基于PADIMEE安全模型的工控系統(tǒng)邊界防護(hù)設(shè)計(jì)

劉瑞+鄒春明

摘 要：工業(yè)控制系統(tǒng)是現(xiàn)代工業(yè)建設(shè)、國家重大工程和關(guān)鍵基礎(chǔ)設(shè)施的神經(jīng)中樞。隨著工業(yè)化和信息化的不斷發(fā)展和演進(jìn)，工控系統(tǒng)由傳統(tǒng)封閉式系統(tǒng)演變到開放式的網(wǎng)絡(luò)系統(tǒng)，同時(shí)，工控系統(tǒng)所面臨的問題越來越復(fù)雜?？紤]到適用于工業(yè)控制系統(tǒng)的等級(jí)保護(hù)制度即將推行，論文結(jié)合工控系統(tǒng)的特點(diǎn)，提出了基于PADIMEE安全模型的工控系統(tǒng)邊界防護(hù)設(shè)計(jì)，進(jìn)一步提高工控系統(tǒng)信息安全。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；PADIMEE安全模型；邊界防護(hù)

中圖分類號(hào)： TP273.5 文獻(xiàn)標(biāo)識(shí)碼：A

The Boundary Protection Design of ICS Based

on PADIMEE Security Model

Liu Rui， Zou Chun-ming

（The Third Research Institute of Ministry of Public Security， Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： Industrial control system （ICS） is the nerve center of modern industry construction， national important project and key infrastructure. With the continuous development and evolution of industrialization and information technology， ICS has evolved from traditional closed system to open network system. Meanwhile， the problems faced by ICS are becoming more and more complex. Taking into account the classified protection system for ICS to be implemented， combined with the characteristics of ICS， this paper put forward the boundary protection design of ICS based on the PADIMEE security model， and further improve the information safety of ICS.

Key words： Industrial Control System； PADIMEE Security Model； Boundary Protection

1 引言

隨著德國政府提出工業(yè)4.0的興起以及工業(yè)化和信息化的不斷融合，傳統(tǒng)的互聯(lián)網(wǎng)技術(shù)不斷應(yīng)用到工業(yè)自動(dòng)化控制領(lǐng)域，例如航空航天、食品制造、醫(yī)藥和石化、交通運(yùn)輸以及電力和水利等。目前，超過80%涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工控系統(tǒng)來實(shí)現(xiàn)自動(dòng)化作業(yè)。自2010年的“震網(wǎng)”事件以來，一系列工控安全事件的發(fā)生表明工控系統(tǒng)正面臨著嚴(yán)重的攻擊威脅[1]，工控系統(tǒng)的安全問題日益凸顯。

國外較早就開始對(duì)工控系統(tǒng)的信息安全問題進(jìn)行了研究，2005年愛達(dá)荷國家實(shí)驗(yàn)室的關(guān)鍵基礎(chǔ)設(shè)施測(cè)試靴場(chǎng)正式投入運(yùn)行，其中關(guān)鍵基礎(chǔ)設(shè)施主要由SCADA和電力系統(tǒng)組成。同時(shí)，美國國土安全部制定了工控系統(tǒng)安全領(lǐng)域的專項(xiàng)計(jì)劃，例如國家SCADA測(cè)試床計(jì)劃（NSTB）。為了能夠順利開展工控系統(tǒng)安全工作，美國國土安全部成立了工控系統(tǒng)應(yīng)急響應(yīng)小組（ICS-CERT）致力于相關(guān)的技術(shù)研究。關(guān)于工控系統(tǒng)安全國家標(biāo)準(zhǔn)法規(guī)包括國家基礎(chǔ)設(shè)施保護(hù)計(jì)劃（NIPP）和《聯(lián)邦信息安全管理法》[2]，同時(shí)，國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布了一系列工控系統(tǒng)安全相關(guān)的指南，例如《聯(lián)邦信息系統(tǒng)和組織的安全控制推薦》[3]和《工業(yè)控制系統(tǒng)安全指南》[4]等。

在“震網(wǎng)”事件后，我國也開始重視工控系統(tǒng)的安全問題，2011年工信部率先發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》[5]。2012年，國務(wù)院正式發(fā)布了《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》[6]。此外，國家發(fā)展和改革委等部門也開始積極部署工控系統(tǒng)的安全保障工作，組織了多次國家信息安全專項(xiàng)，專項(xiàng)重點(diǎn)支持領(lǐng)域均包括了工業(yè)控制信息安全領(lǐng)域，在專項(xiàng)的支持下，出現(xiàn)了一批適用于工業(yè)控制系統(tǒng)的信息安全產(chǎn)品，如工控防火墻、工控安全網(wǎng)關(guān)等。2016年《中華人民共和國網(wǎng)絡(luò)安全法》發(fā)布，其中第31條規(guī)定了能源、交通等眾多與工業(yè)控制相關(guān)的重點(diǎn)行業(yè)以及關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。同年，國務(wù)院發(fā)布了《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》[7]，明確把提高工業(yè)信息系統(tǒng)安全水平作為主要任務(wù)之一。2016年10月，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（工信軟函〔2016〕338號(hào)）[8]，把邊界安全防護(hù)作為提升工控安全防護(hù)工作的一個(gè)重要方面。

基于工控系統(tǒng)安全高度的戰(zhàn)略意義以及我國工業(yè)自動(dòng)化控制領(lǐng)域和信息安全領(lǐng)域?qū)た叵到y(tǒng)安全技術(shù)研究不足的現(xiàn)狀，及時(shí)地開展工控系統(tǒng)邊界防護(hù)設(shè)計(jì)的研究，具有非常重要的現(xiàn)實(shí)意義。

2 工控系統(tǒng)網(wǎng)絡(luò)安全特點(diǎn)

傳統(tǒng)網(wǎng)絡(luò)主要用于數(shù)據(jù)處理和共享，而工控系統(tǒng)主要用于實(shí)現(xiàn)對(duì)工業(yè)自動(dòng)化過程的實(shí)時(shí)控制、監(jiān)測(cè)和管理。由于傳統(tǒng)網(wǎng)絡(luò)和工控系統(tǒng)的適用場(chǎng)景不同，工控系統(tǒng)所面臨的安全問題有其獨(dú)有的特點(diǎn)[9]。

2.1 信息安全防護(hù)目標(biāo)不同endprint

傳統(tǒng)的IT信息系統(tǒng)重視數(shù)據(jù)的機(jī)密性，在一定程度上允許高的網(wǎng)絡(luò)延遲和阻塞，實(shí)現(xiàn)的主要安全目標(biāo)包括保密性、完整性和可用性，一般位于首位的是保密性，通過配置訪問控制策略來保護(hù)用戶信息的安全，其次是完整性，最后是可用性。工控系統(tǒng)的體系結(jié)構(gòu)與傳統(tǒng)IT系統(tǒng)全然不同，即使短暫的網(wǎng)絡(luò)故障都可能導(dǎo)致產(chǎn)品損害、生產(chǎn)中斷或?qū)θ撕蜋C(jī)器造成危險(xiǎn)，對(duì)于工控系統(tǒng)而言，首先考慮的是可用性，然后才是完整性，最后是保密性。

2.2 安全威脅引入的途徑不同

傳統(tǒng)網(wǎng)絡(luò)具有開放性、互聯(lián)性等特點(diǎn)，安全威脅主要來自外部的網(wǎng)絡(luò)攻擊和惡意代碼植入等。工控系統(tǒng)涉及關(guān)鍵領(lǐng)域和企業(yè)運(yùn)營的大量關(guān)鍵敏感數(shù)據(jù)，只能進(jìn)行有限受控的開放，并且在工控系統(tǒng)內(nèi)部使用的協(xié)議、指令對(duì)字段的要求非常嚴(yán)格，來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊不易造成嚴(yán)重的威脅。對(duì)于工控系統(tǒng)而言，多數(shù)安全事件來自內(nèi)部人員的誤操作、外部不安全的設(shè)備接入等。

2.3 網(wǎng)絡(luò)通訊協(xié)議不同

由于工業(yè)化和信息化的不斷融合，管理網(wǎng)絡(luò)和工控網(wǎng)絡(luò)之間的數(shù)據(jù)互聯(lián)也變得常態(tài)化，目前越來越多的工控協(xié)議逐漸開始支持TCP/IP底層協(xié)議通過以太網(wǎng)通信，如常見的Modbus TCP和OPC協(xié)議等，這就要求工控系統(tǒng)的網(wǎng)絡(luò)邊界能夠進(jìn)行支持工控協(xié)議的應(yīng)用層深度解析能力，有效攔截攻擊或誤操作的數(shù)據(jù)包。另一方面，由于工控協(xié)議不同于傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用協(xié)議，目前針對(duì)工控協(xié)議的漏洞掃描系統(tǒng)和漏洞庫都亟待發(fā)展。

3 常見的安全模型

網(wǎng)絡(luò)信息安全并不是通過簡(jiǎn)單的信息安全產(chǎn)品的堆砌就能解決防護(hù)問題，而是需要遵循一定的網(wǎng)絡(luò)信息安全理念來進(jìn)行控制和保障。網(wǎng)絡(luò)的發(fā)展是動(dòng)態(tài)的，不斷有新的協(xié)議、操作系統(tǒng)、應(yīng)用軟件發(fā)布和應(yīng)用、伴隨出現(xiàn)的有大量新的漏洞、病毒、攻擊程序，因此目前國際上普遍認(rèn)為網(wǎng)絡(luò)信息安全應(yīng)該是一個(gè)動(dòng)態(tài)的、不斷完善的過程，并做了大量研究工作，形成了各類信息安全模型，如基于時(shí)間的PDR模型、P2DR模型[10]、全網(wǎng)動(dòng)態(tài)安全體系A(chǔ)PPDRR模型、安氏的PADIMEE模型[11]等。

PDR模型包括Protection、Detection、Response三個(gè)基本部分。保護(hù)是安全的第一步，采取了保護(hù)措施不一定完全保證網(wǎng)絡(luò)安全，網(wǎng)絡(luò)是不斷發(fā)展的，需要及時(shí)檢測(cè)才能發(fā)現(xiàn)問題，如果出現(xiàn)問題便需要進(jìn)行及時(shí)響應(yīng)。PDR模型建立了一個(gè)基于時(shí)間的安全模型。

P2DR模型是一種動(dòng)態(tài)的網(wǎng)絡(luò)安全體系，包括四個(gè)主要的部分：Policy、Protection、Detection、Response，在這個(gè)模型中，Policy是整體的核心，相對(duì)于PDR模型，P2DR對(duì)安全問題提出了明確的方向，提高系統(tǒng)的防護(hù)時(shí)間，降低檢測(cè)和響應(yīng)時(shí)間。

APPDRR模型描述了網(wǎng)絡(luò)安全的動(dòng)態(tài)螺旋上升過程，認(rèn)為網(wǎng)絡(luò)安全由Assessment、Policy、Preotection、Detection、Reactoin、Restoration六部分完成。通過風(fēng)險(xiǎn)評(píng)估，掌握所面臨的風(fēng)險(xiǎn)信息，進(jìn)而采取必要的措施，使得信息系統(tǒng)的安全水平呈現(xiàn)動(dòng)態(tài)螺旋上升的趨勢(shì)。

在實(shí)際應(yīng)用中，我們還需要考慮整體的安全生命周期和工程實(shí)施，而PADIMEE模型便是一個(gè)常用的工程安全模型，主要包括幾個(gè)主要部分：Policy、Assessment、Design、Implementation、Management/Monitor、Emergency Response和Education。PADIMEE模型以安全策略為中心，安全教育為基礎(chǔ)，通過評(píng)估、設(shè)計(jì)、實(shí)現(xiàn)、管理以及緊急響應(yīng)，將安全實(shí)施變成一個(gè)不斷改進(jìn)的呈生命周期的循環(huán)過程。

4 基于PADIMEE安全模型的工控系統(tǒng)邊界防護(hù)設(shè)計(jì)

4.1 工控系統(tǒng)邊界分析

工控系統(tǒng)（ICS）是一個(gè)由工業(yè)過程控制組件和自動(dòng)化組件組成，過程控制組件負(fù)責(zé)對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行數(shù)據(jù)采集和監(jiān)控，使得整個(gè)工業(yè)生產(chǎn)環(huán)境能夠自動(dòng)化進(jìn)行。工控系統(tǒng)的核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、現(xiàn)場(chǎng)總線控制系統(tǒng)（FCS）等[12]，圖1是工控系統(tǒng)中的一個(gè)實(shí)例。

如圖1所示，工控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)分為企業(yè)管理網(wǎng)絡(luò)、生產(chǎn)監(jiān)控網(wǎng)絡(luò)和現(xiàn)場(chǎng)控制網(wǎng)絡(luò)。

企業(yè)管理網(wǎng)絡(luò)中包括企業(yè)ERP系統(tǒng)和MES系統(tǒng)，一般采用傳統(tǒng)信息系統(tǒng)架構(gòu)，網(wǎng)絡(luò)通信以以太網(wǎng)為主。企業(yè)管理網(wǎng)絡(luò)和互聯(lián)網(wǎng)間的邊界中要處理的主要是來自外部的管理數(shù)據(jù)，因此對(duì)數(shù)據(jù)保密性要求較高。此外，該邊界還需負(fù)責(zé)抵御來自外部的攻擊，防止內(nèi)部網(wǎng)絡(luò)受到影響。

生產(chǎn)監(jiān)控網(wǎng)絡(luò)中部署了SCADA服務(wù)器、OPC設(shè)備和系統(tǒng)監(jiān)控站等上位機(jī)系統(tǒng)，向上與企業(yè)管理網(wǎng)絡(luò)進(jìn)行互聯(lián)，向下通過現(xiàn)場(chǎng)控制網(wǎng)絡(luò)對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行數(shù)據(jù)采集。生產(chǎn)監(jiān)控網(wǎng)絡(luò)和企業(yè)管理網(wǎng)絡(luò)間的邊界涉及到的數(shù)據(jù)包括來自上層網(wǎng)絡(luò)中的任務(wù)下發(fā)等生產(chǎn)管理數(shù)據(jù)，同時(shí)不允許企業(yè)管理網(wǎng)絡(luò)不相關(guān)的任何流量和報(bào)文傳到生產(chǎn)網(wǎng)絡(luò)中。在生產(chǎn)監(jiān)控網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間的邊界處由于涉及數(shù)據(jù)的雙向交互，需對(duì)數(shù)據(jù)流進(jìn)行訪問控制限制。

現(xiàn)場(chǎng)控制網(wǎng)絡(luò)主要是由PLC、RTU、分布式I/O站、智能儀器等組成，通信方式有Modbus、Profinet、Profibus等?，F(xiàn)場(chǎng)控制網(wǎng)絡(luò)是工控系統(tǒng)中最重要的網(wǎng)絡(luò)，在現(xiàn)場(chǎng)控制網(wǎng)絡(luò)和生產(chǎn)監(jiān)控網(wǎng)絡(luò)間的邊界要處理的是現(xiàn)場(chǎng)控制和監(jiān)測(cè)數(shù)據(jù)，具有很高的實(shí)時(shí)性、可靠性等要求。

4.2 基于PADIMEE安全模型的工控邊界防護(hù)

由于工業(yè)控制系統(tǒng)要求必須保證持續(xù)的可用性及穩(wěn)定的系統(tǒng)訪問、系統(tǒng)性能、專用工業(yè)控制系統(tǒng)安全保護(hù)技術(shù)以及全生命周期的安全支持，因此在進(jìn)行工業(yè)邊界防護(hù)設(shè)計(jì)的時(shí)候，更應(yīng)該考慮工程實(shí)施的整個(gè)安全生命周期中的系統(tǒng)動(dòng)態(tài)防護(hù)，PADIMEE安全模型提供了一個(gè)長(zhǎng)期持續(xù)的全生命周期安全防護(hù)，適用于工業(yè)控制系統(tǒng)，本文提出了一種基于PADIMEE安全模型的工控邊界防護(hù)。endprint

4.2.1策略制定階段

工控系統(tǒng)在不同行業(yè)具有廣泛的應(yīng)用，針對(duì)不同應(yīng)用的工控系統(tǒng)，根據(jù)實(shí)際適用環(huán)境和需求確定邊界防護(hù)的安全策略和安全目標(biāo)。

工控控制系統(tǒng)與企業(yè)管理系統(tǒng)之間的邊界應(yīng)采取有效的隔離技術(shù)手段，禁止任何穿越邊界的通用網(wǎng)絡(luò)服務(wù)數(shù)據(jù)。工控系統(tǒng)內(nèi)生產(chǎn)管理層和現(xiàn)場(chǎng)設(shè)備層之間的邊界應(yīng)提供身份認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸?shù)裙δ?。針?duì)要求實(shí)時(shí)傳輸數(shù)據(jù)的工控控制系統(tǒng)，應(yīng)獨(dú)立組網(wǎng)，物理上與其他網(wǎng)絡(luò)進(jìn)行隔離；工控系統(tǒng)內(nèi)部網(wǎng)絡(luò)不同區(qū)域間應(yīng)采用VLAN或防火墻等技術(shù)進(jìn)行訪問控制。

對(duì)于設(shè)備接入控制網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)需要采取管理措施加技術(shù)有段相結(jié)合方式進(jìn)行管理。

為了確保工控系統(tǒng)穩(wěn)定運(yùn)行，所有的邊界防護(hù)應(yīng)不能影響系統(tǒng)功能。

4.2.2評(píng)估分析階段

這個(gè)階段主要從技術(shù)層面和管理層面對(duì)工控系統(tǒng)的邊界進(jìn)行評(píng)估分析。技術(shù)層面是針對(duì)邊界上存在的安全技術(shù)風(fēng)險(xiǎn)評(píng)估和分析，包括網(wǎng)絡(luò)設(shè)備、工控設(shè)備以及相關(guān)應(yīng)用系統(tǒng)等方面。

通過分析發(fā)現(xiàn)企業(yè)管理網(wǎng)絡(luò)和互聯(lián)網(wǎng)間的邊界、生產(chǎn)監(jiān)控網(wǎng)絡(luò)和企業(yè)管理網(wǎng)絡(luò)間的邊界對(duì)實(shí)時(shí)性相對(duì)較低，對(duì)數(shù)據(jù)保密性要求較高，面臨的風(fēng)險(xiǎn)有數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊；現(xiàn)場(chǎng)控制網(wǎng)絡(luò)和生產(chǎn)監(jiān)控網(wǎng)絡(luò)間的邊界和生產(chǎn)監(jiān)控網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間的邊界對(duì)數(shù)據(jù)的實(shí)時(shí)性要求較高，面臨的風(fēng)險(xiǎn)有設(shè)備延遲過大影響系統(tǒng)運(yùn)行、網(wǎng)絡(luò)攻擊和操作人員誤操作等。由于誤操作會(huì)導(dǎo)致工控系統(tǒng)中斷、癱瘓、設(shè)備損壞或人員傷亡等嚴(yán)重后果，要求邊界設(shè)備廣泛采用白名單技術(shù)進(jìn)行數(shù)據(jù)的交換控制。

管理層面是從工控系統(tǒng)涉及的組織人員、組織結(jié)構(gòu)、管理制度等角度分析運(yùn)維和管理方面的安全缺陷。

4.2.3 設(shè)計(jì)/方案階段

根據(jù)總體工控系統(tǒng)邊界防護(hù)的安全策略和安全目標(biāo)，結(jié)合評(píng)估分析階段進(jìn)行的風(fēng)險(xiǎn)評(píng)估，制定與之相對(duì)應(yīng)的方法、步驟和加固措施，進(jìn)而形成一套完整的工控系統(tǒng)邊界防護(hù)解決方案。

在企業(yè)管理網(wǎng)絡(luò)和工業(yè)控制網(wǎng)絡(luò)的邊界可以通過部署不同強(qiáng)度的安全設(shè)備進(jìn)行有效的安全隔離和數(shù)據(jù)交互。例如防病毒網(wǎng)關(guān)和工控防火墻，在進(jìn)行數(shù)據(jù)交換時(shí)設(shè)置訪問控制策略，僅開啟必要的數(shù)據(jù)交換鏈路。針對(duì)特定應(yīng)用可部署工控網(wǎng)閘或工控單向?qū)氲雀綦x設(shè)備，采用信息擺渡技術(shù)等進(jìn)行工控網(wǎng)絡(luò)與管理網(wǎng)絡(luò)之間的數(shù)據(jù)交換。

在工業(yè)控制網(wǎng)絡(luò)內(nèi)部不同安全分區(qū)之間涉及到工控系統(tǒng)最重要的控制和監(jiān)測(cè)數(shù)據(jù)等，對(duì)實(shí)時(shí)性要求很高，可以部署工業(yè)防火墻，配置應(yīng)用白名單過濾機(jī)制，對(duì)具有以太網(wǎng)接口的I/O設(shè)備和控制器上的進(jìn)出數(shù)據(jù)進(jìn)行深度包過濾。為了防止安全設(shè)備單點(diǎn)故障影響系統(tǒng)的運(yùn)行，一般要求使用的工業(yè)防火墻具有Bypass功能。為了能夠避免因設(shè)備聯(lián)網(wǎng)而形成的干擾、惡意代碼攻擊、DDoS攻擊和廣播風(fēng)暴等，在不同安全分區(qū)之間部署入侵檢測(cè)系統(tǒng)等。

對(duì)外部設(shè)備接入的邊界，要采取必要的有效防范措施。例如制定外部設(shè)備接入工控系統(tǒng)的管理制度，設(shè)備接入前通過安全檢測(cè)技術(shù)確保接入設(shè)備的安全可靠，接入操作需進(jìn)行審批、登記，便于事后進(jìn)行審計(jì)。

在進(jìn)行工業(yè)控制系統(tǒng)邊界防護(hù)設(shè)計(jì)的時(shí)候，還需考慮部署一套完善的審計(jì)系統(tǒng)，針對(duì)操作人員的各類行為進(jìn)行詳細(xì)的審計(jì)并生成日志，以便發(fā)生安全事故時(shí)能夠及時(shí)進(jìn)行溯源定位。

4.2.4 實(shí)施/實(shí)現(xiàn)階段

在實(shí)施階段，我們根據(jù)安全策略和評(píng)估報(bào)告，基于工控系統(tǒng)邊界防護(hù)解決方案，為不同網(wǎng)絡(luò)邊界中選取合適類型與型號(hào)的安全設(shè)備和網(wǎng)絡(luò)設(shè)備，尤其是部署在生產(chǎn)環(huán)境中的設(shè)備應(yīng)具備低時(shí)延和良好的環(huán)境適應(yīng)性，并且對(duì)所有設(shè)備進(jìn)行策略配置、安全加固等。

運(yùn)行維護(hù)階段：當(dāng)工控系統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)建立之后，為了保障工控系統(tǒng)安全持續(xù)的運(yùn)行，需要對(duì)工控系統(tǒng)進(jìn)行有效運(yùn)行維護(hù)。針對(duì)重要的工控系統(tǒng)，部署網(wǎng)絡(luò)監(jiān)控系統(tǒng)，對(duì)其網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)，生成統(tǒng)計(jì)報(bào)表，方便定期分析。在工控系統(tǒng)中亦存在與傳統(tǒng)互聯(lián)網(wǎng)類似的木馬和惡意代碼等，在各個(gè)邊界定期對(duì)系統(tǒng)內(nèi)設(shè)備進(jìn)行掃描檢測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的漏洞與威脅，并且采取修復(fù)措施進(jìn)行加固。

4.2.5 緊急響應(yīng)階段

緊急響應(yīng)階段是在安全事故發(fā)生時(shí)能夠盡快恢復(fù)工控系統(tǒng)的運(yùn)作和減少數(shù)據(jù)的丟失，一般可以分為響應(yīng)和恢復(fù)兩大環(huán)節(jié)。

（1）響應(yīng)環(huán)節(jié)。當(dāng)發(fā)生入侵事件時(shí)，要求入侵檢測(cè)系統(tǒng)能夠快速發(fā)現(xiàn)并發(fā)出告警信息通知相關(guān)人員，并配合聯(lián)動(dòng)設(shè)備，如工業(yè)防火墻等阻止入侵行為的持續(xù)進(jìn)行。對(duì)于工控系統(tǒng)，高的可靠性也是響應(yīng)環(huán)節(jié)中的一個(gè)關(guān)鍵要素。系統(tǒng)內(nèi)部關(guān)鍵參數(shù)應(yīng)設(shè)定閾值，當(dāng)參數(shù)超過閾值時(shí)應(yīng)及時(shí)告警；邊界中關(guān)鍵網(wǎng)絡(luò)設(shè)備應(yīng)采取雙機(jī)熱備的部署方式，防止單點(diǎn)故障引起的網(wǎng)絡(luò)癱瘓。

（2）恢復(fù)環(huán)節(jié)。對(duì)于網(wǎng)絡(luò)邊界中關(guān)鍵配置文件和審計(jì)記錄等數(shù)據(jù)進(jìn)行定期在線、離線備份，保證工控系統(tǒng)網(wǎng)絡(luò)發(fā)生故障后能夠迅速，進(jìn)行問題追蹤和網(wǎng)絡(luò)恢復(fù)。

與此同時(shí)，還應(yīng)建立規(guī)范的安全應(yīng)急響應(yīng)機(jī)制，制定應(yīng)急預(yù)案，定期進(jìn)行應(yīng)急演練 。

4.2.6 教育培訓(xùn)階段

教育培訓(xùn)是貫穿在工控邊界防護(hù)建立和維護(hù)的整個(gè)生命周期內(nèi)的工作，在不同時(shí)期不同階段，需要對(duì)所有相關(guān)人員進(jìn)行安全教育培訓(xùn)，可以通過各種方式定期或者不定期開展網(wǎng)絡(luò)安全的知識(shí)講座和論壇，提高網(wǎng)絡(luò)安全意識(shí)。

基于工控系統(tǒng)安全狀況的脆弱性以及攻擊威脅的嚴(yán)重性，工控系統(tǒng)的安全問題已經(jīng)提升到國家戰(zhàn)略的高度。做好工控系統(tǒng)邊界的防護(hù)，將攻擊和威脅拒之門外，為工控系統(tǒng)的持續(xù)運(yùn)行提供有效的保障。本文通過分析工控系統(tǒng)所面臨安全問題的特殊性，提出了一種基于PADIMEE安全模型的工控系統(tǒng)邊界防護(hù)設(shè)計(jì)，從整個(gè)工控系統(tǒng)運(yùn)行的生命周期內(nèi)，持續(xù)不斷地完善和鞏固系統(tǒng)的邊界，切實(shí)保障工業(yè)生產(chǎn)的正常運(yùn)轉(zhuǎn)。隨著工業(yè)系統(tǒng)漸漸走向開放以及等保2.0時(shí)代的到來，工控系統(tǒng)所面臨的安全問題將愈加嚴(yán)峻，同時(shí)針對(duì)工控系統(tǒng)的安全要求也越來越高，針對(duì)工控系統(tǒng)邊界防護(hù)的研究仍需進(jìn)一步研究。endprint

項(xiàng)目基金：

2014年上?？莆萍紕?chuàng)新行動(dòng)計(jì)劃技術(shù)標(biāo)準(zhǔn)項(xiàng)目：云計(jì)算信息安全檢測(cè)技術(shù)標(biāo)準(zhǔn)研究（項(xiàng)目編號(hào)：14DZ0502600）。

參考文獻(xiàn)

[1] 烏爾里?！は５吕眨秽嚸?，李現(xiàn)明，譯.工業(yè)4.0 即將來襲的第四次工業(yè)革命[M].北京：機(jī)械工業(yè)出版社， 2014. 20-50.

[2] Hulitt E， Vaughn R. B. Information system security compliance to FISMA standard： a quantitative measure[J]. Telecommunication Systems， 2010， 45（2-3）： 139-152.

[3] NIST S P.800-53[J]. Recommended Security Controls for Federal Information Systems， 2003： 800-53

[4] NIST S P.800-82[J]. Guide to Industrial Control Systems（ICS） Security， Final Public Draft， National Institute of Standards and Technology， 2008.

[5] 工信部. 關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知[Z]. 2011.

[6] W.ZF. 《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》下發(fā)[J]. 軍民兩用技術(shù)與產(chǎn)品， 2012（8）： 5-5.

[7] 國務(wù)院.國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見[Z]. 2016.

[8] 工信部.工業(yè)控制系統(tǒng)信息安全防護(hù)指南[Z]. 2016.

[9] 王文宇， 劉玉紅.工控系統(tǒng)安全威脅分析及防護(hù)研究[J].信息安全與保密通信， 2012（2）： 33-35.

[10] 田原， 沈清泓.基于P2DR2模型的工控信息系統(tǒng)等級(jí)保護(hù)體系[C].第四屆全國信息安全等級(jí)保護(hù)技術(shù)大會(huì)論文集.北京： 2015， 91-93.

[11] 安式互聯(lián)網(wǎng)安全系統(tǒng)（中國）有限公司.安氏中國—安全服務(wù)理念與標(biāo)準(zhǔn)PADIMEE模型[EB/OL]. http：//bj.is-one.net/solution/padimee.shtml. 2004.

[12] 沈清泓.工業(yè)控制系統(tǒng)三層網(wǎng)絡(luò)的信息安全檢測(cè)與認(rèn)證[J].自動(dòng)化博覽， 2014（7）： 68-71.endprint