郭繼如 楊志國 張濤

摘要：本文通過對當前我國工業(yè)控制系統(tǒng)網(wǎng)絡安全現(xiàn)狀分析后，提出一種基于等保2.0標準的工業(yè)控制系統(tǒng)網(wǎng)絡安全技術防護體系。該防護體系通過構造1個管理中心，安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境3重防護手段，同時融入了P2DR、 IATF 模型理念，實現(xiàn)事前預防、事中響應、事后審計的可信、可控、可管的縱深防護體系。

關鍵詞：等保2.0;工業(yè)控制系統(tǒng);網(wǎng)絡安全;防護體系

1引言

隨著德國工業(yè)4.0、美國工業(yè)互聯(lián)網(wǎng)、我國中國制造2025等再工業(yè)化革命戰(zhàn)略的不斷推進，原本封閉的工業(yè)控制系統(tǒng)逐步被打破，變成越來越開放的系統(tǒng)。與此同時，工業(yè)控制系統(tǒng)也面臨了新的挑戰(zhàn)，各種網(wǎng)絡威脅，病毒、木馬以及黑客、敵對勢力隨之而來，再加上工業(yè)控制系統(tǒng)本身存在一些脆弱性，這些脆弱性又被這些威脅利用就會導致安全事件的發(fā)生。針對安全事件，我國非常重視，分別從國家戰(zhàn)略、法律法規(guī)、政策、標準制定等方面積極采取措施。

2工業(yè)控制系統(tǒng)網(wǎng)絡安全安全現(xiàn)狀分析

2.1控制系統(tǒng)有漏洞

由于工業(yè)控制系統(tǒng)早期在設計時候，主要考慮系統(tǒng)的穩(wěn)定性、實時性以及可靠性，并沒有考慮安全問題。所以導致工業(yè)控制系統(tǒng)漏洞不斷報出，據(jù)國家信息安全漏洞共享平臺 CNVD 統(tǒng)計的工控漏洞截止到2019年8月5號有2018個漏洞。其中西門子、施耐德、研華的產(chǎn)品漏洞最多，高中危漏洞占95%以上。

2.2網(wǎng)絡邊界模糊、缺少控制措施

隨著業(yè)務的不斷發(fā)展，工業(yè)控制系統(tǒng)與管理網(wǎng)、互聯(lián)網(wǎng)連接的需求，再加上工業(yè)控制系統(tǒng)運行維護多年，網(wǎng)絡結構早已改變，結果導致工業(yè)控制系統(tǒng)網(wǎng)絡邊界模糊，且網(wǎng)絡邊界缺少防護措施，非法訪問，越權操作等行為屢有發(fā)生。

2.3缺少流量審計、異常流量不易發(fā)現(xiàn)

由于缺少網(wǎng)絡異常流量分析系統(tǒng)，無法檢測未知的威脅，存在新型惡意代碼傳播，病毒、蠕蟲等惡意代碼威脅將無法感知。

2.4工業(yè)主機存在安全問題

為保證控制系統(tǒng)的運行穩(wěn)定性，企業(yè)通常不會對工業(yè)主機操作系統(tǒng)進行補丁升級，也很少安裝殺毒軟件，即使安裝了殺毒軟件，病毒庫的更新在工業(yè)控制環(huán)境下也難以實現(xiàn)。

3基于等保2.0工業(yè)控制系統(tǒng)網(wǎng)絡安全防護技術體系設計

基于等級保護2.0的要求，構建集安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境及安全管理中心為一體的1中心3防護的縱深防御體系，同時融合了P2DR模型和 IATF 技術框架模型理念，實現(xiàn)事前預防、事中響應、事后審計的可信、可控、可管的安全防御系統(tǒng)。

3.1安全通信網(wǎng)絡設計

◆網(wǎng)絡架構

關鍵網(wǎng)絡設備和計算設備應采用冗余，劃分合理的安全域，不同安全域之間進行邏輯隔離。

◆通信傳輸

通信完整性和保密性主要由工業(yè)控制系統(tǒng)完成。在通信雙方建立連接之前，工業(yè)控制系統(tǒng)與互聯(lián)系統(tǒng)間及工業(yè)控制系統(tǒng)內(nèi)部利用雙方協(xié)商的會話協(xié)議進行會話初始化驗證，并對通信過程中的敏感信息字段進行加密。

◆可信驗證

此項為可選項，系統(tǒng)自身配置可信計算板卡，信任機制，滿足可信驗證要求即可。

3.2安全區(qū)域邊界設計

◆邊界防護

在生產(chǎn)線車間、數(shù)控車間以及工業(yè)無線網(wǎng)絡的出口部署工業(yè)防火墻;在過程監(jiān)控層與生產(chǎn)管理層之間部署工業(yè)防火墻;在企業(yè)資源層與生產(chǎn)管理層之間部署網(wǎng)閘設備，解決不同安全域之間違規(guī)訪問與邏輯隔離。在生產(chǎn)管理層部署網(wǎng)絡準入設備，針對終端的違規(guī)接入和非法外聯(lián)進行管控。

◆訪問控制

在工業(yè)防火墻中設置精簡且必要的訪問控制規(guī)則，默認情況下除允許通信外受控接口拒絕所有通信，訪問控制規(guī)則對數(shù)據(jù)包進行檢查，實現(xiàn)數(shù)據(jù)的安全傳輸。

◆入侵防范

在交換機旁路部署監(jiān)測審計設備，對網(wǎng)絡中的數(shù)據(jù)流量進行實時解析。同時利用白名單、黑名單規(guī)則庫，實時監(jiān)測網(wǎng)絡入侵并實時報警，詳實記錄一切網(wǎng)絡通信行為，包括指令級的協(xié)議通信記錄。

◆安全審計

在生產(chǎn)管理層部署運維堡壘機，針對運維人員在遠程運維設備時，進行集中賬號管理、集中登錄認證、集中用戶授權和集中操作審計

3.3安全計算環(huán)境

◆身份鑒別

工業(yè)主機、網(wǎng)絡設備、安全設備、控制設備、應用系統(tǒng)、數(shù)據(jù)庫等應內(nèi)置身份鑒別功能或身份鑒別措施。

◆訪問控制

在工業(yè)主機、網(wǎng)絡設備、安全設備、應用系統(tǒng)、數(shù)據(jù)庫等設備或系統(tǒng)，對登錄的用戶分配賬戶及相應操作權限。終端的默認賬戶，修改默認口令，修改后的口令滿足等保復雜度要求。對管理用戶授權，遵循必要的最小權限原則。

◆安全審計

在生產(chǎn)管理層部署數(shù)據(jù)庫審計，基于數(shù)據(jù)庫協(xié)議分析與控制技術，實現(xiàn)對數(shù)據(jù)庫操作“危險指令阻斷、訪問行為控制、安全態(tài)勢分析、全面行為審計”的數(shù)據(jù)庫安全主動防御。工業(yè)主機上部署工控安全衛(wèi)士進行主機審計，并定時將數(shù)據(jù)上報到安全管理平臺。

◆入侵防范

網(wǎng)絡、安全設備或應用系統(tǒng)等遵循最小化安裝原則，只安裝必要的組件和應用程序。關閉非必要的系統(tǒng)服務和默認共享，關閉非必要的高危端口等。

3.4安全管理中心

◆審計管理

審計管理員通過雙因子認證登錄到管理平臺上，對系統(tǒng)的操作日志以及告警日志進行統(tǒng)一查看、分析、審計等。

◆安全管理

安全管理員通過雙因子認證登錄到管理平臺上，對安全策略下發(fā)、配置、修改、訪問控制、授權等統(tǒng)一配置管理。

◆集中管理

通過工控安全管理平臺對所有安全設備統(tǒng)一管理，所有終端的事件信息統(tǒng)一上傳，參數(shù)配置統(tǒng)一下發(fā)等功能，實現(xiàn)對工業(yè)控制系統(tǒng)的整體安全態(tài)勢集中可視化展現(xiàn)（資產(chǎn)、漏洞、拓撲、事件）、分析、入侵檢測和安全事件的預警、管控，提升企業(yè)安全防護整體水平。

結語

通過對工業(yè)控制系統(tǒng)的安全現(xiàn)狀分析，以及結合等保2.0標準通用要求和工業(yè)控制系統(tǒng)擴展要求，設計了一種基于等保2.0標準的工業(yè)控制系統(tǒng)網(wǎng)絡安全技術防護體系，即構造1個中心，3重防護的縱深防御體系，為工業(yè)控制系統(tǒng)的網(wǎng)絡安全防護提供了理論參考依據(jù)。

作者簡介：郭繼如（1964年5月）男，籍貫：河北省唐山市人，漢族，現(xiàn)職稱：高級工程師，學歷：研究生，研究方向：計算機網(wǎng)絡，從事計算機專業(yè)工作。