作者：北京和利時(shí)系統工程有限公司 劉盈，李宗杰，李根旺

摘要：隨著(zhù)工業(yè)互聯(lián)網(wǎng)的發(fā)展及工業(yè)大數據、大互聯(lián)時(shí)代的到來(lái)，工業(yè)控制系統的互聯(lián)互通已成為未來(lái)工控系統的發(fā)展趨勢。工業(yè)控制系統信息安全已成為今后工控系統設計中不可或缺的重要環(huán)節。本文的重點(diǎn)在于研究適用于工業(yè)控制系統的安全防護體系架構，在傳統被動(dòng)防護體系的基礎上結合縱深防護理念，提出了工業(yè)控制系統信息安全主動(dòng)防護體系，將可信計算、數字證書(shū)體系、深度協(xié)議控制、虛擬化隔離等安全技術(shù)融入工業(yè)控制系統，并結合邊界防護、工業(yè)設備防護和核心控制器防護為工業(yè)控制系統運行提供安全保障。

關(guān)鍵詞：工業(yè)控制系統；主動(dòng)防護體系；可信計算

1　前言

在工業(yè)控制系統中，終端設備網(wǎng)絡(luò )化、智能化的趨勢越來(lái)越明顯。隨著(zhù)控制系統日漸走向網(wǎng)絡(luò )化、集成化、分布化的發(fā)展趨勢，信息安全成為影響工控系統正常運行的重要問(wèn)題?，F有的工業(yè)控制系統防護主要通過(guò)防火墻、工業(yè)網(wǎng)閘等網(wǎng)絡(luò )防護設備構建邊界防護和基于主機和操作系統的加固防護技術(shù)，此類(lèi)防護手段主要作用于攻擊或威脅發(fā)生后，屬于被動(dòng)防御。本文提出針對工業(yè)控制系統的信息安全功能和防護架構將通過(guò)基于數字證書(shū)的身份認證、融合可信計算技術(shù)的工業(yè)控制器等一系列信息安全主動(dòng)防護能力來(lái)實(shí)現工業(yè)信息安全的主動(dòng)防御體系。

圖1 主動(dòng)防護機制

2　典型工業(yè)信息安全防護機制

2.1　被動(dòng)防護機制

傳統的信息安全防護機制通過(guò)對關(guān)鍵網(wǎng)絡(luò )節點(diǎn)和數據出入口采取必要的訪(fǎng)問(wèn)控制和權限控制來(lái)達到信息安全防護的目的。傳統的被動(dòng)式防護體系主要采用“封”、“堵”、“查”、“殺”的策略對保護系統環(huán)境進(jìn)行安全過(guò)濾，主要依賴(lài)以下防護手段實(shí)現：

2.1.1　區域邊界隔離

（1）物理區域隔離

物理區域隔離，本質(zhì)上通過(guò)在內網(wǎng)和外網(wǎng)之間建立對直接或間接連接的阻隔，從而實(shí)現對內外網(wǎng)之間的物理隔絕的隔離技術(shù)。嚴格意義上來(lái)說(shuō)，物理隔離的建立首先在兩個(gè)網(wǎng)絡(luò )之間的物理上是互不連接的，其次物理隔離需在鏈路層上切斷內網(wǎng)外之間的數據鏈接，因此無(wú)論使用防火墻、路由器或其他交換設備連接的網(wǎng)絡(luò )均不屬于物理隔離。物理隔離目前常用工業(yè)網(wǎng)閘實(shí)現。

物理隔離對數據的傳輸方向要求較高，并且實(shí)施成本較大，但在安全性方面要強于邏輯隔離。

（2）邏輯區域隔離

邏輯區域隔離，被隔離的兩端仍然存在物理上數據通道連線(xiàn)，但通過(guò)技術(shù)手段保證被隔離的兩端沒(méi)有數據通道，即邏輯上隔離。主要通過(guò)軟件或硬件設備將兩個(gè)網(wǎng)絡(luò )進(jìn)行虛擬分割，并保證網(wǎng)絡(luò )之間進(jìn)行有條件的互訪(fǎng)。邏輯隔離通常采用VLAN和網(wǎng)絡(luò )防火墻等方式實(shí)現。

邏輯隔離具有部署簡(jiǎn)便，操作性強，適用性廣等特點(diǎn)，但在安全程度上相較于物理隔離稍差。

2.1.2　邊界防護

通過(guò)邏輯或物理分區的方式將控制系統劃分為不同的區域，形成了多區域邊界的區域化結構，在各分區的邊界采用邊界防護手段，能夠有效控制各區域出入口的數據和流量安全。

邊界防護是被動(dòng)防御體系的核心所在，通常通過(guò)網(wǎng)閘設備和防火墻實(shí)現，以基礎架構安全作為邊界防護的基礎，通過(guò)預置不同的安全策略和檢測特征來(lái)進(jìn)行靜態(tài)防護，邊界防護技術(shù)針對絕大多數常見(jiàn)類(lèi)型的威脅和攻擊具有很好的抵御效果，但對于未知威脅和APT攻擊卻很難發(fā)揮出決定性作用。

2.1.3　安全管理

安全管理主要包括漏洞掃描修復、安全審計記錄等手段對工業(yè)控制系統中存在的漏洞進(jìn)行掃描和修復，防止存在的已知漏洞被惡意利用；審計系統則通過(guò)對發(fā)生的安全事件和非法數據流量進(jìn)行審計記錄，對安全事件提供追蹤溯源能力。

2.1.4　主機防護

主機防護所針對的保護對象為系統內的合法資產(chǎn)，通過(guò)對已有主機的操作系統進(jìn)行系統加固，關(guān)閉無(wú)關(guān)端口和無(wú)關(guān)服務(wù)達到服務(wù)和端口最小化的目的，從而切斷可能存在的威脅傳輸介質(zhì)。

防病毒軟件同樣被應用于對主機資產(chǎn)的防護，考慮到工業(yè)控制系統網(wǎng)絡(luò )隔離和難以保證病毒庫實(shí)時(shí)更新等問(wèn)題，防病毒軟件在工業(yè)控制系統的應用主要采用白名單防護的形式。

圖2 傳統被動(dòng)防護機制

2.2　縱深防護機制

縱深防護理念引入工業(yè)控制系統的信息安全解決方案是目前業(yè)內廣泛接受的應用解決方案之一，工業(yè)控制系統的“縱深防護”旨在外部網(wǎng)絡(luò )與工業(yè)核心網(wǎng)絡(luò )之間構建多層次的防護層，由于工業(yè)控制系統的功能層級化結構明顯，縱深防護理念在工業(yè)控制系統的適用度更加明顯。

工控系統的縱深防護策略大體可分為四大類(lèi)：

（1）安全管理

安全管理通過(guò)建立完善的安全管理流程、操作指南、安全業(yè)務(wù)管理和應急響應機制來(lái)完善信息安全防護能力。

（2）物理防護

物理防護指對工業(yè)控制現場(chǎng)和設備的物理訪(fǎng)問(wèn)進(jìn)行限制和約束。包括門(mén)禁、身份卡、監控設備等。

（3）網(wǎng)絡(luò )防護

網(wǎng)絡(luò )防護包含基于網(wǎng)絡(luò )分區的安全架構，以及通過(guò)部署防火墻等邊界防護設備對網(wǎng)絡(luò )分區邊界節點(diǎn)的信息安全防護。

（4）主機防護

主機防護通過(guò)對主機操作系統的服務(wù)和配置加固、補丁管理、漏洞修復等完善操作系統的基本防護能力。此外，通過(guò)部署防病毒軟件對惡意代碼和惡意程序進(jìn)行檢測和防護。

縱深防護機制在以上防護策略的基礎上，對不同層級采用不同針對性的安全措施，從而保護工業(yè)控制系統內的資產(chǎn)和網(wǎng)絡(luò )安全。

3　工業(yè)控制系統主動(dòng)防護機制

傳統的被動(dòng)防護機制和縱深防護機制的融合對建立工業(yè)控制系統的信息安全防護體系起到了關(guān)鍵作用，融合后的工業(yè)信息安全防護體系主要仍然依靠固定的防護策略和靜態(tài)防護體系對威脅進(jìn)行檢測和抵御，雖然一定程度上滿(mǎn)足了對外部網(wǎng)絡(luò )威脅的抵御需求，但針對未知威脅和來(lái)自于內部的威脅卻難以發(fā)揮作用。在面對接口復雜、協(xié)議大量私有化的工業(yè)控制系統難免會(huì )捉襟見(jiàn)肘。

基于已有的工業(yè)信息安全防護體系，為解決信息安全防護在工控系統中存在的問(wèn)題，進(jìn)一步提出了針對工控系統的主動(dòng)防護機制。主動(dòng)防護機制基于可信計算技術(shù)、數字證書(shū)體系構建能夠對惡意行為和惡意威脅進(jìn)行自診斷、自抵御的核心內生安全體系。

3.1　控制層主動(dòng)防護

多層級防護方面，在現有縱深防護的基礎上增加控制器核心安全防護層，通過(guò)提升控制系統核心控制器的安全抵御能力，將核心控制器作為安全的最后一道防線(xiàn)，采用可信計算和數字證書(shū)體系作為主動(dòng)防護的基礎，進(jìn)一步賦予工控系統控制層的核心防護能力。通過(guò)對可信計算平臺的引入，控制器將具備對未知威脅的主動(dòng)發(fā)現和阻隔能力。

圖3 核心控制器可信計算平臺

3.2　網(wǎng)絡(luò )層主動(dòng)防護

工業(yè)控制系統在系統網(wǎng)通信方向，通過(guò)對通信行為建模的方法，通過(guò)對正常工業(yè)通信行為進(jìn)行機器學(xué)習，針對無(wú)法辨識出未知特征的攻擊或入侵行為進(jìn)行檢測，實(shí)現對Profinet 、 Modbus-TCP、IEC-104、OPC-UA、DNP3.0等工業(yè)協(xié)議的訪(fǎng)問(wèn)控制能力。

主動(dòng)防御的工業(yè)協(xié)議訪(fǎng)問(wèn)控制技術(shù)通過(guò)監視并分析通信行為在入侵行為產(chǎn)生危害之前進(jìn)行攔截，作為對基本訪(fǎng)問(wèn)控制能力的強化補充

3.3　監控層主動(dòng)防護

主動(dòng)防護機制引入數字證書(shū)的安全機制，解決設備固件更新階段的合法性和完整性度量，身份接入認證，保證工控設備在啟動(dòng)與運行階段的可信性，從源頭建立安全可信的運行環(huán)境。

設備接入工業(yè)網(wǎng)絡(luò )之后，通過(guò)數字證書(shū)進(jìn)行雙向認證，并提供CRL多種方式的證書(shū)有效性驗證，提供PKCS1/ PKCS7、attach/PKCS7、detach/XML等格式的數字簽名和數字簽名驗證功能。

U-key作為身份認證和加密傳輸的關(guān)鍵設備，作用于上層系統，基于802.1x認證過(guò)程防止未授權登陸以保證系統的安全接入。支持對稱(chēng)和非對稱(chēng)加解密算法。U-key內存儲有用于身份認證的數字證書(shū)可被上位機用于完成身份認證的工作。

圖4 數字證書(shū)認證流程

4　信息安全主動(dòng)防護體系應用

工業(yè)信息安全主動(dòng)防護體系，增加對控制層、網(wǎng)絡(luò )層、監控層的主動(dòng)防護技術(shù)的應用，并結合被動(dòng)防御機制核心的邊界防護以及縱深防護機制的獨立防護策略，構成對工業(yè)控制系統新的安全防護體系。主動(dòng)防護體系在抵御外部已知威脅的同時(shí)，進(jìn)而能夠對未知威脅以及從內部發(fā)起的威脅進(jìn)行有效抵御，全面保護工業(yè)控制系統的穩定運行。

通過(guò)在現有工業(yè)控制系統的拓撲基礎上，增加可離線(xiàn)運行的數字證書(shū)管理平臺、高度集成的安全管控平臺以及集成主動(dòng)安全防護技術(shù)的核心安全控制器，構筑能夠對已知威脅、未知威脅、外部非法訪(fǎng)問(wèn)、內部非法接入等各類(lèi)信息安全威脅的核心抵御能力

圖5 主動(dòng)安全防護體系應用拓撲

5　結語(yǔ)

隨著(zhù)工業(yè)信息安全技術(shù)的不斷發(fā)展以及工業(yè)核心控制設備的不斷迭代，工業(yè)控制系統的信息安全防護體系會(huì )經(jīng)過(guò)不斷的演化和革新。在《中國制造2025》和工業(yè)互聯(lián)網(wǎng)大力發(fā)展的行業(yè)背景下，工業(yè)信息安全將會(huì )迎來(lái)快速發(fā)展的新時(shí)期。

工業(yè)控制系統封閉的網(wǎng)絡(luò )環(huán)境已經(jīng)被打開(kāi)，工業(yè)信息安全防護的革新必須緊跟工業(yè)互聯(lián)網(wǎng)的發(fā)展腳步，構建主動(dòng)防御的工業(yè)信息安全防護，提升工業(yè)控制系統的核心安全能力刻不容緩。

（ 注： 本研究依托國家高技術(shù)研究發(fā)展計劃“863計劃”先進(jìn)制造技術(shù)領(lǐng)域“可編程嵌入式電子裝備的安全技術(shù)”項目“可編程嵌入式電子設備的安全防護技術(shù)及開(kāi)發(fā)工具”課題任務(wù)進(jìn)行。）

作者簡(jiǎn)介：

劉盈（1990-），男 ，內蒙古人，工程師，碩士，現就職于北京和利時(shí)系統工程有限公司，主要研究方向是電氣工程。

李宗杰（1983-），男 ，浙江人，工程師，碩士，現就職于北京和利時(shí)系統工程有限公司，主要研究方向是計算機應用。

李根旺（1985-），男，河北人，高級工程師，碩士，現就職于北京和利時(shí)系統工程有限公司，主要研究方向是檢測技術(shù)與自動(dòng)化裝置。

參考文獻：

[1] 工業(yè)和信息化部. 工業(yè)控制系統信息安全防護指南[Z]. 2016, 10.

[2] 馮登國. 可信計算-理論與實(shí)踐[M]. 北京: 清華大學(xué)出版社, 2013, 5.