靖長續(xù)，付春剛，李春雷

（山信軟件股份有限公司，山東 濟南250101）

1 前 言

工業(yè)控制系統(tǒng)（ICS）負責不同過程的自動化以及對系統(tǒng)的整體控制，現(xiàn)如今，信息化和工業(yè)化得到了深度融合，工業(yè)控制產(chǎn)品越來越多采用通用協(xié)議、通用軟硬件，以各種方式與公共網(wǎng)絡(luò)連接，嚴重影響了關(guān)鍵工業(yè)基礎(chǔ)設(shè)施的穩(wěn)定運行［1］。作為工業(yè)控制系統(tǒng)（ICS）得到廣泛應用的鋼鐵冶金行業(yè)，工控安全問題尤為突出。

2 工控安全與傳統(tǒng)信息安全的差異

ICS 系統(tǒng)從根本上不同于傳統(tǒng)的IT 系統(tǒng)，這使保護ICS系統(tǒng)的過程更加復雜。ICS和IT環(huán)境之間的差異存在于其整個的產(chǎn)品生命期。對于ICS 系統(tǒng)，生命期一般＞15 a，而IT系統(tǒng)通常每3～5 a更換一次。由于ICS具有實時性，因此其可用性和應急性要求也更高，這使得補丁更新和替換周期難以像IT系統(tǒng)中那樣頻繁進行。ICS通常在專門的操作環(huán)境中使用現(xiàn)成的協(xié)議（例如Modbus和DNP3），而不會如IT系統(tǒng)一樣額外制定專屬的IT協(xié)議。本質(zhì)上，IT 管理數(shù)據(jù)而ICS管理物理環(huán)境，并且實時通信在ICS中至關(guān)重要，故而ICS中應急響應更加重要。所以，相對于傳統(tǒng)信息安全注重的數(shù)據(jù)機密性、完整性和可用性，工控安全更注重可用性以保證ICS的連續(xù)運行，這就使得容錯對ICS非常重要。最后，與IT組件相比，ICS組件中的系統(tǒng)內(nèi)存往往非常受限制，這進一步增加了保證工控安全的難度。

3 行業(yè)隱患

相對于傳統(tǒng)信息安全來說，由于工控設(shè)備功能簡單，設(shè)計規(guī)范，且大部分的工業(yè)協(xié)議都不具備安全防護特征，以至于黑客僅需少許計算機知識就可以完成其逆向工程［2］。

鋼鐵冶金行業(yè)對ICS高度依賴，由于在ICS中，從基本的傳感器和執(zhí)行器到高度復雜的可編程邏輯控制器（PLC）由世界各地不同的組件制造商制作，并且各制造商選用的標準以及協(xié)議的不同，導致了這種基礎(chǔ)架構(gòu)的復雜性和異構(gòu)性，并成倍的增加了鋼鐵冶金行業(yè)的受攻擊面。鋼鐵冶金行業(yè)在工控安全方面主要存在以下隱患。

3.1 邊界隔離問題

典型的鋼鐵冶金企業(yè)網(wǎng)絡(luò)一般由五層架構(gòu)組成，如圖1 所示?；A(chǔ)的L1 層生產(chǎn)設(shè)備控制系統(tǒng)，各分廠的PLC、工程師站等設(shè)備分布于此。L2層面向生產(chǎn)過程和控制的PCS（過程控制）系統(tǒng)，包含通訊服務器以及骨干網(wǎng)交換機。這兩層在鋼鐵冶金行業(yè)中存在著大量已知和未知的可利用漏洞，隨著智慧工廠、物聯(lián)網(wǎng)的發(fā)展，邊界越來越多且越來越模糊，這些漏洞所存在的重大隱患也就越發(fā)凸顯。由于沒有進行有效的邊界隔離，各區(qū)域間通信網(wǎng)絡(luò)安全隱患重重，當一個系統(tǒng)或區(qū)域內(nèi)爆發(fā)工控安全事件后，會輕易地擴散到其他系統(tǒng)或區(qū)域里。

圖1 典型鋼鐵冶金企業(yè)網(wǎng)絡(luò)架構(gòu)

3.2 審計缺失

審計可用于記錄、審查主體對客體進行訪問和使用情況，保證安全規(guī)則被正確執(zhí)行，并且可以幫助分析安全事故產(chǎn)生的原因。鋼鐵冶金企業(yè)內(nèi)部通常根據(jù)生產(chǎn)產(chǎn)品的不同劃分為一個個單獨的生產(chǎn)廠區(qū)，而各廠區(qū)缺少惡意代碼監(jiān)測、異常監(jiān)測、安全審計等一系列的監(jiān)測審計措施，由此導致了工控安全事故發(fā)生前無法提前預警，工控安全事故發(fā)生后，企業(yè)也很難查清工控安全事故產(chǎn)生的原因，無法采取有效措施防止相同工控安全事故的再次發(fā)生。

3.3 關(guān)鍵設(shè)備未進行安全加固

未對工程師站、操作站主機及服務器進行安全加固，不能有效地管理移動外設(shè)，工控主機作為上位機極易受到病毒及誤操作的影響。帶毒USB、光驅(qū)等外部設(shè)備的接入和使用，為木馬和病毒的入侵提供了通道。

3.4 第三方威脅

第三方運維人員（特別是國外的技術(shù)人員）在進行現(xiàn)場或遠程運維時，由于思維方式和工作習慣的不同以及缺乏對于工控安全的認知，相關(guān)人員在運維以及調(diào)試過程中很有可能對工業(yè)控制系統(tǒng)及網(wǎng)絡(luò)帶來誤操作、病毒等安全隱患。

3.5 監(jiān)控系統(tǒng)分散

未能建立統(tǒng)一的安全管理監(jiān)控系統(tǒng)，使得相關(guān)工控系統(tǒng)事件不能統(tǒng)一收集、分析。當工控安全事件發(fā)生時，相關(guān)人員不易關(guān)聯(lián)分析設(shè)備間的事件和日志，對于復雜的工控安全事故問題難以及時發(fā)現(xiàn)，且事后難以形成有效且可信的記錄。

4 解決方案

圖2 工控安全系統(tǒng)布局

4.1 工業(yè)防火墻

在L1、L2 與L3 之間的關(guān)鍵位置部署具有工業(yè)協(xié)議深度解析功能的工控防火墻，如圖2 所示，實現(xiàn)針對工控網(wǎng)絡(luò)及工業(yè)協(xié)議的邏輯隔離、報文過濾、訪問控制等功能。安裝位置為交換機前或后，具體位置視所選型號工業(yè)防火墻的接口數(shù)量和現(xiàn)場情況而定。若接口數(shù)量允許且各通道互不影響，那么將工業(yè)防火墻安裝在交換機之前，按照設(shè)備→工業(yè)防火墻→交換機→通訊服務器方式連接；若接口數(shù)量不足，那么應安裝在交換機之后，按照設(shè)備→交換機→工業(yè)防火墻→通訊服務器方式連接。通過加裝工業(yè)防火墻，并配置防火墻安全規(guī)則（包過濾、規(guī)則學習、攻擊防護、IP/MAC等）可以有效實現(xiàn)對工業(yè)控制系統(tǒng)邊界及工業(yè)控制系統(tǒng)內(nèi)部不同控制區(qū)域之間的邊界防護［3］。

4.2 安全監(jiān)測

部署入侵檢測系統(tǒng)和工控威脅檢測系統(tǒng)，在廠區(qū)邊界進行安全監(jiān)測，為了減少對網(wǎng)絡(luò)的影響，應采用不影響原有網(wǎng)絡(luò)環(huán)境的“輕接觸”接入方式分析來自網(wǎng)絡(luò)內(nèi)外的入侵信號及APT 攻擊。入侵檢測系統(tǒng)可以實時監(jiān)控網(wǎng)絡(luò)傳輸，自動檢測可疑行為，分析來自網(wǎng)絡(luò)內(nèi)部和外部的入侵信號。工控威脅檢測系統(tǒng)可以對格式文檔溢出特種木馬、滲透行為等未知威脅進行有效的檢測，發(fā)現(xiàn)ATP攻擊，及時發(fā)現(xiàn)威脅，采取正確的處理措施。

4.3 安全加固

依靠病毒治理、主機加固及工業(yè)“白名單”防護技術(shù)三合一的主機防護系統(tǒng)，通過部署工控防火墻和主機安全防護系統(tǒng)對關(guān)鍵的工控主機及服務器進行安全加固及審計自查。通過工控防火墻阻止來自管理網(wǎng)不同區(qū)域間的安全威脅，對工業(yè)控制系統(tǒng)邊界及工業(yè)控制系統(tǒng)內(nèi)部不同控制區(qū)域之間進行邊界防護。通過主機安全防護系統(tǒng)對操作員站、工程師站、服務器等工控主機進行安全加固，實時檢測發(fā)現(xiàn)和阻止各種主機威脅，對系統(tǒng)關(guān)鍵資源進行防護。通過建立資產(chǎn)、會話、應用通訊數(shù)據(jù)3 個層次的“白名單”防護機制，防范已知惡意代碼和各類未知惡意軟件的感染、運行和擴散。

4.4 運維審計系統(tǒng)

建立賬號管理及運維審計系統(tǒng)，解決遠程連接、第三方運維帶來的權(quán)限泛濫、非法接入及權(quán)責不明等問題。通過對服務器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、工控系統(tǒng)、數(shù)據(jù)庫的訪問進行有效管控，實現(xiàn)集中精細化運維管控與審計。通過對分布于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)關(guān)鍵節(jié)點的流量提取對工業(yè)控制系統(tǒng)中的工控語言進行專項解讀，建立工控網(wǎng)絡(luò)安全審計機制和安全基線，實現(xiàn)安全事件預警。

4.5 安全管理平臺

部署安全管理平臺，對工控安全設(shè)備進行集中管理，對安全設(shè)備、網(wǎng)絡(luò)設(shè)備和主機等的日志及告警信息進行收集分析，實現(xiàn)數(shù)據(jù)的聯(lián)動分析和集中展示，進而實現(xiàn)態(tài)勢感知。對服務器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、工控系統(tǒng)、數(shù)據(jù)庫的訪問進行有效管控，實現(xiàn)集中精細化運維管控與審計，降低人為安全風險，避免安全損失，滿足合規(guī)要求，保障企業(yè)效益。

4.6 加強人員管理

加強相關(guān)人員的管理，增強安全意識，建立標準化管理體系，制定詳細措施保證企業(yè)員工自己不犯錯，建立相關(guān)考核體系，對第三方進行管理。提高安全意識，保障所制定的工控安全管控規(guī)章制度得到認真的貫徹與落實，加強監(jiān)管力度，才能為工控安全提供切實的保障。對于核心設(shè)備區(qū)域以及無人值守的站點采取必要的物理防范措施，如增加視頻監(jiān)控系統(tǒng)、電子門禁系統(tǒng)等阻止相關(guān)人員未經(jīng)授權(quán)進入對應區(qū)域，也方便事故發(fā)生后的審計和追查［4］。

5 結(jié) 語

工控安全作為一項系統(tǒng)工程，需要多方面協(xié)同，軟件硬件結(jié)合。工控安全不存在一勞永逸的完美解決方案，隨著科技的進步與設(shè)備的更新?lián)Q代，工控安全的完善應在整個工業(yè)控制系統(tǒng)的生命周期中持續(xù)進行，最終達到威脅可防、安全配置可查、網(wǎng)絡(luò)通訊可管、風險可控、系統(tǒng)安全可信［5］。