工業控制系統網絡安全存在的問題及改進措施

溫曉明，賈 斌

（山東鋼鐵集團日照有限公司，山東日照 276800）

0 引言

隨著工業互聯網的發展、鋼鐵行業信息化的推進，EMS（能源管理系統）和MES（生產過程執行系統）建設日益增多，這些子系統負責原料供應、焦化、燒結、除塵、煉鐵、煉鋼、連鑄、熱軋以及冷軋等多工序的控制任務，一旦受到惡性攻擊或者病毒的襲擊，將導致工業控制系統的控制組件和整個生產線停運，甚至造成傷亡等嚴重后果。工業控制網絡安全十分重要，第一，它的保護攻擊主題是特殊的，不同于傳統的網絡攻擊，如網絡欺詐和網絡入侵，目的是賺錢和利潤。從一般意義上說，工業入侵者不會是“黑客”，但可能是恐怖組織甚至敵對勢力支持的組織；其次，攻擊和破壞的后果嚴重。

在自動化發展的初期，工廠控制系統網絡相對封閉，工業控制系統一度被認為是絕對獨立的，不可能受到外部網絡攻擊的。但近年來，為了實現實時數據采集和生產控制，通過邏輯隔離，滿足“ 兩化融合”的需求和管理的便利性。工業互聯網的興起，遠程運維需求迫切，通過互聯網對工業控制系統的網絡攻擊也逐年增加，國內外生產企業已經加快了工業控制系統的安全控制措施的建設。

1 工業控制網絡的安全需求

1.1 網絡邊界防護需求

生產網絡內邊界缺乏有效的防護措施，無法有效保護各業務系統的安全。

1.2 遠程訪問防護需求

生產控制網絡存在遠程維護通道，很多工業控制設備維護依賴提供商，由此也帶來了入侵的途徑，存在一定的安全隱患。

1.3 網絡監測與審計需求

生產網絡內缺少安全審計設備，無法對網絡中的攻擊行為、數據流量、重要操作等進行監測審計，一旦出現安全事故無法進行事后審計。

1.4 操作系統漏洞管理需求

生產網絡中的工控機多數使用微軟、Linux 操作系統，由于生產控制網絡的封閉及控制系統對業務實時性要求較高，無法進行正常的系統漏洞升級操作，導致使用的微軟操作系統存在大量安全漏洞。

1.5 惡意代碼風險防范需求

生產系統中工業控制主機操作系統沒有安裝殺毒軟件，或者安裝殺毒軟件，但限于工業網絡狀態，缺少惡意代碼防護功能，長期沒有代碼更新，一旦受到惡意代碼攻或感染，容易導致工業控制系統受到攻擊，引發運行事件，甚至造成人員財產損失。

1.6 外設接口風險防護需求

生產系統內等工業控制主機可以通過移動介質傳播，如U盤等，移動介質在管理網絡和生產網絡之間交叉使用，難免會感染病毒或惡意代碼，進而導致上位機被攻擊，引發安全風險。

1.7 應用軟件風險需求

根據ICS-CERT（美國工業控制系統網絡應急響應中心）和CNVD（國家信息安全漏洞共享平臺）權威統計，目前常用的工業控制軟件（如SCADA 等），均或多或少存在安全漏洞，限于工廠實際情況又難以及時更新補丁，漏洞一旦被利用將導致安全事故。其次，工業軟件通常采用工業協議進行數據傳輸，網絡上需要開放對應的端口，有的工業協議采用動態端口（如OPC），常規的IT 防火墻很難識別工業協議，難以保障其安全性。第三，工業軟件的維護多依靠供應商，為了維護方便，基本采用默認配置和默認口令，存在一定的安全風險。

1.8 工控安全管理需求

安全管理措施也是必不可少的手段，安全技術措施和安全管理措施互為補充，建立有效的技術措施，建立健全安全管理制度，完善安全管理措施，共同構建全面、有效的信息安全保障體系。

2 工業控制安全防護措施

面對整個工業網內的各種工業控制網絡設備、服務器、操作站以及安全設備，如何有效管理，掌握各個點的風險狀況，掌握整個工業控制系統的安全狀況，及時處理各種設備故障和威脅是工業安全建設的重要組成部分。

鋼鐵企業信息化系統一般分為4 層，L4 是面向整個企業內部管理與計劃的ERP（企業資源計劃）系統，L3 是面向生產與執行過程的MES 系統，L2 是面向生產過程與控制的PCS（過程控制）系統，L1 是生產設備控制系統。本次工業控制改進措施以評估為先導，實現3 層安全隔離，構建一套安全監測與審計，全覆蓋終端安全加固。現有生產網絡運行環境比較穩定，系統更新頻率低，結合工業和信息化部發布的《工業安全系統信息安全保護指南》對工業控制主機安全軟件選擇和管理的要求，提出一種基于“白名單”機制的工業控制系統信息安全“白環境”解決措施。收集和分析工業控制網絡數據與軟件運行狀態，并在工業控制系統的正常工作環境下建立安全狀態基線和模型，然后建立一個工業安全的“白色環境”并確保：只有可信任的設備，才能接入工業控制網絡系統；只有可信任的消息，才能在工業控制網絡系統中傳輸；只有可信任的軟件，才允許被執行。

3.1 改進原則

3.1.1 建立高等級的安全體系結構

建立高等級的安全體系機構，保障信息系統的安穩運行。任何信息系統都包括3 個層次：計算環境，區域邊界和通信網絡。計算環境的安全性是信息系統安全的核心，也是授權和訪問控制的源泉，必須定期檢查計算環境的安全性，并根據每次的檢查結果進行改進；區域邊界是計算環境的邊界，控制和保護進出計算環境的信息，阻斷非法的、偽裝、未授權的連接通過；通信網絡是計算環境之間的信息傳遞功能的一部分，保證網絡環境，阻斷網絡攻擊等。

3.1.2 加強源頭控制，實現縱深防御

終端是所有不安全問題的根源。努力消除不安全的根本原因，重要信息不會泄漏出終端，病毒，木馬無法入侵終端，內部惡意用戶無法從網絡中攻擊信息系統安全，解決內部用戶攻擊問題。安全操作系統是終端安全的核心和基礎。如果沒有安全操作系統的支持，則無法保證終端安全，必須加強源頭控制，實現縱深防御。

3.1.3 分區分域，適度防護

在信息安全防御體系建設過程中，需要考慮對內部的防護，突出適度防護的原則。一方面，要嚴格遵守各級保護要求，加強網絡、終端、應用、數據庫等方面的積極預防措施，確保信息系統的機密性，完整性和可用性；另外也要從綜合成本的角度，提出針對區域業務特點的保護強度，在不影響信息系統整體安全性的前提下，安全防護系統根據區域保護強度設計和建造，有效控制成本。

3.2 改進措施

根據網絡安全保護要求，安全域劃分如圖1 所示。工業防火墻部署在匯聚機房，工業防火墻雙擊熱備，一旦一個防火墻有問題，不影響業務中斷。

按照自動化生產工序，在不同安全級別網絡（燒結、高爐、煉鋼、熱軋、冷軋以及爐卷）的邊界處部署工業防火墻設備，工業防火墻支持雙機熱備，通過隔離不同網絡、訪問控制規則、對進出的數據包進行過濾等措施，保護子網不被非法攻擊和訪問。同時，通過防火墻的策略，實現不同網絡之間數據的共享與互訪設置訪問控制策略，對內外數據進行有效防護。工業防火墻設備支持工業通信協議深度解析，支持“白名單”機制，僅允許合規數據在網絡上傳輸，用于工業控制網絡系統縱向層級之間的安全控制。

在工業控制保護區部署網絡審計設備，審計網絡中的行為。確保觸發審計系統的事件存儲在審計系統中，并根據存儲的記錄和操作員的權限執行查詢，統計，管理和維護等操作。必要時，可以從記錄中提取必要的數據。

做好生產控制區和辦公區的邊界防護，避免2 個網絡間惡意攻擊行為的串擾。實現對生產區內工控主機的安全防護，通過白名單機制構建安全基線，防止病毒木馬、惡意軟件對系統的破壞；可實現對生產區網絡流量進行監測與審計，及時發現網絡中是否存在違反安全策略的行為和被攻擊的跡象，提高工控網絡對安全威脅的反應能力和應對能力；可實現對生產區內工控主機、數據庫服務器、歷史數據庫服務器、接口機等設備進行安全加固；可對生產區網絡內入侵行為進行探測，第一時間內發現網絡內入侵行為并及時可實現對生產控制系統內主機、服務器、網絡設備、應用程序進行統一的安全管控，對運維和管理人員賬號使用情況進行畫面監視和記錄，降低運維管理成本。

入侵檢測系統可以檢測生產控制區域網絡中的入侵行為，并在第一時間檢測到網絡中的入侵行為并及時報警。通過手機和網絡密鑰集信息的分析，可以發現網絡中是否存在違反安全策略和被攻擊跡象的行為。

通過在生產控制區部署堡壘主機，實時監視整個計算機監控系統內主機、服務器、網絡設備、應用程序進行安全管控，監控并記錄操作和維護人員帳戶的操作和維護。

3 結語

通過建立工控保護區并部署工控安全設備，建立合理的網絡邊界，通過隔離不同網絡、訪問控制規則和對進出的數據包進行過濾等措施，實現不同網絡之間數據的共享與互通，保護子網不被非法攻擊，對工控網絡進行可用性、性能和服務水平的統一監控管理，保證工業控制系統安全穩定運行。