◆楊 冰 周玉前 謝 超

車間工控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)措施

◆楊 冰 周玉前 謝 超

（上海航天精密機(jī)械研究所 上海 201600）

工控系統(tǒng)網(wǎng)絡(luò)安全是企業(yè)工控系統(tǒng)建設(shè)的重要基礎(chǔ)，工控系統(tǒng)安全漏洞會(huì)嚴(yán)重制約企業(yè)信息化發(fā)展。本文通過研究工控系統(tǒng)網(wǎng)絡(luò)安全面臨的威脅，闡述工控系統(tǒng)的網(wǎng)絡(luò)安全要求，并提出針對車間生產(chǎn)環(huán)境下具體的、全面的工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施。

工控系統(tǒng)；網(wǎng)絡(luò)安全；防護(hù)

隨著信息化和工業(yè)化的高速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)越來越多地被應(yīng)用到工業(yè)控制系統(tǒng)（簡稱公開系統(tǒng)）中，工控系統(tǒng)從“信息孤島”向網(wǎng)絡(luò)化、集成化模式發(fā)展已成必然的趨勢，在推動(dòng)了工業(yè)化進(jìn)程的同時(shí)，也帶來了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題。工業(yè)控制系統(tǒng)安全不僅是一個(gè)技術(shù)問題，更是一個(gè)管理問題，美國ICS-CERT報(bào)告顯示，出現(xiàn)工控安全事件排在前三位的行業(yè)分布是：能源、關(guān)鍵制造業(yè)、交通，可以說，加強(qiáng)工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)是工控系統(tǒng)建設(shè)的重要基礎(chǔ)。

本文以生產(chǎn)車間工控系統(tǒng)安全防范作為切入點(diǎn)，詳細(xì)闡述如何提高生產(chǎn)車間工控系統(tǒng)的網(wǎng)絡(luò)安全。

1 工控系統(tǒng)網(wǎng)絡(luò)安全形勢分析

目前越來越多的工控系統(tǒng)暴露于互聯(lián)網(wǎng)上，導(dǎo)致針對關(guān)鍵設(shè)施工控系統(tǒng)的安全漏洞快速增長，嚴(yán)重地制約了企業(yè)信息化和智能化的發(fā)展進(jìn)程，而且國內(nèi)工控系統(tǒng)在信息系統(tǒng)安全相關(guān)領(lǐng)域研究相對滯后，各方面設(shè)施剛剛起步，對于工控系統(tǒng)攻擊事件的應(yīng)對能力有限，對漏洞風(fēng)險(xiǎn)的研究不夠全面，缺乏完善的網(wǎng)絡(luò)安全防范措施。工控系統(tǒng)安全問題的包括關(guān)鍵基礎(chǔ)設(shè)施安全、系統(tǒng)計(jì)算環(huán)境安全和工業(yè)網(wǎng)絡(luò)安全。

尤其是軍工企業(yè)，在面對市場化競爭的壓力下，研究工控系統(tǒng)安全體系架構(gòu)，可以從根本上解決工控系統(tǒng)缺乏安全性設(shè)計(jì)的先天缺陷并保證系統(tǒng)的本質(zhì)安全。

2 工控系統(tǒng)的信息安全要求

工控系統(tǒng)已經(jīng)不再是發(fā)展之初那種相對封閉和獨(dú)立的系統(tǒng)了，其于傳統(tǒng)IT信息安全的區(qū)別主要包含以下幾點(diǎn)：

2.1 入侵攻擊方式多樣化

工控系統(tǒng)結(jié)構(gòu)相對固定、形式多樣化，但是接入的信息設(shè)備多、網(wǎng)絡(luò)通信方式多樣化。

2.2 有組織的攻擊

入侵工控系統(tǒng)的漏洞多是高級漏洞，防范難度大，具有較大的破壞性，這類組織多是有詳細(xì)的策劃和科學(xué)的分工，攻擊形式更加專業(yè)化BM算法的移動(dòng)距離為好后綴機(jī)制和壞字符機(jī)制的最大值。

2.3 安全優(yōu)先級

傳統(tǒng)IT信息安全將保密性放在首位，防止信息盜取，而工控系統(tǒng)首要考慮的是系統(tǒng)部件的可用性，因?yàn)檫@直接影響到企業(yè)生產(chǎn)效益。

傳統(tǒng)信息安全的系統(tǒng)更新頻率和軟件補(bǔ)丁方式不再適用于工控系統(tǒng)，在工業(yè)應(yīng)用環(huán)境下，停機(jī)更新系統(tǒng)的成本很高。因此，需要應(yīng)用一系列的網(wǎng)絡(luò)安全防范措施來保護(hù)工控系統(tǒng)。

3 車間生產(chǎn)工控系統(tǒng)防護(hù)方案

根據(jù)場所實(shí)際情況，本文針對性地提出車間工業(yè)控制網(wǎng)絡(luò)安全防護(hù)方案，如圖1所示車間工控網(wǎng)絡(luò)架構(gòu)示意圖。

該生產(chǎn)車間工業(yè)控制網(wǎng)絡(luò)主要部署DNC服務(wù)器、MDC服務(wù)器以及生產(chǎn)數(shù)據(jù)備份服務(wù)器，并采用接入控制、服務(wù)器主機(jī)審計(jì)、非法外聯(lián)、病毒木馬防護(hù)、工控防火墻、工控安全審計(jì)系統(tǒng)、工控安全管理平臺、工控風(fēng)險(xiǎn)智能感知系統(tǒng)、工控主機(jī)防護(hù)系統(tǒng)等技術(shù)手段對工控網(wǎng)進(jìn)行安全防護(hù)。

圖1 車間工控網(wǎng)絡(luò)架構(gòu)示意圖

3.1 安全區(qū)劃分

該工控網(wǎng)絡(luò)按照功能和重要性等因素不同，劃分為4個(gè)安全區(qū)，分別為數(shù)控加工區(qū)、計(jì)量測試區(qū)、工控服務(wù)器區(qū)以及安全管理區(qū)等4個(gè)安全區(qū)。

（1）數(shù)控加工區(qū)

數(shù)控加工區(qū)涵蓋各個(gè)部門廠房內(nèi)的數(shù)控機(jī)床。

（2）測試設(shè)備區(qū)

測試設(shè)備涵蓋靜力試驗(yàn)、拉伸試驗(yàn)、硬度試驗(yàn)、沖擊試驗(yàn)、線纜測試、電阻測試、化學(xué)分析試驗(yàn)、無損檢測、低差壓鑄造、熱處理、焊接系統(tǒng)等多種類型的工控設(shè)備及其上位機(jī)。

（3）工控服務(wù)器區(qū)

在組網(wǎng)設(shè)計(jì)時(shí)，考慮到應(yīng)用服務(wù)的安全，把應(yīng)用服務(wù)器、數(shù)據(jù)服務(wù)器等集中部署在工控服務(wù)器區(qū)中，集中統(tǒng)一管理。

在安全管理區(qū)集中部署安全系統(tǒng)設(shè)備以及安全運(yùn)維終端，感知工業(yè)控制網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)備的運(yùn)行狀態(tài)，收集、存儲與分析安全告警事件，并結(jié)合自動(dòng)生成的組網(wǎng)拓?fù)浣Y(jié)構(gòu)，進(jìn)行安全事件關(guān)聯(lián)分析與統(tǒng)一處置，提高安全管理的時(shí)效性與統(tǒng)一性，實(shí)現(xiàn)工控網(wǎng)安全的風(fēng)險(xiǎn)感知與集中管理功能。

其中，工控安全管理平臺負(fù)責(zé)對工控安全監(jiān)測與審計(jì)系統(tǒng)、工控防火墻等安全設(shè)備進(jìn)行統(tǒng)一配置隔離。工控風(fēng)險(xiǎn)智能感知系統(tǒng)通過終端探測器主動(dòng)感知工業(yè)控制網(wǎng)內(nèi)存在的安全風(fēng)險(xiǎn)，配合安全管理平臺實(shí)現(xiàn)安全風(fēng)險(xiǎn)的有效管控。

在安全管理區(qū)部署工控漏洞發(fā)現(xiàn)與挖掘系統(tǒng)，在工控系統(tǒng)設(shè)備采購上線前，對工控安全系統(tǒng)采購上線前，對工控網(wǎng)絡(luò)中運(yùn)行的系統(tǒng)與控制器，在檢修與離線狀態(tài)下，可通過工控漏洞挖掘系統(tǒng)對被檢測設(shè)備進(jìn)行安全漏洞檢查，不僅可實(shí)時(shí)發(fā)現(xiàn)存在的已知漏洞，還可對未知漏洞進(jìn)行挖掘，以找到系統(tǒng)存在的安全漏洞風(fēng)險(xiǎn)，為后續(xù)加固提供數(shù)據(jù)支撐。

3.2 網(wǎng)絡(luò)邊界防護(hù)

在工控網(wǎng)絡(luò)邊界部署1臺防火墻進(jìn)行邊界隔離與防護(hù)，設(shè)置采用雙向最小授權(quán)策略設(shè)置訪問規(guī)則。限制工藝設(shè)計(jì)人員、工藝管理人員、車間操作人員的用戶終端以及安全隔離與信息單向?qū)胂到y(tǒng)對工控業(yè)務(wù)系統(tǒng)服務(wù)器的非授權(quán)訪問，嚴(yán)格設(shè)置源IP地址、目的IP地址、通信端口和通信協(xié)議等白名單策略；嚴(yán)格限制工控網(wǎng)絡(luò)中各類終端和服務(wù)器對安全隔離與單向?qū)胂到y(tǒng)中的采集服務(wù)器的非授權(quán)訪問。

3.3 區(qū)域訪問控制

在工控網(wǎng)絡(luò)核心交換機(jī)下方部署一臺工控防火墻，集中管控?cái)?shù)控機(jī)床和工控設(shè)備，設(shè)置通用訪問策略，盡量控制最小授權(quán)訪問，并采用白名單機(jī)制。

工控安全管理區(qū)和工控服務(wù)器區(qū)內(nèi)的設(shè)備采用交換機(jī)劃分到不同的VLAN中，同時(shí)在交換機(jī)上設(shè)置訪問控制策略限制服務(wù)器VLAN之間的訪問；工業(yè)生產(chǎn)區(qū)的數(shù)控機(jī)床、工業(yè)控制設(shè)備按照設(shè)備類型、功能特點(diǎn)劃分為不同的VLAN，通過三層路由交換機(jī)訪問控制列表限定各個(gè)車間/測試間的設(shè)備VLAN只能訪問指定的工控業(yè)務(wù)系統(tǒng)服務(wù)器，除非白名單策略允許，一般禁止各個(gè)車間/測試間的工控設(shè)備VLAN之間相互訪問。

數(shù)控加工區(qū)設(shè)置在同一虛擬局域網(wǎng)中，統(tǒng)一接入到匯聚交換機(jī)，然后在工控防火墻上劃分專門安全域，設(shè)置IP地址、端口以及nc文件等白名單策略對數(shù)控機(jī)床進(jìn)行集中防護(hù)。

3.就業(yè)市場不規(guī)范，存在著不公平現(xiàn)象。近年來，隨著貧富差距加大的趨勢日趨嚴(yán)重，“拼爹”現(xiàn)象越來越盛行，人們普遍感到改變命運(yùn)的渠道越來越窄，這一現(xiàn)象導(dǎo)致了許多平凡家庭出身和貧困家庭出身的大學(xué)畢業(yè)生在找工作時(shí)受到不公平的對待，是否是城鄉(xiāng)性質(zhì)的戶口對畢業(yè)生的就業(yè)有著很大影響。藍(lán)皮書中數(shù)據(jù)顯示，截止 2013 年 9 月底， 來自城市家庭的本科畢業(yè)生的就業(yè)率是87.7%，而來自農(nóng)村家庭的本科畢業(yè)生的就業(yè)率則只有 69.5%。

測試設(shè)備區(qū)內(nèi)，工控設(shè)備上位機(jī)的上行通信數(shù)據(jù)以各類型文件為主，下行通信主要為小流量的結(jié)構(gòu)化數(shù)據(jù)，工控設(shè)備統(tǒng)一接入到匯聚交換機(jī)，然后在工控防火墻上劃分工控設(shè)備安全域，在安全域內(nèi)針對上下行數(shù)據(jù)的各自特征，設(shè)置對應(yīng)的安全防護(hù)策略。

3.4 邊界病毒防護(hù)

在企業(yè)內(nèi)網(wǎng)與工業(yè)控制網(wǎng)絡(luò)之間部署安全隔離與信息單向?qū)胂到y(tǒng)，安全隔離與信息單向?qū)胂到y(tǒng)集成了專業(yè)的第三方病毒查殺軟件，實(shí)現(xiàn)了對跨域病毒、木馬等惡意代碼的防護(hù)。

對于包含病毒、木馬的數(shù)據(jù)，安全隔離與信息單向?qū)胂到y(tǒng)會(huì)立即終止數(shù)據(jù)的單向同步，并清除病毒文件、進(jìn)行日志告警。

安全隔離與信息單向?qū)胂到y(tǒng)的防病毒軟件病毒庫由系統(tǒng)管理員進(jìn)行定期升級，同時(shí)保證能夠?qū)?shù)據(jù)包的實(shí)時(shí)監(jiān)控，防止病毒或惡意代碼通過網(wǎng)絡(luò)在企業(yè)內(nèi)網(wǎng)、工業(yè)控制網(wǎng)絡(luò)之間進(jìn)行傳播。

3.5 安全綜合審計(jì)

在工控網(wǎng)核心交換機(jī)旁路部署1臺工控安全審計(jì)系統(tǒng)，基于工業(yè)協(xié)議的深度解析，利用白名單與人工智能學(xué)習(xí)技術(shù)，基于集成的工業(yè)漏洞庫，實(shí)現(xiàn)對工業(yè)網(wǎng)絡(luò)中的各種應(yīng)用行為、內(nèi)容進(jìn)行合規(guī)性檢查與審計(jì)，同時(shí)也可細(xì)粒度地對違規(guī)操作、非法訪問、各種入侵行為進(jìn)行實(shí)時(shí)發(fā)現(xiàn)、審計(jì)與告警，配合工控防火墻的部署安全策略調(diào)整，實(shí)現(xiàn)對工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)。

在3個(gè)安全分區(qū)匯聚交換機(jī)分別旁路部署1臺工控安全審計(jì)系統(tǒng)，詳細(xì)記錄過程控制系統(tǒng)和HMI對現(xiàn)場控制設(shè)備的操作過程，快速識別出處系統(tǒng)存在的非法操作、異常事件、外部攻擊并實(shí)時(shí)告警，并且為安全防御提供策略建議。

3.6 工控安全設(shè)備管理

在安全管理區(qū)部署工控安全管理平臺，用于統(tǒng)一管理、監(jiān)管、保護(hù)工業(yè)控制網(wǎng)絡(luò)安全的硬件平臺產(chǎn)品。工控防火墻、工控安全審計(jì)系統(tǒng)等均直接納入到安全監(jiān)管平臺中進(jìn)行統(tǒng)一管理，實(shí)現(xiàn)統(tǒng)一策略配置管理等。

4 風(fēng)險(xiǎn)管理

在安全管理區(qū)部署工控風(fēng)險(xiǎn)職能感知系統(tǒng)管理平臺實(shí)現(xiàn)全網(wǎng)攻擊路徑分析、網(wǎng)絡(luò)結(jié)構(gòu)安全性分析、網(wǎng)絡(luò)行為分析、業(yè)務(wù)流程安全性分析、安全漏洞匹配，對用戶工業(yè)控制網(wǎng)絡(luò)執(zhí)行全面安全分析，提供風(fēng)險(xiǎn)評估報(bào)告。

5 網(wǎng)絡(luò)設(shè)備安全防護(hù)

為了防止數(shù)據(jù)在傳輸過程中發(fā)生泄漏或者被非法獲取，數(shù)控接入部分的網(wǎng)絡(luò)交換機(jī)采取以下安全防護(hù)措施：

5.1 設(shè)備安全

數(shù)控接入部分的網(wǎng)絡(luò)交換機(jī)放置在數(shù)控車間的機(jī)柜中，數(shù)控車間有視頻監(jiān)控系統(tǒng)，機(jī)柜帶有機(jī)械鎖，要是由系統(tǒng)管理員保管。

5.2 身份鑒別

為交換機(jī)設(shè)置遠(yuǎn)程和本地登錄設(shè)置符合要求的口令，口令設(shè)置大于等于10位，大小寫字母、數(shù)字和特殊字符兩者以上的組合。

遠(yuǎn)程和本地登錄口令采用加密存儲措施；閑置操作時(shí)間超過5分鐘，斷開連接。

5.3 設(shè)備接入控制

采用設(shè)備接入控制系統(tǒng)；同時(shí)將交換機(jī)端口與工控網(wǎng)絡(luò)的MAC地址進(jìn)行綁定，未使用的交換接口均采取邏輯關(guān)閉、物理斷開等安全控制措施。

5.4 訪問控制

將工控網(wǎng)絡(luò)單獨(dú)劃分VLAN，并設(shè)置訪問控制策略，限制各個(gè)工控網(wǎng)絡(luò)VLAN只允許訪問與自身業(yè)務(wù)關(guān)聯(lián)的工控服務(wù)器，禁止對其他VLAN訪問。

5.5 安全審計(jì)

為數(shù)控加工區(qū)域的網(wǎng)絡(luò)交換機(jī)設(shè)置日志服務(wù)器，定期對交換機(jī)日志進(jìn)行審計(jì)。

6 結(jié)束語

工控系統(tǒng)安全是關(guān)系企業(yè)戰(zhàn)略發(fā)展的重大問題，在當(dāng)前新形勢下，如何建設(shè)工控系統(tǒng)，防護(hù)來自內(nèi)部以及外部的惡意攻擊等安全威脅，是網(wǎng)絡(luò)信息安全領(lǐng)域面臨的重大挑戰(zhàn)，本文在詳細(xì)分析了工控系統(tǒng)安全風(fēng)險(xiǎn)的基礎(chǔ)上，從管理和技術(shù)兩方面，提出了全面、詳細(xì)的生產(chǎn)車間工控系統(tǒng)安全防護(hù)的具體實(shí)施方案。該方案可以有效提高制造型企業(yè)的工控系統(tǒng)安全，為企業(yè)建設(shè)工控安全體系提供有益參考。

[1]王文宇，劉玉紅.工控系統(tǒng)安全威脅分析及防護(hù)研究[J].信息安全與通信保密，2012（2）：33-35.

[2]李佳瑋，郝悍勇，李寧輝.工業(yè)控制系統(tǒng)信息安全防護(hù)[J].中國電力，2015，48（10）：139-143.

[3]張劍.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全[M].成都：電子科技大學(xué)出版社，2017：88-89．

[4]劉威，李冬，孫波.工業(yè)控制系統(tǒng)安全分析[J].信息網(wǎng)絡(luò)安全，2012（08）：41-43.

[5]王孝良，崔保紅，李思其，等.關(guān)于工控系統(tǒng)信息安全的思考與建議[J].信息網(wǎng)絡(luò)安全，2012，18（11）：11-17.

[6]馬顏軍，張宇.大數(shù)據(jù)時(shí)代下的信息安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（12）：140-144.