構(gòu)建應(yīng)急體系護(hù)航工業(yè)運(yùn)行安全

葉曉虎

綠盟科技集團(tuán)股份有限公司

近年來，工業(yè)鄰域發(fā)生了一系列重大的信息安全事件。工業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的建設(shè)得到高度重視，并且為保障我國經(jīng)濟(jì)社會(huì)穩(wěn)定、人民群眾安居樂業(yè)發(fā)揮重要作用。本文從工業(yè)互聯(lián)網(wǎng)的安全情況切入，說明了我國工業(yè)互聯(lián)網(wǎng)安全面臨嚴(yán)重威脅的狀況，并對工業(yè)互聯(lián)網(wǎng)的安全問題做了總結(jié)。針對安全問題提出了工業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系架構(gòu)，對工業(yè)網(wǎng)絡(luò)安全應(yīng)急與IT 網(wǎng)絡(luò)安全應(yīng)急的區(qū)別做了闡述。最后對未來應(yīng)急響應(yīng)技術(shù)發(fā)展趨勢做了分析。

(應(yīng)急響應(yīng)體系；工業(yè)互聯(lián)網(wǎng)；工控安全；信息安全)

1 工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀

工業(yè)控制系統(tǒng)[1]是自動(dòng)化工業(yè)生產(chǎn)過程中的設(shè)備、系統(tǒng)和網(wǎng)絡(luò)的總稱。包括集散控制系統(tǒng)（DCS）、數(shù)據(jù)監(jiān)控與采集系統(tǒng)（SCADA）、安全主控制系統(tǒng)（SIS）、可編邏輯控制器（PLC）、工業(yè)網(wǎng)絡(luò)設(shè)備及相關(guān)軟件系統(tǒng)等。隨著工業(yè)4.0、信息物理融合系統(tǒng)等概念和技術(shù)的興起，工業(yè)控制系統(tǒng)被廣泛應(yīng)用于電力、石化、交通等行業(yè)，并朝著數(shù)字化、網(wǎng)絡(luò)化、智能化的方向發(fā)展。隨著“中國制造2025”戰(zhàn)略的提出，傳統(tǒng)物理隔離工控網(wǎng)絡(luò)融合了IT 網(wǎng)絡(luò)領(lǐng)域的操作系統(tǒng)、通信協(xié)議等技術(shù)，導(dǎo)致工控網(wǎng)絡(luò)面臨巨大的安全威脅。

近年來，工業(yè)互聯(lián)網(wǎng)鄰域發(fā)生了許多重大安全事件，2011 年，大慶石化煉油廠控制系統(tǒng)感染Conficker 病毒，使得通訊出現(xiàn)不同程度的中斷；2015年，烏克蘭的電力工業(yè)遭受到BlackEnergy惡意軟件的攻擊，導(dǎo)致伊萬諾—弗蘭科夫斯克地區(qū)大面積停電；2018 年，某石油公司采油廠感染一款名為Lucky 的勒索病毒，業(yè)務(wù)系統(tǒng)受到感染，生產(chǎn)受到影響。2021 年2 月8 日，佛羅里達(dá)州奧爾德斯馬的一家水處理廠被黑客入侵，堿液量增加到危險(xiǎn)水平。2021 年5 月，美國最大的燃油管道運(yùn)營商Colonial Pipeline 因受到勒索軟件攻擊被迫關(guān)閉。中國工業(yè)互聯(lián)網(wǎng)的安全威脅更為嚴(yán)重，因此，尋求解決這些安全問題的方法至關(guān)重要。

因此，面對如此嚴(yán)重的安全威脅形勢，工業(yè)信息安全應(yīng)急響應(yīng)能力建設(shè)刻不容緩。應(yīng)急響應(yīng)能力建設(shè)前，需要先明確工業(yè)互聯(lián)網(wǎng)所面臨的安全問題，再談解決思路。

2 工業(yè)互聯(lián)網(wǎng)安全問題

為了明白工業(yè)互聯(lián)網(wǎng)中的安全問題，首先要深刻理解當(dāng)前傳統(tǒng)互聯(lián)網(wǎng)的安全缺陷和弱點(diǎn)。這使我們能夠在工業(yè)互聯(lián)網(wǎng)安全防護(hù)中糾正眾所周知的安全缺陷。但是，并非所有現(xiàn)有的網(wǎng)絡(luò)安全措施都延續(xù)到工業(yè)領(lǐng)域。這主要是由于使用和部署的差異，以及消費(fèi)者和工業(yè)鄰域面臨的不同安全威脅。

工業(yè)互聯(lián)網(wǎng)發(fā)展帶來的安全問題主要表現(xiàn)在三個(gè)方面：一是業(yè)務(wù)層面，安全策略缺乏與業(yè)務(wù)結(jié)合導(dǎo)致安全防護(hù)不能起到足夠的防護(hù)作用，APT 等攻擊行為容易突破安全防線。安全處置過程缺乏與業(yè)務(wù)的關(guān)聯(lián)，在一些強(qiáng)業(yè)務(wù)相關(guān)環(huán)境中存在業(yè)務(wù)中斷的風(fēng)險(xiǎn)。二是網(wǎng)絡(luò)層面，隨著融合網(wǎng)絡(luò)的發(fā)展，在大量業(yè)務(wù)聯(lián)通后，導(dǎo)致網(wǎng)絡(luò)邊界模糊，通信流量的復(fù)雜導(dǎo)致了安全隱患的加劇。網(wǎng)絡(luò)安全的分析中缺乏對于不同工業(yè)系統(tǒng)尤其是運(yùn)行中系統(tǒng)的影響性分析。三是運(yùn)行層面，運(yùn)維過程中缺乏可以適配于工業(yè)應(yīng)用屬性的安全設(shè)備，無法做到安全運(yùn)維、網(wǎng)絡(luò)運(yùn)維和安全相關(guān)性的分析和處理。應(yīng)急響應(yīng)能力建設(shè)不足，導(dǎo)致問題提出現(xiàn)后無法第一時(shí)間進(jìn)行有效處置?；跇I(yè)務(wù)運(yùn)行屬性的安全管理依然缺乏，設(shè)備管理不等于業(yè)務(wù)運(yùn)行安全管理，需要關(guān)注業(yè)務(wù)運(yùn)行中的安全。

3 工業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系

保障工業(yè)網(wǎng)絡(luò)安全的重要性是不言而喻的，當(dāng)今社會(huì)的信息網(wǎng)絡(luò)安全已是影響國家安全的一個(gè)高權(quán)重因素。雖然保護(hù)網(wǎng)絡(luò)安全的技術(shù)迅速發(fā)展，但實(shí)踐證明，現(xiàn)實(shí)中再昂貴的安全保護(hù)也無法發(fā)現(xiàn)和抵御所有的威脅。因此，完善的網(wǎng)絡(luò)安全體系要求在保護(hù)體系之外必須建立應(yīng)急響應(yīng)體系。將工業(yè)控制系統(tǒng)直接暴露在互聯(lián)網(wǎng)上存在較大的安全隱患。然而由于業(yè)務(wù)需求，仍有很多此類設(shè)備和系統(tǒng)是直接暴露在互聯(lián)網(wǎng)上。當(dāng)工業(yè)系統(tǒng)接入互聯(lián)網(wǎng)后，建立工業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系也就尤為必要了。

在介紹應(yīng)急響應(yīng)體系前，首先，我們需明確工業(yè)網(wǎng)絡(luò)安全應(yīng)急與IT 網(wǎng)絡(luò)安全應(yīng)急的區(qū)別。兩者的主要區(qū)別，見下表。

因此，對于工業(yè)系統(tǒng)的安全風(fēng)險(xiǎn)評估就需要考慮更多因素，除了IT 網(wǎng)絡(luò)的風(fēng)險(xiǎn)外，還包括人員因素，人員的安全意識(shí)與安全能力；管理因素，涵蓋人員管理、生產(chǎn)管理、數(shù)據(jù)管理、運(yùn)維管理等；供應(yīng)鏈因素，元件/設(shè)備引入安全風(fēng)險(xiǎn)；邊界因素，不同區(qū)域的風(fēng)險(xiǎn)管理；工藝因素，對工藝的可靠性要求；環(huán)境因素，設(shè)備/系統(tǒng)針對不同環(huán)境的適應(yīng)能力；以及設(shè)備老化、異常運(yùn)行等等因素。

工業(yè)網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)急響應(yīng)是指在工業(yè)場景下突發(fā)重大網(wǎng)絡(luò)安全事件后對包括計(jì)算機(jī)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行進(jìn)行維持或恢復(fù)的各種技術(shù)和管理策略與規(guī)程。

工業(yè)網(wǎng)絡(luò)應(yīng)急響應(yīng)的活動(dòng)應(yīng)該主要包括兩個(gè)方面：

（1）未雨綢繆，即在事件發(fā)生前先做好準(zhǔn)備，比如風(fēng)險(xiǎn)評估、制定安全計(jì)劃、安全意識(shí)的培訓(xùn)，以發(fā)布安全通告的方式進(jìn)行預(yù)警，以及各種防范措施；

（2）亡羊補(bǔ)牢，即在事件發(fā)生后采取的措施，其目的在于把事件造成的損失降到最低。這些行動(dòng)措施可能來自人，也可能來自系統(tǒng)，比如事件發(fā)生后，系統(tǒng)備份、病毒檢測、后門檢測、清除病毒或后門、隔離、系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵者取證等一系列操作。

以上兩個(gè)方面的工作是相互補(bǔ)充的。首先，事前的計(jì)劃和準(zhǔn)備為事件發(fā)生后的響應(yīng)動(dòng)作提供了指導(dǎo)框架，否則，響應(yīng)動(dòng)作將陷入混亂，可能造成比事件本身更大的損失；其次，事后的響應(yīng)可能發(fā)現(xiàn)事前計(jì)劃的不足，從而吸取教訓(xùn)，進(jìn)一步完善安全計(jì)劃。因此，這兩個(gè)方面應(yīng)該形成一種正反饋的機(jī)制，逐步強(qiáng)化組織的安全防范體系。

工業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系的管理是一個(gè)周而復(fù)始、持續(xù)改進(jìn)的過程，大致包含以下三個(gè)階段。

（1）工業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定。

（2）編制工業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)計(jì)劃文檔。

（3）應(yīng)急響應(yīng)計(jì)劃的測試、培訓(xùn)、演練和維護(hù)。

從管理角度看，工業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的管理可分為事件報(bào)告、事件評估、應(yīng)急啟動(dòng)、應(yīng)急處置、后期處置，如圖1 所示。

下面我們以勒索病毒攻擊工業(yè)企業(yè)為例，來說明工業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系的運(yùn)作流程。勒索攻擊防護(hù)應(yīng)急響應(yīng)方案是在分析攻擊者實(shí)現(xiàn)數(shù)據(jù)加密勒索的網(wǎng)絡(luò)攻擊滲透路徑的基礎(chǔ)上，針對常用的釣魚郵件攻擊、遠(yuǎn)程訪問弱口令、RDP 漏洞利用、系統(tǒng)漏洞利用等攻擊手段，通過構(gòu)建評估、防護(hù)和響應(yīng)三大防護(hù)體系有效應(yīng)對網(wǎng)絡(luò)攻擊滲透?？傮w設(shè)計(jì)如圖2 所示：

圖1 安全應(yīng)急響應(yīng)管理流程圖

圖2 勒索攻擊防護(hù)體系總體設(shè)計(jì)

在工作中，當(dāng)發(fā)生如：主機(jī)防病毒軟件告警通知、IDS 告警主機(jī)存在異常網(wǎng)絡(luò)行為、主機(jī)異常重啟或藍(lán)屏等安全事件，并已經(jīng)或很可能造成嚴(yán)重影響時(shí)，啟動(dòng)應(yīng)急響應(yīng)預(yù)案。

首先，進(jìn)入應(yīng)急啟動(dòng)階段，應(yīng)急工作組接公司接口部門安全事件申告，立即對事件進(jìn)行初步評估；初步評估完成，第一時(shí)間上報(bào)應(yīng)急領(lǐng)導(dǎo)小組；應(yīng)急領(lǐng)導(dǎo)小組通知應(yīng)急處理組第一時(shí)間隔離被感染主機(jī)，并通知應(yīng)急處理組人員到達(dá)現(xiàn)場進(jìn)行事件處理。安全運(yùn)維負(fù)責(zé)人根據(jù)安全運(yùn)維人員、網(wǎng)絡(luò)管理員、業(yè)務(wù)系統(tǒng)管理員匯報(bào)的情況，向應(yīng)急現(xiàn)場負(fù)責(zé)人匯報(bào)情況，雙方迅速對本事件進(jìn)行安全事件的影響范圍與影響程度確定。

然后，進(jìn)入應(yīng)急處理階段：

（1）緊急操作。檢查客戶端防病毒軟件監(jiān)控日志，確定惡意代碼源頭，定位到具體設(shè)備IP。必要情況下切換備機(jī)，斷網(wǎng)隔離。通過在業(yè)務(wù)防火墻或網(wǎng)絡(luò)設(shè)備設(shè)置訪問控制策略，限制外部的訪問。

（2）事件處理。啟動(dòng)備用服務(wù)器并進(jìn)行安全加固，確保其不會(huì)被勒索軟件感染。備份系統(tǒng)以供主機(jī)應(yīng)急過程中產(chǎn)生的意外回退。在條件允許下在上，確定問題主機(jī)勒索軟件特征。重新安裝操作系統(tǒng)并進(jìn)行安全加固。安裝病毒查殺軟件，對系統(tǒng)進(jìn)行全面殺毒，開啟殺毒軟件實(shí)時(shí)安全防護(hù)功能。排查應(yīng)用代碼和系統(tǒng)漏洞，及時(shí)修補(bǔ)。

（3）事件恢復(fù)。在確認(rèn)勒索軟件被徹底根除之后，恢復(fù)系統(tǒng)運(yùn)行，如果啟動(dòng)了備用服務(wù)器，應(yīng)將服務(wù)器切換到原來的服務(wù)器。

最后，是應(yīng)急結(jié)束階段，根據(jù)應(yīng)急處理后系統(tǒng)運(yùn)行狀態(tài)正常，主機(jī)得到安全控制，領(lǐng)導(dǎo)小組下達(dá)應(yīng)急工作結(jié)束指令。應(yīng)急工作組傳遞應(yīng)急工作結(jié)束指令，并向相關(guān)單位通報(bào)本次網(wǎng)絡(luò)攻擊與信息安全事件情況。對事件的整個(gè)過程進(jìn)行完整的記錄和分析，如有必要可優(yōu)化、調(diào)整應(yīng)急預(yù)案。事件處置完成后，將事件處理分析報(bào)告上報(bào)給相關(guān)主管部門。

4 工業(yè)網(wǎng)絡(luò)安全應(yīng)急發(fā)展趨勢

不論是企業(yè)還是機(jī)構(gòu)，未來將面臨的一個(gè)重要網(wǎng)絡(luò)安全問題是，企業(yè)內(nèi)網(wǎng)絡(luò)安全的防護(hù)不再是孤立的，而是和整個(gè)互聯(lián)網(wǎng)安全狀況和突發(fā)網(wǎng)絡(luò)安全事件緊密聯(lián)合起來。例如，對企業(yè)而言，雖然內(nèi)網(wǎng)的數(shù)據(jù)不允許向外流出，但一旦某類黑客攻擊發(fā)生在同類型企業(yè)或者使用相同信息系統(tǒng)架構(gòu)的企業(yè)或組織，那么該企業(yè)將很有可能面臨被攻擊。

威脅情報(bào)的概念也是基于上述情況而提出。因此出現(xiàn)較晚，業(yè)界對威脅情報(bào)概念的理解各不相同。例如，有人認(rèn)為“樣本庫”可稱為情報(bào)，也有人認(rèn)為“黑名單”是情報(bào)，而一些公開資料中提到的網(wǎng)絡(luò)安全信息共享也被認(rèn)為是威脅情報(bào)的早期版本。

國際上也有網(wǎng)絡(luò)安全研究機(jī)構(gòu)給出“威脅情報(bào)”的專業(yè)定義（如 Gartner[2]）。國內(nèi)也有學(xué)者[3]提出了威脅情報(bào)的六大要素（采集、關(guān)聯(lián)、歸類、整合、行動(dòng)、分享）和4 個(gè)階段（廣覆蓋收集有效信息、分析處理與生產(chǎn)、行動(dòng)實(shí)施、生態(tài)圈分享）。

對威脅情報(bào)的理解：依賴證據(jù)知識(shí)，包含情境、機(jī)制、影響和應(yīng)對建議，威脅情報(bào)可以第一時(shí)間診斷出存在或者正在顯露的威脅或危害資產(chǎn)的行為。威脅情報(bào)的目的就是實(shí)現(xiàn)“早、快、準(zhǔn)、全”的安全隱患監(jiān)測和警報(bào)。

圖3 工業(yè)場景的整體解決方案

如果企業(yè)能及早了解熟悉上述威脅情報(bào)信息，就可以為有效防范和采取應(yīng)急措施贏得時(shí)間。而企業(yè)面對網(wǎng)絡(luò)黑客攻擊特別是一些嚴(yán)重的計(jì)算機(jī)犯罪行為，如能提前預(yù)知、提前響應(yīng)，則可能避免系統(tǒng)崩潰、業(yè)務(wù)崩潰、高價(jià)值數(shù)據(jù)丟失等“滅頂之災(zāi)”。

根據(jù)當(dāng)前工業(yè)網(wǎng)絡(luò)安全業(yè)界的實(shí)踐狀況，綠盟科技已經(jīng)形成了一套覆蓋工業(yè)設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用（監(jiān)控平臺(tái)、管理平臺(tái)）、數(shù)據(jù)等多個(gè)層級(jí)安全防護(hù)的安全設(shè)計(jì)原則集和解決方案集。其研制的安全協(xié)同一體化的工業(yè)網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺(tái)，在大數(shù)據(jù)框架的基礎(chǔ)上為工業(yè)環(huán)境提供安全監(jiān)控及響應(yīng)的安全運(yùn)營中心。通過深度工控資產(chǎn)自動(dòng)探測技術(shù)、分布式漏洞探測技術(shù)、多類型工業(yè)控制協(xié)議識(shí)別技術(shù)、異常流量監(jiān)測技術(shù)，實(shí)現(xiàn)工業(yè)設(shè)備安全態(tài)勢信息自動(dòng)采集、識(shí)別工控設(shè)備的漏洞與潛在威脅的能力。通過大數(shù)據(jù)建模分析技術(shù)與基于多源數(shù)據(jù)的工業(yè)安全態(tài)勢知識(shí)圖譜構(gòu)建技術(shù)，并結(jié)合中國國家信息安全漏洞庫及工控漏洞庫，進(jìn)行安全威脅評估、態(tài)勢感知，預(yù)測預(yù)防設(shè)備潛在風(fēng)險(xiǎn)的發(fā)生。下圖是綠盟科技針對工業(yè)場景的整體解決方案。

總體上看，威脅情報(bào)將會(huì)對未來國家、機(jī)構(gòu)、企業(yè)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)產(chǎn)生顯著影響，威脅情報(bào)也代表了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)與實(shí)踐的方向和發(fā)展趨勢。隨著業(yè)界和機(jī)構(gòu)、企業(yè)用戶對威脅情報(bào)的認(rèn)識(shí)和實(shí)踐的理解不斷加深，威脅情報(bào)理念[4]對網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)與實(shí)踐的進(jìn)一步完善和成熟將產(chǎn)生更大的促進(jìn)作用。

5 結(jié)語

本文首先對工業(yè)控制系統(tǒng)的安全狀態(tài)進(jìn)行了分析，通過對安全事件的案例分析發(fā)現(xiàn)，網(wǎng)絡(luò)安全事件所造成的損失嚴(yán)重，工控系統(tǒng)網(wǎng)絡(luò)安全形勢不容樂觀。工業(yè)企業(yè)的工控網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系建立刻不容緩。文章對工業(yè)網(wǎng)絡(luò)安全應(yīng)急與IT 網(wǎng)絡(luò)安全應(yīng)急的區(qū)別做了闡述，并提出了安全應(yīng)急體系架構(gòu)設(shè)計(jì)的思路。最后對未來應(yīng)急響應(yīng)技術(shù)發(fā)展趨勢做了預(yù)測，威脅情報(bào)理念將是網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)的發(fā)展方向和趨勢。