工業(yè)過程控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)與應(yīng)用

杜魯濱

（新能鳳凰（滕州）能源有限公司，山東滕州 277527）

1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀分析

工廠控制系統(tǒng)如圖1用于生產(chǎn)操作、監(jiān)控，同時(shí)系統(tǒng)通過交換機(jī)、OPC 服務(wù)器與MES、MIS 系統(tǒng)進(jìn)行連接，現(xiàn)場(chǎng)生產(chǎn)數(shù)據(jù)和報(bào)警信息可實(shí)時(shí)上傳，管理層可以通過外網(wǎng)或手持移動(dòng)設(shè)備直接查看生產(chǎn)的實(shí)時(shí)數(shù)據(jù)，為生產(chǎn)決策的執(zhí)行提供了便利，然而在便捷的同時(shí)，現(xiàn)有系統(tǒng)網(wǎng)絡(luò)安全存在的一些隱患，操作站和服務(wù)器之間沒有病毒防護(hù)措施，但操作站經(jīng)常出現(xiàn)U盤插入帶來病毒、員工值班期間看視頻、玩游戲、進(jìn)行與工作無關(guān)事情等行為，這些危險(xiǎn)行為一旦影響生產(chǎn)將給企業(yè)帶來巨額損失。目前大多數(shù)企業(yè)控制系統(tǒng)種類品牌不唯一、各自廠家的控制系統(tǒng)安全防護(hù)措施不通，基于工控系統(tǒng)可靠性、穩(wěn)定性、連續(xù)性的嚴(yán)格要求，對(duì)工業(yè)控制系統(tǒng)整體網(wǎng)絡(luò)防護(hù)建立一套整體的網(wǎng)絡(luò)防護(hù)措施是十分必要的。大部分工控系統(tǒng)都采用殺毒防護(hù)軟件，缺陷有兩點(diǎn)：第一，病毒庫(kù)更新困難，更新帶來不確定性，容易導(dǎo)致工控系統(tǒng)部分功能失效；第二，商用殺毒軟件誤殺、查毒消耗CPU 資源導(dǎo)致工控系統(tǒng)異常都是影響生產(chǎn)安全的重大隱患。另外，很多控制系統(tǒng)都缺少網(wǎng)絡(luò)安全防護(hù)措施。

圖1 工業(yè)生產(chǎn)過程控制網(wǎng)絡(luò)

2 工業(yè)控制網(wǎng)絡(luò)完全系統(tǒng)設(shè)計(jì)要求

2.1規(guī)范性

依據(jù)工信部【2016】338號(hào)文《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，并參照GB/T 26333《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、GB/T 33007《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動(dòng)化和控制系統(tǒng)安全程序》及GB/T 33009《工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)（DCS）》等相關(guān)規(guī)范設(shè)計(jì)。

2.2可持續(xù)性

工控網(wǎng)絡(luò)安全不只是一個(gè)具有開始和結(jié)束日期的項(xiàng)目，也沒有一套防御系統(tǒng)可以防止網(wǎng)絡(luò)安全事件導(dǎo)致的所有后果。安全級(jí)別經(jīng)常隨著時(shí)間的推移而下降，網(wǎng)絡(luò)安全隨著新的威脅和脆弱性的不斷變化，風(fēng)險(xiǎn)會(huì)不斷變化，技術(shù)實(shí)施需要采取不同的方法來維持安全收益并將風(fēng)險(xiǎn)保持在可接受的水平。所以方案設(shè)計(jì)不僅要滿足現(xiàn)在的需求兼顧未來的變化又要具備控制系統(tǒng)的故障恢復(fù)能力以保證業(yè)務(wù)的可持續(xù)性。

2.3可靠性

項(xiàng)目實(shí)施后部署的產(chǎn)品能夠可靠穩(wěn)定地為現(xiàn)場(chǎng)工控系統(tǒng)的正常運(yùn)行保駕護(hù)航，決不能出現(xiàn)因?yàn)榘踩雷o(hù)產(chǎn)品的原因?qū)е掠绊懍F(xiàn)場(chǎng)正常生產(chǎn)運(yùn)行的情況。確保故障或入侵時(shí)不影響運(yùn)行、不停車；保證完整性，確保接收到錯(cuò)誤的設(shè)備或錯(cuò)誤的數(shù)據(jù)不跳變、不影響工藝；保證機(jī)密性，確保數(shù)據(jù)不被竊聽。工業(yè)控制系統(tǒng)鑒于高可用性的需求，往往網(wǎng)絡(luò)、控制節(jié)點(diǎn)、采集單元進(jìn)行冗余設(shè)計(jì)，要求高實(shí)時(shí)性、高確定性，而且運(yùn)行在嵌入式環(huán)境，對(duì)信息安全的技術(shù)措施有很大的限制，因此需要設(shè)計(jì)針對(duì)性的安全策略、方法和技術(shù)。

3 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)完全系統(tǒng)多層防護(hù)系統(tǒng)設(shè)計(jì)與應(yīng)用

3.1終端層

通過對(duì)工控機(jī)與服務(wù)器安裝配置主機(jī)白名單軟件，以實(shí)現(xiàn)對(duì)工業(yè)主機(jī)的全面安全防護(hù)，根據(jù)白名單列表對(duì)可執(zhí)行文件的執(zhí)行進(jìn)行監(jiān)控，對(duì)白名單內(nèi)的可執(zhí)行文件允許執(zhí)行，對(duì)白名單外的可執(zhí)行文件阻止執(zhí)行，有效阻止病毒、木馬及0-day漏洞的感染和被利用，保障工控主機(jī)安全。主機(jī)安全衛(wèi)士軟件滿足規(guī)范性、可持續(xù)性、可靠性的設(shè)計(jì)原則，不影響控制系統(tǒng)的正常運(yùn)行，內(nèi)存占用和CPU 使用率低，具備強(qiáng)大的自身安全性和易管理性，其功能分為四部分：

白名單管理：對(duì)白名單的相關(guān)操作，如增加白名單中可信任的運(yùn)行程序等，需管理員權(quán)限。

日志管理：任何用戶均可查閱、導(dǎo)出主機(jī)安全衛(wèi)士中的防護(hù)日志；查閱操作日志需要管理員權(quán)限。

設(shè)置：可修改登錄密碼，設(shè)置告警方式、工作模式，啟/停自身防護(hù)功能等，需管理員權(quán)限。

針對(duì)USB 等移動(dòng)存儲(chǔ)介質(zhì)的濫用，導(dǎo)致病毒擴(kuò)散至控制網(wǎng)絡(luò)的情況，對(duì)所有主機(jī)的USB 端口進(jìn)行禁用。

3.2邊界防火墻

使用工控防火墻對(duì)域內(nèi)和域間分區(qū)做訪問控制，基于無IP 設(shè)計(jì)、無通用協(xié)議棧、UC/OS 進(jìn)行開發(fā)設(shè)計(jì)，不影響工控系統(tǒng)間的正常通信，能有效識(shí)別與跟蹤OPC 通信動(dòng)態(tài)端口，能根據(jù)OPC 指令白名單實(shí)時(shí)監(jiān)控OPC 指令行為，過濾非法指令。

3.3堡壘機(jī)

保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個(gè)組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng)的服務(wù)器，以便集中報(bào)警、及時(shí)處理及審計(jì)定責(zé)。集中管理資產(chǎn)權(quán)限，全程記錄操作數(shù)據(jù)，實(shí)時(shí)還原運(yùn)維場(chǎng)景，構(gòu)建云上統(tǒng)一、安全、高效運(yùn)維通道；保障云端運(yùn)維工作權(quán)限可管控、操作可審計(jì)、合規(guī)可遵從。實(shí)現(xiàn)維護(hù)接入的集中化管理并對(duì)運(yùn)行維護(hù)進(jìn)行統(tǒng)一管理，包括設(shè)備賬號(hào)管理、運(yùn)維人員身份管理、第三方客戶端操作工具的統(tǒng)一管理。其具備以下功能：

認(rèn)證功能：能夠整合運(yùn)維管理手段及第三方認(rèn)證系統(tǒng)，制定靈活的運(yùn)維策略和權(quán)限管理，實(shí)現(xiàn)運(yùn)維人員統(tǒng)一權(quán)限管理，解決操作者合法訪問操作資源的問題，避免可能存在的越權(quán)訪問，建立有效的訪問控制；

監(jiān)控功能：實(shí)現(xiàn)運(yùn)維日志記錄，記錄運(yùn)維操作的日志信息，包括對(duì)被管理資源的詳細(xì)操作行為實(shí)時(shí)監(jiān)控，能夠?qū)τ诟呶＜懊舾械牟僮鬟M(jìn)行實(shí)時(shí)告警；

審計(jì)功能：實(shí)現(xiàn)運(yùn)維操作審計(jì)，對(duì)運(yùn)維人員的操作進(jìn)行全程監(jiān)控和記錄，實(shí)現(xiàn)運(yùn)維操作的安全審計(jì)，滿足信息安全審計(jì)要求；能夠有效地檢索運(yùn)維操作細(xì)節(jié)；能夠提供靈活的報(bào)表及統(tǒng)計(jì)分析。

3.4數(shù)據(jù)備份與恢復(fù)

數(shù)據(jù)備份既可以按照預(yù)先設(shè)定的時(shí)間，或由特定事件觸發(fā)后，自動(dòng)將目標(biāo)備份到服務(wù)器中，也可以根據(jù)自己的需要啟動(dòng)備份操作。手工備份可以選擇一個(gè)或全部備份集合進(jìn)行備份，以及其他一些臨時(shí)性的文件或數(shù)據(jù)。

數(shù)據(jù)恢復(fù)通過客戶端手工恢復(fù)功能快速地將備份系統(tǒng)上的數(shù)據(jù)恢復(fù)到本地系統(tǒng)中。既可以使用定制的備份策略，也可以使用服務(wù)器上設(shè)置的缺省配置，從服務(wù)器上下載或更新備份配置，并選取需要的設(shè)置。

基于工業(yè)過程控制系統(tǒng)建立如圖2的多層網(wǎng)絡(luò)防護(hù)體系。

圖2 多層防護(hù)的工業(yè)生產(chǎn)過程控制網(wǎng)絡(luò)