工业控制系统网络攻击阻断安全防御方案设计

包 丛

（新疆油田公司数据公司，新疆 克拉玛依 834000）

0 引言

工业控制系统网络（以下简称“工控网络”）安全技术尚未发展成熟，传统网络技术在工控系统中难以直接应用，使得如今工控操作员站处于一种被动的安全防护模式［1］。控制系统网络基本向以太网结构发展，开放性增强给工控系统带来新的安全压力，传统的安全技术手段与安全防御方案已无法完全应用于工控网络，导致目前工控防护能力水平较为有限。

1 工业控制系统安全现状

我国的工业化与信息化现在正处在深度融合阶段，因而对工业控制网络安全策略的制定及安全技术的研发提出了更迫切的需求［2］。近年来，针对工业控制网络的攻击事件时有发生，国家高度重视工业控制网络的安全问题，《网络安全法》和等级保护2.0 的发布应用将网络安全提升到了国家安全高度。在良好的政策环境下，工控安全问题得到了进一步解决，但到目前为止还没有形成面向工业控制网络的特点与安全保护特殊要求的安全保护理论体系与分析方法［3］。

1.1 工控系统安全顶层设计现状

工控系统自身特点决定了传统安全体系在工控系统中无法直接使用，需要建立符合自身特点的安全体系。工控系统应以可用性为主，实时性与可靠性要求高，不能轻易升级，私有协议多，设备生命周期长达15～20 年，这些特殊性导致现有信息安全措施无法直接应用，需要建立符合工业控制特点的安全体系。

1.2 工控系统安全专业技术现状

工控系统安全防御要点主要体现在网络互通互联、网络边界隔离、网络逻辑划分、工业主机安全、身份认证管理、远程访问安全、工业敏感数据安全等方面。目前，工控系统安全技术防护建设水平各不相同、差别较大，国家重点直属企业的工控系统安全技术防护方面相对较好，整体来看，工控系统普遍存在安全防护不成体系和欠缺有效的安全防护技术措施等问题。

1.3 工控系统安全专业技术人员现状

目前，生产单位普遍缺少工控网络安全专职岗位或专业技术人员，同时部分技术人员没有经过系统的培训和学习，专业能力不足。一旦出现工控系统网络安全攻击事件，无法及时组织人员进行安全事件应急处置和恢复。另外，现有传统互联网技术（Internet Technology，IT）网络安全工作经验的技术人员在从事工控系统安全相关工作时，往往不能有效转变工作思路，导致部分工作落实不到位、安全应急处置不彻底的情况时有发生。

2 工控系统安全阻断工作原理

2.1 安全联动机制

工业控制网络要做到运行可控，当出现来自网络内外部的安全威胁时，网络的各个安全设备、防御机制之间应该做到整体协作，而不是彼此割裂、各自为战［4］。各自为战的防御机制由于彼此之间缺乏互动，无法实现整体上的统筹决策，在出现非法设备接入或网络攻击时，不能及时进行阻断与反制。网络的整体协同联动防御体现在阻断防御的及时性与准确性上，可以根据需要动态地对防御策略进行调整，消除或减轻网络异常或异常操作带来的影响。

2.2 安全技术应用

安全监测设备可以实现对资产信息、可疑流量、漏洞情况、风险预警、设备状态等信息进行采集与上报。防火墙可实现办公网与工控网络的强逻辑隔离，有效阻止网络攻击者入侵工控网络，同时保护内部行为不外出、内部资料不外泄，实现有效的访问控制。监测审计设备根据工控网络通迅协议定制符合工控业务特点的安全审计策略，能够有效识别工控网络中存在的非法行为、非法访问和非法操作并实时告警，通过旁路监听方式进行部署，保证在实现安全监测的同时，不影响现有生产的正常运行。工控系统安全态势感知平台作为安全设备联动处置的管理核心，将各数据采集系统中的数据信息以及外部情报信息进行集成，经过分析处理，展示资产信息、漏洞信息，实现风险预警、流量监测、应急处理以及整体态势感知。主机安全卫士能够有效对工控主机和服务器等进行安全加固。通过部署白环境运行策略，可以快速有效阻止震网病毒、BlackEnergy 等工控恶意代码在主机上的执行和漫游。

2.3 安全阻断应用技术原理

基于协同联动的安全阻断策略能够更好地满足针对网络非法行为阻断的准确性和及时性要求，联动技术之所以能够应用，得益于网络的特殊性与共通性。网络阻断的实现手段归根结底是对网络通讯所产生数据的深度分析与控制［5］。采用组合公钥（Combined Public Key，CPK）安全密钥标识认证、基于应用层特征匹配的深度包检测技术、基于IEEE 802.1X 的无线网络接入认证技术以及基于访问控制技术的阻断原理可实现对网络攻击异常行为的即时阻断。

3 工控系统安全阻断防御方案设计

3.1 非授权设备接入阻断

终端计算机接入工控网络时，采用基于CPK 认证技术的身份认证进行设备接入控制，将安全芯片集成到传感器/控制器，前端服务通过调用加密芯片中的安全标识密钥对访问请求进行私钥签名，连接至上位机，业务系统认证服务进行认证，统一认证授权系统对终端进行身份和权限查询，身份鉴别系统给出终端的可信身份，终端接入。认证不通过时，上位机阻止该终端的接入请求。

LoRa、NB-IoT（窄带物联网）、4G/5G、McWill（多载波无线信息本地环路）、卫星等无线方式接入，在无线接入区部署安全接入网关，客户端证书发送至安全网关进行身份识别，安全网关将访问身份鉴别系统以验证证书的有效性。身份鉴别系统认证通过后，移动客户端可建立端到端安全可靠的通道。认证不通过时，安全网关阻止该终端的接入请求。

WIFI（无线网）方式接入，采用802.1X 协议认证、静态IP/MAC 地址绑定以及身份鉴别与安全加密等多种技术手段，实现无线接入安全认证。准备接入交换机的网络终端需要具有基于802.1X 协议的可信身份标识，接入交换机等支持802.1X 协议认证的通讯设备时，通过身份认证模块启动身份验证过程，由身份验证模块将终端电子标识发送至身份认证服务器进行身份验证，身份认证服务器给出终端的可信身份，终端接入。认证不通过时，交换机阻止该终端的接入请求。

3.2 非法互联网访问阻断

在工控系统中，出于安全考虑，一般不允许用户访问互联网，以避免来自网络的恶意流量威胁系统安全，破坏网络边界完整性。可通过网络边界的防护系统和主机端安全卫士对工控用户访问互联网的非法行为实施阻断。边界安全设备和主机安全卫士通过基于人工智能的深度学习技术，结合人工审计处理，建立访问控制白环境，不在白名单中的流量将被拦截。边界防护系统通过管理边界防护设备，如防火墙、网闸等，建立数据安全交互机制，实现工业控制系统用户访问互联网阻断。工控系统内部装置、车间或作业区（大站）划分安全域，边界采取安全隔离措施。工控系统与办公网边界通过防火墙进行安全隔离，实现工控数据与办公网数据安全交互。在安全区域边界设置访问控制权限控制用户访问，通过对流经边界的流量进行深度包解析，判断流量安全状态，从而对进出安全区域边界的数据流量进行安全管控，只允许经过授权的访问正常通过，未经授权的非法访问将被拦截［6］。

3.3 非法入侵及传输阻断

工控网与业务网有信息交互的需求，信息交互伴随着安全问题和风险。例如，以震网病毒为代表的定向攻击对工控网的安全是一种非常严重的威胁，即使在物理隔离的情况下，其仍然可通过层层渗透的方法突破防线，如基于摆渡系统的病毒引入、基于0-day 漏洞的扫描和利用等。工控系统利用其常规的安全措施，很难满足其高安全性要求。为了保障两网交互的安全性，需要建立面向工控网与业务网的确定性网络节点模型，并以该网络节点模型为基础，建立面向角色与节点的访问控制模型，采用访问控制技术，改善工控网与业务网信息交互管理和策略上的脆弱性。在区域边界部署工业防火墙执行流量包检测，通过制定统一的包过滤策略，对通过工业系统区域边界的所有数据流量进行统一的安全检查。包过滤策略至少包括数据包的源地址、目的地址、传输层协议、服务端口等五元组基础信息。在网络层面通过关键节点部署的流量监测设备实时采集流量，利用机器学习等智能技术，建立工控安全流量审计模型，深入应用层协议解析，根据建立的白名单模型，对所有边界交互的数据包进行安全过滤和安全协议匹配，阻断不符合协议规则的异常报文［7］。该阻断策略通过安全隔离设备与策略管理机制联动，实现非法传输阻断和入侵阻断。

3.4 非授权操作行为阻断

工控现场情况复杂，往往存在来自不同对象的安全隐患，如人为的误操作或恶意操作、系统本身的安全缺陷、移动介质的非法接入等。针对不同的安全状况，应该建立相应的阻断机制，以保障系统的安全性。工业控制系统在现场层进行操作与指令下达时，必须具备严格的认证与授权机制，需要建立阻断机制，避免来自管理层的指令直接对现场进行指挥等情况，保证现场控制层对设备的唯一控制权。主机上应建立应用和进程白名单，只允许运行经过授权和安全评估的软件程序和接入外部设备，从而防范已知或未知病毒、木马、恶意程序运行及传播。

4 结语

当前网络安全形势复杂，工控网络安全亟待加强，本文提出的基于阻断理论的安全防御技术手段在工控生产中具有现实意义，相信随着工控网络安全不断发展，以安全阻断思想为导向的安全策略部署和防御体系建设将得到进一步完善，并更好地应用于工业控制系统安全防御体系中。