工業控制系統網絡安全等級保護建設與管理探討

陳丹 湯蕊

1.暨南大學 廣東 廣州 510632；

2.中船黃埔文沖船舶有限公司 廣東 廣州 510715

引言

近年來，工業控制系統信息安全事件不斷發生，“震網”、“火焰”、“毒區”、“Havex”等惡意軟件嚴重影響了關鍵工業基礎設施的穩定運行，充分反映了工業控制系統信息安全面臨的嚴峻形勢。隨著等保進入2.0時代，工業控制系統的信息安全也重新提到了一個前所未有的高度，在大力發展信息產業的同時，工業控制系統逐步從單機走向互聯、從封閉走向開放，為網絡安全威脅向其加速滲透提供了條件，工業領域面臨的信息安全形勢日益緊迫，亟須加速完善工業控制系統安全保障體系。

1 工業控制系統安全現狀分析

1.1 行業外部威脅

隨著網絡作戰以及有組織黑客越來越多地開始針對工控網進行攻擊，工控網的安全問題日益成為很多企業的網絡安全的頭等大事。目前絕大多數的工控網基本處于不設防的狀態，因此，在工控網安全方面，存在著很多漏洞和誤區。

同時伴隨著工業信息化進程的快速推進，為實現系統間的協同和信息分享，工業控制系統也逐漸打破了以往的封閉性，采用標準、通用的通信協議及硬軟件系統，企業工控系統目前面臨的攻擊主要是在系統信息收集以及工控數據篡改。

1.2 行業內部威脅

1.2.1 普遍未對工業控制網絡區域間進行隔離、惡意代碼、異常監測、訪問控制等一系列的防護措施，很容易一點發生病毒或攻擊，影響整個區域甚至全網絡。

1.2.2 缺乏清晰的網絡邊界及邊界訪問控制措施，各區域間網絡簡單地冗余互聯。

1.2.3 缺乏惡意程序防護措施，生產網絡中大量上位機操作系統老舊，系統補丁、病毒庫長期不更新，難以防范惡意軟件攻擊。

1.2.4 缺乏安全事件監管機制，缺乏對工業以太網的可感知與可控制[1]。

2 管理體系建設與管理

為了切實保證工業控制系統的安全，除了采取必要的安全技術措施外，行業內應根據具體情況建立一整套安全管理體系，從組織上、措施上、制度上以及人員方面為用戶信息系統的安全運行提供強有力的保障。

2.1 安全管理機構

生產單位結合實際業務需求及保密制度的相關要求，明確安全組織機構能合理地協調各方面因素，實現安全組織的規范化、科學化，通過對信息安全建設進行監督管理和檢查指導，能統一規劃工業控制系統網絡安全管理體系，有效組織貫徹落實黨和國家制定的網絡安全和信息化工作方針、政策、法規。

2.2 安全管理制度

從安全策略、管理制度、操作規程三方面制定安全管理制度體系，確保正確執行信息安全策略，落實安全保密要求，實現信息系統、信息設備和存儲設備可管、可用、可控、可查、可審、可追溯，減少人為因素影響。

策略作為生產單位網絡與信息安全的基本要求，主要明確信息安全要求，是制定信息安全專項管理制度、專項管理辦法等相關制度的依據；專項管理制度屬于二級文件，指導網絡與信息安全正常運行的規范性要求；專項管理辦法是安全策略在信息系統、信息設備和存儲設備上具體實現的操作步驟。應急預案是應對面臨的安全風險充分分析，制訂信息安全應急響應預案，對可能發生的病毒、黑客攻擊等各種潛在威脅制訂響應策略。

2.3 安全運維管理

定期開展工控安全風險評估，形成安全測評報告，并提出整改建議和計劃；應采取必要的措施識別安全漏洞和隱患，并根據風險分析的后果，對發現的安全漏洞和隱患在確保安全生產的情況下及時進行修補。

3 技術防護體系建設與管理

技術防護體系是實現工業控制系統安全的手段，從技術層面上，利用多種成熟、先進的技術措施，實現系統各個層次的安全防護。

3.1 物理與環境安全

物理與環境安全是保護工控設備、設施（網絡及通信線路）免遭地震、水災、火災、有害氣體和其他環境事故（如電磁污染等）破壞的措施和過程。保證工業控制系統的所有設備和機房及其他場地的物理安全，是整個工業控制系統安全的前提。

3.2 網絡和通信安全

工業控制系統應采用分層分區的保護結構實現信息安全等級保護設計，構建在安全管理中心支持下的計算環境、區域邊界、通信網絡三重防御體系，采用縱向分層、橫向分區的架構，以實現可信、可控、可管的系統安全互聯、區域邊界安全防護和計算環境安全，如圖1。

3.2.1 邊界防護。工業控制系統使用獨立的網絡設備組網，與生產單位內網邏輯隔離。通過部署工業控制防火墻實現工業控制網絡的縱向邊界防護和橫向區域防護，可以對數據包的源和目的地址、端口號和協議等進行檢查，以允許或拒絕數據包出入；通過輸入訪問限制和隔絕等技術分割網絡，防護來自外部網絡的入侵行為。從而提高網絡邊界完整性保護能力。

縱向邊界防護方面在生產單位內網與工業控制網之間以串聯方式部署工業控制防火墻做訪問控制、病毒木馬防護，有效隔離非涉密內網和工業網，保護工業網的工業設備安全，隔離來自公司內網的病毒侵擾[2]。

橫向區域防護方面根據不同的車間來進行區域劃分，形成多個安全防護區域。通過工業控制防火墻設置訪問控制策略，實現區域橫向安全邏輯隔離。

圖1 縱向分層、橫向分區

3.2.2 訪問控制。通過在工業控制系統與企業其他系統之間部署的工業控制防火墻設備，將工業控制系統與企業其他系統進行隔離。并按實際的業務需求，采用最小化原則，配置訪問控制策略，對數據訪問進行細粒度的訪問控制，對消息來源、用戶、設備身份進行鑒別，根據安全策略對接入進行訪問控制，從而保障工業控制系統運行的安全性。

3.2.3 通信傳輸。在工業控制系統中，要保證數據的傳輸保密性，應采用加密技術來保護數據傳輸和遠程應用維護操作的傳輸管道安全，確保重要業務數據和重要個人信息等數據的保密性。

對于生產管理層網絡和過程監控層網絡，應采用密碼技術保證通信過程中數據傳輸的完整性，實現通信網絡和非現場總線網絡數據傳輸的完整性保護；對數據傳輸實時性要求較高的現場總線網絡，數據加密方式應滿足實時性要求。

3.2.4 網絡監測審計。由于信息化發展的推動，工業控制系統網絡的連接更加開放，這樣的情形可能使工業控制系統受到非法的掃描探測和網絡入侵。通過在工業控制網核心交換機上旁路鏡像部署工控安全監測與審計平臺，對工控網絡提供事前監控、事中記錄、事后審計。工控安全監測與審計平臺對工控網絡的安全狀態做全面的入侵檢測，對網絡中的攻擊行為、數據流量、重要操作等進行監測審計，以實現在網絡邊界處對攻擊行為的監控和阻斷。

3.3 設備和計算安全

3.3.1 身份鑒別。對網絡中的文件或文件夾設置用戶訪問權限，普通用戶無法訪問未授權文件或文件夾。同時，在域策略中對賬號進行策略設置，加強對賬戶的管理，如設置密碼復雜度、定期更改密碼天數、賬戶輸入幾次錯誤密碼自動鎖定賬戶等。實現高強度身份認證、安全數據傳輸以及可靠的行為審計。

3.3.2 訪問控制。在工業控制系統中，由授權主體對客體設置訪問控制權限，規定主體對客體的訪問規則；訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級；并遵循最小化授權原則，限制權限的傳播。

3.3.3 安全審計。工業控制系統和現場設備的安全審計，包括日志審計和流量監控。審計內容應包括用戶行為、系統資源的異常使用和操作等重要相關事件的記錄。現場設備的用戶登錄事件、時間修改事件、配置修改事件、程序修改事件和流入現場設備的數據流等。

3.3.4 入侵與惡意代碼防范。在工控主機上部署終端安全衛士，采用“白名單”管理機制，通過對數據采集和分析，其內置智能學習模塊會自動生成工業控制軟件正常行為的白名單，與現網中的實時傳輸數據進行比較、匹配、判斷。如果發現其用戶節點的行為不符合白名單中的行為特征，其主機安全防護系統將會對此行為進行阻斷或告警，以此避免主機網絡受到未知漏洞威脅，同時還可以有效的阻止操作人員異常操作帶來的危害。

3.4 應用安全

3.4.1 身份鑒別和訪問控制。所有應用系統對登錄的用戶進行身份標識和鑒別，對應用及重要系統數據的訪問提供訪問控制功能，授予不同賬戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系；并通過配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則。

3.4.2 安全審計應用系統均按要求提供日志模塊，記錄用戶對應用系統的所有操作，通過查看應用系統的狀態信息和操作，分析并判斷是否有違規行為。

3.5 數據安全

隨著企業數據體量不斷增大、種類不斷增多、結構日趨復雜，而且越來越重要，為防止數據泄露、毀損、丟失、用戶個人信息泄露等風險，需采用一些安全防護技術來確保數據的安全。

3.5.1 數據存儲與傳輸。企業對靜態存儲的重要工業數據進行加密存儲，設置訪問控制功能，對動態傳輸的重要工業數據進行加密傳輸，通過SSL保證網絡傳輸數據信息的機密性、完整性與可用性，保障維護管理過程的數據傳輸安全。使用VPN等方式進行隔離保護，并根據風險評估結果，建立和完善數據信息的分級分類管理制度。

3.5.2 數據訪問控制。通過部署防火墻、交換機等設備，將數據根據訪問邏輯劃分到不同的區域內，使得不同區域之間的數據不可直接訪問，避免存儲節點的非授權接入，同時避免對數據的非授權訪問。

3.5.3 數據備份與恢復。通過部署存儲備份系統對關鍵業務數據，如設備運行數據、生產數據、控制指令等進行定期備份，制定備份恢復策略，并確保備份的可計劃性和可操作性，有效防止信息泄露、毀損和丟失。當發生數據丟失事故時，根據備份恢復策略，及時恢復一定時間前備份的數據，從而降低用戶的損失[3]。

4 結束語

隨著信息化、數字化發展進程不斷深入，工業領域面臨的信息安全形勢日益緊迫。應按照網絡安全等級保護基本要求，結合生產單位的工業控制系統現狀，從管理體系和技術防護體系兩方面進行了安全體系建設，從物理安全、網絡與通信安全、設備與計算安全、應用安全、數據安全五方面做好工控安全防護工作，切實提升工業控制系統信息安全防護水平，保障工業控制系統安全。