工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)建設(shè)與管理探討

陳丹 湯蕊

1.暨南大學(xué) 廣東 廣州 510632；

2.中船黃埔文沖船舶有限公司 廣東 廣州 510715

引言

近年來，工業(yè)控制系統(tǒng)信息安全事件不斷發(fā)生，“震網(wǎng)”、“火焰”、“毒區(qū)”、“Havex”等惡意軟件嚴(yán)重影響了關(guān)鍵工業(yè)基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行，充分反映了工業(yè)控制系統(tǒng)信息安全面臨的嚴(yán)峻形勢。隨著等保進(jìn)入2.0時代，工業(yè)控制系統(tǒng)的信息安全也重新提到了一個前所未有的高度，在大力發(fā)展信息產(chǎn)業(yè)的同時，工業(yè)控制系統(tǒng)逐步從單機(jī)走向互聯(lián)、從封閉走向開放，為網(wǎng)絡(luò)安全威脅向其加速滲透提供了條件，工業(yè)領(lǐng)域面臨的信息安全形勢日益緊迫，亟須加速完善工業(yè)控制系統(tǒng)安全保障體系。

1 工業(yè)控制系統(tǒng)安全現(xiàn)狀分析

1.1 行業(yè)外部威脅

隨著網(wǎng)絡(luò)作戰(zhàn)以及有組織黑客越來越多地開始針對工控網(wǎng)進(jìn)行攻擊，工控網(wǎng)的安全問題日益成為很多企業(yè)的網(wǎng)絡(luò)安全的頭等大事。目前絕大多數(shù)的工控網(wǎng)基本處于不設(shè)防的狀態(tài)，因此，在工控網(wǎng)安全方面，存在著很多漏洞和誤區(qū)。

同時伴隨著工業(yè)信息化進(jìn)程的快速推進(jìn)，為實(shí)現(xiàn)系統(tǒng)間的協(xié)同和信息分享，工業(yè)控制系統(tǒng)也逐漸打破了以往的封閉性，采用標(biāo)準(zhǔn)、通用的通信協(xié)議及硬軟件系統(tǒng)，企業(yè)工控系統(tǒng)目前面臨的攻擊主要是在系統(tǒng)信息收集以及工控數(shù)據(jù)篡改。

1.2 行業(yè)內(nèi)部威脅

1.2.1 普遍未對工業(yè)控制網(wǎng)絡(luò)區(qū)域間進(jìn)行隔離、惡意代碼、異常監(jiān)測、訪問控制等一系列的防護(hù)措施，很容易一點(diǎn)發(fā)生病毒或攻擊，影響整個區(qū)域甚至全網(wǎng)絡(luò)。

1.2.2 缺乏清晰的網(wǎng)絡(luò)邊界及邊界訪問控制措施，各區(qū)域間網(wǎng)絡(luò)簡單地冗余互聯(lián)。

1.2.3 缺乏惡意程序防護(hù)措施，生產(chǎn)網(wǎng)絡(luò)中大量上位機(jī)操作系統(tǒng)老舊，系統(tǒng)補(bǔ)丁、病毒庫長期不更新，難以防范惡意軟件攻擊。

1.2.4 缺乏安全事件監(jiān)管機(jī)制，缺乏對工業(yè)以太網(wǎng)的可感知與可控制[1]。

2 管理體系建設(shè)與管理

為了切實(shí)保證工業(yè)控制系統(tǒng)的安全，除了采取必要的安全技術(shù)措施外，行業(yè)內(nèi)應(yīng)根據(jù)具體情況建立一整套安全管理體系，從組織上、措施上、制度上以及人員方面為用戶信息系統(tǒng)的安全運(yùn)行提供強(qiáng)有力的保障。

2.1 安全管理機(jī)構(gòu)

生產(chǎn)單位結(jié)合實(shí)際業(yè)務(wù)需求及保密制度的相關(guān)要求，明確安全組織機(jī)構(gòu)能合理地協(xié)調(diào)各方面因素，實(shí)現(xiàn)安全組織的規(guī)范化、科學(xué)化，通過對信息安全建設(shè)進(jìn)行監(jiān)督管理和檢查指導(dǎo)，能統(tǒng)一規(guī)劃工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理體系，有效組織貫徹落實(shí)黨和國家制定的網(wǎng)絡(luò)安全和信息化工作方針、政策、法規(guī)。

2.2 安全管理制度

從安全策略、管理制度、操作規(guī)程三方面制定安全管理制度體系，確保正確執(zhí)行信息安全策略，落實(shí)安全保密要求，實(shí)現(xiàn)信息系統(tǒng)、信息設(shè)備和存儲設(shè)備可管、可用、可控、可查、可審、可追溯，減少人為因素影響。

策略作為生產(chǎn)單位網(wǎng)絡(luò)與信息安全的基本要求，主要明確信息安全要求，是制定信息安全專項(xiàng)管理制度、專項(xiàng)管理辦法等相關(guān)制度的依據(jù)；專項(xiàng)管理制度屬于二級文件，指導(dǎo)網(wǎng)絡(luò)與信息安全正常運(yùn)行的規(guī)范性要求；專項(xiàng)管理辦法是安全策略在信息系統(tǒng)、信息設(shè)備和存儲設(shè)備上具體實(shí)現(xiàn)的操作步驟。應(yīng)急預(yù)案是應(yīng)對面臨的安全風(fēng)險充分分析，制訂信息安全應(yīng)急響應(yīng)預(yù)案，對可能發(fā)生的病毒、黑客攻擊等各種潛在威脅制訂響應(yīng)策略。

2.3 安全運(yùn)維管理

定期開展工控安全風(fēng)險評估，形成安全測評報告，并提出整改建議和計劃；應(yīng)采取必要的措施識別安全漏洞和隱患，并根據(jù)風(fēng)險分析的后果，對發(fā)現(xiàn)的安全漏洞和隱患在確保安全生產(chǎn)的情況下及時進(jìn)行修補(bǔ)。

3 技術(shù)防護(hù)體系建設(shè)與管理

技術(shù)防護(hù)體系是實(shí)現(xiàn)工業(yè)控制系統(tǒng)安全的手段，從技術(shù)層面上，利用多種成熟、先進(jìn)的技術(shù)措施，實(shí)現(xiàn)系統(tǒng)各個層次的安全防護(hù)。

3.1 物理與環(huán)境安全

物理與環(huán)境安全是保護(hù)工控設(shè)備、設(shè)施（網(wǎng)絡(luò)及通信線路）免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施和過程。保證工業(yè)控制系統(tǒng)的所有設(shè)備和機(jī)房及其他場地的物理安全，是整個工業(yè)控制系統(tǒng)安全的前提。

3.2 網(wǎng)絡(luò)和通信安全

工業(yè)控制系統(tǒng)應(yīng)采用分層分區(qū)的保護(hù)結(jié)構(gòu)實(shí)現(xiàn)信息安全等級保護(hù)設(shè)計，構(gòu)建在安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系，采用縱向分層、橫向分區(qū)的架構(gòu)，以實(shí)現(xiàn)可信、可控、可管的系統(tǒng)安全互聯(lián)、區(qū)域邊界安全防護(hù)和計算環(huán)境安全，如圖1。

3.2.1 邊界防護(hù)。工業(yè)控制系統(tǒng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，與生產(chǎn)單位內(nèi)網(wǎng)邏輯隔離。通過部署工業(yè)控制防火墻實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)的縱向邊界防護(hù)和橫向區(qū)域防護(hù)，可以對數(shù)據(jù)包的源和目的地址、端口號和協(xié)議等進(jìn)行檢查，以允許或拒絕數(shù)據(jù)包出入；通過輸入訪問限制和隔絕等技術(shù)分割網(wǎng)絡(luò)，防護(hù)來自外部網(wǎng)絡(luò)的入侵行為。從而提高網(wǎng)絡(luò)邊界完整性保護(hù)能力。

縱向邊界防護(hù)方面在生產(chǎn)單位內(nèi)網(wǎng)與工業(yè)控制網(wǎng)之間以串聯(lián)方式部署工業(yè)控制防火墻做訪問控制、病毒木馬防護(hù)，有效隔離非涉密內(nèi)網(wǎng)和工業(yè)網(wǎng)，保護(hù)工業(yè)網(wǎng)的工業(yè)設(shè)備安全，隔離來自公司內(nèi)網(wǎng)的病毒侵?jǐn)_[2]。

橫向區(qū)域防護(hù)方面根據(jù)不同的車間來進(jìn)行區(qū)域劃分，形成多個安全防護(hù)區(qū)域。通過工業(yè)控制防火墻設(shè)置訪問控制策略，實(shí)現(xiàn)區(qū)域橫向安全邏輯隔離。

圖1 縱向分層、橫向分區(qū)

3.2.2 訪問控制。通過在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署的工業(yè)控制防火墻設(shè)備，將工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)進(jìn)行隔離。并按實(shí)際的業(yè)務(wù)需求，采用最小化原則，配置訪問控制策略，對數(shù)據(jù)訪問進(jìn)行細(xì)粒度的訪問控制，對消息來源、用戶、設(shè)備身份進(jìn)行鑒別，根據(jù)安全策略對接入進(jìn)行訪問控制，從而保障工業(yè)控制系統(tǒng)運(yùn)行的安全性。

3.2.3 通信傳輸。在工業(yè)控制系統(tǒng)中，要保證數(shù)據(jù)的傳輸保密性，應(yīng)采用加密技術(shù)來保護(hù)數(shù)據(jù)傳輸和遠(yuǎn)程應(yīng)用維護(hù)操作的傳輸管道安全，確保重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等數(shù)據(jù)的保密性。

對于生產(chǎn)管理層網(wǎng)絡(luò)和過程監(jiān)控層網(wǎng)絡(luò)，應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)傳輸?shù)耐暾裕瑢?shí)現(xiàn)通信網(wǎng)絡(luò)和非現(xiàn)場總線網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾员Ｗo(hù)；對數(shù)據(jù)傳輸實(shí)時性要求較高的現(xiàn)場總線網(wǎng)絡(luò)，數(shù)據(jù)加密方式應(yīng)滿足實(shí)時性要求。

3.2.4 網(wǎng)絡(luò)監(jiān)測審計。由于信息化發(fā)展的推動，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的連接更加開放，這樣的情形可能使工業(yè)控制系統(tǒng)受到非法的掃描探測和網(wǎng)絡(luò)入侵。通過在工業(yè)控制網(wǎng)核心交換機(jī)上旁路鏡像部署工控安全監(jiān)測與審計平臺，對工控網(wǎng)絡(luò)提供事前監(jiān)控、事中記錄、事后審計。工控安全監(jiān)測與審計平臺對工控網(wǎng)絡(luò)的安全狀態(tài)做全面的入侵檢測，對網(wǎng)絡(luò)中的攻擊行為、數(shù)據(jù)流量、重要操作等進(jìn)行監(jiān)測審計，以實(shí)現(xiàn)在網(wǎng)絡(luò)邊界處對攻擊行為的監(jiān)控和阻斷。

3.3 設(shè)備和計算安全

3.3.1 身份鑒別。對網(wǎng)絡(luò)中的文件或文件夾設(shè)置用戶訪問權(quán)限，普通用戶無法訪問未授權(quán)文件或文件夾。同時，在域策略中對賬號進(jìn)行策略設(shè)置，加強(qiáng)對賬戶的管理，如設(shè)置密碼復(fù)雜度、定期更改密碼天數(shù)、賬戶輸入幾次錯誤密碼自動鎖定賬戶等。實(shí)現(xiàn)高強(qiáng)度身份認(rèn)證、安全數(shù)據(jù)傳輸以及可靠的行為審計。

3.3.2 訪問控制。在工業(yè)控制系統(tǒng)中，由授權(quán)主體對客體設(shè)置訪問控制權(quán)限，規(guī)定主體對客體的訪問規(guī)則；訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表級；并遵循最小化授權(quán)原則，限制權(quán)限的傳播。

3.3.3 安全審計。工業(yè)控制系統(tǒng)和現(xiàn)場設(shè)備的安全審計，包括日志審計和流量監(jiān)控。審計內(nèi)容應(yīng)包括用戶行為、系統(tǒng)資源的異常使用和操作等重要相關(guān)事件的記錄。現(xiàn)場設(shè)備的用戶登錄事件、時間修改事件、配置修改事件、程序修改事件和流入現(xiàn)場設(shè)備的數(shù)據(jù)流等。

3.3.4 入侵與惡意代碼防范。在工控主機(jī)上部署終端安全衛(wèi)士，采用“白名單”管理機(jī)制，通過對數(shù)據(jù)采集和分析，其內(nèi)置智能學(xué)習(xí)模塊會自動生成工業(yè)控制軟件正常行為的白名單，與現(xiàn)網(wǎng)中的實(shí)時傳輸數(shù)據(jù)進(jìn)行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶節(jié)點(diǎn)的行為不符合白名單中的行為特征，其主機(jī)安全防護(hù)系統(tǒng)將會對此行為進(jìn)行阻斷或告警，以此避免主機(jī)網(wǎng)絡(luò)受到未知漏洞威脅，同時還可以有效的阻止操作人員異常操作帶來的危害。

3.4 應(yīng)用安全

3.4.1 身份鑒別和訪問控制。所有應(yīng)用系統(tǒng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，對應(yīng)用及重要系統(tǒng)數(shù)據(jù)的訪問提供訪問控制功能，授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；并通過配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。

3.4.2 安全審計應(yīng)用系統(tǒng)均按要求提供日志模塊，記錄用戶對應(yīng)用系統(tǒng)的所有操作，通過查看應(yīng)用系統(tǒng)的狀態(tài)信息和操作，分析并判斷是否有違規(guī)行為。

3.5 數(shù)據(jù)安全

隨著企業(yè)數(shù)據(jù)體量不斷增大、種類不斷增多、結(jié)構(gòu)日趨復(fù)雜，而且越來越重要，為防止數(shù)據(jù)泄露、毀損、丟失、用戶個人信息泄露等風(fēng)險，需采用一些安全防護(hù)技術(shù)來確保數(shù)據(jù)的安全。

3.5.1 數(shù)據(jù)存儲與傳輸。企業(yè)對靜態(tài)存儲的重要工業(yè)數(shù)據(jù)進(jìn)行加密存儲，設(shè)置訪問控制功能，對動態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進(jìn)行加密傳輸，通過SSL保證網(wǎng)絡(luò)傳輸數(shù)據(jù)信息的機(jī)密性、完整性與可用性，保障維護(hù)管理過程的數(shù)據(jù)傳輸安全。使用VPN等方式進(jìn)行隔離保護(hù)，并根據(jù)風(fēng)險評估結(jié)果，建立和完善數(shù)據(jù)信息的分級分類管理制度。

3.5.2 數(shù)據(jù)訪問控制。通過部署防火墻、交換機(jī)等設(shè)備，將數(shù)據(jù)根據(jù)訪問邏輯劃分到不同的區(qū)域內(nèi)，使得不同區(qū)域之間的數(shù)據(jù)不可直接訪問，避免存儲節(jié)點(diǎn)的非授權(quán)接入，同時避免對數(shù)據(jù)的非授權(quán)訪問。

3.5.3 數(shù)據(jù)備份與恢復(fù)。通過部署存儲備份系統(tǒng)對關(guān)鍵業(yè)務(wù)數(shù)據(jù)，如設(shè)備運(yùn)行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等進(jìn)行定期備份，制定備份恢復(fù)策略，并確保備份的可計劃性和可操作性，有效防止信息泄露、毀損和丟失。當(dāng)發(fā)生數(shù)據(jù)丟失事故時，根據(jù)備份恢復(fù)策略，及時恢復(fù)一定時間前備份的數(shù)據(jù)，從而降低用戶的損失[3]。

4 結(jié)束語

隨著信息化、數(shù)字化發(fā)展進(jìn)程不斷深入，工業(yè)領(lǐng)域面臨的信息安全形勢日益緊迫。應(yīng)按照網(wǎng)絡(luò)安全等級保護(hù)基本要求，結(jié)合生產(chǎn)單位的工業(yè)控制系統(tǒng)現(xiàn)狀，從管理體系和技術(shù)防護(hù)體系兩方面進(jìn)行了安全體系建設(shè)，從物理安全、網(wǎng)絡(luò)與通信安全、設(shè)備與計算安全、應(yīng)用安全、數(shù)據(jù)安全五方面做好工控安全防護(hù)工作，切實(shí)提升工業(yè)控制系統(tǒng)信息安全防護(hù)水平，保障工業(yè)控制系統(tǒng)安全。