智能制造工业控制系统网络安全防护

前言：想要写出一篇引人入胜的文章？我们特意为您整理了智能制造工业控制系统网络安全防护范文，希望能给你带来灵感和参考，敬请阅读。

摘要：随着两化融合的不断深入，传统网络安全威胁加速向工业控制系统渗透，智能制造领域工业控制系统“信息孤岛”逐步被打破，信息安全问题日益突出。面对频发的工业控制系统网络安全事件，亟须研究、制定的适合业务特点的网络安全防护措施，确保工业控制系统安全、稳定运行。本文结合智能制造领域工业控制系统网络安全现状，从威胁和脆弱性两个方面就工业控制系统面临的风险进行分析，同时结合智能制造领域工业控制系统网络特点和国家相关网络安全法律法规要求，提出一种基于纵深防御理念的工业控制系统安全防护措施，通过用户生产现场功能性验证测试，该措施能够帮助用户有效识别并解决工业控制系统中存在的主要安全风险，对同类型工业控制系统安全防护建设具有借鉴意义。

关键词：智能制造；工业控制系统；网络安全；纵深防御

近年来，智能制造生产网和企业网之间数据交互越来越频繁，传统的人工刻录、数据拷贝的交换方式严重制约着智能制造企业生产效率的提升，生产网与企业网互联互通需求迫切。但是，作为生产网重要组成部分的工业控制系统（以下简称“工控系统”），其安全防护严重不足，互联互通进一步增大系统暴露面，从而严重威胁工控系统安全稳定运行。同时，新一代信息技术的出现和大量应用，工控系统日趋数字化、网络化、智能化，工控生产网络边界日益模糊，网络安全问题凸显。

1工控系统网络安全现状

工控系统是智能制造企业关键基础设施的“神经中枢”，工控系统的安全稳定运行是企业生产业务正常开展的前提。近年来，随着工业互联的深入开展，针对工控系统的网络攻击呈逐年增加趋势，潜在攻击源不乏黑客组织、利益集团甚至是国家层面发起的网络战，攻击手段多样，病毒、木马等传统网络威胁持续向工控系统蔓延，勒索攻击等新型攻击模式不断涌现，安全事件频发，严重威胁工控系统安全稳定运行。通过对行业内工控系统现场调研和问卷访谈，工控系统网络安全防护方面普遍存在如下四方面问题：一是工控系统关键设备以国外品牌为主，核心技术受制于人。我国智能制造生产企业出于稳定性、精确度考虑，其生产过程使用的工控系统组态软件、控制器、检测装置等核心软硬件大部分依赖国外产品，核心技术大多掌握在欧美及日本等发达国家厂商手中，存在“卡脖子”、后门利用等安全隐患。二是生产企业对工控系统安全问题重视不够，安全意识薄弱。生产企业普遍存在重应用、轻安全的情况，对工控系统网络安全缺乏足够认识，信息安全管理制度不够完善，缺少工控系统网络安全专职人员，存在工控系统信息安全管理缺位、人员职责不明、网络安全培训教育不到位等安全问题，一旦发生网络安全事件，无法及时采取有效应对措施。三是工控系统缺乏有效安全防护措施，安全防护长效机制难落实。工控系统在设计、研发、集成阶段重点关注系统的可用性，未充分考虑安全问题，系统普遍存在弱口令、通信报文明文传输等安全隐患。现有存量工控系统，出于兼容性考虑，轻易不敢打补丁或安装防病毒软件，大部分工控系统处于“裸奔”状态。同时，工控系统网络缺少监测手段，无法为安全防护、应急响应、系统恢复等环节提供有效输入，很大程度上制约安全防护能力的提升。四是暴露在互联网上的工控设备与日俱增，安全隐患凸显。全球暴露在互联网上的工控系统及设备数量持续上升，工业信息安全风险点不断增加。国家工信安全中心监测发现，2017年以来全球多个国家的IP地址对我国工控设备及系统发起过网络探测与攻击，对我国工业信息安全造成极大威胁[1]。针对频发的工控安全事件，党中央、国务院高度重视，分别在法律法规、政策、工作要求等方面积极部署并出台了一系列安全政策。2016年10月17日工信部《工业控制系统信息安全防护指南》，要求工控系统开展信息安全防护工作[2]；2017年网信办了《关键信息基础设施安全保护条例（征求意见稿）》，要求开展关键信息基础设施安全保护工作，工控系统作为生产企业智能制造的重要组成部分，需从技术手段上加强安全防护；2017年6月1日，《网络安全法》正式实施，提出我国实行网络安全等级保护制度，进一步明确网络安全责任制；2019年全国信息安全标准化技术委员会《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）正式实施，提出对工控系统等5个扩展要求实行网络安全等级保护工作[3]。

2工控系统网络安全风险分析

工控系统网络安全风险是指由于工控系统自身存在脆弱性，潜在攻击者通过适当的攻击路径导致工控系统发生安全事件的可能性以及由此产生的后果和影响。伴随两化融合的实施，智能制造行业工控系统发生信息安全事件的可能性增加，一旦生产网络被攻陷，轻则影响工控系统稳定运行，重则会对国家利益、国计民生造成严重影响。下面从工控系统面对的威胁和自身脆弱性两个方面对工控系统网络安全风险进行分析。

2.1工控系统网络安全威胁

工控系统的安全威胁来自多个方面，主要包括外部非法目的的攻击，如恐怖组织、工业间谍、恶意入侵者等；以及来自工业控制系统内部正常运行管理过程中出现的威胁，如系统复杂性、内部人员失误和事故等。内部人员由于对目标系统具有更为深刻的了解和更多的接触机会，往往能够不受限制的访问系统进行有意或无意的恶意操作，使系统及数据遭到破坏或泄露[3]。

2.2工控系统脆弱性

（1）设备脆弱性工控系统控制器大部分采用非自主可控的信息技术和产品进行建设和运行，不排除信息技术及产品存在后门可能，存在生产信息泄露风险。另外，大部分控制器未关闭SSH、Telnet等不需要的通信协议，使得潜在攻击者能够利用控制器开放端口达到非法访问的目的。（2）通信脆弱性工控系统网络结构在设计之初仅考虑系统可用性，未进行分区分层设计，存在“一点突破，全网皆失”的风险；另外，工控系统设计之初仅考虑可用性，大部分通信协议采用明文传输，缺少必要的认证、授权、加密等安全机制，存在非法劫持、篡改的风险[4]。（3）终端脆弱性工控系统上位机大多采用windows操作系统且对稳定性要求非常高，自运行以来基本未进行过系统更新及补丁升级操作，存在大量系统漏洞，一旦被违规利用后果不堪设想；加上未对U盘等移动存储介质管控，很容易发生通过U盘摆渡数据造成工控终端感染病毒并肆意传播的安全事件。

3工控系统安全防护措施研究

针对工控系统安全防护，没有通用方案能够确保工控系统免于所有针对性的网络攻击，所以在工控安全防护措施研究上应结合工控系统实际特点有针对性加强安全防护建设，通过采用多层安全控制的纵深防御理念，保证威胁来临时对目标工控系统产生的影响和后果最小。针对智能制造领域工控系统纵深防御规划，建议从安全规划、物理环境、网络、终端、应用、设备六个方面综合考虑。纵深防御分层模型如图1所示。（1）安全规划建立有针对性的安全规划是做好工控安全防护的第一步。在工控安全防护建设过程中应事先定义安全防护策略及规范并严格执行，同时根据系统变更情况及时更新和调整。安全规划包含安全组织机构设立、安全防护策略、安全意识宣贯、制定应急处置计划等内容。（2）物理环境物理防护是工控系统安全稳定运行的第一道防线，生产企业应通过机房钥匙、门禁卡、生物指纹等措施限制内部员工、第三方人员访问控制室、重要控制设备、网络区域的范围。（3）网络同物理安全限制对工控系统的物理区域和资产的授权访问一样，网络安全限制对工控网络逻辑区域的访问。工控系统网络安全防护的思路是应用防火墙规则，设置访问控制列表以及实施入侵检测将网络划分成不同安全区域。通过严格控制和监视穿越安全区域的流量，及时发现异常行为并有效处置。（4）终端终端安全防护主要包括补丁更新、恶意代码防范、移除不再使用的应用程序或服务、通过技术或物理手段限制USB、网口等物理端口的使用，确保终端计算环境安全可靠。（5）应用应用安全防护的目的在于阻止用户未授权的应用程序交互，通过应用程序认证、授权和审计三种安全机制实现。其中认证用于校验应用程序用户身份，授权基于用户身份分配适当的权限，审计日志记录用户操作行为，便于事后追溯。另外，对于工控系统应用程序，需做好上线前检测、脆弱性检查及补丁验证更新工作。（6）设备控制器设备安全涉及与工控系统可用性、完整性和机密性（AIC）三元组[5]有关的安全防护措施，包括补丁更新、设备加固、物理和逻辑访问控制以及建立覆盖设备采购、实施、维护、配置和变更管理、设备安全处置等环节的全生命周期管理程序。智能制造领域工控系统多以离散型控制系统为主，网络架构参考普度模型，主要包括生产管理层、过程监控层、现场控制层和现场设备层。结合现场实际调研，参照纵深防御、“一个中心、三重防护”思想设计安全防护架构并对安全防护措施进行客户现场有效性验证，确保对现有控制系统运行环境影响最小，网络安全防护措施如图2所示。

3.1网络分区

针对工控生产网络，严格遵循网络分层、安全分区原则，将工控网络根据业务功能划分不同安全域，区域边界部署基于流量白名单的工业防火墙，通过对安全域间流量深度解析，实现细颗粒度的访问控制。工业防火墙基于自学习方式生成通信流量白名单基线，有效阻止白名单外的攻击、病毒、木马等入侵行为。同时通过隔离各安全域，抑制域内病毒、木马传播扩散，将安全影响降低到最小范围。结合实际客户现场网络环境，工业防火墙采用冗余配置，通过透明模式串行部署在过程监控层和生产管理层之间，有效杜绝因工业防火墙单点故障、软件宕机等造成数据通信中断、工控系统不可用等安全事件。

3.2安全监测

在各生产线接入交换机侧旁路部署工控安全监测审计探针，用于过程监控层和现场控制层以及生产管理层和过程监控层之间网络通信流量的监测和审计。监测与审计探针开启基线自学习功能，通过对工控网络通信协议深度解析，建立现场通信流量白名单基线，及时发现针对工控网络的异常访问、误操作、第三方设备非法接入等违规行为。探针采用旁路部署模式，被动监听网络流量，不影响工控系统正常运行。在安全管理中心部署工控安全监测审计系统，实时收集监测审计探针异常告警及安全审计日志，洞察工控网络异常通信行为。工控安全监测审计系统通过全流量的实时解析，自动绘制网络通信关系拓扑，可视化展现工控系统网络资产及通信行为，为工控系统安全事件事后审计、追溯分析提供有效数据支撑。

3.3终端防护

在工控网络安全管理中心部署一套工控主机防护系统和防病毒服务器，在各工控操作终端部署客户端，实现工控网络终端安全加固。工控终端运行软件环境相对稳定，通过部署基于进程白名单理念的终端安全防护系统阻止恶意代码执行，杜绝类似“震网”病毒、“永恒之蓝”等安全事件发生。通过安全策略的统一配置，有效消除工控系统终端带着漏洞运行、补丁更新不及时、USB外设端口随意使用等安全隐患。针对生产现场重要控制器设备，在控制器前侧串联部署安全防护终端装置，基于业务通信需要，配置最小访问控制授权，阻断针对PLC控制器的非法程序上传、下载、未授权访问等行为。

3.4集中管理

在安全管理中心部署一套工控运维堡垒机系统，针对工控系统安全运维提供全过程的安全审计，基于事前运维资源和运维用户授权规划、事中运维过程实时在线监控、事后运维记录安全审计确保工控系统自运维或委托第三方运维过程的安全、可控。在安全管理中心部署一套工控安全管理平台，用于安全设备的统一管理。通过部署工控安全管理平台，实现工控网络安全设备统一策略管理及分发；同时针对工控网络资产日志、异常告警等信息，传统的逐点关注、人工排查的方式一方面不利于安全问题的及时发现，另一方面分散的日志或告警信息的关联、分析对工控系统运维人员提出了更高的要求，需要从技术层面解决网络安全事件的识别、分析及追溯，本方案工控安全管理平台基于大数据处理技术及关联分析、行为分析引擎，实现告警信息的关联分析，实时感知厂级工控系统网络安全态势。

4结语

随着新一代信息技术（IT）与运营技术（OT）的加速融合，工控系统愈加开放互联，信息安全问题凸显，网络安全防护建设刻不容缓。为有效应对工控系统面临的各种安全威胁，智能制造领域生产企业须提高网络安全认识，从资产识别、监测感知、威胁防护、处置恢复等视角构建安全防护措施，持续提升工控系统安全防护能力。

参考文献：

[1]刘冬，程曦，杨帅锋，孙军.加强我国工业信息安全的思考[J].信息安全与通信保密，2019（8）.

[2]王惠莅，姚相振，任泽君.关键信息基础设施安全防护体系研究[J].保密科学技术，2019（7）.

[3]孙凯，李琳.《信息安全技术工业控制系统安全管理基本要求》标准解读[J].保密科学技术，2019，000（003）．

[4]屈婉莹，魏为民，朱苏榕.工业控制系统通信协议安全研究[C].2015年全国智能电网用户端能源管理学术年会论文集,2015.

[5]彭勇，江常青，谢丰，等.工业控制系统信息安全研究进展[J].清华大学学报，2012，052（010）.

[6]王正才，许道云，王晓峰.基于自动机并操作的多目标AC-BM算法[J].计算机科学，2013（6）.

作者：韩正 单位：中核核信信息技术（北京）有限公司