基于等保2.0工业控制系统网络安全技术防护方案的设计

2020-05-11马跃强

网络安全技术与应用 2020年5期

◆赵峰马跃强

◆赵峰马跃强

（北京立思辰信息安全集团公司北京 100192）

随着工业4.0、工业互联网、中国制造2025等再工业化革命战略的不断推进，原本封闭的工业控制系统变得越来越开放，随之面临了新的挑战，病毒、木马、勒索软件以及黑客、敌对势力对工业控制系统进行了攻击。本文通过对当前我国工业控制系统网络安全现状分析后，提出一种基于等级保护2.0标准的工业控制系统网络安全技术防护方案。该防护方案通过构造1个管理中心，安全通信网络、安全区域边界、安全计算环境3重防护手段，实现对工业控制系统网络安全的事前预防、事中响应、事后审计的可信、可控、可管的纵深防护设计。

等级保护2.0；工业控制系统；网络安全；防护方案

1 引言

随着德国工业4.0、美国工业互联网、我国“中国制造2025”等再工业化革命战略的不断推进，原本封闭的工业控制系统逐步被打破，变成越来越开放的系统[1]。与此同时，工业控制系统也面临了新的挑战，各种网络威胁，病毒、木马以及黑客、敌对势力随之而来，再加上工业控制系统本身存在一些脆弱性，这些脆弱性又被这些威胁利用就会导致安全事件的发生。针对安全事件，我国非常重视，分别从国家战略、法律法规、政策、标准制定等方面积极采取措施。

2 工业控制系统网络安全现状分析

2.1 认识误区

与外界隔离最安全。事实上维护用的移动设备或移动电脑会打破隔离，打开网络安全风险之门；

单纯防病毒就可以。事实上操作系统陈旧造成防病毒软件无法有效运行，甚至造成工业控制系统死机；病毒库没有办法按时更新，防病毒软件本身也有漏洞存在；

网络安全事件不会影响系统运行，事实上不仅影响运行，甚至后果严重；

安全防护相信系统供应商就可以。事实上原厂商对其系统漏洞认识不足，即使认识到，处理手段也有限，主动补救的不多；

安全防护可以一次性解决。事实上工业控制系统功能越来越复杂，外部环境经常变化，需要定期更新和维护，并形成安全评估工作机制；

单向通信100%安全。事实上单向通信连接方式不严密，其安全程度高低取决于单向通信的实现方式，即使可以提供很高的安全，仍然有可能受到攻击。

2.2 控制系统有漏洞

由于工业控制系统早期在设计时候，主要考虑系统的稳定性、实时性以及可靠性，并没有考虑安全问题。所以导致工业控制系统漏洞不断报出，据国家信息安全漏洞共享平台CNVD统计的工控漏洞截至2020年2月18号有2353个漏洞。其中西门子、施耐德、研华的产品漏洞最多，高中危漏洞占95%以上。

2.3 网络边界模糊、缺少控制措施

随着业务的不断发展，工业控制系统与管理网、互联网连接的需求，再加上工业控制系统运行维护多年，网络结构早已改变，结果导致工业控制系统网络边界模糊，网络边界缺少防护措施，非法访问，越权操作等行为屡有发生。同时，终端违规接入、非法外联经常发生，给生产带来安全隐患[2]。

2.4 缺少流量审计、异常流量不易发现

由于缺少网络异常流量分析系统，无法检测未知的威胁，存在新型恶意代码传播，病毒、蠕虫等恶意代码威胁将无法感知。不能及时了解网络状况（如违规操作、关键配置变更、网络风暴等），一旦发生问题不能及时确定问题所在，不能及时排查到故障点。

2.5 工业主机存在安全问题

为保证控制系统的运行稳定性，企业通常不会对工业主机操作系统进行补丁升级，也很少安装杀毒软件，即使安装了杀毒软件，病毒库的更新在工业控制环境下也难以实现[3]。

同时，在生产环境中存在随意使用U盘、移动硬盘、手机等移动存储介质现象，有可能将病毒、木马等威胁因素带入生产环境。加上防病毒软件的安装不全面，导致出现问题后无法及时准确定位产生问题的原因、范围及责任。

2.6 安全“运维”审计机制不到位

工业控制系统的日常运营和维护过程中，供货商除了采用现场维护的手段外，为了调试便利，还将工控设备默认的调试后门端口打开，这些端口也给恶意攻击提供了可乘之机。由于缺乏完善的运维审计机制，对“运维”人员的操作过程没有记录、审计，不能发现越权访问、异常操作等行为。一旦发生事故，需要大量时间确定问题，也没有追溯手段[4]。

3 基于等级保护2.0工业控制系统网络安全防护技术体系设计[5]

基于等级保护2.0的要求，构建集安全通信网络、安全区域边界、安全计算环境及安全管理中心为一体的1中心3防护的纵深防御体系，同时融合了P2DR模型和IATF技术框架模型理念，实现事前预防、事中响应、事后审计的可信、可控、可管的安全防御系统。

安全技术体系设计如下：

3.1 安全通信网络设计

（1）网络架构

将工业控制系统的各生产要素划分为不同的安全域，在安全域之间进行部署工业防火墙进行逻辑隔离。在MES层与企业资源管理层，部署“网闸”设备，实现对生产数据的单向、安全采集。

（2）通信传输

通信完整性和保密性主要由工业控制系统完成。在通信双方建立连接之前，工业控制系统与互联系统间及工业控制系统内部利用双方协商的会话协议进行会话初始化验证，并对通信过程中的敏感信息字段进行加密。

（3）可信验证

此项为可选项，系统自身配置可信计算板卡，信任机制，满足可信验证要求即可。

3.2 安全区域边界设计

（1）边界防护

在生产线车间、数控车间以及工业无线网络的出口部署工业防火墙；在过程监控层与生产管理层之间部署工业防火墙；在企业资源层与生产管理层之间部署网闸设备，解决不同安全域之间违规访问与逻辑隔离。在生产管理层部署网络准入设备，通过网络准入协议（如802.1X、ARP、SNMP、SSH等）与交换机进行联动，当有私自接入的违规设备进行管控，同时工业主机上安装网络准入Agent，对工业主机上存在的非法外联现象进行管控。

（2）访问控制

在工业防火墙中设置精简且必要的访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。访问控制规则对数据包的源地址、目的地址、工控协议、源端口、目的端口，请求服务进行检查，实现数据的安全传输。

（3）入侵防范

利用工业防火墙的机器自学习功能，对通信链路、工业协议、功能码、寄存器地址范围、值域、控制指令等进行深度建模、形成白名单基线模型。对非法通信链路、攻击入侵、违规操作等行为进行告警与阻断。

（4）安全审计

在生产管理层，部署“运维”堡垒机，针对“运维”人员在远程“运维”设备时，进行集中账号管理、集中登录认证、集中用户授权和集中操作审计。实现对“运维”人员的操作行为审计，违规操作、非法访问等行为的有效监督，为事后追溯提供依据。

同时，利用监测审计设备机器自学习功能进行学习、分析、建模、形成白名单基线，对异常通信行为、异常流量进行审计并告警。

图1 安全技术体系设计图

3.3 安全计算环境设计

（1）身份鉴别

本控制点，主要通过安全策略来实现。在工业主机上的操作系统、应用环境、数据库等设置好必要的登录认证机制，必要时采用双因子认证手段。

（2）访问控制

在操作员站、工程师站、实时服务器、OPC接口机等工业主机上通过设置访问控制策略实现本控制点的要求。如删除或重命名账户，对于无法重命名的账户或各类设备的内置三员账户等特殊账户，修改默认口令，修改后的口令满足等级保护复杂度要求。删除或停用多余的、过期的账户，避免共享账户的存在。关闭不使用的端口，如445、3389等高危端口。

（3）安全审计

通过部署在MES层的日志审计系统，对工控应用系统、操作系统、网络设备、安全设备等日志进行集中采集、分析、存储。对用户访问记录、系统运行日志、系统运行状态、网络存取日志等各类信息，经过标准化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理。实时动态了解当前整个系统的安全态势，获知异常安全事件和审计违规情况、分析追溯定位。

（4）恶意代码防范

通过对操作员站、工程师站、MES客户端、HMI、实时服务器、历史服务器等工业主机上安装工控安全卫士程序，对工业主机上的可执行程序、应用服务、端口等进行机器自学习、建模、分析，形成白名单安全基线模型。对病毒、木马、恶意代码入侵行为进行阻断。同时通过对外设的管控，实现非法外联、非法拷贝的管控，从而实现对工业主机对恶意代码防范的要求。

3.4 安全管理中心设计

通过在生产管理层部署工控安全管理平台，实现对安全设备统一管理与监控。从整体视角进行安全事件分析、安全攻击溯源、安全事件根因挖掘等，为工控系统网络当前的状态以及未来可能受到的攻击做出态势评估与预测，为专业人员提供可靠、有效的决策依据，最大限度上降低工控系统可能遭受的风险和损失，提升企业安全防护整体水平。