化纖行業(yè)工控系統(tǒng)安全分析與防護(hù)實(shí)踐

陳夏裕，章明飛，劉孝趙

（1.江蘇亨通信息安全技術(shù)有限公司，江蘇 蘇州 215200；2.江蘇亨通工控安全研究院，江蘇 蘇州 215100；3.蘇州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院，江蘇 蘇州 215009）

0 引言

工業(yè)控制系統(tǒng)是由各種自動(dòng)化控制組件以及對實(shí)時(shí)數(shù)據(jù)進(jìn)行采集、監(jiān)測的過程控制組件，共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。常見的工業(yè)控制系統(tǒng)包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)、分布式控制系統(tǒng)、可編程控制器、能源管理系統(tǒng)和安全儀表系統(tǒng)等[1]。

隨著互聯(lián)網(wǎng)的飛速發(fā)展，近年來工業(yè)控制系統(tǒng)信息安全事件不斷發(fā)生，“震網(wǎng)”、“火焰”、“毒區(qū)”、“Havex”等惡意軟件嚴(yán)重影響了關(guān)鍵工業(yè)基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行，充分反映了工業(yè)控制系統(tǒng)信息安全面臨的嚴(yán)峻形勢。

各個(gè)工業(yè)行業(yè)頻發(fā)的信息安全事故表明，一直以來被認(rèn)為相對安全、相對封閉的工業(yè)控制系統(tǒng)已經(jīng)成為不法組織和黑客的攻擊目標(biāo)，黑客攻擊正在從開放的互聯(lián)網(wǎng)向封閉的工控網(wǎng)蔓延[2]。在化纖、電力、煤炭、交通、冶金等行業(yè)均遭受到了嚴(yán)峻的工業(yè)控制網(wǎng)絡(luò)安全威脅，急需加大在工業(yè)控制網(wǎng)絡(luò)安全方面的投入，防止工業(yè)企業(yè)受到針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊行為[3]。

1 化纖行業(yè)工業(yè)控制系統(tǒng)存在的的主要安全問題

1.1 生產(chǎn)控制系統(tǒng)缺乏全面的安全性設(shè)計(jì)

我國化纖行業(yè)生產(chǎn)控制系統(tǒng)安全防護(hù)滯后于系統(tǒng)的建設(shè)速度，生產(chǎn)控制系統(tǒng)缺乏自身的安全性設(shè)計(jì)。在信息安全意識(shí)、策略、機(jī)制、法規(guī)標(biāo)準(zhǔn)等方面都存在不少問題。

1.2 核心技術(shù)受制于人

當(dāng)前我國重要關(guān)鍵設(shè)備和基礎(chǔ)軟件絕大多數(shù)采用國外產(chǎn)品，從尤為重要的工業(yè)控制系統(tǒng)來看，53%的SCADA系統(tǒng)、54%的DCS系統(tǒng)、99%的大型PLC、92%的中型PLC、81%的小型PLC以及74%的組態(tài)軟件均為國外產(chǎn)品，關(guān)鍵核心技術(shù)更是一直受制于人。

該集團(tuán)也不例外，所采用的PLC 95%以上為西門子PLC。就危險(xiǎn)等級(jí)最高的漏洞能造成的危害歸類分析如下：

黑客或維護(hù)人員可以遠(yuǎn)程或就地登錄PLC控制器，修改或竊取PLC程序。

遠(yuǎn)程攻擊者可借助特制的數(shù)據(jù)包利用漏洞執(zhí)行任意代碼。

控制系統(tǒng)使用的硬編碼密碼，本地用戶可以訪問后端數(shù)據(jù)庫和提升特權(quán)。造成數(shù)據(jù)庫篡改，方便非授權(quán)人員非法操作等后果。

遠(yuǎn)程攻擊者可通過發(fā)送特制數(shù)據(jù)包到TCP4999端口利用漏洞執(zhí)行任意代碼。

遠(yuǎn)程攻擊者可以借助到TCP端口2308特制的數(shù)據(jù)包導(dǎo)致拒絕服務(wù)（內(nèi)存崩潰）或者可能執(zhí)行任意代碼。

遠(yuǎn)程攻擊者可發(fā)送TCP102端口或Profibus上的特制的數(shù)據(jù)包利用漏洞造成拒絕服務(wù)。

遠(yuǎn)程攻擊者可利用該漏洞通過惡意的HTTP流量或惡意的IP數(shù)據(jù)包，導(dǎo)致拒絕服務(wù)（缺陷模式過度和服務(wù)中斷）。

遠(yuǎn)程攻擊者可利用該漏洞通過特制的ICMP數(shù)據(jù)包導(dǎo)致拒絕服務(wù)。

1.3 防護(hù)水平相對落后

工業(yè)控制系統(tǒng)設(shè)計(jì)之初就處于與外網(wǎng)隔離狀態(tài)，因此并未考慮信息安全問題，隨著工業(yè)互聯(lián)趨勢逐步發(fā)展，使原本脆弱的工業(yè)控制系統(tǒng)要同時(shí)面臨來自內(nèi)外網(wǎng)的更為復(fù)雜的安全風(fēng)險(xiǎn)。權(quán)威數(shù)據(jù)顯示我國工控企業(yè)存在一些典型的安全問題，比如：安全漏洞、缺乏有效的安全配置策略、外網(wǎng)邊界容易被突破、內(nèi)網(wǎng)邊界訪問控制缺失、安全防護(hù)設(shè)備缺失、工控設(shè)備普遍開啟遠(yuǎn)程訪問、工控設(shè)備弱口令及默認(rèn)密碼未修改等等。

另外關(guān)鍵資產(chǎn)底數(shù)不清楚、嚴(yán)重漏洞難以及時(shí)處理、系統(tǒng)軟件補(bǔ)丁管理困難等種種問題也導(dǎo)致工控網(wǎng)絡(luò)難以抵御外來攻擊。

2.4.3 工業(yè)化程度的深入推進(jìn)加速了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的暴露。

2 如何做好工控系統(tǒng)信息安全防護(hù)。

針對化纖行業(yè)工控系統(tǒng)結(jié)構(gòu)信息安全的脆弱性，要提高工控系統(tǒng)的信息安全需要對系統(tǒng)每個(gè)位置進(jìn)行安全防護(hù)，可采取以下防護(hù)措施：

2.1 等級(jí)保護(hù)

對工控系統(tǒng)中使用的相關(guān)產(chǎn)品實(shí)行按等級(jí)管理，對系統(tǒng)中發(fā)生的安全事件分等級(jí)響應(yīng)、處置，采用“垂直分層，水平分區(qū)。邊界控制，內(nèi)部監(jiān)測”進(jìn)行安全域的劃分。

2.2 風(fēng)險(xiǎn)評估

對工控系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估，了解系統(tǒng)的架構(gòu)、主要業(yè)務(wù)、軟硬件設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)連接等，評估系統(tǒng)存在的主要安全問題和潛在的風(fēng)險(xiǎn)，評定系統(tǒng)安全風(fēng)險(xiǎn)等級(jí)。

2.3 縱深防御體系建立

針對工控系統(tǒng)建立縱深防御體系，設(shè)置多層重疊的安全防護(hù)系統(tǒng)，包括建立信息安全管理體系、使用身份認(rèn)證系統(tǒng)、搭建基礎(chǔ)防護(hù)應(yīng)用平臺(tái)、建立邊界防護(hù)系統(tǒng)、實(shí)施分區(qū)分域防御等。

（1）本次工控防火墻部署在各個(gè)生產(chǎn)車間接入交換機(jī)出口處以及關(guān)鍵設(shè)備前端，根據(jù)區(qū)域邊界數(shù)據(jù)交換規(guī)則通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議和請求的服務(wù)的基礎(chǔ)上，經(jīng)過工控協(xié)議深度檢查，防病毒檢測、確定是否允許該數(shù)據(jù)包通過該區(qū)域邊界；根據(jù)區(qū)域邊界安全控制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請求的服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出受保護(hù)的區(qū)域邊界，以防范來自邊界的攻擊行為，當(dāng)檢測到攻擊行為時(shí)采取相應(yīng)動(dòng)作并通知安全管理中心。

（2）在某化纖集團(tuán)（世界500強(qiáng)）管理信息網(wǎng)與生產(chǎn)控制網(wǎng)之間部署工業(yè)安全網(wǎng)閘實(shí)現(xiàn)邏輯隔離與數(shù)據(jù)的安全傳輸，系統(tǒng)采用專用信息擺渡機(jī)制，解決了由于網(wǎng)絡(luò)隔離引起的數(shù)據(jù)交換問題，既保持了網(wǎng)絡(luò)之間隔離的特性[4]，同時(shí)又提供了一種安全、有效的數(shù)據(jù)傳輸途徑，采用非標(biāo)準(zhǔn)協(xié)議構(gòu)成安全隧道，保障了數(shù)據(jù)傳輸?shù)陌踩裕瑥氐锥沤^了因辦公網(wǎng)絡(luò)的接入使業(yè)務(wù)系統(tǒng)感染病毒、木馬的可能，消除了安全隱患。

（3）工控安全監(jiān)測審計(jì)系統(tǒng)是針對工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)通信進(jìn)行安全審計(jì)的平臺(tái)。本次部署在匯聚層的三層交換機(jī)節(jié)點(diǎn)上，抓取網(wǎng)絡(luò)中的所有數(shù)據(jù)，通過實(shí)時(shí)動(dòng)態(tài)分析、數(shù)據(jù)流監(jiān)控、網(wǎng)絡(luò)行為審計(jì)等技術(shù)，快速識(shí)別工業(yè)控制網(wǎng)絡(luò)中存在的異常行為，對異常流量及時(shí)發(fā)出告警[5]。

（4）部署第三方邊界防護(hù)產(chǎn)品。工控主機(jī)防護(hù)系統(tǒng)部署在生產(chǎn)網(wǎng)絡(luò)中的各個(gè)PC端，專門針對工業(yè)控制系統(tǒng)的環(huán)境特點(diǎn)研發(fā)而成，依據(jù)程序特征建立操作系統(tǒng)運(yùn)行的安全白環(huán)境，并且禁止非授信程序運(yùn)行，解決了操作系統(tǒng)因無法升級(jí)補(bǔ)丁帶來的安全問題，保證了系統(tǒng)的穩(wěn)定運(yùn)行；并且工控主機(jī)防護(hù)系統(tǒng)區(qū)別于傳統(tǒng)的殺毒軟件，不依賴于特征庫，不用頻繁升級(jí)，完美適配工控環(huán)境；除了限制未授權(quán)程序執(zhí)行外，還具備監(jiān)控注冊表、偵測網(wǎng)絡(luò)非法外聯(lián)、限制移動(dòng)存儲(chǔ)介質(zhì)非法接入等功能。

（5）通過部署工控運(yùn)維審計(jì)系統(tǒng)，集中訪問控制與授權(quán)，實(shí)現(xiàn)單點(diǎn)登錄（SS0）和細(xì)粒度的命令集訪問授權(quán)?；谟脩舻膶徲?jì)將直接審計(jì)到人，實(shí)現(xiàn)從登到退出的全過程操行為審計(jì)，滿足合規(guī)管理和審計(jì)要求。

（6）部署統(tǒng)一安全管理平臺(tái)，為運(yùn)維管理人員提供全面了解資產(chǎn)安全現(xiàn)狀，管理網(wǎng)絡(luò)安全防護(hù)設(shè)備的平臺(tái)的集中統(tǒng)一管理平臺(tái)，實(shí)現(xiàn)安全防護(hù)設(shè)備的政策下發(fā)、運(yùn)維管理、資產(chǎn)盤點(diǎn)等功能。

（7）部署態(tài)勢感知系統(tǒng)，對系統(tǒng)即將面臨的攻擊做出判斷，并對安全態(tài)勢結(jié)果進(jìn)行等級(jí)劃分，呈現(xiàn)工控系統(tǒng)的當(dāng)前安全態(tài)勢，提供切實(shí)可靠的決策依據(jù)，從而保障工控系統(tǒng)的安全。

（8）工業(yè)信息安全部署圖。

3 加強(qiáng)工業(yè)工控系統(tǒng)安全管理體系建設(shè)

俗話說“三分技術(shù)，七分管理”，只有在工控信息安全加固的基礎(chǔ)上，配以合理有效的管理手段，才能更有效的實(shí)現(xiàn)安全生產(chǎn)。體系建設(shè)包括：工控安全制度管理；工控安全機(jī)構(gòu)管理；人員安全管理；工控系統(tǒng)建設(shè)管理；工控系統(tǒng)運(yùn)維管理。

3.1 安全服務(wù)

（1）漏掃服務(wù)：漏洞掃描服務(wù)以現(xiàn)有信息系統(tǒng)為主要對象，對目標(biāo)范圍內(nèi)的主機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)進(jìn)行安全漏洞掃描工作。發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)，修復(fù)網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤配置。

（2）系統(tǒng)配置核查服務(wù)：系統(tǒng)配置核查是系統(tǒng)的最小安全保證，是該系統(tǒng)最基本需要滿足的安全要求。系統(tǒng)安全往往需要在安全付出成本與所能夠承受的安全風(fēng)險(xiǎn)之間進(jìn)行平衡，而安全基線正是這個(gè)平衡的合理的分界線。

（3）滲透測試服務(wù)：滲透測試完全模擬黑客的入侵思路與技術(shù)手段，黑客的攻擊入侵需要利用目標(biāo)網(wǎng)絡(luò)的安全弱點(diǎn)，滲透測試也是同樣的道理。在公網(wǎng)和內(nèi)網(wǎng)對各系統(tǒng)進(jìn)行安全掃描、滲透測試和業(yè)務(wù)安全測試等安全評測，并結(jié)合網(wǎng)絡(luò)面臨的安全隱患，分析評測結(jié)果，經(jīng)評估后，進(jìn)行安全加固協(xié)助工作。

（4）安全加固服務(wù)：實(shí)施安全加固服務(wù)將是實(shí)現(xiàn)服務(wù)器等保護(hù)對象自身安全的關(guān)鍵環(huán)節(jié)，在實(shí)施安全加固服務(wù)時(shí)，將參照國際權(quán)威系統(tǒng)加固配置標(biāo)準(zhǔn)，并結(jié)合等級(jí)保護(hù)國家政策及行業(yè)規(guī)范，根據(jù)實(shí)際系統(tǒng)的安全等級(jí)劃分和具體要求，對相應(yīng)信息系統(tǒng)可以制定和實(shí)施不同策略的安全加固和配置優(yōu)化[6]。

4 方案優(yōu)勢

4.1 技術(shù)先進(jìn)性

（1）公司完全自主研發(fā)的國產(chǎn)化工控安全軟硬件產(chǎn)品，特別是工業(yè)量子安全網(wǎng)關(guān)、工控主動(dòng)防御系統(tǒng)，是國內(nèi)首創(chuàng)，具有完全自主的知識(shí)產(chǎn)權(quán)，已經(jīng)申請到多項(xiàng)發(fā)明專利，江蘇亨通工控安全研究院公司的安全產(chǎn)品能夠幫助涉密單位、關(guān)系國計(jì)民生的大型工控企業(yè)對工控網(wǎng)絡(luò)、網(wǎng)絡(luò)內(nèi)工作站、服務(wù)器進(jìn)行安全防護(hù)和安全加固，杜絕安全后門隱患。

（2）安全智能設(shè)備，實(shí)現(xiàn)統(tǒng)一管理；以工業(yè)場景有效應(yīng)用為主，構(gòu)建化繁為簡的安全防護(hù)體系；全面完整，成體系化的建設(shè)和部署方案，實(shí)用性強(qiáng)。

（3）高度適配工控系統(tǒng)。方案實(shí)施無需改造現(xiàn)有工業(yè)網(wǎng)絡(luò)和頻繁升級(jí)工控系統(tǒng)；無需頻繁升級(jí)安全特征庫；安全設(shè)備符合工控環(huán)境標(biāo)準(zhǔn)，可靠實(shí)用。

（4）深度理解工控協(xié)議和行為操作深度理解工控系統(tǒng)廣泛使用的Modbus、DNP3、IEC104、Profinet、OPC等數(shù)十種應(yīng)用通信協(xié)議，智能學(xué)習(xí)各類操作行為和參數(shù)，更好的識(shí)別攻擊行為。

4.2 可復(fù)制推廣性

在水務(wù)、燃?xì)?、智能制造、石油煉化等行業(yè)可進(jìn)行復(fù)制推廣。

5 實(shí)踐成效

根據(jù)化纖行業(yè)系統(tǒng)的實(shí)際特點(diǎn)和安全需求，提升安全組織管理、風(fēng)險(xiǎn)控制、專業(yè)技術(shù)和服務(wù)能力，加強(qiáng)信息安全建設(shè)，系統(tǒng)安全防護(hù)力度，提升運(yùn)行維護(hù)管理水平，使其安全保障能力進(jìn)入國內(nèi)先進(jìn)行列。

本解決方案主要實(shí)現(xiàn)以下幾個(gè)具體目標(biāo)：

（1）完善信息安全管理制度，實(shí)現(xiàn)風(fēng)險(xiǎn)管理的機(jī)制化運(yùn)行，管理人員能夠準(zhǔn)確掌握自身系統(tǒng)面臨的主要安全風(fēng)險(xiǎn)。根據(jù)工控安全制度管理的基本要求制定各類管理規(guī)定、管理辦法和暫行規(guī)定。從工控安全策略主文檔中規(guī)定的安全各個(gè)方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出能夠有效推行和實(shí)施的制度。

（2）強(qiáng)化網(wǎng)絡(luò)的邊界防護(hù)和訪問控制策略，確保網(wǎng)絡(luò)不通區(qū)域之間互聯(lián)互通的安全性。提高對信息網(wǎng)的入侵和異常行為監(jiān)測和發(fā)現(xiàn)能力，實(shí)現(xiàn)安全威脅的可知、可查。辦公區(qū)和生產(chǎn)廠區(qū)的網(wǎng)絡(luò)之間做到有效的邊界防護(hù)措施，內(nèi)部數(shù)據(jù)的傳輸因此得到合理的隔離，防止了生產(chǎn)系統(tǒng)和生產(chǎn)數(shù)據(jù)未經(jīng)授權(quán)的訪問、病毒感染、生產(chǎn)業(yè)務(wù)拒絕式服務(wù)攻擊等安全風(fēng)險(xiǎn)。

（3）完善生產(chǎn)數(shù)據(jù)的備份管理機(jī)制，確保核心設(shè)備安全與數(shù)據(jù)安全。如果沒有采取數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)手段與措施，就會(huì)導(dǎo)致數(shù)據(jù)的丟失。有時(shí)造成的損失是無法彌補(bǔ)與估量的。因此，數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)是保護(hù)數(shù)據(jù)的最后手段，也是防止主動(dòng)型信息攻擊的最后一道防線。

（4）對現(xiàn)有信息系統(tǒng)進(jìn)行符合于等級(jí)保護(hù)管理的風(fēng)險(xiǎn)評估工作。按照GB/T 22239-2019要求，完成整體信息化安全建設(shè)后能基本符合等保要求。（1）有利于提高工控網(wǎng)絡(luò)安全建設(shè)的投入產(chǎn)出比；（2）有利于從整體上降低工控網(wǎng)絡(luò)安全建設(shè)投入的資金

6 結(jié)語

經(jīng)過某化纖集團(tuán)的實(shí)施后，工控信息安全解決方案得到了很好的應(yīng)用，效果也達(dá)到了預(yù)計(jì)的要求，各種安全指標(biāo)進(jìn)一步得到了夯實(shí)。還有部分安全指標(biāo)參數(shù)系統(tǒng)還需要進(jìn)一步提升，后續(xù)將繼續(xù)對方案進(jìn)行優(yōu)化和改進(jìn)，讓工控安全解決方案更加完善。