工業控制系統網絡攻擊阻斷安全防御方案設計

包 叢

（新疆油田公司數據公司，新疆 克拉瑪依 834000）

0 引言

工業控制系統網絡（以下簡稱“工控網絡”）安全技術尚未發展成熟，傳統網絡技術在工控系統中難以直接應用，使得如今工控操作員站處于一種被動的安全防護模式［1］。控制系統網絡基本向以太網結構發展，開放性增強給工控系統帶來新的安全壓力，傳統的安全技術手段與安全防御方案已無法完全應用于工控網絡，導致目前工控防護能力水平較為有限。

1 工業控制系統安全現狀

我國的工業化與信息化現在正處在深度融合階段，因而對工業控制網絡安全策略的制定及安全技術的研發提出了更迫切的需求［2］。近年來，針對工業控制網絡的攻擊事件時有發生，國家高度重視工業控制網絡的安全問題，《網絡安全法》和等級保護2.0 的發布應用將網絡安全提升到了國家安全高度。在良好的政策環境下，工控安全問題得到了進一步解決，但到目前為止還沒有形成面向工業控制網絡的特點與安全保護特殊要求的安全保護理論體系與分析方法［3］。

1.1 工控系統安全頂層設計現狀

工控系統自身特點決定了傳統安全體系在工控系統中無法直接使用，需要建立符合自身特點的安全體系。工控系統應以可用性為主，實時性與可靠性要求高，不能輕易升級，私有協議多，設備生命周期長達15～20 年，這些特殊性導致現有信息安全措施無法直接應用，需要建立符合工業控制特點的安全體系。

1.2 工控系統安全專業技術現狀

工控系統安全防御要點主要體現在網絡互通互聯、網絡邊界隔離、網絡邏輯劃分、工業主機安全、身份認證管理、遠程訪問安全、工業敏感數據安全等方面。目前，工控系統安全技術防護建設水平各不相同、差別較大，國家重點直屬企業的工控系統安全技術防護方面相對較好，整體來看，工控系統普遍存在安全防護不成體系和欠缺有效的安全防護技術措施等問題。

1.3 工控系統安全專業技術人員現狀

目前，生產單位普遍缺少工控網絡安全專職崗位或專業技術人員，同時部分技術人員沒有經過系統的培訓和學習，專業能力不足。一旦出現工控系統網絡安全攻擊事件，無法及時組織人員進行安全事件應急處置和恢復。另外，現有傳統互聯網技術（Internet Technology，IT）網絡安全工作經驗的技術人員在從事工控系統安全相關工作時，往往不能有效轉變工作思路，導致部分工作落實不到位、安全應急處置不徹底的情況時有發生。

2 工控系統安全阻斷工作原理

2.1 安全聯動機制

工業控制網絡要做到運行可控，當出現來自網絡內外部的安全威脅時，網絡的各個安全設備、防御機制之間應該做到整體協作，而不是彼此割裂、各自為戰［4］。各自為戰的防御機制由于彼此之間缺乏互動，無法實現整體上的統籌決策，在出現非法設備接入或網絡攻擊時，不能及時進行阻斷與反制。網絡的整體協同聯動防御體現在阻斷防御的及時性與準確性上，可以根據需要動態地對防御策略進行調整，消除或減輕網絡異常或異常操作帶來的影響。

2.2 安全技術應用

安全監測設備可以實現對資產信息、可疑流量、漏洞情況、風險預警、設備狀態等信息進行采集與上報。防火墻可實現辦公網與工控網絡的強邏輯隔離，有效阻止網絡攻擊者入侵工控網絡，同時保護內部行為不外出、內部資料不外泄，實現有效的訪問控制。監測審計設備根據工控網絡通迅協議定制符合工控業務特點的安全審計策略，能夠有效識別工控網絡中存在的非法行為、非法訪問和非法操作并實時告警，通過旁路監聽方式進行部署，保證在實現安全監測的同時，不影響現有生產的正常運行。工控系統安全態勢感知平臺作為安全設備聯動處置的管理核心，將各數據采集系統中的數據信息以及外部情報信息進行集成，經過分析處理，展示資產信息、漏洞信息，實現風險預警、流量監測、應急處理以及整體態勢感知。主機安全衛士能夠有效對工控主機和服務器等進行安全加固。通過部署白環境運行策略，可以快速有效阻止震網病毒、BlackEnergy 等工控惡意代碼在主機上的執行和漫游。

2.3 安全阻斷應用技術原理

基于協同聯動的安全阻斷策略能夠更好地滿足針對網絡非法行為阻斷的準確性和及時性要求，聯動技術之所以能夠應用，得益于網絡的特殊性與共通性。網絡阻斷的實現手段歸根結底是對網絡通訊所產生數據的深度分析與控制［5］。采用組合公鑰（Combined Public Key，CPK）安全密鑰標識認證、基于應用層特征匹配的深度包檢測技術、基于IEEE 802.1X 的無線網絡接入認證技術以及基于訪問控制技術的阻斷原理可實現對網絡攻擊異常行為的即時阻斷。

3 工控系統安全阻斷防御方案設計

3.1 非授權設備接入阻斷

終端計算機接入工控網絡時，采用基于CPK 認證技術的身份認證進行設備接入控制，將安全芯片集成到傳感器/控制器，前端服務通過調用加密芯片中的安全標識密鑰對訪問請求進行私鑰簽名，連接至上位機，業務系統認證服務進行認證，統一認證授權系統對終端進行身份和權限查詢，身份鑒別系統給出終端的可信身份，終端接入。認證不通過時，上位機阻止該終端的接入請求。

LoRa、NB-IoT（窄帶物聯網）、4G/5G、McWill（多載波無線信息本地環路）、衛星等無線方式接入，在無線接入區部署安全接入網關，客戶端證書發送至安全網關進行身份識別，安全網關將訪問身份鑒別系統以驗證證書的有效性。身份鑒別系統認證通過后，移動客戶端可建立端到端安全可靠的通道。認證不通過時，安全網關阻止該終端的接入請求。

WIFI（無線網）方式接入，采用802.1X 協議認證、靜態IP/MAC 地址綁定以及身份鑒別與安全加密等多種技術手段，實現無線接入安全認證。準備接入交換機的網絡終端需要具有基于802.1X 協議的可信身份標識，接入交換機等支持802.1X 協議認證的通訊設備時，通過身份認證模塊啟動身份驗證過程，由身份驗證模塊將終端電子標識發送至身份認證服務器進行身份驗證，身份認證服務器給出終端的可信身份，終端接入。認證不通過時，交換機阻止該終端的接入請求。

3.2 非法互聯網訪問阻斷

在工控系統中，出于安全考慮，一般不允許用戶訪問互聯網，以避免來自網絡的惡意流量威脅系統安全，破壞網絡邊界完整性。可通過網絡邊界的防護系統和主機端安全衛士對工控用戶訪問互聯網的非法行為實施阻斷。邊界安全設備和主機安全衛士通過基于人工智能的深度學習技術，結合人工審計處理，建立訪問控制白環境，不在白名單中的流量將被攔截。邊界防護系統通過管理邊界防護設備，如防火墻、網閘等，建立數據安全交互機制，實現工業控制系統用戶訪問互聯網阻斷。工控系統內部裝置、車間或作業區（大站）劃分安全域，邊界采取安全隔離措施。工控系統與辦公網邊界通過防火墻進行安全隔離，實現工控數據與辦公網數據安全交互。在安全區域邊界設置訪問控制權限控制用戶訪問，通過對流經邊界的流量進行深度包解析，判斷流量安全狀態，從而對進出安全區域邊界的數據流量進行安全管控，只允許經過授權的訪問正常通過，未經授權的非法訪問將被攔截［6］。

3.3 非法入侵及傳輸阻斷

工控網與業務網有信息交互的需求，信息交互伴隨著安全問題和風險。例如，以震網病毒為代表的定向攻擊對工控網的安全是一種非常嚴重的威脅，即使在物理隔離的情況下，其仍然可通過層層滲透的方法突破防線，如基于擺渡系統的病毒引入、基于0-day 漏洞的掃描和利用等。工控系統利用其常規的安全措施，很難滿足其高安全性要求。為了保障兩網交互的安全性，需要建立面向工控網與業務網的確定性網絡節點模型，并以該網絡節點模型為基礎，建立面向角色與節點的訪問控制模型，采用訪問控制技術，改善工控網與業務網信息交互管理和策略上的脆弱性。在區域邊界部署工業防火墻執行流量包檢測，通過制定統一的包過濾策略，對通過工業系統區域邊界的所有數據流量進行統一的安全檢查。包過濾策略至少包括數據包的源地址、目的地址、傳輸層協議、服務端口等五元組基礎信息。在網絡層面通過關鍵節點部署的流量監測設備實時采集流量，利用機器學習等智能技術，建立工控安全流量審計模型，深入應用層協議解析，根據建立的白名單模型，對所有邊界交互的數據包進行安全過濾和安全協議匹配，阻斷不符合協議規則的異常報文［7］。該阻斷策略通過安全隔離設備與策略管理機制聯動，實現非法傳輸阻斷和入侵阻斷。

3.4 非授權操作行為阻斷

工控現場情況復雜，往往存在來自不同對象的安全隱患，如人為的誤操作或惡意操作、系統本身的安全缺陷、移動介質的非法接入等。針對不同的安全狀況，應該建立相應的阻斷機制，以保障系統的安全性。工業控制系統在現場層進行操作與指令下達時，必須具備嚴格的認證與授權機制，需要建立阻斷機制，避免來自管理層的指令直接對現場進行指揮等情況，保證現場控制層對設備的唯一控制權。主機上應建立應用和進程白名單，只允許運行經過授權和安全評估的軟件程序和接入外部設備，從而防范已知或未知病毒、木馬、惡意程序運行及傳播。

4 結語

當前網絡安全形勢復雜，工控網絡安全亟待加強，本文提出的基于阻斷理論的安全防御技術手段在工控生產中具有現實意義，相信隨著工控網絡安全不斷發展，以安全阻斷思想為導向的安全策略部署和防御體系建設將得到進一步完善，并更好地應用于工業控制系統安全防御體系中。