鋼鐵冶金行業工控安全的研究

靖長續，付春剛，李春雷

（山信軟件股份有限公司，山東 濟南250101）

1 前 言

工業控制系統（ICS）負責不同過程的自動化以及對系統的整體控制，現如今，信息化和工業化得到了深度融合，工業控制產品越來越多采用通用協議、通用軟硬件，以各種方式與公共網絡連接，嚴重影響了關鍵工業基礎設施的穩定運行［1］。作為工業控制系統（ICS）得到廣泛應用的鋼鐵冶金行業，工控安全問題尤為突出。

2 工控安全與傳統信息安全的差異

ICS 系統從根本上不同于傳統的IT 系統，這使保護ICS系統的過程更加復雜。ICS和IT環境之間的差異存在于其整個的產品生命期。對于ICS 系統，生命期一般＞15 a，而IT系統通常每3～5 a更換一次。由于ICS具有實時性，因此其可用性和應急性要求也更高，這使得補丁更新和替換周期難以像IT系統中那樣頻繁進行。ICS通常在專門的操作環境中使用現成的協議（例如Modbus和DNP3），而不會如IT系統一樣額外制定專屬的IT協議。本質上，IT 管理數據而ICS管理物理環境，并且實時通信在ICS中至關重要，故而ICS中應急響應更加重要。所以，相對于傳統信息安全注重的數據機密性、完整性和可用性，工控安全更注重可用性以保證ICS的連續運行，這就使得容錯對ICS非常重要。最后，與IT組件相比，ICS組件中的系統內存往往非常受限制，這進一步增加了保證工控安全的難度。

3 行業隱患

相對于傳統信息安全來說，由于工控設備功能簡單，設計規范，且大部分的工業協議都不具備安全防護特征，以至于黑客僅需少許計算機知識就可以完成其逆向工程［2］。

鋼鐵冶金行業對ICS高度依賴，由于在ICS中，從基本的傳感器和執行器到高度復雜的可編程邏輯控制器（PLC）由世界各地不同的組件制造商制作，并且各制造商選用的標準以及協議的不同，導致了這種基礎架構的復雜性和異構性，并成倍的增加了鋼鐵冶金行業的受攻擊面。鋼鐵冶金行業在工控安全方面主要存在以下隱患。

3.1 邊界隔離問題

典型的鋼鐵冶金企業網絡一般由五層架構組成，如圖1 所示。基礎的L1 層生產設備控制系統，各分廠的PLC、工程師站等設備分布于此。L2層面向生產過程和控制的PCS（過程控制）系統，包含通訊服務器以及骨干網交換機。這兩層在鋼鐵冶金行業中存在著大量已知和未知的可利用漏洞，隨著智慧工廠、物聯網的發展，邊界越來越多且越來越模糊，這些漏洞所存在的重大隱患也就越發凸顯。由于沒有進行有效的邊界隔離，各區域間通信網絡安全隱患重重，當一個系統或區域內爆發工控安全事件后，會輕易地擴散到其他系統或區域里。

圖1 典型鋼鐵冶金企業網絡架構

3.2 審計缺失

審計可用于記錄、審查主體對客體進行訪問和使用情況，保證安全規則被正確執行，并且可以幫助分析安全事故產生的原因。鋼鐵冶金企業內部通常根據生產產品的不同劃分為一個個單獨的生產廠區，而各廠區缺少惡意代碼監測、異常監測、安全審計等一系列的監測審計措施，由此導致了工控安全事故發生前無法提前預警，工控安全事故發生后，企業也很難查清工控安全事故產生的原因，無法采取有效措施防止相同工控安全事故的再次發生。

3.3 關鍵設備未進行安全加固

未對工程師站、操作站主機及服務器進行安全加固，不能有效地管理移動外設，工控主機作為上位機極易受到病毒及誤操作的影響。帶毒USB、光驅等外部設備的接入和使用，為木馬和病毒的入侵提供了通道。

3.4 第三方威脅

第三方運維人員（特別是國外的技術人員）在進行現場或遠程運維時，由于思維方式和工作習慣的不同以及缺乏對于工控安全的認知，相關人員在運維以及調試過程中很有可能對工業控制系統及網絡帶來誤操作、病毒等安全隱患。

3.5 監控系統分散

未能建立統一的安全管理監控系統，使得相關工控系統事件不能統一收集、分析。當工控安全事件發生時，相關人員不易關聯分析設備間的事件和日志，對于復雜的工控安全事故問題難以及時發現，且事后難以形成有效且可信的記錄。

4 解決方案

圖2 工控安全系統布局

4.1 工業防火墻

在L1、L2 與L3 之間的關鍵位置部署具有工業協議深度解析功能的工控防火墻，如圖2 所示，實現針對工控網絡及工業協議的邏輯隔離、報文過濾、訪問控制等功能。安裝位置為交換機前或后，具體位置視所選型號工業防火墻的接口數量和現場情況而定。若接口數量允許且各通道互不影響，那么將工業防火墻安裝在交換機之前，按照設備→工業防火墻→交換機→通訊服務器方式連接；若接口數量不足，那么應安裝在交換機之后，按照設備→交換機→工業防火墻→通訊服務器方式連接。通過加裝工業防火墻，并配置防火墻安全規則（包過濾、規則學習、攻擊防護、IP/MAC等）可以有效實現對工業控制系統邊界及工業控制系統內部不同控制區域之間的邊界防護［3］。

4.2 安全監測

部署入侵檢測系統和工控威脅檢測系統，在廠區邊界進行安全監測，為了減少對網絡的影響，應采用不影響原有網絡環境的“輕接觸”接入方式分析來自網絡內外的入侵信號及APT 攻擊。入侵檢測系統可以實時監控網絡傳輸，自動檢測可疑行為，分析來自網絡內部和外部的入侵信號。工控威脅檢測系統可以對格式文檔溢出特種木馬、滲透行為等未知威脅進行有效的檢測，發現ATP攻擊，及時發現威脅，采取正確的處理措施。

4.3 安全加固

依靠病毒治理、主機加固及工業“白名單”防護技術三合一的主機防護系統，通過部署工控防火墻和主機安全防護系統對關鍵的工控主機及服務器進行安全加固及審計自查。通過工控防火墻阻止來自管理網不同區域間的安全威脅，對工業控制系統邊界及工業控制系統內部不同控制區域之間進行邊界防護。通過主機安全防護系統對操作員站、工程師站、服務器等工控主機進行安全加固，實時檢測發現和阻止各種主機威脅，對系統關鍵資源進行防護。通過建立資產、會話、應用通訊數據3 個層次的“白名單”防護機制，防范已知惡意代碼和各類未知惡意軟件的感染、運行和擴散。

4.4 運維審計系統

建立賬號管理及運維審計系統，解決遠程連接、第三方運維帶來的權限泛濫、非法接入及權責不明等問題。通過對服務器、網絡設備、安全設備、工控系統、數據庫的訪問進行有效管控，實現集中精細化運維管控與審計。通過對分布于工業控制系統網絡關鍵節點的流量提取對工業控制系統中的工控語言進行專項解讀，建立工控網絡安全審計機制和安全基線，實現安全事件預警。

4.5 安全管理平臺

部署安全管理平臺，對工控安全設備進行集中管理，對安全設備、網絡設備和主機等的日志及告警信息進行收集分析，實現數據的聯動分析和集中展示，進而實現態勢感知。對服務器、網絡設備、安全設備、工控系統、數據庫的訪問進行有效管控，實現集中精細化運維管控與審計，降低人為安全風險，避免安全損失，滿足合規要求，保障企業效益。

4.6 加強人員管理

加強相關人員的管理，增強安全意識，建立標準化管理體系，制定詳細措施保證企業員工自己不犯錯，建立相關考核體系，對第三方進行管理。提高安全意識，保障所制定的工控安全管控規章制度得到認真的貫徹與落實，加強監管力度，才能為工控安全提供切實的保障。對于核心設備區域以及無人值守的站點采取必要的物理防范措施，如增加視頻監控系統、電子門禁系統等阻止相關人員未經授權進入對應區域，也方便事故發生后的審計和追查［4］。

5 結 語

工控安全作為一項系統工程，需要多方面協同，軟件硬件結合。工控安全不存在一勞永逸的完美解決方案，隨著科技的進步與設備的更新換代，工控安全的完善應在整個工業控制系統的生命周期中持續進行，最終達到威脅可防、安全配置可查、網絡通訊可管、風險可控、系統安全可信［5］。