辛冠瑩 蘇永剛 樊澤

摘 要：工業(yè)控制系統(tǒng)已廣泛應(yīng)用于電力、軌道交通、石油化工、航空航天等工業(yè)領(lǐng)域。目前，大量的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化操作。工業(yè)控制系統(tǒng)已經(jīng)成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。由于工業(yè)控制系統(tǒng)廣泛采用通用網(wǎng)絡(luò)設(shè)備和IT設(shè)施，以及與企業(yè)信息管理系統(tǒng)的集成，傳統(tǒng)信息網(wǎng)絡(luò)所面臨的病毒、木馬、入侵攻擊、拒絕服務(wù)等安全威脅也正在向工業(yè)控制系統(tǒng)擴散。本文主要對某油田規(guī)劃建設(shè)與安全保密措施進行探討，并提出相關(guān)建設(shè)性策略。

關(guān)鍵詞：工業(yè)控制系統(tǒng);入侵攻擊;安全威脅

一 項目背景

近年來，隨著兩化融合發(fā)展的不斷深入，安全威脅向工業(yè)控制系統(tǒng)加速滲透，工業(yè)領(lǐng)域面臨嚴峻的信息安全挑戰(zhàn)。為提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全的防護水平，保障工業(yè)控制系統(tǒng)安全，2016年10月，工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》，指導(dǎo)工業(yè)企業(yè)開展工控安全防護工作。此項工作的推出，引起了領(lǐng)導(dǎo)對工業(yè)控制系統(tǒng)安全的高度重視，并將工控系統(tǒng)安全防護提升到戰(zhàn)略層面。

二 需求分析

工控安全是生產(chǎn)安全的一部分，所有安全防護的目標就是保證生產(chǎn)的安全穩(wěn)定運行，因此工控系統(tǒng)的實地調(diào)研和風(fēng)險評估是一個非常重要的環(huán)節(jié)，通過該環(huán)節(jié)，才可以真正讓安全需求落地。

經(jīng)過調(diào)研和評估，總結(jié)出如下幾個關(guān)鍵的安全薄弱環(huán)節(jié)：辦公網(wǎng)與外網(wǎng)連接，生產(chǎn)網(wǎng)與辦公網(wǎng)互通，生產(chǎn)網(wǎng)與辦公網(wǎng)邊界存在重大安全隱患。作為數(shù)據(jù)采集及存儲的關(guān)鍵部分，OPC 服務(wù)器存在諸多安全隱患。工業(yè)控制相關(guān)的應(yīng)用系統(tǒng)普遍存在弱口令問題，這也反映出安全意識的不足。工控主機中會存儲一些重要的文件，但是文件一般未加密，容易造成核心數(shù)據(jù)丟失，同時病毒感染的現(xiàn)象普遍。便攜式工程師站、操作員站防護手段不足，會成為病毒、木馬入侵的跳板。

三 實施方案

3.1建設(shè)原則

3.1.1深度防御

在信息安全防護系統(tǒng)設(shè)計、實施過程中，建立等級保護深度防御體系，對計算環(huán)境、網(wǎng)絡(luò)邊界、通信網(wǎng)絡(luò)、用戶和數(shù)據(jù)進行全面控制。以《信息系統(tǒng)等級保護基本要求》為依據(jù)，按照《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》，建設(shè)符合生產(chǎn)系統(tǒng)安全需要的安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)。

3.1.2集中管理

集中管理是建設(shè)信息安全等級保護深度防御系統(tǒng)的基本要求，是各單位橫向集成、縱向貫通，信息共享的前提。同時，在生產(chǎn)控制系統(tǒng)安全防護時，按照統(tǒng)一信息系統(tǒng)安全管理的規(guī)范進行規(guī)劃和設(shè)計，確保信息安全防護水平的一致。對業(yè)務(wù)系統(tǒng)范圍內(nèi)的資源和用戶進行統(tǒng)一標記，按照訪問控制策略來進行實施，對于各個終端、服務(wù)器和邊界的事件應(yīng)統(tǒng)一由審計中心進行分析和響應(yīng)。另外，應(yīng)建立全系統(tǒng)范圍的網(wǎng)絡(luò)管理和監(jiān)控系統(tǒng)，做到管理全局統(tǒng)一，監(jiān)控嚴密，響應(yīng)及時。

3.1.3適度防護

在信息安全防御體系建設(shè)過程中，需要考慮對內(nèi)部的防護，突出適度防護的原則。在考慮可用性和建設(shè)成本的前提下，對現(xiàn)有系統(tǒng)進行改造升級，建立滿足高安全等級要求的信息系統(tǒng)。

3.2建設(shè)架構(gòu)

3.2.1工控主機衛(wèi)士部署

對感染病毒的主機進行病毒清理工作。不同于辦公主機的殺毒，還要考慮到病毒清理可能對應(yīng)用軟件的破壞，需要先備份后殺毒。在備份主機上確認殺毒方案對當前系統(tǒng)沒有影響的情況下，才真正在目標主機上開展相關(guān)病毒清理工作，病毒清理干凈后，部署主機衛(wèi)士進行最終加固。通過“白名單”管理機制解決惡意代碼對工控主機的攻擊問題。可以對主機等USB接口進行管控，杜絕由于移動存儲設(shè)備所帶來的潛在安全風(fēng)險。

3.2.2工業(yè)防火墻部署

工控交換機和工控出口3G路由器中間部署一臺工業(yè)防火墻用于工控系統(tǒng)的防護。在做好有效的訪問控制的同時，通過工業(yè)協(xié)議的深度解析和指令級控制，有效阻斷來自生產(chǎn)網(wǎng)之外的對工控系統(tǒng)的攻擊行為。要做好工控協(xié)議的深度解析和指令級控制，首先要建立完整的業(yè)務(wù)模型，這一方面要借助工業(yè)防火墻的工業(yè)協(xié)議智能學(xué)習(xí)功能，同時也要結(jié)合人工的分析和調(diào)整，真正實現(xiàn)該阻斷的絕不放過，該通過的絕不阻斷。

3.2.3 ?統(tǒng)一安全管理平臺部署

在某機房安裝統(tǒng)一安全管理平臺對工業(yè)防火墻、智能監(jiān)測終端和主機衛(wèi)士加固過的工作站進行集中管理，并對外提供Web管理能力。有效阻斷非法IP的侵入。網(wǎng)絡(luò)安全從來都不是孤立的，我們在強調(diào)技防的同時，也要重視從管理入手去杜絕安全隱患，結(jié)合我處的現(xiàn)狀及特點，涵蓋工控系統(tǒng)邊界防護、區(qū)域防護和主機防護的縱深防御解決方案，部署了包括威努特工業(yè)防火墻、工控主機衛(wèi)士（主機安全加固）以及統(tǒng)一安全管理平臺等。

3.3功能介紹

3.3.1工控主機衛(wèi)士

1.主機安全防護

工控主機安全防護軟件支持操作系統(tǒng)完整性檢查，完整性檢查包括注冊表保護、文件保護、防止操作系統(tǒng)被惡意軟件破環(huán)等。當操作系統(tǒng)被惡意軟件破壞后，工控主機安全防護軟件可以通過統(tǒng)一安全管理平臺進行告警，提醒信息安全管理員操作系統(tǒng)存在被入侵風(fēng)險。

2.阻止惡意代碼的執(zhí)行和擴散

工控主機安全防護軟件通過“白名單”機制，可以有效阻止“白名單”外的程序及病毒、木馬等惡意代碼的執(zhí)行，進而有效避免系統(tǒng)感染震網(wǎng)病毒等工控惡意代碼。如果在工業(yè)控制系統(tǒng)中有一臺設(shè)備被惡意病毒感染并通過網(wǎng)絡(luò)擴散到其它主機后，在部署了工控主機安全防護軟件的主機上通過白名單功能就可以阻止病毒的運行，進而保護主機的運行安全。

3.移動存儲管理

由于工控網(wǎng)絡(luò)的封閉性，根據(jù)現(xiàn)場調(diào)研表情況看，工作站存在未使用的USB端口及光驅(qū)?，F(xiàn)場工程師可以通過U盤或光盤等與工控網(wǎng)中的設(shè)備上傳或下載數(shù)據(jù)信息，在這個過程中，很容易將病毒木馬帶入工控網(wǎng)絡(luò)中。工控主機安全防護軟件配套使用的安全U盤可以有效保障數(shù)據(jù)的安全，能夠根據(jù)需要靈活控制安全U盤和普通U盤的“禁用、只讀、可讀寫”權(quán)限。在信息安全源頭解決病毒、木馬等惡意代碼的入侵及傳播。

4.主機安全管理

工控主機安全防護軟件配合安全管理平臺，對白名單外的惡意代碼、違規(guī)操作進行告警及記錄;對人員未授權(quán)安裝軟件進行告警;對普通U盤以及安全U盤的違規(guī)使用告警;支持注冊表、配臵文件和操作系統(tǒng)文件破壞告警。

3.3.2工業(yè)防火墻

1.策略配置

防火墻部署前，提前配置全通ACL策略并記錄日志，后期根據(jù)ACL策略產(chǎn)生的日志配置詳細的ACL策略。安全策略詳情見曲子站安全策略和咸陽站安全策略。

2.白名單配置

白名單采用自學(xué)習(xí)模式，學(xué)習(xí)完成后通過人工甄別的方式，最終同使用人確定通信訪問關(guān)系的可信情況并完善白名單。白名單詳情見曲子站白名單及咸陽站白名單。

3.3.3統(tǒng)一安全管理平臺

管理員通過Web管理界面即可對系統(tǒng)內(nèi)安裝安全衛(wèi)士的主機進行統(tǒng)一管理，這包括：1.查看已經(jīng)安裝的工業(yè)防火墻、智能監(jiān)測終端和主機衛(wèi)士當前的工作狀態(tài);2.查看已經(jīng)部署或者配置新的工業(yè)防火墻的防火墻策略、白名單策略以及查看和處理已經(jīng)產(chǎn)生的告警日志和非法報文的攔截記錄;3.查看已經(jīng)部署或者配置新的智能監(jiān)測終端的工業(yè)協(xié)議白名單監(jiān)測策略、違反協(xié)議規(guī)約策略、無流量策略、異常流量基線配置等及查看和處理相關(guān)的日志告警。

四 防護效果

工控安全防護實施后根據(jù)工業(yè)控制系統(tǒng)信息安全防護能力評估方法對某油田輸油單位的129項工業(yè)控制信息系統(tǒng)安全防護執(zhí)行情況進行了評估，基本滿足要求。同時，PLC死機現(xiàn)象也明顯減少。工業(yè)防火墻、工控主機衛(wèi)士和網(wǎng)閘實實在在的起到了應(yīng)有的防護作用。