(wǎng)和辦公網(wǎng)而言，其所構(gòu)建的系統(tǒng)特質(zhì)也要有所區(qū)別，辦公網(wǎng)的構(gòu)建是為了更好的聯(lián)系不同區(qū)域，完成信息數(shù)據(jù)傳輸和人員交互的任務(wù)，因此要設(shè)定符合廣域網(wǎng)的系統(tǒng)，生產(chǎn)網(wǎng)是連接安全網(wǎng)關(guān)，將小局域網(wǎng)予以連接，因此要滿足局域網(wǎng)布控的要求，避免出現(xiàn)病毒等擴(kuò)散至其他區(qū)域的情況。

2.3 設(shè)置專業(yè)的工控防火墻

通過配置專業(yè)專用的防火墻能夠支撐網(wǎng)絡(luò)協(xié)議識(shí)別并過濾掉其中通訊協(xié)議的數(shù)據(jù)信息，利用內(nèi)置自動(dòng)化過濾模塊的方式，充分彌補(bǔ)原有防火墻難以完成過濾任務(wù)的缺口，準(zhǔn)確應(yīng)用OPC協(xié)議等，就工控網(wǎng)安全設(shè)置可行性的措施。為達(dá)到深度包解析的效果，應(yīng)用相應(yīng)的解析檢測(cè)技術(shù)和應(yīng)用層通訊追蹤技術(shù)能夠?qū)⒐た鼐W(wǎng)協(xié)議解析到指令層，起到阻斷、攔截非法指令、協(xié)議的作用，有效防護(hù)關(guān)鍵控制器，提升整體的安全性能[5]。

2.4 設(shè)計(jì)安全防御系統(tǒng)

2.4.1 劃分防御區(qū)域

一般將安全防御體系劃分成三個(gè)可行區(qū)域，其中包括終端設(shè)備、傳輸信道和網(wǎng)絡(luò)邊界，不同的區(qū)域發(fā)揮出應(yīng)用的效能。就網(wǎng)絡(luò)邊界而言，其所起到的作用是劃定工控網(wǎng)的網(wǎng)絡(luò)構(gòu)建范圍，避免不屬于此邊界范圍的外部攻擊行為作用于內(nèi)部系統(tǒng)，通過傳輸信道的監(jiān)控作用，對(duì)所傳輸?shù)臄?shù)據(jù)信息予以監(jiān)管，能夠及時(shí)發(fā)現(xiàn)當(dāng)中所包含的異常行為，并給出響應(yīng)[6]。最終，在終端設(shè)備的宏觀調(diào)調(diào)控下，監(jiān)控運(yùn)行狀況，將可疑終端設(shè)備等阻斷在邊界外，所形成的區(qū)域模型圖如圖1所示。

圖1 防御體系區(qū)域模型圖

通過分析該防御體系區(qū)域模型可以發(fā)現(xiàn)，要想完善工控網(wǎng)要確保具備明確的邊界，并將其分為人機(jī)交互和數(shù)據(jù)傳輸接口兩大類。其中，人機(jī)交互接口是指用戶與工控網(wǎng)產(chǎn)生交互外設(shè)類型，例如鼠標(biāo)等，應(yīng)當(dāng)管理審計(jì)機(jī)制和行為，從而使得操作指令和業(yè)務(wù)數(shù)據(jù)等在滿足對(duì)應(yīng)程序訪問要求的前提下運(yùn)行，保證數(shù)據(jù)信息的安全。而數(shù)據(jù)傳輸接口指的是產(chǎn)生數(shù)據(jù)交換行為的其他區(qū)域網(wǎng)絡(luò)與系統(tǒng)所構(gòu)建的外設(shè)接口類型，例如USB接口，此類接口仍需要實(shí)施管控措施，例如設(shè)置檢測(cè)機(jī)制、封閉不必要接口等，合理管控?cái)?shù)據(jù)傳輸接口。

2.4.2 設(shè)置防御體系結(jié)構(gòu)

防御體系結(jié)構(gòu)是在防御屬性的要求下創(chuàng)建，其中包含安全機(jī)制、安全服務(wù)和網(wǎng)絡(luò)協(xié)議，不同的協(xié)議層次均包括相應(yīng)的安全管理機(jī)制[7]。應(yīng)用層、網(wǎng)絡(luò)層、傳輸層、鏈路層和物理層構(gòu)成了網(wǎng)絡(luò)協(xié)議，而安全服務(wù)能夠?qū)崿F(xiàn)內(nèi)容識(shí)別、設(shè)備鑒別、行為審計(jì)等操作，對(duì)于提升防御效能的作用不言而喻，有效保證網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息保持完整性，及時(shí)響應(yīng)異常情況。而不同的網(wǎng)絡(luò)層次可提供不同的服務(wù)，需要針對(duì)其中的差別設(shè)置針對(duì)性的配置方案。例如，在物理層，可實(shí)現(xiàn)邊界保護(hù)和容錯(cuò)容侵，而傳輸層能夠起到保持?jǐn)?shù)據(jù)完成性和識(shí)別內(nèi)容的作用。安全機(jī)制的構(gòu)建要與安全服務(wù)產(chǎn)生對(duì)應(yīng)關(guān)系，即其中所包含的技術(shù)措施要能夠?qū)崿F(xiàn)相應(yīng)的服務(wù)內(nèi)容。通過建立冗余備份、攻擊阻斷、事件分析與展示、協(xié)議深度解析、數(shù)據(jù)安全訪問與保護(hù)、接入控制和區(qū)域劃分與隔離機(jī)制達(dá)到一對(duì)一或者一對(duì)多的關(guān)系，進(jìn)而實(shí)現(xiàn)安全防護(hù)。本文以構(gòu)建區(qū)域隔離與劃分機(jī)制為例，闡釋其中所涵蓋的對(duì)應(yīng)關(guān)系。在工控網(wǎng)中，信息互聯(lián)互通是行使效用的一項(xiàng)基本任務(wù)，其屬于信息網(wǎng)絡(luò)的基本特征，但工控網(wǎng)要在此基礎(chǔ)上加上能夠支撐業(yè)務(wù)流轉(zhuǎn)與運(yùn)行的技術(shù)，保證其按照安全穩(wěn)定的需求運(yùn)行，因此要切實(shí)管控網(wǎng)絡(luò)邊界問題，使其具備可控的特征。而所構(gòu)建的區(qū)域隔離與劃分機(jī)制是合理分區(qū)的結(jié)果，就其內(nèi)部各部分功能的不同采取相應(yīng)的隔離措施，不同功能區(qū)得以劃分，實(shí)現(xiàn)內(nèi)部與外部的合理分界，提升工控網(wǎng)防御能力，為其他機(jī)制的構(gòu)建做好鋪墊[8]。除了區(qū)域隔離與劃分對(duì)應(yīng)邊界保護(hù)的需求外，其他安全服務(wù)與機(jī)制間的對(duì)應(yīng)關(guān)系是：設(shè)備鑒別——接入控制機(jī)制、數(shù)據(jù)完整性——數(shù)據(jù)安全訪問與保護(hù)機(jī)制、內(nèi)容識(shí)別——協(xié)議深度解析機(jī)制、行為審計(jì)——事件分析與展示機(jī)制、容錯(cuò)容侵——攻擊阻斷和冗余備份機(jī)制。由此可見，完整的防御體系結(jié)構(gòu)要具備“5+6+7”的功能。

2.4.3 建立防御體系框架

通過大量研究結(jié)果表明，生物體的免疫系統(tǒng)與工控網(wǎng)安全保護(hù)之間的關(guān)系較為密切，其中存在較多的相似點(diǎn)，因此可基于生物體免疫系統(tǒng)的形態(tài)創(chuàng)建防御體系框架。在建立安全防御體系的環(huán)節(jié)，要滿足其具備其他區(qū)域與網(wǎng)絡(luò)的出口，設(shè)定科學(xué)的訪問控制辦法，隔離內(nèi)外部區(qū)域，構(gòu)建資產(chǎn)管控體系，針對(duì)設(shè)備資產(chǎn)的可信度予以評(píng)測(cè)，只有滿足可信度標(biāo)準(zhǔn)的設(shè)備資產(chǎn)方可進(jìn)入到內(nèi)部系統(tǒng)中，保證交互行為的可控與安全，所提供的交互行為更加可信，避免出現(xiàn)因蓄意攻擊而導(dǎo)致系統(tǒng)安全性受損的問題。可疑信息要被及時(shí)發(fā)現(xiàn)并作出相應(yīng)是接入感知機(jī)制構(gòu)建的現(xiàn)實(shí)意義，聯(lián)系異常行為監(jiān)測(cè)功能保證異常行為和可疑終端能夠被第一時(shí)間發(fā)現(xiàn)，確保各項(xiàng)業(yè)務(wù)在安全訪問的環(huán)境下進(jìn)行作業(yè)。防御體系框架中除了以上所述的結(jié)構(gòu)外，還需要增設(shè)檢測(cè)網(wǎng)絡(luò)環(huán)境變化的自適應(yīng)機(jī)制以及排除異常恢復(fù)策略等，所形成的框架如圖2所示。

圖2 安全防御體系的框架圖

2.4.4 生產(chǎn)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)想

首先，要確定工控網(wǎng)的自動(dòng)化網(wǎng)絡(luò)安全控制結(jié)構(gòu)，其中包含企業(yè)網(wǎng)、監(jiān)視網(wǎng)和控制網(wǎng)，以上所述的三層網(wǎng)絡(luò)具備一定的獨(dú)立性，安全網(wǎng)起到“橋梁”的作用，能夠?qū)崿F(xiàn)數(shù)據(jù)采集、儲(chǔ)存、傳輸、監(jiān)視、展示等作用，為日常辦公提供數(shù)據(jù)信息支持，分析監(jiān)視層和控制層級(jí)，防止出現(xiàn)病毒擴(kuò)散影響其他控制系統(tǒng)結(jié)構(gòu)的問題，降低損失。其次，準(zhǔn)確按照管理模式和特點(diǎn)設(shè)定結(jié)構(gòu)圖，在其中設(shè)置好井站、中心站和作業(yè)區(qū)等的布局形態(tài)。就井站而言，應(yīng)用以太網(wǎng)交換機(jī)作為連接其他場(chǎng)站的結(jié)構(gòu)，將DSC、PLC等組建成控制網(wǎng)，并確保中心站和網(wǎng)關(guān)緊密相連，利用白名單的防火墻功能，設(shè)定可通過的網(wǎng)絡(luò)協(xié)議，例如：雙向語音對(duì)講等，過濾ModBus協(xié)議，實(shí)現(xiàn)高效與安全兼顧的目標(biāo)。中心站設(shè)想是在其所從場(chǎng)站接收的生產(chǎn)數(shù)據(jù)所確定，起到連接生產(chǎn)系統(tǒng)和工控機(jī)的作用，一般將工控機(jī)設(shè)置在安全防護(hù)客戶端，保證服務(wù)器和工控機(jī)能夠使與其相連的作業(yè)區(qū)所傳輸?shù)臄?shù)據(jù)信息更具有應(yīng)用價(jià)值，同時(shí)也要運(yùn)用白名單的防火墻功能，過濾OPC協(xié)議，僅能通過生產(chǎn)視頻監(jiān)控端口等。其他結(jié)構(gòu)間無需設(shè)置工控防火墻，利用一體化的安全防護(hù)平臺(tái)，將通過審計(jì)的數(shù)據(jù)上傳到辦公網(wǎng)絡(luò)上，保證其能準(zhǔn)確利用。由此可見，此種生產(chǎn)網(wǎng)絡(luò)安全防護(hù)結(jié)構(gòu)的具備即便是控制終端等被惡意利用也無法提供訪問服務(wù)或者阻止錯(cuò)誤指令的優(yōu)勢(shì)，其既能夠使OPC協(xié)議通過，避免出現(xiàn)病毒擴(kuò)散的問題，體現(xiàn)出對(duì)工控網(wǎng)安全問題的管控結(jié)果。