3　工控安全運維實(shí)踐

隨著(zhù)兩化融合的不斷深入，以及物聯(lián)網(wǎng)、云計算和大數據等新一代信息技術(shù)的快速發(fā)展，工業(yè)控制系統智能化、網(wǎng)絡(luò )化趨勢日漸明顯，病毒、木馬等威脅向工業(yè)控制系統持續擴散。近年來(lái)，工控安全事件頻頻發(fā)生，工控安全漏洞數量持續增長(cháng)，工業(yè)控制系統面臨著(zhù)日益嚴峻的安全形勢。國家“十三五”規劃《綱要》、網(wǎng)絡(luò )強國、《中國制造2025》及“互聯(lián)網(wǎng)+”等一系列戰略部署的推進(jìn)實(shí)施，對我國工控安全保障工作提出了更高的要求，迫切需要快速提升工控安全運維保障水平和事件應急處置能力，更好地支撐經(jīng)濟社會(huì )健康有序發(fā)展，維護國家安全。

為切實(shí)幫助工業(yè)企業(yè)掌握現有網(wǎng)絡(luò )安全風(fēng)險，加強企業(yè)對工控系統網(wǎng)絡(luò )安全工作的規劃管理和運維，形成可行的安全防護策略，提升企業(yè)工控系統安全管理和技術(shù)防護水平，依據《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》（國發(fā)〔2012〕23號）、《關(guān)于加強工業(yè)控制系統信息安全管理的通知》（工信部協(xié)〔2011〕451號）要求，形成如下管理方法，供工業(yè)企業(yè)決策人員參考。

3.1　運維方法

運維工作需要在最大限度的不影響被檢測單位工控系統正常運行的前提下，實(shí)施技術(shù)監測和檢查，其內容包含但不限于如下項目：

3.1.1　網(wǎng)絡(luò )架構分析

網(wǎng)絡(luò )架構分析是通過(guò)對被測試目標系統的網(wǎng)絡(luò )拓撲，以及網(wǎng)絡(luò )層面細節架構進(jìn)行的安全性評估，該項檢查通過(guò)對目標系統的網(wǎng)絡(luò )設備的部署、配置的手動(dòng)檢查，分析用戶(hù)的網(wǎng)絡(luò )邊界是否安全，安全規則是否設置合理等。

（1）邊界安全

· 查閱網(wǎng)絡(luò )拓撲圖，檢查重要設備連接情況，現場(chǎng)核查內部工控系統的交換機、路由器等網(wǎng)絡(luò )設備，確認以上設備的光纖、網(wǎng)線(xiàn)等物理線(xiàn)路沒(méi)有與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò )直接連接，有相應的安全隔離措施；

· 查閱網(wǎng)絡(luò )拓撲圖，檢查接入互聯(lián)網(wǎng)情況，統計網(wǎng)絡(luò )外聯(lián)的出口個(gè)數，檢查每個(gè)出口是否均有相應的安全防護措施（互聯(lián)網(wǎng)接入口指內部網(wǎng)絡(luò )與公共互聯(lián)網(wǎng)邊界處的接口，如聯(lián)通、電信等提供的互聯(lián)網(wǎng)接口，不包括內部網(wǎng)絡(luò )與其他非公共網(wǎng)絡(luò )連接的接口）；

· 查閱網(wǎng)絡(luò )拓撲圖，檢查是否在網(wǎng)絡(luò )邊界部署了防火墻、訪(fǎng)問(wèn)控制、入侵檢測、安全審計、非法外聯(lián)檢測、惡意代碼防護等必要的安全設備。

（2）設備自身安全

通過(guò)手工測試和工具掃描，檢查網(wǎng)絡(luò )設備自身是否存在弱口令，信息泄漏，命令執行等安全隱患。

3.1.2　開(kāi)機取證檢查

開(kāi)機取證檢查是利用操作系統自帶命令檢查當前系統的各種信息，并通過(guò)命令返回的信息了解操作系統是否有已存在的安全問(wèn)題和風(fēng)險，比如檢查系統是否感染了惡意軟件、非法的U盤(pán)插拔等問(wèn)題。該測試方法可以直接在操作系統開(kāi)機情況下進(jìn)行本地檢查，不需要安裝任何軟件，不會(huì )影響系統的正常運行。

· 系統信息；

· 網(wǎng)絡(luò )連接；

· 用戶(hù)信息；

· 隱私信息；

· 安全信息。

3.1.3　應用安全性檢查

應用安全性檢查主要是對被測試系統內應用、功能、業(yè)務(wù)系統進(jìn)行安全性檢查，應用安全性檢查主要通過(guò)人工測試、遠程測試方式進(jìn)行，檢查的范圍主要涵蓋主機系統上運行的應用及其業(yè)務(wù)系統，諸如Web應用系統、數據庫、中間件等。

3.1.4　系統安全性檢查

系統安全性檢查是通過(guò)遠程、本機檢查以及現場(chǎng)調研的方式檢查主機操作系統的安全性，在執行系統安全性檢查時(shí)不會(huì )主動(dòng)對主機存在的漏洞進(jìn)行驗證的嘗試以及對具有風(fēng)險的漏洞進(jìn)行確認操作，僅根據系統的版本和服務(wù)指紋特征檢查主機存在的安全漏洞，或通過(guò)使用本機檢查的方式進(jìn)行，系統安全性檢查不需要安裝任何軟件，不會(huì )影響系統的正常運行，在執行遠程部分的檢查時(shí)僅會(huì )影響較小的系統性能和網(wǎng)絡(luò )帶寬。

3.1.5　控制系統組件安全性檢查

控制系統組件安全性檢查是通過(guò)利用遠程、本機檢查以及現場(chǎng)調研的方式檢查主機操作系統的安全性，檢查涵蓋的工控系統內的應用組件包含且不限于如下：

· SCADA組態(tài)軟件；

· 組態(tài)編程軟件；

· 實(shí)時(shí)與歷史數據庫；

· 工控通信軟件（IOServer）。

對控制系統組件安全性遠程檢查通過(guò)應用指紋特征發(fā)現被檢查對象網(wǎng)絡(luò )中正在運行的應用組件，利用漏洞指紋特征發(fā)現存在漏洞的應用組件版本，進(jìn)行遠程檢查時(shí)不需要安裝任何軟件，不會(huì )影響系統的正常運行。

3.1.6　控制系統設備安全性檢查

控制系統設備安全性檢查會(huì )對被檢查工段的工控設備的運行情況、廠(chǎng)商、型號進(jìn)行調研并結合工控設備已存在的安全漏洞、隱患進(jìn)行研判，同時(shí)根據情況還將利用工控脆弱性分析系統或工控系統信息采集與風(fēng)險分析平臺，通過(guò)輕量級的工控無(wú)損掃描技術(shù)，以工業(yè)特有通信協(xié)議與工控軟硬件進(jìn)行交互，搜索工控軟硬件的必要信息。系統搜索過(guò)程中對工業(yè)控制系統及系統業(yè)務(wù)無(wú)干擾，不影響系統本身的正常運行。

控制系統設備安全性檢查的資產(chǎn)類(lèi)型包含且不限于PLC、控制器、視頻監控、DCS、串口服務(wù)器及其他工控通信設備（通信網(wǎng)關(guān)）等。

3.1.7　工控協(xié)議使用情況檢查

工控協(xié)議從設計之初一般沒(méi)有考慮安全、認證、加密等因素，在通信過(guò)程中沒(méi)有復雜的認證和加密，加上工控協(xié)議的特性是面向命令、面向功能、輪詢(xún)應答式，攻擊者只需要掌握協(xié)議構造方式，并接入到了工控網(wǎng)絡(luò )中，便可以通過(guò)協(xié)議對目標設備的任意數據進(jìn)行篡改。工控協(xié)議使用情況檢查將對被檢查工段內使用的工控通信協(xié)議進(jìn)行風(fēng)險評估，通過(guò)調研的方式了解被檢查工段內工控設備的通信模型，包括使用的工控協(xié)議、傳輸的業(yè)務(wù)數據類(lèi)型，根據情況將利用工控脆弱性分析系統和工控系統信息采集與風(fēng)險分析系統對被檢查的目標網(wǎng)絡(luò )內所支持的工控協(xié)議的運行情況實(shí)現指紋發(fā)現。

工控協(xié)議使用情況檢查的協(xié)議類(lèi)型包含且不限于Modbus、OPC、OPC UA、EtherNet/IP、IEC104、DNP3、IEC61850…

3.2　事件與報警管理

事件與報警管理作為風(fēng)險管理的一部分，通過(guò)實(shí)時(shí)數據收集和分析軟件平臺，可持續監測流程控制系統，發(fā)現網(wǎng)絡(luò )安全風(fēng)險的跡象。該解決方案可在控制自動(dòng)化系統上運行，并可與安全信息和事件管理系統（SIEM）等企業(yè)安全平臺以及領(lǐng)先網(wǎng)絡(luò )和端點(diǎn)安全產(chǎn)品整合。采用強大的專(zhuān)有算法，可監測所有網(wǎng)絡(luò )和系統設備、探測威脅并識別網(wǎng)絡(luò )上的已知和未知設備通訊。通過(guò)實(shí)時(shí)預警和警報可使工業(yè)控制系統的漏洞與威脅及早地傳達給工廠(chǎng)人員。解決方案提供有關(guān)工業(yè)控制系統中風(fēng)險的可能原因、潛在影響以及推薦措施的專(zhuān)業(yè)指南。

工控信息安全同樣屬于信息安全，安全防護是一個(gè)綜合性的課題，是一套體系。安全防護的手段固然很多，但是每類(lèi)工具或防護設備都面對某種特定的攻擊，而威脅的來(lái)源是不確定的，防護來(lái)自四面八方的攻擊不可能只靠幾個(gè)環(huán)節的防護就一勞永逸。就像簡(jiǎn)單的水桶原理，有些地方再牢固，但是一個(gè)明顯的短板也會(huì )導致能力的喪失。所以對于安全而言，強大高效的防護能力首先來(lái)自于管理有序、組織嚴密的防護體系。

在工控信息網(wǎng)絡(luò )環(huán)境中做整體的安全防護，勢必要涉及掌握全網(wǎng)的運行狀況、安全狀況，處理大量設備產(chǎn)生的安全數據和監控信息，通過(guò)集中高效的告警機制快速發(fā)現定位問(wèn)題，快速地處置安全故障和威脅。解決用戶(hù)的主要需求包括：

（1）統一識別和梳理網(wǎng)內的各類(lèi)設備和網(wǎng)元節點(diǎn)，集中維護全網(wǎng)設備基本信息、運行配置信息以及安全信息。

（2）對網(wǎng)絡(luò )中的各類(lèi)設備進(jìn)行集中的狀態(tài)及性能監控。

（3）工控領(lǐng)域常見(jiàn)的拓撲或直觀(guān)呈現的方式表現網(wǎng)絡(luò )環(huán)境及各設備的運行狀態(tài)和安全狀態(tài)。

（4）對工控的業(yè)務(wù)操作流程進(jìn)行梳理，形成各個(gè)工業(yè)操作業(yè)務(wù)流的健康性監控。

（5）能夠識別工控協(xié)議以及操作指令，并在此基礎上進(jìn)行合規審計以及異常發(fā)現。

（6）能夠統一收集存儲各類(lèi)安全信息，并進(jìn)行集中化的呈現，呈現方面應用大量可視化技術(shù)，增加數據可讀性，最大可能地提升用戶(hù)的監控效率。

（7）通過(guò)統一的策略進(jìn)行全網(wǎng)的威脅分析和安全告警。

（8）強大的關(guān)聯(lián)分析能力對所采集的海量安全信息進(jìn)行綜合分析，發(fā)現更多維度、更深層次的安全威脅和業(yè)務(wù)違規。

（9）通過(guò)系統的手段流程化的對安全故障、隱患、問(wèn)題進(jìn)行規范化處置，提升問(wèn)題解決效率和規范程度。

4 結語(yǔ)

基于“PDCA”的工控安全運維管理系統是以客戶(hù)的業(yè)務(wù)信息系統安全為保障目標，從監控、審計、風(fēng)險、運維四個(gè)維度對全網(wǎng)的整體安全進(jìn)行集中化管理與運維，為工控用戶(hù)在工控環(huán)境下建立起一個(gè)可視、可查、可度量與可擴展的監控體系。借助本系統，用戶(hù)可以獲得對全網(wǎng)安全的可視化，并洞悉業(yè)務(wù)信息系統的運行狀況與安全狀況；可以對全網(wǎng)的安全事件進(jìn)行綜合分析與審計，識別和定位外部攻擊、內部違規；可以進(jìn)行業(yè)務(wù)系統的安全風(fēng)險度量、安全態(tài)勢度量和安全管理建設水平度量；可以進(jìn)行持續的安全巡檢、應急響應與知識積累，不斷提升安全管理的能力。

（1）全面掌握網(wǎng)絡(luò )中的威脅信息，迅速發(fā)現異常

系統幫助用戶(hù)全視角掌握網(wǎng)絡(luò )中全部安全信息，透視網(wǎng)絡(luò )中網(wǎng)絡(luò )狀態(tài)及異常信息，了解業(yè)務(wù)路徑，監測業(yè)務(wù)流程的合規性。并且該系統通過(guò)強大的關(guān)聯(lián)分析技術(shù)在多維且海量的信息中洞察威脅行為，包括識別各類(lèi)性能故障、非法訪(fǎng)問(wèn)控制、不當操作、惡意代碼、攻擊入侵，以及違規與信息泄露等行為。

（2）日常安全運維工作的有力工具

對于工控安全日常安全運維而言，核心的工作內容就是對各設備及重要業(yè)務(wù)系統進(jìn)行持續監測，確保網(wǎng)絡(luò )、主機、應用、業(yè)務(wù)、重要信息和人員資產(chǎn)的安全。更具體地說(shuō)，就是要持續監測并識別針對網(wǎng)絡(luò )、主機、應用、業(yè)務(wù)、重要信息和人員資產(chǎn)性能故障、非法訪(fǎng)問(wèn)控制、非法或不當操作、惡意代碼、攻擊入侵、違規與信息泄露行為。

系統以時(shí)間、空間、特征為基礎，對網(wǎng)絡(luò )流進(jìn)行多維度、細粒度的分析，并通過(guò)形象的圖表曲線(xiàn)幫助客戶(hù)實(shí)現流分布的可視化。

系統通過(guò)提供統一的告警響應機制以及標準OPC接口的方式，為用戶(hù)提供了集中的告警發(fā)現平臺，并且對于發(fā)現的告警或故障給予運維處置上的支撐，通過(guò)標準OPC接口的方式實(shí)現快速化、實(shí)時(shí)化的問(wèn)題通知，并且可達到處理過(guò)程的跟蹤督促以及事后的追查。

作者簡(jiǎn)介：

魏欽志，烽臺科技（北京）有限公司聯(lián)合發(fā)起人、董事長(cháng)，燈塔實(shí)驗室執行合伙人。工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟副秘書(shū)長(cháng)，計算機病毒防御技術(shù)國家工程實(shí)驗室技術(shù)委員會(huì )委員，中國化工學(xué)會(huì )青年委員。在智能制造、工業(yè)控制信息化和自動(dòng)化行業(yè)有十余年工作經(jīng)驗，六年工控安全經(jīng)驗。參與并主導過(guò)工業(yè)信息安全產(chǎn)品設計，被發(fā)改委納入信息安全專(zhuān)項資金的支持計劃。帶領(lǐng)團隊參與和推動(dòng)國內主要工控安全標準制訂與應用，面向行業(yè)用戶(hù)提供評估及保障服務(wù)。

參考文獻：

[1] 童有好. 信息化與工業(yè)化融合的內涵、層次和方向[J]. 信息技術(shù)與標準化, 2008,（7）.

[2] 龔炳錚. 推進(jìn)信息化與工業(yè)化融合的思考[J]. 中國信息界, 2010.

[3] 賈紀磊. 信息化與工業(yè)化融合：新型工業(yè)化融合必經(jīng)之路[J]. 湖北經(jīng)濟學(xué)院學(xué)報（人文社會(huì )科學(xué)版）, 2009, 6（8）.

[4] 李林. 產(chǎn)業(yè)融合：信息化與工業(yè)化融合的基礎及其實(shí)踐[M]. 上海經(jīng)濟研究, 2008, 6.

[5] 信息化和軟件服務(wù)業(yè)司. 工信部 《工業(yè)控制系統信息安全事件應急管理工作指南》解讀，2017, 06.

[6] GB/T32919-2016. 工業(yè)控制系統安全控制應用指南[Z].

摘自《自動(dòng)化博覽》2017年10月刊