李楨

(中國石油化工股份有限公司 茂名分公司,廣東 茂名 525000)

近年來,全球工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全事件頻發(fā)。2010年“震網(wǎng)事件”造成伊朗核燃料工廠1 000多臺(tái)離心機(jī)物理損壞,導(dǎo)致伊朗核電站、核設(shè)施工作癱瘓;2015年12月“黑客”通過網(wǎng)絡(luò)攻擊進(jìn)入烏克蘭幾個(gè)地區(qū)電網(wǎng)控制系統(tǒng),直接控停了7個(gè)110 kV變電站和23個(gè)35 kV變電站,導(dǎo)致大規(guī)模停電;2017年5月12日“勒索”病毒襲擊全球上百個(gè)國家,許多ICS遭到攻擊,中石油2萬座加油站斷網(wǎng);中石化某大型煉化企業(yè)煉油區(qū)2019年7套生產(chǎn)裝置47臺(tái)操作節(jié)點(diǎn)受到“挖礦”病毒感染,大量操作員站死機(jī)重啟。

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,特別是自動(dòng)化與信息化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,ICS越來越多地采用以信息技術(shù)(IT)為基礎(chǔ)的通用協(xié)議、通用硬件和通用軟件,以各種方式與工廠信息管理系統(tǒng)等公共網(wǎng)絡(luò)連接,病毒、木馬、黑客攻擊等IT領(lǐng)域的威脅正在向ICS擴(kuò)散,網(wǎng)絡(luò)安全面臨的威脅不斷增加。

煉化企業(yè)生產(chǎn)過程具有高溫、高壓、易燃、易爆、易中毒、易腐蝕、生產(chǎn)連續(xù)性較強(qiáng)的特點(diǎn),一旦出現(xiàn)安全問題,可能產(chǎn)生現(xiàn)場火災(zāi)、爆炸,甚至造成設(shè)備的損壞、人員的傷亡。ICS的可靠和穩(wěn)定運(yùn)行是確保工業(yè)生產(chǎn)安全的基礎(chǔ),ICS網(wǎng)絡(luò)安全需要引起高度關(guān)注。應(yīng)從標(biāo)準(zhǔn)規(guī)范、技術(shù)防護(hù)和安全管理方面著手,建立ICS網(wǎng)絡(luò)安全體系,加快研究和實(shí)施ICS網(wǎng)絡(luò)安全行之有效的防范措施和解決方案,切實(shí)保障生產(chǎn)安全。

1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的現(xiàn)狀

ICS包括多種工業(yè)生產(chǎn)中使用的控制系統(tǒng),有： 數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分散控制系統(tǒng)(DCS)和其他較小的控制系統(tǒng),如可編程序控制器(PLC)[1]。ICS表現(xiàn)為一個(gè)多層次的體系架構(gòu),從下至上一般分為過程層、基礎(chǔ)控制層、監(jiān)視控制層、操作管理層、企業(yè)系統(tǒng)層[2]。隨著工業(yè)化、自動(dòng)化、信息化的不斷發(fā)展,生產(chǎn)、資源集中操作和管理,IT與操作技術(shù)(OT)深度融合,工業(yè)物聯(lián)網(wǎng)(IIOT)與ICS連接等給ICS帶來了新的安全問題;加上ICS自身漏洞多、ICS廠商和軟硬件版本多、網(wǎng)絡(luò)和設(shè)備安全防護(hù)參差不齊、安全管理嚴(yán)重不足等,使ICS面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)錯(cuò)綜復(fù)雜、多種多樣。主要安全威脅包括： 蠕蟲、特洛伊木馬、勒索軟件、間諜軟件、高級(jí)可持續(xù)威脅(APT)、“后門”、拒絕服務(wù)(DoS)、“0-day”漏洞等[3]。

1.1 系統(tǒng)本身安全性不高

ICS早期采用專用的硬件、軟件和通信協(xié)議,近幾年,工業(yè)自動(dòng)化系統(tǒng)廣泛采用微軟Windows操作系統(tǒng)和TCP/IP標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議,工業(yè)實(shí)時(shí)以太網(wǎng)已在工業(yè)自動(dòng)化領(lǐng)域廣泛應(yīng)用,IT技術(shù)快速進(jìn)入工業(yè)自動(dòng)化系統(tǒng)的各個(gè)層面。ICS設(shè)計(jì)之初,由于資源受限、非面向互聯(lián)網(wǎng)等原因,主要考慮系統(tǒng)的實(shí)時(shí)性、可靠性、穩(wěn)定性,并沒有考慮安全性?？刂圃O(shè)備、編程軟件、組態(tài)軟件以及工業(yè)協(xié)議等普遍缺乏身份認(rèn)證、授權(quán)、加密等安全基因,系統(tǒng)的應(yīng)用平臺(tái)、通用通信協(xié)議以及人機(jī)接口(HMI)軟件等都存在各種漏洞或缺陷,使得系統(tǒng)自身的安全保護(hù)能力嚴(yán)重不足,容易感染網(wǎng)絡(luò)病毒、木馬等惡意代碼,甚至被利用和攻擊。盡管已有工控產(chǎn)品的生產(chǎn)商開始進(jìn)行加固升級(jí),研發(fā)新一代的安全工控產(chǎn)品,但是由于市場、技術(shù)、使用環(huán)境等方面的制約,工控產(chǎn)品生產(chǎn)商普遍缺乏主動(dòng)進(jìn)行安全加固的動(dòng)力。

此外,CPU芯片作為硬件基礎(chǔ)平臺(tái)的核心,技術(shù)掌握在國外廠商手中,“后門”漏洞的隱患始終存在,國內(nèi)研究和生產(chǎn)的CPU芯片產(chǎn)品能否在中國工控領(lǐng)域廣泛應(yīng)用,仍待進(jìn)一步研究和驗(yàn)證[4]。

1.2 標(biāo)準(zhǔn)體系尚需完善

針對(duì)ICS網(wǎng)絡(luò)安全,國際上最具影響力的標(biāo)準(zhǔn)包括IEC 62443,NIST SP800-82等。國內(nèi)也相繼出臺(tái)了GB/T 32919—2016《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》[5]、GB/T 33009—2016《工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)(DCS)》[6]、GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、GB/T 37980—2019《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全檢查指南》[7]、GB/T 40813—2021《信息安全技術(shù) 工業(yè)控制系統(tǒng) 安全防護(hù)技術(shù)要求和測試評(píng)價(jià)方法》[8]等相關(guān)標(biāo)準(zhǔn),給出了ICS網(wǎng)絡(luò)安全的防護(hù)要求、管理要求、檢查指南等。但由于不同的行業(yè)領(lǐng)域、不同的應(yīng)用在ICS安全設(shè)計(jì)、測試和驗(yàn)收等環(huán)節(jié)存在一定的差異,對(duì)于煉化企業(yè)來說,現(xiàn)有的ICS網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系的指導(dǎo)性和可操作性還存在明顯的不足,快速落地實(shí)施尚存在諸多困難。

1.3 安全防護(hù)存在隱患

ICS的操作站、工程師站以及服務(wù)器等操作節(jié)點(diǎn)使用的操作系統(tǒng),通常以Windows為主。不少在役操作系統(tǒng)版本老舊,安全漏洞較多且修補(bǔ)困難;考慮到系統(tǒng)運(yùn)行成本、系統(tǒng)穩(wěn)定性等因素,ICS通常處于長時(shí)間不間斷運(yùn)行狀態(tài),無法高頻次開展補(bǔ)丁安裝、漏洞修補(bǔ)、系統(tǒng)升級(jí)等工作,一些操作站節(jié)點(diǎn)未安裝防病毒軟件,或者即使安裝了防病毒軟件也沒及時(shí)更新惡意代碼庫,Windows平臺(tái)固有的脆弱性容易被病毒、黑客利用。

基于節(jié)約成本、提高工作效率的目的,多數(shù)工廠使用1套時(shí)鐘同步服務(wù)器、防病毒服務(wù)器等為多套ICS提供服務(wù)。服務(wù)器與ICS之間、各ICS之間缺乏網(wǎng)絡(luò)邊界安全防護(hù)措施,可能導(dǎo)致1套ICS感染的惡意代碼通過網(wǎng)絡(luò)邊界向其他ICS傳播。新一代的ICS應(yīng)用協(xié)議大都建立在TCP/IP協(xié)議基礎(chǔ)上,不同的系統(tǒng)制造商,使用的基于TCP/IP的通信協(xié)議也是不一樣的,例如Honeywell PKS的FTE,橫河CS3000的Vnet等,傳統(tǒng)的IT防火墻無法實(shí)現(xiàn)工業(yè)通信協(xié)議的過濾,無法在監(jiān)視控制層與基礎(chǔ)控制層之間或操作節(jié)點(diǎn)之間實(shí)現(xiàn)邏輯隔離。

1.4 安全管理不到位

許多企業(yè)對(duì)ICS網(wǎng)絡(luò)安全重視不夠,人員工控安全責(zé)任意識(shí)、風(fēng)險(xiǎn)意識(shí)不足,企業(yè)工控安全管理制度不健全,對(duì)現(xiàn)有工控安全管理制度落實(shí)不到位,常出現(xiàn)隨意和違規(guī)操作等問題,給ICS的可靠運(yùn)行埋下了安全隱患。典型的現(xiàn)象有U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)隨意在ICS中使用;使用簡單、默認(rèn)的用戶名和密碼;操作系統(tǒng)和應(yīng)用軟件不做必要的補(bǔ)丁升級(jí)和漏洞修復(fù);ICS中很少或沒有安全審計(jì);不對(duì)災(zāi)難恢復(fù)進(jìn)行定期應(yīng)急演練;操作節(jié)點(diǎn)未安裝防惡意代碼軟件或特征碼庫不及時(shí)更新;培訓(xùn)不到位導(dǎo)致現(xiàn)場人員ICS安全風(fēng)險(xiǎn)識(shí)別、問題處置技能不足等。

2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的對(duì)策

2.1 建立一個(gè)有效的安全管理體系

ICS網(wǎng)絡(luò)安全管理的核心是網(wǎng)絡(luò)安全管理體系的建立、維護(hù)和改進(jìn)過程。應(yīng)結(jié)合企業(yè)實(shí)際情況,依據(jù)GB/T 22080—2016《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》[9]和GB/T 36323—2018《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全管理基本要求》[10]建立ICS網(wǎng)絡(luò)安全管理體系,從頂層承諾、規(guī)劃評(píng)估、資源支持、策略實(shí)施、績效評(píng)價(jià)、持續(xù)改進(jìn)等方面采用“規(guī)劃(Plan)-實(shí)施(Do)-檢查(Check)-處置(Act)”(PDCA)模型維護(hù)并不斷完善ICS網(wǎng)絡(luò)安全管理體系,從而實(shí)現(xiàn)對(duì)ICS網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)管控[11]。應(yīng)用于ICS網(wǎng)絡(luò)安全管理體系過程的PDCA模型如圖1所示,主要包括以下幾個(gè)方面內(nèi)容：

圖1 應(yīng)用于ICS網(wǎng)絡(luò)安全管理體系過程的PDCA模型示意

1)安全規(guī)劃與團(tuán)隊(duì)建設(shè)。企業(yè)應(yīng)建立與業(yè)務(wù)要求、相關(guān)法律法規(guī)相適宜的ICS網(wǎng)絡(luò)安全方針和目標(biāo),對(duì)ICS安全管理活動(dòng)中的各類管理內(nèi)容建立安全管理制度,對(duì)各層管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程;各級(jí)領(lǐng)導(dǎo)踐行“有感領(lǐng)導(dǎo)”,引領(lǐng)、指導(dǎo)、支持ICS網(wǎng)絡(luò)安全管理體系的運(yùn)行、持續(xù)改進(jìn)。

構(gòu)建包含物理安全、網(wǎng)絡(luò)安全、工業(yè)控制等領(lǐng)域人員在內(nèi)的安全管理團(tuán)隊(duì),明確各崗位的安全職責(zé),對(duì)ICS崗位人員、訪問系統(tǒng)人員進(jìn)行背景審查,嚴(yán)格處罰違規(guī)行為;全體有關(guān)人員都應(yīng)受到相適應(yīng)的意識(shí)、方針策略、制度、規(guī)程的定期培訓(xùn),定期對(duì)ICS管理員、工程師、操作維護(hù)人員等進(jìn)行技術(shù)、安全技能培訓(xùn)和考核。

2)ICS建設(shè)安全管理。選擇ICS規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維、評(píng)估等服務(wù)商時(shí),優(yōu)先考慮具備工控安全防護(hù)經(jīng)驗(yàn)的單位,以合同等方式明確服務(wù)商應(yīng)承擔(dān)的網(wǎng)絡(luò)安全責(zé)任和義務(wù);明確要求供應(yīng)商對(duì)產(chǎn)品或系統(tǒng)進(jìn)行安全配置,安全防護(hù)軟硬件產(chǎn)品必須通過工控廠家的兼容性測試、驗(yàn)證;應(yīng)通過出廠驗(yàn)收測試(FAT)驗(yàn)證供應(yīng)商提供的產(chǎn)品、系統(tǒng)、配套的網(wǎng)絡(luò)安全產(chǎn)品是否符合技術(shù)規(guī)范要求,通過現(xiàn)場驗(yàn)收測試(SAT)驗(yàn)證不同供應(yīng)商提供的產(chǎn)品或系統(tǒng)的安裝是否符合應(yīng)用規(guī)范和安裝指南。

3)變更管理。應(yīng)制定并維護(hù)ICS的配置清單,配置變更前充分評(píng)估潛在的安全風(fēng)險(xiǎn),制定相應(yīng)的防范措施;ICS軟件升級(jí)、系統(tǒng)打補(bǔ)丁、病毒庫更新等應(yīng)在ICS檢修期間進(jìn)行,變更前要確保原系統(tǒng)有冗余或/和備份,應(yīng)掃描補(bǔ)丁、軟件升級(jí)包是否攜帶病毒;系統(tǒng)的安全補(bǔ)丁除了經(jīng)ICS產(chǎn)品供應(yīng)商測試、認(rèn)證外,還應(yīng)由用戶在現(xiàn)場實(shí)際應(yīng)用設(shè)備上測試。

4)訪問及使用控制。應(yīng)采取移除ICS不需要的賬戶、賬戶默認(rèn)口令在ICS投入前變更、對(duì)管理/配置用戶強(qiáng)認(rèn)證(如強(qiáng)口令)等管控措施;訪問賬戶應(yīng)基于角色來配置,確保個(gè)人和設(shè)備只擁有所需的最小權(quán)限,并及時(shí)中止離崗人員對(duì)ICS的訪問權(quán)限。應(yīng)禁止移動(dòng)存儲(chǔ)介質(zhì)(設(shè)備)的接口,需要使用時(shí)才將其允許,使用完后立即禁止;需要使用外來存儲(chǔ)介質(zhì)(設(shè)備)時(shí),存儲(chǔ)介質(zhì)(設(shè)備)必須經(jīng)主管部門檢測,確認(rèn)無病毒方可在ICS上使用。

5)應(yīng)急管理。應(yīng)對(duì)工藝參數(shù)、配置文件、設(shè)備運(yùn)行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)等關(guān)鍵業(yè)務(wù)數(shù)據(jù)定期備份,備份介質(zhì)至少2份并異地存放;應(yīng)在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備,實(shí)時(shí)監(jiān)測工控網(wǎng)絡(luò)的異常行為,建立網(wǎng)絡(luò)安全審計(jì)系統(tǒng),及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事(故)件隱患;結(jié)合企業(yè)實(shí)際情況,制定工控安全事件應(yīng)急處置預(yù)案,并通過定期演練發(fā)現(xiàn)應(yīng)急工作體系和工作機(jī)制存在的問題,不斷完善應(yīng)急預(yù)案,提高應(yīng)急處置能力。

2.2 ICS網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控及方案部署

2.2.1 網(wǎng)絡(luò)分隔

ICS通常在企業(yè)內(nèi)部與各種業(yè)務(wù)系統(tǒng)、管理系統(tǒng)、控制系統(tǒng)等緊密連接與集成,應(yīng)依據(jù)保持最小權(quán)限的原則,通過通信包過濾去除與其他系統(tǒng)之間的不需要的通信包,通過網(wǎng)絡(luò)分段將網(wǎng)絡(luò)劃分成不同的安全區(qū)域,最小化ICS安全事故發(fā)生的可能性。典型的網(wǎng)絡(luò)分隔方法如圖2所示。ICS集成系統(tǒng)網(wǎng)絡(luò)安全區(qū)域總體劃分如下：

圖2 典型的煉化企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)分隔示意

1)工廠信息區(qū)。包括操作數(shù)據(jù)管理系統(tǒng)(ODS)、先進(jìn)報(bào)警管理系統(tǒng)(AAS)等,用于采集、記錄和管理全廠DCS和其他子系統(tǒng)的實(shí)時(shí)數(shù)據(jù)和報(bào)警數(shù)據(jù)等。

2)隔離區(qū)(DMZ)。是工廠信息區(qū)與ICS網(wǎng)絡(luò)之間的數(shù)據(jù)緩沖區(qū),企業(yè)系統(tǒng)網(wǎng)絡(luò)需要訪問ICS的數(shù)據(jù)服務(wù)器位于這個(gè)區(qū)域,其作用是使工廠信息網(wǎng)絡(luò)與ICS網(wǎng)絡(luò)之間不直接相互通信。

3)ICS區(qū)。包括ICS模型中的過程層、基礎(chǔ)控制層、監(jiān)視控制層、操作管理層。

4)單元區(qū)域。是根據(jù)工藝操作的需要、生產(chǎn)過程的功能等劃分出的ICS區(qū)的子區(qū)或細(xì)分成的小單元。

2.2.2 風(fēng)險(xiǎn)管理的方法

煉化企業(yè)應(yīng)依據(jù)GB/T 22240—2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》[12],結(jié)合企業(yè)自身的特點(diǎn),建立ICS網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南。依據(jù)GB/T 36466—2018《信息安全技術(shù) 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》[13]組織評(píng)估ICS各安全區(qū)域風(fēng)險(xiǎn),確定各安全區(qū)域的安全等級(jí)。依據(jù)GB/T 22239—2019的要求,按安全等級(jí)的高低選擇緩解控制成本小于潛在風(fēng)險(xiǎn)的解決措施,將風(fēng)險(xiǎn)降低到可容忍的水平。

2.2.3 構(gòu)建縱深防御的架構(gòu)

沒有任何一種防御措施可以獨(dú)立防御所有的攻擊向量、修補(bǔ)系統(tǒng)所有的安全漏洞。需要將多種防御措施分層部署,某一層的安全防御漏洞可被其他層的安全措施所彌補(bǔ),即便是任何一種安全措施失效,這種沖擊也是最小的,即構(gòu)建一種整體的安全態(tài)勢——縱深防御模型,如圖3所示。模型包含設(shè)備、應(yīng)用、計(jì)算機(jī)、網(wǎng)絡(luò)、物理五個(gè)層次,每一層的安全加固使ICS得到全面保護(hù)[14]。

圖3 縱深防御模型示意

2.3 主要的防御措施

2.3.1 物理安全

應(yīng)在ICS機(jī)房內(nèi)外及周邊安裝IP攝像機(jī)或電視監(jiān)控系統(tǒng)(CCTV)等類型的監(jiān)控?cái)z像機(jī),特別是機(jī)房的所有入口和出口以及整個(gè)機(jī)房的每個(gè)訪問點(diǎn)。應(yīng)綜合使用運(yùn)動(dòng)檢測設(shè)備、低光攝像頭、云臺(tái)變焦攝像頭和標(biāo)準(zhǔn)固定攝像頭,實(shí)現(xiàn)無死角、全天候監(jiān)控。通過鎖定進(jìn)入機(jī)房的通道,嚴(yán)格控制對(duì)機(jī)房的訪問,只允許授權(quán)人員通過刷卡或生物識(shí)別讀取設(shè)備進(jìn)入這些區(qū)域。同時(shí),對(duì)外來人員出入機(jī)房進(jìn)行登記,外來人員進(jìn)機(jī)房作業(yè)、參觀、指導(dǎo)、檢查等應(yīng)經(jīng)ICS主管人員許可,有主管部門人員的陪同。

為防止引入未經(jīng)授權(quán)的計(jì)算機(jī)、交換機(jī)、接入點(diǎn)或計(jì)算機(jī)外圍設(shè)備(如U盤),應(yīng)保護(hù)所有的物理端口,防止插入這些未經(jīng)授權(quán)的設(shè)備。對(duì)未使用的交換機(jī)端口和備用NIC端口可使用RJ45端口鎖進(jìn)行端口封堵,對(duì)于未使用的USB口使用USB口安全鎖封堵。

2.3.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全方面有如下措施：

1)邊界安全防護(hù)。基礎(chǔ)控制層(L1)節(jié)點(diǎn)為整個(gè)自動(dòng)化系統(tǒng)的核心部分,各家控制系統(tǒng)制造商產(chǎn)品L1層結(jié)構(gòu)有所不同,若控制網(wǎng)絡(luò)L1層基于TCP/IP協(xié)議或其他開放協(xié)議,L1與監(jiān)視控制層(L2)之間的網(wǎng)絡(luò)邊界處應(yīng)設(shè)置工控防火墻,安全儀表系統(tǒng)(SIS)、壓縮機(jī)控制系統(tǒng)(CCS)等應(yīng)通過RS-485,RS-422接口與Modbus協(xié)議,或通過硬接線與控制系統(tǒng)相連。對(duì)于L2層,為了避免局域網(wǎng)發(fā)生廣播風(fēng)暴造成較大影響,大型煉化企業(yè)輸入、輸出點(diǎn)數(shù)多(可達(dá)數(shù)萬點(diǎn))的情況下,應(yīng)劃分為若干獨(dú)立的局域網(wǎng)。規(guī)模較小的多套生產(chǎn)裝置或公用工程單元在同一個(gè)局域網(wǎng)內(nèi),可將該局域網(wǎng)進(jìn)一步劃分為若干虛擬局域網(wǎng)(VLAN),每套生產(chǎn)裝置或公用工程單元成為一個(gè)VLAN[15]。在L2層與操作管理層(L3)網(wǎng)絡(luò)邊界處應(yīng)部署三層交換機(jī)(帶路由功能),全局工程師站、全局操作員站等與單元區(qū)域控制系統(tǒng)網(wǎng)絡(luò)之間應(yīng)部署工業(yè)防火墻,實(shí)現(xiàn)L2層與L3層之間、各單元區(qū)域網(wǎng)絡(luò)之間的邏輯隔離。APC系統(tǒng)、防病毒服務(wù)器、補(bǔ)丁服務(wù)器、第三方系統(tǒng)等與L2層之間采用專業(yè)防火墻實(shí)現(xiàn)隔離。L3層與DMZ區(qū)層之間部署專用防火墻,DMZ區(qū)與企業(yè)系統(tǒng)層(L4)之間可部署專用防火墻、單向安全網(wǎng)關(guān)、網(wǎng)閘等。

2)隔離設(shè)備的選用與策略配置。L3層與DMZ區(qū)、控制系統(tǒng)與第三方系統(tǒng)等之間的防火墻應(yīng)優(yōu)先選用能有效過濾木馬、蠕蟲、間諜軟件、漏洞攻擊、拒絕服務(wù)攻擊等威脅的下一代防火墻,根據(jù)實(shí)際需求對(duì)防火墻進(jìn)行合理配置,包括檢查網(wǎng)絡(luò)數(shù)據(jù)包源和目的地址、基于端口的應(yīng)用識(shí)別、基于應(yīng)用特征的應(yīng)用識(shí)別等,實(shí)現(xiàn)精細(xì)化的網(wǎng)絡(luò)應(yīng)用管控。對(duì)于L4層操作數(shù)據(jù)管理系統(tǒng)(ODS)的數(shù)據(jù)采集,可在DMZ區(qū)與L4層之間部署采用雙主機(jī)架構(gòu)及系統(tǒng)異構(gòu)的單向安全網(wǎng)關(guān),實(shí)現(xiàn)數(shù)據(jù)的單向傳輸。應(yīng)選用端口間互相隔離的時(shí)鐘同步服務(wù)器,實(shí)現(xiàn)不同的裝置、系統(tǒng)授時(shí)的故障隔離。時(shí)鐘同步服務(wù)器應(yīng)置于DMZ區(qū),經(jīng)防火墻與被授時(shí)設(shè)備連接,通過配置NTP協(xié)議識(shí)別、IP地址檢查、惡意代碼防護(hù)等策略,降低服務(wù)器與被授時(shí)設(shè)備間網(wǎng)絡(luò)通信的安全風(fēng)險(xiǎn)。

3)通信協(xié)議安全。目前,工業(yè)以太網(wǎng)已在ICS中廣泛應(yīng)用,工業(yè)以太網(wǎng)有Profinet,Ethernet/IP, Modbus TCP等多種標(biāo)準(zhǔn)化的協(xié)議,在不同廠商生產(chǎn)的硬軟件之間、控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)之間的系統(tǒng)集成與數(shù)據(jù)交換方面,OPC技術(shù)的應(yīng)用非常廣泛。基于安全考慮,在未采取任何安全防護(hù)措施的情況下,第三方應(yīng)用系統(tǒng)禁止采用標(biāo)準(zhǔn)化的工業(yè)通信協(xié)議直接接入過程控制層交換機(jī)的設(shè)備和系統(tǒng)。在DMZ區(qū)與L4層之間的數(shù)據(jù)傳輸應(yīng)采用OPC協(xié)議,鑒于基于COM/DCOM技術(shù)的傳統(tǒng)OPC協(xié)議存在安全配置不足的問題,應(yīng)逐漸采用OPC UA協(xié)議替代傳統(tǒng)的OPC協(xié)議,在配置OPC UA協(xié)議時(shí),使用“簽名與加密”的安全方式增加通信的安全性[16]。

2.3.3 計(jì)算機(jī)安全

計(jì)算機(jī)的安全方面有如下措施：

1)終端保護(hù)軟件的安裝與配置。為了查出、清除計(jì)算機(jī)上的惡意代碼,在工控計(jì)算機(jī)上應(yīng)安裝防病毒軟件。同時(shí),為了優(yōu)化計(jì)算機(jī)的性能,在確保計(jì)算機(jī)上沒有潛伏惡意代碼的情況下,可將ICS制造商認(rèn)證的可信的文件夾、應(yīng)用程序設(shè)置成按訪問掃描的排除項(xiàng);應(yīng)在工控計(jì)算機(jī)上安裝應(yīng)用程序白名單軟件,在確認(rèn)系統(tǒng)內(nèi)無惡意軟件存在的情況下,將可信的可執(zhí)行程序設(shè)置為白名單,只讓白名單中的程序運(yùn)行,阻止其他程序(包括“零日”病毒)運(yùn)行。

2)外設(shè)和接口安全防護(hù)。應(yīng)通過修改BIOS或注冊(cè)表配置、終端保護(hù)軟件配置等方法封閉工控計(jì)算機(jī)上不必要的USB和光驅(qū)等接口、設(shè)備,確需通過計(jì)算機(jī)外設(shè)、接口訪問控制系統(tǒng)時(shí),應(yīng)在采取了安全防護(hù)措施(如,與操作員站采用防火墻進(jìn)行了隔離)的工控計(jì)算機(jī)上進(jìn)行;應(yīng)配置、使用包含多種殺毒軟件的移動(dòng)介質(zhì)安檢工作站,對(duì)需臨時(shí)接入工控計(jì)算機(jī)的移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行交叉安全掃描、殺毒后使用[17]。

3)系統(tǒng)備份。對(duì)于大型煉化企業(yè),應(yīng)采用ICS制造商認(rèn)證的備份工具對(duì)組態(tài)服務(wù)器、數(shù)據(jù)服務(wù)器等關(guān)鍵節(jié)點(diǎn)的操作系統(tǒng)、應(yīng)用程序、配置、數(shù)據(jù)等定期進(jìn)行增量/差異、整機(jī)在線自動(dòng)備份[18];可在備份的基礎(chǔ)上將整機(jī)備份的鏡像硬盤在操作站和工程師站主機(jī)內(nèi)離線存放,以滿足應(yīng)急情況下快速恢復(fù)計(jì)算機(jī)的要求。

2.3.4 監(jiān)視與審計(jì)

應(yīng)在L2層和L3層的核心交換機(jī)上旁路部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備(如入侵檢測系統(tǒng)),實(shí)時(shí)對(duì)網(wǎng)絡(luò)攻擊和異常行為進(jìn)行識(shí)別、報(bào)警、記錄;應(yīng)設(shè)置防病毒服務(wù)器管理所有工控計(jì)算機(jī)客戶端的任務(wù)執(zhí)行,策略部署及集中監(jiān)視,記錄病毒感染事件;應(yīng)設(shè)置應(yīng)用程序白名單服務(wù)器,管理所有工控計(jì)算機(jī)客戶端白名單功能的投用,策略部署及集中監(jiān)視,記錄系統(tǒng)禁止文件更改、程序執(zhí)行產(chǎn)生的事件;可設(shè)置漏洞掃描服務(wù)器,實(shí)現(xiàn)對(duì)工控計(jì)算機(jī)操作系統(tǒng)存在的漏洞檢測;應(yīng)設(shè)置日志審計(jì)與分析系統(tǒng)(日志審計(jì)服務(wù)器),對(duì)防火墻、網(wǎng)絡(luò)入侵檢測系統(tǒng)、交換機(jī)、操作系統(tǒng)、應(yīng)用程序等的日志收集匯總和集中分析,并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求。

此外,應(yīng)設(shè)置安全管理中心,對(duì)系統(tǒng)的安全策略、安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)施系統(tǒng)管理、安全管理和審計(jì)管理[19]。

3 結(jié)束語

煉化企業(yè)應(yīng)從管理和技術(shù)兩個(gè)方面采取點(diǎn)、面結(jié)合的方式,確保工控系統(tǒng)終端加固、通信協(xié)議加密認(rèn)證、網(wǎng)絡(luò)邊界訪問控制等各種安全措施的組合,從內(nèi)到外構(gòu)成一個(gè)縱深的安全防御體系。通過全體人員、全部設(shè)備、全生命周期的安全管理,落實(shí)對(duì)各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的管控。

隨著“工業(yè)4.0”時(shí)代的到來,工業(yè)物聯(lián)網(wǎng)的應(yīng)用使自動(dòng)化與信息化進(jìn)一步深度融合,各煉化企業(yè)已經(jīng)開始應(yīng)用工業(yè)物聯(lián)網(wǎng)技術(shù)解決所面臨的實(shí)際問題,比如在線腐蝕監(jiān)測系統(tǒng)、機(jī)泵群狀態(tài)監(jiān)測系統(tǒng)等的應(yīng)用。由于攻擊面的增加、規(guī)范標(biāo)準(zhǔn)的不完善、規(guī)章制度的不充分等因素,給ICS集成帶來了新的挑戰(zhàn)。結(jié)合工控系統(tǒng)的應(yīng)用維護(hù)和對(duì)某大型煉化企業(yè)實(shí)施ICS網(wǎng)絡(luò)安全縱深防御的經(jīng)驗(yàn),有以下建議：

1)依據(jù)國家安全標(biāo)準(zhǔn)的要求,加快制定、完善具有行業(yè)特點(diǎn)、可操作性強(qiáng)的設(shè)計(jì)、檢查標(biāo)準(zhǔn)(或規(guī)范)以及管理制度(或規(guī)定)并實(shí)施。

2)在ICS區(qū)與工廠信息區(qū)之間通過DMZ區(qū)連接的基礎(chǔ)上,對(duì)操作技術(shù)網(wǎng)絡(luò)與信息技術(shù)網(wǎng)絡(luò)分區(qū)隔離,操作技術(shù)網(wǎng)絡(luò)經(jīng)DMZ區(qū)與信息技術(shù)網(wǎng)絡(luò)連接,或在操作技術(shù)網(wǎng)絡(luò)與信息技術(shù)網(wǎng)絡(luò)之間通過新建包括雙防火墻及中間緩沖區(qū)的工業(yè)DMZ區(qū)(IDMZ)連接。

3)利用日志管理與分析系統(tǒng),對(duì)ICS網(wǎng)絡(luò)(含邊界)中設(shè)備、組件的日志采用聚類、閾值、異常檢測、機(jī)器學(xué)習(xí)等分析方法進(jìn)行定期分析,及時(shí)處理發(fā)現(xiàn)的問題[20]。

4)ICS網(wǎng)絡(luò)安全涉及計(jì)算機(jī)、自動(dòng)化、通信等多個(gè)學(xué)科,需要培養(yǎng)既懂自動(dòng)化系統(tǒng)硬件、軟件,又懂網(wǎng)絡(luò)安全解決方案的復(fù)合型人才。