作者：北京和利時系統(tǒng)工程有限公司 劉盈，李宗杰，李根旺

摘要：隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展及工業(yè)大數(shù)據(jù)、大互聯(lián)時代的到來，工業(yè)控制系統(tǒng)的互聯(lián)互通已成為未來工控系統(tǒng)的發(fā)展趨勢。工業(yè)控制系統(tǒng)信息安全已成為今后工控系統(tǒng)設(shè)計中不可或缺的重要環(huán)節(jié)。本文的重點在于研究適用于工業(yè)控制系統(tǒng)的安全防護體系架構(gòu)，在傳統(tǒng)被動防護體系的基礎(chǔ)上結(jié)合縱深防護理念，提出了工業(yè)控制系統(tǒng)信息安全主動防護體系，將可信計算、數(shù)字證書體系、深度協(xié)議控制、虛擬化隔離等安全技術(shù)融入工業(yè)控制系統(tǒng)，并結(jié)合邊界防護、工業(yè)設(shè)備防護和核心控制器防護為工業(yè)控制系統(tǒng)運行提供安全保障。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；主動防護體系；可信計算

1　前言

在工業(yè)控制系統(tǒng)中，終端設(shè)備網(wǎng)絡(luò)化、智能化的趨勢越來越明顯。隨著控制系統(tǒng)日漸走向網(wǎng)絡(luò)化、集成化、分布化的發(fā)展趨勢，信息安全成為影響工控系統(tǒng)正常運行的重要問題。現(xiàn)有的工業(yè)控制系統(tǒng)防護主要通過防火墻、工業(yè)網(wǎng)閘等網(wǎng)絡(luò)防護設(shè)備構(gòu)建邊界防護和基于主機和操作系統(tǒng)的加固防護技術(shù)，此類防護手段主要作用于攻擊或威脅發(fā)生后，屬于被動防御。本文提出針對工業(yè)控制系統(tǒng)的信息安全功能和防護架構(gòu)將通過基于數(shù)字證書的身份認證、融合可信計算技術(shù)的工業(yè)控制器等一系列信息安全主動防護能力來實現(xiàn)工業(yè)信息安全的主動防御體系。

圖1 主動防護機制

2　典型工業(yè)信息安全防護機制

2.1　被動防護機制

傳統(tǒng)的信息安全防護機制通過對關(guān)鍵網(wǎng)絡(luò)節(jié)點和數(shù)據(jù)出入口采取必要的訪問控制和權(quán)限控制來達到信息安全防護的目的。傳統(tǒng)的被動式防護體系主要采用“封”、“堵”、“查”、“殺”的策略對保護系統(tǒng)環(huán)境進行安全過濾，主要依賴以下防護手段實現(xiàn)：

2.1.1　區(qū)域邊界隔離

（1）物理區(qū)域隔離

物理區(qū)域隔離，本質(zhì)上通過在內(nèi)網(wǎng)和外網(wǎng)之間建立對直接或間接連接的阻隔，從而實現(xiàn)對內(nèi)外網(wǎng)之間的物理隔絕的隔離技術(shù)。嚴格意義上來說，物理隔離的建立首先在兩個網(wǎng)絡(luò)之間的物理上是互不連接的，其次物理隔離需在鏈路層上切斷內(nèi)網(wǎng)外之間的數(shù)據(jù)鏈接，因此無論使用防火墻、路由器或其他交換設(shè)備連接的網(wǎng)絡(luò)均不屬于物理隔離。物理隔離目前常用工業(yè)網(wǎng)閘實現(xiàn)。

物理隔離對數(shù)據(jù)的傳輸方向要求較高，并且實施成本較大，但在安全性方面要強于邏輯隔離。

（2）邏輯區(qū)域隔離

邏輯區(qū)域隔離，被隔離的兩端仍然存在物理上數(shù)據(jù)通道連線，但通過技術(shù)手段保證被隔離的兩端沒有數(shù)據(jù)通道，即邏輯上隔離。主要通過軟件或硬件設(shè)備將兩個網(wǎng)絡(luò)進行虛擬分割，并保證網(wǎng)絡(luò)之間進行有條件的互訪。邏輯隔離通常采用VLAN和網(wǎng)絡(luò)防火墻等方式實現(xiàn)。

邏輯隔離具有部署簡便，操作性強，適用性廣等特點，但在安全程度上相較于物理隔離稍差。

2.1.2　邊界防護

通過邏輯或物理分區(qū)的方式將控制系統(tǒng)劃分為不同的區(qū)域，形成了多區(qū)域邊界的區(qū)域化結(jié)構(gòu)，在各分區(qū)的邊界采用邊界防護手段，能夠有效控制各區(qū)域出入口的數(shù)據(jù)和流量安全。

邊界防護是被動防御體系的核心所在，通常通過網(wǎng)閘設(shè)備和防火墻實現(xiàn)，以基礎(chǔ)架構(gòu)安全作為邊界防護的基礎(chǔ)，通過預(yù)置不同的安全策略和檢測特征來進行靜態(tài)防護，邊界防護技術(shù)針對絕大多數(shù)常見類型的威脅和攻擊具有很好的抵御效果，但對于未知威脅和APT攻擊卻很難發(fā)揮出決定性作用。

2.1.3　安全管理

安全管理主要包括漏洞掃描修復(fù)、安全審計記錄等手段對工業(yè)控制系統(tǒng)中存在的漏洞進行掃描和修復(fù)，防止存在的已知漏洞被惡意利用；審計系統(tǒng)則通過對發(fā)生的安全事件和非法數(shù)據(jù)流量進行審計記錄，對安全事件提供追蹤溯源能力。

2.1.4　主機防護

主機防護所針對的保護對象為系統(tǒng)內(nèi)的合法資產(chǎn)，通過對已有主機的操作系統(tǒng)進行系統(tǒng)加固，關(guān)閉無關(guān)端口和無關(guān)服務(wù)達到服務(wù)和端口最小化的目的，從而切斷可能存在的威脅傳輸介質(zhì)。

防病毒軟件同樣被應(yīng)用于對主機資產(chǎn)的防護，考慮到工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離和難以保證病毒庫實時更新等問題，防病毒軟件在工業(yè)控制系統(tǒng)的應(yīng)用主要采用白名單防護的形式。

圖2 傳統(tǒng)被動防護機制

2.2　縱深防護機制

縱深防護理念引入工業(yè)控制系統(tǒng)的信息安全解決方案是目前業(yè)內(nèi)廣泛接受的應(yīng)用解決方案之一，工業(yè)控制系統(tǒng)的“縱深防護”旨在外部網(wǎng)絡(luò)與工業(yè)核心網(wǎng)絡(luò)之間構(gòu)建多層次的防護層，由于工業(yè)控制系統(tǒng)的功能層級化結(jié)構(gòu)明顯，縱深防護理念在工業(yè)控制系統(tǒng)的適用度更加明顯。

工控系統(tǒng)的縱深防護策略大體可分為四大類：

（1）安全管理

安全管理通過建立完善的安全管理流程、操作指南、安全業(yè)務(wù)管理和應(yīng)急響應(yīng)機制來完善信息安全防護能力。

（2）物理防護

物理防護指對工業(yè)控制現(xiàn)場和設(shè)備的物理訪問進行限制和約束。包括門禁、身份卡、監(jiān)控設(shè)備等。

（3）網(wǎng)絡(luò)防護

網(wǎng)絡(luò)防護包含基于網(wǎng)絡(luò)分區(qū)的安全架構(gòu)，以及通過部署防火墻等邊界防護設(shè)備對網(wǎng)絡(luò)分區(qū)邊界節(jié)點的信息安全防護。

（4）主機防護

主機防護通過對主機操作系統(tǒng)的服務(wù)和配置加固、補丁管理、漏洞修復(fù)等完善操作系統(tǒng)的基本防護能力。此外，通過部署防病毒軟件對惡意代碼和惡意程序進行檢測和防護。

縱深防護機制在以上防護策略的基礎(chǔ)上，對不同層級采用不同針對性的安全措施，從而保護工業(yè)控制系統(tǒng)內(nèi)的資產(chǎn)和網(wǎng)絡(luò)安全。

3　工業(yè)控制系統(tǒng)主動防護機制

傳統(tǒng)的被動防護機制和縱深防護機制的融合對建立工業(yè)控制系統(tǒng)的信息安全防護體系起到了關(guān)鍵作用，融合后的工業(yè)信息安全防護體系主要仍然依靠固定的防護策略和靜態(tài)防護體系對威脅進行檢測和抵御，雖然一定程度上滿足了對外部網(wǎng)絡(luò)威脅的抵御需求，但針對未知威脅和來自于內(nèi)部的威脅卻難以發(fā)揮作用。在面對接口復(fù)雜、協(xié)議大量私有化的工業(yè)控制系統(tǒng)難免會捉襟見肘。

基于已有的工業(yè)信息安全防護體系，為解決信息安全防護在工控系統(tǒng)中存在的問題，進一步提出了針對工控系統(tǒng)的主動防護機制。主動防護機制基于可信計算技術(shù)、數(shù)字證書體系構(gòu)建能夠?qū)阂庑袨楹蛺阂馔{進行自診斷、自抵御的核心內(nèi)生安全體系。

3.1　控制層主動防護

多層級防護方面，在現(xiàn)有縱深防護的基礎(chǔ)上增加控制器核心安全防護層，通過提升控制系統(tǒng)核心控制器的安全抵御能力，將核心控制器作為安全的最后一道防線，采用可信計算和數(shù)字證書體系作為主動防護的基礎(chǔ)，進一步賦予工控系統(tǒng)控制層的核心防護能力。通過對可信計算平臺的引入，控制器將具備對未知威脅的主動發(fā)現(xiàn)和阻隔能力。

圖3 核心控制器可信計算平臺

3.2　網(wǎng)絡(luò)層主動防護

工業(yè)控制系統(tǒng)在系統(tǒng)網(wǎng)通信方向，通過對通信行為建模的方法，通過對正常工業(yè)通信行為進行機器學習，針對無法辨識出未知特征的攻擊或入侵行為進行檢測，實現(xiàn)對Profinet 、 Modbus-TCP、IEC-104、OPC-UA、DNP3.0等工業(yè)協(xié)議的訪問控制能力。

主動防御的工業(yè)協(xié)議訪問控制技術(shù)通過監(jiān)視并分析通信行為在入侵行為產(chǎn)生危害之前進行攔截，作為對基本訪問控制能力的強化補充

3.3　監(jiān)控層主動防護

主動防護機制引入數(shù)字證書的安全機制，解決設(shè)備固件更新階段的合法性和完整性度量，身份接入認證，保證工控設(shè)備在啟動與運行階段的可信性，從源頭建立安全可信的運行環(huán)境。

設(shè)備接入工業(yè)網(wǎng)絡(luò)之后，通過數(shù)字證書進行雙向認證，并提供CRL多種方式的證書有效性驗證，提供PKCS1/ PKCS7、attach/PKCS7、detach/XML等格式的數(shù)字簽名和數(shù)字簽名驗證功能。

U-key作為身份認證和加密傳輸?shù)年P(guān)鍵設(shè)備，作用于上層系統(tǒng)，基于802.1x認證過程防止未授權(quán)登陸以保證系統(tǒng)的安全接入。支持對稱和非對稱加解密算法。U-key內(nèi)存儲有用于身份認證的數(shù)字證書可被上位機用于完成身份認證的工作。

圖4 數(shù)字證書認證流程

4　信息安全主動防護體系應(yīng)用

工業(yè)信息安全主動防護體系，增加對控制層、網(wǎng)絡(luò)層、監(jiān)控層的主動防護技術(shù)的應(yīng)用，并結(jié)合被動防御機制核心的邊界防護以及縱深防護機制的獨立防護策略，構(gòu)成對工業(yè)控制系統(tǒng)新的安全防護體系。主動防護體系在抵御外部已知威脅的同時，進而能夠?qū)ξ粗{以及從內(nèi)部發(fā)起的威脅進行有效抵御，全面保護工業(yè)控制系統(tǒng)的穩(wěn)定運行。

通過在現(xiàn)有工業(yè)控制系統(tǒng)的拓撲基礎(chǔ)上，增加可離線運行的數(shù)字證書管理平臺、高度集成的安全管控平臺以及集成主動安全防護技術(shù)的核心安全控制器，構(gòu)筑能夠?qū)σ阎{、未知威脅、外部非法訪問、內(nèi)部非法接入等各類信息安全威脅的核心抵御能力

圖5 主動安全防護體系應(yīng)用拓撲

5　結(jié)語

隨著工業(yè)信息安全技術(shù)的不斷發(fā)展以及工業(yè)核心控制設(shè)備的不斷迭代，工業(yè)控制系統(tǒng)的信息安全防護體系會經(jīng)過不斷的演化和革新。在《中國制造2025》和工業(yè)互聯(lián)網(wǎng)大力發(fā)展的行業(yè)背景下，工業(yè)信息安全將會迎來快速發(fā)展的新時期。

工業(yè)控制系統(tǒng)封閉的網(wǎng)絡(luò)環(huán)境已經(jīng)被打開，工業(yè)信息安全防護的革新必須緊跟工業(yè)互聯(lián)網(wǎng)的發(fā)展腳步，構(gòu)建主動防御的工業(yè)信息安全防護，提升工業(yè)控制系統(tǒng)的核心安全能力刻不容緩。

（ 注： 本研究依托國家高技術(shù)研究發(fā)展計劃“863計劃”先進制造技術(shù)領(lǐng)域“可編程嵌入式電子裝備的安全技術(shù)”項目“可編程嵌入式電子設(shè)備的安全防護技術(shù)及開發(fā)工具”課題任務(wù)進行。）

作者簡介：

劉盈（1990-），男 ，內(nèi)蒙古人，工程師，碩士，現(xiàn)就職于北京和利時系統(tǒng)工程有限公司，主要研究方向是電氣工程。

李宗杰（1983-），男 ，浙江人，工程師，碩士，現(xiàn)就職于北京和利時系統(tǒng)工程有限公司，主要研究方向是計算機應(yīng)用。

李根旺（1985-），男，河北人，高級工程師，碩士，現(xiàn)就職于北京和利時系統(tǒng)工程有限公司，主要研究方向是檢測技術(shù)與自動化裝置。

參考文獻：

[1] 工業(yè)和信息化部. 工業(yè)控制系統(tǒng)信息安全防護指南[Z]. 2016, 10.

[2] 馮登國. 可信計算-理論與實踐[M]. 北京: 清華大學出版社, 2013, 5.