包 叢

（新疆油田公司數(shù)據(jù)公司，新疆 克拉瑪依 834000）

0 引言

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)（以下簡(jiǎn)稱“工控網(wǎng)絡(luò)”）安全技術(shù)尚未發(fā)展成熟，傳統(tǒng)網(wǎng)絡(luò)技術(shù)在工控系統(tǒng)中難以直接應(yīng)用，使得如今工控操作員站處于一種被動(dòng)的安全防護(hù)模式［1］?？刂葡到y(tǒng)網(wǎng)絡(luò)基本向以太網(wǎng)結(jié)構(gòu)發(fā)展，開(kāi)放性增強(qiáng)給工控系統(tǒng)帶來(lái)新的安全壓力，傳統(tǒng)的安全技術(shù)手段與安全防御方案已無(wú)法完全應(yīng)用于工控網(wǎng)絡(luò)，導(dǎo)致目前工控防護(hù)能力水平較為有限。

1 工業(yè)控制系統(tǒng)安全現(xiàn)狀

我國(guó)的工業(yè)化與信息化現(xiàn)在正處在深度融合階段，因而對(duì)工業(yè)控制網(wǎng)絡(luò)安全策略的制定及安全技術(shù)的研發(fā)提出了更迫切的需求［2］。近年來(lái)，針對(duì)工業(yè)控制網(wǎng)絡(luò)的攻擊事件時(shí)有發(fā)生，國(guó)家高度重視工業(yè)控制網(wǎng)絡(luò)的安全問(wèn)題，《網(wǎng)絡(luò)安全法》和等級(jí)保護(hù)2.0 的發(fā)布應(yīng)用將網(wǎng)絡(luò)安全提升到了國(guó)家安全高度。在良好的政策環(huán)境下，工控安全問(wèn)題得到了進(jìn)一步解決，但到目前為止還沒(méi)有形成面向工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)與安全保護(hù)特殊要求的安全保護(hù)理論體系與分析方法［3］。

1.1 工控系統(tǒng)安全頂層設(shè)計(jì)現(xiàn)狀

工控系統(tǒng)自身特點(diǎn)決定了傳統(tǒng)安全體系在工控系統(tǒng)中無(wú)法直接使用，需要建立符合自身特點(diǎn)的安全體系。工控系統(tǒng)應(yīng)以可用性為主，實(shí)時(shí)性與可靠性要求高，不能輕易升級(jí)，私有協(xié)議多，設(shè)備生命周期長(zhǎng)達(dá)15～20 年，這些特殊性導(dǎo)致現(xiàn)有信息安全措施無(wú)法直接應(yīng)用，需要建立符合工業(yè)控制特點(diǎn)的安全體系。

1.2 工控系統(tǒng)安全專業(yè)技術(shù)現(xiàn)狀

工控系統(tǒng)安全防御要點(diǎn)主要體現(xiàn)在網(wǎng)絡(luò)互通互聯(lián)、網(wǎng)絡(luò)邊界隔離、網(wǎng)絡(luò)邏輯劃分、工業(yè)主機(jī)安全、身份認(rèn)證管理、遠(yuǎn)程訪問(wèn)安全、工業(yè)敏感數(shù)據(jù)安全等方面。目前，工控系統(tǒng)安全技術(shù)防護(hù)建設(shè)水平各不相同、差別較大，國(guó)家重點(diǎn)直屬企業(yè)的工控系統(tǒng)安全技術(shù)防護(hù)方面相對(duì)較好，整體來(lái)看，工控系統(tǒng)普遍存在安全防護(hù)不成體系和欠缺有效的安全防護(hù)技術(shù)措施等問(wèn)題。

1.3 工控系統(tǒng)安全專業(yè)技術(shù)人員現(xiàn)狀

目前，生產(chǎn)單位普遍缺少工控網(wǎng)絡(luò)安全專職崗位或?qū)I(yè)技術(shù)人員，同時(shí)部分技術(shù)人員沒(méi)有經(jīng)過(guò)系統(tǒng)的培訓(xùn)和學(xué)習(xí)，專業(yè)能力不足。一旦出現(xiàn)工控系統(tǒng)網(wǎng)絡(luò)安全攻擊事件，無(wú)法及時(shí)組織人員進(jìn)行安全事件應(yīng)急處置和恢復(fù)。另外，現(xiàn)有傳統(tǒng)互聯(lián)網(wǎng)技術(shù)（Internet Technology，IT）網(wǎng)絡(luò)安全工作經(jīng)驗(yàn)的技術(shù)人員在從事工控系統(tǒng)安全相關(guān)工作時(shí)，往往不能有效轉(zhuǎn)變工作思路，導(dǎo)致部分工作落實(shí)不到位、安全應(yīng)急處置不徹底的情況時(shí)有發(fā)生。

2 工控系統(tǒng)安全阻斷工作原理

2.1 安全聯(lián)動(dòng)機(jī)制

工業(yè)控制網(wǎng)絡(luò)要做到運(yùn)行可控，當(dāng)出現(xiàn)來(lái)自網(wǎng)絡(luò)內(nèi)外部的安全威脅時(shí)，網(wǎng)絡(luò)的各個(gè)安全設(shè)備、防御機(jī)制之間應(yīng)該做到整體協(xié)作，而不是彼此割裂、各自為戰(zhàn)［4］。各自為戰(zhàn)的防御機(jī)制由于彼此之間缺乏互動(dòng)，無(wú)法實(shí)現(xiàn)整體上的統(tǒng)籌決策，在出現(xiàn)非法設(shè)備接入或網(wǎng)絡(luò)攻擊時(shí)，不能及時(shí)進(jìn)行阻斷與反制。網(wǎng)絡(luò)的整體協(xié)同聯(lián)動(dòng)防御體現(xiàn)在阻斷防御的及時(shí)性與準(zhǔn)確性上，可以根據(jù)需要?jiǎng)討B(tài)地對(duì)防御策略進(jìn)行調(diào)整，消除或減輕網(wǎng)絡(luò)異?；虍惓２僮鲙?lái)的影響。

2.2 安全技術(shù)應(yīng)用

安全監(jiān)測(cè)設(shè)備可以實(shí)現(xiàn)對(duì)資產(chǎn)信息、可疑流量、漏洞情況、風(fēng)險(xiǎn)預(yù)警、設(shè)備狀態(tài)等信息進(jìn)行采集與上報(bào)。防火墻可實(shí)現(xiàn)辦公網(wǎng)與工控網(wǎng)絡(luò)的強(qiáng)邏輯隔離，有效阻止網(wǎng)絡(luò)攻擊者入侵工控網(wǎng)絡(luò)，同時(shí)保護(hù)內(nèi)部行為不外出、內(nèi)部資料不外泄，實(shí)現(xiàn)有效的訪問(wèn)控制。監(jiān)測(cè)審計(jì)設(shè)備根據(jù)工控網(wǎng)絡(luò)通迅協(xié)議定制符合工控業(yè)務(wù)特點(diǎn)的安全審計(jì)策略，能夠有效識(shí)別工控網(wǎng)絡(luò)中存在的非法行為、非法訪問(wèn)和非法操作并實(shí)時(shí)告警，通過(guò)旁路監(jiān)聽(tīng)方式進(jìn)行部署，保證在實(shí)現(xiàn)安全監(jiān)測(cè)的同時(shí)，不影響現(xiàn)有生產(chǎn)的正常運(yùn)行。工控系統(tǒng)安全態(tài)勢(shì)感知平臺(tái)作為安全設(shè)備聯(lián)動(dòng)處置的管理核心，將各數(shù)據(jù)采集系統(tǒng)中的數(shù)據(jù)信息以及外部情報(bào)信息進(jìn)行集成，經(jīng)過(guò)分析處理，展示資產(chǎn)信息、漏洞信息，實(shí)現(xiàn)風(fēng)險(xiǎn)預(yù)警、流量監(jiān)測(cè)、應(yīng)急處理以及整體態(tài)勢(shì)感知。主機(jī)安全衛(wèi)士能夠有效對(duì)工控主機(jī)和服務(wù)器等進(jìn)行安全加固。通過(guò)部署白環(huán)境運(yùn)行策略，可以快速有效阻止震網(wǎng)病毒、BlackEnergy 等工控惡意代碼在主機(jī)上的執(zhí)行和漫游。

2.3 安全阻斷應(yīng)用技術(shù)原理

基于協(xié)同聯(lián)動(dòng)的安全阻斷策略能夠更好地滿足針對(duì)網(wǎng)絡(luò)非法行為阻斷的準(zhǔn)確性和及時(shí)性要求，聯(lián)動(dòng)技術(shù)之所以能夠應(yīng)用，得益于網(wǎng)絡(luò)的特殊性與共通性。網(wǎng)絡(luò)阻斷的實(shí)現(xiàn)手段歸根結(jié)底是對(duì)網(wǎng)絡(luò)通訊所產(chǎn)生數(shù)據(jù)的深度分析與控制［5］。采用組合公鑰（Combined Public Key，CPK）安全密鑰標(biāo)識(shí)認(rèn)證、基于應(yīng)用層特征匹配的深度包檢測(cè)技術(shù)、基于IEEE 802.1X 的無(wú)線網(wǎng)絡(luò)接入認(rèn)證技術(shù)以及基于訪問(wèn)控制技術(shù)的阻斷原理可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊異常行為的即時(shí)阻斷。

3 工控系統(tǒng)安全阻斷防御方案設(shè)計(jì)

3.1 非授權(quán)設(shè)備接入阻斷

終端計(jì)算機(jī)接入工控網(wǎng)絡(luò)時(shí)，采用基于CPK 認(rèn)證技術(shù)的身份認(rèn)證進(jìn)行設(shè)備接入控制，將安全芯片集成到傳感器/控制器，前端服務(wù)通過(guò)調(diào)用加密芯片中的安全標(biāo)識(shí)密鑰對(duì)訪問(wèn)請(qǐng)求進(jìn)行私鑰簽名，連接至上位機(jī)，業(yè)務(wù)系統(tǒng)認(rèn)證服務(wù)進(jìn)行認(rèn)證，統(tǒng)一認(rèn)證授權(quán)系統(tǒng)對(duì)終端進(jìn)行身份和權(quán)限查詢，身份鑒別系統(tǒng)給出終端的可信身份，終端接入。認(rèn)證不通過(guò)時(shí)，上位機(jī)阻止該終端的接入請(qǐng)求。

LoRa、NB-IoT（窄帶物聯(lián)網(wǎng)）、4G/5G、McWill（多載波無(wú)線信息本地環(huán)路）、衛(wèi)星等無(wú)線方式接入，在無(wú)線接入?yún)^(qū)部署安全接入網(wǎng)關(guān)，客戶端證書(shū)發(fā)送至安全網(wǎng)關(guān)進(jìn)行身份識(shí)別，安全網(wǎng)關(guān)將訪問(wèn)身份鑒別系統(tǒng)以驗(yàn)證證書(shū)的有效性。身份鑒別系統(tǒng)認(rèn)證通過(guò)后，移動(dòng)客戶端可建立端到端安全可靠的通道。認(rèn)證不通過(guò)時(shí)，安全網(wǎng)關(guān)阻止該終端的接入請(qǐng)求。

WIFI（無(wú)線網(wǎng)）方式接入，采用802.1X 協(xié)議認(rèn)證、靜態(tài)IP/MAC 地址綁定以及身份鑒別與安全加密等多種技術(shù)手段，實(shí)現(xiàn)無(wú)線接入安全認(rèn)證。準(zhǔn)備接入交換機(jī)的網(wǎng)絡(luò)終端需要具有基于802.1X 協(xié)議的可信身份標(biāo)識(shí)，接入交換機(jī)等支持802.1X 協(xié)議認(rèn)證的通訊設(shè)備時(shí)，通過(guò)身份認(rèn)證模塊啟動(dòng)身份驗(yàn)證過(guò)程，由身份驗(yàn)證模塊將終端電子標(biāo)識(shí)發(fā)送至身份認(rèn)證服務(wù)器進(jìn)行身份驗(yàn)證，身份認(rèn)證服務(wù)器給出終端的可信身份，終端接入。認(rèn)證不通過(guò)時(shí)，交換機(jī)阻止該終端的接入請(qǐng)求。

3.2 非法互聯(lián)網(wǎng)訪問(wèn)阻斷

在工控系統(tǒng)中，出于安全考慮，一般不允許用戶訪問(wèn)互聯(lián)網(wǎng)，以避免來(lái)自網(wǎng)絡(luò)的惡意流量威脅系統(tǒng)安全，破壞網(wǎng)絡(luò)邊界完整性?？赏ㄟ^(guò)網(wǎng)絡(luò)邊界的防護(hù)系統(tǒng)和主機(jī)端安全衛(wèi)士對(duì)工控用戶訪問(wèn)互聯(lián)網(wǎng)的非法行為實(shí)施阻斷。邊界安全設(shè)備和主機(jī)安全衛(wèi)士通過(guò)基于人工智能的深度學(xué)習(xí)技術(shù)，結(jié)合人工審計(jì)處理，建立訪問(wèn)控制白環(huán)境，不在白名單中的流量將被攔截。邊界防護(hù)系統(tǒng)通過(guò)管理邊界防護(hù)設(shè)備，如防火墻、網(wǎng)閘等，建立數(shù)據(jù)安全交互機(jī)制，實(shí)現(xiàn)工業(yè)控制系統(tǒng)用戶訪問(wèn)互聯(lián)網(wǎng)阻斷。工控系統(tǒng)內(nèi)部裝置、車間或作業(yè)區(qū)（大站）劃分安全域，邊界采取安全隔離措施。工控系統(tǒng)與辦公網(wǎng)邊界通過(guò)防火墻進(jìn)行安全隔離，實(shí)現(xiàn)工控?cái)?shù)據(jù)與辦公網(wǎng)數(shù)據(jù)安全交互。在安全區(qū)域邊界設(shè)置訪問(wèn)控制權(quán)限控制用戶訪問(wèn)，通過(guò)對(duì)流經(jīng)邊界的流量進(jìn)行深度包解析，判斷流量安全狀態(tài)，從而對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)流量進(jìn)行安全管控，只允許經(jīng)過(guò)授權(quán)的訪問(wèn)正常通過(guò)，未經(jīng)授權(quán)的非法訪問(wèn)將被攔截［6］。

3.3 非法入侵及傳輸阻斷

工控網(wǎng)與業(yè)務(wù)網(wǎng)有信息交互的需求，信息交互伴隨著安全問(wèn)題和風(fēng)險(xiǎn)。例如，以震網(wǎng)病毒為代表的定向攻擊對(duì)工控網(wǎng)的安全是一種非常嚴(yán)重的威脅，即使在物理隔離的情況下，其仍然可通過(guò)層層滲透的方法突破防線，如基于擺渡系統(tǒng)的病毒引入、基于0-day 漏洞的掃描和利用等。工控系統(tǒng)利用其常規(guī)的安全措施，很難滿足其高安全性要求。為了保障兩網(wǎng)交互的安全性，需要建立面向工控網(wǎng)與業(yè)務(wù)網(wǎng)的確定性網(wǎng)絡(luò)節(jié)點(diǎn)模型，并以該網(wǎng)絡(luò)節(jié)點(diǎn)模型為基礎(chǔ)，建立面向角色與節(jié)點(diǎn)的訪問(wèn)控制模型，采用訪問(wèn)控制技術(shù)，改善工控網(wǎng)與業(yè)務(wù)網(wǎng)信息交互管理和策略上的脆弱性。在區(qū)域邊界部署工業(yè)防火墻執(zhí)行流量包檢測(cè)，通過(guò)制定統(tǒng)一的包過(guò)濾策略，對(duì)通過(guò)工業(yè)系統(tǒng)區(qū)域邊界的所有數(shù)據(jù)流量進(jìn)行統(tǒng)一的安全檢查。包過(guò)濾策略至少包括數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、服務(wù)端口等五元組基礎(chǔ)信息。在網(wǎng)絡(luò)層面通過(guò)關(guān)鍵節(jié)點(diǎn)部署的流量監(jiān)測(cè)設(shè)備實(shí)時(shí)采集流量，利用機(jī)器學(xué)習(xí)等智能技術(shù)，建立工控安全流量審計(jì)模型，深入應(yīng)用層協(xié)議解析，根據(jù)建立的白名單模型，對(duì)所有邊界交互的數(shù)據(jù)包進(jìn)行安全過(guò)濾和安全協(xié)議匹配，阻斷不符合協(xié)議規(guī)則的異常報(bào)文［7］。該阻斷策略通過(guò)安全隔離設(shè)備與策略管理機(jī)制聯(lián)動(dòng)，實(shí)現(xiàn)非法傳輸阻斷和入侵阻斷。

3.4 非授權(quán)操作行為阻斷

工控現(xiàn)場(chǎng)情況復(fù)雜，往往存在來(lái)自不同對(duì)象的安全隱患，如人為的誤操作或惡意操作、系統(tǒng)本身的安全缺陷、移動(dòng)介質(zhì)的非法接入等。針對(duì)不同的安全狀況，應(yīng)該建立相應(yīng)的阻斷機(jī)制，以保障系統(tǒng)的安全性。工業(yè)控制系統(tǒng)在現(xiàn)場(chǎng)層進(jìn)行操作與指令下達(dá)時(shí)，必須具備嚴(yán)格的認(rèn)證與授權(quán)機(jī)制，需要建立阻斷機(jī)制，避免來(lái)自管理層的指令直接對(duì)現(xiàn)場(chǎng)進(jìn)行指揮等情況，保證現(xiàn)場(chǎng)控制層對(duì)設(shè)備的唯一控制權(quán)。主機(jī)上應(yīng)建立應(yīng)用和進(jìn)程白名單，只允許運(yùn)行經(jīng)過(guò)授權(quán)和安全評(píng)估的軟件程序和接入外部設(shè)備，從而防范已知或未知病毒、木馬、惡意程序運(yùn)行及傳播。

4 結(jié)語(yǔ)

當(dāng)前網(wǎng)絡(luò)安全形勢(shì)復(fù)雜，工控網(wǎng)絡(luò)安全亟待加強(qiáng)，本文提出的基于阻斷理論的安全防御技術(shù)手段在工控生產(chǎn)中具有現(xiàn)實(shí)意義，相信隨著工控網(wǎng)絡(luò)安全不斷發(fā)展，以安全阻斷思想為導(dǎo)向的安全策略部署和防御體系建設(shè)將得到進(jìn)一步完善，并更好地應(yīng)用于工業(yè)控制系統(tǒng)安全防御體系中。