工業(yè)過程控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計與應(yīng)用

杜魯濱

（新能鳳凰（滕州）能源有限公司，山東滕州 277527）

1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀分析

工廠控制系統(tǒng)如圖1用于生產(chǎn)操作、監(jiān)控，同時系統(tǒng)通過交換機、OPC 服務(wù)器與MES、MIS 系統(tǒng)進(jìn)行連接，現(xiàn)場生產(chǎn)數(shù)據(jù)和報警信息可實時上傳，管理層可以通過外網(wǎng)或手持移動設(shè)備直接查看生產(chǎn)的實時數(shù)據(jù)，為生產(chǎn)決策的執(zhí)行提供了便利，然而在便捷的同時，現(xiàn)有系統(tǒng)網(wǎng)絡(luò)安全存在的一些隱患，操作站和服務(wù)器之間沒有病毒防護(hù)措施，但操作站經(jīng)常出現(xiàn)U盤插入帶來病毒、員工值班期間看視頻、玩游戲、進(jìn)行與工作無關(guān)事情等行為，這些危險行為一旦影響生產(chǎn)將給企業(yè)帶來巨額損失。目前大多數(shù)企業(yè)控制系統(tǒng)種類品牌不唯一、各自廠家的控制系統(tǒng)安全防護(hù)措施不通，基于工控系統(tǒng)可靠性、穩(wěn)定性、連續(xù)性的嚴(yán)格要求，對工業(yè)控制系統(tǒng)整體網(wǎng)絡(luò)防護(hù)建立一套整體的網(wǎng)絡(luò)防護(hù)措施是十分必要的。大部分工控系統(tǒng)都采用殺毒防護(hù)軟件，缺陷有兩點：第一，病毒庫更新困難，更新帶來不確定性，容易導(dǎo)致工控系統(tǒng)部分功能失效；第二，商用殺毒軟件誤殺、查毒消耗CPU 資源導(dǎo)致工控系統(tǒng)異常都是影響生產(chǎn)安全的重大隱患。另外，很多控制系統(tǒng)都缺少網(wǎng)絡(luò)安全防護(hù)措施。

圖1 工業(yè)生產(chǎn)過程控制網(wǎng)絡(luò)

2 工業(yè)控制網(wǎng)絡(luò)完全系統(tǒng)設(shè)計要求

2.1規(guī)范性

依據(jù)工信部【2016】338號文《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，并參照GB/T 26333《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》、GB/T 33007《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全建立工業(yè)自動化和控制系統(tǒng)安全程序》及GB/T 33009《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系統(tǒng)（DCS）》等相關(guān)規(guī)范設(shè)計。

2.2可持續(xù)性

工控網(wǎng)絡(luò)安全不只是一個具有開始和結(jié)束日期的項目，也沒有一套防御系統(tǒng)可以防止網(wǎng)絡(luò)安全事件導(dǎo)致的所有后果。安全級別經(jīng)常隨著時間的推移而下降，網(wǎng)絡(luò)安全隨著新的威脅和脆弱性的不斷變化，風(fēng)險會不斷變化，技術(shù)實施需要采取不同的方法來維持安全收益并將風(fēng)險保持在可接受的水平。所以方案設(shè)計不僅要滿足現(xiàn)在的需求兼顧未來的變化又要具備控制系統(tǒng)的故障恢復(fù)能力以保證業(yè)務(wù)的可持續(xù)性。

2.3可靠性

項目實施后部署的產(chǎn)品能夠可靠穩(wěn)定地為現(xiàn)場工控系統(tǒng)的正常運行保駕護(hù)航，決不能出現(xiàn)因為安全防護(hù)產(chǎn)品的原因?qū)е掠绊懍F(xiàn)場正常生產(chǎn)運行的情況。確保故障或入侵時不影響運行、不停車；保證完整性，確保接收到錯誤的設(shè)備或錯誤的數(shù)據(jù)不跳變、不影響工藝；保證機密性，確保數(shù)據(jù)不被竊聽。工業(yè)控制系統(tǒng)鑒于高可用性的需求，往往網(wǎng)絡(luò)、控制節(jié)點、采集單元進(jìn)行冗余設(shè)計，要求高實時性、高確定性，而且運行在嵌入式環(huán)境，對信息安全的技術(shù)措施有很大的限制，因此需要設(shè)計針對性的安全策略、方法和技術(shù)。

3 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)完全系統(tǒng)多層防護(hù)系統(tǒng)設(shè)計與應(yīng)用

3.1終端層

通過對工控機與服務(wù)器安裝配置主機白名單軟件，以實現(xiàn)對工業(yè)主機的全面安全防護(hù)，根據(jù)白名單列表對可執(zhí)行文件的執(zhí)行進(jìn)行監(jiān)控，對白名單內(nèi)的可執(zhí)行文件允許執(zhí)行，對白名單外的可執(zhí)行文件阻止執(zhí)行，有效阻止病毒、木馬及0-day漏洞的感染和被利用，保障工控主機安全。主機安全衛(wèi)士軟件滿足規(guī)范性、可持續(xù)性、可靠性的設(shè)計原則，不影響控制系統(tǒng)的正常運行，內(nèi)存占用和CPU 使用率低，具備強大的自身安全性和易管理性，其功能分為四部分：

白名單管理：對白名單的相關(guān)操作，如增加白名單中可信任的運行程序等，需管理員權(quán)限。

日志管理：任何用戶均可查閱、導(dǎo)出主機安全衛(wèi)士中的防護(hù)日志；查閱操作日志需要管理員權(quán)限。

設(shè)置：可修改登錄密碼，設(shè)置告警方式、工作模式，啟/停自身防護(hù)功能等，需管理員權(quán)限。

針對USB 等移動存儲介質(zhì)的濫用，導(dǎo)致病毒擴(kuò)散至控制網(wǎng)絡(luò)的情況，對所有主機的USB 端口進(jìn)行禁用。

3.2邊界防火墻

使用工控防火墻對域內(nèi)和域間分區(qū)做訪問控制，基于無IP 設(shè)計、無通用協(xié)議棧、UC/OS 進(jìn)行開發(fā)設(shè)計，不影響工控系統(tǒng)間的正常通信，能有效識別與跟蹤OPC 通信動態(tài)端口，能根據(jù)OPC 指令白名單實時監(jiān)控OPC 指令行為，過濾非法指令。

3.3堡壘機

保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，運用各種技術(shù)手段實時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動的服務(wù)器，以便集中報警、及時處理及審計定責(zé)。集中管理資產(chǎn)權(quán)限，全程記錄操作數(shù)據(jù)，實時還原運維場景，構(gòu)建云上統(tǒng)一、安全、高效運維通道；保障云端運維工作權(quán)限可管控、操作可審計、合規(guī)可遵從。實現(xiàn)維護(hù)接入的集中化管理并對運行維護(hù)進(jìn)行統(tǒng)一管理，包括設(shè)備賬號管理、運維人員身份管理、第三方客戶端操作工具的統(tǒng)一管理。其具備以下功能：

認(rèn)證功能：能夠整合運維管理手段及第三方認(rèn)證系統(tǒng)，制定靈活的運維策略和權(quán)限管理，實現(xiàn)運維人員統(tǒng)一權(quán)限管理，解決操作者合法訪問操作資源的問題，避免可能存在的越權(quán)訪問，建立有效的訪問控制；

監(jiān)控功能：實現(xiàn)運維日志記錄，記錄運維操作的日志信息，包括對被管理資源的詳細(xì)操作行為實時監(jiān)控，能夠?qū)τ诟呶＜懊舾械牟僮鬟M(jìn)行實時告警；

審計功能：實現(xiàn)運維操作審計，對運維人員的操作進(jìn)行全程監(jiān)控和記錄，實現(xiàn)運維操作的安全審計，滿足信息安全審計要求；能夠有效地檢索運維操作細(xì)節(jié)；能夠提供靈活的報表及統(tǒng)計分析。

3.4數(shù)據(jù)備份與恢復(fù)

數(shù)據(jù)備份既可以按照預(yù)先設(shè)定的時間，或由特定事件觸發(fā)后，自動將目標(biāo)備份到服務(wù)器中，也可以根據(jù)自己的需要啟動備份操作。手工備份可以選擇一個或全部備份集合進(jìn)行備份，以及其他一些臨時性的文件或數(shù)據(jù)。

數(shù)據(jù)恢復(fù)通過客戶端手工恢復(fù)功能快速地將備份系統(tǒng)上的數(shù)據(jù)恢復(fù)到本地系統(tǒng)中。既可以使用定制的備份策略，也可以使用服務(wù)器上設(shè)置的缺省配置，從服務(wù)器上下載或更新備份配置，并選取需要的設(shè)置。

基于工業(yè)過程控制系統(tǒng)建立如圖2的多層網(wǎng)絡(luò)防護(hù)體系。

圖2 多層防護(hù)的工業(yè)生產(chǎn)過程控制網(wǎng)絡(luò)