日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

★ 張志偉，豐存旭浙江中控技術(shù)股份有限公司

摘要：工業(yè)控制系統(tǒng)在發(fā)展之初是相對封閉和獨(dú)立的，傳統(tǒng)工業(yè)控制系統(tǒng)安全防護(hù)往往采用物理隔離等方式。隨著通信信息技術(shù)的發(fā)展和深入應(yīng)用，整個(gè)工業(yè)控制系統(tǒng)可與數(shù)據(jù)采集網(wǎng)、生產(chǎn)管理網(wǎng)和辦公網(wǎng)實(shí)現(xiàn)信息互聯(lián)和數(shù)據(jù)交互。網(wǎng)絡(luò)蠕蟲、永恒之藍(lán)、震網(wǎng)等病毒的攻擊，工控系統(tǒng)漏洞的利用，互聯(lián)網(wǎng)、可移動存儲介質(zhì)、設(shè)備未經(jīng)授權(quán)的操作及人為因素等使得網(wǎng)絡(luò)安全問題直接延伸到工業(yè)控制系統(tǒng)，導(dǎo)致工業(yè)控制系統(tǒng)固有漏洞和攻擊面不斷增加，易引發(fā)工業(yè)生產(chǎn)的緊急停車、設(shè)備故障，或影響工控系統(tǒng)組件的可靠性和靈敏度，由此產(chǎn)生的安全事件或事故也日趨增多，給傳統(tǒng)工業(yè)控制系統(tǒng)防護(hù)體系帶來嚴(yán)峻挑戰(zhàn)。本文針對工控網(wǎng)絡(luò)存在的信息安全風(fēng)險(xiǎn)進(jìn)行深入剖析，細(xì)致挖掘工控企業(yè)信息安全痛點(diǎn)，圍繞滿足政策合規(guī)和工控網(wǎng)絡(luò)安全能力提升需求開展安全設(shè)計(jì)，達(dá)到縱深防御效果，全生命周期提升工控網(wǎng)絡(luò)安全防護(hù)水平。

關(guān)鍵詞：工控安全；主機(jī)加固；信息安全

1 引言

隨著工控企業(yè)信息化的推進(jìn)，MES和EMS的建設(shè)越來越多，原本相互獨(dú)立的DCS、PLC、儀器儀表及SCADA等控制子系統(tǒng)需要通過網(wǎng)絡(luò)和信息系統(tǒng)連接在一起。這些子系統(tǒng)負(fù)責(zé)完成控制任務(wù)，一旦受到惡性攻擊和病毒感染，就會導(dǎo)致工業(yè)控制系統(tǒng)的控制組件和整個(gè)生產(chǎn)線被迫停止運(yùn)轉(zhuǎn)，甚至造成人員傷亡等嚴(yán)重后果。

2 工控網(wǎng)絡(luò)安全現(xiàn)狀

（1）網(wǎng)絡(luò)邊界安全控制能力較弱，入侵及威脅傳播防御能力差

盡管進(jìn)行了網(wǎng)絡(luò)分段隔離（有的企業(yè)甚至沒有做隔離），各層通常沒有防火墻或者其他安全訪問控制策略，數(shù)據(jù)交互隨意，導(dǎo)致攻擊進(jìn)入任意層次后都會比較容易直接威脅到現(xiàn)場設(shè)備層對設(shè)備的控制。同時(shí)，隨著跨裝置應(yīng)用的豐富，各裝置的網(wǎng)絡(luò)連接也缺乏足夠的邊界保護(hù)。

（2）計(jì)算機(jī)及工控系統(tǒng)嚴(yán)重漏洞檢測及處理不及時(shí)，系統(tǒng)安全風(fēng)險(xiǎn)大

工控企業(yè)PC終端、服務(wù)器、PLC控制器等普遍存在系統(tǒng)安全漏洞，包括能夠造成遠(yuǎn)程代碼執(zhí)行攻擊和越權(quán)執(zhí)行的嚴(yán)重威脅類漏洞。由于設(shè)備、協(xié)議多導(dǎo)致管理難度大，以及企業(yè)專業(yè)技能缺乏、安全認(rèn)識不足等現(xiàn)實(shí)問題，造成工業(yè)控制系統(tǒng)的補(bǔ)丁管理困難，難以及時(shí)處理威脅嚴(yán)重的漏洞。

（3）違規(guī)操作及越權(quán)行為監(jiān)控不力，主機(jī)安全不可控

缺乏對移動介質(zhì)的安全管控，操作人員直接通過主機(jī)USB接口、串口、光驅(qū)等外設(shè)進(jìn)行文件、程序等傳輸，是當(dāng)前病毒感染的主要途徑之一；企業(yè)由實(shí)施階段進(jìn)入生產(chǎn)運(yùn)維階段后，任意接入計(jì)劃外操作站、移動筆記本、網(wǎng)絡(luò)設(shè)備，甚至違規(guī)接入互聯(lián)網(wǎng)等行為都是重大安全隱患。

（4）基于工控協(xié)議的安全保護(hù)機(jī)制欠缺，缺乏針對性

專有的工業(yè)控制通信協(xié)議或規(guī)約在設(shè)計(jì)時(shí)通常更強(qiáng)調(diào)通信的實(shí)時(shí)性及可用性，對安全性普遍考慮不足，比如缺少足夠強(qiáng)度的認(rèn)證、加密、授權(quán)等。隨著Modbus、OPC、SiemensS7、IEC104等工業(yè)協(xié)議的廣泛認(rèn)知提升，攻擊者更容易掌握協(xié)議的格式和內(nèi)容，對PLC等系統(tǒng)的攻擊變得更加容易，因此針對工控協(xié)議的安全防范就更加重要。

（5）缺乏網(wǎng)絡(luò)攻擊行為動態(tài)監(jiān)測部署，主動防御能力欠缺

隨著針對工控系統(tǒng)的攻擊行為的增加，互聯(lián)網(wǎng)中攻擊方式多、病毒傳播快、變種快等特征也很快被應(yīng)用到工業(yè)領(lǐng)域。傳統(tǒng)防御以不斷豐富病毒知識和攻擊特征來預(yù)防非法網(wǎng)絡(luò)行為，缺乏主動學(xué)習(xí)能力，因此如何動態(tài)監(jiān)測攻擊行為并進(jìn)行預(yù)測性主動防御將是未來工控安全建設(shè)的關(guān)鍵技術(shù)。

（6）重要操作站和工程師站數(shù)據(jù)備份恢復(fù)措施缺失

工控現(xiàn)場重要的組態(tài)數(shù)據(jù)會通過移動存儲介質(zhì)進(jìn)行離線備份，通常備份周期很長，難以做到定期自動備份。當(dāng)前勒索病毒頻發(fā)，現(xiàn)有備份方案面對勒索病毒等嚴(yán)重病毒危害不足以有效應(yīng)對。

3 工控網(wǎng)絡(luò)安全設(shè)計(jì)

以“縱深防御”為指導(dǎo)思想，遵照網(wǎng)絡(luò)安全等級保護(hù)2.0相關(guān)標(biāo)準(zhǔn)，在工控系統(tǒng)安全需求的基礎(chǔ)上，建立預(yù)警、防護(hù)、檢測、響應(yīng)自適應(yīng)閉環(huán)的安全防護(hù)體系，同時(shí)為工控系統(tǒng)提供可定制的安全服務(wù)，全面感知工控系統(tǒng)遇到或可能遇到的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提升系統(tǒng)的整體安全防御能力，構(gòu)建單位可信、可控、可管的安全防護(hù)體系。建設(shè)工控安全技術(shù)體系，體現(xiàn)“一個(gè)中心，三重防護(hù)”。一個(gè)中心是指安全管理中心，三重防護(hù)是指通信網(wǎng)絡(luò)、區(qū)域邊界和計(jì)算環(huán)境的防護(hù)。

3.1 工業(yè)網(wǎng)絡(luò)邊界防護(hù)

在控制器與各計(jì)算機(jī)系統(tǒng)之間部署工業(yè)防火墻。一方面通過訪問控制策略限定指定的計(jì)算機(jī)才能訪問控制器，管控網(wǎng)絡(luò)通信對象，降低計(jì)劃外設(shè)備非法訪問風(fēng)險(xiǎn)；另一方面，通過OPC、Modbus/TCP、Modbus/RTU、Siemenss7、IEC 104等多種工業(yè)協(xié)議深度解析支持，實(shí)現(xiàn)指令級別的過濾防護(hù)，避免來源于HMI等計(jì)算機(jī)的非法控制命令下達(dá)。

工控網(wǎng)絡(luò)不同裝置之間部署具有工業(yè)協(xié)議深度解析功能的工控防火墻，實(shí)現(xiàn)針對工控網(wǎng)絡(luò)及工業(yè)協(xié)議的邏輯隔離、報(bào)文過濾、訪問控制等功能。通過加裝工業(yè)防火墻，并配置防火墻安全規(guī)則（包過濾、規(guī)則學(xué)習(xí)、攻擊防護(hù)、IP/MAC等）可以有效實(shí)現(xiàn)對工業(yè)控制系統(tǒng)邊界及工業(yè)控制系統(tǒng)內(nèi)部不同控制區(qū)域之間的邊界防護(hù)。

3.2 工業(yè)主機(jī)安全

工控網(wǎng)絡(luò)操作站、工程師站等主機(jī)采用“白+黑”防護(hù)機(jī)制為目標(biāo)主機(jī)提供多層次安全保護(hù)。根據(jù)白名單列表對可執(zhí)行文件的執(zhí)行進(jìn)行監(jiān)控，白名單內(nèi)的可執(zhí)行文件允許執(zhí)行，對白名單外的可執(zhí)行文件阻止執(zhí)行，有效阻止病毒、木馬及0-day漏洞的感染和被利用，保障工控主機(jī)安全。同時(shí)該機(jī)制具備強(qiáng)大黑名單功能，可對系統(tǒng)文件進(jìn)行深度掃描，識別并查殺惡意代碼。主機(jī)安全衛(wèi)士具有網(wǎng)絡(luò)防護(hù)功能，僅允許白名單內(nèi)的程序和端口進(jìn)行網(wǎng)絡(luò)訪問；支持對重要文件的保護(hù)，僅允許特定的程序訪問。主機(jī)安全衛(wèi)士軟件滿足符合性、連續(xù)性和可靠性的設(shè)計(jì)原則，內(nèi)存占用和CPU使用率低，具備強(qiáng)大的自身安全性和易管理性。

3.3 工業(yè)網(wǎng)絡(luò)監(jiān)測審計(jì)

工控網(wǎng)絡(luò)部署入侵檢測系統(tǒng)實(shí)現(xiàn)攻擊行為檢測。系統(tǒng)通過對工控網(wǎng)絡(luò)流量的采集、分析和監(jiān)測，進(jìn)行特征提取并與規(guī)則庫進(jìn)行匹配，快速有效識別出工業(yè)控制網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)異常行為和網(wǎng)絡(luò)攻擊行為，并進(jìn)行實(shí)時(shí)告警，同時(shí)詳實(shí)記錄一切網(wǎng)絡(luò)通信行為，包括指令級的工業(yè)控制協(xié)議通信記錄，為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅(jiān)實(shí)的基礎(chǔ)。

（1）入侵檢測系統(tǒng)能夠監(jiān)視整個(gè)網(wǎng)絡(luò)、子網(wǎng)或者某一特定協(xié)議、地址及端口的報(bào)文流量和字節(jié)流量，進(jìn)行實(shí)時(shí)統(tǒng)計(jì)和展示，還可通過對網(wǎng)絡(luò)流量數(shù)據(jù)的分析，發(fā)現(xiàn)網(wǎng)絡(luò)異常行為或攻擊行為。

（2）入侵檢測系統(tǒng)內(nèi)置大量關(guān)聯(lián)分析場景，如認(rèn)證登錄、授權(quán)行為、違規(guī)行為、系統(tǒng)變更、攻擊入侵、敏感操作和設(shè)備故障等，通過事件關(guān)聯(lián)分析引擎，可從低風(fēng)險(xiǎn)的事件中實(shí)時(shí)發(fā)現(xiàn)高風(fēng)險(xiǎn)的網(wǎng)絡(luò)攻擊和違規(guī)行為。

（3）采用機(jī)器學(xué)習(xí)算法學(xué)習(xí)特定工控系統(tǒng)通信行為，形成可信網(wǎng)絡(luò)行為規(guī)則。

3.4 工業(yè)安全管理

在工廠生產(chǎn)網(wǎng)核心交換機(jī)上，建立單獨(dú)的工控安全運(yùn)維管理區(qū)，實(shí)現(xiàn)對工廠的工控網(wǎng)絡(luò)安全管理中心功能。安全管理中心設(shè)計(jì)策略如下：

（1）安全管理平臺，對工業(yè)環(huán)境中的主機(jī)進(jìn)行安全狀態(tài)監(jiān)測和工業(yè)主機(jī)防護(hù)系統(tǒng)的集中管理和監(jiān)控；

（2）安全管理平臺，對工控網(wǎng)絡(luò)監(jiān)測狀態(tài)、工業(yè)主機(jī)安全狀態(tài)、工控網(wǎng)絡(luò)安全事件等安全信息進(jìn)行集中收集和處理，對工控網(wǎng)絡(luò)安全態(tài)勢進(jìn)行分析、展示和報(bào)警；

（3）安全管理平臺，對工控環(huán)境中的工業(yè)防火墻和主機(jī)安全防護(hù)系統(tǒng)進(jìn)行集中管理，并對防火墻和主機(jī)安全防護(hù)系統(tǒng)日志進(jìn)行統(tǒng)一采集和告警分析；

（4）工業(yè)日志審計(jì)系統(tǒng)，對工控系統(tǒng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備及工業(yè)主機(jī)日志信息進(jìn)行集中收集和審計(jì)分析。

3.5 工業(yè)網(wǎng)絡(luò)設(shè)備安全設(shè)計(jì)

針對工控企業(yè)工業(yè)網(wǎng)內(nèi)大量的工業(yè)交換機(jī)、路由器、防火墻等網(wǎng)絡(luò)和安全設(shè)備進(jìn)行安全加固，加固內(nèi)容至少應(yīng)包括：

（1）加密保存系統(tǒng)賬戶口令；

（2）采用SSH進(jìn)行遠(yuǎn)程管理；

（3）限制遠(yuǎn)程管理地址；

（4）啟用賬戶口令復(fù)雜度策略；

（5）啟用賬戶登錄失敗處理策略；

（6）修改默認(rèn)賬戶，刪除多余賬戶；

（7）啟用日志審計(jì)，并將日志集中上傳至日志服務(wù)器；

（8）對交換機(jī)和路由器進(jìn)行基線加固配置，關(guān)閉不必要的服務(wù)和端口，手動關(guān)閉交換機(jī)、路由器、防火墻等設(shè)備空閑端口；

（9）在交換機(jī)上設(shè)置MAC地址與端口綁定和MAC地址與IP地址綁定功能。

3.6 工業(yè)應(yīng)用系統(tǒng)安全設(shè)計(jì)

對工控企業(yè)工業(yè)網(wǎng)內(nèi)的DCS、PLC、SCADA等工業(yè)控制軟件和業(yè)務(wù)數(shù)據(jù)從軟件屬性的合法性、文件數(shù)據(jù)的完整性、保密性、身份鑒別、口令、惡意輸入、補(bǔ)丁更新、信息真實(shí)性、拒絕服務(wù)、中間人攻擊、重放攻擊、信息嗅探、內(nèi)存漏洞等方面進(jìn)行梳理防護(hù)，實(shí)現(xiàn)DCS、SIS、PLC等工控業(yè)務(wù)安全，保障生產(chǎn)持續(xù)穩(wěn)定進(jìn)行。業(yè)務(wù)安全設(shè)計(jì)策略如下：

（1）根據(jù)密碼管理策略設(shè)置業(yè)務(wù)應(yīng)用系統(tǒng)用戶密碼，密碼長度和組成滿足口令復(fù)雜度要求，并定期更換；

（2）對工控系統(tǒng)配置文件中涉及到的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等的用戶口令應(yīng)采用MD5等單向加密方式進(jìn)行加密處理，禁止將明文口令填寫在配置文件中；

（3）刪除臨時(shí)賬戶和測試賬戶，重命名默認(rèn)賬戶，修改其默認(rèn)口令，限制其訪問權(quán)限，禁止匿名用戶登錄；

（4）通過工業(yè)安全監(jiān)測系統(tǒng)對工業(yè)用戶操作行為進(jìn)行安全審計(jì)；

（5）對應(yīng)用系統(tǒng)審計(jì)日志進(jìn)行集中保存和分析，保存期限至少6個(gè)月；

（6）對通過人機(jī)接口和程序接口輸入的數(shù)據(jù)進(jìn)行有效性檢查。

3.7 備份恢復(fù)系統(tǒng)設(shè)計(jì)

部署數(shù)據(jù)備份恢復(fù)系統(tǒng)，針對重要工程師站和歷史趨勢服務(wù)器進(jìn)行定期的自動化數(shù)據(jù)備份。當(dāng)現(xiàn)場重要終端遭受病毒攻擊或硬件故障時(shí)，可以通過備份恢復(fù)服務(wù)器進(jìn)行數(shù)據(jù)恢復(fù)。

4 工控網(wǎng)絡(luò)安全建設(shè)收益

本文所述針對工控企業(yè)常用網(wǎng)絡(luò)架構(gòu)，以分層分區(qū)為原則進(jìn)行工控安全設(shè)計(jì)，以主動防范、及時(shí)發(fā)現(xiàn)、快速處理為目標(biāo)來提升工控安全防御能力，主要達(dá)到了以下效果：

（1）各層次、各區(qū)域之間有效隔離防護(hù)：通過防火墻限定通信對象和內(nèi)容，阻斷非法入侵和危險(xiǎn)傳播。其中工業(yè)防火墻還可以進(jìn)行基于協(xié)議解析的控制命令過濾，重點(diǎn)保護(hù)PLC控制器安全，保證生產(chǎn)正常進(jìn)行。

（2）工控入侵檢測系統(tǒng)：動態(tài)監(jiān)測網(wǎng)絡(luò)信息流，及時(shí)發(fā)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)木馬病毒入侵行為、針對工控設(shè)備的攻擊行為、未知設(shè)備接入和工控網(wǎng)絡(luò)流異常變化趨勢等，報(bào)警聯(lián)調(diào)防護(hù)設(shè)備。

（3）違規(guī)操作監(jiān)測和預(yù)防：實(shí)時(shí)監(jiān)控外設(shè)使用情況和運(yùn)行進(jìn)程，設(shè)置管理策略，預(yù)防設(shè)備違規(guī)接入和計(jì)劃外軟件安裝行為，杜絕內(nèi)部威脅傳播。

5 結(jié)束語

綜上所述，在工控現(xiàn)場基于縱深防御工控網(wǎng)絡(luò)安全架構(gòu)開展網(wǎng)絡(luò)安全建設(shè)，在滿足政策法規(guī)的同時(shí)提升工控網(wǎng)絡(luò)的安全防護(hù)能力和水平，確保工控網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，為現(xiàn)場裝置安穩(wěn)長滿運(yùn)行保駕護(hù)航。

作者簡介

張志偉（1987-），男，河南林州人，中級工程師，現(xiàn)就職于浙江中控技術(shù)股份有限公司，主要研究方向?yàn)楣た匕踩?/p>

豐存旭（1984-），男，甘肅慶陽人，中級工程師，現(xiàn)就職于浙江中控技術(shù)股份有限公司，主要研究方向?yàn)楣た匕踩?/p>

參考文獻(xiàn)：

[1] 李強(qiáng), 田慧蓉, 杜霖, 劉曉曼. 工業(yè)互聯(lián)網(wǎng)安全發(fā)展策略研究[J]. 世界電信, 2016, (4) : 16 - 19.

[2] 張偉, 于目奎, 羅顯科. 鋼鐵企業(yè)工控安全研究與設(shè)計(jì)[J]. 工業(yè)加熱, 2020, (4) : 48 - 52.

[3] 陸贊. 基于工業(yè)控制系統(tǒng)的安全體系建設(shè)研究[J]. 中國管理信息化, 2016, 19 (13) : 117 - 119.

[4] 孫易安, 井柯, 汪義舟. 工業(yè)控制系統(tǒng)安全網(wǎng)絡(luò)防護(hù)研究[J]. 信息安全研究, 2017, 3 (2) : 171 - 176.

《自動化博覽》2023年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊（第九輯）》