車間工控系統(tǒng)的網(wǎng)絡(luò)安全防護措施

◆楊 冰 周玉前 謝 超

車間工控系統(tǒng)的網(wǎng)絡(luò)安全防護措施

◆楊 冰 周玉前 謝 超

（上海航天精密機械研究所 上海 201600）

工控系統(tǒng)網(wǎng)絡(luò)安全是企業(yè)工控系統(tǒng)建設(shè)的重要基礎(chǔ)，工控系統(tǒng)安全漏洞會嚴重制約企業(yè)信息化發(fā)展。本文通過研究工控系統(tǒng)網(wǎng)絡(luò)安全面臨的威脅，闡述工控系統(tǒng)的網(wǎng)絡(luò)安全要求，并提出針對車間生產(chǎn)環(huán)境下具體的、全面的工控系統(tǒng)網(wǎng)絡(luò)安全防護措施。

工控系統(tǒng)；網(wǎng)絡(luò)安全；防護

隨著信息化和工業(yè)化的高速發(fā)展，計算機網(wǎng)絡(luò)技術(shù)越來越多地被應(yīng)用到工業(yè)控制系統(tǒng)（簡稱公開系統(tǒng)）中，工控系統(tǒng)從“信息孤島”向網(wǎng)絡(luò)化、集成化模式發(fā)展已成必然的趨勢，在推動了工業(yè)化進程的同時，也帶來了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題。工業(yè)控制系統(tǒng)安全不僅是一個技術(shù)問題，更是一個管理問題，美國ICS-CERT報告顯示，出現(xiàn)工控安全事件排在前三位的行業(yè)分布是：能源、關(guān)鍵制造業(yè)、交通，可以說，加強工控系統(tǒng)網(wǎng)絡(luò)安全防護是工控系統(tǒng)建設(shè)的重要基礎(chǔ)。

本文以生產(chǎn)車間工控系統(tǒng)安全防范作為切入點，詳細闡述如何提高生產(chǎn)車間工控系統(tǒng)的網(wǎng)絡(luò)安全。

1 工控系統(tǒng)網(wǎng)絡(luò)安全形勢分析

目前越來越多的工控系統(tǒng)暴露于互聯(lián)網(wǎng)上，導(dǎo)致針對關(guān)鍵設(shè)施工控系統(tǒng)的安全漏洞快速增長，嚴重地制約了企業(yè)信息化和智能化的發(fā)展進程，而且國內(nèi)工控系統(tǒng)在信息系統(tǒng)安全相關(guān)領(lǐng)域研究相對滯后，各方面設(shè)施剛剛起步，對于工控系統(tǒng)攻擊事件的應(yīng)對能力有限，對漏洞風險的研究不夠全面，缺乏完善的網(wǎng)絡(luò)安全防范措施。工控系統(tǒng)安全問題的包括關(guān)鍵基礎(chǔ)設(shè)施安全、系統(tǒng)計算環(huán)境安全和工業(yè)網(wǎng)絡(luò)安全。

尤其是軍工企業(yè)，在面對市場化競爭的壓力下，研究工控系統(tǒng)安全體系架構(gòu)，可以從根本上解決工控系統(tǒng)缺乏安全性設(shè)計的先天缺陷并保證系統(tǒng)的本質(zhì)安全。

2 工控系統(tǒng)的信息安全要求

工控系統(tǒng)已經(jīng)不再是發(fā)展之初那種相對封閉和獨立的系統(tǒng)了，其于傳統(tǒng)IT信息安全的區(qū)別主要包含以下幾點：

2.1 入侵攻擊方式多樣化

工控系統(tǒng)結(jié)構(gòu)相對固定、形式多樣化，但是接入的信息設(shè)備多、網(wǎng)絡(luò)通信方式多樣化。

2.2 有組織的攻擊

入侵工控系統(tǒng)的漏洞多是高級漏洞，防范難度大，具有較大的破壞性，這類組織多是有詳細的策劃和科學的分工，攻擊形式更加專業(yè)化BM算法的移動距離為好后綴機制和壞字符機制的最大值。

2.3 安全優(yōu)先級

傳統(tǒng)IT信息安全將保密性放在首位，防止信息盜取，而工控系統(tǒng)首要考慮的是系統(tǒng)部件的可用性，因為這直接影響到企業(yè)生產(chǎn)效益。

傳統(tǒng)信息安全的系統(tǒng)更新頻率和軟件補丁方式不再適用于工控系統(tǒng)，在工業(yè)應(yīng)用環(huán)境下，停機更新系統(tǒng)的成本很高。因此，需要應(yīng)用一系列的網(wǎng)絡(luò)安全防范措施來保護工控系統(tǒng)。

3 車間生產(chǎn)工控系統(tǒng)防護方案

根據(jù)場所實際情況，本文針對性地提出車間工業(yè)控制網(wǎng)絡(luò)安全防護方案，如圖1所示車間工控網(wǎng)絡(luò)架構(gòu)示意圖。

該生產(chǎn)車間工業(yè)控制網(wǎng)絡(luò)主要部署DNC服務(wù)器、MDC服務(wù)器以及生產(chǎn)數(shù)據(jù)備份服務(wù)器，并采用接入控制、服務(wù)器主機審計、非法外聯(lián)、病毒木馬防護、工控防火墻、工控安全審計系統(tǒng)、工控安全管理平臺、工控風險智能感知系統(tǒng)、工控主機防護系統(tǒng)等技術(shù)手段對工控網(wǎng)進行安全防護。

圖1 車間工控網(wǎng)絡(luò)架構(gòu)示意圖

3.1 安全區(qū)劃分

該工控網(wǎng)絡(luò)按照功能和重要性等因素不同，劃分為4個安全區(qū)，分別為數(shù)控加工區(qū)、計量測試區(qū)、工控服務(wù)器區(qū)以及安全管理區(qū)等4個安全區(qū)。

（1）數(shù)控加工區(qū)

數(shù)控加工區(qū)涵蓋各個部門廠房內(nèi)的數(shù)控機床。

（2）測試設(shè)備區(qū)

測試設(shè)備涵蓋靜力試驗、拉伸試驗、硬度試驗、沖擊試驗、線纜測試、電阻測試、化學分析試驗、無損檢測、低差壓鑄造、熱處理、焊接系統(tǒng)等多種類型的工控設(shè)備及其上位機。

（3）工控服務(wù)器區(qū)

在組網(wǎng)設(shè)計時，考慮到應(yīng)用服務(wù)的安全，把應(yīng)用服務(wù)器、數(shù)據(jù)服務(wù)器等集中部署在工控服務(wù)器區(qū)中，集中統(tǒng)一管理。

在安全管理區(qū)集中部署安全系統(tǒng)設(shè)備以及安全運維終端，感知工業(yè)控制網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)備的運行狀態(tài)，收集、存儲與分析安全告警事件，并結(jié)合自動生成的組網(wǎng)拓撲結(jié)構(gòu)，進行安全事件關(guān)聯(lián)分析與統(tǒng)一處置，提高安全管理的時效性與統(tǒng)一性，實現(xiàn)工控網(wǎng)安全的風險感知與集中管理功能。

其中，工控安全管理平臺負責對工控安全監(jiān)測與審計系統(tǒng)、工控防火墻等安全設(shè)備進行統(tǒng)一配置隔離。工控風險智能感知系統(tǒng)通過終端探測器主動感知工業(yè)控制網(wǎng)內(nèi)存在的安全風險，配合安全管理平臺實現(xiàn)安全風險的有效管控。

在安全管理區(qū)部署工控漏洞發(fā)現(xiàn)與挖掘系統(tǒng)，在工控系統(tǒng)設(shè)備采購上線前，對工控安全系統(tǒng)采購上線前，對工控網(wǎng)絡(luò)中運行的系統(tǒng)與控制器，在檢修與離線狀態(tài)下，可通過工控漏洞挖掘系統(tǒng)對被檢測設(shè)備進行安全漏洞檢查，不僅可實時發(fā)現(xiàn)存在的已知漏洞，還可對未知漏洞進行挖掘，以找到系統(tǒng)存在的安全漏洞風險，為后續(xù)加固提供數(shù)據(jù)支撐。

3.2 網(wǎng)絡(luò)邊界防護

在工控網(wǎng)絡(luò)邊界部署1臺防火墻進行邊界隔離與防護，設(shè)置采用雙向最小授權(quán)策略設(shè)置訪問規(guī)則。限制工藝設(shè)計人員、工藝管理人員、車間操作人員的用戶終端以及安全隔離與信息單向?qū)胂到y(tǒng)對工控業(yè)務(wù)系統(tǒng)服務(wù)器的非授權(quán)訪問，嚴格設(shè)置源IP地址、目的IP地址、通信端口和通信協(xié)議等白名單策略；嚴格限制工控網(wǎng)絡(luò)中各類終端和服務(wù)器對安全隔離與單向?qū)胂到y(tǒng)中的采集服務(wù)器的非授權(quán)訪問。

3.3 區(qū)域訪問控制

在工控網(wǎng)絡(luò)核心交換機下方部署一臺工控防火墻，集中管控數(shù)控機床和工控設(shè)備，設(shè)置通用訪問策略，盡量控制最小授權(quán)訪問，并采用白名單機制。

工控安全管理區(qū)和工控服務(wù)器區(qū)內(nèi)的設(shè)備采用交換機劃分到不同的VLAN中，同時在交換機上設(shè)置訪問控制策略限制服務(wù)器VLAN之間的訪問；工業(yè)生產(chǎn)區(qū)的數(shù)控機床、工業(yè)控制設(shè)備按照設(shè)備類型、功能特點劃分為不同的VLAN，通過三層路由交換機訪問控制列表限定各個車間/測試間的設(shè)備VLAN只能訪問指定的工控業(yè)務(wù)系統(tǒng)服務(wù)器，除非白名單策略允許，一般禁止各個車間/測試間的工控設(shè)備VLAN之間相互訪問。

數(shù)控加工區(qū)設(shè)置在同一虛擬局域網(wǎng)中，統(tǒng)一接入到匯聚交換機，然后在工控防火墻上劃分專門安全域，設(shè)置IP地址、端口以及nc文件等白名單策略對數(shù)控機床進行集中防護。

3.就業(yè)市場不規(guī)范，存在著不公平現(xiàn)象。近年來，隨著貧富差距加大的趨勢日趨嚴重，“拼爹”現(xiàn)象越來越盛行，人們普遍感到改變命運的渠道越來越窄，這一現(xiàn)象導(dǎo)致了許多平凡家庭出身和貧困家庭出身的大學畢業(yè)生在找工作時受到不公平的對待，是否是城鄉(xiāng)性質(zhì)的戶口對畢業(yè)生的就業(yè)有著很大影響。藍皮書中數(shù)據(jù)顯示，截止 2013 年 9 月底， 來自城市家庭的本科畢業(yè)生的就業(yè)率是87.7%，而來自農(nóng)村家庭的本科畢業(yè)生的就業(yè)率則只有 69.5%。

測試設(shè)備區(qū)內(nèi)，工控設(shè)備上位機的上行通信數(shù)據(jù)以各類型文件為主，下行通信主要為小流量的結(jié)構(gòu)化數(shù)據(jù)，工控設(shè)備統(tǒng)一接入到匯聚交換機，然后在工控防火墻上劃分工控設(shè)備安全域，在安全域內(nèi)針對上下行數(shù)據(jù)的各自特征，設(shè)置對應(yīng)的安全防護策略。

3.4 邊界病毒防護

在企業(yè)內(nèi)網(wǎng)與工業(yè)控制網(wǎng)絡(luò)之間部署安全隔離與信息單向?qū)胂到y(tǒng)，安全隔離與信息單向?qū)胂到y(tǒng)集成了專業(yè)的第三方病毒查殺軟件，實現(xiàn)了對跨域病毒、木馬等惡意代碼的防護。

對于包含病毒、木馬的數(shù)據(jù)，安全隔離與信息單向?qū)胂到y(tǒng)會立即終止數(shù)據(jù)的單向同步，并清除病毒文件、進行日志告警。

安全隔離與信息單向?qū)胂到y(tǒng)的防病毒軟件病毒庫由系統(tǒng)管理員進行定期升級，同時保證能夠?qū)?shù)據(jù)包的實時監(jiān)控，防止病毒或惡意代碼通過網(wǎng)絡(luò)在企業(yè)內(nèi)網(wǎng)、工業(yè)控制網(wǎng)絡(luò)之間進行傳播。

3.5 安全綜合審計

在工控網(wǎng)核心交換機旁路部署1臺工控安全審計系統(tǒng)，基于工業(yè)協(xié)議的深度解析，利用白名單與人工智能學習技術(shù)，基于集成的工業(yè)漏洞庫，實現(xiàn)對工業(yè)網(wǎng)絡(luò)中的各種應(yīng)用行為、內(nèi)容進行合規(guī)性檢查與審計，同時也可細粒度地對違規(guī)操作、非法訪問、各種入侵行為進行實時發(fā)現(xiàn)、審計與告警，配合工控防火墻的部署安全策略調(diào)整，實現(xiàn)對工業(yè)控制網(wǎng)絡(luò)的安全防護。

在3個安全分區(qū)匯聚交換機分別旁路部署1臺工控安全審計系統(tǒng)，詳細記錄過程控制系統(tǒng)和HMI對現(xiàn)場控制設(shè)備的操作過程，快速識別出處系統(tǒng)存在的非法操作、異常事件、外部攻擊并實時告警，并且為安全防御提供策略建議。

3.6 工控安全設(shè)備管理

在安全管理區(qū)部署工控安全管理平臺，用于統(tǒng)一管理、監(jiān)管、保護工業(yè)控制網(wǎng)絡(luò)安全的硬件平臺產(chǎn)品。工控防火墻、工控安全審計系統(tǒng)等均直接納入到安全監(jiān)管平臺中進行統(tǒng)一管理，實現(xiàn)統(tǒng)一策略配置管理等。

4 風險管理

在安全管理區(qū)部署工控風險職能感知系統(tǒng)管理平臺實現(xiàn)全網(wǎng)攻擊路徑分析、網(wǎng)絡(luò)結(jié)構(gòu)安全性分析、網(wǎng)絡(luò)行為分析、業(yè)務(wù)流程安全性分析、安全漏洞匹配，對用戶工業(yè)控制網(wǎng)絡(luò)執(zhí)行全面安全分析，提供風險評估報告。

5 網(wǎng)絡(luò)設(shè)備安全防護

為了防止數(shù)據(jù)在傳輸過程中發(fā)生泄漏或者被非法獲取，數(shù)控接入部分的網(wǎng)絡(luò)交換機采取以下安全防護措施：

5.1 設(shè)備安全

數(shù)控接入部分的網(wǎng)絡(luò)交換機放置在數(shù)控車間的機柜中，數(shù)控車間有視頻監(jiān)控系統(tǒng)，機柜帶有機械鎖，要是由系統(tǒng)管理員保管。

5.2 身份鑒別

為交換機設(shè)置遠程和本地登錄設(shè)置符合要求的口令，口令設(shè)置大于等于10位，大小寫字母、數(shù)字和特殊字符兩者以上的組合。

遠程和本地登錄口令采用加密存儲措施；閑置操作時間超過5分鐘，斷開連接。

5.3 設(shè)備接入控制

采用設(shè)備接入控制系統(tǒng)；同時將交換機端口與工控網(wǎng)絡(luò)的MAC地址進行綁定，未使用的交換接口均采取邏輯關(guān)閉、物理斷開等安全控制措施。

5.4 訪問控制

將工控網(wǎng)絡(luò)單獨劃分VLAN，并設(shè)置訪問控制策略，限制各個工控網(wǎng)絡(luò)VLAN只允許訪問與自身業(yè)務(wù)關(guān)聯(lián)的工控服務(wù)器，禁止對其他VLAN訪問。

5.5 安全審計

為數(shù)控加工區(qū)域的網(wǎng)絡(luò)交換機設(shè)置日志服務(wù)器，定期對交換機日志進行審計。

6 結(jié)束語

工控系統(tǒng)安全是關(guān)系企業(yè)戰(zhàn)略發(fā)展的重大問題，在當前新形勢下，如何建設(shè)工控系統(tǒng)，防護來自內(nèi)部以及外部的惡意攻擊等安全威脅，是網(wǎng)絡(luò)信息安全領(lǐng)域面臨的重大挑戰(zhàn)，本文在詳細分析了工控系統(tǒng)安全風險的基礎(chǔ)上，從管理和技術(shù)兩方面，提出了全面、詳細的生產(chǎn)車間工控系統(tǒng)安全防護的具體實施方案。該方案可以有效提高制造型企業(yè)的工控系統(tǒng)安全，為企業(yè)建設(shè)工控安全體系提供有益參考。

[1]王文宇，劉玉紅.工控系統(tǒng)安全威脅分析及防護研究[J].信息安全與通信保密，2012（2）：33-35.

[2]李佳瑋，郝悍勇，李寧輝.工業(yè)控制系統(tǒng)信息安全防護[J].中國電力，2015，48（10）：139-143.

[3]張劍.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全[M].成都：電子科技大學出版社，2017：88-89．

[4]劉威，李冬，孫波.工業(yè)控制系統(tǒng)安全分析[J].信息網(wǎng)絡(luò)安全，2012（08）：41-43.

[5]王孝良，崔保紅，李思其，等.關(guān)于工控系統(tǒng)信息安全的思考與建議[J].信息網(wǎng)絡(luò)安全，2012，18（11）：11-17.

[6]馬顏軍，張宇.大數(shù)據(jù)時代下的信息安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（12）：140-144.