鋼鐵冶金行業(yè)工控安全的研究

靖長(zhǎng)續(xù)，付春剛，李春雷

（山信軟件股份有限公司，山東 濟(jì)南250101）

1 前 言

工業(yè)控制系統(tǒng)（ICS）負(fù)責(zé)不同過(guò)程的自動(dòng)化以及對(duì)系統(tǒng)的整體控制，現(xiàn)如今，信息化和工業(yè)化得到了深度融合，工業(yè)控制產(chǎn)品越來(lái)越多采用通用協(xié)議、通用軟硬件，以各種方式與公共網(wǎng)絡(luò)連接，嚴(yán)重影響了關(guān)鍵工業(yè)基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行［1］。作為工業(yè)控制系統(tǒng)（ICS）得到廣泛應(yīng)用的鋼鐵冶金行業(yè)，工控安全問(wèn)題尤為突出。

2 工控安全與傳統(tǒng)信息安全的差異

ICS 系統(tǒng)從根本上不同于傳統(tǒng)的IT 系統(tǒng)，這使保護(hù)ICS系統(tǒng)的過(guò)程更加復(fù)雜。ICS和IT環(huán)境之間的差異存在于其整個(gè)的產(chǎn)品生命期。對(duì)于ICS 系統(tǒng)，生命期一般＞15 a，而IT系統(tǒng)通常每3～5 a更換一次。由于ICS具有實(shí)時(shí)性，因此其可用性和應(yīng)急性要求也更高，這使得補(bǔ)丁更新和替換周期難以像IT系統(tǒng)中那樣頻繁進(jìn)行。ICS通常在專門的操作環(huán)境中使用現(xiàn)成的協(xié)議（例如Modbus和DNP3），而不會(huì)如IT系統(tǒng)一樣額外制定專屬的IT協(xié)議。本質(zhì)上，IT 管理數(shù)據(jù)而ICS管理物理環(huán)境，并且實(shí)時(shí)通信在ICS中至關(guān)重要，故而ICS中應(yīng)急響應(yīng)更加重要。所以，相對(duì)于傳統(tǒng)信息安全注重的數(shù)據(jù)機(jī)密性、完整性和可用性，工控安全更注重可用性以保證ICS的連續(xù)運(yùn)行，這就使得容錯(cuò)對(duì)ICS非常重要。最后，與IT組件相比，ICS組件中的系統(tǒng)內(nèi)存往往非常受限制，這進(jìn)一步增加了保證工控安全的難度。

3 行業(yè)隱患

相對(duì)于傳統(tǒng)信息安全來(lái)說(shuō)，由于工控設(shè)備功能簡(jiǎn)單，設(shè)計(jì)規(guī)范，且大部分的工業(yè)協(xié)議都不具備安全防護(hù)特征，以至于黑客僅需少許計(jì)算機(jī)知識(shí)就可以完成其逆向工程［2］。

鋼鐵冶金行業(yè)對(duì)ICS高度依賴，由于在ICS中，從基本的傳感器和執(zhí)行器到高度復(fù)雜的可編程邏輯控制器（PLC）由世界各地不同的組件制造商制作，并且各制造商選用的標(biāo)準(zhǔn)以及協(xié)議的不同，導(dǎo)致了這種基礎(chǔ)架構(gòu)的復(fù)雜性和異構(gòu)性，并成倍的增加了鋼鐵冶金行業(yè)的受攻擊面。鋼鐵冶金行業(yè)在工控安全方面主要存在以下隱患。

3.1 邊界隔離問(wèn)題

典型的鋼鐵冶金企業(yè)網(wǎng)絡(luò)一般由五層架構(gòu)組成，如圖1 所示?；A(chǔ)的L1 層生產(chǎn)設(shè)備控制系統(tǒng)，各分廠的PLC、工程師站等設(shè)備分布于此。L2層面向生產(chǎn)過(guò)程和控制的PCS（過(guò)程控制）系統(tǒng)，包含通訊服務(wù)器以及骨干網(wǎng)交換機(jī)。這兩層在鋼鐵冶金行業(yè)中存在著大量已知和未知的可利用漏洞，隨著智慧工廠、物聯(lián)網(wǎng)的發(fā)展，邊界越來(lái)越多且越來(lái)越模糊，這些漏洞所存在的重大隱患也就越發(fā)凸顯。由于沒有進(jìn)行有效的邊界隔離，各區(qū)域間通信網(wǎng)絡(luò)安全隱患重重，當(dāng)一個(gè)系統(tǒng)或區(qū)域內(nèi)爆發(fā)工控安全事件后，會(huì)輕易地?cái)U(kuò)散到其他系統(tǒng)或區(qū)域里。

圖1 典型鋼鐵冶金企業(yè)網(wǎng)絡(luò)架構(gòu)

3.2 審計(jì)缺失

審計(jì)可用于記錄、審查主體對(duì)客體進(jìn)行訪問(wèn)和使用情況，保證安全規(guī)則被正確執(zhí)行，并且可以幫助分析安全事故產(chǎn)生的原因。鋼鐵冶金企業(yè)內(nèi)部通常根據(jù)生產(chǎn)產(chǎn)品的不同劃分為一個(gè)個(gè)單獨(dú)的生產(chǎn)廠區(qū)，而各廠區(qū)缺少惡意代碼監(jiān)測(cè)、異常監(jiān)測(cè)、安全審計(jì)等一系列的監(jiān)測(cè)審計(jì)措施，由此導(dǎo)致了工控安全事故發(fā)生前無(wú)法提前預(yù)警，工控安全事故發(fā)生后，企業(yè)也很難查清工控安全事故產(chǎn)生的原因，無(wú)法采取有效措施防止相同工控安全事故的再次發(fā)生。

3.3 關(guān)鍵設(shè)備未進(jìn)行安全加固

未對(duì)工程師站、操作站主機(jī)及服務(wù)器進(jìn)行安全加固，不能有效地管理移動(dòng)外設(shè)，工控主機(jī)作為上位機(jī)極易受到病毒及誤操作的影響。帶毒USB、光驅(qū)等外部設(shè)備的接入和使用，為木馬和病毒的入侵提供了通道。

3.4 第三方威脅

第三方運(yùn)維人員（特別是國(guó)外的技術(shù)人員）在進(jìn)行現(xiàn)場(chǎng)或遠(yuǎn)程運(yùn)維時(shí)，由于思維方式和工作習(xí)慣的不同以及缺乏對(duì)于工控安全的認(rèn)知，相關(guān)人員在運(yùn)維以及調(diào)試過(guò)程中很有可能對(duì)工業(yè)控制系統(tǒng)及網(wǎng)絡(luò)帶來(lái)誤操作、病毒等安全隱患。

3.5 監(jiān)控系統(tǒng)分散

未能建立統(tǒng)一的安全管理監(jiān)控系統(tǒng)，使得相關(guān)工控系統(tǒng)事件不能統(tǒng)一收集、分析。當(dāng)工控安全事件發(fā)生時(shí)，相關(guān)人員不易關(guān)聯(lián)分析設(shè)備間的事件和日志，對(duì)于復(fù)雜的工控安全事故問(wèn)題難以及時(shí)發(fā)現(xiàn)，且事后難以形成有效且可信的記錄。

4 解決方案

圖2 工控安全系統(tǒng)布局

4.1 工業(yè)防火墻

在L1、L2 與L3 之間的關(guān)鍵位置部署具有工業(yè)協(xié)議深度解析功能的工控防火墻，如圖2 所示，實(shí)現(xiàn)針對(duì)工控網(wǎng)絡(luò)及工業(yè)協(xié)議的邏輯隔離、報(bào)文過(guò)濾、訪問(wèn)控制等功能。安裝位置為交換機(jī)前或后，具體位置視所選型號(hào)工業(yè)防火墻的接口數(shù)量和現(xiàn)場(chǎng)情況而定。若接口數(shù)量允許且各通道互不影響，那么將工業(yè)防火墻安裝在交換機(jī)之前，按照設(shè)備→工業(yè)防火墻→交換機(jī)→通訊服務(wù)器方式連接；若接口數(shù)量不足，那么應(yīng)安裝在交換機(jī)之后，按照設(shè)備→交換機(jī)→工業(yè)防火墻→通訊服務(wù)器方式連接。通過(guò)加裝工業(yè)防火墻，并配置防火墻安全規(guī)則（包過(guò)濾、規(guī)則學(xué)習(xí)、攻擊防護(hù)、IP/MAC等）可以有效實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)邊界及工業(yè)控制系統(tǒng)內(nèi)部不同控制區(qū)域之間的邊界防護(hù)［3］。

4.2 安全監(jiān)測(cè)

部署入侵檢測(cè)系統(tǒng)和工控威脅檢測(cè)系統(tǒng)，在廠區(qū)邊界進(jìn)行安全監(jiān)測(cè)，為了減少對(duì)網(wǎng)絡(luò)的影響，應(yīng)采用不影響原有網(wǎng)絡(luò)環(huán)境的“輕接觸”接入方式分析來(lái)自網(wǎng)絡(luò)內(nèi)外的入侵信號(hào)及APT 攻擊。入侵檢測(cè)系統(tǒng)可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)傳輸，自動(dòng)檢測(cè)可疑行為，分析來(lái)自網(wǎng)絡(luò)內(nèi)部和外部的入侵信號(hào)。工控威脅檢測(cè)系統(tǒng)可以對(duì)格式文檔溢出特種木馬、滲透行為等未知威脅進(jìn)行有效的檢測(cè)，發(fā)現(xiàn)ATP攻擊，及時(shí)發(fā)現(xiàn)威脅，采取正確的處理措施。

4.3 安全加固

依靠病毒治理、主機(jī)加固及工業(yè)“白名單”防護(hù)技術(shù)三合一的主機(jī)防護(hù)系統(tǒng)，通過(guò)部署工控防火墻和主機(jī)安全防護(hù)系統(tǒng)對(duì)關(guān)鍵的工控主機(jī)及服務(wù)器進(jìn)行安全加固及審計(jì)自查。通過(guò)工控防火墻阻止來(lái)自管理網(wǎng)不同區(qū)域間的安全威脅，對(duì)工業(yè)控制系統(tǒng)邊界及工業(yè)控制系統(tǒng)內(nèi)部不同控制區(qū)域之間進(jìn)行邊界防護(hù)。通過(guò)主機(jī)安全防護(hù)系統(tǒng)對(duì)操作員站、工程師站、服務(wù)器等工控主機(jī)進(jìn)行安全加固，實(shí)時(shí)檢測(cè)發(fā)現(xiàn)和阻止各種主機(jī)威脅，對(duì)系統(tǒng)關(guān)鍵資源進(jìn)行防護(hù)。通過(guò)建立資產(chǎn)、會(huì)話、應(yīng)用通訊數(shù)據(jù)3 個(gè)層次的“白名單”防護(hù)機(jī)制，防范已知惡意代碼和各類未知惡意軟件的感染、運(yùn)行和擴(kuò)散。

4.4 運(yùn)維審計(jì)系統(tǒng)

建立賬號(hào)管理及運(yùn)維審計(jì)系統(tǒng)，解決遠(yuǎn)程連接、第三方運(yùn)維帶來(lái)的權(quán)限泛濫、非法接入及權(quán)責(zé)不明等問(wèn)題。通過(guò)對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、工控系統(tǒng)、數(shù)據(jù)庫(kù)的訪問(wèn)進(jìn)行有效管控，實(shí)現(xiàn)集中精細(xì)化運(yùn)維管控與審計(jì)。通過(guò)對(duì)分布于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的流量提取對(duì)工業(yè)控制系統(tǒng)中的工控語(yǔ)言進(jìn)行專項(xiàng)解讀，建立工控網(wǎng)絡(luò)安全審計(jì)機(jī)制和安全基線，實(shí)現(xiàn)安全事件預(yù)警。

4.5 安全管理平臺(tái)

部署安全管理平臺(tái)，對(duì)工控安全設(shè)備進(jìn)行集中管理，對(duì)安全設(shè)備、網(wǎng)絡(luò)設(shè)備和主機(jī)等的日志及告警信息進(jìn)行收集分析，實(shí)現(xiàn)數(shù)據(jù)的聯(lián)動(dòng)分析和集中展示，進(jìn)而實(shí)現(xiàn)態(tài)勢(shì)感知。對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、工控系統(tǒng)、數(shù)據(jù)庫(kù)的訪問(wèn)進(jìn)行有效管控，實(shí)現(xiàn)集中精細(xì)化運(yùn)維管控與審計(jì)，降低人為安全風(fēng)險(xiǎn)，避免安全損失，滿足合規(guī)要求，保障企業(yè)效益。

4.6 加強(qiáng)人員管理

加強(qiáng)相關(guān)人員的管理，增強(qiáng)安全意識(shí)，建立標(biāo)準(zhǔn)化管理體系，制定詳細(xì)措施保證企業(yè)員工自己不犯錯(cuò)，建立相關(guān)考核體系，對(duì)第三方進(jìn)行管理。提高安全意識(shí)，保障所制定的工控安全管控規(guī)章制度得到認(rèn)真的貫徹與落實(shí)，加強(qiáng)監(jiān)管力度，才能為工控安全提供切實(shí)的保障。對(duì)于核心設(shè)備區(qū)域以及無(wú)人值守的站點(diǎn)采取必要的物理防范措施，如增加視頻監(jiān)控系統(tǒng)、電子門禁系統(tǒng)等阻止相關(guān)人員未經(jīng)授權(quán)進(jìn)入對(duì)應(yīng)區(qū)域，也方便事故發(fā)生后的審計(jì)和追查［4］。

5 結(jié) 語(yǔ)

工控安全作為一項(xiàng)系統(tǒng)工程，需要多方面協(xié)同，軟件硬件結(jié)合。工控安全不存在一勞永逸的完美解決方案，隨著科技的進(jìn)步與設(shè)備的更新?lián)Q代，工控安全的完善應(yīng)在整個(gè)工業(yè)控制系統(tǒng)的生命周期中持續(xù)進(jìn)行，最終達(dá)到威脅可防、安全配置可查、網(wǎng)絡(luò)通訊可管、風(fēng)險(xiǎn)可控、系統(tǒng)安全可信［5］。