白 強， 胡博元， 宣中忠， 張建國

（首鋼長治鋼鐵有限公司煉鐵廠， 山西 長治 046000）

0 引言

首鋼長治鋼鐵有限公司（以下簡稱長鋼公司）近期經(jīng)過工控安全防護能力評估發(fā)現(xiàn)，其工控安全措施及防護水平均相對落后，公司的工控安全缺乏有效防護措施。長鋼公司對此進行了深入思考，認識到工控安全防護能力的提升對于企業(yè)的穩(wěn)健運營至關重要。因此，公司決定加大投入，全面提升工控網(wǎng)絡的安全防護水平。

1 工控網(wǎng)絡安全風險分析

傳統(tǒng)IT 系統(tǒng)的安全三要素按CIA 原則排序，即機密性最重要，完整性次之，可用性排在最后。工業(yè)控制系統(tǒng)ICS 的安全目標應符合AIC 原則，即可用性排在第一位，完整性次之，機密性排在最后。

1.1 工控系統(tǒng)安全方面

工控系統(tǒng)由于受到資源限制以及未能針對互聯(lián)網(wǎng)進行優(yōu)化等原因，為了確保實時性和可用性，通常缺乏安全性的設計考慮。這種狀況造成了一個結果，那就是無法構建一個能夠有效進行技術研究的體系?？紤]到上述局限，長鋼公司決定引入外部安全咨詢團隊，以便利用專業(yè)知識進行系統(tǒng)安全的全面評估。同時，公司還準備與安全解決方案供應商建立合作，引入先進的安全技術，如入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS），提升防護能力。在策略制定方面，長鋼公司計劃制定一套針對安全性升級的短期和長期計劃，這包括立即采用的緊急修補措施，以及逐步實施的系統(tǒng)升級和改造。安全培訓和意識提升也是計劃的一部分。針對所有操作員和維護人員的周期性培訓課程將被開發(fā)和執(zhí)行，以加強他們對于安全最佳實踐的理解和執(zhí)行。這將涵蓋從密碼管理到對于可疑電子郵件警覺的各個方面。

1.1.1 工控主機安全問題

長鋼公司的工控系統(tǒng)均為windows 系列，由于投入運營時間的不同，版本橫跨多個不同時期的Windows 系統(tǒng)，包括XP、Server 2003、Server 2008、Windows 7 和Windows 10。舊版Windows 系統(tǒng)存在的安全漏洞較多。尤其是Windows XP 等老版本系統(tǒng)已經(jīng)停止補丁更新，存在較多安全漏洞。大部分操作員站、工程師站等上位機等不具備在線打補丁的條件，基層單位出于維持業(yè)務連續(xù)性的考慮，重要補丁不能及時修補，不進行病毒查殺。因而工控操作系統(tǒng)存在以下問題：

1）工業(yè)控制操作系統(tǒng)普遍落后于當前主流，很少或不使用補丁策略。在工控系統(tǒng)中，補丁程序可能會對工控軟件產(chǎn)生嚴重的干擾。一些補丁需要重新啟動系統(tǒng)，這可能會干擾生產(chǎn)系統(tǒng)的運行。這就導致一些曾經(jīng)造成嚴重破壞的高危漏洞，比如“永恒之藍”等高危漏洞普遍存在于工控操作系統(tǒng)中。

2）安全防護缺失。由于殺毒軟件可能影響工控軟件的運行，工控主機很少或不使用防病毒更新策略。此外，病毒庫更新需要作業(yè)網(wǎng)絡訪問互聯(lián)網(wǎng)，因此很少采用。這導致主機系統(tǒng)面臨病毒、木馬等威脅。

3）賬戶權限管理混亂，使用弱密碼或默認密碼的情況較多。

4）缺乏完善信息安全管理規(guī)定，移動存儲設備無序使用、操作人員違規(guī)安裝非工作必備軟件、誤操作、惡意操作等安全威脅。

1.1.2 工控設備安全問題

長鋼公司工控系統(tǒng)均采用西門子、施耐德等國外大廠商的設備，以上設備都存在較多漏洞。而一個工業(yè)項目投入運行后，一般使用周期在5~10 年，因而硬件更新、升級、換代困難。工控設備存在以下安全問題：

1）控制器處理能力弱。通常來講，很多工業(yè)控制設備的性能一般，處理能力較弱。遭受“拒絕服務”攻擊很容易造成系統(tǒng)癱瘓。

2）控制漏洞和后門。由于設計和實現(xiàn)上的不足，絕大部分工業(yè)控制設備存在不同程度的漏洞；由于人為的因素，部分設備甚至預留后門。

3）關鍵控制設備無防護。由于前期規(guī)劃設計不夠全面且重視不足，工業(yè)現(xiàn)場普遍缺少對控制設備的安全防護。PLC、DCS 控制器等核心控制設備缺乏安全加固措施，利用設備漏洞進行網(wǎng)絡攻擊的成功率較高。

4）工業(yè)協(xié)議設計之初缺乏安全性考慮，明文設計、缺乏認證、很容易被黑客利用進行攻擊、破壞。

1.2 工控網(wǎng)絡安全方面

長鋼公司工業(yè)網(wǎng)絡結構在設計之初缺少安全考慮，系統(tǒng)內(nèi)部無法分區(qū)域防護，只要入侵某個區(qū)域，便可蔓延到整個工控網(wǎng)絡。網(wǎng)絡安全方面面臨的風險如下。

1.2.1 通信協(xié)議的脆弱性

多數(shù)工業(yè)控制協(xié)議，是在多年前設計并且都是基于串行連接進行網(wǎng)絡訪問。然而，隨著以太網(wǎng)的普及，通信已逐漸轉(zhuǎn)向基于IP 協(xié)議（通常是TCP 協(xié)議）的實現(xiàn)方式。遺憾的是，這些工控協(xié)議缺乏必要的安全機制，如保密和驗證，尤其是在消息完整性驗證方面存在明顯的技術缺失。此外，這些協(xié)議也沒有引入不可抵賴性的防重放機制，使得攻擊者能夠利用這些安全漏洞對工業(yè)控制系統(tǒng)展開攻擊。因此，隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，亟需對這些傳統(tǒng)工控協(xié)議進行安全增強和升級，以應對日益增長的安全威脅。

1）拒絕服務攻擊（Denial of Service，DoS）。拒絕服務攻擊通常采取消耗資源的攻擊模式，消耗控制網(wǎng)絡的處理器資源和帶寬資源。常見的拒絕服務攻擊有：SYN Flood、smurf 攻擊、Ping of Death、Teardrop、Land攻擊、UDP Flood、DDos 等。

2）中間人攻擊（MITM）。缺乏消息認證機制及不安全的通信通道，使攻擊者可以更容易地訪問到生產(chǎn)網(wǎng)絡，從而能夠竊聽，并對通信內(nèi)容進行惡意篡改和偽造。

3）重放攻擊：攻擊者能夠捕獲并復制合法的工業(yè)消息，然后在上下文中重復發(fā)送這些消息到從站設備。這種重放攻擊可能導致設備的異常行為，甚至損壞，也可能引發(fā)生產(chǎn)過程的混亂或意外關閉，從而對工業(yè)控制系統(tǒng)造成嚴重破壞。

4）欺騙攻擊：攻擊者還可能利用工控系統(tǒng)的安全漏洞，向控制操作人員發(fā)送虛假的欺騙信息。這些欺騙信息可能篡改或偽造現(xiàn)場設備的狀態(tài)數(shù)據(jù)，這種攻擊方式旨在混淆操作人員的判斷，誘使其執(zhí)行錯誤的操作，進而對生產(chǎn)過程造成負面影響。

1.2.2 網(wǎng)絡邊界的脆弱性

1.2.2.1 沒有嚴格界定網(wǎng)絡邊界范圍

長鋼公司的工業(yè)系統(tǒng)擁有大量用于收集數(shù)據(jù)和監(jiān)測運行的傳感器網(wǎng)絡，導致工業(yè)互聯(lián)網(wǎng)邊界接入點多，安全邊界難以明晰，增加邊界確定和防護難度。如果控制系統(tǒng)網(wǎng)絡沒有嚴格界定清晰的網(wǎng)絡邊界，就不能保證在網(wǎng)絡中正確實施必要的信息安全控制措施。將導致對系統(tǒng)的數(shù)據(jù)的非法訪問，以及相關的其他問題。

1.2.2.2 缺乏安全防護，易遭網(wǎng)絡攻擊

長鋼公司缺乏防火墻和防病毒軟件的保護，增加了攻擊者入侵的機會，可能受到惡意軟件和病毒的感染。這些惡意代碼可以傳播到工控系統(tǒng)中，破壞或監(jiān)視系統(tǒng)操作，并導致潛在的災難性后果。

1.2.2.3 網(wǎng)絡流量監(jiān)視和分析不足：

長鋼公司的工控網(wǎng)絡通常有大量的數(shù)據(jù)流量，但沒有有足夠的監(jiān)視和分析工具來檢測異?；顒印９粽呖梢岳眠@一點，而工控系統(tǒng)本身存在許多漏洞，而系統(tǒng)之間的相互連接可能會增加安全風險，使攻擊者有更多的路徑選擇。一旦攻擊者入侵了一個子系統(tǒng)，他們可以利用這個入口滲透到整個生產(chǎn)網(wǎng)絡，造成巨大的損失。

1.3 數(shù)據(jù)安全方面

1）工業(yè)數(shù)據(jù)由封閉轉(zhuǎn)向開放，數(shù)據(jù)安全風險加大。傳統(tǒng)的工業(yè)控制系統(tǒng)往往是封閉的，數(shù)據(jù)只在內(nèi)部流通，難以被攻擊者竊取或篡改?，F(xiàn)在，隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，越來越多的設備和系統(tǒng)開始與互聯(lián)網(wǎng)連接，工業(yè)數(shù)據(jù)變得更加開放，數(shù)據(jù)安全風險也因此加大。

2）數(shù)據(jù)流動方向和路徑復雜，數(shù)據(jù)安全防護難度增加。在工業(yè)控制系統(tǒng)中，數(shù)據(jù)的流動方向和路徑通常是多樣化和復雜的。這使得數(shù)據(jù)安全防護變得更加困難，攻擊者可以利用這些復雜路徑來繞過安全措施。

3）數(shù)據(jù)傳輸沒有加密保護措施，通常以明文的形式傳送，這很容易被攻擊者攔截、查看、竊取或篡改這些數(shù)據(jù)。這種情況嚴重威脅著數(shù)據(jù)的隱私和完整性，尤其對于包含敏感信息的數(shù)據(jù)來說，后果可能會非常嚴重。

1.4 平臺安全方面

1）責任主體難以明確。長鋼公司工業(yè)互聯(lián)網(wǎng)涉及多個不同的參與主體，包括設備制造商、系統(tǒng)集成商和運營商等。因此，在平臺安全方面，確定確切的責任主體變得復雜，這給安全管理和維護帶來了巨大挑戰(zhàn)。

2）安全威脅復雜多樣。工業(yè)互聯(lián)網(wǎng)面臨著各種各樣的安全威脅，如惡意軟件、網(wǎng)絡釣魚、拒絕服務攻擊等。這些威脅的類型和數(shù)量多種多樣，攻擊手段也變得越來越復雜，這給公司平臺安全帶來了巨大挑戰(zhàn)。

3）平臺缺乏安全框架。長鋼公司工業(yè)互聯(lián)網(wǎng)平臺的安全框架相對薄弱，缺乏完善的安全機制和措施。這導致平臺在應對各種安全威脅時缺乏足夠的防護能力。

2 工控信息網(wǎng)絡安全防護

2.1 安全軟件管理

1）在工業(yè)主機上，只允許運行那些經(jīng)過離線驗證和安全評估的防病毒軟件或白名單應用程序。這些軟件和應用還必須得到工業(yè)企業(yè)的授權才能運行。離線驗證確保軟件在與互聯(lián)網(wǎng)隔離的環(huán)境中驗證其完整性和安全性。同時，安全評估包括對軟件源代碼的審查、漏洞研究以及滲透測試等。這種措施確保了只有來自可靠和受信任來源的軟件才能在主機上運行。

2）為了工業(yè)控制系統(tǒng)和臨時接入設備的安全，必須實施防病毒和惡意軟件入侵管理機制。這些機制執(zhí)行病毒查殺等預防措施，確保系統(tǒng)的安全性。

2.2 配置和補丁管理

1）應確保工業(yè)控制網(wǎng)絡、工業(yè)主機和工業(yè)控制設備的安全配置得到妥善管理，并為工業(yè)控制系統(tǒng)建立配置清單，定期進行配置審計。

2）在實施重大配置變更前，應制定變更計劃并進行影響分析，確保變更前經(jīng)過嚴格的安全測試。

3）應時刻關注重大的工控安全漏洞及其補丁發(fā)布，及時采取補丁升級措施。在安裝補丁前，還要對補丁進行嚴格的安全評估和測試驗證。

2.3 邊界安全防護

1）應將工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境相互分離。

2）使用工業(yè)控制網(wǎng)絡邊界防護設備對工業(yè)控制網(wǎng)絡與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進行安全防護，確保沒有防護的工業(yè)控制網(wǎng)絡不與互聯(lián)網(wǎng)連接。

3）通過工業(yè)防火墻、網(wǎng)閘等防護設備，為工業(yè)控制網(wǎng)絡安全區(qū)域提供邏輯隔離安全防護。

2.4 物理環(huán)境安全防護

1）對于重要的工程師站、數(shù)據(jù)庫、服務器等核心工業(yè)控制軟硬件所在區(qū)域，應采取訪問控制、視頻監(jiān)控、人員值守等物理安全防護措施。

2）拆除或封閉工業(yè)主機上不必要的接口，如USB、光驅(qū)、無線等。如果確實需要使用這些接口，應通過主機外設安全管理技術手段實施嚴格的訪問控制。

2.5 身份認證管理

1）在工業(yè)主機的登錄、應用服務資源的訪問以及工業(yè)平臺的訪問等過程中，應實施身份認證管理。對于關鍵設備、系統(tǒng)和平臺的訪問，應采用多因素認證方式。

2）應合理地分類設置賬戶權限，按照最小特權原則來分配賬戶權限。

3）加強工業(yè)控制設備、SCADA 軟件、工業(yè)通信設備等的登錄賬戶及密碼的安全性，避免使用默認口令或弱口令，并定期更新口令。

4）應加大對身份認證證書信息的保護力度，禁止在不同系統(tǒng)和網(wǎng)絡環(huán)境下共享這些證書信息。

2.6 進程訪問管理

1）原則上應嚴格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通高風險通用網(wǎng)絡服務，如HTTP、FTP、Telnet 等。

2）如果確實需要進程訪問，應采用數(shù)據(jù)單向訪問控制等策略進行安全加固，控制訪問時限，并采用加標鎖定策略。

3）對于確實需要的進程維護，應采用虛擬專用網(wǎng)絡（VPN）等安全的進程接入方式進行。

4）應保留工業(yè)控制系統(tǒng)的相關訪問日志，并對操作過程進行安全審計，確保系統(tǒng)的安全和可追溯性。

2.7 數(shù)據(jù)安全管理

1）應對在靜態(tài)存儲和動態(tài)傳輸過程中的重要工業(yè)數(shù)據(jù)進行保護，并基于風險評估結果對數(shù)據(jù)信息進行分級分類管理，確保數(shù)據(jù)的安全性和完整性。

2）對測試數(shù)據(jù)進行保護。

3 結語

企業(yè)網(wǎng)絡安全防護需要一套綜合性的技術與管理措施，企業(yè)網(wǎng)絡安全是一項長期且緊迫的任務。通過采用多層次、綜合性的安全防護策略，結合新型的技術手段，企業(yè)可以更好地應對不斷演變的網(wǎng)絡威脅，確保敏感數(shù)據(jù)的保護和業(yè)務的持續(xù)穩(wěn)定運行。在未來的發(fā)展中，網(wǎng)絡安全將繼續(xù)成為企業(yè)不可忽視的核心議題。