王珂

（山東維平信息安全測評技術(shù)有限公司 山東省濟南市 250101）

工業(yè)控制系統(tǒng)是我國能源、交通、水電、制造、軍工等國家關(guān)鍵行業(yè)的重要基礎(chǔ)設(shè)施，與生產(chǎn)過程息息相關(guān)，稍有不慎就會影響到生產(chǎn)安全、生命安全甚至是國家安全。隨著工業(yè)4.0 和中國制造2025 的不斷推進，越來越多的工控系統(tǒng)擁抱互聯(lián)網(wǎng)絡(luò)，越來越多的人工操作被工業(yè)自動化所取代。但是與傳統(tǒng)信息系統(tǒng)相比，工業(yè)控制系統(tǒng)具有更加復(fù)雜的網(wǎng)絡(luò)架構(gòu)、更多的層級組件和更加特殊的專用協(xié)議，從而導(dǎo)致工控系統(tǒng)的安全防護難度極大。此外，企業(yè)對工控網(wǎng)絡(luò)安全的重視程度不夠，防護手段缺失，人員安全意識薄弱等問題也使得工控系統(tǒng)面臨著巨大的安全風(fēng)險。

近年來，工控系統(tǒng)暴露出的漏洞越來越多，針對工控系統(tǒng)的攻擊事件也頻頻發(fā)生。自2010年起，“震網(wǎng)（Stuxnet）”、“毒區(qū)（Duqu）”、“火焰（Flame）”、勒索病毒等惡意代碼已經(jīng)給全球諸多工控網(wǎng)絡(luò)造成了巨大的損失。除此之外，境內(nèi)外敵對勢力和黑客組織針對工控系統(tǒng)的攻擊也愈演愈烈，全球多個APT 攻擊組織也將攻擊目標(biāo)從政治、軍事、外交等領(lǐng)域，轉(zhuǎn)向工控產(chǎn)業(yè)和關(guān)鍵信息基礎(chǔ)設(shè)施。面對如此嚴峻的國際形勢，如何在第一時間發(fā)現(xiàn)侵入系統(tǒng)的安全風(fēng)險，感知核心網(wǎng)絡(luò)及關(guān)鍵設(shè)施的安全態(tài)勢，構(gòu)建縱深防御的網(wǎng)絡(luò)安全防護體系，已經(jīng)成為確保工控系統(tǒng)安全、平穩(wěn)運行的當(dāng)務(wù)之急。本文以典型工業(yè)控制系統(tǒng)架構(gòu)為例，分析當(dāng)前工控系統(tǒng)存在的主要安全問題，并圍繞這些問題提出工控系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)方案。

1 工業(yè)控制系統(tǒng)現(xiàn)狀

1.1 工業(yè)控制系統(tǒng)層次模型

根據(jù)《網(wǎng)絡(luò)安全等級保護基本要求》[1]給出的工業(yè)控制系統(tǒng)層次模型，工控系統(tǒng)從下到上分為5 個層級，分別是現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層、生產(chǎn)管理層和企業(yè)資源層。如圖1 所示。

其中L0 層是現(xiàn)場設(shè)備層，主要包含各種傳感器等儀器儀表以及開關(guān)閥門等執(zhí)行機構(gòu)，通過RS-232、RS-485 等接口進行通信。L1 層是現(xiàn)場控制層，主要通過DCS、PLC 控制單元、RTU（遠程終端單元）等對現(xiàn)場設(shè)備進行控制。L2 層是過程監(jiān)控層，主要通過SCADA 系統(tǒng)實現(xiàn)生產(chǎn)過程的數(shù)據(jù)采集和監(jiān)視控制。L3 層是生產(chǎn)管理層，主要通過MES（制造執(zhí)行系統(tǒng)）為企業(yè)提供包括制造數(shù)據(jù)管理、計劃排程管理、生產(chǎn)調(diào)度管理等功能。以上4 層屬于工業(yè)控制網(wǎng)絡(luò)，其中L1、L2、L3 層通常采用工業(yè)以太網(wǎng)連接。L4 層是企業(yè)資源層，該層一般為傳統(tǒng)信息網(wǎng)絡(luò)，采用以太網(wǎng)技術(shù)進行通信，主要用于為企業(yè)決策層及員工提供決策運行手段。

1.2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀

目前，大多數(shù)工業(yè)控制系統(tǒng)都缺乏必要的安全防護，很多工控系統(tǒng)與互聯(lián)網(wǎng)直接相連，而工控系統(tǒng)的責(zé)任單位一般為生產(chǎn)部門，與信息部門相比，存在工控網(wǎng)絡(luò)安全專業(yè)人員配備不足、安全意識不到位、防護手段缺失等問題。綜合來看，工控系統(tǒng)面臨的安全風(fēng)險主要表現(xiàn)在以下幾個方面：

1.2.1 網(wǎng)絡(luò)架構(gòu)設(shè)計不合理

圖1：典型工業(yè)控制系統(tǒng)層級結(jié)構(gòu)及主要功能

圖2：典型工業(yè)控制系統(tǒng)安全防護技術(shù)方案

隨著兩化融合的不斷深入，工業(yè)控制系統(tǒng)需要將生產(chǎn)數(shù)據(jù)傳送給傳統(tǒng)信息網(wǎng)絡(luò)，為企業(yè)決策層人員提供數(shù)據(jù)支撐。然而很多企業(yè)為圖方便，直接將工控系統(tǒng)與企業(yè)其它系統(tǒng)進行連接，導(dǎo)致傳統(tǒng)信息網(wǎng)絡(luò)的攻擊手段得以在工控網(wǎng)絡(luò)中蔓延，黑客也可以通過互聯(lián)網(wǎng)直接入侵工控網(wǎng)絡(luò)，實施惡意破壞。

此外，工控系統(tǒng)內(nèi)部沒有根據(jù)業(yè)務(wù)和功能的不同進行必要的安全區(qū)域劃分及隔離，如果工控系統(tǒng)的某一點出現(xiàn)惡意代碼侵入事件，將導(dǎo)致惡意代碼在整個工控網(wǎng)絡(luò)中蔓延、傳播。

1.2.2 通信協(xié)議存在風(fēng)險

大多數(shù)工控協(xié)議在設(shè)計之初僅考慮了實時性和可靠性，對安全性的考慮則有所欠缺。例如很多工控協(xié)議都存在沒有認證機制、缺乏授權(quán)和訪問控制，數(shù)據(jù)明文傳輸?shù)葐栴}。黑客可以針對工控協(xié)議發(fā)起網(wǎng)絡(luò)攻擊，并通過修改功能碼等方式，直接向PLC 或RTU 發(fā)送各種控制指令，甚至是惡意代碼。

1.2.3 訪問控制力度不足

很多工控系統(tǒng)在與企業(yè)其它系統(tǒng)的網(wǎng)絡(luò)邊界處缺少必要的安全隔離和訪問控制手段，在工控系統(tǒng)內(nèi)部各個安全域的邊界處也不具備訪問控制能力。此外，在使用撥號訪問和無線通信連接工控網(wǎng)絡(luò)時，也缺乏必要的身份鑒別、訪問控制機制，導(dǎo)致工控網(wǎng)絡(luò)的訪問控制能力嚴重不足，安全態(tài)勢日趨嚴峻。

1.2.4 主機防護能力薄弱

近年來，針對工控系統(tǒng)的惡意代碼攻擊層出不窮，給各行業(yè)工控系統(tǒng)都帶來了致命的破壞。然而，大多數(shù)工控系統(tǒng)因為工程師站、操作員站等上位機設(shè)備的CPU、內(nèi)存資源配備不足，以及傳統(tǒng)殺毒軟件存在工控程序誤殺誤報和病毒庫更新不及時等客觀情況，沒有在工控主機上安裝惡意代碼防護軟件，導(dǎo)致工控系統(tǒng)針對惡意代碼缺乏有效的防御手段。

1.2.5 監(jiān)測審計功能缺失

從各種流量、日志記錄中分析當(dāng)前網(wǎng)絡(luò)安全情況，實時監(jiān)測網(wǎng)絡(luò)中各類設(shè)備的運行狀態(tài)，是保障工控網(wǎng)絡(luò)能夠長久安全運行的基礎(chǔ)。然而很多工控系統(tǒng)并不具備網(wǎng)絡(luò)安全監(jiān)測能力，根本無法識別針對工控協(xié)議發(fā)起的網(wǎng)絡(luò)攻擊行為。甚至，部分工控系統(tǒng)連安全審計功能都不具備，一旦出現(xiàn)安全問題，無法根據(jù)審計記錄開展日志分析和安全溯源等工作。

2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)方案

2.1 網(wǎng)絡(luò)安全防護技術(shù)方案拓撲結(jié)構(gòu)

當(dāng)前，等級保護2.0 各項標(biāo)準陸續(xù)頒布并實施，為工控系統(tǒng)的安全建設(shè)、等保測評和安全整改等工作指明了方向。按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”[2]的原則規(guī)劃合理的網(wǎng)絡(luò)架構(gòu)，構(gòu)建系統(tǒng)邊界、網(wǎng)絡(luò)通信、主機防護全覆蓋的“白名單”信任機制，搭配最優(yōu)的安全策略配置，形成完備的網(wǎng)絡(luò)安全防護體系，是當(dāng)下工控系統(tǒng)網(wǎng)絡(luò)安全防護的首選技術(shù)方案。如圖2 所示。

2.2 網(wǎng)絡(luò)安全防護技術(shù)方案主要內(nèi)容

2.2.1 進行安全區(qū)域劃分

按照分區(qū)分域的原則，將工控系統(tǒng)分為辦公管理和生產(chǎn)控制兩個區(qū)，辦公管理區(qū)為傳統(tǒng)信息網(wǎng)絡(luò)，生產(chǎn)控制區(qū)為工業(yè)控制網(wǎng)絡(luò)。在兩個網(wǎng)絡(luò)的邊界處部署工控單向隔離網(wǎng)閘進行安全隔離。在生產(chǎn)控制區(qū)內(nèi)部按照要求劃分多個邏輯安全域，如：生產(chǎn)管理區(qū)、過程控制區(qū)、場站1 區(qū)、場站2 區(qū)、現(xiàn)場控制區(qū)等，不同的安全域之間部署工控防火墻進行訪問控制。

2.2.2 部署入侵防范手段

在核心交換等關(guān)鍵網(wǎng)絡(luò)節(jié)點處部署工控安全監(jiān)測與審計系統(tǒng)，對各種基于工業(yè)控制協(xié)議的通信報文進行深度解析，對用戶的違規(guī)操作、惡意代碼的傳播以及網(wǎng)絡(luò)中針對工業(yè)協(xié)議發(fā)起的攻擊行為進行實時檢測，并在發(fā)現(xiàn)問題時及時進行報警。

2.2.3 細化訪問控制策略

在工控系統(tǒng)中，生產(chǎn)控制區(qū)一般遵循只讀且不可寫的原則，即生產(chǎn)控制區(qū)的各種生產(chǎn)數(shù)據(jù)原則上只能單向傳遞給企業(yè)其它系統(tǒng)，而其他系統(tǒng)不能向工控系統(tǒng)傳遞控制指令和數(shù)據(jù)?；诖嗽瓌t配置工控系統(tǒng)邊界訪問控制策略，可以大大減少通過傳統(tǒng)信息網(wǎng)絡(luò)對工控系統(tǒng)發(fā)起的攻擊行為。

此外，各安全域間應(yīng)部署工控專用防護墻，實現(xiàn)對各種工控協(xié)議的識別和解析，在配置訪問控制策略時應(yīng)采用白名單模式，僅允許指定工控協(xié)議和服務(wù)通過，其他通信默認全部拒絕，最大限度的保護工控網(wǎng)絡(luò)內(nèi)部各區(qū)域之間的數(shù)據(jù)及控制指令不被非法訪問、竊取或篡改。

2.2.4 加強主機安全防護

針對工程師站、操作員站等設(shè)備，采用業(yè)內(nèi)主流的工控主機安全防護系統(tǒng)進行安全防護，通過文件和應(yīng)用程序白名單信任機制實現(xiàn)可執(zhí)行文件的安全管控，阻止木馬、病毒等惡意代碼的運行和傳播，有效避免因U 盤濫用所帶來的安全隱患。此外，工控主機安全防護系統(tǒng)可以實現(xiàn)包括賬戶策略、審核策略、日志審計在內(nèi)的統(tǒng)一的基線安全配置，在資源占用小的情況下最大限度的保障工控主機的安全。

針對應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器等設(shè)備部署工控主機加固系統(tǒng)，在已有安全防護的基礎(chǔ)上，通過截取系統(tǒng)調(diào)用、接管底層驅(qū)動等方式，強化身份鑒別措施，實現(xiàn)對進程、文件以及注冊表的強制訪問控制并實現(xiàn)剩余信息保護。

2.2.5 建設(shè)安全管理中心

安全管理中心是等級保護2.0“一個中心，三重防護”[3]總體思路的核心部分。通過部署統(tǒng)一安全管理平臺、日志審計系統(tǒng)、運維管理平臺等集中安全管理系統(tǒng)，構(gòu)建完整的安全管理中心防護體系。對系統(tǒng)運行、資源配置及身份鑒別等各方面內(nèi)容進行統(tǒng)一管理，對各種設(shè)備和應(yīng)用產(chǎn)生的日志進行統(tǒng)一收集和分析，對工控網(wǎng)絡(luò)各種資產(chǎn)進行事前授權(quán)、事中監(jiān)視、事后審計的統(tǒng)一安全運維。

3 結(jié)束語

當(dāng)前，工業(yè)控制系統(tǒng)正與互聯(lián)網(wǎng)進行著深度融合，傳統(tǒng)信息網(wǎng)絡(luò)中的各種安全威脅已經(jīng)逐步延伸至工控網(wǎng)絡(luò)中。面對種種威脅，等級保護2.0 新標(biāo)準對工業(yè)控制系統(tǒng)提出了安全擴展要求，其他工控安全標(biāo)準也相繼出臺。本文通過對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀進行分析，梳理出當(dāng)前存在的主要安全問題，從網(wǎng)絡(luò)架構(gòu)、入侵防范、訪問控制、主機安全防護、安全管理中心建設(shè)等幾個方面考慮，以提升管理效率、構(gòu)建縱深防御的工控安全防護體系為目標(biāo)，提出工控系統(tǒng)網(wǎng)絡(luò)安全防護的技術(shù)方案。對企業(yè)工控網(wǎng)絡(luò)規(guī)劃、安全建設(shè)整改等工作都具有重要的參考意義。