工業(yè)控制系統(tǒng)網(wǎng)絡攻擊阻斷安全防御方案設計

包 叢

（新疆油田公司數(shù)據(jù)公司，新疆 克拉瑪依 834000）

0 引言

工業(yè)控制系統(tǒng)網(wǎng)絡（以下簡稱“工控網(wǎng)絡”）安全技術尚未發(fā)展成熟，傳統(tǒng)網(wǎng)絡技術在工控系統(tǒng)中難以直接應用，使得如今工控操作員站處于一種被動的安全防護模式［1］?？刂葡到y(tǒng)網(wǎng)絡基本向以太網(wǎng)結構發(fā)展，開放性增強給工控系統(tǒng)帶來新的安全壓力，傳統(tǒng)的安全技術手段與安全防御方案已無法完全應用于工控網(wǎng)絡，導致目前工控防護能力水平較為有限。

1 工業(yè)控制系統(tǒng)安全現(xiàn)狀

我國的工業(yè)化與信息化現(xiàn)在正處在深度融合階段，因而對工業(yè)控制網(wǎng)絡安全策略的制定及安全技術的研發(fā)提出了更迫切的需求［2］。近年來，針對工業(yè)控制網(wǎng)絡的攻擊事件時有發(fā)生，國家高度重視工業(yè)控制網(wǎng)絡的安全問題，《網(wǎng)絡安全法》和等級保護2.0 的發(fā)布應用將網(wǎng)絡安全提升到了國家安全高度。在良好的政策環(huán)境下，工控安全問題得到了進一步解決，但到目前為止還沒有形成面向工業(yè)控制網(wǎng)絡的特點與安全保護特殊要求的安全保護理論體系與分析方法［3］。

1.1 工控系統(tǒng)安全頂層設計現(xiàn)狀

工控系統(tǒng)自身特點決定了傳統(tǒng)安全體系在工控系統(tǒng)中無法直接使用，需要建立符合自身特點的安全體系。工控系統(tǒng)應以可用性為主，實時性與可靠性要求高，不能輕易升級，私有協(xié)議多，設備生命周期長達15～20 年，這些特殊性導致現(xiàn)有信息安全措施無法直接應用，需要建立符合工業(yè)控制特點的安全體系。

1.2 工控系統(tǒng)安全專業(yè)技術現(xiàn)狀

工控系統(tǒng)安全防御要點主要體現(xiàn)在網(wǎng)絡互通互聯(lián)、網(wǎng)絡邊界隔離、網(wǎng)絡邏輯劃分、工業(yè)主機安全、身份認證管理、遠程訪問安全、工業(yè)敏感數(shù)據(jù)安全等方面。目前，工控系統(tǒng)安全技術防護建設水平各不相同、差別較大，國家重點直屬企業(yè)的工控系統(tǒng)安全技術防護方面相對較好，整體來看，工控系統(tǒng)普遍存在安全防護不成體系和欠缺有效的安全防護技術措施等問題。

1.3 工控系統(tǒng)安全專業(yè)技術人員現(xiàn)狀

目前，生產(chǎn)單位普遍缺少工控網(wǎng)絡安全專職崗位或專業(yè)技術人員，同時部分技術人員沒有經(jīng)過系統(tǒng)的培訓和學習，專業(yè)能力不足。一旦出現(xiàn)工控系統(tǒng)網(wǎng)絡安全攻擊事件，無法及時組織人員進行安全事件應急處置和恢復。另外，現(xiàn)有傳統(tǒng)互聯(lián)網(wǎng)技術（Internet Technology，IT）網(wǎng)絡安全工作經(jīng)驗的技術人員在從事工控系統(tǒng)安全相關工作時，往往不能有效轉變工作思路，導致部分工作落實不到位、安全應急處置不徹底的情況時有發(fā)生。

2 工控系統(tǒng)安全阻斷工作原理

2.1 安全聯(lián)動機制

工業(yè)控制網(wǎng)絡要做到運行可控，當出現(xiàn)來自網(wǎng)絡內(nèi)外部的安全威脅時，網(wǎng)絡的各個安全設備、防御機制之間應該做到整體協(xié)作，而不是彼此割裂、各自為戰(zhàn)［4］。各自為戰(zhàn)的防御機制由于彼此之間缺乏互動，無法實現(xiàn)整體上的統(tǒng)籌決策，在出現(xiàn)非法設備接入或網(wǎng)絡攻擊時，不能及時進行阻斷與反制。網(wǎng)絡的整體協(xié)同聯(lián)動防御體現(xiàn)在阻斷防御的及時性與準確性上，可以根據(jù)需要動態(tài)地對防御策略進行調(diào)整，消除或減輕網(wǎng)絡異?；虍惓２僮鲙淼挠绊?。

2.2 安全技術應用

安全監(jiān)測設備可以實現(xiàn)對資產(chǎn)信息、可疑流量、漏洞情況、風險預警、設備狀態(tài)等信息進行采集與上報。防火墻可實現(xiàn)辦公網(wǎng)與工控網(wǎng)絡的強邏輯隔離，有效阻止網(wǎng)絡攻擊者入侵工控網(wǎng)絡，同時保護內(nèi)部行為不外出、內(nèi)部資料不外泄，實現(xiàn)有效的訪問控制。監(jiān)測審計設備根據(jù)工控網(wǎng)絡通迅協(xié)議定制符合工控業(yè)務特點的安全審計策略，能夠有效識別工控網(wǎng)絡中存在的非法行為、非法訪問和非法操作并實時告警，通過旁路監(jiān)聽方式進行部署，保證在實現(xiàn)安全監(jiān)測的同時，不影響現(xiàn)有生產(chǎn)的正常運行。工控系統(tǒng)安全態(tài)勢感知平臺作為安全設備聯(lián)動處置的管理核心，將各數(shù)據(jù)采集系統(tǒng)中的數(shù)據(jù)信息以及外部情報信息進行集成，經(jīng)過分析處理，展示資產(chǎn)信息、漏洞信息，實現(xiàn)風險預警、流量監(jiān)測、應急處理以及整體態(tài)勢感知。主機安全衛(wèi)士能夠有效對工控主機和服務器等進行安全加固。通過部署白環(huán)境運行策略，可以快速有效阻止震網(wǎng)病毒、BlackEnergy 等工控惡意代碼在主機上的執(zhí)行和漫游。

2.3 安全阻斷應用技術原理

基于協(xié)同聯(lián)動的安全阻斷策略能夠更好地滿足針對網(wǎng)絡非法行為阻斷的準確性和及時性要求，聯(lián)動技術之所以能夠應用，得益于網(wǎng)絡的特殊性與共通性。網(wǎng)絡阻斷的實現(xiàn)手段歸根結底是對網(wǎng)絡通訊所產(chǎn)生數(shù)據(jù)的深度分析與控制［5］。采用組合公鑰（Combined Public Key，CPK）安全密鑰標識認證、基于應用層特征匹配的深度包檢測技術、基于IEEE 802.1X 的無線網(wǎng)絡接入認證技術以及基于訪問控制技術的阻斷原理可實現(xiàn)對網(wǎng)絡攻擊異常行為的即時阻斷。

3 工控系統(tǒng)安全阻斷防御方案設計

3.1 非授權設備接入阻斷

終端計算機接入工控網(wǎng)絡時，采用基于CPK 認證技術的身份認證進行設備接入控制，將安全芯片集成到傳感器/控制器，前端服務通過調(diào)用加密芯片中的安全標識密鑰對訪問請求進行私鑰簽名，連接至上位機，業(yè)務系統(tǒng)認證服務進行認證，統(tǒng)一認證授權系統(tǒng)對終端進行身份和權限查詢，身份鑒別系統(tǒng)給出終端的可信身份，終端接入。認證不通過時，上位機阻止該終端的接入請求。

LoRa、NB-IoT（窄帶物聯(lián)網(wǎng)）、4G/5G、McWill（多載波無線信息本地環(huán)路）、衛(wèi)星等無線方式接入，在無線接入?yún)^(qū)部署安全接入網(wǎng)關，客戶端證書發(fā)送至安全網(wǎng)關進行身份識別，安全網(wǎng)關將訪問身份鑒別系統(tǒng)以驗證證書的有效性。身份鑒別系統(tǒng)認證通過后，移動客戶端可建立端到端安全可靠的通道。認證不通過時，安全網(wǎng)關阻止該終端的接入請求。

WIFI（無線網(wǎng)）方式接入，采用802.1X 協(xié)議認證、靜態(tài)IP/MAC 地址綁定以及身份鑒別與安全加密等多種技術手段，實現(xiàn)無線接入安全認證。準備接入交換機的網(wǎng)絡終端需要具有基于802.1X 協(xié)議的可信身份標識，接入交換機等支持802.1X 協(xié)議認證的通訊設備時，通過身份認證模塊啟動身份驗證過程，由身份驗證模塊將終端電子標識發(fā)送至身份認證服務器進行身份驗證，身份認證服務器給出終端的可信身份，終端接入。認證不通過時，交換機阻止該終端的接入請求。

3.2 非法互聯(lián)網(wǎng)訪問阻斷

在工控系統(tǒng)中，出于安全考慮，一般不允許用戶訪問互聯(lián)網(wǎng)，以避免來自網(wǎng)絡的惡意流量威脅系統(tǒng)安全，破壞網(wǎng)絡邊界完整性?？赏ㄟ^網(wǎng)絡邊界的防護系統(tǒng)和主機端安全衛(wèi)士對工控用戶訪問互聯(lián)網(wǎng)的非法行為實施阻斷。邊界安全設備和主機安全衛(wèi)士通過基于人工智能的深度學習技術，結合人工審計處理，建立訪問控制白環(huán)境，不在白名單中的流量將被攔截。邊界防護系統(tǒng)通過管理邊界防護設備，如防火墻、網(wǎng)閘等，建立數(shù)據(jù)安全交互機制，實現(xiàn)工業(yè)控制系統(tǒng)用戶訪問互聯(lián)網(wǎng)阻斷。工控系統(tǒng)內(nèi)部裝置、車間或作業(yè)區(qū)（大站）劃分安全域，邊界采取安全隔離措施。工控系統(tǒng)與辦公網(wǎng)邊界通過防火墻進行安全隔離，實現(xiàn)工控數(shù)據(jù)與辦公網(wǎng)數(shù)據(jù)安全交互。在安全區(qū)域邊界設置訪問控制權限控制用戶訪問，通過對流經(jīng)邊界的流量進行深度包解析，判斷流量安全狀態(tài)，從而對進出安全區(qū)域邊界的數(shù)據(jù)流量進行安全管控，只允許經(jīng)過授權的訪問正常通過，未經(jīng)授權的非法訪問將被攔截［6］。

3.3 非法入侵及傳輸阻斷

工控網(wǎng)與業(yè)務網(wǎng)有信息交互的需求，信息交互伴隨著安全問題和風險。例如，以震網(wǎng)病毒為代表的定向攻擊對工控網(wǎng)的安全是一種非常嚴重的威脅，即使在物理隔離的情況下，其仍然可通過層層滲透的方法突破防線，如基于擺渡系統(tǒng)的病毒引入、基于0-day 漏洞的掃描和利用等。工控系統(tǒng)利用其常規(guī)的安全措施，很難滿足其高安全性要求。為了保障兩網(wǎng)交互的安全性，需要建立面向工控網(wǎng)與業(yè)務網(wǎng)的確定性網(wǎng)絡節(jié)點模型，并以該網(wǎng)絡節(jié)點模型為基礎，建立面向角色與節(jié)點的訪問控制模型，采用訪問控制技術，改善工控網(wǎng)與業(yè)務網(wǎng)信息交互管理和策略上的脆弱性。在區(qū)域邊界部署工業(yè)防火墻執(zhí)行流量包檢測，通過制定統(tǒng)一的包過濾策略，對通過工業(yè)系統(tǒng)區(qū)域邊界的所有數(shù)據(jù)流量進行統(tǒng)一的安全檢查。包過濾策略至少包括數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、服務端口等五元組基礎信息。在網(wǎng)絡層面通過關鍵節(jié)點部署的流量監(jiān)測設備實時采集流量，利用機器學習等智能技術，建立工控安全流量審計模型，深入應用層協(xié)議解析，根據(jù)建立的白名單模型，對所有邊界交互的數(shù)據(jù)包進行安全過濾和安全協(xié)議匹配，阻斷不符合協(xié)議規(guī)則的異常報文［7］。該阻斷策略通過安全隔離設備與策略管理機制聯(lián)動，實現(xiàn)非法傳輸阻斷和入侵阻斷。

3.4 非授權操作行為阻斷

工控現(xiàn)場情況復雜，往往存在來自不同對象的安全隱患，如人為的誤操作或惡意操作、系統(tǒng)本身的安全缺陷、移動介質(zhì)的非法接入等。針對不同的安全狀況，應該建立相應的阻斷機制，以保障系統(tǒng)的安全性。工業(yè)控制系統(tǒng)在現(xiàn)場層進行操作與指令下達時，必須具備嚴格的認證與授權機制，需要建立阻斷機制，避免來自管理層的指令直接對現(xiàn)場進行指揮等情況，保證現(xiàn)場控制層對設備的唯一控制權。主機上應建立應用和進程白名單，只允許運行經(jīng)過授權和安全評估的軟件程序和接入外部設備，從而防范已知或未知病毒、木馬、惡意程序運行及傳播。

4 結語

當前網(wǎng)絡安全形勢復雜，工控網(wǎng)絡安全亟待加強，本文提出的基于阻斷理論的安全防御技術手段在工控生產(chǎn)中具有現(xiàn)實意義，相信隨著工控網(wǎng)絡安全不斷發(fā)展，以安全阻斷思想為導向的安全策略部署和防御體系建設將得到進一步完善，并更好地應用于工業(yè)控制系統(tǒng)安全防御體系中。