基于等保2.0工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)方案的設(shè)計(jì)

◆趙 峰 馬躍強(qiáng)

基于等保2.0工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)方案的設(shè)計(jì)

◆趙 峰 馬躍強(qiáng)

（北京立思辰信息安全集團(tuán)公司 北京 100192）

隨著工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)、中國(guó)制造2025等再工業(yè)化革命戰(zhàn)略的不斷推進(jìn)，原本封閉的工業(yè)控制系統(tǒng)變得越來(lái)越開(kāi)放，隨之面臨了新的挑戰(zhàn)，病毒、木馬、勒索軟件以及黑客、敵對(duì)勢(shì)力對(duì)工業(yè)控制系統(tǒng)進(jìn)行了攻擊。本文通過(guò)對(duì)當(dāng)前我國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀分析后，提出一種基于等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)方案。該防護(hù)方案通過(guò)構(gòu)造1個(gè)管理中心，安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境3重防護(hù)手段，實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的事前預(yù)防、事中響應(yīng)、事后審計(jì)的可信、可控、可管的縱深防護(hù)設(shè)計(jì)。

等級(jí)保護(hù)2.0；工業(yè)控制系統(tǒng)；網(wǎng)絡(luò)安全；防護(hù)方案

1 引言

隨著德國(guó)工業(yè)4.0、美國(guó)工業(yè)互聯(lián)網(wǎng)、我國(guó)“中國(guó)制造2025”等再工業(yè)化革命戰(zhàn)略的不斷推進(jìn)，原本封閉的工業(yè)控制系統(tǒng)逐步被打破，變成越來(lái)越開(kāi)放的系統(tǒng)[1]。與此同時(shí)，工業(yè)控制系統(tǒng)也面臨了新的挑戰(zhàn)，各種網(wǎng)絡(luò)威脅，病毒、木馬以及黑客、敵對(duì)勢(shì)力隨之而來(lái)，再加上工業(yè)控制系統(tǒng)本身存在一些脆弱性，這些脆弱性又被這些威脅利用就會(huì)導(dǎo)致安全事件的發(fā)生。針對(duì)安全事件，我國(guó)非常重視，分別從國(guó)家戰(zhàn)略、法律法規(guī)、政策、標(biāo)準(zhǔn)制定等方面積極采取措施。

2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀分析

2.1 認(rèn)識(shí)誤區(qū)

與外界隔離最安全。事實(shí)上維護(hù)用的移動(dòng)設(shè)備或移動(dòng)電腦會(huì)打破隔離，打開(kāi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之門；

單純防病毒就可以。事實(shí)上操作系統(tǒng)陳舊造成防病毒軟件無(wú)法有效運(yùn)行，甚至造成工業(yè)控制系統(tǒng)死機(jī)；病毒庫(kù)沒(méi)有辦法按時(shí)更新，防病毒軟件本身也有漏洞存在；

網(wǎng)絡(luò)安全事件不會(huì)影響系統(tǒng)運(yùn)行，事實(shí)上不僅影響運(yùn)行，甚至后果嚴(yán)重；

安全防護(hù)相信系統(tǒng)供應(yīng)商就可以。事實(shí)上原廠商對(duì)其系統(tǒng)漏洞認(rèn)識(shí)不足，即使認(rèn)識(shí)到，處理手段也有限，主動(dòng)補(bǔ)救的不多；

安全防護(hù)可以一次性解決。事實(shí)上工業(yè)控制系統(tǒng)功能越來(lái)越復(fù)雜，外部環(huán)境經(jīng)常變化，需要定期更新和維護(hù)，并形成安全評(píng)估工作機(jī)制；

單向通信100%安全。事實(shí)上單向通信連接方式不嚴(yán)密，其安全程度高低取決于單向通信的實(shí)現(xiàn)方式，即使可以提供很高的安全，仍然有可能受到攻擊。

2.2 控制系統(tǒng)有漏洞

由于工業(yè)控制系統(tǒng)早期在設(shè)計(jì)時(shí)候，主要考慮系統(tǒng)的穩(wěn)定性、實(shí)時(shí)性以及可靠性，并沒(méi)有考慮安全問(wèn)題。所以導(dǎo)致工業(yè)控制系統(tǒng)漏洞不斷報(bào)出，據(jù)國(guó)家信息安全漏洞共享平臺(tái)CNVD統(tǒng)計(jì)的工控漏洞截至2020年2月18號(hào)有2353個(gè)漏洞。其中西門子、施耐德、研華的產(chǎn)品漏洞最多，高中危漏洞占95%以上。

2.3 網(wǎng)絡(luò)邊界模糊、缺少控制措施

隨著業(yè)務(wù)的不斷發(fā)展，工業(yè)控制系統(tǒng)與管理網(wǎng)、互聯(lián)網(wǎng)連接的需求，再加上工業(yè)控制系統(tǒng)運(yùn)行維護(hù)多年，網(wǎng)絡(luò)結(jié)構(gòu)早已改變，結(jié)果導(dǎo)致工業(yè)控制系統(tǒng)網(wǎng)絡(luò)邊界模糊，網(wǎng)絡(luò)邊界缺少防護(hù)措施，非法訪問(wèn)，越權(quán)操作等行為屢有發(fā)生。同時(shí)，終端違規(guī)接入、非法外聯(lián)經(jīng)常發(fā)生，給生產(chǎn)帶來(lái)安全隱患[2]。

2.4 缺少流量審計(jì)、異常流量不易發(fā)現(xiàn)

由于缺少網(wǎng)絡(luò)異常流量分析系統(tǒng)，無(wú)法檢測(cè)未知的威脅，存在新型惡意代碼傳播，病毒、蠕蟲(chóng)等惡意代碼威脅將無(wú)法感知。不能及時(shí)了解網(wǎng)絡(luò)狀況（如違規(guī)操作、關(guān)鍵配置變更、網(wǎng)絡(luò)風(fēng)暴等），一旦發(fā)生問(wèn)題不能及時(shí)確定問(wèn)題所在，不能及時(shí)排查到故障點(diǎn)。

2.5 工業(yè)主機(jī)存在安全問(wèn)題

為保證控制系統(tǒng)的運(yùn)行穩(wěn)定性，企業(yè)通常不會(huì)對(duì)工業(yè)主機(jī)操作系統(tǒng)進(jìn)行補(bǔ)丁升級(jí)，也很少安裝殺毒軟件，即使安裝了殺毒軟件，病毒庫(kù)的更新在工業(yè)控制環(huán)境下也難以實(shí)現(xiàn)[3]。

同時(shí)，在生產(chǎn)環(huán)境中存在隨意使用U盤、移動(dòng)硬盤、手機(jī)等移動(dòng)存儲(chǔ)介質(zhì)現(xiàn)象，有可能將病毒、木馬等威脅因素帶入生產(chǎn)環(huán)境。加上防病毒軟件的安裝不全面，導(dǎo)致出現(xiàn)問(wèn)題后無(wú)法及時(shí)準(zhǔn)確定位產(chǎn)生問(wèn)題的原因、范圍及責(zé)任。

2.6 安全“運(yùn)維”審計(jì)機(jī)制不到位

工業(yè)控制系統(tǒng)的日常運(yùn)營(yíng)和維護(hù)過(guò)程中，供貨商除了采用現(xiàn)場(chǎng)維護(hù)的手段外，為了調(diào)試便利，還將工控設(shè)備默認(rèn)的調(diào)試后門端口打開(kāi)，這些端口也給惡意攻擊提供了可乘之機(jī)。由于缺乏完善的運(yùn)維審計(jì)機(jī)制，對(duì)“運(yùn)維”人員的操作過(guò)程沒(méi)有記錄、審計(jì)，不能發(fā)現(xiàn)越權(quán)訪問(wèn)、異常操作等行為。一旦發(fā)生事故，需要大量時(shí)間確定問(wèn)題，也沒(méi)有追溯手段[4]。

3 基于等級(jí)保護(hù)2.0工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)體系設(shè)計(jì)[5]

基于等級(jí)保護(hù)2.0的要求，構(gòu)建集安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境及安全管理中心為一體的1中心3防護(hù)的縱深防御體系，同時(shí)融合了P2DR模型和IATF技術(shù)框架模型理念，實(shí)現(xiàn)事前預(yù)防、事中響應(yīng)、事后審計(jì)的可信、可控、可管的安全防御系統(tǒng)。

安全技術(shù)體系設(shè)計(jì)如下：

3.1 安全通信網(wǎng)絡(luò)設(shè)計(jì)

（1）網(wǎng)絡(luò)架構(gòu)

將工業(yè)控制系統(tǒng)的各生產(chǎn)要素劃分為不同的安全域，在安全域之間進(jìn)行部署工業(yè)防火墻進(jìn)行邏輯隔離。在MES層與企業(yè)資源管理層，部署“網(wǎng)閘”設(shè)備，實(shí)現(xiàn)對(duì)生產(chǎn)數(shù)據(jù)的單向、安全采集。

（2）通信傳輸

通信完整性和保密性主要由工業(yè)控制系統(tǒng)完成。在通信雙方建立連接之前，工業(yè)控制系統(tǒng)與互聯(lián)系統(tǒng)間及工業(yè)控制系統(tǒng)內(nèi)部利用雙方協(xié)商的會(huì)話協(xié)議進(jìn)行會(huì)話初始化驗(yàn)證，并對(duì)通信過(guò)程中的敏感信息字段進(jìn)行加密。

（3）可信驗(yàn)證

此項(xiàng)為可選項(xiàng)，系統(tǒng)自身配置可信計(jì)算板卡，信任機(jī)制，滿足可信驗(yàn)證要求即可。

3.2 安全區(qū)域邊界設(shè)計(jì)

（1）邊界防護(hù)

在生產(chǎn)線車間、數(shù)控車間以及工業(yè)無(wú)線網(wǎng)絡(luò)的出口部署工業(yè)防火墻；在過(guò)程監(jiān)控層與生產(chǎn)管理層之間部署工業(yè)防火墻；在企業(yè)資源層與生產(chǎn)管理層之間部署網(wǎng)閘設(shè)備，解決不同安全域之間違規(guī)訪問(wèn)與邏輯隔離。在生產(chǎn)管理層部署網(wǎng)絡(luò)準(zhǔn)入設(shè)備，通過(guò)網(wǎng)絡(luò)準(zhǔn)入?yún)f(xié)議（如802.1X、ARP、SNMP、SSH等）與交換機(jī)進(jìn)行聯(lián)動(dòng)，當(dāng)有私自接入的違規(guī)設(shè)備進(jìn)行管控，同時(shí)工業(yè)主機(jī)上安裝網(wǎng)絡(luò)準(zhǔn)入Agent，對(duì)工業(yè)主機(jī)上存在的非法外聯(lián)現(xiàn)象進(jìn)行管控。

（2）訪問(wèn)控制

在工業(yè)防火墻中設(shè)置精簡(jiǎn)且必要的訪問(wèn)控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信。訪問(wèn)控制規(guī)則對(duì)數(shù)據(jù)包的源地址、目的地址、工控協(xié)議、源端口、目的端口，請(qǐng)求服務(wù)進(jìn)行檢查，實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。

（3）入侵防范

利用工業(yè)防火墻的機(jī)器自學(xué)習(xí)功能，對(duì)通信鏈路、工業(yè)協(xié)議、功能碼、寄存器地址范圍、值域、控制指令等進(jìn)行深度建模、形成白名單基線模型。對(duì)非法通信鏈路、攻擊入侵、違規(guī)操作等行為進(jìn)行告警與阻斷。

（4）安全審計(jì)

在生產(chǎn)管理層，部署“運(yùn)維”堡壘機(jī)，針對(duì)“運(yùn)維”人員在遠(yuǎn)程“運(yùn)維”設(shè)備時(shí)，進(jìn)行集中賬號(hào)管理、集中登錄認(rèn)證、集中用戶授權(quán)和集中操作審計(jì)。實(shí)現(xiàn)對(duì)“運(yùn)維”人員的操作行為審計(jì)，違規(guī)操作、非法訪問(wèn)等行為的有效監(jiān)督，為事后追溯提供依據(jù)。

同時(shí)，利用監(jiān)測(cè)審計(jì)設(shè)備機(jī)器自學(xué)習(xí)功能進(jìn)行學(xué)習(xí)、分析、建模、形成白名單基線，對(duì)異常通信行為、異常流量進(jìn)行審計(jì)并告警。

圖1 安全技術(shù)體系設(shè)計(jì)圖

3.3 安全計(jì)算環(huán)境設(shè)計(jì)

（1）身份鑒別

本控制點(diǎn)，主要通過(guò)安全策略來(lái)實(shí)現(xiàn)。在工業(yè)主機(jī)上的操作系統(tǒng)、應(yīng)用環(huán)境、數(shù)據(jù)庫(kù)等設(shè)置好必要的登錄認(rèn)證機(jī)制，必要時(shí)采用雙因子認(rèn)證手段。

（2）訪問(wèn)控制

在操作員站、工程師站、實(shí)時(shí)服務(wù)器、OPC接口機(jī)等工業(yè)主機(jī)上通過(guò)設(shè)置訪問(wèn)控制策略實(shí)現(xiàn)本控制點(diǎn)的要求。如刪除或重命名賬戶，對(duì)于無(wú)法重命名的賬戶或各類設(shè)備的內(nèi)置三員賬戶等特殊賬戶，修改默認(rèn)口令，修改后的口令滿足等級(jí)保護(hù)復(fù)雜度要求。刪除或停用多余的、過(guò)期的賬戶，避免共享賬戶的存在。關(guān)閉不使用的端口，如445、3389等高危端口。

（3）安全審計(jì)

通過(guò)部署在MES層的日志審計(jì)系統(tǒng)，對(duì)工控應(yīng)用系統(tǒng)、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等日志進(jìn)行集中采集、分析、存儲(chǔ)。對(duì)用戶訪問(wèn)記錄、系統(tǒng)運(yùn)行日志、系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)存取日志等各類信息，經(jīng)過(guò)標(biāo)準(zhǔn)化、過(guò)濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲(chǔ)和管理。實(shí)時(shí)動(dòng)態(tài)了解當(dāng)前整個(gè)系統(tǒng)的安全態(tài)勢(shì)，獲知異常安全事件和審計(jì)違規(guī)情況、分析追溯定位。

（4）惡意代碼防范

通過(guò)對(duì)操作員站、工程師站、MES客戶端、HMI、實(shí)時(shí)服務(wù)器、歷史服務(wù)器等工業(yè)主機(jī)上安裝工控安全衛(wèi)士程序，對(duì)工業(yè)主機(jī)上的可執(zhí)行程序、應(yīng)用服務(wù)、端口等進(jìn)行機(jī)器自學(xué)習(xí)、建模、分析，形成白名單安全基線模型。對(duì)病毒、木馬、惡意代碼入侵行為進(jìn)行阻斷。同時(shí)通過(guò)對(duì)外設(shè)的管控，實(shí)現(xiàn)非法外聯(lián)、非法拷貝的管控，從而實(shí)現(xiàn)對(duì)工業(yè)主機(jī)對(duì)惡意代碼防范的要求。

3.4 安全管理中心設(shè)計(jì)

通過(guò)在生產(chǎn)管理層部署工控安全管理平臺(tái)，實(shí)現(xiàn)對(duì)安全設(shè)備統(tǒng)一管理與監(jiān)控。從整體視角進(jìn)行安全事件分析、安全攻擊溯源、安全事件根因挖掘等，為工控系統(tǒng)網(wǎng)絡(luò)當(dāng)前的狀態(tài)以及未來(lái)可能受到的攻擊做出態(tài)勢(shì)評(píng)估與預(yù)測(cè)，為專業(yè)人員提供可靠、有效的決策依據(jù)，最大限度上降低工控系統(tǒng)可能遭受的風(fēng)險(xiǎn)和損失，提升企業(yè)安全防護(hù)整體水平。

4 結(jié)語(yǔ)

通過(guò)對(duì)工業(yè)控制系統(tǒng)的安全現(xiàn)狀分析，以及結(jié)合等保2.0標(biāo)準(zhǔn)通用要求和工業(yè)控制系統(tǒng)擴(kuò)展要求，設(shè)計(jì)了一種基于等保2.0標(biāo)準(zhǔn)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全技術(shù)防護(hù)方案，即構(gòu)造1個(gè)中心，3重防護(hù)的縱深防御體系，為工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)防護(hù)提供了理論參考依據(jù)。

[1]梧向斌.淺析工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及發(fā)展趨勢(shì)[J]. LOW CARBON WORLD，2013（8）.

[2]陳星，賈卓生.工業(yè)控制網(wǎng)絡(luò)的信息安全威脅與脆弱性分析與研究[J].計(jì)算機(jī)科學(xué)，2012，39（10）.

[3]邱金龍.工業(yè)控制系統(tǒng)信息安全的未來(lái)趨勢(shì)[J].信息與電腦，2016，（04）.

[4]宗健.工業(yè)4.0時(shí)代的工控網(wǎng)絡(luò)安全防護(hù)研究[J].環(huán)保安全，2016，（04）.

[5]李濤.基于等保2.0工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系研究[J].信息系統(tǒng)工程，2019（11）.