基于等保2.0的重點行業工控系統網絡安全防護策略研究

張 悅，荊 琛，衣 然

(1.國能信息技術有限公司，北京100080；2.華北計算機系統工程研究所，北京100083)

0 引言

隨著信息通信技術的高速發展，信息化與工業化深度融合，工控系統從封閉走向開放。在提高生產力的同時，工控系統由于自身的脆弱性和系統漏洞，給黑客入侵工控網絡提供了通道，并且，各種網絡病毒等也都潛在威脅著工業安全[1-5]。在兩化融合的大背景下，工控網絡的安全防護正面臨著嚴峻的挑戰。

1 工控系統網絡安全現狀

工控系統在建設之初，主要考慮實用性和可靠性，網絡中幾乎沒有任何針對外部攻擊和病毒感染的發現、防御手段[6-7]，當各種病毒、木馬等外部威脅進入廠區管理網、辦公網后，就可以直達現場控制層網絡，直接威脅到工業生產安全。

工控網絡目前主要面臨的安全風險有[8-12]：

(1)黑客攻擊風險

隨著網絡攻擊自動化、組織化、規模化的發展，掌握黑客技術的人員數量不斷增加，各類攻擊手段、策略和工具層出不窮，造成了網絡黑客的泛濫。

(2)網絡病毒傳播風險

網絡病毒是影響計算機網絡安全的威脅。目前，計算機網絡病毒的種類繁多，如2017年爆發的“永恒之藍”病毒等。黑客技術的發展，使得病毒的種類增加、破壞性增強。若工控網絡不具備病毒防護能力，會遭受網絡病毒的危害，可能造成信息被篡改、破壞和盜取等，甚至可能會造成網絡癱瘓，嚴重影響工控行業的發展。

我國《網絡安全法》第21條、59條明確了等級保護的必要性和重要性，網絡安全保障不力需要運營單位和個人承擔相應責任和處罰措施，落實等級保護制度已經上升到法律層面。同時國家相關部門對工控企業工控系統信息安全的重視程度不斷提高。煙草行業作為國民經濟的支柱產業之一，其卷煙廠在制絲、卷包、物流、動力能源等各個車間中大量使用工控系統，是重點工控行業[13]。以煙草行業為例，卷煙廠工控系統受到破壞后，輕則網絡癱瘓、停產停業，重則威脅到操作員的人身安全，會對社會秩序和公共利益造成嚴重損害。按等保2.0[14]中的三級防護能力要求對如圖1所示的某卷煙廠工控網絡進行安全評估，發現其風險等級為高，即網絡環境脆弱，存在高風險威脅，一旦發生網絡入侵將對企業產生較大的經濟影響，在一定范圍內給組織的經營和信譽造成損害。主要安全問題如下：

圖1 某卷煙廠工控網絡拓撲圖

(1)區域邊界方面

①各生產車間網絡邊界缺乏安全隔離和邊界防護。

②缺乏網絡攻擊監測手段，不能及時發現工控系統網絡內存在的安全隱患，以及病毒、木馬、DDoS、掃描、SQL注入、XSS、緩沖區溢出、欺騙劫持等攻擊行為。

(2)計算環境方面

①主機設備缺乏移動介質管控措施，存在接入移動介質(如U盤、移動硬盤、智能手機、光盤等)引入病毒、木馬的風險。

②主機系統安全漏洞難以修復，由于工業控制系統高可用性的特點，主機設備升級需要進行兼容性測試，未經測試升級可能會導致業務端口沖突，造成系統運行故障，故工控系統不能輕易進行更新，存在大量漏洞。

(3)管理中心方面

①缺乏集中運維與監管，不能對所有工控安全防護設備及系統的運行狀況、安全策略、惡意代碼、補丁升級、安全審計等進行集中式的分析與管控。

②缺乏設備行為的審計措施，不能對各類工控安全設備、工控網絡設備、主機、數據庫等系統設備的運行日志、操作記錄進行收集、分析，在發生事故后，難以實現事故分析和原因追溯。

2 安全防護策略設計

2.1 安全防護策略核心思想

針對工控系統缺乏技術防護手段應對網絡攻擊這一問題，本文提出了一種防護策略，其核心思想如下：

(1)區域隔離：通過工業防火墻進行區域隔離，對不同系統網段的訪問通信進行細粒度設置，通過策略最小化設置限制生產網橫向的非預期通信。

(2)監測預警：對生產網絡中的流量進行特征匹配，及時發現異常流量并進行預警。

(3)終端加固：應用白名單技術，在系統正常運行階段進行機器學習，形成進程運行的白名單，限制其他非預期的程序運行，同時可以修改主機注冊表，限制移動介質的識別與自啟動，防止移動介質的擺渡攻擊。

(4)集中管控，聯防聯控：通過入侵監測、預警、審計，實現對安全事件的集中分析，結合應急方案形成快速處置方法，聯合工控防火墻、主機白名單等安全防護措施進行聯動，控制安全事件的發生與蔓延[15]。

(5)審計溯源：通過收集、分析各類工控設備、主機、數據庫等的日志記錄，實現異常報警、事故分析和原因追溯。

2.2 安全防護政策部署——以某卷煙廠為例

通過部署工業防火墻、工控入侵檢測系統、工控監測分析預警系統、工控日志審計系統、工控數據庫審計系統、工控主機加固軟件、工控運維審計系統，實現各車間網絡的區域分離、監測預警、終端加固、審計溯源、集中管控、聯防聯控，完善工控系統安全體系框架，提高工控網絡的安全系數。以上文提到的某卷煙廠工控網絡為例，圖2為其完成安全防護策略實際應用部署的示意圖，詳細部署如下。

圖2 某卷煙廠工控網絡安全防護策略示意圖

2.2.1 區域邊界方面

(1)區域隔離

在制絲、卷包、物流、動力能源等各個車間的接入交換機與匯聚交換機之間部署工控防火墻，實現生產網絡各區域的安全邏輯隔離和邊界防護，避免生產區域之間的越權訪問，防止病毒、蠕蟲等惡意代碼擴散和入侵攻擊。通過部署、調試工控防火墻，根據業務需求進行策略最小化配置，用于分區分域，過濾非授權訪問，保證只有授權的通信鏈接才允許通過。

(2)監測預警

監測類設備主要包括工控入侵檢測系統、工控監測分析預警系統。監測工控網絡異常流量，及時發現工控網絡各層面安全隱患以及病毒、蠕蟲、木馬、DDoS、掃描、SQL注入、XSS、緩沖區溢出、欺騙劫持等攻擊行為，形成綜合預警和態勢感知的能力。

2.2.2 計算環境方面

工控主機加固軟件既可防止終端被移動介質，如U盤、移動硬盤、智能手機、光盤等，帶入的病毒木馬入侵，還能通過在網絡內部主機中依據程序特征建立操作系統運行的白環境，禁止非授信程序運行，解決操作系統因無法升級補丁帶來的安全問題，保證系統的穩定運行。區別于傳統的殺毒軟件，計算環境的終端加固不依賴于特征庫，不用頻繁升級，適配于不能及時進行更新的工控環境。

(1)建立白名單庫

通過快速磁盤檢索機制全盤掃描篩選信任程序、快速建立白名單信任庫，創建本地白名單信任庫。

(2)啟動防護

系統初始時掃描exe后綴的可執行程序，以及dll、sys、ocx、bat、vbs等所有pe格式的文件與腳本文件。采集這些文件的路徑名稱、數字證書信息、數字證書完整性、公司名稱、版本信息、PE頭信息、文件的SM3哈希值。通過這些信息組合的條件校驗這些文件是否可以被執行。

(3)外設防護

配置外設防護策略，檢測移動外部設備的使用情況。支持U盤白名單設置，只允許指定的U盤插入并產生記錄。

2.2.3 管理中心方面

(1)集中管理，聯防聯控

部署工控運維審計系統對所有工控安全防護設備及系統進行統一管理、分析，降低運維管理成本。開啟互聯網連接預警，在互聯網連接狀態發生改變時產生報警，可有效防止私自使用無線設備上網導致的信息外露事件。在監測類設備發現異常流量、入侵行為后，聯合工控防火墻、主機白名單等安全防護措施設置相應策略，阻擋攻擊行為，控制安全事件的發生與蔓延。

(2)審計溯源

審計類設備主要包括工控日志審計系統、工控數據庫審計系統、工控運維審計系統以及制絲、卷包、物流、動力能源等各個車間部署的日志探針。收集各類工控安全設備、工控網絡設備、主機、數據庫等系統設備的運行日志、操作記錄，分析和處理后及時通知管理人員，從而達到預防、事故分析和原因追溯的目的。

3 安全防護策略驗證

對實現了工控網絡安全防護策略實際應用部署的卷煙廠進行安全測評，其在技術層面的主要驗證結果如下：

(1)區域邊界防護驗證

生產網通過部署工控防火墻，合理設置策略。通過辦公網對生產網內系統進行滲透測試，發現僅在應用層面存在點擊劫持、配置文件信息泄露兩個低危漏洞，無法繞過工控防火墻對系統內部進行深入利用。

(2)終端加固驗證

選擇某臺工作站關閉USB封閉功能，將惡意腳本拷入U盤中接入工作站，點擊運行，發現惡意腳本無法執行，其進程無法啟動，被白名單軟件攔截。

(3)審計溯源驗證

對系統進行配置更改，查詢工控日志審計系統、工控運維審計系統，能夠展示時間和日期、用戶、操作詳情等重要信息，形成審計記錄，供審計員對安全事件進行分析與責任追溯。

(4)內網滲透驗證

通過內部接入交換機進行網絡掃描，入侵檢測系統、工控監測分析預警系統形成告警日志，并提示網絡安全員對事件及時處置。

完成系統的加固部署后，對生產系統再次按等保2.0中的三級防護能力要求進行安全評估，發現其風險等級由高降為低，不存在中高風險問題，證明了該安全防護策略的有效性。

4 結論

本文依據等保2.0相關標準，針對工控系統缺乏技術防護手段應對網絡攻擊行為這一問題，提出了可實現區域分離、監測預警、終端加固、審計溯源、集中管控、聯防聯控的整體防護策略，有助于管理人員及時發現安全事件，快速做出響應處置，提高工控系統網絡安全防護能力。且已在某卷煙廠完成了實際應用部署、試運行及安全測評，證明了該防護策略的可用性、有效性，為工控系統提供了良好的安全防護案例。