基于等保2.0工業控制系統網絡安全技術防護體系研究

郭繼如 楊志國 張濤

摘要：本文通過對當前我國工業控制系統網絡安全現狀分析后，提出一種基于等保2.0標準的工業控制系統網絡安全技術防護體系。該防護體系通過構造1個管理中心，安全通信網絡、安全區域邊界、安全計算環境3重防護手段，同時融入了P2DR、 IATF 模型理念，實現事前預防、事中響應、事后審計的可信、可控、可管的縱深防護體系。

關鍵詞：等保2.0;工業控制系統;網絡安全;防護體系

1引言

隨著德國工業4.0、美國工業互聯網、我國中國制造2025等再工業化革命戰略的不斷推進，原本封閉的工業控制系統逐步被打破，變成越來越開放的系統。與此同時，工業控制系統也面臨了新的挑戰，各種網絡威脅，病毒、木馬以及黑客、敵對勢力隨之而來，再加上工業控制系統本身存在一些脆弱性，這些脆弱性又被這些威脅利用就會導致安全事件的發生。針對安全事件，我國非常重視，分別從國家戰略、法律法規、政策、標準制定等方面積極采取措施。

2工業控制系統網絡安全安全現狀分析

2.1控制系統有漏洞

由于工業控制系統早期在設計時候，主要考慮系統的穩定性、實時性以及可靠性，并沒有考慮安全問題。所以導致工業控制系統漏洞不斷報出，據國家信息安全漏洞共享平臺 CNVD 統計的工控漏洞截止到2019年8月5號有2018個漏洞。其中西門子、施耐德、研華的產品漏洞最多，高中危漏洞占95%以上。

2.2網絡邊界模糊、缺少控制措施

隨著業務的不斷發展，工業控制系統與管理網、互聯網連接的需求，再加上工業控制系統運行維護多年，網絡結構早已改變，結果導致工業控制系統網絡邊界模糊，且網絡邊界缺少防護措施，非法訪問，越權操作等行為屢有發生。

2.3缺少流量審計、異常流量不易發現

由于缺少網絡異常流量分析系統，無法檢測未知的威脅，存在新型惡意代碼傳播，病毒、蠕蟲等惡意代碼威脅將無法感知。

2.4工業主機存在安全問題

為保證控制系統的運行穩定性，企業通常不會對工業主機操作系統進行補丁升級，也很少安裝殺毒軟件，即使安裝了殺毒軟件，病毒庫的更新在工業控制環境下也難以實現。

3基于等保2.0工業控制系統網絡安全防護技術體系設計

基于等級保護2.0的要求，構建集安全通信網絡、安全區域邊界、安全計算環境及安全管理中心為一體的1中心3防護的縱深防御體系，同時融合了P2DR模型和 IATF 技術框架模型理念，實現事前預防、事中響應、事后審計的可信、可控、可管的安全防御系統。

3.1安全通信網絡設計

◆網絡架構

關鍵網絡設備和計算設備應采用冗余，劃分合理的安全域，不同安全域之間進行邏輯隔離。

◆通信傳輸

通信完整性和保密性主要由工業控制系統完成。在通信雙方建立連接之前，工業控制系統與互聯系統間及工業控制系統內部利用雙方協商的會話協議進行會話初始化驗證，并對通信過程中的敏感信息字段進行加密。

◆可信驗證

此項為可選項，系統自身配置可信計算板卡，信任機制，滿足可信驗證要求即可。

3.2安全區域邊界設計

◆邊界防護

在生產線車間、數控車間以及工業無線網絡的出口部署工業防火墻;在過程監控層與生產管理層之間部署工業防火墻;在企業資源層與生產管理層之間部署網閘設備，解決不同安全域之間違規訪問與邏輯隔離。在生產管理層部署網絡準入設備，針對終端的違規接入和非法外聯進行管控。

◆訪問控制

在工業防火墻中設置精簡且必要的訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信，訪問控制規則對數據包進行檢查，實現數據的安全傳輸。

◆入侵防范

在交換機旁路部署監測審計設備，對網絡中的數據流量進行實時解析。同時利用白名單、黑名單規則庫，實時監測網絡入侵并實時報警，詳實記錄一切網絡通信行為，包括指令級的協議通信記錄。

◆安全審計

在生產管理層部署運維堡壘機，針對運維人員在遠程運維設備時，進行集中賬號管理、集中登錄認證、集中用戶授權和集中操作審計

3.3安全計算環境

◆身份鑒別

工業主機、網絡設備、安全設備、控制設備、應用系統、數據庫等應內置身份鑒別功能或身份鑒別措施。

◆訪問控制

在工業主機、網絡設備、安全設備、應用系統、數據庫等設備或系統，對登錄的用戶分配賬戶及相應操作權限。終端的默認賬戶，修改默認口令，修改后的口令滿足等保復雜度要求。對管理用戶授權，遵循必要的最小權限原則。

◆安全審計

在生產管理層部署數據庫審計，基于數據庫協議分析與控制技術，實現對數據庫操作“危險指令阻斷、訪問行為控制、安全態勢分析、全面行為審計”的數據庫安全主動防御。工業主機上部署工控安全衛士進行主機審計，并定時將數據上報到安全管理平臺。

◆入侵防范

網絡、安全設備或應用系統等遵循最小化安裝原則，只安裝必要的組件和應用程序。關閉非必要的系統服務和默認共享，關閉非必要的高危端口等。

3.4安全管理中心

◆審計管理

審計管理員通過雙因子認證登錄到管理平臺上，對系統的操作日志以及告警日志進行統一查看、分析、審計等。

◆安全管理

安全管理員通過雙因子認證登錄到管理平臺上，對安全策略下發、配置、修改、訪問控制、授權等統一配置管理。

◆集中管理

通過工控安全管理平臺對所有安全設備統一管理，所有終端的事件信息統一上傳，參數配置統一下發等功能，實現對工業控制系統的整體安全態勢集中可視化展現（資產、漏洞、拓撲、事件）、分析、入侵檢測和安全事件的預警、管控，提升企業安全防護整體水平。

結語

通過對工業控制系統的安全現狀分析，以及結合等保2.0標準通用要求和工業控制系統擴展要求，設計了一種基于等保2.0標準的工業控制系統網絡安全技術防護體系，即構造1個中心，3重防護的縱深防御體系，為工業控制系統的網絡安全防護提供了理論參考依據。

作者簡介：郭繼如（1964年5月）男，籍貫：河北省唐山市人，漢族，現職稱：高級工程師，學歷：研究生，研究方向：計算機網絡，從事計算機專業工作。