构建应急体系护航工业运行安全

叶晓虎

绿盟科技集团股份有限公司

近年来，工业邻域发生了一系列重大的信息安全事件。工业网络安全应急响应的建设得到高度重视，并且为保障我国经济社会稳定、人民群众安居乐业发挥重要作用。本文从工业互联网的安全情况切入，说明了我国工业互联网安全面临严重威胁的状况，并对工业互联网的安全问题做了总结。针对安全问题提出了工业网络安全应急响应体系架构，对工业网络安全应急与IT 网络安全应急的区别做了阐述。最后对未来应急响应技术发展趋势做了分析。

(应急响应体系；工业互联网；工控安全；信息安全)

1 工业互联网安全现状

工业控制系统[1]是自动化工业生产过程中的设备、系统和网络的总称。包括集散控制系统（DCS）、数据监控与采集系统（SCADA）、安全主控制系统（SIS）、可编逻辑控制器（PLC）、工业网络设备及相关软件系统等。随着工业4.0、信息物理融合系统等概念和技术的兴起，工业控制系统被广泛应用于电力、石化、交通等行业，并朝着数字化、网络化、智能化的方向发展。随着“中国制造2025”战略的提出，传统物理隔离工控网络融合了IT 网络领域的操作系统、通信协议等技术，导致工控网络面临巨大的安全威胁。

近年来，工业互联网邻域发生了许多重大安全事件，2011 年，大庆石化炼油厂控制系统感染Conficker 病毒，使得通讯出现不同程度的中断；2015年，乌克兰的电力工业遭受到BlackEnergy恶意软件的攻击，导致伊万诺—弗兰科夫斯克地区大面积停电；2018 年，某石油公司采油厂感染一款名为Lucky 的勒索病毒，业务系统受到感染，生产受到影响。2021 年2 月8 日，佛罗里达州奥尔德斯马的一家水处理厂被黑客入侵，碱液量增加到危险水平。2021 年5 月，美国最大的燃油管道运营商Colonial Pipeline 因受到勒索软件攻击被迫关闭。中国工业互联网的安全威胁更为严重，因此，寻求解决这些安全问题的方法至关重要。

因此，面对如此严重的安全威胁形势，工业信息安全应急响应能力建设刻不容缓。应急响应能力建设前，需要先明确工业互联网所面临的安全问题，再谈解决思路。

2 工业互联网安全问题

为了明白工业互联网中的安全问题，首先要深刻理解当前传统互联网的安全缺陷和弱点。这使我们能够在工业互联网安全防护中纠正众所周知的安全缺陷。但是，并非所有现有的网络安全措施都延续到工业领域。这主要是由于使用和部署的差异，以及消费者和工业邻域面临的不同安全威胁。

工业互联网发展带来的安全问题主要表现在三个方面：一是业务层面，安全策略缺乏与业务结合导致安全防护不能起到足够的防护作用，APT 等攻击行为容易突破安全防线。安全处置过程缺乏与业务的关联，在一些强业务相关环境中存在业务中断的风险。二是网络层面，随着融合网络的发展，在大量业务联通后，导致网络边界模糊，通信流量的复杂导致了安全隐患的加剧。网络安全的分析中缺乏对于不同工业系统尤其是运行中系统的影响性分析。三是运行层面，运维过程中缺乏可以适配于工业应用属性的安全设备，无法做到安全运维、网络运维和安全相关性的分析和处理。应急响应能力建设不足，导致问题提出现后无法第一时间进行有效处置。基于业务运行属性的安全管理依然缺乏，设备管理不等于业务运行安全管理，需要关注业务运行中的安全。

3 工业网络安全应急响应体系

保障工业网络安全的重要性是不言而喻的，当今社会的信息网络安全已是影响国家安全的一个高权重因素。虽然保护网络安全的技术迅速发展，但实践证明，现实中再昂贵的安全保护也无法发现和抵御所有的威胁。因此，完善的网络安全体系要求在保护体系之外必须建立应急响应体系。将工业控制系统直接暴露在互联网上存在较大的安全隐患。然而由于业务需求，仍有很多此类设备和系统是直接暴露在互联网上。当工业系统接入互联网后，建立工业网络安全应急响应体系也就尤为必要了。

在介绍应急响应体系前，首先，我们需明确工业网络安全应急与IT 网络安全应急的区别。两者的主要区别，见下表。

因此，对于工业系统的安全风险评估就需要考虑更多因素，除了IT 网络的风险外，还包括人员因素，人员的安全意识与安全能力；管理因素，涵盖人员管理、生产管理、数据管理、运维管理等；供应链因素，元件/设备引入安全风险；边界因素，不同区域的风险管理；工艺因素，对工艺的可靠性要求；环境因素，设备/系统针对不同环境的适应能力；以及设备老化、异常运行等等因素。

工业网络安全领域的应急响应是指在工业场景下突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程。

工业网络应急响应的活动应该主要包括两个方面：

（1）未雨绸缪，即在事件发生前先做好准备，比如风险评估、制定安全计划、安全意识的培训，以发布安全通告的方式进行预警，以及各种防范措施；

（2）亡羊补牢，即在事件发生后采取的措施，其目的在于把事件造成的损失降到最低。这些行动措施可能来自人，也可能来自系统，比如事件发生后，系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。

以上两个方面的工作是相互补充的。首先，事前的计划和准备为事件发生后的响应动作提供了指导框架，否则，响应动作将陷入混乱，可能造成比事件本身更大的损失；其次，事后的响应可能发现事前计划的不足，从而吸取教训，进一步完善安全计划。因此，这两个方面应该形成一种正反馈的机制，逐步强化组织的安全防范体系。

工业网络安全应急响应体系的管理是一个周而复始、持续改进的过程，大致包含以下三个阶段。

（1）工业网络安全应急响应需求分析和应急响应策略的确定。

（2）编制工业网络安全应急响应计划文档。

（3）应急响应计划的测试、培训、演练和维护。

从管理角度看，工业网络安全应急响应的管理可分为事件报告、事件评估、应急启动、应急处置、后期处置，如图1 所示。

下面我们以勒索病毒攻击工业企业为例，来说明工业网络安全应急响应体系的运作流程。勒索攻击防护应急响应方案是在分析攻击者实现数据加密勒索的网络攻击渗透路径的基础上，针对常用的钓鱼邮件攻击、远程访问弱口令、RDP 漏洞利用、系统漏洞利用等攻击手段，通过构建评估、防护和响应三大防护体系有效应对网络攻击渗透。总体设计如图2 所示：

图1 安全应急响应管理流程图

图2 勒索攻击防护体系总体设计

在工作中，当发生如：主机防病毒软件告警通知、IDS 告警主机存在异常网络行为、主机异常重启或蓝屏等安全事件，并已经或很可能造成严重影响时，启动应急响应预案。

首先，进入应急启动阶段，应急工作组接公司接口部门安全事件申告，立即对事件进行初步评估；初步评估完成，第一时间上报应急领导小组；应急领导小组通知应急处理组第一时间隔离被感染主机，并通知应急处理组人员到达现场进行事件处理。安全运维负责人根据安全运维人员、网络管理员、业务系统管理员汇报的情况，向应急现场负责人汇报情况，双方迅速对本事件进行安全事件的影响范围与影响程度确定。

然后，进入应急处理阶段：

（1）紧急操作。检查客户端防病毒软件监控日志，确定恶意代码源头，定位到具体设备IP。必要情况下切换备机，断网隔离。通过在业务防火墙或网络设备设置访问控制策略，限制外部的访问。

（2）事件处理。启动备用服务器并进行安全加固，确保其不会被勒索软件感染。备份系统以供主机应急过程中产生的意外回退。在条件允许下在上，确定问题主机勒索软件特征。重新安装操作系统并进行安全加固。安装病毒查杀软件，对系统进行全面杀毒，开启杀毒软件实时安全防护功能。排查应用代码和系统漏洞，及时修补。

（3）事件恢复。在确认勒索软件被彻底根除之后，恢复系统运行，如果启动了备用服务器，应将服务器切换到原来的服务器。

最后，是应急结束阶段，根据应急处理后系统运行状态正常，主机得到安全控制，领导小组下达应急工作结束指令。应急工作组传递应急工作结束指令，并向相关单位通报本次网络攻击与信息安全事件情况。对事件的整个过程进行完整的记录和分析，如有必要可优化、调整应急预案。事件处置完成后，将事件处理分析报告上报给相关主管部门。

4 工业网络安全应急发展趋势

不论是企业还是机构，未来将面临的一个重要网络安全问题是，企业内网络安全的防护不再是孤立的，而是和整个互联网安全状况和突发网络安全事件紧密联合起来。例如，对企业而言，虽然内网的数据不允许向外流出，但一旦某类黑客攻击发生在同类型企业或者使用相同信息系统架构的企业或组织，那么该企业将很有可能面临被攻击。

威胁情报的概念也是基于上述情况而提出。因此出现较晚，业界对威胁情报概念的理解各不相同。例如，有人认为“样本库”可称为情报，也有人认为“黑名单”是情报，而一些公开资料中提到的网络安全信息共享也被认为是威胁情报的早期版本。

国际上也有网络安全研究机构给出“威胁情报”的专业定义（如 Gartner[2]）。国内也有学者[3]提出了威胁情报的六大要素（采集、关联、归类、整合、行动、分享）和4 个阶段（广覆盖收集有效信息、分析处理与生产、行动实施、生态圈分享）。

对威胁情报的理解：依赖证据知识，包含情境、机制、影响和应对建议，威胁情报可以第一时间诊断出存在或者正在显露的威胁或危害资产的行为。威胁情报的目的就是实现“早、快、准、全”的安全隐患监测和警报。

图3 工业场景的整体解决方案

如果企业能及早了解熟悉上述威胁情报信息，就可以为有效防范和采取应急措施赢得时间。而企业面对网络黑客攻击特别是一些严重的计算机犯罪行为，如能提前预知、提前响应，则可能避免系统崩溃、业务崩溃、高价值数据丢失等“灭顶之灾”。

根据当前工业网络安全业界的实践状况，绿盟科技已经形成了一套覆盖工业设备、控制、网络、应用（监控平台、管理平台）、数据等多个层级安全防护的安全设计原则集和解决方案集。其研制的安全协同一体化的工业网络安全监测预警平台，在大数据框架的基础上为工业环境提供安全监控及响应的安全运营中心。通过深度工控资产自动探测技术、分布式漏洞探测技术、多类型工业控制协议识别技术、异常流量监测技术，实现工业设备安全态势信息自动采集、识别工控设备的漏洞与潜在威胁的能力。通过大数据建模分析技术与基于多源数据的工业安全态势知识图谱构建技术，并结合中国国家信息安全漏洞库及工控漏洞库，进行安全威胁评估、态势感知，预测预防设备潜在风险的发生。下图是绿盟科技针对工业场景的整体解决方案。

总体上看，威胁情报将会对未来国家、机构、企业的网络安全应急响应产生显著影响，威胁情报也代表了网络安全应急响应技术与实践的方向和发展趋势。随着业界和机构、企业用户对威胁情报的认识和实践的理解不断加深，威胁情报理念[4]对网络安全应急响应技术与实践的进一步完善和成熟将产生更大的促进作用。

5 结语

本文首先对工业控制系统的安全状态进行了分析，通过对安全事件的案例分析发现，网络安全事件所造成的损失严重，工控系统网络安全形势不容乐观。工业企业的工控网络安全应急响应体系建立刻不容缓。文章对工业网络安全应急与IT 网络安全应急的区别做了阐述，并提出了安全应急体系架构设计的思路。最后对未来应急响应技术发展趋势做了预测，威胁情报理念将是网络安全应急响应技术的发展方向和趋势。