基于等保2.0工業(yè)控制系統(tǒng)網(wǎng)絡安全技術防護方案的設計

◆趙 峰 馬躍強

基于等保2.0工業(yè)控制系統(tǒng)網(wǎng)絡安全技術防護方案的設計

◆趙 峰 馬躍強

（北京立思辰信息安全集團公司 北京 100192）

隨著工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)、中國制造2025等再工業(yè)化革命戰(zhàn)略的不斷推進，原本封閉的工業(yè)控制系統(tǒng)變得越來越開放，隨之面臨了新的挑戰(zhàn)，病毒、木馬、勒索軟件以及黑客、敵對勢力對工業(yè)控制系統(tǒng)進行了攻擊。本文通過對當前我國工業(yè)控制系統(tǒng)網(wǎng)絡安全現(xiàn)狀分析后，提出一種基于等級保護2.0標準的工業(yè)控制系統(tǒng)網(wǎng)絡安全技術防護方案。該防護方案通過構造1個管理中心，安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境3重防護手段，實現(xiàn)對工業(yè)控制系統(tǒng)網(wǎng)絡安全的事前預防、事中響應、事后審計的可信、可控、可管的縱深防護設計。

等級保護2.0；工業(yè)控制系統(tǒng)；網(wǎng)絡安全；防護方案

1 引言

隨著德國工業(yè)4.0、美國工業(yè)互聯(lián)網(wǎng)、我國“中國制造2025”等再工業(yè)化革命戰(zhàn)略的不斷推進，原本封閉的工業(yè)控制系統(tǒng)逐步被打破，變成越來越開放的系統(tǒng)[1]。與此同時，工業(yè)控制系統(tǒng)也面臨了新的挑戰(zhàn)，各種網(wǎng)絡威脅，病毒、木馬以及黑客、敵對勢力隨之而來，再加上工業(yè)控制系統(tǒng)本身存在一些脆弱性，這些脆弱性又被這些威脅利用就會導致安全事件的發(fā)生。針對安全事件，我國非常重視，分別從國家戰(zhàn)略、法律法規(guī)、政策、標準制定等方面積極采取措施。

2 工業(yè)控制系統(tǒng)網(wǎng)絡安全現(xiàn)狀分析

2.1 認識誤區(qū)

與外界隔離最安全。事實上維護用的移動設備或移動電腦會打破隔離，打開網(wǎng)絡安全風險之門；

單純防病毒就可以。事實上操作系統(tǒng)陳舊造成防病毒軟件無法有效運行，甚至造成工業(yè)控制系統(tǒng)死機；病毒庫沒有辦法按時更新，防病毒軟件本身也有漏洞存在；

網(wǎng)絡安全事件不會影響系統(tǒng)運行，事實上不僅影響運行，甚至后果嚴重；

安全防護相信系統(tǒng)供應商就可以。事實上原廠商對其系統(tǒng)漏洞認識不足，即使認識到，處理手段也有限，主動補救的不多；

安全防護可以一次性解決。事實上工業(yè)控制系統(tǒng)功能越來越復雜，外部環(huán)境經(jīng)常變化，需要定期更新和維護，并形成安全評估工作機制；

單向通信100%安全。事實上單向通信連接方式不嚴密，其安全程度高低取決于單向通信的實現(xiàn)方式，即使可以提供很高的安全，仍然有可能受到攻擊。

2.2 控制系統(tǒng)有漏洞

由于工業(yè)控制系統(tǒng)早期在設計時候，主要考慮系統(tǒng)的穩(wěn)定性、實時性以及可靠性，并沒有考慮安全問題。所以導致工業(yè)控制系統(tǒng)漏洞不斷報出，據(jù)國家信息安全漏洞共享平臺CNVD統(tǒng)計的工控漏洞截至2020年2月18號有2353個漏洞。其中西門子、施耐德、研華的產(chǎn)品漏洞最多，高中危漏洞占95%以上。

2.3 網(wǎng)絡邊界模糊、缺少控制措施

隨著業(yè)務的不斷發(fā)展，工業(yè)控制系統(tǒng)與管理網(wǎng)、互聯(lián)網(wǎng)連接的需求，再加上工業(yè)控制系統(tǒng)運行維護多年，網(wǎng)絡結構早已改變，結果導致工業(yè)控制系統(tǒng)網(wǎng)絡邊界模糊，網(wǎng)絡邊界缺少防護措施，非法訪問，越權操作等行為屢有發(fā)生。同時，終端違規(guī)接入、非法外聯(lián)經(jīng)常發(fā)生，給生產(chǎn)帶來安全隱患[2]。

2.4 缺少流量審計、異常流量不易發(fā)現(xiàn)

由于缺少網(wǎng)絡異常流量分析系統(tǒng)，無法檢測未知的威脅，存在新型惡意代碼傳播，病毒、蠕蟲等惡意代碼威脅將無法感知。不能及時了解網(wǎng)絡狀況（如違規(guī)操作、關鍵配置變更、網(wǎng)絡風暴等），一旦發(fā)生問題不能及時確定問題所在，不能及時排查到故障點。

2.5 工業(yè)主機存在安全問題

為保證控制系統(tǒng)的運行穩(wěn)定性，企業(yè)通常不會對工業(yè)主機操作系統(tǒng)進行補丁升級，也很少安裝殺毒軟件，即使安裝了殺毒軟件，病毒庫的更新在工業(yè)控制環(huán)境下也難以實現(xiàn)[3]。

同時，在生產(chǎn)環(huán)境中存在隨意使用U盤、移動硬盤、手機等移動存儲介質現(xiàn)象，有可能將病毒、木馬等威脅因素帶入生產(chǎn)環(huán)境。加上防病毒軟件的安裝不全面，導致出現(xiàn)問題后無法及時準確定位產(chǎn)生問題的原因、范圍及責任。

2.6 安全“運維”審計機制不到位

工業(yè)控制系統(tǒng)的日常運營和維護過程中，供貨商除了采用現(xiàn)場維護的手段外，為了調(diào)試便利，還將工控設備默認的調(diào)試后門端口打開，這些端口也給惡意攻擊提供了可乘之機。由于缺乏完善的運維審計機制，對“運維”人員的操作過程沒有記錄、審計，不能發(fā)現(xiàn)越權訪問、異常操作等行為。一旦發(fā)生事故，需要大量時間確定問題，也沒有追溯手段[4]。

3 基于等級保護2.0工業(yè)控制系統(tǒng)網(wǎng)絡安全防護技術體系設計[5]

基于等級保護2.0的要求，構建集安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境及安全管理中心為一體的1中心3防護的縱深防御體系，同時融合了P2DR模型和IATF技術框架模型理念，實現(xiàn)事前預防、事中響應、事后審計的可信、可控、可管的安全防御系統(tǒng)。

安全技術體系設計如下：

3.1 安全通信網(wǎng)絡設計

（1）網(wǎng)絡架構

將工業(yè)控制系統(tǒng)的各生產(chǎn)要素劃分為不同的安全域，在安全域之間進行部署工業(yè)防火墻進行邏輯隔離。在MES層與企業(yè)資源管理層，部署“網(wǎng)閘”設備，實現(xiàn)對生產(chǎn)數(shù)據(jù)的單向、安全采集。

（2）通信傳輸

通信完整性和保密性主要由工業(yè)控制系統(tǒng)完成。在通信雙方建立連接之前，工業(yè)控制系統(tǒng)與互聯(lián)系統(tǒng)間及工業(yè)控制系統(tǒng)內(nèi)部利用雙方協(xié)商的會話協(xié)議進行會話初始化驗證，并對通信過程中的敏感信息字段進行加密。

（3）可信驗證

此項為可選項，系統(tǒng)自身配置可信計算板卡，信任機制，滿足可信驗證要求即可。

3.2 安全區(qū)域邊界設計

（1）邊界防護

在生產(chǎn)線車間、數(shù)控車間以及工業(yè)無線網(wǎng)絡的出口部署工業(yè)防火墻；在過程監(jiān)控層與生產(chǎn)管理層之間部署工業(yè)防火墻；在企業(yè)資源層與生產(chǎn)管理層之間部署網(wǎng)閘設備，解決不同安全域之間違規(guī)訪問與邏輯隔離。在生產(chǎn)管理層部署網(wǎng)絡準入設備，通過網(wǎng)絡準入?yún)f(xié)議（如802.1X、ARP、SNMP、SSH等）與交換機進行聯(lián)動，當有私自接入的違規(guī)設備進行管控，同時工業(yè)主機上安裝網(wǎng)絡準入Agent，對工業(yè)主機上存在的非法外聯(lián)現(xiàn)象進行管控。

（2）訪問控制

在工業(yè)防火墻中設置精簡且必要的訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信。訪問控制規(guī)則對數(shù)據(jù)包的源地址、目的地址、工控協(xié)議、源端口、目的端口，請求服務進行檢查，實現(xiàn)數(shù)據(jù)的安全傳輸。

（3）入侵防范

利用工業(yè)防火墻的機器自學習功能，對通信鏈路、工業(yè)協(xié)議、功能碼、寄存器地址范圍、值域、控制指令等進行深度建模、形成白名單基線模型。對非法通信鏈路、攻擊入侵、違規(guī)操作等行為進行告警與阻斷。

（4）安全審計

在生產(chǎn)管理層，部署“運維”堡壘機，針對“運維”人員在遠程“運維”設備時，進行集中賬號管理、集中登錄認證、集中用戶授權和集中操作審計。實現(xiàn)對“運維”人員的操作行為審計，違規(guī)操作、非法訪問等行為的有效監(jiān)督，為事后追溯提供依據(jù)。

同時，利用監(jiān)測審計設備機器自學習功能進行學習、分析、建模、形成白名單基線，對異常通信行為、異常流量進行審計并告警。

圖1 安全技術體系設計圖

3.3 安全計算環(huán)境設計

（1）身份鑒別

本控制點，主要通過安全策略來實現(xiàn)。在工業(yè)主機上的操作系統(tǒng)、應用環(huán)境、數(shù)據(jù)庫等設置好必要的登錄認證機制，必要時采用雙因子認證手段。

（2）訪問控制

在操作員站、工程師站、實時服務器、OPC接口機等工業(yè)主機上通過設置訪問控制策略實現(xiàn)本控制點的要求。如刪除或重命名賬戶，對于無法重命名的賬戶或各類設備的內(nèi)置三員賬戶等特殊賬戶，修改默認口令，修改后的口令滿足等級保護復雜度要求。刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。關閉不使用的端口，如445、3389等高危端口。

（3）安全審計

通過部署在MES層的日志審計系統(tǒng)，對工控應用系統(tǒng)、操作系統(tǒng)、網(wǎng)絡設備、安全設備等日志進行集中采集、分析、存儲。對用戶訪問記錄、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)、網(wǎng)絡存取日志等各類信息，經(jīng)過標準化、過濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進行集中存儲和管理。實時動態(tài)了解當前整個系統(tǒng)的安全態(tài)勢，獲知異常安全事件和審計違規(guī)情況、分析追溯定位。

（4）惡意代碼防范

通過對操作員站、工程師站、MES客戶端、HMI、實時服務器、歷史服務器等工業(yè)主機上安裝工控安全衛(wèi)士程序，對工業(yè)主機上的可執(zhí)行程序、應用服務、端口等進行機器自學習、建模、分析，形成白名單安全基線模型。對病毒、木馬、惡意代碼入侵行為進行阻斷。同時通過對外設的管控，實現(xiàn)非法外聯(lián)、非法拷貝的管控，從而實現(xiàn)對工業(yè)主機對惡意代碼防范的要求。

3.4 安全管理中心設計

通過在生產(chǎn)管理層部署工控安全管理平臺，實現(xiàn)對安全設備統(tǒng)一管理與監(jiān)控。從整體視角進行安全事件分析、安全攻擊溯源、安全事件根因挖掘等，為工控系統(tǒng)網(wǎng)絡當前的狀態(tài)以及未來可能受到的攻擊做出態(tài)勢評估與預測，為專業(yè)人員提供可靠、有效的決策依據(jù)，最大限度上降低工控系統(tǒng)可能遭受的風險和損失，提升企業(yè)安全防護整體水平。

4 結語

通過對工業(yè)控制系統(tǒng)的安全現(xiàn)狀分析，以及結合等保2.0標準通用要求和工業(yè)控制系統(tǒng)擴展要求，設計了一種基于等保2.0標準的工業(yè)控制系統(tǒng)網(wǎng)絡安全技術防護方案，即構造1個中心，3重防護的縱深防御體系，為工業(yè)控制系統(tǒng)的網(wǎng)絡安全技術防護提供了理論參考依據(jù)。

[1]梧向斌.淺析工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及發(fā)展趨勢[J]. LOW CARBON WORLD，2013（8）.

[2]陳星，賈卓生.工業(yè)控制網(wǎng)絡的信息安全威脅與脆弱性分析與研究[J].計算機科學，2012，39（10）.

[3]邱金龍.工業(yè)控制系統(tǒng)信息安全的未來趨勢[J].信息與電腦，2016，（04）.

[4]宗健.工業(yè)4.0時代的工控網(wǎng)絡安全防護研究[J].環(huán)保安全，2016，（04）.

[5]李濤.基于等保2.0工業(yè)控制系統(tǒng)網(wǎng)絡安全防護體系研究[J].信息系統(tǒng)工程，2019（11）.