［關(guān)鍵詞］工業(yè)控制系統(tǒng)；網(wǎng)絡(luò)安全；安全防護(hù)

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用通信協(xié)議、通用硬件和通用軟件，且需要與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，導(dǎo)致工業(yè)控制系統(tǒng)網(wǎng)絡(luò)面臨各種網(wǎng)絡(luò)安全威脅。文章結(jié)合工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的應(yīng)用實(shí)例，構(gòu)建工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)，保證工業(yè)控制系統(tǒng)的穩(wěn)定運(yùn)行和信息安全。

1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)問題分析

1.1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的潛在威脅

（1）操作系統(tǒng)或工業(yè)控制系統(tǒng)的安全漏洞、后門程序。任何軟件系統(tǒng)都不可避免的存在各種系統(tǒng)漏洞問題，特別是工業(yè)控制系統(tǒng)，其需要考慮生產(chǎn)穩(wěn)定性問題，以及工控軟件與操作系統(tǒng)兼容性的問題。工控系統(tǒng)上線后一般不會及時(shí)對控制系統(tǒng)和運(yùn)行平臺打補(bǔ)丁，從而導(dǎo)致系統(tǒng)存在漏洞進(jìn)行運(yùn)行。即使是按照管理要求更新了補(bǔ)丁，但在升級前若測試不詳盡，則在更新后影響工業(yè)控制系統(tǒng)的正常運(yùn)轉(zhuǎn)。此外，自研工業(yè)控制系統(tǒng)設(shè)備或軟件廠商受自身技術(shù)能力限制，其自研操作系統(tǒng)存在大量的安全漏洞。

（2）病毒防范不到位。傳統(tǒng)的終端安全防護(hù)系統(tǒng)，采用的都為殺毒軟件和各種安全管家，此類安全防護(hù)系統(tǒng)的核心技術(shù)為病毒特征庫，通過特征碼的比對來發(fā)現(xiàn)惡意程序和惡意行為，這類程序有以下弊端：①特征庫的滯后。在惡意程序的發(fā)布到最終安全公司維護(hù)更新特征庫之間，存在較長的時(shí)間差，在這段時(shí)間內(nèi)惡意程序傳播的速度快，特征庫的滯后性，導(dǎo)致病毒防范不到位。②耗費(fèi)資源。病毒和木馬等的繁衍會導(dǎo)致特征庫無限擴(kuò)大，當(dāng)其擴(kuò)大到一定規(guī)模時(shí)，匹配檢查將異常耗時(shí)，即在操作站安裝殺毒軟件后病毒查殺會變得相對緩慢。③環(huán)境適配問題。特征庫需要隨時(shí)進(jìn)行聯(lián)網(wǎng)更新，但工控系統(tǒng)多數(shù)處于封閉的工業(yè)環(huán)境，與外部互聯(lián)網(wǎng)為物理隔離，無法進(jìn)行更新，這就造成了無法對最新的惡意程序進(jìn)行防范。同時(shí)，殺毒軟件存在誤殺的可能，一旦殺毒軟件將工控系統(tǒng)的組件當(dāng)做病毒殺掉，就會造成生產(chǎn)系統(tǒng)的停機(jī)，給企業(yè)帶來重大的經(jīng)濟(jì)損失[1]。

（3）使用U盤、光盤導(dǎo)致的病毒傳播。由于工控系統(tǒng)管理終端沒有實(shí)施技術(shù)措施對U盤和光盤的使用進(jìn)行有效的管理，進(jìn)而導(dǎo)致外設(shè)的無序使用而引發(fā)的安全事件時(shí)有發(fā)生。

（4）利用網(wǎng)絡(luò)連接的入侵行為。工控網(wǎng)絡(luò)與管理網(wǎng)絡(luò)及其他公共網(wǎng)絡(luò)之間缺乏有效的隔離防護(hù)措施，利用遠(yuǎn)程維護(hù)，或通過其他網(wǎng)絡(luò)手段進(jìn)行病毒木馬注入，造成信息外泄等。

（5）缺乏惡意行為檢測與發(fā)現(xiàn)能力。對于在系統(tǒng)的運(yùn)行中，潛伏的病毒、木馬和后門程序，以及在業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)時(shí)執(zhí)行的惡意動作，缺乏有力的發(fā)現(xiàn)手段、發(fā)現(xiàn)標(biāo)準(zhǔn)和發(fā)現(xiàn)能力，工控系統(tǒng)隱患大。

（6）網(wǎng)絡(luò)安全策略的漏洞。①工業(yè)控制系統(tǒng)服務(wù)器、設(shè)備等通常在配置時(shí)采用默認(rèn)的配置，對于不安全、不必要的端口不做任何限制配置策略，容易被外部惡意程序利用。②在通信鏈路配置過程，有些工業(yè)通信協(xié)議需關(guān)閉防火墻，如OPC通信協(xié)議，同時(shí)有些自動化軟件也同樣需要關(guān)閉服務(wù)器防火墻。這種主動關(guān)閉防火墻的方式給惡意代碼的傳播留下了安全隱患。③工業(yè)控制系統(tǒng)通常忽略配置相關(guān)權(quán)限管理賬號及密碼，容易被惡意攻擊破解，造成管理權(quán)限的丟失。工業(yè)控制系統(tǒng)控制權(quán)限被他人惡意利用后，會影響控制系統(tǒng)的可用性、可靠性，會帶來不可預(yù)估的損失。

1.2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施

由于工業(yè)控制系統(tǒng)的底層設(shè)備如PLC系統(tǒng)等相對封閉，計(jì)算能力有限，所以病毒木馬的首要攻擊目標(biāo)主要選擇工業(yè)控制系統(tǒng)中的操作站、服務(wù)器，并以此為跳板進(jìn)一步控制工業(yè)控制系統(tǒng)底層設(shè)備。

然而，如何杜絕或最大限度地減少這些風(fēng)險(xiǎn)和隱患，面臨著以下問題。

原有已經(jīng)運(yùn)行多年的工業(yè)自動化系統(tǒng)，還在進(jìn)行正常的生產(chǎn)工作，無法進(jìn)行全面干預(yù)，否則影響正常生產(chǎn)。即使進(jìn)行全面分析，也將面臨著龐大的工業(yè)自動化信息系統(tǒng)，且沒有源代碼，很難對實(shí)際運(yùn)行程序的內(nèi)部機(jī)理，有全面、客觀、完全真實(shí)的認(rèn)識，易隱藏、潛伏病毒木馬和后門程序等。

即使工業(yè)自動化開發(fā)公司提供源碼，也是海量的代碼，其對各個(gè)系統(tǒng)內(nèi)的代碼級關(guān)聯(lián)關(guān)系等的分析，工作量巨大，需要對各行業(yè)及不同工業(yè)系統(tǒng)進(jìn)行分析。在海量的代碼中隱藏一段，或分段切片后的惡意代碼成本相當(dāng)?shù)土?，而從中分析出來的成本卻較為高昂，且基本上不可能實(shí)現(xiàn)。

在現(xiàn)階段情況下，工業(yè)自動化系統(tǒng)常采取的措施是，將工業(yè)自動化系統(tǒng)單獨(dú)置于一個(gè)內(nèi)部網(wǎng)絡(luò)中，不和互聯(lián)網(wǎng)、辦公網(wǎng)進(jìn)行對接，切斷遠(yuǎn)程植入和觸發(fā)的條件。但惡意組織的觸發(fā)和滲透，卻并不簡單，甚至是在多次正常的升級、維護(hù)過程中滲透進(jìn)來的。同時(shí)，隨著信息化的發(fā)展，部分企業(yè)為提高效率、節(jié)省成本、擴(kuò)展前端業(yè)務(wù)等，模糊了工控網(wǎng)絡(luò)的邊界，帶來了巨大的安全隱患。

2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)解決方案

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)包括了工業(yè)生產(chǎn)的現(xiàn)場層、控制層和生產(chǎn)管理層，層級架構(gòu)清晰且整體功能架構(gòu)獨(dú)立，外部只與企業(yè)管理層相連，所以需降低接入企業(yè)管理層引入的風(fēng)險(xiǎn)，劃分安全域，進(jìn)行隔離防護(hù)。其他安全性和可靠性要求，在主要的安全區(qū)可根據(jù)功能進(jìn)一步劃分成子區(qū)。這樣一旦發(fā)生網(wǎng)絡(luò)安全事故，就能將事故影響隔離在某一區(qū)域，不至于影響整個(gè)生產(chǎn)系統(tǒng)，大幅提高工廠生產(chǎn)安全運(yùn)行的可靠性，同時(shí)降低由此帶來的其他風(fēng)險(xiǎn)。

（1）邊界隔離。在PLC前端部署分布式工業(yè)防火墻（部署模式靈活，可根據(jù)用戶需求采取網(wǎng)關(guān)模式或旁路模式，避免對正常的生產(chǎn)活動造成影響），在生產(chǎn)管理層和企業(yè)管理層，即在工控網(wǎng)絡(luò)和企業(yè)辦公網(wǎng)絡(luò)之間采取隔離措施，部署工業(yè)網(wǎng)閘。一方面對網(wǎng)絡(luò)進(jìn)行區(qū)域劃分，隔離出不同的安全域；另一方面通過策略設(shè)置，只允許合法的數(shù)據(jù)在兩個(gè)網(wǎng)絡(luò)之間進(jìn)行交換，阻擋來自企業(yè)管理層對生產(chǎn)管理層未經(jīng)授權(quán)的非法訪問，同時(shí)也防止企業(yè)辦公網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊、病毒、木馬感染擴(kuò)散到工控網(wǎng)絡(luò)。

（2）安全環(huán)境。在各個(gè)服務(wù)器、操作員站和工程師站部署安全白名單系統(tǒng)，形成安全白環(huán)境。基于白名單技術(shù)的終端應(yīng)用管理系統(tǒng)，可自動攔截所有未經(jīng)授權(quán)的應(yīng)用程序的運(yùn)行，同時(shí)，當(dāng)移動存儲介質(zhì)未授權(quán)接入到工控各工作站時(shí)，也會產(chǎn)生警報(bào)，方便管理人員及時(shí)進(jìn)行處理。該系統(tǒng)創(chuàng)建的安全白環(huán)境，可確保服務(wù)器和工作站不受病毒、木馬、黑客程序、惡意軟件的侵襲，消除了安全隱患，確保了工業(yè)控制系統(tǒng)的安全、穩(wěn)定運(yùn)行。

（3）運(yùn)維審計(jì)。通過設(shè)置安全策略、審計(jì)系統(tǒng)和配合安全管理制度，禁止廠家或經(jīng)銷商的運(yùn)維人員直接對服務(wù)器和工作站進(jìn)行操作。同時(shí)必須通過運(yùn)維服務(wù)器進(jìn)行維護(hù)，一方面確保操作系統(tǒng)口令不被外泄，另一方面，通過運(yùn)維服務(wù)器進(jìn)行維護(hù)可限制運(yùn)維人員的操作權(quán)限，只分配給所完成工作的最小權(quán)限，防止運(yùn)維人員執(zhí)行各種高危指令。此外，還應(yīng)對運(yùn)維人員的操作進(jìn)行記錄和審計(jì)，以在發(fā)生安全事件后進(jìn)行追查和問責(zé)。

2.1 數(shù)據(jù)安全網(wǎng)閘系統(tǒng)

安全網(wǎng)閘系統(tǒng)部署于既要隔離又需要進(jìn)行交換數(shù)據(jù)的網(wǎng)絡(luò)之間，用于數(shù)據(jù)的安全傳輸。該系統(tǒng)采用專用信息傳遞機(jī)制，有效地克服了由于網(wǎng)絡(luò)隔離引起的數(shù)據(jù)交換問題，既保持了網(wǎng)絡(luò)之間隔離的特性，同時(shí)又提供了一種安全、有效的數(shù)據(jù)傳輸途徑。網(wǎng)閘系統(tǒng)采用總線級方式，構(gòu)建了非網(wǎng)絡(luò)模式的數(shù)據(jù)交互機(jī)制，與目標(biāo)網(wǎng)絡(luò)不產(chǎn)生網(wǎng)絡(luò)鏈接，并采用非標(biāo)準(zhǔn)協(xié)議構(gòu)成安全隧道，保障了數(shù)據(jù)傳輸?shù)陌踩?。安全網(wǎng)閘系統(tǒng)既保證了外部辦公網(wǎng)絡(luò)對工控系統(tǒng)數(shù)據(jù)的訪問，滿足了企業(yè)的業(yè)務(wù)需求，又確保了訪問形式是隔離及安全可靠的，徹底杜絕了因辦公網(wǎng)絡(luò)的接入使工控系統(tǒng)感染病毒、木馬的可能，消除了安全隱患。

2.2 白名單系統(tǒng)

白名單技術(shù)指創(chuàng)建預(yù)先批準(zhǔn)或受信任的應(yīng)用及進(jìn)程列表，僅允許這些“已知良好”的應(yīng)用和進(jìn)程運(yùn)行，并默認(rèn)阻止其他一切，其能夠更好地解決工業(yè)環(huán)境的安全問題。

白名單系統(tǒng)可對終端計(jì)算機(jī)啟動、加載、運(yùn)行的全生命周期進(jìn)行安全保護(hù)。系統(tǒng)結(jié)構(gòu)主要分為白名單環(huán)境的建立和運(yùn)行時(shí)監(jiān)控，如圖1所示。

（1）白名單環(huán)境的建立。由于終端環(huán)境的復(fù)雜性，導(dǎo)致每個(gè)終端的白名單需求并不完全相同，需要一個(gè)自動化的白名單構(gòu)建系統(tǒng)。該系統(tǒng)首先通過快速的查找磁盤上的所有文件及文件夾，可自動化的構(gòu)建可執(zhí)行程序、模塊腳本等基準(zhǔn)白名單庫。

（2）運(yùn)行時(shí)監(jiān)控。應(yīng)用程序白名單子系統(tǒng)，從安全、性能和功能3個(gè)角度實(shí)現(xiàn)了系統(tǒng)加載后的安全防護(hù)。其主要從靜態(tài)監(jiān)測和動態(tài)監(jiān)測兩個(gè)方向?qū)崿F(xiàn)對系統(tǒng)安全的檢查防護(hù)。靜態(tài)監(jiān)測包括PE格式監(jiān)測、腳本檢測、驅(qū)動服務(wù)監(jiān)測、重點(diǎn)目錄監(jiān)測4種監(jiān)測方式。動態(tài)監(jiān)測包括運(yùn)行時(shí)的狀態(tài)監(jiān)測、注冊表監(jiān)測，重點(diǎn)目錄防護(hù)、外設(shè)監(jiān)測、網(wǎng)絡(luò)連接監(jiān)測4種監(jiān)測方式。

2.3 工控運(yùn)維服務(wù)器

工控運(yùn)維服務(wù)器是一套安全運(yùn)維審計(jì)系統(tǒng)，可對運(yùn)維人員的操作權(quán)限進(jìn)行控制和操作行為審計(jì)，解決了運(yùn)維人員權(quán)限難以控制的混亂局面，又可對違規(guī)操作行為進(jìn)行控制和審計(jì)，并且由于運(yùn)維操作本身不會產(chǎn)生大規(guī)模的流量，因此不會成為性能的瓶頸。運(yùn)維審計(jì)系統(tǒng)構(gòu)成如圖2所示。

工控運(yùn)維服務(wù)器可將自身的系統(tǒng)用戶名、口令、IP、端口等全部交由運(yùn)維服務(wù)器進(jìn)行管理，管理員通過常規(guī)方法以自己的用戶口令連接運(yùn)維服務(wù)平臺管理服務(wù)器，與正常操作無異，但能通過對管理行為的審計(jì)、準(zhǔn)入來保護(hù)服務(wù)器的安全。

此外，運(yùn)維審計(jì)系統(tǒng)對工控網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)監(jiān)控，能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)動態(tài)，并準(zhǔn)確的記錄網(wǎng)絡(luò)中發(fā)生的一切，便于回查分析網(wǎng)絡(luò)狀態(tài)。

3 結(jié)束語

經(jīng)過實(shí)際測試驗(yàn)證，將工業(yè)控制系統(tǒng)劃分安全域，進(jìn)行隔離防護(hù)，構(gòu)建以綜合運(yùn)用數(shù)據(jù)安全網(wǎng)閘、終端安全白環(huán)境和運(yùn)維審計(jì)等技術(shù)的安全體系架構(gòu)，可有效保障工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全，提高工業(yè)控制系統(tǒng)可靠性。在等保2.0時(shí)代，該實(shí)施方案的研究應(yīng)用能為各工業(yè)生產(chǎn)領(lǐng)域工業(yè)控制系統(tǒng)安全防護(hù)提供參考，以應(yīng)對各類網(wǎng)絡(luò)風(fēng)險(xiǎn)及挑戰(zhàn)。