工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全存在的問題及改進(jìn)措施

溫曉明，賈 斌

（山東鋼鐵集團(tuán)日照有限公司，山東日照 276800）

0 引言

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展、鋼鐵行業(yè)信息化的推進(jìn)，EMS（能源管理系統(tǒng)）和MES（生產(chǎn)過程執(zhí)行系統(tǒng)）建設(shè)日益增多，這些子系統(tǒng)負(fù)責(zé)原料供應(yīng)、焦化、燒結(jié)、除塵、煉鐵、煉鋼、連鑄、熱軋以及冷軋等多工序的控制任務(wù)，一旦受到惡性攻擊或者病毒的襲擊，將導(dǎo)致工業(yè)控制系統(tǒng)的控制組件和整個(gè)生產(chǎn)線停運(yùn)，甚至造成傷亡等嚴(yán)重后果。工業(yè)控制網(wǎng)絡(luò)安全十分重要，第一，它的保護(hù)攻擊主題是特殊的，不同于傳統(tǒng)的網(wǎng)絡(luò)攻擊，如網(wǎng)絡(luò)欺詐和網(wǎng)絡(luò)入侵，目的是賺錢和利潤。從一般意義上說，工業(yè)入侵者不會(huì)是“黑客”，但可能是恐怖組織甚至敵對勢力支持的組織；其次，攻擊和破壞的后果嚴(yán)重。

在自動(dòng)化發(fā)展的初期，工廠控制系統(tǒng)網(wǎng)絡(luò)相對封閉，工業(yè)控制系統(tǒng)一度被認(rèn)為是絕對獨(dú)立的，不可能受到外部網(wǎng)絡(luò)攻擊的。但近年來，為了實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)采集和生產(chǎn)控制，通過邏輯隔離，滿足“兩化融合”的需求和管理的便利性。工業(yè)互聯(lián)網(wǎng)的興起，遠(yuǎn)程運(yùn)維需求迫切，通過互聯(lián)網(wǎng)對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊也逐年增加，國內(nèi)外生產(chǎn)企業(yè)已經(jīng)加快了工業(yè)控制系統(tǒng)的安全控制措施的建設(shè)。

1 工業(yè)控制網(wǎng)絡(luò)的安全需求

1.1 網(wǎng)絡(luò)邊界防護(hù)需求

生產(chǎn)網(wǎng)絡(luò)內(nèi)邊界缺乏有效的防護(hù)措施，無法有效保護(hù)各業(yè)務(wù)系統(tǒng)的安全。

1.2 遠(yuǎn)程訪問防護(hù)需求

生產(chǎn)控制網(wǎng)絡(luò)存在遠(yuǎn)程維護(hù)通道，很多工業(yè)控制設(shè)備維護(hù)依賴提供商，由此也帶來了入侵的途徑，存在一定的安全隱患。

1.3 網(wǎng)絡(luò)監(jiān)測與審計(jì)需求

生產(chǎn)網(wǎng)絡(luò)內(nèi)缺少安全審計(jì)設(shè)備，無法對網(wǎng)絡(luò)中的攻擊行為、數(shù)據(jù)流量、重要操作等進(jìn)行監(jiān)測審計(jì)，一旦出現(xiàn)安全事故無法進(jìn)行事后審計(jì)。

1.4 操作系統(tǒng)漏洞管理需求

生產(chǎn)網(wǎng)絡(luò)中的工控機(jī)多數(shù)使用微軟、Linux 操作系統(tǒng)，由于生產(chǎn)控制網(wǎng)絡(luò)的封閉及控制系統(tǒng)對業(yè)務(wù)實(shí)時(shí)性要求較高，無法進(jìn)行正常的系統(tǒng)漏洞升級(jí)操作，導(dǎo)致使用的微軟操作系統(tǒng)存在大量安全漏洞。

1.5 惡意代碼風(fēng)險(xiǎn)防范需求

生產(chǎn)系統(tǒng)中工業(yè)控制主機(jī)操作系統(tǒng)沒有安裝殺毒軟件，或者安裝殺毒軟件，但限于工業(yè)網(wǎng)絡(luò)狀態(tài)，缺少惡意代碼防護(hù)功能，長期沒有代碼更新，一旦受到惡意代碼攻或感染，容易導(dǎo)致工業(yè)控制系統(tǒng)受到攻擊，引發(fā)運(yùn)行事件，甚至造成人員財(cái)產(chǎn)損失。

1.6 外設(shè)接口風(fēng)險(xiǎn)防護(hù)需求

生產(chǎn)系統(tǒng)內(nèi)等工業(yè)控制主機(jī)可以通過移動(dòng)介質(zhì)傳播，如U盤等，移動(dòng)介質(zhì)在管理網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)之間交叉使用，難免會(huì)感染病毒或惡意代碼，進(jìn)而導(dǎo)致上位機(jī)被攻擊，引發(fā)安全風(fēng)險(xiǎn)。

1.7 應(yīng)用軟件風(fēng)險(xiǎn)需求

根據(jù)ICS-CERT（美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)中心）和CNVD（國家信息安全漏洞共享平臺(tái)）權(quán)威統(tǒng)計(jì)，目前常用的工業(yè)控制軟件（如SCADA 等），均或多或少存在安全漏洞，限于工廠實(shí)際情況又難以及時(shí)更新補(bǔ)丁，漏洞一旦被利用將導(dǎo)致安全事故。其次，工業(yè)軟件通常采用工業(yè)協(xié)議進(jìn)行數(shù)據(jù)傳輸，網(wǎng)絡(luò)上需要開放對應(yīng)的端口，有的工業(yè)協(xié)議采用動(dòng)態(tài)端口（如OPC），常規(guī)的IT 防火墻很難識(shí)別工業(yè)協(xié)議，難以保障其安全性。第三，工業(yè)軟件的維護(hù)多依靠供應(yīng)商，為了維護(hù)方便，基本采用默認(rèn)配置和默認(rèn)口令，存在一定的安全風(fēng)險(xiǎn)。

1.8 工控安全管理需求

安全管理措施也是必不可少的手段，安全技術(shù)措施和安全管理措施互為補(bǔ)充，建立有效的技術(shù)措施，建立健全安全管理制度，完善安全管理措施，共同構(gòu)建全面、有效的信息安全保障體系。

2 工業(yè)控制安全防護(hù)措施

面對整個(gè)工業(yè)網(wǎng)內(nèi)的各種工業(yè)控制網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作站以及安全設(shè)備，如何有效管理，掌握各個(gè)點(diǎn)的風(fēng)險(xiǎn)狀況，掌握整個(gè)工業(yè)控制系統(tǒng)的安全狀況，及時(shí)處理各種設(shè)備故障和威脅是工業(yè)安全建設(shè)的重要組成部分。

鋼鐵企業(yè)信息化系統(tǒng)一般分為4 層，L4 是面向整個(gè)企業(yè)內(nèi)部管理與計(jì)劃的ERP（企業(yè)資源計(jì)劃）系統(tǒng)，L3 是面向生產(chǎn)與執(zhí)行過程的MES 系統(tǒng)，L2 是面向生產(chǎn)過程與控制的PCS（過程控制）系統(tǒng)，L1 是生產(chǎn)設(shè)備控制系統(tǒng)。本次工業(yè)控制改進(jìn)措施以評估為先導(dǎo)，實(shí)現(xiàn)3 層安全隔離，構(gòu)建一套安全監(jiān)測與審計(jì)，全覆蓋終端安全加固?，F(xiàn)有生產(chǎn)網(wǎng)絡(luò)運(yùn)行環(huán)境比較穩(wěn)定，系統(tǒng)更新頻率低，結(jié)合工業(yè)和信息化部發(fā)布的《工業(yè)安全系統(tǒng)信息安全保護(hù)指南》對工業(yè)控制主機(jī)安全軟件選擇和管理的要求，提出一種基于“白名單”機(jī)制的工業(yè)控制系統(tǒng)信息安全“白環(huán)境”解決措施。收集和分析工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)與軟件運(yùn)行狀態(tài)，并在工業(yè)控制系統(tǒng)的正常工作環(huán)境下建立安全狀態(tài)基線和模型，然后建立一個(gè)工業(yè)安全的“白色環(huán)境”并確保：只有可信任的設(shè)備，才能接入工業(yè)控制網(wǎng)絡(luò)系統(tǒng)；只有可信任的消息，才能在工業(yè)控制網(wǎng)絡(luò)系統(tǒng)中傳輸；只有可信任的軟件，才允許被執(zhí)行。

3.1 改進(jìn)原則

3.1.1 建立高等級(jí)的安全體系結(jié)構(gòu)

建立高等級(jí)的安全體系機(jī)構(gòu)，保障信息系統(tǒng)的安穩(wěn)運(yùn)行。任何信息系統(tǒng)都包括3 個(gè)層次：計(jì)算環(huán)境，區(qū)域邊界和通信網(wǎng)絡(luò)。計(jì)算環(huán)境的安全性是信息系統(tǒng)安全的核心，也是授權(quán)和訪問控制的源泉，必須定期檢查計(jì)算環(huán)境的安全性，并根據(jù)每次的檢查結(jié)果進(jìn)行改進(jìn)；區(qū)域邊界是計(jì)算環(huán)境的邊界，控制和保護(hù)進(jìn)出計(jì)算環(huán)境的信息，阻斷非法的、偽裝、未授權(quán)的連接通過；通信網(wǎng)絡(luò)是計(jì)算環(huán)境之間的信息傳遞功能的一部分，保證網(wǎng)絡(luò)環(huán)境，阻斷網(wǎng)絡(luò)攻擊等。

3.1.2 加強(qiáng)源頭控制，實(shí)現(xiàn)縱深防御

終端是所有不安全問題的根源。努力消除不安全的根本原因，重要信息不會(huì)泄漏出終端，病毒，木馬無法入侵終端，內(nèi)部惡意用戶無法從網(wǎng)絡(luò)中攻擊信息系統(tǒng)安全，解決內(nèi)部用戶攻擊問題。安全操作系統(tǒng)是終端安全的核心和基礎(chǔ)。如果沒有安全操作系統(tǒng)的支持，則無法保證終端安全，必須加強(qiáng)源頭控制，實(shí)現(xiàn)縱深防御。

3.1.3 分區(qū)分域，適度防護(hù)

在信息安全防御體系建設(shè)過程中，需要考慮對內(nèi)部的防護(hù)，突出適度防護(hù)的原則。一方面，要嚴(yán)格遵守各級(jí)保護(hù)要求，加強(qiáng)網(wǎng)絡(luò)、終端、應(yīng)用、數(shù)據(jù)庫等方面的積極預(yù)防措施，確保信息系統(tǒng)的機(jī)密性，完整性和可用性；另外也要從綜合成本的角度，提出針對區(qū)域業(yè)務(wù)特點(diǎn)的保護(hù)強(qiáng)度，在不影響信息系統(tǒng)整體安全性的前提下，安全防護(hù)系統(tǒng)根據(jù)區(qū)域保護(hù)強(qiáng)度設(shè)計(jì)和建造，有效控制成本。

3.2 改進(jìn)措施

根據(jù)網(wǎng)絡(luò)安全保護(hù)要求，安全域劃分如圖1 所示。工業(yè)防火墻部署在匯聚機(jī)房，工業(yè)防火墻雙擊熱備，一旦一個(gè)防火墻有問題，不影響業(yè)務(wù)中斷。

圖1 生產(chǎn)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D

按照自動(dòng)化生產(chǎn)工序，在不同安全級(jí)別網(wǎng)絡(luò)（燒結(jié)、高爐、煉鋼、熱軋、冷軋以及爐卷）的邊界處部署工業(yè)防火墻設(shè)備，工業(yè)防火墻支持雙機(jī)熱備，通過隔離不同網(wǎng)絡(luò)、訪問控制規(guī)則、對進(jìn)出的數(shù)據(jù)包進(jìn)行過濾等措施，保護(hù)子網(wǎng)不被非法攻擊和訪問。同時(shí)，通過防火墻的策略，實(shí)現(xiàn)不同網(wǎng)絡(luò)之間數(shù)據(jù)的共享與互訪設(shè)置訪問控制策略，對內(nèi)外數(shù)據(jù)進(jìn)行有效防護(hù)。工業(yè)防火墻設(shè)備支持工業(yè)通信協(xié)議深度解析，支持“白名單”機(jī)制，僅允許合規(guī)數(shù)據(jù)在網(wǎng)絡(luò)上傳輸，用于工業(yè)控制網(wǎng)絡(luò)系統(tǒng)縱向?qū)蛹?jí)之間的安全控制。

在工業(yè)控制保護(hù)區(qū)部署網(wǎng)絡(luò)審計(jì)設(shè)備，審計(jì)網(wǎng)絡(luò)中的行為。確保觸發(fā)審計(jì)系統(tǒng)的事件存儲(chǔ)在審計(jì)系統(tǒng)中，并根據(jù)存儲(chǔ)的記錄和操作員的權(quán)限執(zhí)行查詢，統(tǒng)計(jì)，管理和維護(hù)等操作。必要時(shí)，可以從記錄中提取必要的數(shù)據(jù)。

做好生產(chǎn)控制區(qū)和辦公區(qū)的邊界防護(hù)，避免2 個(gè)網(wǎng)絡(luò)間惡意攻擊行為的串?dāng)_。實(shí)現(xiàn)對生產(chǎn)區(qū)內(nèi)工控主機(jī)的安全防護(hù)，通過白名單機(jī)制構(gòu)建安全基線，防止病毒木馬、惡意軟件對系統(tǒng)的破壞；可實(shí)現(xiàn)對生產(chǎn)區(qū)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測與審計(jì)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在違反安全策略的行為和被攻擊的跡象，提高工控網(wǎng)絡(luò)對安全威脅的反應(yīng)能力和應(yīng)對能力；可實(shí)現(xiàn)對生產(chǎn)區(qū)內(nèi)工控主機(jī)、數(shù)據(jù)庫服務(wù)器、歷史數(shù)據(jù)庫服務(wù)器、接口機(jī)等設(shè)備進(jìn)行安全加固；可對生產(chǎn)區(qū)網(wǎng)絡(luò)內(nèi)入侵行為進(jìn)行探測，第一時(shí)間內(nèi)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)入侵行為并及時(shí)可實(shí)現(xiàn)對生產(chǎn)控制系統(tǒng)內(nèi)主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序進(jìn)行統(tǒng)一的安全管控，對運(yùn)維和管理人員賬號(hào)使用情況進(jìn)行畫面監(jiān)視和記錄，降低運(yùn)維管理成本。

入侵檢測系統(tǒng)可以檢測生產(chǎn)控制區(qū)域網(wǎng)絡(luò)中的入侵行為，并在第一時(shí)間檢測到網(wǎng)絡(luò)中的入侵行為并及時(shí)報(bào)警。通過手機(jī)和網(wǎng)絡(luò)密鑰集信息的分析，可以發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在違反安全策略和被攻擊跡象的行為。

通過在生產(chǎn)控制區(qū)部署堡壘主機(jī)，實(shí)時(shí)監(jiān)視整個(gè)計(jì)算機(jī)監(jiān)控系統(tǒng)內(nèi)主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序進(jìn)行安全管控，監(jiān)控并記錄操作和維護(hù)人員帳戶的操作和維護(hù)。

3 結(jié)語

通過建立工控保護(hù)區(qū)并部署工控安全設(shè)備，建立合理的網(wǎng)絡(luò)邊界，通過隔離不同網(wǎng)絡(luò)、訪問控制規(guī)則和對進(jìn)出的數(shù)據(jù)包進(jìn)行過濾等措施，實(shí)現(xiàn)不同網(wǎng)絡(luò)之間數(shù)據(jù)的共享與互通，保護(hù)子網(wǎng)不被非法攻擊，對工控網(wǎng)絡(luò)進(jìn)行可用性、性能和服務(wù)水平的統(tǒng)一監(jiān)控管理，保證工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行。