工業(yè)控制系統(tǒng)信息安全防御及解決方案

工業(yè)控制系統(tǒng)信息安全防御及解決方案工業(yè)控制系統(tǒng)是由工業(yè)自動(dòng)化生產(chǎn)設(shè)備，如PLC、RTU、DCS系統(tǒng)等組成，不同于IT網(wǎng)絡(luò)，工業(yè)控制系統(tǒng)有著專有的通信協(xié)議和通信機(jī)制。由于相對(duì)獨(dú)立的使用環(huán)境，工業(yè)控制系統(tǒng)多重視系統(tǒng)的功能實(shí)現(xiàn)，對(duì)安全的關(guān)注相對(duì)缺乏。因此工業(yè)控制系統(tǒng)存在大量的安全缺陷，這些缺陷使工業(yè)控制系統(tǒng)極其脆弱。隨著工業(yè)信息化的快速發(fā)展以及工業(yè)4.0時(shí)代的到來(lái)，工業(yè)化與信息化的融合趨勢(shì)越來(lái)越明顯，工業(yè)控制系統(tǒng)也在利用最新的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)來(lái)提高系統(tǒng)間的集成、互聯(lián)以及信息化管理水平。未來(lái)為了提高生產(chǎn)效率和效益，工控網(wǎng)絡(luò)會(huì)越來(lái)越開(kāi)放，不可能完全的隔離，給工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)帶來(lái)了挑戰(zhàn)。一、工業(yè)控制系統(tǒng)信息安全威脅近年來(lái)，各個(gè)工業(yè)行業(yè)頻發(fā)的信息安全事故表明，一直以來(lái)被認(rèn)為相對(duì)安全、相對(duì)封閉的工業(yè)控制系統(tǒng)已經(jīng)成為不法組織和黑客的攻擊目標(biāo)，黑客攻擊正在從開(kāi)放的互聯(lián)網(wǎng)向封閉的工控網(wǎng)蔓延。多個(gè)重要且關(guān)乎國(guó)計(jì)民生的行業(yè)，如電力、石油、石化、天然氣、軍工等均遭受到了嚴(yán)峻的工業(yè)控制網(wǎng)絡(luò)安全威脅，急需加大在工業(yè)控制網(wǎng)絡(luò)安全方面的投入，防止工業(yè)企業(yè)受到針對(duì)工控網(wǎng)絡(luò)的攻擊。如何解決工控安全問(wèn)題已成為企業(yè)面臨的嚴(yán)峻挑戰(zhàn)，受到越來(lái)越多的工業(yè)企業(yè)的關(guān)注，并且得到了國(guó)家的高度重視。針對(duì)關(guān)乎國(guó)家經(jīng)濟(jì)命脈的電力、石油、石化、軍工等行業(yè)，國(guó)家在鼓勵(lì)要求提高工業(yè)信息化的同時(shí)，將網(wǎng)絡(luò)安全問(wèn)題提升到了國(guó)家戰(zhàn)略層面，并要求各級(jí)政府部門(mén)和相關(guān)企業(yè)加大對(duì)于工控安全技術(shù)的研發(fā)力度，加速推進(jìn)相關(guān)技術(shù)和解決方案的完善以及相關(guān)政策標(biāo)準(zhǔn)的推出。二、工業(yè)控制系統(tǒng)信息安全防御建議工業(yè)控制系統(tǒng)安全的重要性及其普遍安全防護(hù)措施不足的現(xiàn)實(shí)，使得加強(qiáng)工業(yè)控制系統(tǒng)的安全性來(lái)說(shuō)無(wú)疑是一項(xiàng)相對(duì)艱巨的任務(wù)。結(jié)合工業(yè)控制系統(tǒng)自身的安全問(wèn)題，本文提出一些安全建議，具體有：1、加強(qiáng)對(duì)工業(yè)控制系統(tǒng)的脆弱性研究，提供針對(duì)性的解決方案和安全保護(hù)措施；2、盡可能采用安全的通信協(xié)議及規(guī)范，并提供協(xié)議異常性檢測(cè)能力；3、建立針對(duì)工業(yè)控制系統(tǒng)的違規(guī)操作、越權(quán)訪問(wèn)等行為的監(jiān)管；4、建立完善的工業(yè)控制系統(tǒng)安全保障體系，加強(qiáng)安全運(yùn)維與管理；5、加強(qiáng)針對(duì)工業(yè)控制系統(tǒng)的新型攻擊技術(shù)（例如APT）的防范研究。上述描述的安全建議考慮對(duì)工業(yè)控制系統(tǒng)可能面對(duì)的風(fēng)險(xiǎn)進(jìn)行防護(hù)，并盡可能降低相關(guān)系統(tǒng)的安全風(fēng)險(xiǎn)級(jí)別。但需要意識(shí)到由于外部威脅環(huán)境和系統(tǒng)技術(shù)演變將可能引入新的風(fēng)險(xiǎn)點(diǎn)。系統(tǒng)、人員、商業(yè)目標(biāo)以及內(nèi)、外部威脅等安全相關(guān)因素的任何一個(gè)發(fā)生改變時(shí)，都應(yīng)建議企業(yè)對(duì)當(dāng)前安全防護(hù)體系的正確性和有效性重新進(jìn)行評(píng)估，以確定其能否有效應(yīng)對(duì)新的風(fēng)險(xiǎn)。因此工業(yè)控制系統(tǒng)的安全保障措施也將是一個(gè)持續(xù)的改善過(guò)程，通過(guò)這一過(guò)程可使工業(yè)控制系統(tǒng)獲得最大程度的保護(hù)。三、一種工業(yè)控制系統(tǒng)信息安全防御解決方案通常工控系統(tǒng)使用的生命周期都很長(zhǎng)，目前國(guó)內(nèi)大量工控系統(tǒng)多重視系統(tǒng)的功能實(shí)現(xiàn)，未充分考慮到信息安全問(wèn)題。如何加強(qiáng)工業(yè)控制系統(tǒng)信息安全防護(hù)、安全增強(qiáng)和運(yùn)維管理，構(gòu)建信息安全防御體系，保障生產(chǎn)安全、系統(tǒng)可靠性，是當(dāng)前亟待解決的問(wèn)題。1、解決思路區(qū)別于傳統(tǒng)IT安全思維，以工控系統(tǒng)安全的視角，針對(duì)工控系統(tǒng)對(duì)可靠性、實(shí)時(shí)性、穩(wěn)定性、業(yè)務(wù)連續(xù)性的要求，以及工控系統(tǒng)軟件和設(shè)備自身的特點(diǎn)，本文提出建立工控系統(tǒng)安全生產(chǎn)與運(yùn)行的“可信網(wǎng)絡(luò)白環(huán)境”以及“軟件應(yīng)用白名單”概念，進(jìn)而構(gòu)建工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全“白環(huán)境”。2、實(shí)施方案網(wǎng)絡(luò)劃分根據(jù)工控系統(tǒng)的業(yè)務(wù)與功能來(lái)評(píng)估計(jì)并劃分網(wǎng)絡(luò)區(qū)域，明確各網(wǎng)絡(luò)區(qū)域的邊界?？刂?數(shù)據(jù)業(yè)務(wù)流及協(xié)議識(shí)別確定網(wǎng)絡(luò)域之間，工作組之間，服務(wù)器、客戶端、操作站、監(jiān)控站之間的控制及數(shù)據(jù)業(yè)務(wù)流的傳輸關(guān)系，應(yīng)用的協(xié)議等。建立可信網(wǎng)絡(luò)域運(yùn)用可信邊界網(wǎng)關(guān)、可信區(qū)域網(wǎng)關(guān)對(duì)不同的網(wǎng)絡(luò)域進(jìn)行隔離，防護(hù)各域的網(wǎng)絡(luò)邊界。阻止來(lái)自業(yè)務(wù)網(wǎng)絡(luò)的攻擊、病毒、木馬等感染入侵其它網(wǎng)絡(luò)域。抑制在某一個(gè)網(wǎng)絡(luò)域中的病毒木馬向其它網(wǎng)絡(luò)傳播擴(kuò)散，縮小安全問(wèn)題影響范圍。配置可信主機(jī)及可信服務(wù)器根據(jù)工作站、服務(wù)器等終端設(shè)備上運(yùn)行的工控軟件，針對(duì)每臺(tái)終端配置軟件白名單，建立工作站、服務(wù)器的軟件工作“白環(huán)境”。建立大數(shù)據(jù)分析云平臺(tái)通過(guò)可信網(wǎng)關(guān)，發(fā)現(xiàn)工控網(wǎng)絡(luò)中的異常行為，攻擊入侵行為，定位被攻擊點(diǎn)及故障點(diǎn)。收集所有安全防護(hù)設(shè)備、安全防護(hù)軟件、工控設(shè)備、網(wǎng)絡(luò)設(shè)備日志上傳至大數(shù)據(jù)日志服務(wù)器，以供后續(xù)分析處理。3、技術(shù)特點(diǎn)1）構(gòu)建白環(huán)境，打造安全防御體系不同于IT系統(tǒng)，工業(yè)控制系統(tǒng)對(duì)可靠性、穩(wěn)定性要求極高。部分工控系統(tǒng)供應(yīng)商甚至規(guī)定不能私自升級(jí)殺毒軟件和系統(tǒng)補(bǔ)丁，否則不予提供維保。這便造成了通用殺毒軟件在工控系統(tǒng)中淪為了擺設(shè)，起不到安全防護(hù)的作用。本文提出運(yùn)用白名單技術(shù)思想，建立工控網(wǎng)絡(luò)“白環(huán)境”和軟件應(yīng)用“白名單”的技術(shù)方案。通過(guò)預(yù)先配置和機(jī)器自學(xué)習(xí)方式對(duì)工控網(wǎng)絡(luò)進(jìn)行安全建模，建立工控網(wǎng)絡(luò)安全模型，構(gòu)建工控網(wǎng)絡(luò)正常通信及工作的“白環(huán)境”以及軟件“白名單”。此后一旦有違反安全模型的通信、病毒、木馬等出現(xiàn)，系統(tǒng)便會(huì)進(jìn)行告警。2）軟可信計(jì)算，可操作性強(qiáng)如果為每臺(tái)計(jì)算機(jī)都配備一個(gè)可信計(jì)算芯片，對(duì)于已有的大量工業(yè)控制系統(tǒng)，需要更新主機(jī)設(shè)備，成本高，可操作性不強(qiáng)。本文提出，在操作系統(tǒng)內(nèi)核級(jí)增加一套安全軟件，通過(guò)安全軟件對(duì)操作系統(tǒng)之上的應(yīng)用軟件進(jìn)行驗(yàn)證，從而建立一個(gè)“軟可信”計(jì)算環(huán)境，即軟件白名單。此方案不僅成本低廉，而且部署維護(hù)簡(jiǎn)單，實(shí)用性強(qiáng)。3）全生命周期管理傳統(tǒng)的可信計(jì)算、軟件白名單聚焦在執(zhí)行文件啟動(dòng)前的驗(yàn)證，某種執(zhí)行文件一旦通過(guò)驗(yàn)證就不再對(duì)其進(jìn)行安全監(jiān)控，這種檢測(cè)方法存在一定缺陷。例如，如果一個(gè)合法的軟件存在遠(yuǎn)程緩沖區(qū)溢出漏洞，并被攻擊者利用，惡意代碼直接遠(yuǎn)程注入到該軟件的內(nèi)存中，典型的可信計(jì)算、軟件白名單技術(shù)是無(wú)能為力的。本文提出，可針對(duì)工控系統(tǒng)設(shè)計(jì)了內(nèi)存完整性檢測(cè)、操作系統(tǒng)完整性檢測(cè)、進(jìn)程內(nèi)存空間保護(hù)、配置文件完整性監(jiān)控、注冊(cè)表保護(hù)等技術(shù)改進(jìn)。保護(hù)一個(gè)進(jìn)程的內(nèi)存空間的完整性，防止緩沖區(qū)溢出攻擊。對(duì)操作系統(tǒng)完整性檢查，發(fā)現(xiàn)操作系統(tǒng)完整性被破壞時(shí)進(jìn)行告警。監(jiān)控和報(bào)告系統(tǒng)及程序關(guān)鍵配置文件的更改，需要監(jiān)控的配置文件可以由管理員定制添加。監(jiān)控和報(bào)告Windows關(guān)鍵注冊(cè)表項(xiàng)的更改，需要監(jiān)控的注冊(cè)表項(xiàng)可以由管理員定制添加。通過(guò)以上措施，對(duì)一個(gè)程序從打開(kāi)執(zhí)行到關(guān)閉的全生命周期進(jìn)行監(jiān)控和防護(hù)。四、結(jié)束語(yǔ)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)不同于IT網(wǎng)絡(luò)，工控網(wǎng)絡(luò)有著專有的通信協(xié)議和通信機(jī)制。工業(yè)控制系統(tǒng)多重視系統(tǒng)的功能實(shí)現(xiàn)，對(duì)安全的關(guān)注相對(duì)缺乏。因此工業(yè)控制系統(tǒng)存在大量的安全缺陷，給安全生產(chǎn)帶來(lái)重大隱患。2010年發(fā)生的“震網(wǎng)”病毒事件，反映出工業(yè)控制系統(tǒng)信息安全威脅的嚴(yán)峻性。2011年9月，工信部印發(fā)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)[2011]451號(hào)）?！锻ㄖ访鞔_加強(qiáng)與國(guó)計(jì)民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統(tǒng)安全管理。在安全分析及建議的基礎(chǔ)上，本文提出了一種工業(yè)控制系統(tǒng)網(wǎng)絡(luò)控安全解決方案，該解決方