基于PADIMEE安全模型的工控系統邊界防護設計

劉瑞+鄒春明

摘 要：工業控制系統是現代工業建設、國家重大工程和關鍵基礎設施的神經中樞。隨著工業化和信息化的不斷發展和演進，工控系統由傳統封閉式系統演變到開放式的網絡系統，同時，工控系統所面臨的問題越來越復雜。考慮到適用于工業控制系統的等級保護制度即將推行，論文結合工控系統的特點，提出了基于PADIMEE安全模型的工控系統邊界防護設計，進一步提高工控系統信息安全。

關鍵詞：工業控制系統；PADIMEE安全模型；邊界防護

中圖分類號： TP273.5 文獻標識碼：A

The Boundary Protection Design of ICS Based

on PADIMEE Security Model

Liu Rui， Zou Chun-ming

（The Third Research Institute of Ministry of Public Security， Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： Industrial control system （ICS） is the nerve center of modern industry construction， national important project and key infrastructure. With the continuous development and evolution of industrialization and information technology， ICS has evolved from traditional closed system to open network system. Meanwhile， the problems faced by ICS are becoming more and more complex. Taking into account the classified protection system for ICS to be implemented， combined with the characteristics of ICS， this paper put forward the boundary protection design of ICS based on the PADIMEE security model， and further improve the information safety of ICS.

Key words： Industrial Control System； PADIMEE Security Model； Boundary Protection

1 引言

隨著德國政府提出工業4.0的興起以及工業化和信息化的不斷融合，傳統的互聯網技術不斷應用到工業自動化控制領域，例如航空航天、食品制造、醫藥和石化、交通運輸以及電力和水利等。目前，超過80%涉及國計民生的關鍵基礎設施依靠工控系統來實現自動化作業。自2010年的“震網”事件以來，一系列工控安全事件的發生表明工控系統正面臨著嚴重的攻擊威脅[1]，工控系統的安全問題日益凸顯。

國外較早就開始對工控系統的信息安全問題進行了研究，2005年愛達荷國家實驗室的關鍵基礎設施測試靴場正式投入運行，其中關鍵基礎設施主要由SCADA和電力系統組成。同時，美國國土安全部制定了工控系統安全領域的專項計劃，例如國家SCADA測試床計劃（NSTB）。為了能夠順利開展工控系統安全工作，美國國土安全部成立了工控系統應急響應小組（ICS-CERT）致力于相關的技術研究。關于工控系統安全國家標準法規包括國家基礎設施保護計劃（NIPP）和《聯邦信息安全管理法》[2]，同時，國家標準與技術研究所（NIST）發布了一系列工控系統安全相關的指南，例如《聯邦信息系統和組織的安全控制推薦》[3]和《工業控制系統安全指南》[4]等。

在“震網”事件后，我國也開始重視工控系統的安全問題，2011年工信部率先發布了《關于加強工業控制系統信息安全管理的通知》[5]。2012年，國務院正式發布了《關于大力推進信息化發展和切實保障信息安全的若干意見》[6]。此外，國家發展和改革委等部門也開始積極部署工控系統的安全保障工作，組織了多次國家信息安全專項，專項重點支持領域均包括了工業控制信息安全領域，在專項的支持下，出現了一批適用于工業控制系統的信息安全產品，如工控防火墻、工控安全網關等。2016年《中華人民共和國網絡安全法》發布，其中第31條規定了能源、交通等眾多與工業控制相關的重點行業以及關鍵信息基礎設施在網絡安全等級保護制度的基礎上，實行重點保護。同年，國務院發布了《國務院關于深化制造業與互聯網融合發展的指導意見》[7]，明確把提高工業信息系統安全水平作為主要任務之一。2016年10月，工信部印發《工業控制系統信息安全防護指南》（工信軟函〔2016〕338號）[8]，把邊界安全防護作為提升工控安全防護工作的一個重要方面。

基于工控系統安全高度的戰略意義以及我國工業自動化控制領域和信息安全領域對工控系統安全技術研究不足的現狀，及時地開展工控系統邊界防護設計的研究，具有非常重要的現實意義。

2 工控系統網絡安全特點

傳統網絡主要用于數據處理和共享，而工控系統主要用于實現對工業自動化過程的實時控制、監測和管理。由于傳統網絡和工控系統的適用場景不同，工控系統所面臨的安全問題有其獨有的特點[9]。

2.1 信息安全防護目標不同endprint

傳統的IT信息系統重視數據的機密性，在一定程度上允許高的網絡延遲和阻塞，實現的主要安全目標包括保密性、完整性和可用性，一般位于首位的是保密性，通過配置訪問控制策略來保護用戶信息的安全，其次是完整性，最后是可用性。工控系統的體系結構與傳統IT系統全然不同，即使短暫的網絡故障都可能導致產品損害、生產中斷或對人和機器造成危險，對于工控系統而言，首先考慮的是可用性，然后才是完整性，最后是保密性。

2.2 安全威脅引入的途徑不同

傳統網絡具有開放性、互聯性等特點，安全威脅主要來自外部的網絡攻擊和惡意代碼植入等。工控系統涉及關鍵領域和企業運營的大量關鍵敏感數據，只能進行有限受控的開放，并且在工控系統內部使用的協議、指令對字段的要求非常嚴格，來自互聯網的網絡攻擊不易造成嚴重的威脅。對于工控系統而言，多數安全事件來自內部人員的誤操作、外部不安全的設備接入等。

2.3 網絡通訊協議不同

由于工業化和信息化的不斷融合，管理網絡和工控網絡之間的數據互聯也變得常態化，目前越來越多的工控協議逐漸開始支持TCP/IP底層協議通過以太網通信，如常見的Modbus TCP和OPC協議等，這就要求工控系統的網絡邊界能夠進行支持工控協議的應用層深度解析能力，有效攔截攻擊或誤操作的數據包。另一方面，由于工控協議不同于傳統的互聯網應用協議，目前針對工控協議的漏洞掃描系統和漏洞庫都亟待發展。

3 常見的安全模型

網絡信息安全并不是通過簡單的信息安全產品的堆砌就能解決防護問題，而是需要遵循一定的網絡信息安全理念來進行控制和保障。網絡的發展是動態的，不斷有新的協議、操作系統、應用軟件發布和應用、伴隨出現的有大量新的漏洞、病毒、攻擊程序，因此目前國際上普遍認為網絡信息安全應該是一個動態的、不斷完善的過程，并做了大量研究工作，形成了各類信息安全模型，如基于時間的PDR模型、P2DR模型[10]、全網動態安全體系APPDRR模型、安氏的PADIMEE模型[11]等。

PDR模型包括Protection、Detection、Response三個基本部分。保護是安全的第一步，采取了保護措施不一定完全保證網絡安全，網絡是不斷發展的，需要及時檢測才能發現問題，如果出現問題便需要進行及時響應。PDR模型建立了一個基于時間的安全模型。

P2DR模型是一種動態的網絡安全體系，包括四個主要的部分：Policy、Protection、Detection、Response，在這個模型中，Policy是整體的核心，相對于PDR模型，P2DR對安全問題提出了明確的方向，提高系統的防護時間，降低檢測和響應時間。

APPDRR模型描述了網絡安全的動態螺旋上升過程，認為網絡安全由Assessment、Policy、Preotection、Detection、Reactoin、Restoration六部分完成。通過風險評估，掌握所面臨的風險信息，進而采取必要的措施，使得信息系統的安全水平呈現動態螺旋上升的趨勢。

在實際應用中，我們還需要考慮整體的安全生命周期和工程實施，而PADIMEE模型便是一個常用的工程安全模型，主要包括幾個主要部分：Policy、Assessment、Design、Implementation、Management/Monitor、Emergency Response和Education。PADIMEE模型以安全策略為中心，安全教育為基礎，通過評估、設計、實現、管理以及緊急響應，將安全實施變成一個不斷改進的呈生命周期的循環過程。

4 基于PADIMEE安全模型的工控系統邊界防護設計

4.1 工控系統邊界分析

工控系統（ICS）是一個由工業過程控制組件和自動化組件組成，過程控制組件負責對現場設備進行數據采集和監控，使得整個工業生產環境能夠自動化進行。工控系統的核心組件包括數據采集與監控系統（SCADA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、現場總線控制系統（FCS）等[12]，圖1是工控系統中的一個實例。

如圖1所示，工控系統的網絡結構分為企業管理網絡、生產監控網絡和現場控制網絡。

企業管理網絡中包括企業ERP系統和MES系統，一般采用傳統信息系統架構，網絡通信以以太網為主。企業管理網絡和互聯網間的邊界中要處理的主要是來自外部的管理數據，因此對數據保密性要求較高。此外，該邊界還需負責抵御來自外部的攻擊，防止內部網絡受到影響。

生產監控網絡中部署了SCADA服務器、OPC設備和系統監控站等上位機系統，向上與企業管理網絡進行互聯，向下通過現場控制網絡對現場設備進行數據采集。生產監控網絡和企業管理網絡間的邊界涉及到的數據包括來自上層網絡中的任務下發等生產管理數據，同時不允許企業管理網絡不相關的任何流量和報文傳到生產網絡中。在生產監控網絡內部不同安全區域之間的邊界處由于涉及數據的雙向交互，需對數據流進行訪問控制限制。

現場控制網絡主要是由PLC、RTU、分布式I/O站、智能儀器等組成，通信方式有Modbus、Profinet、Profibus等。現場控制網絡是工控系統中最重要的網絡，在現場控制網絡和生產監控網絡間的邊界要處理的是現場控制和監測數據，具有很高的實時性、可靠性等要求。

4.2 基于PADIMEE安全模型的工控邊界防護

由于工業控制系統要求必須保證持續的可用性及穩定的系統訪問、系統性能、專用工業控制系統安全保護技術以及全生命周期的安全支持，因此在進行工業邊界防護設計的時候，更應該考慮工程實施的整個安全生命周期中的系統動態防護，PADIMEE安全模型提供了一個長期持續的全生命周期安全防護，適用于工業控制系統，本文提出了一種基于PADIMEE安全模型的工控邊界防護。endprint

4.2.1策略制定階段

工控系統在不同行業具有廣泛的應用，針對不同應用的工控系統，根據實際適用環境和需求確定邊界防護的安全策略和安全目標。

工控控制系統與企業管理系統之間的邊界應采取有效的隔離技術手段，禁止任何穿越邊界的通用網絡服務數據。工控系統內生產管理層和現場設備層之間的邊界應提供身份認證、訪問控制和數據加密傳輸等功能。針對要求實時傳輸數據的工控控制系統，應獨立組網，物理上與其他網絡進行隔離；工控系統內部網絡不同區域間應采用VLAN或防火墻等技術進行訪問控制。

對于設備接入控制網絡和內部網絡需要采取管理措施加技術有段相結合方式進行管理。

為了確保工控系統穩定運行，所有的邊界防護應不能影響系統功能。

4.2.2評估分析階段

這個階段主要從技術層面和管理層面對工控系統的邊界進行評估分析。技術層面是針對邊界上存在的安全技術風險評估和分析，包括網絡設備、工控設備以及相關應用系統等方面。

通過分析發現企業管理網絡和互聯網間的邊界、生產監控網絡和企業管理網絡間的邊界對實時性相對較低，對數據保密性要求較高，面臨的風險有數據泄露和網絡攻擊；現場控制網絡和生產監控網絡間的邊界和生產監控網絡內部不同安全區域之間的邊界對數據的實時性要求較高，面臨的風險有設備延遲過大影響系統運行、網絡攻擊和操作人員誤操作等。由于誤操作會導致工控系統中斷、癱瘓、設備損壞或人員傷亡等嚴重后果，要求邊界設備廣泛采用白名單技術進行數據的交換控制。

管理層面是從工控系統涉及的組織人員、組織結構、管理制度等角度分析運維和管理方面的安全缺陷。

4.2.3 設計/方案階段

根據總體工控系統邊界防護的安全策略和安全目標，結合評估分析階段進行的風險評估，制定與之相對應的方法、步驟和加固措施，進而形成一套完整的工控系統邊界防護解決方案。

在企業管理網絡和工業控制網絡的邊界可以通過部署不同強度的安全設備進行有效的安全隔離和數據交互。例如防病毒網關和工控防火墻，在進行數據交換時設置訪問控制策略，僅開啟必要的數據交換鏈路。針對特定應用可部署工控網閘或工控單向導入等隔離設備，采用信息擺渡技術等進行工控網絡與管理網絡之間的數據交換。

在工業控制網絡內部不同安全分區之間涉及到工控系統最重要的控制和監測數據等，對實時性要求很高，可以部署工業防火墻，配置應用白名單過濾機制，對具有以太網接口的I/O設備和控制器上的進出數據進行深度包過濾。為了防止安全設備單點故障影響系統的運行，一般要求使用的工業防火墻具有Bypass功能。為了能夠避免因設備聯網而形成的干擾、惡意代碼攻擊、DDoS攻擊和廣播風暴等，在不同安全分區之間部署入侵檢測系統等。

對外部設備接入的邊界，要采取必要的有效防范措施。例如制定外部設備接入工控系統的管理制度，設備接入前通過安全檢測技術確保接入設備的安全可靠，接入操作需進行審批、登記，便于事后進行審計。

在進行工業控制系統邊界防護設計的時候，還需考慮部署一套完善的審計系統，針對操作人員的各類行為進行詳細的審計并生成日志，以便發生安全事故時能夠及時進行溯源定位。

4.2.4 實施/實現階段

在實施階段，我們根據安全策略和評估報告，基于工控系統邊界防護解決方案，為不同網絡邊界中選取合適類型與型號的安全設備和網絡設備，尤其是部署在生產環境中的設備應具備低時延和良好的環境適應性，并且對所有設備進行策略配置、安全加固等。

運行維護階段：當工控系統的網絡邊界防護建立之后，為了保障工控系統安全持續的運行，需要對工控系統進行有效運行維護。針對重要的工控系統，部署網絡監控系統，對其網絡流量進行統計，生成統計報表，方便定期分析。在工控系統中亦存在與傳統互聯網類似的木馬和惡意代碼等，在各個邊界定期對系統內設備進行掃描檢測，及時發現網絡中存在的漏洞與威脅，并且采取修復措施進行加固。

4.2.5 緊急響應階段

緊急響應階段是在安全事故發生時能夠盡快恢復工控系統的運作和減少數據的丟失，一般可以分為響應和恢復兩大環節。

（1）響應環節。當發生入侵事件時，要求入侵檢測系統能夠快速發現并發出告警信息通知相關人員，并配合聯動設備，如工業防火墻等阻止入侵行為的持續進行。對于工控系統，高的可靠性也是響應環節中的一個關鍵要素。系統內部關鍵參數應設定閾值，當參數超過閾值時應及時告警；邊界中關鍵網絡設備應采取雙機熱備的部署方式，防止單點故障引起的網絡癱瘓。

（2）恢復環節。對于網絡邊界中關鍵配置文件和審計記錄等數據進行定期在線、離線備份，保證工控系統網絡發生故障后能夠迅速，進行問題追蹤和網絡恢復。

與此同時，還應建立規范的安全應急響應機制，制定應急預案，定期進行應急演練 。

4.2.6 教育培訓階段

教育培訓是貫穿在工控邊界防護建立和維護的整個生命周期內的工作，在不同時期不同階段，需要對所有相關人員進行安全教育培訓，可以通過各種方式定期或者不定期開展網絡安全的知識講座和論壇，提高網絡安全意識。

基于工控系統安全狀況的脆弱性以及攻擊威脅的嚴重性，工控系統的安全問題已經提升到國家戰略的高度。做好工控系統邊界的防護，將攻擊和威脅拒之門外，為工控系統的持續運行提供有效的保障。本文通過分析工控系統所面臨安全問題的特殊性，提出了一種基于PADIMEE安全模型的工控系統邊界防護設計，從整個工控系統運行的生命周期內，持續不斷地完善和鞏固系統的邊界，切實保障工業生產的正常運轉。隨著工業系統漸漸走向開放以及等保2.0時代的到來，工控系統所面臨的安全問題將愈加嚴峻，同時針對工控系統的安全要求也越來越高，針對工控系統邊界防護的研究仍需進一步研究。endprint

項目基金：

2014年上海科委科技創新行動計劃技術標準項目：云計算信息安全檢測技術標準研究（項目編號：14DZ0502600）。

參考文獻

[1] 烏爾里希·希德勒；鄧敏，李現明，譯.工業4.0 即將來襲的第四次工業革命[M].北京：機械工業出版社， 2014. 20-50.

[2] Hulitt E， Vaughn R. B. Information system security compliance to FISMA standard： a quantitative measure[J]. Telecommunication Systems， 2010， 45（2-3）： 139-152.

[3] NIST S P.800-53[J]. Recommended Security Controls for Federal Information Systems， 2003： 800-53

[4] NIST S P.800-82[J]. Guide to Industrial Control Systems（ICS） Security， Final Public Draft， National Institute of Standards and Technology， 2008.

[5] 工信部. 關于加強工業控制系統信息安全管理的通知[Z]. 2011.

[6] W.ZF. 《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》下發[J]. 軍民兩用技術與產品， 2012（8）： 5-5.

[7] 國務院.國務院關于深化制造業與互聯網融合發展的指導意見[Z]. 2016.

[8] 工信部.工業控制系統信息安全防護指南[Z]. 2016.

[9] 王文宇， 劉玉紅.工控系統安全威脅分析及防護研究[J].信息安全與保密通信， 2012（2）： 33-35.

[10] 田原， 沈清泓.基于P2DR2模型的工控信息系統等級保護體系[C].第四屆全國信息安全等級保護技術大會論文集.北京： 2015， 91-93.

[11] 安式互聯網安全系統（中國）有限公司.安氏中國—安全服務理念與標準PADIMEE模型[EB/OL]. http：//bj.is-one.net/solution/padimee.shtml. 2004.

[12] 沈清泓.工業控制系統三層網絡的信息安全檢測與認證[J].自動化博覽， 2014（7）： 68-71.endprint