單位工控系統(tǒng)信息安全建設(shè)

工業(yè)控制系統(tǒng)（以下簡稱工控系統(tǒng)）是國家關(guān)鍵基礎(chǔ)設(shè)施最重要的組成部分，涉及一系列關(guān)系到國計(jì)民生的基礎(chǔ)性行業(yè)。隨著“兩化”融合、“互聯(lián)網(wǎng)+”戰(zhàn)略的推進(jìn)，工控系統(tǒng)正由封閉、私有轉(zhuǎn)向開放、互聯(lián)。越來越多的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用于工控系統(tǒng)，在為人民生活、工業(yè)生產(chǎn)等帶來極大推動(dòng)作用的同時(shí)，也帶來了信息安全問題。

筆者單位作為大型的生產(chǎn)企業(yè)，有著典型的SCADA和PLC兩大類工控系統(tǒng)。工業(yè)控制網(wǎng)絡(luò)與辦公管理網(wǎng)絡(luò)的直接互聯(lián)打破了工控系統(tǒng)的信息孤島，導(dǎo)致工業(yè)控制網(wǎng)絡(luò)直接面對辦公管理網(wǎng)絡(luò)的威脅和攻擊。

圖1 筆者單位工控系統(tǒng)信息安全建設(shè)劃分

現(xiàn)有的工控系統(tǒng)在設(shè)計(jì)、研發(fā)中沒有充分考慮安全問題，在部署、運(yùn)維中又缺乏安全意識和相關(guān)專業(yè)技術(shù)的支撐，導(dǎo)致工控系統(tǒng)中存在較高的脆弱性。面對IT系統(tǒng)與控制系統(tǒng)融合帶來的安全風(fēng)險(xiǎn)以及工控系統(tǒng)本身的脆弱性威脅，我們通過積極開展工控系統(tǒng)信息安全建設(shè)，完善工控系統(tǒng)信息安全防護(hù)，為進(jìn)一步提高生產(chǎn)穩(wěn)定性、加強(qiáng)生產(chǎn)安全性提供有效保障。

建設(shè)方案

單位工控系統(tǒng)信息安全建設(shè)整體方案主要依據(jù)行業(yè)網(wǎng)絡(luò)安全“分級分域、整體保護(hù)、積極預(yù)防、動(dòng)態(tài)管理”的總體策略，首先對整個(gè)工控系統(tǒng)進(jìn)行全面風(fēng)險(xiǎn)評估掌握目前工控系統(tǒng)風(fēng)險(xiǎn)現(xiàn)狀；通過制定工控安全策略、管理制度和防護(hù)規(guī)則，以及對工控網(wǎng)絡(luò)進(jìn)行安全域規(guī)劃和部署防護(hù)措施提高工控網(wǎng)邊界安全，降低來自管理網(wǎng)的風(fēng)險(xiǎn)；對工控系統(tǒng)進(jìn)行異常行為的實(shí)時(shí)監(jiān)測和事件的分析審計(jì)預(yù)警，提高安全預(yù)防能力；最后對整個(gè)工控系統(tǒng)進(jìn)行統(tǒng)一安全呈現(xiàn)，將各個(gè)防護(hù)點(diǎn)組成一個(gè)的防護(hù)體系，提高單位工控系統(tǒng)的整體安全水平。

如圖1所示，單位工控系統(tǒng)信息安全建設(shè)分為風(fēng)險(xiǎn)評估、策略制定和部署安全措施三方面工作。

建設(shè)實(shí)施

1.風(fēng)險(xiǎn)評估

所有工控安全建設(shè)都應(yīng)該是基于對自身工控安全現(xiàn)狀的精確掌握，單位采用調(diào)查訪談、基線核查、漏洞掃描以及滲透測試等手段對生產(chǎn)、動(dòng)力和物流等工控系統(tǒng)進(jìn)行全面風(fēng)險(xiǎn)評估，如圖2所示。主要內(nèi)容包括：工控設(shè)備安全性評估、工控軟件安全性評估、各類操作站安全性評估和工控網(wǎng)絡(luò)安全性評估，以及安全管理評估。

通過這幾方面內(nèi)容的評估，發(fā)現(xiàn)工控系統(tǒng)中網(wǎng)絡(luò)設(shè)備、控制PLC、操作站、工程師站以及組態(tài)軟件等存在的漏洞，根據(jù)漏洞情況對其被利用的可能性和嚴(yán)重性進(jìn)行深入分析；對各操作站、工程師站等終端設(shè)備以及工業(yè)交換機(jī)等網(wǎng)絡(luò)設(shè)備的安全配置情況進(jìn)行核查，尋找在配置方面可能存在的風(fēng)險(xiǎn)；在工控網(wǎng)絡(luò)層面，通過對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議、各節(jié)點(diǎn)網(wǎng)絡(luò)流量、網(wǎng)絡(luò)規(guī)范性等多個(gè)方面進(jìn)行深入分析，尋找網(wǎng)絡(luò)層面可能存在的風(fēng)險(xiǎn)。

2.策略制定

圖2 進(jìn)行全面風(fēng)險(xiǎn)評估

圖3 劃分安全域，并進(jìn)行監(jiān)測和防護(hù)

單位的工控安全策略基于“業(yè)務(wù)優(yōu)先”，應(yīng)用等級保護(hù)中“分級分域”的思路制定了分層分域的安全策略，將相應(yīng)的網(wǎng)絡(luò)、服務(wù)器、應(yīng)用系統(tǒng)、組態(tài)軟件和控制設(shè)備對應(yīng)到工控系統(tǒng)的現(xiàn)場設(shè)備層、現(xiàn)場控制層及過程監(jiān)控層。在現(xiàn)場設(shè)備層以組態(tài)軟件和控制設(shè)備運(yùn)維防護(hù)為主?，F(xiàn)場控制層以操作員站保護(hù)、網(wǎng)絡(luò)邊界防護(hù)、網(wǎng)絡(luò)監(jiān)控為主；過程控制層以網(wǎng)絡(luò)防護(hù)、數(shù)據(jù)庫、服務(wù)器防護(hù)為主。同時(shí)以車間工控網(wǎng)絡(luò)為基本單位結(jié)合系統(tǒng)功能、安全需求和地域范圍進(jìn)行安全域劃分，將生產(chǎn)、物流和動(dòng)力能源的工控網(wǎng)絡(luò)劃分為八個(gè)安全域，并進(jìn)行監(jiān)測和防護(hù)（如圖3所示）。域內(nèi)屬于通用技術(shù)的主機(jī)、軟件、應(yīng)用和數(shù)據(jù)等參照二級的等保要求執(zhí)行安全策略。

安全管理策略：能夠?qū)I(yè)環(huán)境拓?fù)溥M(jìn)行監(jiān)控的統(tǒng)一呈現(xiàn)，能夠收集工控系統(tǒng)中安全設(shè)備告警信息進(jìn)行統(tǒng)一關(guān)聯(lián)展示和對主機(jī)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等監(jiān)控對象狀態(tài)性能監(jiān)控的正確展示。實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)的統(tǒng)一安全管理，在對系統(tǒng)進(jìn)行可用性與性能的監(jiān)控、事件的分析審計(jì)預(yù)警、風(fēng)險(xiǎn)與態(tài)勢的度量與評估、數(shù)據(jù)流行為的合規(guī)分析的同時(shí)，還對后期部署工控安全設(shè)備和措施進(jìn)行統(tǒng)一管理。

安全防護(hù)策略：在安全域間網(wǎng)絡(luò)邊界和安全域內(nèi)主控PLC前端采用工業(yè)防火墻、網(wǎng)閘等防護(hù)措施進(jìn)行安全域之間的邏輯隔離。防護(hù)措施支持工業(yè)協(xié)議并配置訪問控制列表，采用白名單模式，僅設(shè)置必要的工控系統(tǒng)操作、管理和維護(hù)訪問規(guī)則，對于沒有定義的明確定義的訪問應(yīng)缺省拒絕；根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對工業(yè)協(xié)議命令級的控制等。

入侵防范策略：在工控網(wǎng)絡(luò)邊界處監(jiān)視并阻斷以下攻擊行為：端口掃描、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、非法組態(tài)攻擊、惡意下載攻擊、程序注入攻擊、惡意控制指令攻擊等。當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

工控機(jī)安全策略：工控主機(jī)設(shè)備操作系統(tǒng)采用“最小安裝”原則，僅安裝自身業(yè)務(wù)運(yùn)行操作所需的操作系統(tǒng)組件及應(yīng)用軟件。拆除或封閉工業(yè)主機(jī)上不必要的USB、無線等外設(shè)接口。啟用工控主機(jī)的系統(tǒng)防火墻前應(yīng)經(jīng)過嚴(yán)格測試以確保對業(yè)務(wù)無影響。對工控主機(jī)的通信協(xié)議和端口的訪問控制宜采用白名單模式進(jìn)行。

3.部署安全措施

根據(jù)安全策略，單位在各安全域的網(wǎng)絡(luò)邊界部署了工業(yè)防火墻，對工控網(wǎng)絡(luò)進(jìn)行安全隔離、訪問控制和入侵防御。在安全域內(nèi)主控PLC前端部署導(dǎo)軌式工業(yè)防火墻，通過工控協(xié)議深度包檢測和訪問控制做重要控制設(shè)備的安全防護(hù)。在生產(chǎn)網(wǎng)部署工控異常監(jiān)測系統(tǒng)，針對工控網(wǎng)絡(luò)協(xié)議的掃描、攻擊行為和異常網(wǎng)絡(luò)流量進(jìn)行檢測和預(yù)警。在生產(chǎn)網(wǎng)部署工控安全管理平臺(tái)，統(tǒng)一管理工控系統(tǒng)的信息資產(chǎn)，綜合分析安全事件等，如圖4所示。

安全防護(hù)措施：在網(wǎng)絡(luò)邊界和主控PLC前端配置訪問控制規(guī)則，基于IP地址和端口號、MAC地址等對請求連接主機(jī)身份進(jìn)行鑒別，禁止同未通過身份鑒別的主機(jī)建立網(wǎng)絡(luò)連接；進(jìn)行細(xì)粒度主、客體訪問控制，粒度細(xì)化到IP地址和端口號、MAC地址及應(yīng)用協(xié)議，以及對網(wǎng)絡(luò)協(xié)議和MODBUS、S7等工業(yè)協(xié)議指令進(jìn)行鑒別與過濾。配置入侵防御規(guī)則對基于工控漏洞的攻擊行為進(jìn)行入侵防護(hù)，保護(hù)工控網(wǎng)絡(luò)中無法打補(bǔ)丁的控制設(shè)備。

安全檢測措施：通過對工控系統(tǒng)中的工控語言進(jìn)行專項(xiàng)解讀，配置工控網(wǎng)絡(luò)檢測策略，實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)通信協(xié)議、業(yè)務(wù)訪問關(guān)系和數(shù)據(jù)流量等信息，發(fā)現(xiàn)針對工控網(wǎng)絡(luò)中的入侵攻擊和網(wǎng)絡(luò)協(xié)議異常行為，實(shí)現(xiàn)了對各工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的有效入侵檢測。

安全管理措施：建立工控信息安全管理平臺(tái)對工控系統(tǒng)進(jìn)行統(tǒng)一的監(jiān)控和呈現(xiàn)，監(jiān)控主機(jī)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等對象的狀態(tài)性能，關(guān)聯(lián)工控系統(tǒng)中安全設(shè)備的告警信息，分析、審計(jì)和預(yù)警安全事件，度量、評估安全風(fēng)險(xiǎn)，實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)的統(tǒng)一安全管理。

安全運(yùn)維措施：做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進(jìn)行配置審計(jì)。強(qiáng)化工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等的登錄賬戶及密碼，避免使用默認(rèn)口令或弱口令，定期更新口令。建立工控安全管理制度、成立工控安全領(lǐng)導(dǎo)小組，開展安全應(yīng)急演練，明確工控安全管理責(zé)任人，落實(shí)工控安全責(zé)任制等。

應(yīng)用效果

結(jié)合公司工控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)、功能特點(diǎn)和安全需求，及“網(wǎng)絡(luò)分層分域隔離-域內(nèi)異常監(jiān)測-分層安全防護(hù)-統(tǒng)一安全管理”整體工控安全防護(hù)思路。我們通過工控系統(tǒng)信息安全建設(shè)對整個(gè)工控系統(tǒng)進(jìn)行全面風(fēng)險(xiǎn)評估掌握目前工控系統(tǒng)風(fēng)險(xiǎn)現(xiàn)狀；對各工控網(wǎng)絡(luò)進(jìn)行安全域隔離降低來至管理網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)；在各工控系統(tǒng)安全域內(nèi)進(jìn)行異常監(jiān)測、分層防護(hù)，以保證工控系統(tǒng)內(nèi)部安全；最后對整個(gè)工控系統(tǒng)進(jìn)行統(tǒng)一安全呈現(xiàn)和管理，將各個(gè)防護(hù)點(diǎn)組成一個(gè)全面的防護(hù)體系，保障了整個(gè)工控系統(tǒng)的安全穩(wěn)定運(yùn)行。