白 強(qiáng)， 胡博元， 宣中忠， 張建國

（首鋼長治鋼鐵有限公司煉鐵廠， 山西 長治 046000）

0 引言

首鋼長治鋼鐵有限公司（以下簡稱長鋼公司）近期經(jīng)過工控安全防護(hù)能力評估發(fā)現(xiàn)，其工控安全措施及防護(hù)水平均相對落后，公司的工控安全缺乏有效防護(hù)措施。長鋼公司對此進(jìn)行了深入思考，認(rèn)識到工控安全防護(hù)能力的提升對于企業(yè)的穩(wěn)健運(yùn)營至關(guān)重要。因此，公司決定加大投入，全面提升工控網(wǎng)絡(luò)的安全防護(hù)水平。

1 工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

傳統(tǒng)IT 系統(tǒng)的安全三要素按CIA 原則排序，即機(jī)密性最重要，完整性次之，可用性排在最后。工業(yè)控制系統(tǒng)ICS 的安全目標(biāo)應(yīng)符合AIC 原則，即可用性排在第一位，完整性次之，機(jī)密性排在最后。

1.1 工控系統(tǒng)安全方面

工控系統(tǒng)由于受到資源限制以及未能針對互聯(lián)網(wǎng)進(jìn)行優(yōu)化等原因，為了確保實(shí)時性和可用性，通常缺乏安全性的設(shè)計(jì)考慮。這種狀況造成了一個結(jié)果，那就是無法構(gòu)建一個能夠有效進(jìn)行技術(shù)研究的體系?？紤]到上述局限，長鋼公司決定引入外部安全咨詢團(tuán)隊(duì)，以便利用專業(yè)知識進(jìn)行系統(tǒng)安全的全面評估。同時，公司還準(zhǔn)備與安全解決方案供應(yīng)商建立合作，引入先進(jìn)的安全技術(shù)，如入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS），提升防護(hù)能力。在策略制定方面，長鋼公司計(jì)劃制定一套針對安全性升級的短期和長期計(jì)劃，這包括立即采用的緊急修補(bǔ)措施，以及逐步實(shí)施的系統(tǒng)升級和改造。安全培訓(xùn)和意識提升也是計(jì)劃的一部分。針對所有操作員和維護(hù)人員的周期性培訓(xùn)課程將被開發(fā)和執(zhí)行，以加強(qiáng)他們對于安全最佳實(shí)踐的理解和執(zhí)行。這將涵蓋從密碼管理到對于可疑電子郵件警覺的各個方面。

1.1.1 工控主機(jī)安全問題

長鋼公司的工控系統(tǒng)均為windows 系列，由于投入運(yùn)營時間的不同，版本橫跨多個不同時期的Windows 系統(tǒng)，包括XP、Server 2003、Server 2008、Windows 7 和Windows 10。舊版Windows 系統(tǒng)存在的安全漏洞較多。尤其是Windows XP 等老版本系統(tǒng)已經(jīng)停止補(bǔ)丁更新，存在較多安全漏洞。大部分操作員站、工程師站等上位機(jī)等不具備在線打補(bǔ)丁的條件，基層單位出于維持業(yè)務(wù)連續(xù)性的考慮，重要補(bǔ)丁不能及時修補(bǔ)，不進(jìn)行病毒查殺。因而工控操作系統(tǒng)存在以下問題：

1）工業(yè)控制操作系統(tǒng)普遍落后于當(dāng)前主流，很少或不使用補(bǔ)丁策略。在工控系統(tǒng)中，補(bǔ)丁程序可能會對工控軟件產(chǎn)生嚴(yán)重的干擾。一些補(bǔ)丁需要重新啟動系統(tǒng)，這可能會干擾生產(chǎn)系統(tǒng)的運(yùn)行。這就導(dǎo)致一些曾經(jīng)造成嚴(yán)重破壞的高危漏洞，比如“永恒之藍(lán)”等高危漏洞普遍存在于工控操作系統(tǒng)中。

2）安全防護(hù)缺失。由于殺毒軟件可能影響工控軟件的運(yùn)行，工控主機(jī)很少或不使用防病毒更新策略。此外，病毒庫更新需要作業(yè)網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)，因此很少采用。這導(dǎo)致主機(jī)系統(tǒng)面臨病毒、木馬等威脅。

3）賬戶權(quán)限管理混亂，使用弱密碼或默認(rèn)密碼的情況較多。

4）缺乏完善信息安全管理規(guī)定，移動存儲設(shè)備無序使用、操作人員違規(guī)安裝非工作必備軟件、誤操作、惡意操作等安全威脅。

1.1.2 工控設(shè)備安全問題

長鋼公司工控系統(tǒng)均采用西門子、施耐德等國外大廠商的設(shè)備，以上設(shè)備都存在較多漏洞。而一個工業(yè)項(xiàng)目投入運(yùn)行后，一般使用周期在5~10 年，因而硬件更新、升級、換代困難。工控設(shè)備存在以下安全問題：

1）控制器處理能力弱。通常來講，很多工業(yè)控制設(shè)備的性能一般，處理能力較弱。遭受“拒絕服務(wù)”攻擊很容易造成系統(tǒng)癱瘓。

2）控制漏洞和后門。由于設(shè)計(jì)和實(shí)現(xiàn)上的不足，絕大部分工業(yè)控制設(shè)備存在不同程度的漏洞；由于人為的因素，部分設(shè)備甚至預(yù)留后門。

3）關(guān)鍵控制設(shè)備無防護(hù)。由于前期規(guī)劃設(shè)計(jì)不夠全面且重視不足，工業(yè)現(xiàn)場普遍缺少對控制設(shè)備的安全防護(hù)。PLC、DCS 控制器等核心控制設(shè)備缺乏安全加固措施，利用設(shè)備漏洞進(jìn)行網(wǎng)絡(luò)攻擊的成功率較高。

4）工業(yè)協(xié)議設(shè)計(jì)之初缺乏安全性考慮，明文設(shè)計(jì)、缺乏認(rèn)證、很容易被黑客利用進(jìn)行攻擊、破壞。

1.2 工控網(wǎng)絡(luò)安全方面

長鋼公司工業(yè)網(wǎng)絡(luò)結(jié)構(gòu)在設(shè)計(jì)之初缺少安全考慮，系統(tǒng)內(nèi)部無法分區(qū)域防護(hù)，只要入侵某個區(qū)域，便可蔓延到整個工控網(wǎng)絡(luò)。網(wǎng)絡(luò)安全方面面臨的風(fēng)險(xiǎn)如下。

1.2.1 通信協(xié)議的脆弱性

多數(shù)工業(yè)控制協(xié)議，是在多年前設(shè)計(jì)并且都是基于串行連接進(jìn)行網(wǎng)絡(luò)訪問。然而，隨著以太網(wǎng)的普及，通信已逐漸轉(zhuǎn)向基于IP 協(xié)議（通常是TCP 協(xié)議）的實(shí)現(xiàn)方式。遺憾的是，這些工控協(xié)議缺乏必要的安全機(jī)制，如保密和驗(yàn)證，尤其是在消息完整性驗(yàn)證方面存在明顯的技術(shù)缺失。此外，這些協(xié)議也沒有引入不可抵賴性的防重放機(jī)制，使得攻擊者能夠利用這些安全漏洞對工業(yè)控制系統(tǒng)展開攻擊。因此，隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，亟需對這些傳統(tǒng)工控協(xié)議進(jìn)行安全增強(qiáng)和升級，以應(yīng)對日益增長的安全威脅。

1）拒絕服務(wù)攻擊（Denial of Service，DoS）。拒絕服務(wù)攻擊通常采取消耗資源的攻擊模式，消耗控制網(wǎng)絡(luò)的處理器資源和帶寬資源。常見的拒絕服務(wù)攻擊有：SYN Flood、smurf 攻擊、Ping of Death、Teardrop、Land攻擊、UDP Flood、DDos 等。

2）中間人攻擊（MITM）。缺乏消息認(rèn)證機(jī)制及不安全的通信通道，使攻擊者可以更容易地訪問到生產(chǎn)網(wǎng)絡(luò)，從而能夠竊聽，并對通信內(nèi)容進(jìn)行惡意篡改和偽造。

3）重放攻擊：攻擊者能夠捕獲并復(fù)制合法的工業(yè)消息，然后在上下文中重復(fù)發(fā)送這些消息到從站設(shè)備。這種重放攻擊可能導(dǎo)致設(shè)備的異常行為，甚至損壞，也可能引發(fā)生產(chǎn)過程的混亂或意外關(guān)閉，從而對工業(yè)控制系統(tǒng)造成嚴(yán)重破壞。

4）欺騙攻擊：攻擊者還可能利用工控系統(tǒng)的安全漏洞，向控制操作人員發(fā)送虛假的欺騙信息。這些欺騙信息可能篡改或偽造現(xiàn)場設(shè)備的狀態(tài)數(shù)據(jù)，這種攻擊方式旨在混淆操作人員的判斷，誘使其執(zhí)行錯誤的操作，進(jìn)而對生產(chǎn)過程造成負(fù)面影響。

1.2.2 網(wǎng)絡(luò)邊界的脆弱性

1.2.2.1 沒有嚴(yán)格界定網(wǎng)絡(luò)邊界范圍

長鋼公司的工業(yè)系統(tǒng)擁有大量用于收集數(shù)據(jù)和監(jiān)測運(yùn)行的傳感器網(wǎng)絡(luò)，導(dǎo)致工業(yè)互聯(lián)網(wǎng)邊界接入點(diǎn)多，安全邊界難以明晰，增加邊界確定和防護(hù)難度。如果控制系統(tǒng)網(wǎng)絡(luò)沒有嚴(yán)格界定清晰的網(wǎng)絡(luò)邊界，就不能保證在網(wǎng)絡(luò)中正確實(shí)施必要的信息安全控制措施。將導(dǎo)致對系統(tǒng)的數(shù)據(jù)的非法訪問，以及相關(guān)的其他問題。

1.2.2.2 缺乏安全防護(hù)，易遭網(wǎng)絡(luò)攻擊

長鋼公司缺乏防火墻和防病毒軟件的保護(hù)，增加了攻擊者入侵的機(jī)會，可能受到惡意軟件和病毒的感染。這些惡意代碼可以傳播到工控系統(tǒng)中，破壞或監(jiān)視系統(tǒng)操作，并導(dǎo)致潛在的災(zāi)難性后果。

1.2.2.3 網(wǎng)絡(luò)流量監(jiān)視和分析不足：

長鋼公司的工控網(wǎng)絡(luò)通常有大量的數(shù)據(jù)流量，但沒有有足夠的監(jiān)視和分析工具來檢測異?；顒?。攻擊者可以利用這一點(diǎn)，而工控系統(tǒng)本身存在許多漏洞，而系統(tǒng)之間的相互連接可能會增加安全風(fēng)險(xiǎn)，使攻擊者有更多的路徑選擇。一旦攻擊者入侵了一個子系統(tǒng)，他們可以利用這個入口滲透到整個生產(chǎn)網(wǎng)絡(luò)，造成巨大的損失。

1.3 數(shù)據(jù)安全方面

1）工業(yè)數(shù)據(jù)由封閉轉(zhuǎn)向開放，數(shù)據(jù)安全風(fēng)險(xiǎn)加大。傳統(tǒng)的工業(yè)控制系統(tǒng)往往是封閉的，數(shù)據(jù)只在內(nèi)部流通，難以被攻擊者竊取或篡改?，F(xiàn)在，隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，越來越多的設(shè)備和系統(tǒng)開始與互聯(lián)網(wǎng)連接，工業(yè)數(shù)據(jù)變得更加開放，數(shù)據(jù)安全風(fēng)險(xiǎn)也因此加大。

2）數(shù)據(jù)流動方向和路徑復(fù)雜，數(shù)據(jù)安全防護(hù)難度增加。在工業(yè)控制系統(tǒng)中，數(shù)據(jù)的流動方向和路徑通常是多樣化和復(fù)雜的。這使得數(shù)據(jù)安全防護(hù)變得更加困難，攻擊者可以利用這些復(fù)雜路徑來繞過安全措施。

3）數(shù)據(jù)傳輸沒有加密保護(hù)措施，通常以明文的形式傳送，這很容易被攻擊者攔截、查看、竊取或篡改這些數(shù)據(jù)。這種情況嚴(yán)重威脅著數(shù)據(jù)的隱私和完整性，尤其對于包含敏感信息的數(shù)據(jù)來說，后果可能會非常嚴(yán)重。

1.4 平臺安全方面

1）責(zé)任主體難以明確。長鋼公司工業(yè)互聯(lián)網(wǎng)涉及多個不同的參與主體，包括設(shè)備制造商、系統(tǒng)集成商和運(yùn)營商等。因此，在平臺安全方面，確定確切的責(zé)任主體變得復(fù)雜，這給安全管理和維護(hù)帶來了巨大挑戰(zhàn)。

2）安全威脅復(fù)雜多樣。工業(yè)互聯(lián)網(wǎng)面臨著各種各樣的安全威脅，如惡意軟件、網(wǎng)絡(luò)釣魚、拒絕服務(wù)攻擊等。這些威脅的類型和數(shù)量多種多樣，攻擊手段也變得越來越復(fù)雜，這給公司平臺安全帶來了巨大挑戰(zhàn)。

3）平臺缺乏安全框架。長鋼公司工業(yè)互聯(lián)網(wǎng)平臺的安全框架相對薄弱，缺乏完善的安全機(jī)制和措施。這導(dǎo)致平臺在應(yīng)對各種安全威脅時缺乏足夠的防護(hù)能力。

2 工控信息網(wǎng)絡(luò)安全防護(hù)

2.1 安全軟件管理

1）在工業(yè)主機(jī)上，只允許運(yùn)行那些經(jīng)過離線驗(yàn)證和安全評估的防病毒軟件或白名單應(yīng)用程序。這些軟件和應(yīng)用還必須得到工業(yè)企業(yè)的授權(quán)才能運(yùn)行。離線驗(yàn)證確保軟件在與互聯(lián)網(wǎng)隔離的環(huán)境中驗(yàn)證其完整性和安全性。同時，安全評估包括對軟件源代碼的審查、漏洞研究以及滲透測試等。這種措施確保了只有來自可靠和受信任來源的軟件才能在主機(jī)上運(yùn)行。

2）為了工業(yè)控制系統(tǒng)和臨時接入設(shè)備的安全，必須實(shí)施防病毒和惡意軟件入侵管理機(jī)制。這些機(jī)制執(zhí)行病毒查殺等預(yù)防措施，確保系統(tǒng)的安全性。

2.2 配置和補(bǔ)丁管理

1）應(yīng)確保工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置得到妥善管理，并為工業(yè)控制系統(tǒng)建立配置清單，定期進(jìn)行配置審計(jì)。

2）在實(shí)施重大配置變更前，應(yīng)制定變更計(jì)劃并進(jìn)行影響分析，確保變更前經(jīng)過嚴(yán)格的安全測試。

3）應(yīng)時刻關(guān)注重大的工控安全漏洞及其補(bǔ)丁發(fā)布，及時采取補(bǔ)丁升級措施。在安裝補(bǔ)丁前，還要對補(bǔ)丁進(jìn)行嚴(yán)格的安全評估和測試驗(yàn)證。

2.3 邊界安全防護(hù)

1）應(yīng)將工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境相互分離。

2）使用工業(yè)控制網(wǎng)絡(luò)邊界防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，確保沒有防護(hù)的工業(yè)控制網(wǎng)絡(luò)不與互聯(lián)網(wǎng)連接。

3）通過工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備，為工業(yè)控制網(wǎng)絡(luò)安全區(qū)域提供邏輯隔離安全防護(hù)。

2.4 物理環(huán)境安全防護(hù)

1）對于重要的工程師站、數(shù)據(jù)庫、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域，應(yīng)采取訪問控制、視頻監(jiān)控、人員值守等物理安全防護(hù)措施。

2）拆除或封閉工業(yè)主機(jī)上不必要的接口，如USB、光驅(qū)、無線等。如果確實(shí)需要使用這些接口，應(yīng)通過主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格的訪問控制。

2.5 身份認(rèn)證管理

1）在工業(yè)主機(jī)的登錄、應(yīng)用服務(wù)資源的訪問以及工業(yè)平臺的訪問等過程中，應(yīng)實(shí)施身份認(rèn)證管理。對于關(guān)鍵設(shè)備、系統(tǒng)和平臺的訪問，應(yīng)采用多因素認(rèn)證方式。

2）應(yīng)合理地分類設(shè)置賬戶權(quán)限，按照最小特權(quán)原則來分配賬戶權(quán)限。

3）加強(qiáng)工業(yè)控制設(shè)備、SCADA 軟件、工業(yè)通信設(shè)備等的登錄賬戶及密碼的安全性，避免使用默認(rèn)口令或弱口令，并定期更新口令。

4）應(yīng)加大對身份認(rèn)證證書信息的保護(hù)力度，禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享這些證書信息。

2.6 進(jìn)程訪問管理

1）原則上應(yīng)嚴(yán)格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)，如HTTP、FTP、Telnet 等。

2）如果確實(shí)需要進(jìn)程訪問，應(yīng)采用數(shù)據(jù)單向訪問控制等策略進(jìn)行安全加固，控制訪問時限，并采用加標(biāo)鎖定策略。

3）對于確實(shí)需要的進(jìn)程維護(hù)，應(yīng)采用虛擬專用網(wǎng)絡(luò)（VPN）等安全的進(jìn)程接入方式進(jìn)行。

4）應(yīng)保留工業(yè)控制系統(tǒng)的相關(guān)訪問日志，并對操作過程進(jìn)行安全審計(jì)，確保系統(tǒng)的安全和可追溯性。

2.7 數(shù)據(jù)安全管理

1）應(yīng)對在靜態(tài)存儲和動態(tài)傳輸過程中的重要工業(yè)數(shù)據(jù)進(jìn)行保護(hù)，并基于風(fēng)險(xiǎn)評估結(jié)果對數(shù)據(jù)信息進(jìn)行分級分類管理，確保數(shù)據(jù)的安全性和完整性。

2）對測試數(shù)據(jù)進(jìn)行保護(hù)。

3 結(jié)語

企業(yè)網(wǎng)絡(luò)安全防護(hù)需要一套綜合性的技術(shù)與管理措施，企業(yè)網(wǎng)絡(luò)安全是一項(xiàng)長期且緊迫的任務(wù)。通過采用多層次、綜合性的安全防護(hù)策略，結(jié)合新型的技術(shù)手段，企業(yè)可以更好地應(yīng)對不斷演變的網(wǎng)絡(luò)威脅，確保敏感數(shù)據(jù)的保護(hù)和業(yè)務(wù)的持續(xù)穩(wěn)定運(yùn)行。在未來的發(fā)展中，網(wǎng)絡(luò)安全將繼續(xù)成為企業(yè)不可忽視的核心議題。