工业控制系统网络安全存在的问题及改进措施

2019-10-26温晓明

设备管理与维修 2019年15期

温晓明，贾斌

（山东钢铁集团日照有限公司，山东日照 276800）

0 引言

随着工业互联网的发展、钢铁行业信息化的推进，EMS（能源管理系统）和MES（生产过程执行系统）建设日益增多，这些子系统负责原料供应、焦化、烧结、除尘、炼铁、炼钢、连铸、热轧以及冷轧等多工序的控制任务，一旦受到恶性攻击或者病毒的袭击，将导致工业控制系统的控制组件和整个生产线停运，甚至造成伤亡等严重后果。工业控制网络安全十分重要，第一，它的保护攻击主题是特殊的，不同于传统的网络攻击，如网络欺诈和网络入侵，目的是赚钱和利润。从一般意义上说，工业入侵者不会是“黑客”，但可能是恐怖组织甚至敌对势力支持的组织；其次，攻击和破坏的后果严重。

在自动化发展的初期，工厂控制系统网络相对封闭，工业控制系统一度被认为是绝对独立的，不可能受到外部网络攻击的。但近年来，为了实现实时数据采集和生产控制，通过逻辑隔离，满足“两化融合”的需求和管理的便利性。工业互联网的兴起，远程运维需求迫切，通过互联网对工业控制系统的网络攻击也逐年增加，国内外生产企业已经加快了工业控制系统的安全控制措施的建设。

1 工业控制网络的安全需求

1.1 网络边界防护需求

生产网络内边界缺乏有效的防护措施，无法有效保护各业务系统的安全。

1.2 远程访问防护需求

生产控制网络存在远程维护通道，很多工业控制设备维护依赖提供商，由此也带来了入侵的途径，存在一定的安全隐患。

1.3 网络监测与审计需求

生产网络内缺少安全审计设备，无法对网络中的攻击行为、数据流量、重要操作等进行监测审计，一旦出现安全事故无法进行事后审计。

1.4 操作系统漏洞管理需求

生产网络中的工控机多数使用微软、Linux 操作系统，由于生产控制网络的封闭及控制系统对业务实时性要求较高，无法进行正常的系统漏洞升级操作，导致使用的微软操作系统存在大量安全漏洞。

1.5 恶意代码风险防范需求

生产系统中工业控制主机操作系统没有安装杀毒软件，或者安装杀毒软件，但限于工业网络状态，缺少恶意代码防护功能，长期没有代码更新，一旦受到恶意代码攻或感染，容易导致工业控制系统受到攻击，引发运行事件，甚至造成人员财产损失。

1.6 外设接口风险防护需求

生产系统内等工业控制主机可以通过移动介质传播，如U盘等，移动介质在管理网络和生产网络之间交叉使用，难免会感染病毒或恶意代码，进而导致上位机被攻击，引发安全风险。

1.7 应用软件风险需求

根据ICS-CERT（美国工业控制系统网络应急响应中心）和CNVD（国家信息安全漏洞共享平台）权威统计，目前常用的工业控制软件（如SCADA 等），均或多或少存在安全漏洞，限于工厂实际情况又难以及时更新补丁，漏洞一旦被利用将导致安全事故。其次，工业软件通常采用工业协议进行数据传输，网络上需要开放对应的端口，有的工业协议采用动态端口（如OPC），常规的IT 防火墙很难识别工业协议，难以保障其安全性。第三，工业软件的维护多依靠供应商，为了维护方便，基本采用默认配置和默认口令，存在一定的安全风险。

1.8 工控安全管理需求

安全管理措施也是必不可少的手段，安全技术措施和安全管理措施互为补充，建立有效的技术措施，建立健全安全管理制度，完善安全管理措施，共同构建全面、有效的信息安全保障体系。

2 工业控制安全防护措施

面对整个工业网内的各种工业控制网络设备、服务器、操作站以及安全设备，如何有效管理，掌握各个点的风险状况，掌握整个工业控制系统的安全状况，及时处理各种设备故障和威胁是工业安全建设的重要组成部分。

钢铁企业信息化系统一般分为4 层，L4 是面向整个企业内部管理与计划的ERP（企业资源计划）系统，L3 是面向生产与执行过程的MES 系统，L2 是面向生产过程与控制的PCS（过程控制）系统，L1 是生产设备控制系统。本次工业控制改进措施以评估为先导，实现3 层安全隔离，构建一套安全监测与审计，全覆盖终端安全加固。现有生产网络运行环境比较稳定，系统更新频率低，结合工业和信息化部发布的《工业安全系统信息安全保护指南》对工业控制主机安全软件选择和管理的要求，提出一种基于“白名单”机制的工业控制系统信息安全“白环境”解决措施。收集和分析工业控制网络数据与软件运行状态，并在工业控制系统的正常工作环境下建立安全状态基线和模型，然后建立一个工业安全的“白色环境”并确保：只有可信任的设备，才能接入工业控制网络系统；只有可信任的消息，才能在工业控制网络系统中传输；只有可信任的软件，才允许被执行。

3.1 改进原则

3.1.1 建立高等级的安全体系结构

建立高等级的安全体系机构，保障信息系统的安稳运行。任何信息系统都包括3 个层次：计算环境，区域边界和通信网络。计算环境的安全性是信息系统安全的核心，也是授权和访问控制的源泉，必须定期检查计算环境的安全性，并根据每次的检查结果进行改进；区域边界是计算环境的边界，控制和保护进出计算环境的信息，阻断非法的、伪装、未授权的连接通过；通信网络是计算环境之间的信息传递功能的一部分，保证网络环境，阻断网络攻击等。

3.1.2 加强源头控制，实现纵深防御

终端是所有不安全问题的根源。努力消除不安全的根本原因，重要信息不会泄漏出终端，病毒，木马无法入侵终端，内部恶意用户无法从网络中攻击信息系统安全，解决内部用户攻击问题。安全操作系统是终端安全的核心和基础。如果没有安全操作系统的支持，则无法保证终端安全，必须加强源头控制，实现纵深防御。

3.1.3 分区分域，适度防护

在信息安全防御体系建设过程中，需要考虑对内部的防护，突出适度防护的原则。一方面，要严格遵守各级保护要求，加强网络、终端、应用、数据库等方面的积极预防措施，确保信息系统的机密性，完整性和可用性；另外也要从综合成本的角度，提出针对区域业务特点的保护强度，在不影响信息系统整体安全性的前提下，安全防护系统根据区域保护强度设计和建造，有效控制成本。

3.2 改进措施

根据网络安全保护要求，安全域划分如图1 所示。工业防火墙部署在汇聚机房，工业防火墙双击热备，一旦一个防火墙有问题，不影响业务中断。

图1 生产网网络拓扑图

按照自动化生产工序，在不同安全级别网络（烧结、高炉、炼钢、热轧、冷轧以及炉卷）的边界处部署工业防火墙设备，工业防火墙支持双机热备，通过隔离不同网络、访问控制规则、对进出的数据包进行过滤等措施，保护子网不被非法攻击和访问。同时，通过防火墙的策略，实现不同网络之间数据的共享与互访设置访问控制策略，对内外数据进行有效防护。工业防火墙设备支持工业通信协议深度解析，支持“白名单”机制，仅允许合规数据在网络上传输，用于工业控制网络系统纵向层级之间的安全控制。

在工业控制保护区部署网络审计设备，审计网络中的行为。确保触发审计系统的事件存储在审计系统中，并根据存储的记录和操作员的权限执行查询，统计，管理和维护等操作。必要时，可以从记录中提取必要的数据。

做好生产控制区和办公区的边界防护，避免2 个网络间恶意攻击行为的串扰。实现对生产区内工控主机的安全防护，通过白名单机制构建安全基线，防止病毒木马、恶意软件对系统的破坏；可实现对生产区网络流量进行监测与审计，及时发现网络中是否存在违反安全策略的行为和被攻击的迹象，提高工控网络对安全威胁的反应能力和应对能力；可实现对生产区内工控主机、数据库服务器、历史数据库服务器、接口机等设备进行安全加固；可对生产区网络内入侵行为进行探测，第一时间内发现网络内入侵行为并及时可实现对生产控制系统内主机、服务器、网络设备、应用程序进行统一的安全管控，对运维和管理人员账号使用情况进行画面监视和记录，降低运维管理成本。

入侵检测系统可以检测生产控制区域网络中的入侵行为，并在第一时间检测到网络中的入侵行为并及时报警。通过手机和网络密钥集信息的分析，可以发现网络中是否存在违反安全策略和被攻击迹象的行为。

通过在生产控制区部署堡垒主机，实时监视整个计算机监控系统内主机、服务器、网络设备、应用程序进行安全管控，监控并记录操作和维护人员帐户的操作和维护。