工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防御體系研究

◆王寶來(lái) 陳安國(guó) 肖 偉

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防御體系研究

◆王寶來(lái) 陳安國(guó) 肖 偉

（開(kāi)灤能源化工股份有限公司呂家坨礦業(yè)分公司 河北 063000）

隨著兩化融合的深度推進(jìn)，工業(yè)控制系統(tǒng)在“設(shè)計(jì)、研發(fā)、生產(chǎn)、運(yùn)營(yíng)、維護(hù)”等各階段也不斷提升工業(yè)化和信息化的融合，這也導(dǎo)致工業(yè)控制系統(tǒng)在多個(gè)環(huán)節(jié)被攻擊的可能性。本文通過(guò)對(duì)當(dāng)前我國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的現(xiàn)狀分析后，提出一種集網(wǎng)絡(luò)安全、全生命周期以及運(yùn)維與管理體系為一體的多維度立體綜合網(wǎng)絡(luò)安全防御體系。

工業(yè)控制系統(tǒng)；安全評(píng)估；防御體系；監(jiān)測(cè)預(yù)警

1 引言

當(dāng)前，我國(guó)工業(yè)控制系統(tǒng)呈現(xiàn)出“數(shù)字化、智能化、網(wǎng)絡(luò)化”發(fā)展趨勢(shì)的同時(shí)也面臨著嚴(yán)峻的網(wǎng)絡(luò)安全威脅。隨著兩化融合的深度推進(jìn)，工業(yè)控制系統(tǒng)在“設(shè)計(jì)、研發(fā)、生產(chǎn)、運(yùn)營(yíng)、維護(hù)”等各階段也不斷提升工業(yè)化和信息化的融合，這也導(dǎo)致工業(yè)控制系統(tǒng)在“設(shè)計(jì)、研發(fā)、生產(chǎn)、運(yùn)營(yíng)、維護(hù)”等多個(gè)環(huán)節(jié)被攻擊的可能性[1]。

2 工業(yè)控制系統(tǒng)工業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析

當(dāng)前，我國(guó)工控網(wǎng)絡(luò)安全防護(hù)工作還處于起步階段，工業(yè)控制系統(tǒng)安全防護(hù)意識(shí)淡薄，主動(dòng)開(kāi)展工作的積極性不高，現(xiàn)有的安全防護(hù)手段匱乏，缺乏自我保護(hù)能力，大部分工控系統(tǒng)長(zhǎng)期處于“亞健康”狀態(tài)，突出問(wèn)題表現(xiàn)如下[1-3]：

（1）缺乏對(duì)國(guó)外工控產(chǎn)品自主安全控制手段

絕大多數(shù)的工業(yè)控制系統(tǒng)采用國(guó)外知名產(chǎn)品，系統(tǒng)投運(yùn)時(shí)間較長(zhǎng)、缺乏維護(hù)、升級(jí)空難，造成系統(tǒng)普遍存在大量漏洞和后門(mén)，對(duì)其安全性無(wú)法實(shí)現(xiàn)自主可控。

（2）工控系統(tǒng)網(wǎng)絡(luò)防御手段匱乏

工控系統(tǒng)與企業(yè)網(wǎng)絡(luò)、互聯(lián)網(wǎng)之間缺乏有效的防護(hù)策略與措施。工控系統(tǒng)所面臨的攻擊、病毒、木馬等惡意攻擊行為已經(jīng)不再是以往破壞類(lèi)型，更多的是趨向于竊取、控制的類(lèi)型，潛伏周期相對(duì)較長(zhǎng)，如APT攻擊，需要專(zhuān)業(yè)的監(jiān)測(cè)手段與工具，才能及時(shí)掌握網(wǎng)絡(luò)中工控系統(tǒng)的安全狀況[4]。

（3）工控系統(tǒng)安全管理基礎(chǔ)薄弱

一是在現(xiàn)場(chǎng)關(guān)鍵工控系統(tǒng)設(shè)備與終端保護(hù)認(rèn)識(shí)不足。在多數(shù)企業(yè)，無(wú)論是管理人員還是技術(shù)人員，不了解工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)工作的內(nèi)容，認(rèn)為工業(yè)控制系統(tǒng)不需要保護(hù)，使得工業(yè)控制系統(tǒng)被攻擊路徑不斷增多，系統(tǒng)安全岌岌可危。

二是現(xiàn)場(chǎng)管理制度體系不健全。未建立專(zhuān)門(mén)的工控安全信息管理組織機(jī)構(gòu)，未設(shè)置專(zhuān)門(mén)管理崗位?，F(xiàn)場(chǎng)人員很少接受專(zhuān)門(mén)的工控安全培訓(xùn)，缺乏工控系統(tǒng)安全風(fēng)險(xiǎn)識(shí)別和應(yīng)急響應(yīng)的實(shí)戰(zhàn)經(jīng)驗(yàn)。

三是工控網(wǎng)絡(luò)安全應(yīng)急管理機(jī)制缺乏演練。長(zhǎng)期不組織演練，使得方案成為“一紙空文”。

3 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全整體防御體系

基于我國(guó)工業(yè)控制系統(tǒng)產(chǎn)業(yè)長(zhǎng)遠(yuǎn)發(fā)展規(guī)劃以及所面臨的網(wǎng)絡(luò)安全挑戰(zhàn)，以工業(yè)控制系統(tǒng)關(guān)鍵技術(shù)應(yīng)用和工藝流程特點(diǎn)為落腳點(diǎn)，研究提出一種多維度立體綜合網(wǎng)絡(luò)安全防御體系。該防御體系貫穿工業(yè)控制系統(tǒng)的全生命周期，結(jié)合協(xié)議復(fù)雜多樣、實(shí)時(shí)性強(qiáng)、節(jié)點(diǎn)計(jì)算資源有限、設(shè)備可靠性要求高、故障恢復(fù)時(shí)間短、安全機(jī)制不影響實(shí)時(shí)性等特點(diǎn)設(shè)計(jì)的。采用多層次的縱深協(xié)同網(wǎng)絡(luò)安全防御技術(shù)和全方位的監(jiān)控手段，不斷更新和完善技術(shù)與管理手段，以實(shí)現(xiàn)工控網(wǎng)絡(luò)可信、可控互聯(lián)和安全穩(wěn)定運(yùn)行，如圖1所示。

圖1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防御體系三維架構(gòu)示意圖

3.1 縱深協(xié)同網(wǎng)絡(luò)安全防御體系

縱深防御是指基于正確劃分工業(yè)控制系統(tǒng)控制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，根據(jù)不同區(qū)域的特點(diǎn)，從工業(yè)控制系統(tǒng)系統(tǒng)本體、區(qū)域、邊界等方面采取多層次、系統(tǒng)性、針對(duì)性的網(wǎng)絡(luò)安全防御技術(shù)措施。

（1）本體安全防御[5]

本體安全防御（設(shè)備層和控制層）是指工控設(shè)備自身的安全性，針對(duì)工業(yè)控制系統(tǒng)自動(dòng)化控制設(shè)備的網(wǎng)絡(luò)安全防護(hù)需求，突出自動(dòng)控制專(zhuān)用網(wǎng)絡(luò)、協(xié)議應(yīng)用，依托具有深度解析工業(yè)屬性的網(wǎng)絡(luò)安全掃描設(shè)備，對(duì)工控系統(tǒng)進(jìn)行脆弱性和漏洞早期探測(cè)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)診斷，針對(duì)發(fā)現(xiàn)的問(wèn)題，及時(shí)調(diào)整安全設(shè)計(jì)，通過(guò)采用補(bǔ)償加固等終端防護(hù)措施，使其漏洞、后門(mén)、安全缺陷等隱患得到有效控制；從長(zhǎng)遠(yuǎn)來(lái)看，通過(guò)持續(xù)的技術(shù)創(chuàng)新，逐步實(shí)現(xiàn)工業(yè)控制系統(tǒng)設(shè)備CPU、存儲(chǔ)、操作系統(tǒng)內(nèi)核、基本安全算法與協(xié)議等基礎(chǔ)軟硬件的完整可信、自主可控，未來(lái)實(shí)現(xiàn)將可信平臺(tái)植入到工業(yè)業(yè)務(wù)系統(tǒng)。

（2）網(wǎng)絡(luò)安全防御

在網(wǎng)絡(luò)安全防御（網(wǎng)絡(luò)、數(shù)據(jù)以及應(yīng)用層）方面，利用工控防火墻、工控專(zhuān)用網(wǎng)絡(luò)與公共網(wǎng)絡(luò)問(wèn)的隔離網(wǎng)關(guān)、信息傳輸加密或敏感數(shù)據(jù)存儲(chǔ)加密、VPN、防病毒、鑒別認(rèn)證等手段提高工控系統(tǒng)對(duì)內(nèi)外部攻擊行為的抵抗能力，并可對(duì)系統(tǒng)可能存在潛在威脅和風(fēng)險(xiǎn)采取相應(yīng)的安全措施。例如在生產(chǎn)執(zhí)行層與管理決策層邊界部署身份鑒別、訪問(wèn)控制、入侵檢測(cè)、行為審計(jì)、攻擊行為過(guò)濾等邊界防護(hù)措施；在過(guò)程控制層與生產(chǎn)執(zhí)行層邊界主要基于工業(yè)協(xié)議的深度解析，確保過(guò)程控制系統(tǒng)與現(xiàn)場(chǎng)控制設(shè)備之間、HMI和現(xiàn)場(chǎng)控制設(shè)備之間通訊與控制的合法性，通過(guò)“黑”、“白”名單相結(jié)合的防護(hù)機(jī)制，有效阻止來(lái)辦公網(wǎng)的網(wǎng)絡(luò)病毒、非法入侵、惡意控制等威脅，保障數(shù)據(jù)、應(yīng)用安全。

3.2 全生命周期網(wǎng)絡(luò)安全防御體系[1]

從系統(tǒng)規(guī)劃、設(shè)計(jì)、實(shí)施、上線(xiàn)、生產(chǎn)、運(yùn)維到廢棄的整個(gè)漫長(zhǎng)生命周期中，各個(gè)階段都面臨著不同的網(wǎng)絡(luò)安全問(wèn)題，必須對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全設(shè)計(jì)一個(gè)適應(yīng)工控系統(tǒng)特性的全生命周期的網(wǎng)絡(luò)安全保障體系，以持續(xù)保障其安全可靠運(yùn)行。

因此，應(yīng)當(dāng)從工業(yè)控制系統(tǒng)生命周期的維度，在系統(tǒng)規(guī)劃、分析、設(shè)計(jì)、開(kāi)發(fā)、建設(shè)、驗(yàn)收、運(yùn)營(yíng)和維護(hù)、系統(tǒng)廢棄的每一個(gè)階段都要進(jìn)行網(wǎng)絡(luò)安全管理，包括：

（1）在系統(tǒng)設(shè)計(jì)和分析階段進(jìn)行安全目標(biāo)、安全體系、防護(hù)藍(lán)圖等頂層設(shè)計(jì)，并將安全防護(hù)設(shè)計(jì)與系統(tǒng)設(shè)計(jì)相融合；

（2）在系統(tǒng)開(kāi)發(fā)階段進(jìn)行代碼安全評(píng)估，測(cè)試階段同期進(jìn)行安全測(cè)試，包括產(chǎn)品選型、信息系統(tǒng)IT產(chǎn)品、工業(yè)裝備、信息系統(tǒng)安全防護(hù)產(chǎn)品和控制系統(tǒng)安全防護(hù)產(chǎn)品的安全功能測(cè)試和防護(hù)能力測(cè)試；

（3）在建設(shè)完成并驗(yàn)收階段同時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估和測(cè)評(píng)，通過(guò)集成測(cè)試、協(xié)議一致性測(cè)試，只有經(jīng)過(guò)網(wǎng)絡(luò)安全驗(yàn)收測(cè)試、風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)安全保障能力評(píng)估后可上線(xiàn)運(yùn)行，保障系統(tǒng)安全防護(hù)措施的合規(guī)性與可靠性；

（4）在運(yùn)營(yíng)和維護(hù)階段，應(yīng)進(jìn)行周期性風(fēng)險(xiǎn)評(píng)估，通過(guò)搭建制造工業(yè)控制系統(tǒng)攻防環(huán)境，進(jìn)行深入的工控系統(tǒng)漏洞挖掘、攻防演練，及時(shí)了解工控系統(tǒng)風(fēng)險(xiǎn)漏洞及攻擊手段、路徑，持續(xù)改進(jìn)與優(yōu)化安全技術(shù)與管理措施；

（5）在系統(tǒng)廢棄階段做好系統(tǒng)數(shù)據(jù)的備份和殘余信息的銷(xiāo)毀等，保障系統(tǒng)保障全生命周期的系統(tǒng)安全。

3.3 全方位網(wǎng)絡(luò)安全運(yùn)維與管理體系

嚴(yán)格遵守國(guó)家監(jiān)管政策要求，結(jié)合工業(yè)控制系統(tǒng)系統(tǒng)的安全防護(hù)要素，建立適應(yīng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理與運(yùn)維體系，從技術(shù)、設(shè)備、人員、管理、運(yùn)維等多個(gè)維度建立長(zhǎng)效安全機(jī)制，不斷優(yōu)化改進(jìn)網(wǎng)絡(luò)安全防護(hù)機(jī)制。

（1）安全管理

以風(fēng)險(xiǎn)管理為核心，建立健全工控網(wǎng)絡(luò)安全管理與運(yùn)維組織機(jī)構(gòu)，成立管理運(yùn)維團(tuán)隊(duì)，明確安全責(zé)任分工，重點(diǎn)從工業(yè)控制系統(tǒng)資產(chǎn)安全、軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)、數(shù)據(jù)安全、身份認(rèn)證、遠(yuǎn)程訪問(wèn)安全、安全監(jiān)測(cè)和應(yīng)急處理、供應(yīng)鏈管理、落實(shí)責(zé)任等方面制定建立符合本企業(yè)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度體系，逐漸形成長(zhǎng)效的安全機(jī)制[6]。

（2）安全評(píng)估

針對(duì)制造工控系統(tǒng)各層級(jí)中的設(shè)備、協(xié)議、結(jié)構(gòu)、行為和流程等可能存在的威脅，進(jìn)行專(zhuān)家周期性風(fēng)險(xiǎn)評(píng)估，采用科學(xué)的風(fēng)險(xiǎn)評(píng)估工具和方法，借助全面數(shù)據(jù)收集、全網(wǎng)攻擊路徑分析、結(jié)構(gòu)安全性分析、流程審計(jì)、網(wǎng)絡(luò)行為審計(jì)等手段，及時(shí)發(fā)現(xiàn)設(shè)備與系統(tǒng)漏洞以及等APT攻擊、DDoS攻擊等網(wǎng)絡(luò)安全威脅，提出網(wǎng)絡(luò)安全防護(hù)優(yōu)化與改進(jìn)方案，實(shí)現(xiàn)工業(yè)控制系統(tǒng)控制網(wǎng)絡(luò)的動(dòng)態(tài)安全[6]。

（3）安全監(jiān)測(cè)預(yù)警

通過(guò)對(duì)系統(tǒng)內(nèi)部的網(wǎng)絡(luò)流量、文件傳輸、訪問(wèn)記錄等流量、應(yīng)用和操作行為的綜合分析與數(shù)據(jù)挖掘，分析行為特征，構(gòu)建行為模型，實(shí)現(xiàn)對(duì)已知威脅和未知威脅的感知，具備與其他安全防護(hù)技術(shù)聯(lián)動(dòng)和主動(dòng)防御能力，形成事前預(yù)警、事中阻止和事后追溯的管控模式。

（4）運(yùn)維與應(yīng)急響應(yīng)

通過(guò)對(duì)辦公和生產(chǎn)網(wǎng)絡(luò)內(nèi)數(shù)據(jù)流量、網(wǎng)絡(luò)日志和行為特征的分析，對(duì)企業(yè)網(wǎng)絡(luò)異常實(shí)現(xiàn)動(dòng)態(tài)分析與監(jiān)測(cè)預(yù)警，啟動(dòng)相應(yīng)應(yīng)急響應(yīng)機(jī)制，構(gòu)建主動(dòng)防御體系，實(shí)現(xiàn)持續(xù)、動(dòng)態(tài)的安全運(yùn)維。建立應(yīng)急響應(yīng)體系，并加強(qiáng)應(yīng)急演練，保障應(yīng)急演練的有效性和可操作性，保障系統(tǒng)能持續(xù)運(yùn)營(yíng)。

4 結(jié)語(yǔ)

通過(guò)對(duì)當(dāng)前我國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全存在的問(wèn)題以及面臨的挑戰(zhàn)，提出一種多維度立體綜合網(wǎng)絡(luò)安全防御體系。該防御體系貫穿工業(yè)控制系統(tǒng)的全生命周期，采用多層次的縱深協(xié)同網(wǎng)絡(luò)安全防御技術(shù)和全方位的安全監(jiān)控手段，不斷更新和完善技術(shù)與管理手段，以實(shí)現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)可信、可控互聯(lián)和安全穩(wěn)定運(yùn)行。

[1]許鳳凱.工業(yè)控制系統(tǒng)工業(yè)控制系統(tǒng)全生命周期信息安全保障[J].自動(dòng)化博覽，2016（01）.

[2]余勇.林為民.工業(yè)控制SCADA系統(tǒng)的信息安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全，2012（05）：74-77.

[3]宗健.工業(yè)4.0時(shí)代的工控網(wǎng)絡(luò)安全防護(hù)研[J].環(huán)保安全，2016（04）.

[4]邱金龍.工業(yè)控制系統(tǒng)信息安全的未來(lái)趨勢(shì)[J].信息與電腦，2016（04）.

[5]陳庶樵，李江力，井珂.匡恩網(wǎng)絡(luò)工控網(wǎng)絡(luò)立體化之道[J].信息安全研究，2017，3（08）.

[6]張敏，張五一，韓桂芬.工業(yè)控制系統(tǒng)信息安全防護(hù)體系研究[J].工業(yè)控制計(jì)算機(jī)，2013（10）.