★ 張志偉，豐存旭浙江中控技術(shù)股份有限公司

摘要：工業(yè)控制系統在發(fā)展之初是相對封閉和獨立的，傳統工業(yè)控制系統安全防護往往采用物理隔離等方式。隨著(zhù)通信信息技術(shù)的發(fā)展和深入應用，整個(gè)工業(yè)控制系統可與數據采集網(wǎng)、生產(chǎn)管理網(wǎng)和辦公網(wǎng)實(shí)現信息互聯(lián)和數據交互。網(wǎng)絡(luò )蠕蟲(chóng)、永恒之藍、震網(wǎng)等病毒的攻擊，工控系統漏洞的利用，互聯(lián)網(wǎng)、可移動(dòng)存儲介質(zhì)、設備未經(jīng)授權的操作及人為因素等使得網(wǎng)絡(luò )安全問(wèn)題直接延伸到工業(yè)控制系統，導致工業(yè)控制系統固有漏洞和攻擊面不斷增加，易引發(fā)工業(yè)生產(chǎn)的緊急停車(chē)、設備故障，或影響工控系統組件的可靠性和靈敏度，由此產(chǎn)生的安全事件或事故也日趨增多，給傳統工業(yè)控制系統防護體系帶來(lái)嚴峻挑戰。本文針對工控網(wǎng)絡(luò )存在的信息安全風(fēng)險進(jìn)行深入剖析，細致挖掘工控企業(yè)信息安全痛點(diǎn)，圍繞滿(mǎn)足政策合規和工控網(wǎng)絡(luò )安全能力提升需求開(kāi)展安全設計，達到縱深防御效果，全生命周期提升工控網(wǎng)絡(luò )安全防護水平。

關(guān)鍵詞：工控安全；主機加固；信息安全

1 引言

隨著(zhù)工控企業(yè)信息化的推進(jìn)，MES和EMS的建設越來(lái)越多，原本相互獨立的DCS、PLC、儀器儀表及SCADA等控制子系統需要通過(guò)網(wǎng)絡(luò )和信息系統連接在一起。這些子系統負責完成控制任務(wù)，一旦受到惡性攻擊和病毒感染，就會(huì )導致工業(yè)控制系統的控制組件和整個(gè)生產(chǎn)線(xiàn)被迫停止運轉，甚至造成人員傷亡等嚴重后果。

2 工控網(wǎng)絡(luò )安全現狀

（1）網(wǎng)絡(luò )邊界安全控制能力較弱，入侵及威脅傳播防御能力差

盡管進(jìn)行了網(wǎng)絡(luò )分段隔離（有的企業(yè)甚至沒(méi)有做隔離），各層通常沒(méi)有防火墻或者其他安全訪(fǎng)問(wèn)控制策略，數據交互隨意，導致攻擊進(jìn)入任意層次后都會(huì )比較容易直接威脅到現場(chǎng)設備層對設備的控制。同時(shí)，隨著(zhù)跨裝置應用的豐富，各裝置的網(wǎng)絡(luò )連接也缺乏足夠的邊界保護。

（2）計算機及工控系統嚴重漏洞檢測及處理不及時(shí)，系統安全風(fēng)險大

工控企業(yè)PC終端、服務(wù)器、PLC控制器等普遍存在系統安全漏洞，包括能夠造成遠程代碼執行攻擊和越權執行的嚴重威脅類(lèi)漏洞。由于設備、協(xié)議多導致管理難度大，以及企業(yè)專(zhuān)業(yè)技能缺乏、安全認識不足等現實(shí)問(wèn)題，造成工業(yè)控制系統的補丁管理困難，難以及時(shí)處理威脅嚴重的漏洞。

（3）違規操作及越權行為監控不力，主機安全不可控

缺乏對移動(dòng)介質(zhì)的安全管控，操作人員直接通過(guò)主機USB接口、串口、光驅等外設進(jìn)行文件、程序等傳輸，是當前病毒感染的主要途徑之一；企業(yè)由實(shí)施階段進(jìn)入生產(chǎn)運維階段后，任意接入計劃外操作站、移動(dòng)筆記本、網(wǎng)絡(luò )設備，甚至違規接入互聯(lián)網(wǎng)等行為都是重大安全隱患。

（4）基于工控協(xié)議的安全保護機制欠缺，缺乏針對性

專(zhuān)有的工業(yè)控制通信協(xié)議或規約在設計時(shí)通常更強調通信的實(shí)時(shí)性及可用性，對安全性普遍考慮不足，比如缺少足夠強度的認證、加密、授權等。隨著(zhù)Modbus、OPC、SiemensS7、IEC104等工業(yè)協(xié)議的廣泛認知提升，攻擊者更容易掌握協(xié)議的格式和內容，對PLC等系統的攻擊變得更加容易，因此針對工控協(xié)議的安全防范就更加重要。

（5）缺乏網(wǎng)絡(luò )攻擊行為動(dòng)態(tài)監測部署，主動(dòng)防御能力欠缺

隨著(zhù)針對工控系統的攻擊行為的增加，互聯(lián)網(wǎng)中攻擊方式多、病毒傳播快、變種快等特征也很快被應用到工業(yè)領(lǐng)域。傳統防御以不斷豐富病毒知識和攻擊特征來(lái)預防非法網(wǎng)絡(luò )行為，缺乏主動(dòng)學(xué)習能力，因此如何動(dòng)態(tài)監測攻擊行為并進(jìn)行預測性主動(dòng)防御將是未來(lái)工控安全建設的關(guān)鍵技術(shù)。

（6）重要操作站和工程師站數據備份恢復措施缺失

工控現場(chǎng)重要的組態(tài)數據會(huì )通過(guò)移動(dòng)存儲介質(zhì)進(jìn)行離線(xiàn)備份，通常備份周期很長(cháng)，難以做到定期自動(dòng)備份。當前勒索病毒頻發(fā)，現有備份方案面對勒索病毒等嚴重病毒危害不足以有效應對。

3 工控網(wǎng)絡(luò )安全設計

以“縱深防御”為指導思想，遵照網(wǎng)絡(luò )安全等級保護2.0相關(guān)標準，在工控系統安全需求的基礎上，建立預警、防護、檢測、響應自適應閉環(huán)的安全防護體系，同時(shí)為工控系統提供可定制的安全服務(wù)，全面感知工控系統遇到或可能遇到的網(wǎng)絡(luò )安全風(fēng)險，提升系統的整體安全防御能力，構建單位可信、可控、可管的安全防護體系。建設工控安全技術(shù)體系，體現“一個(gè)中心，三重防護”。一個(gè)中心是指安全管理中心，三重防護是指通信網(wǎng)絡(luò )、區域邊界和計算環(huán)境的防護。

3.1 工業(yè)網(wǎng)絡(luò )邊界防護

在控制器與各計算機系統之間部署工業(yè)防火墻。一方面通過(guò)訪(fǎng)問(wèn)控制策略限定指定的計算機才能訪(fǎng)問(wèn)控制器，管控網(wǎng)絡(luò )通信對象，降低計劃外設備非法訪(fǎng)問(wèn)風(fēng)險；另一方面，通過(guò)OPC、Modbus/TCP、Modbus/RTU、Siemenss7、IEC 104等多種工業(yè)協(xié)議深度解析支持，實(shí)現指令級別的過(guò)濾防護，避免來(lái)源于HMI等計算機的非法控制命令下達。

工控網(wǎng)絡(luò )不同裝置之間部署具有工業(yè)協(xié)議深度解析功能的工控防火墻，實(shí)現針對工控網(wǎng)絡(luò )及工業(yè)協(xié)議的邏輯隔離、報文過(guò)濾、訪(fǎng)問(wèn)控制等功能。通過(guò)加裝工業(yè)防火墻，并配置防火墻安全規則（包過(guò)濾、規則學(xué)習、攻擊防護、IP/MAC等）可以有效實(shí)現對工業(yè)控制系統邊界及工業(yè)控制系統內部不同控制區域之間的邊界防護。

3.2 工業(yè)主機安全

工控網(wǎng)絡(luò )操作站、工程師站等主機采用“白+黑”防護機制為目標主機提供多層次安全保護。根據白名單列表對可執行文件的執行進(jìn)行監控，白名單內的可執行文件允許執行，對白名單外的可執行文件阻止執行，有效阻止病毒、木馬及0-day漏洞的感染和被利用，保障工控主機安全。同時(shí)該機制具備強大黑名單功能，可對系統文件進(jìn)行深度掃描，識別并查殺惡意代碼。主機安全衛士具有網(wǎng)絡(luò )防護功能，僅允許白名單內的程序和端口進(jìn)行網(wǎng)絡(luò )訪(fǎng)問(wèn)；支持對重要文件的保護，僅允許特定的程序訪(fǎng)問(wèn)。主機安全衛士軟件滿(mǎn)足符合性、連續性和可靠性的設計原則，內存占用和CPU使用率低，具備強大的自身安全性和易管理性。

3.3 工業(yè)網(wǎng)絡(luò )監測審計

工控網(wǎng)絡(luò )部署入侵檢測系統實(shí)現攻擊行為檢測。系統通過(guò)對工控網(wǎng)絡(luò )流量的采集、分析和監測，進(jìn)行特征提取并與規則庫進(jìn)行匹配，快速有效識別出工業(yè)控制網(wǎng)絡(luò )中存在的網(wǎng)絡(luò )異常行為和網(wǎng)絡(luò )攻擊行為，并進(jìn)行實(shí)時(shí)告警，同時(shí)詳實(shí)記錄一切網(wǎng)絡(luò )通信行為，包括指令級的工業(yè)控制協(xié)議通信記錄，為工業(yè)控制系統的安全事故調查提供堅實(shí)的基礎。

（1）入侵檢測系統能夠監視整個(gè)網(wǎng)絡(luò )、子網(wǎng)或者某一特定協(xié)議、地址及端口的報文流量和字節流量，進(jìn)行實(shí)時(shí)統計和展示，還可通過(guò)對網(wǎng)絡(luò )流量數據的分析，發(fā)現網(wǎng)絡(luò )異常行為或攻擊行為。

（2）入侵檢測系統內置大量關(guān)聯(lián)分析場(chǎng)景，如認證登錄、授權行為、違規行為、系統變更、攻擊入侵、敏感操作和設備故障等，通過(guò)事件關(guān)聯(lián)分析引擎，可從低風(fēng)險的事件中實(shí)時(shí)發(fā)現高風(fēng)險的網(wǎng)絡(luò )攻擊和違規行為。

（3）采用機器學(xué)習算法學(xué)習特定工控系統通信行為，形成可信網(wǎng)絡(luò )行為規則。

3.4 工業(yè)安全管理

在工廠(chǎng)生產(chǎn)網(wǎng)核心交換機上，建立單獨的工控安全運維管理區，實(shí)現對工廠(chǎng)的工控網(wǎng)絡(luò )安全管理中心功能。安全管理中心設計策略如下：

（1）安全管理平臺，對工業(yè)環(huán)境中的主機進(jìn)行安全狀態(tài)監測和工業(yè)主機防護系統的集中管理和監控；

（2）安全管理平臺，對工控網(wǎng)絡(luò )監測狀態(tài)、工業(yè)主機安全狀態(tài)、工控網(wǎng)絡(luò )安全事件等安全信息進(jìn)行集中收集和處理，對工控網(wǎng)絡(luò )安全態(tài)勢進(jìn)行分析、展示和報警；

（3）安全管理平臺，對工控環(huán)境中的工業(yè)防火墻和主機安全防護系統進(jìn)行集中管理，并對防火墻和主機安全防護系統日志進(jìn)行統一采集和告警分析；

（4）工業(yè)日志審計系統，對工控系統的網(wǎng)絡(luò )設備、安全設備及工業(yè)主機日志信息進(jìn)行集中收集和審計分析。

3.5 工業(yè)網(wǎng)絡(luò )設備安全設計

針對工控企業(yè)工業(yè)網(wǎng)內大量的工業(yè)交換機、路由器、防火墻等網(wǎng)絡(luò )和安全設備進(jìn)行安全加固，加固內容至少應包括：

（1）加密保存系統賬戶(hù)口令；

（2）采用SSH進(jìn)行遠程管理；

（3）限制遠程管理地址；

（4）啟用賬戶(hù)口令復雜度策略；

（5）啟用賬戶(hù)登錄失敗處理策略；

（6）修改默認賬戶(hù)，刪除多余賬戶(hù)；

（7）啟用日志審計，并將日志集中上傳至日志服務(wù)器；

（8）對交換機和路由器進(jìn)行基線(xiàn)加固配置，關(guān)閉不必要的服務(wù)和端口，手動(dòng)關(guān)閉交換機、路由器、防火墻等設備空閑端口；

（9）在交換機上設置MAC地址與端口綁定和MAC地址與IP地址綁定功能。

3.6 工業(yè)應用系統安全設計

對工控企業(yè)工業(yè)網(wǎng)內的DCS、PLC、SCADA等工業(yè)控制軟件和業(yè)務(wù)數據從軟件屬性的合法性、文件數據的完整性、保密性、身份鑒別、口令、惡意輸入、補丁更新、信息真實(shí)性、拒絕服務(wù)、中間人攻擊、重放攻擊、信息嗅探、內存漏洞等方面進(jìn)行梳理防護，實(shí)現DCS、SIS、PLC等工控業(yè)務(wù)安全，保障生產(chǎn)持續穩定進(jìn)行。業(yè)務(wù)安全設計策略如下：

（1）根據密碼管理策略設置業(yè)務(wù)應用系統用戶(hù)密碼，密碼長(cháng)度和組成滿(mǎn)足口令復雜度要求，并定期更換；

（2）對工控系統配置文件中涉及到的操作系統、數據庫管理系統等的用戶(hù)口令應采用MD5等單向加密方式進(jìn)行加密處理，禁止將明文口令填寫(xiě)在配置文件中；

（3）刪除臨時(shí)賬戶(hù)和測試賬戶(hù)，重命名默認賬戶(hù)，修改其默認口令，限制其訪(fǎng)問(wèn)權限，禁止匿名用戶(hù)登錄；

（4）通過(guò)工業(yè)安全監測系統對工業(yè)用戶(hù)操作行為進(jìn)行安全審計；

（5）對應用系統審計日志進(jìn)行集中保存和分析，保存期限至少6個(gè)月；

（6）對通過(guò)人機接口和程序接口輸入的數據進(jìn)行有效性檢查。

3.7 備份恢復系統設計

部署數據備份恢復系統，針對重要工程師站和歷史趨勢服務(wù)器進(jìn)行定期的自動(dòng)化數據備份。當現場(chǎng)重要終端遭受病毒攻擊或硬件故障時(shí)，可以通過(guò)備份恢復服務(wù)器進(jìn)行數據恢復。

4 工控網(wǎng)絡(luò )安全建設收益

本文所述針對工控企業(yè)常用網(wǎng)絡(luò )架構，以分層分區為原則進(jìn)行工控安全設計，以主動(dòng)防范、及時(shí)發(fā)現、快速處理為目標來(lái)提升工控安全防御能力，主要達到了以下效果：

（1）各層次、各區域之間有效隔離防護：通過(guò)防火墻限定通信對象和內容，阻斷非法入侵和危險傳播。其中工業(yè)防火墻還可以進(jìn)行基于協(xié)議解析的控制命令過(guò)濾，重點(diǎn)保護PLC控制器安全，保證生產(chǎn)正常進(jìn)行。

（2）工控入侵檢測系統：動(dòng)態(tài)監測網(wǎng)絡(luò )信息流，及時(shí)發(fā)現傳統網(wǎng)絡(luò )木馬病毒入侵行為、針對工控設備的攻擊行為、未知設備接入和工控網(wǎng)絡(luò )流異常變化趨勢等，報警聯(lián)調防護設備。

（3）違規操作監測和預防：實(shí)時(shí)監控外設使用情況和運行進(jìn)程，設置管理策略，預防設備違規接入和計劃外軟件安裝行為，杜絕內部威脅傳播。

5 結束語(yǔ)

綜上所述，在工控現場(chǎng)基于縱深防御工控網(wǎng)絡(luò )安全架構開(kāi)展網(wǎng)絡(luò )安全建設，在滿(mǎn)足政策法規的同時(shí)提升工控網(wǎng)絡(luò )的安全防護能力和水平，確保工控網(wǎng)絡(luò )安全穩定運行，為現場(chǎng)裝置安穩長(cháng)滿(mǎn)運行保駕護航。

作者簡(jiǎn)介

張志偉（1987-），男，河南林州人，中級工程師，現就職于浙江中控技術(shù)股份有限公司，主要研究方向為工控安全。

豐存旭（1984-），男，甘肅慶陽(yáng)人，中級工程師，現就職于浙江中控技術(shù)股份有限公司，主要研究方向為工控安全。

參考文獻：

[1] 李強, 田慧蓉, 杜霖, 劉曉曼. 工業(yè)互聯(lián)網(wǎng)安全發(fā)展策略研究[J]. 世界電信, 2016, (4) : 16 - 19.

[2] 張偉, 于目奎, 羅顯科. 鋼鐵企業(yè)工控安全研究與設計[J]. 工業(yè)加熱, 2020, (4) : 48 - 52.

[3] 陸贊. 基于工業(yè)控制系統的安全體系建設研究[J]. 中國管理信息化, 2016, 19 (13) : 117 - 119.

[4] 孫易安, 井柯, 汪義舟. 工業(yè)控制系統安全網(wǎng)絡(luò )防護研究[J]. 信息安全研究, 2017, 3 (2) : 171 - 176.

《自動(dòng)化博覽》2023年1月刊暨《工業(yè)控制系統信息安全專(zhuān)刊（第九輯）》