張 悅，荊 琛，衣 然

(1.國(guó)能信息技術(shù)有限公司，北京100080；2.華北計(jì)算機(jī)系統(tǒng)工程研究所，北京100083)

0 引言

隨著信息通信技術(shù)的高速發(fā)展，信息化與工業(yè)化深度融合，工控系統(tǒng)從封閉走向開放。在提高生產(chǎn)力的同時(shí)，工控系統(tǒng)由于自身的脆弱性和系統(tǒng)漏洞，給黑客入侵工控網(wǎng)絡(luò)提供了通道，并且，各種網(wǎng)絡(luò)病毒等也都潛在威脅著工業(yè)安全[1-5]。在兩化融合的大背景下，工控網(wǎng)絡(luò)的安全防護(hù)正面臨著嚴(yán)峻的挑戰(zhàn)。

1 工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀

工控系統(tǒng)在建設(shè)之初，主要考慮實(shí)用性和可靠性，網(wǎng)絡(luò)中幾乎沒有任何針對(duì)外部攻擊和病毒感染的發(fā)現(xiàn)、防御手段[6-7]，當(dāng)各種病毒、木馬等外部威脅進(jìn)入廠區(qū)管理網(wǎng)、辦公網(wǎng)后，就可以直達(dá)現(xiàn)場(chǎng)控制層網(wǎng)絡(luò)，直接威脅到工業(yè)生產(chǎn)安全。

工控網(wǎng)絡(luò)目前主要面臨的安全風(fēng)險(xiǎn)有[8-12]：

(1)黑客攻擊風(fēng)險(xiǎn)

隨著網(wǎng)絡(luò)攻擊自動(dòng)化、組織化、規(guī)?；陌l(fā)展，掌握黑客技術(shù)的人員數(shù)量不斷增加，各類攻擊手段、策略和工具層出不窮，造成了網(wǎng)絡(luò)黑客的泛濫。

(2)網(wǎng)絡(luò)病毒傳播風(fēng)險(xiǎn)

網(wǎng)絡(luò)病毒是影響計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅。目前，計(jì)算機(jī)網(wǎng)絡(luò)病毒的種類繁多，如2017年爆發(fā)的“永恒之藍(lán)”病毒等。黑客技術(shù)的發(fā)展，使得病毒的種類增加、破壞性增強(qiáng)。若工控網(wǎng)絡(luò)不具備病毒防護(hù)能力，會(huì)遭受網(wǎng)絡(luò)病毒的危害，可能造成信息被篡改、破壞和盜取等，甚至可能會(huì)造成網(wǎng)絡(luò)癱瘓，嚴(yán)重影響工控行業(yè)的發(fā)展。

我國(guó)《網(wǎng)絡(luò)安全法》第21條、59條明確了等級(jí)保護(hù)的必要性和重要性，網(wǎng)絡(luò)安全保障不力需要運(yùn)營(yíng)單位和個(gè)人承擔(dān)相應(yīng)責(zé)任和處罰措施，落實(shí)等級(jí)保護(hù)制度已經(jīng)上升到法律層面。同時(shí)國(guó)家相關(guān)部門對(duì)工控企業(yè)工控系統(tǒng)信息安全的重視程度不斷提高。煙草行業(yè)作為國(guó)民經(jīng)濟(jì)的支柱產(chǎn)業(yè)之一，其卷煙廠在制絲、卷包、物流、動(dòng)力能源等各個(gè)車間中大量使用工控系統(tǒng)，是重點(diǎn)工控行業(yè)[13]。以煙草行業(yè)為例，卷煙廠工控系統(tǒng)受到破壞后，輕則網(wǎng)絡(luò)癱瘓、停產(chǎn)停業(yè)，重則威脅到操作員的人身安全，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害。按等保2.0[14]中的三級(jí)防護(hù)能力要求對(duì)如圖1所示的某卷煙廠工控網(wǎng)絡(luò)進(jìn)行安全評(píng)估，發(fā)現(xiàn)其風(fēng)險(xiǎn)等級(jí)為高，即網(wǎng)絡(luò)環(huán)境脆弱，存在高風(fēng)險(xiǎn)威脅，一旦發(fā)生網(wǎng)絡(luò)入侵將對(duì)企業(yè)產(chǎn)生較大的經(jīng)濟(jì)影響，在一定范圍內(nèi)給組織的經(jīng)營(yíng)和信譽(yù)造成損害。主要安全問題如下：

圖1 某卷煙廠工控網(wǎng)絡(luò)拓?fù)鋱D

(1)區(qū)域邊界方面

①各生產(chǎn)車間網(wǎng)絡(luò)邊界缺乏安全隔離和邊界防護(hù)。

②缺乏網(wǎng)絡(luò)攻擊監(jiān)測(cè)手段，不能及時(shí)發(fā)現(xiàn)工控系統(tǒng)網(wǎng)絡(luò)內(nèi)存在的安全隱患，以及病毒、木馬、DDoS、掃描、SQL注入、XSS、緩沖區(qū)溢出、欺騙劫持等攻擊行為。

(2)計(jì)算環(huán)境方面

①主機(jī)設(shè)備缺乏移動(dòng)介質(zhì)管控措施，存在接入移動(dòng)介質(zhì)(如U盤、移動(dòng)硬盤、智能手機(jī)、光盤等)引入病毒、木馬的風(fēng)險(xiǎn)。

②主機(jī)系統(tǒng)安全漏洞難以修復(fù)，由于工業(yè)控制系統(tǒng)高可用性的特點(diǎn)，主機(jī)設(shè)備升級(jí)需要進(jìn)行兼容性測(cè)試，未經(jīng)測(cè)試升級(jí)可能會(huì)導(dǎo)致業(yè)務(wù)端口沖突，造成系統(tǒng)運(yùn)行故障，故工控系統(tǒng)不能輕易進(jìn)行更新，存在大量漏洞。

(3)管理中心方面

①缺乏集中運(yùn)維與監(jiān)管，不能對(duì)所有工控安全防護(hù)設(shè)備及系統(tǒng)的運(yùn)行狀況、安全策略、惡意代碼、補(bǔ)丁升級(jí)、安全審計(jì)等進(jìn)行集中式的分析與管控。

②缺乏設(shè)備行為的審計(jì)措施，不能對(duì)各類工控安全設(shè)備、工控網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)等系統(tǒng)設(shè)備的運(yùn)行日志、操作記錄進(jìn)行收集、分析，在發(fā)生事故后，難以實(shí)現(xiàn)事故分析和原因追溯。

2 安全防護(hù)策略設(shè)計(jì)

2.1 安全防護(hù)策略核心思想

針對(duì)工控系統(tǒng)缺乏技術(shù)防護(hù)手段應(yīng)對(duì)網(wǎng)絡(luò)攻擊這一問題，本文提出了一種防護(hù)策略，其核心思想如下：

(1)區(qū)域隔離：通過工業(yè)防火墻進(jìn)行區(qū)域隔離，對(duì)不同系統(tǒng)網(wǎng)段的訪問通信進(jìn)行細(xì)粒度設(shè)置，通過策略最小化設(shè)置限制生產(chǎn)網(wǎng)橫向的非預(yù)期通信。

(2)監(jiān)測(cè)預(yù)警：對(duì)生產(chǎn)網(wǎng)絡(luò)中的流量進(jìn)行特征匹配，及時(shí)發(fā)現(xiàn)異常流量并進(jìn)行預(yù)警。

(3)終端加固：應(yīng)用白名單技術(shù)，在系統(tǒng)正常運(yùn)行階段進(jìn)行機(jī)器學(xué)習(xí)，形成進(jìn)程運(yùn)行的白名單，限制其他非預(yù)期的程序運(yùn)行，同時(shí)可以修改主機(jī)注冊(cè)表，限制移動(dòng)介質(zhì)的識(shí)別與自啟動(dòng)，防止移動(dòng)介質(zhì)的擺渡攻擊。

(4)集中管控，聯(lián)防聯(lián)控：通過入侵監(jiān)測(cè)、預(yù)警、審計(jì)，實(shí)現(xiàn)對(duì)安全事件的集中分析，結(jié)合應(yīng)急方案形成快速處置方法，聯(lián)合工控防火墻、主機(jī)白名單等安全防護(hù)措施進(jìn)行聯(lián)動(dòng)，控制安全事件的發(fā)生與蔓延[15]。

(5)審計(jì)溯源：通過收集、分析各類工控設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)等的日志記錄，實(shí)現(xiàn)異常報(bào)警、事故分析和原因追溯。

2.2 安全防護(hù)政策部署——以某卷煙廠為例

通過部署工業(yè)防火墻、工控入侵檢測(cè)系統(tǒng)、工控監(jiān)測(cè)分析預(yù)警系統(tǒng)、工控日志審計(jì)系統(tǒng)、工控?cái)?shù)據(jù)庫(kù)審計(jì)系統(tǒng)、工控主機(jī)加固軟件、工控運(yùn)維審計(jì)系統(tǒng)，實(shí)現(xiàn)各車間網(wǎng)絡(luò)的區(qū)域分離、監(jiān)測(cè)預(yù)警、終端加固、審計(jì)溯源、集中管控、聯(lián)防聯(lián)控，完善工控系統(tǒng)安全體系框架，提高工控網(wǎng)絡(luò)的安全系數(shù)。以上文提到的某卷煙廠工控網(wǎng)絡(luò)為例，圖2為其完成安全防護(hù)策略實(shí)際應(yīng)用部署的示意圖，詳細(xì)部署如下。

圖2 某卷煙廠工控網(wǎng)絡(luò)安全防護(hù)策略示意圖

2.2.1 區(qū)域邊界方面

(1)區(qū)域隔離

在制絲、卷包、物流、動(dòng)力能源等各個(gè)車間的接入交換機(jī)與匯聚交換機(jī)之間部署工控防火墻，實(shí)現(xiàn)生產(chǎn)網(wǎng)絡(luò)各區(qū)域的安全邏輯隔離和邊界防護(hù)，避免生產(chǎn)區(qū)域之間的越權(quán)訪問，防止病毒、蠕蟲等惡意代碼擴(kuò)散和入侵攻擊。通過部署、調(diào)試工控防火墻，根據(jù)業(yè)務(wù)需求進(jìn)行策略最小化配置，用于分區(qū)分域，過濾非授權(quán)訪問，保證只有授權(quán)的通信鏈接才允許通過。

(2)監(jiān)測(cè)預(yù)警

監(jiān)測(cè)類設(shè)備主要包括工控入侵檢測(cè)系統(tǒng)、工控監(jiān)測(cè)分析預(yù)警系統(tǒng)。監(jiān)測(cè)工控網(wǎng)絡(luò)異常流量，及時(shí)發(fā)現(xiàn)工控網(wǎng)絡(luò)各層面安全隱患以及病毒、蠕蟲、木馬、DDoS、掃描、SQL注入、XSS、緩沖區(qū)溢出、欺騙劫持等攻擊行為，形成綜合預(yù)警和態(tài)勢(shì)感知的能力。

2.2.2 計(jì)算環(huán)境方面

工控主機(jī)加固軟件既可防止終端被移動(dòng)介質(zhì)，如U盤、移動(dòng)硬盤、智能手機(jī)、光盤等，帶入的病毒木馬入侵，還能通過在網(wǎng)絡(luò)內(nèi)部主機(jī)中依據(jù)程序特征建立操作系統(tǒng)運(yùn)行的白環(huán)境，禁止非授信程序運(yùn)行，解決操作系統(tǒng)因無法升級(jí)補(bǔ)丁帶來的安全問題，保證系統(tǒng)的穩(wěn)定運(yùn)行。區(qū)別于傳統(tǒng)的殺毒軟件，計(jì)算環(huán)境的終端加固不依賴于特征庫(kù)，不用頻繁升級(jí)，適配于不能及時(shí)進(jìn)行更新的工控環(huán)境。

(1)建立白名單庫(kù)

通過快速磁盤檢索機(jī)制全盤掃描篩選信任程序、快速建立白名單信任庫(kù)，創(chuàng)建本地白名單信任庫(kù)。

(2)啟動(dòng)防護(hù)

系統(tǒng)初始時(shí)掃描exe后綴的可執(zhí)行程序，以及dll、sys、ocx、bat、vbs等所有pe格式的文件與腳本文件。采集這些文件的路徑名稱、數(shù)字證書信息、數(shù)字證書完整性、公司名稱、版本信息、PE頭信息、文件的SM3哈希值。通過這些信息組合的條件校驗(yàn)這些文件是否可以被執(zhí)行。

(3)外設(shè)防護(hù)

配置外設(shè)防護(hù)策略，檢測(cè)移動(dòng)外部設(shè)備的使用情況。支持U盤白名單設(shè)置，只允許指定的U盤插入并產(chǎn)生記錄。

2.2.3 管理中心方面

(1)集中管理，聯(lián)防聯(lián)控

部署工控運(yùn)維審計(jì)系統(tǒng)對(duì)所有工控安全防護(hù)設(shè)備及系統(tǒng)進(jìn)行統(tǒng)一管理、分析，降低運(yùn)維管理成本。開啟互聯(lián)網(wǎng)連接預(yù)警，在互聯(lián)網(wǎng)連接狀態(tài)發(fā)生改變時(shí)產(chǎn)生報(bào)警，可有效防止私自使用無線設(shè)備上網(wǎng)導(dǎo)致的信息外露事件。在監(jiān)測(cè)類設(shè)備發(fā)現(xiàn)異常流量、入侵行為后，聯(lián)合工控防火墻、主機(jī)白名單等安全防護(hù)措施設(shè)置相應(yīng)策略，阻擋攻擊行為，控制安全事件的發(fā)生與蔓延。

(2)審計(jì)溯源

審計(jì)類設(shè)備主要包括工控日志審計(jì)系統(tǒng)、工控?cái)?shù)據(jù)庫(kù)審計(jì)系統(tǒng)、工控運(yùn)維審計(jì)系統(tǒng)以及制絲、卷包、物流、動(dòng)力能源等各個(gè)車間部署的日志探針。收集各類工控安全設(shè)備、工控網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)等系統(tǒng)設(shè)備的運(yùn)行日志、操作記錄，分析和處理后及時(shí)通知管理人員，從而達(dá)到預(yù)防、事故分析和原因追溯的目的。

3 安全防護(hù)策略驗(yàn)證

對(duì)實(shí)現(xiàn)了工控網(wǎng)絡(luò)安全防護(hù)策略實(shí)際應(yīng)用部署的卷煙廠進(jìn)行安全測(cè)評(píng)，其在技術(shù)層面的主要驗(yàn)證結(jié)果如下：

(1)區(qū)域邊界防護(hù)驗(yàn)證

生產(chǎn)網(wǎng)通過部署工控防火墻，合理設(shè)置策略。通過辦公網(wǎng)對(duì)生產(chǎn)網(wǎng)內(nèi)系統(tǒng)進(jìn)行滲透測(cè)試，發(fā)現(xiàn)僅在應(yīng)用層面存在點(diǎn)擊劫持、配置文件信息泄露兩個(gè)低危漏洞，無法繞過工控防火墻對(duì)系統(tǒng)內(nèi)部進(jìn)行深入利用。

(2)終端加固驗(yàn)證

選擇某臺(tái)工作站關(guān)閉USB封閉功能，將惡意腳本拷入U(xiǎn)盤中接入工作站，點(diǎn)擊運(yùn)行，發(fā)現(xiàn)惡意腳本無法執(zhí)行，其進(jìn)程無法啟動(dòng)，被白名單軟件攔截。

(3)審計(jì)溯源驗(yàn)證

對(duì)系統(tǒng)進(jìn)行配置更改，查詢工控日志審計(jì)系統(tǒng)、工控運(yùn)維審計(jì)系統(tǒng)，能夠展示時(shí)間和日期、用戶、操作詳情等重要信息，形成審計(jì)記錄，供審計(jì)員對(duì)安全事件進(jìn)行分析與責(zé)任追溯。

(4)內(nèi)網(wǎng)滲透驗(yàn)證

通過內(nèi)部接入交換機(jī)進(jìn)行網(wǎng)絡(luò)掃描，入侵檢測(cè)系統(tǒng)、工控監(jiān)測(cè)分析預(yù)警系統(tǒng)形成告警日志，并提示網(wǎng)絡(luò)安全員對(duì)事件及時(shí)處置。

完成系統(tǒng)的加固部署后，對(duì)生產(chǎn)系統(tǒng)再次按等保2.0中的三級(jí)防護(hù)能力要求進(jìn)行安全評(píng)估，發(fā)現(xiàn)其風(fēng)險(xiǎn)等級(jí)由高降為低，不存在中高風(fēng)險(xiǎn)問題，證明了該安全防護(hù)策略的有效性。

4 結(jié)論

本文依據(jù)等保2.0相關(guān)標(biāo)準(zhǔn)，針對(duì)工控系統(tǒng)缺乏技術(shù)防護(hù)手段應(yīng)對(duì)網(wǎng)絡(luò)攻擊行為這一問題，提出了可實(shí)現(xiàn)區(qū)域分離、監(jiān)測(cè)預(yù)警、終端加固、審計(jì)溯源、集中管控、聯(lián)防聯(lián)控的整體防護(hù)策略，有助于管理人員及時(shí)發(fā)現(xiàn)安全事件，快速做出響應(yīng)處置，提高工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力。且已在某卷煙廠完成了實(shí)際應(yīng)用部署、試運(yùn)行及安全測(cè)評(píng)，證明了該防護(hù)策略的可用性、有效性，為工控系統(tǒng)提供了良好的安全防護(hù)案例。