工業(yè)控制系統(tǒng)網絡安全等級保護建設與管理探討

陳丹 湯蕊

1.暨南大學 廣東 廣州 510632；

2.中船黃埔文沖船舶有限公司 廣東 廣州 510715

引言

近年來，工業(yè)控制系統(tǒng)信息安全事件不斷發(fā)生，“震網”、“火焰”、“毒區(qū)”、“Havex”等惡意軟件嚴重影響了關鍵工業(yè)基礎設施的穩(wěn)定運行，充分反映了工業(yè)控制系統(tǒng)信息安全面臨的嚴峻形勢。隨著等保進入2.0時代，工業(yè)控制系統(tǒng)的信息安全也重新提到了一個前所未有的高度，在大力發(fā)展信息產業(yè)的同時，工業(yè)控制系統(tǒng)逐步從單機走向互聯(lián)、從封閉走向開放，為網絡安全威脅向其加速滲透提供了條件，工業(yè)領域面臨的信息安全形勢日益緊迫，亟須加速完善工業(yè)控制系統(tǒng)安全保障體系。

1 工業(yè)控制系統(tǒng)安全現(xiàn)狀分析

1.1 行業(yè)外部威脅

隨著網絡作戰(zhàn)以及有組織黑客越來越多地開始針對工控網進行攻擊，工控網的安全問題日益成為很多企業(yè)的網絡安全的頭等大事。目前絕大多數(shù)的工控網基本處于不設防的狀態(tài)，因此，在工控網安全方面，存在著很多漏洞和誤區(qū)。

同時伴隨著工業(yè)信息化進程的快速推進，為實現(xiàn)系統(tǒng)間的協(xié)同和信息分享，工業(yè)控制系統(tǒng)也逐漸打破了以往的封閉性，采用標準、通用的通信協(xié)議及硬軟件系統(tǒng)，企業(yè)工控系統(tǒng)目前面臨的攻擊主要是在系統(tǒng)信息收集以及工控數(shù)據(jù)篡改。

1.2 行業(yè)內部威脅

1.2.1 普遍未對工業(yè)控制網絡區(qū)域間進行隔離、惡意代碼、異常監(jiān)測、訪問控制等一系列的防護措施，很容易一點發(fā)生病毒或攻擊，影響整個區(qū)域甚至全網絡。

1.2.2 缺乏清晰的網絡邊界及邊界訪問控制措施，各區(qū)域間網絡簡單地冗余互聯(lián)。

1.2.3 缺乏惡意程序防護措施，生產網絡中大量上位機操作系統(tǒng)老舊，系統(tǒng)補丁、病毒庫長期不更新，難以防范惡意軟件攻擊。

1.2.4 缺乏安全事件監(jiān)管機制，缺乏對工業(yè)以太網的可感知與可控制[1]。

2 管理體系建設與管理

為了切實保證工業(yè)控制系統(tǒng)的安全，除了采取必要的安全技術措施外，行業(yè)內應根據(jù)具體情況建立一整套安全管理體系，從組織上、措施上、制度上以及人員方面為用戶信息系統(tǒng)的安全運行提供強有力的保障。

2.1 安全管理機構

生產單位結合實際業(yè)務需求及保密制度的相關要求，明確安全組織機構能合理地協(xié)調各方面因素，實現(xiàn)安全組織的規(guī)范化、科學化，通過對信息安全建設進行監(jiān)督管理和檢查指導，能統(tǒng)一規(guī)劃工業(yè)控制系統(tǒng)網絡安全管理體系，有效組織貫徹落實黨和國家制定的網絡安全和信息化工作方針、政策、法規(guī)。

2.2 安全管理制度

從安全策略、管理制度、操作規(guī)程三方面制定安全管理制度體系，確保正確執(zhí)行信息安全策略，落實安全保密要求，實現(xiàn)信息系統(tǒng)、信息設備和存儲設備可管、可用、可控、可查、可審、可追溯，減少人為因素影響。

策略作為生產單位網絡與信息安全的基本要求，主要明確信息安全要求，是制定信息安全專項管理制度、專項管理辦法等相關制度的依據(jù)；專項管理制度屬于二級文件，指導網絡與信息安全正常運行的規(guī)范性要求；專項管理辦法是安全策略在信息系統(tǒng)、信息設備和存儲設備上具體實現(xiàn)的操作步驟。應急預案是應對面臨的安全風險充分分析，制訂信息安全應急響應預案，對可能發(fā)生的病毒、黑客攻擊等各種潛在威脅制訂響應策略。

2.3 安全運維管理

定期開展工控安全風險評估，形成安全測評報告，并提出整改建議和計劃；應采取必要的措施識別安全漏洞和隱患，并根據(jù)風險分析的后果，對發(fā)現(xiàn)的安全漏洞和隱患在確保安全生產的情況下及時進行修補。

3 技術防護體系建設與管理

技術防護體系是實現(xiàn)工業(yè)控制系統(tǒng)安全的手段，從技術層面上，利用多種成熟、先進的技術措施，實現(xiàn)系統(tǒng)各個層次的安全防護。

3.1 物理與環(huán)境安全

物理與環(huán)境安全是保護工控設備、設施（網絡及通信線路）免遭地震、水災、火災、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施和過程。保證工業(yè)控制系統(tǒng)的所有設備和機房及其他場地的物理安全，是整個工業(yè)控制系統(tǒng)安全的前提。

3.2 網絡和通信安全

工業(yè)控制系統(tǒng)應采用分層分區(qū)的保護結構實現(xiàn)信息安全等級保護設計，構建在安全管理中心支持下的計算環(huán)境、區(qū)域邊界、通信網絡三重防御體系，采用縱向分層、橫向分區(qū)的架構，以實現(xiàn)可信、可控、可管的系統(tǒng)安全互聯(lián)、區(qū)域邊界安全防護和計算環(huán)境安全，如圖1。

3.2.1 邊界防護。工業(yè)控制系統(tǒng)使用獨立的網絡設備組網，與生產單位內網邏輯隔離。通過部署工業(yè)控制防火墻實現(xiàn)工業(yè)控制網絡的縱向邊界防護和橫向區(qū)域防護，可以對數(shù)據(jù)包的源和目的地址、端口號和協(xié)議等進行檢查，以允許或拒絕數(shù)據(jù)包出入；通過輸入訪問限制和隔絕等技術分割網絡，防護來自外部網絡的入侵行為。從而提高網絡邊界完整性保護能力。

縱向邊界防護方面在生產單位內網與工業(yè)控制網之間以串聯(lián)方式部署工業(yè)控制防火墻做訪問控制、病毒木馬防護，有效隔離非涉密內網和工業(yè)網，保護工業(yè)網的工業(yè)設備安全，隔離來自公司內網的病毒侵擾[2]。

橫向區(qū)域防護方面根據(jù)不同的車間來進行區(qū)域劃分，形成多個安全防護區(qū)域。通過工業(yè)控制防火墻設置訪問控制策略，實現(xiàn)區(qū)域橫向安全邏輯隔離。

圖1 縱向分層、橫向分區(qū)

3.2.2 訪問控制。通過在工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間部署的工業(yè)控制防火墻設備，將工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)進行隔離。并按實際的業(yè)務需求，采用最小化原則，配置訪問控制策略，對數(shù)據(jù)訪問進行細粒度的訪問控制，對消息來源、用戶、設備身份進行鑒別，根據(jù)安全策略對接入進行訪問控制，從而保障工業(yè)控制系統(tǒng)運行的安全性。

3.2.3 通信傳輸。在工業(yè)控制系統(tǒng)中，要保證數(shù)據(jù)的傳輸保密性，應采用加密技術來保護數(shù)據(jù)傳輸和遠程應用維護操作的傳輸管道安全，確保重要業(yè)務數(shù)據(jù)和重要個人信息等數(shù)據(jù)的保密性。

對于生產管理層網絡和過程監(jiān)控層網絡，應采用密碼技術保證通信過程中數(shù)據(jù)傳輸?shù)耐暾?，實現(xiàn)通信網絡和非現(xiàn)場總線網絡數(shù)據(jù)傳輸?shù)耐暾员Ｗo；對數(shù)據(jù)傳輸實時性要求較高的現(xiàn)場總線網絡，數(shù)據(jù)加密方式應滿足實時性要求。

3.2.4 網絡監(jiān)測審計。由于信息化發(fā)展的推動，工業(yè)控制系統(tǒng)網絡的連接更加開放，這樣的情形可能使工業(yè)控制系統(tǒng)受到非法的掃描探測和網絡入侵。通過在工業(yè)控制網核心交換機上旁路鏡像部署工控安全監(jiān)測與審計平臺，對工控網絡提供事前監(jiān)控、事中記錄、事后審計。工控安全監(jiān)測與審計平臺對工控網絡的安全狀態(tài)做全面的入侵檢測，對網絡中的攻擊行為、數(shù)據(jù)流量、重要操作等進行監(jiān)測審計，以實現(xiàn)在網絡邊界處對攻擊行為的監(jiān)控和阻斷。

3.3 設備和計算安全

3.3.1 身份鑒別。對網絡中的文件或文件夾設置用戶訪問權限，普通用戶無法訪問未授權文件或文件夾。同時，在域策略中對賬號進行策略設置，加強對賬戶的管理，如設置密碼復雜度、定期更改密碼天數(shù)、賬戶輸入幾次錯誤密碼自動鎖定賬戶等。實現(xiàn)高強度身份認證、安全數(shù)據(jù)傳輸以及可靠的行為審計。

3.3.2 訪問控制。在工業(yè)控制系統(tǒng)中，由授權主體對客體設置訪問控制權限，規(guī)定主體對客體的訪問規(guī)則；訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級；并遵循最小化授權原則，限制權限的傳播。

3.3.3 安全審計。工業(yè)控制系統(tǒng)和現(xiàn)場設備的安全審計，包括日志審計和流量監(jiān)控。審計內容應包括用戶行為、系統(tǒng)資源的異常使用和操作等重要相關事件的記錄?，F(xiàn)場設備的用戶登錄事件、時間修改事件、配置修改事件、程序修改事件和流入現(xiàn)場設備的數(shù)據(jù)流等。

3.3.4 入侵與惡意代碼防范。在工控主機上部署終端安全衛(wèi)士，采用“白名單”管理機制，通過對數(shù)據(jù)采集和分析，其內置智能學習模塊會自動生成工業(yè)控制軟件正常行為的白名單，與現(xiàn)網中的實時傳輸數(shù)據(jù)進行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶節(jié)點的行為不符合白名單中的行為特征，其主機安全防護系統(tǒng)將會對此行為進行阻斷或告警，以此避免主機網絡受到未知漏洞威脅，同時還可以有效的阻止操作人員異常操作帶來的危害。

3.4 應用安全

3.4.1 身份鑒別和訪問控制。所有應用系統(tǒng)對登錄的用戶進行身份標識和鑒別，對應用及重要系統(tǒng)數(shù)據(jù)的訪問提供訪問控制功能，授予不同賬戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系；并通過配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。

3.4.2 安全審計應用系統(tǒng)均按要求提供日志模塊，記錄用戶對應用系統(tǒng)的所有操作，通過查看應用系統(tǒng)的狀態(tài)信息和操作，分析并判斷是否有違規(guī)行為。

3.5 數(shù)據(jù)安全

隨著企業(yè)數(shù)據(jù)體量不斷增大、種類不斷增多、結構日趨復雜，而且越來越重要，為防止數(shù)據(jù)泄露、毀損、丟失、用戶個人信息泄露等風險，需采用一些安全防護技術來確保數(shù)據(jù)的安全。

3.5.1 數(shù)據(jù)存儲與傳輸。企業(yè)對靜態(tài)存儲的重要工業(yè)數(shù)據(jù)進行加密存儲，設置訪問控制功能，對動態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進行加密傳輸，通過SSL保證網絡傳輸數(shù)據(jù)信息的機密性、完整性與可用性，保障維護管理過程的數(shù)據(jù)傳輸安全。使用VPN等方式進行隔離保護，并根據(jù)風險評估結果，建立和完善數(shù)據(jù)信息的分級分類管理制度。

3.5.2 數(shù)據(jù)訪問控制。通過部署防火墻、交換機等設備，將數(shù)據(jù)根據(jù)訪問邏輯劃分到不同的區(qū)域內，使得不同區(qū)域之間的數(shù)據(jù)不可直接訪問，避免存儲節(jié)點的非授權接入，同時避免對數(shù)據(jù)的非授權訪問。

3.5.3 數(shù)據(jù)備份與恢復。通過部署存儲備份系統(tǒng)對關鍵業(yè)務數(shù)據(jù)，如設備運行數(shù)據(jù)、生產數(shù)據(jù)、控制指令等進行定期備份，制定備份恢復策略，并確保備份的可計劃性和可操作性，有效防止信息泄露、毀損和丟失。當發(fā)生數(shù)據(jù)丟失事故時，根據(jù)備份恢復策略，及時恢復一定時間前備份的數(shù)據(jù)，從而降低用戶的損失[3]。

4 結束語

隨著信息化、數(shù)字化發(fā)展進程不斷深入，工業(yè)領域面臨的信息安全形勢日益緊迫。應按照網絡安全等級保護基本要求，結合生產單位的工業(yè)控制系統(tǒng)現(xiàn)狀，從管理體系和技術防護體系兩方面進行了安全體系建設，從物理安全、網絡與通信安全、設備與計算安全、應用安全、數(shù)據(jù)安全五方面做好工控安全防護工作，切實提升工業(yè)控制系統(tǒng)信息安全防護水平，保障工業(yè)控制系統(tǒng)安全。