構建應急體系護航工業運行安全

葉曉虎

綠盟科技集團股份有限公司

近年來，工業鄰域發生了一系列重大的信息安全事件。工業網絡安全應急響應的建設得到高度重視，并且為保障我國經濟社會穩定、人民群眾安居樂業發揮重要作用。本文從工業互聯網的安全情況切入，說明了我國工業互聯網安全面臨嚴重威脅的狀況，并對工業互聯網的安全問題做了總結。針對安全問題提出了工業網絡安全應急響應體系架構，對工業網絡安全應急與IT 網絡安全應急的區別做了闡述。最后對未來應急響應技術發展趨勢做了分析。

(應急響應體系；工業互聯網；工控安全；信息安全)

1 工業互聯網安全現狀

工業控制系統[1]是自動化工業生產過程中的設備、系統和網絡的總稱。包括集散控制系統（DCS）、數據監控與采集系統（SCADA）、安全主控制系統（SIS）、可編邏輯控制器（PLC）、工業網絡設備及相關軟件系統等。隨著工業4.0、信息物理融合系統等概念和技術的興起，工業控制系統被廣泛應用于電力、石化、交通等行業，并朝著數字化、網絡化、智能化的方向發展。隨著“中國制造2025”戰略的提出，傳統物理隔離工控網絡融合了IT 網絡領域的操作系統、通信協議等技術，導致工控網絡面臨巨大的安全威脅。

近年來，工業互聯網鄰域發生了許多重大安全事件，2011 年，大慶石化煉油廠控制系統感染Conficker 病毒，使得通訊出現不同程度的中斷；2015年，烏克蘭的電力工業遭受到BlackEnergy惡意軟件的攻擊，導致伊萬諾—弗蘭科夫斯克地區大面積停電；2018 年，某石油公司采油廠感染一款名為Lucky 的勒索病毒，業務系統受到感染，生產受到影響。2021 年2 月8 日，佛羅里達州奧爾德斯馬的一家水處理廠被黑客入侵，堿液量增加到危險水平。2021 年5 月，美國最大的燃油管道運營商Colonial Pipeline 因受到勒索軟件攻擊被迫關閉。中國工業互聯網的安全威脅更為嚴重，因此，尋求解決這些安全問題的方法至關重要。

因此，面對如此嚴重的安全威脅形勢，工業信息安全應急響應能力建設刻不容緩。應急響應能力建設前，需要先明確工業互聯網所面臨的安全問題，再談解決思路。

2 工業互聯網安全問題

為了明白工業互聯網中的安全問題，首先要深刻理解當前傳統互聯網的安全缺陷和弱點。這使我們能夠在工業互聯網安全防護中糾正眾所周知的安全缺陷。但是，并非所有現有的網絡安全措施都延續到工業領域。這主要是由于使用和部署的差異，以及消費者和工業鄰域面臨的不同安全威脅。

工業互聯網發展帶來的安全問題主要表現在三個方面：一是業務層面，安全策略缺乏與業務結合導致安全防護不能起到足夠的防護作用，APT 等攻擊行為容易突破安全防線。安全處置過程缺乏與業務的關聯，在一些強業務相關環境中存在業務中斷的風險。二是網絡層面，隨著融合網絡的發展，在大量業務聯通后，導致網絡邊界模糊，通信流量的復雜導致了安全隱患的加劇。網絡安全的分析中缺乏對于不同工業系統尤其是運行中系統的影響性分析。三是運行層面，運維過程中缺乏可以適配于工業應用屬性的安全設備，無法做到安全運維、網絡運維和安全相關性的分析和處理。應急響應能力建設不足，導致問題提出現后無法第一時間進行有效處置。基于業務運行屬性的安全管理依然缺乏，設備管理不等于業務運行安全管理，需要關注業務運行中的安全。

3 工業網絡安全應急響應體系

保障工業網絡安全的重要性是不言而喻的，當今社會的信息網絡安全已是影響國家安全的一個高權重因素。雖然保護網絡安全的技術迅速發展，但實踐證明，現實中再昂貴的安全保護也無法發現和抵御所有的威脅。因此，完善的網絡安全體系要求在保護體系之外必須建立應急響應體系。將工業控制系統直接暴露在互聯網上存在較大的安全隱患。然而由于業務需求，仍有很多此類設備和系統是直接暴露在互聯網上。當工業系統接入互聯網后，建立工業網絡安全應急響應體系也就尤為必要了。

在介紹應急響應體系前，首先，我們需明確工業網絡安全應急與IT 網絡安全應急的區別。兩者的主要區別，見下表。

因此，對于工業系統的安全風險評估就需要考慮更多因素，除了IT 網絡的風險外，還包括人員因素，人員的安全意識與安全能力；管理因素，涵蓋人員管理、生產管理、數據管理、運維管理等；供應鏈因素，元件/設備引入安全風險；邊界因素，不同區域的風險管理；工藝因素，對工藝的可靠性要求；環境因素，設備/系統針對不同環境的適應能力；以及設備老化、異常運行等等因素。

工業網絡安全領域的應急響應是指在工業場景下突發重大網絡安全事件后對包括計算機運行在內的業務運行進行維持或恢復的各種技術和管理策略與規程。

工業網絡應急響應的活動應該主要包括兩個方面：

（1）未雨綢繆，即在事件發生前先做好準備，比如風險評估、制定安全計劃、安全意識的培訓，以發布安全通告的方式進行預警，以及各種防范措施；

（2）亡羊補牢，即在事件發生后采取的措施，其目的在于把事件造成的損失降到最低。這些行動措施可能來自人，也可能來自系統，比如事件發生后，系統備份、病毒檢測、后門檢測、清除病毒或后門、隔離、系統恢復、調查與追蹤、入侵者取證等一系列操作。

以上兩個方面的工作是相互補充的。首先，事前的計劃和準備為事件發生后的響應動作提供了指導框架，否則，響應動作將陷入混亂，可能造成比事件本身更大的損失；其次，事后的響應可能發現事前計劃的不足，從而吸取教訓，進一步完善安全計劃。因此，這兩個方面應該形成一種正反饋的機制，逐步強化組織的安全防范體系。

工業網絡安全應急響應體系的管理是一個周而復始、持續改進的過程，大致包含以下三個階段。

（1）工業網絡安全應急響應需求分析和應急響應策略的確定。

（2）編制工業網絡安全應急響應計劃文檔。

（3）應急響應計劃的測試、培訓、演練和維護。

從管理角度看，工業網絡安全應急響應的管理可分為事件報告、事件評估、應急啟動、應急處置、后期處置，如圖1 所示。

下面我們以勒索病毒攻擊工業企業為例，來說明工業網絡安全應急響應體系的運作流程。勒索攻擊防護應急響應方案是在分析攻擊者實現數據加密勒索的網絡攻擊滲透路徑的基礎上，針對常用的釣魚郵件攻擊、遠程訪問弱口令、RDP 漏洞利用、系統漏洞利用等攻擊手段，通過構建評估、防護和響應三大防護體系有效應對網絡攻擊滲透。總體設計如圖2 所示：

圖1 安全應急響應管理流程圖

圖2 勒索攻擊防護體系總體設計

在工作中，當發生如：主機防病毒軟件告警通知、IDS 告警主機存在異常網絡行為、主機異常重啟或藍屏等安全事件，并已經或很可能造成嚴重影響時，啟動應急響應預案。

首先，進入應急啟動階段，應急工作組接公司接口部門安全事件申告，立即對事件進行初步評估；初步評估完成，第一時間上報應急領導小組；應急領導小組通知應急處理組第一時間隔離被感染主機，并通知應急處理組人員到達現場進行事件處理。安全運維負責人根據安全運維人員、網絡管理員、業務系統管理員匯報的情況，向應急現場負責人匯報情況，雙方迅速對本事件進行安全事件的影響范圍與影響程度確定。

然后，進入應急處理階段：

（1）緊急操作。檢查客戶端防病毒軟件監控日志，確定惡意代碼源頭，定位到具體設備IP。必要情況下切換備機，斷網隔離。通過在業務防火墻或網絡設備設置訪問控制策略，限制外部的訪問。

（2）事件處理。啟動備用服務器并進行安全加固，確保其不會被勒索軟件感染。備份系統以供主機應急過程中產生的意外回退。在條件允許下在上，確定問題主機勒索軟件特征。重新安裝操作系統并進行安全加固。安裝病毒查殺軟件，對系統進行全面殺毒，開啟殺毒軟件實時安全防護功能。排查應用代碼和系統漏洞，及時修補。

（3）事件恢復。在確認勒索軟件被徹底根除之后，恢復系統運行，如果啟動了備用服務器，應將服務器切換到原來的服務器。

最后，是應急結束階段，根據應急處理后系統運行狀態正常，主機得到安全控制，領導小組下達應急工作結束指令。應急工作組傳遞應急工作結束指令，并向相關單位通報本次網絡攻擊與信息安全事件情況。對事件的整個過程進行完整的記錄和分析，如有必要可優化、調整應急預案。事件處置完成后，將事件處理分析報告上報給相關主管部門。

4 工業網絡安全應急發展趨勢

不論是企業還是機構，未來將面臨的一個重要網絡安全問題是，企業內網絡安全的防護不再是孤立的，而是和整個互聯網安全狀況和突發網絡安全事件緊密聯合起來。例如，對企業而言，雖然內網的數據不允許向外流出，但一旦某類黑客攻擊發生在同類型企業或者使用相同信息系統架構的企業或組織，那么該企業將很有可能面臨被攻擊。

威脅情報的概念也是基于上述情況而提出。因此出現較晚，業界對威脅情報概念的理解各不相同。例如，有人認為“樣本庫”可稱為情報，也有人認為“黑名單”是情報，而一些公開資料中提到的網絡安全信息共享也被認為是威脅情報的早期版本。

國際上也有網絡安全研究機構給出“威脅情報”的專業定義（如 Gartner[2]）。國內也有學者[3]提出了威脅情報的六大要素（采集、關聯、歸類、整合、行動、分享）和4 個階段（廣覆蓋收集有效信息、分析處理與生產、行動實施、生態圈分享）。

對威脅情報的理解：依賴證據知識，包含情境、機制、影響和應對建議，威脅情報可以第一時間診斷出存在或者正在顯露的威脅或危害資產的行為。威脅情報的目的就是實現“早、快、準、全”的安全隱患監測和警報。

圖3 工業場景的整體解決方案

如果企業能及早了解熟悉上述威脅情報信息，就可以為有效防范和采取應急措施贏得時間。而企業面對網絡黑客攻擊特別是一些嚴重的計算機犯罪行為，如能提前預知、提前響應，則可能避免系統崩潰、業務崩潰、高價值數據丟失等“滅頂之災”。

根據當前工業網絡安全業界的實踐狀況，綠盟科技已經形成了一套覆蓋工業設備、控制、網絡、應用（監控平臺、管理平臺）、數據等多個層級安全防護的安全設計原則集和解決方案集。其研制的安全協同一體化的工業網絡安全監測預警平臺，在大數據框架的基礎上為工業環境提供安全監控及響應的安全運營中心。通過深度工控資產自動探測技術、分布式漏洞探測技術、多類型工業控制協議識別技術、異常流量監測技術，實現工業設備安全態勢信息自動采集、識別工控設備的漏洞與潛在威脅的能力。通過大數據建模分析技術與基于多源數據的工業安全態勢知識圖譜構建技術，并結合中國國家信息安全漏洞庫及工控漏洞庫，進行安全威脅評估、態勢感知，預測預防設備潛在風險的發生。下圖是綠盟科技針對工業場景的整體解決方案。

總體上看，威脅情報將會對未來國家、機構、企業的網絡安全應急響應產生顯著影響，威脅情報也代表了網絡安全應急響應技術與實踐的方向和發展趨勢。隨著業界和機構、企業用戶對威脅情報的認識和實踐的理解不斷加深，威脅情報理念[4]對網絡安全應急響應技術與實踐的進一步完善和成熟將產生更大的促進作用。

5 結語

本文首先對工業控制系統的安全狀態進行了分析，通過對安全事件的案例分析發現，網絡安全事件所造成的損失嚴重，工控系統網絡安全形勢不容樂觀。工業企業的工控網絡安全應急響應體系建立刻不容緩。文章對工業網絡安全應急與IT 網絡安全應急的區別做了闡述，并提出了安全應急體系架構設計的思路。最后對未來應急響應技術發展趨勢做了預測，威脅情報理念將是網絡安全應急響應技術的發展方向和趨勢。