★中國民航大學(xué)陳佳

1　介紹

工控系統（Industrial Control System，ICS）是重要基礎設施的核心，其一旦遭受網(wǎng)絡(luò )攻擊，造成后果影響面廣，危害大。因此，保證網(wǎng)絡(luò )安全是工控系統正常運行的保障^[1]。近年來(lái)，國內外學(xué)者對工控系統網(wǎng)絡(luò )安全的研究已成為工程領(lǐng)域與學(xué)術(shù)領(lǐng)域的研究熱點(diǎn)?？尚臝nternet連接和代理外圍防火墻提供了強大的Internet網(wǎng)關(guān)，主要抵御了來(lái)自網(wǎng)絡(luò )的攻擊^[2]，但是無(wú)法有效地防止設備漏洞等內部網(wǎng)絡(luò )威脅。傳統的物理隔離方法已經(jīng)不能滿(mǎn)足工控系統功能安全和網(wǎng)絡(luò )安全的雙重需求，如何保障工控系統免遭系統內外威脅和非法入侵，是工控系統網(wǎng)絡(luò )安全領(lǐng)域面臨的巨大挑戰。

在現階段，工控系統傳統網(wǎng)絡(luò )安全防護方法主要包括以下3個(gè)方面：（1）基于特征匹配的網(wǎng)絡(luò )異常檢測方法^[3]；（2）基于設備信號偏離的異常檢測方法^[4]；（3）基于設備指紋的異常檢測方法^[5]。隨著(zhù)工控系統的數字化轉型速度加快，云計算、邊緣控制和物聯(lián)網(wǎng)（Internet of Things，IoT）等最新技術(shù)導致現有網(wǎng)絡(luò )邊界不斷擴大，零信任架構（Zero Trust Architecture，ZTA）已經(jīng)成為“邊界防御”網(wǎng)絡(luò )安全策略的新架構^[6]。早在2020年，NIST發(fā)布了SP800-207零信任架構標準，用于指導網(wǎng)絡(luò )基礎架構設計和操作，提高了任何網(wǎng)絡(luò )的安全性，涉及范圍包括了工控系統^[7]。零信任機制下的工控系統意味著(zhù)在工控系統中，所有內、外部的設備和用戶(hù)都被視為潛在威脅，需要持續地對所有設備和用戶(hù)進(jìn)行嚴格的身份認證和授權。因此，設計出一個(gè)適合零信任機制下的工控系統安全防護框架顯得尤為必要，并在這一框架的基礎上，構建基于零信任的安全防御體系，以實(shí)現對工控系統的全方位、多層次安全防護。

2　工控系統零信任安全框架設計

在現有工控系統的網(wǎng)絡(luò )安全基礎上引入零信任安全理念是一個(gè)重要的舉措^[8]。本文設計的安全框架從三個(gè)方面確保安全性：終端可信接入、持續信任評估和動(dòng)態(tài)訪(fǎng)問(wèn)控制。首先，終端可信接入確保只有經(jīng)過(guò)身份認證的合法用戶(hù)才能接入系統，從而防止終端接入異常和誤操作的問(wèn)題。其次，持續信任評估利用持續信任評估技術(shù)，對流量進(jìn)行監測和分析，及時(shí)發(fā)現和應對異常流量，從而有效防止橫向攻擊行為。最后，動(dòng)態(tài)訪(fǎng)問(wèn)控制根據用戶(hù)的身份、行為以及其他上下文信息，動(dòng)態(tài)調整訪(fǎng)問(wèn)權限，確保只有經(jīng)過(guò)授權的用戶(hù)才能訪(fǎng)問(wèn)系統資源。該框架如圖1所示，具備終端可信接入、持續信任評估和動(dòng)態(tài)訪(fǎng)問(wèn)控制的核心安全能力，能夠為工控系統安全防護提供可靠的解決方案。

圖1 工控系統零信任安全框架圖

2.1　終端可信接入

在終端請求訪(fǎng)問(wèn)主站應用層業(yè)務(wù)資源時(shí)，首先需要在可信接入區進(jìn)行可信身份認證?；A身份認證包括用戶(hù)ID和密碼認證、設備硬件認證以及應用哈希認證等方式，以確保終端設備的真實(shí)身份，防止假冒或劫持?；A身份認證是零信任架構的重要基礎。在基礎身份認證完成后，還需要進(jìn)行多因素身份認證以增強安全性。這里采用單包授權認證的方法，將設備信息、應用信息和用戶(hù)信息組合在一個(gè)授權包中，利用fwknop等工具實(shí)現單包授權認證，確保接入工控系統的設備、應用和用戶(hù)的可信性。這樣的認證流程有效確保了訪(fǎng)問(wèn)請求的合法性和安全性，為工控系統零信任安全框架提供了可靠的基礎。

2.2　持續信任評估

用戶(hù)通過(guò)可信身份認證后，則獲得對工控系統資源的基礎控制權限。然而，在用戶(hù)與工控系統通信期間，需要進(jìn)行持續的信任評估。這一過(guò)程是零信任安全框架的核心環(huán)節之一，其功能是為上層動(dòng)態(tài)訪(fǎng)問(wèn)控制決策引擎提供訪(fǎng)問(wèn)終端的授權策略依據。持續信任評估的實(shí)現方式是對用戶(hù)業(yè)務(wù)訪(fǎng)問(wèn)流量進(jìn)行基于基線(xiàn)的異常分析，包括對流量數據包的基礎特征和行為特征進(jìn)行分析，并與用戶(hù)歷史行為對比，以確定用戶(hù)行為的可信度。通過(guò)采集用戶(hù)歷史流量數據并進(jìn)行訓練，可以建立用戶(hù)流量基線(xiàn)，然后解析用戶(hù)實(shí)時(shí)流量數據并分析其行為特征，用作異常檢測的依據。在零信任網(wǎng)絡(luò )中，網(wǎng)絡(luò )通信被劃分為數據平面和控制平面。用戶(hù)通過(guò)數據平面與工控系統進(jìn)行業(yè)務(wù)交互，而控制平面則用于發(fā)起接入申請。經(jīng)過(guò)信任評估、終端行為基線(xiàn)異常檢測以及訪(fǎng)問(wèn)決策代理的處理，可以進(jìn)行持續身份認證和動(dòng)態(tài)授權，確保網(wǎng)絡(luò )通信的安全性和可信度。

2.3　動(dòng)態(tài)訪(fǎng)問(wèn)控制

動(dòng)態(tài)訪(fǎng)問(wèn)控制通過(guò)接收下層持續信任評估的相關(guān)信息，根據最小權限授予策略，基于基礎身份信任度、歷史訪(fǎng)問(wèn)行為和動(dòng)態(tài)行為信任度進(jìn)行動(dòng)態(tài)授權評價(jià)，是用戶(hù)訪(fǎng)問(wèn)工控資源控制層的核心。動(dòng)態(tài)訪(fǎng)問(wèn)控制策略庫為用戶(hù)提供授權決策的依據，動(dòng)態(tài)訪(fǎng)問(wèn)控制策略庫包括身份信息庫、權限數據庫、終端風(fēng)險信息庫和決策數據庫。通過(guò)大數據分析和人工智能技術(shù)，對用戶(hù)行為進(jìn)行持續評估。

3　工控系統零信任安全防御體系建設

考慮到工控系統業(yè)務(wù)的復雜性和安全防御的多樣性需求，可以借鑒零信任安全等防護理念，建立適合工控系統業(yè)務(wù)發(fā)展和安全防護需求的縱深一體化防御體系^[9]。零信任理念默認網(wǎng)絡(luò )始終處于潛在的危險環(huán)境中，因此用戶(hù)身份信息、硬件設備信息、訪(fǎng)問(wèn)過(guò)程中產(chǎn)生的行為信息以及數據流特征等多維數據可作為認證與鑒權的來(lái)源，以確定基于身份的權限授權范圍。針對工控系統復雜的組網(wǎng)結構和業(yè)務(wù)接入特點(diǎn)，通過(guò)構建基于零信任的縱深一體化防御體系，可以根據用戶(hù)不同業(yè)務(wù)的安全服務(wù)需求提供相應的安全保障。這種體系結構能夠綜合利用多種安全策略和技術(shù)手段，包括但不限于身份認證、訪(fǎng)問(wèn)控制、行為分析等，以確保工控系統的安全性和穩定性。同時(shí)，該體系結構能夠適應工控系統業(yè)務(wù)發(fā)展的需求，可以靈活應對不斷變化的安全威脅和攻擊手法，提高了系統的整體安全防御能力。

3.1　縱深聯(lián)動(dòng)防御機制建設

構建零信任的防御體系模型并不僅限于單一維度的防御技術(shù)應用，而是一個(gè)由點(diǎn)及面逐步建設推進(jìn)的過(guò)程。這個(gè)體系的建設是聯(lián)動(dòng)的、動(dòng)態(tài)的、縱深的，并且涵蓋了多個(gè)維度。整體防御的零信任機制應該盡可能覆蓋更多的防御面，并確保這些面能夠聯(lián)動(dòng)起來(lái)。這意味著(zhù)，在構建零信任的防御體系時(shí)，需要考慮到以下幾個(gè)方面：

聯(lián)動(dòng)化：不同的防御措施之間需要聯(lián)動(dòng)協(xié)作，形成一個(gè)整體的防御網(wǎng)絡(luò )。這樣可以確保在檢測到攻擊或威脅時(shí)，能夠及時(shí)響應并采取相應的防御措施。

動(dòng)態(tài)式：零信任的防御體系需要能夠動(dòng)態(tài)地適應不斷變化的威脅和攻擊手法。這包括實(shí)時(shí)監測和分析網(wǎng)絡(luò )流量、用戶(hù)行為等信息，以及動(dòng)態(tài)調整和優(yōu)化防御策略。

縱深式：防御體系應該是縱深的，即在不同的層面和環(huán)節都設置相應的防御措施，形成多層次的保護。這樣即使一層防御被繞過(guò)或攻破，仍然有其他層次的防御在起作用。

多維度：零信任的防御體系應該覆蓋多個(gè)維度，包括但不限于身份認證、訪(fǎng)問(wèn)控制、行為分析、數據加密等。這樣可以從不同的角度對網(wǎng)絡(luò )和系統進(jìn)行保護，提高了整體的安全性。

3.2　零信任SDP解決接入安全

SDP（Software Defined Perimeter，SDP）是由云安全聯(lián)盟開(kāi)發(fā)的一種安全框架，它以身份為中心，融合多種判斷源，并動(dòng)態(tài)控制對資源的訪(fǎng)問(wèn)過(guò)程，旨在解決跨邊界企業(yè)數據中心資源訪(fǎng)問(wèn)安全的問(wèn)題^[10]。該設計采用單向敲門(mén)認證機制實(shí)現網(wǎng)絡(luò )隱身，從根本上防止網(wǎng)絡(luò )攻擊行為的產(chǎn)生，并進(jìn)一步實(shí)現業(yè)務(wù)級資源的動(dòng)態(tài)授權訪(fǎng)問(wèn)。

零信任SDP架構通過(guò)構建SDP連接發(fā)起主機IH（即SDP客戶(hù)端）、SDP連接接受主機AH（即SDP網(wǎng)關(guān)）以及SDP控制器的三角架構，打造零信任隱身網(wǎng)絡(luò )。這種架構為業(yè)務(wù)打造無(wú)暴露面的隱身入口，在保障合法訪(fǎng)問(wèn)無(wú)中斷的前提下，規避了來(lái)自網(wǎng)絡(luò )中攻擊者的滲透掃描和攻擊。

3.3　內部東西向微隔離防御

微隔離（Micro Segmentation）是一種創(chuàng )建業(yè)務(wù)內部最小化安全域的方法，旨在實(shí)現更細粒度的網(wǎng)絡(luò )安全控制^[6]。其目標是解決傳統的“串葫蘆式”安全防護手段所無(wú)法解決的橫向流量防護和云虛擬環(huán)境安全防護的問(wèn)題。傳統的網(wǎng)絡(luò )安全防護通常是基于邊界的，將網(wǎng)絡(luò )分成內部和外部?jì)蓚€(gè)部分，并在邊界上部署防火墻、入侵檢測系統等安全設備來(lái)監控和過(guò)濾流量。然而，隨著(zhù)網(wǎng)絡(luò )的復雜性和云計算的普及，傳統的邊界安全措施已經(jīng)無(wú)法滿(mǎn)足對內部流量的細粒度控制需求。微隔離通過(guò)將網(wǎng)絡(luò )劃分為多個(gè)最小化的安全域，使得不同的業(yè)務(wù)和應用之間的流量在網(wǎng)絡(luò )內部也能得到有效的隔離和控制。這種方法可以根據業(yè)務(wù)需求和安全策略，對不同的業(yè)務(wù)進(jìn)行細粒度的訪(fǎng)問(wèn)控制，防止橫向攻擊和未經(jīng)授權的內部訪(fǎng)問(wèn)。同時(shí)，在云虛擬環(huán)境中，微隔離也可以幫助實(shí)現對虛擬機、容器等資源的安全隔離和控制，確保云環(huán)境的安全性?？偟膩?lái)說(shuō)，微隔離技術(shù)通過(guò)創(chuàng )建最小化安全域，實(shí)現了更細粒度的網(wǎng)絡(luò )安全控制，為解決傳統安全防護手段無(wú)法應對的橫向流量防護和云虛擬環(huán)境安全防護提供了有效的解決方案。

3.4　身份識別與訪(fǎng)問(wèn)管理

身份訪(fǎng)問(wèn)管理技術(shù)（Identity and Access Management，IAM）是一種能夠將網(wǎng)絡(luò )環(huán)境中的應用系統、數據庫、主機、網(wǎng)絡(luò )設備和安全設備等資源的賬號認證、訪(fǎng)問(wèn)控制和審計工作進(jìn)行集中化整合的技術(shù)^[11]。在零信任體系中，構建高級IAM能力可以實(shí)現對所有基于賬號的管理、認證、授權和審計進(jìn)行集中的統一權限管理，從而提升身份識別與訪(fǎng)問(wèn)管理的精細化控制。IAM技術(shù)的核心功能包括：

身份管理（Identity Management）：管理用戶(hù)、組織和設備的身份信息，包括賬號創(chuàng )建、管理、修改和刪除等操作。

訪(fǎng)問(wèn)控制（Access Control）：控制用戶(hù)對系統資源的訪(fǎng)問(wèn)權限，包括基于角色的訪(fǎng)問(wèn)控制、基于策略的訪(fǎng)問(wèn)控制等。

認證（Authentication）：確保用戶(hù)的身份是合法的，常見(jiàn)的認證方式包括密碼認證、多因素認證、單點(diǎn)登錄等。

授權（Authorization）：根據用戶(hù)的身份和權限策略，授予用戶(hù)對系統資源的特定訪(fǎng)問(wèn)權限。

審計（Audit）：記錄和監控用戶(hù)對系統資源的訪(fǎng)問(wèn)行為，以便進(jìn)行安全審計和追蹤。

通過(guò)集中化整合身份訪(fǎng)問(wèn)管理技術(shù)，可以實(shí)現對網(wǎng)絡(luò )環(huán)境中各種資源的訪(fǎng)問(wèn)管控，提高了系統的安全性和可管理性。在零信任體系中，IAM技術(shù)扮演著(zhù)重要的角色，可幫助企業(yè)或組織建立起更加細粒度、動(dòng)態(tài)化的訪(fǎng)問(wèn)控制機制，可有效防止未經(jīng)授權的訪(fǎng)問(wèn)和數據泄露等安全風(fēng)險。

4　結論

綜上所述，本文從零信任安全框架設計、零信任安全防御體系建設兩個(gè)方面，對基于零信任機制的工控網(wǎng)絡(luò )安全防護進(jìn)行了深入研究：從零信任的理念出發(fā)，以終端可信接入、持續信任評估和動(dòng)態(tài)訪(fǎng)問(wèn)控制三個(gè)方面出發(fā)，對工控系統網(wǎng)絡(luò )安全防護體系架構進(jìn)行了設計；通過(guò)分析工控系統實(shí)際業(yè)務(wù)需求，結合系統業(yè)務(wù)、網(wǎng)絡(luò )、數據的網(wǎng)絡(luò )安全防護要求，并借鑒不同維度的零信任方案，建立了基于縱深聯(lián)動(dòng)防御機制建設、零信任SDP解決接入安全、內部東西向微隔離防御和身份識別與訪(fǎng)問(wèn)管理的縱深防御方案。零信任安全框架為整個(gè)工控系統的安全防護提供了基礎架構，零信任安全防御體系則是基于這一框架的進(jìn)一步防護機制，兩者互為支撐、相互依存，能夠為現代工控系統網(wǎng)絡(luò )安全防護提供一定的理論支持。

作者簡(jiǎn)介：

陳　佳（1993-），女，山西太原人，助理實(shí)驗師，碩士，現就職于中國民航大學(xué)，研究方向為信息安全。

參考文獻：

[1] 王智民, 武中力. 基于零信任的工控系統勒索防御體系[J]. 工業(yè)信息安全, 2023, (4) : 50 - 71.

[2] 石進(jìn). 基于零信任機制的工控網(wǎng)絡(luò )安全防御技術(shù)研究[D]. 北京: 華北電力大學(xué), 2022.

[3] 薛瑩. 基于零信任架構的工業(yè)控制系統安全框架及仿真評價(jià)機制研究[D]. 蘭州: 蘭州理工大學(xué), 2022.

[4] 向人鵬. 基于 "零信任" 的工業(yè)信息安全防護研究[C]/中國電機工程學(xué)會(huì )電力信息化專(zhuān)業(yè)委員會(huì ). 生態(tài)互聯(lián) 數字電力—2019電力行業(yè)信息 化年會(huì )論文集. 北京天地和興科技有限公司, 2019 : 4.

[5] 郭寶霞, 王佳慧, 馬利民, 等.基于零信任的敏感數據動(dòng)態(tài)訪(fǎng)問(wèn)控制模型研究[J]. 信息網(wǎng)絡(luò )安全, 2022, 22 (6) : 86 - 93.

[6] 王群, 袁泉, 李馥娟, 等. 零信任網(wǎng)絡(luò )及其關(guān)鍵技術(shù)綜述[J]. 計算機應用, 2023, 43 (4) : 1142 - 1150.

[7] 王今, 鄒純龍, 馬海群, 等. 基于零信任的公共數據平臺安全指數構建研究[J]. 情報科學(xué), 2023, 41 (8) : 18 - 24 + 36.

[8] 蔣寧, 范純龍, 張睿航, 等. 基于模型的零信任網(wǎng)絡(luò )安全架構[J]. 小型微型計算機系統, 2023, 44 (8) : 1819 - 1826.

[9] 史永飛. 云內云外融合網(wǎng)絡(luò )安全縱深防御體系研究[J]. 都市快軌交通, 2022, 35 (6) : 59 - 63.

[10] 吳克河, 程瑞, 姜嘯晨, 等. 基于SDP的電力物聯(lián)網(wǎng)安全防護方案[J]. 信息網(wǎng)絡(luò )安全, 2022, 22 (2) : 32 - 38.

[11] 陳長(cháng)松. 零信任架構下的數據安全縱深防御體系研究[J]. 信息網(wǎng)絡(luò )安全, 2021, (S1) : 105 - 108.

摘自《自動(dòng)化博覽》2024年8月刊