工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)的應(yīng)用

1、    工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)的應(yīng)用    辛冠瑩 蘇永剛 樊澤摘 要：工業(yè)控制系統(tǒng)已廣泛應(yīng)用于電力、軌道交通、石油化工、航空航天等工業(yè)領(lǐng)域。目前，大量的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)自動(dòng)化操作。工業(yè)控制系統(tǒng)已經(jīng)成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。由于工業(yè)控制系統(tǒng)廣泛采用通用網(wǎng)絡(luò)設(shè)備和it設(shè)施，以及與企業(yè)信息管理系統(tǒng)的集成，傳統(tǒng)信息網(wǎng)絡(luò)所面臨的病毒、木馬、入侵攻擊、拒絕服務(wù)等安全威脅也正在向工業(yè)控制系統(tǒng)擴(kuò)散。本文主要對(duì)某油田規(guī)劃建設(shè)與安全保密措施進(jìn)行探討，并提出相關(guān)建設(shè)性策略。關(guān)鍵詞：工業(yè)控制系統(tǒng);入侵攻擊;安全威脅一 項(xiàng)目背景近年來

2、，隨著兩化融合發(fā)展的不斷深入，安全威脅向工業(yè)控制系統(tǒng)加速滲透，工業(yè)領(lǐng)域面臨嚴(yán)峻的信息安全挑戰(zhàn)。為提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全的防護(hù)水平，保障工業(yè)控制系統(tǒng)安全，2016年10月，工業(yè)和信息化部印發(fā)工業(yè)控制系統(tǒng)信息安全防護(hù)指南，指導(dǎo)工業(yè)企業(yè)開展工控安全防護(hù)工作。此項(xiàng)工作的推出，引起了領(lǐng)導(dǎo)對(duì)工業(yè)控制系統(tǒng)安全的高度重視，并將工控系統(tǒng)安全防護(hù)提升到戰(zhàn)略層面。二 需求分析工控安全是生產(chǎn)安全的一部分，所有安全防護(hù)的目標(biāo)就是保證生產(chǎn)的安全穩(wěn)定運(yùn)行，因此工控系統(tǒng)的實(shí)地調(diào)研和風(fēng)險(xiǎn)評(píng)估是一個(gè)非常重要的環(huán)節(jié)，通過該環(huán)節(jié)，才可以真正讓安全需求落地。經(jīng)過調(diào)研和評(píng)估，總結(jié)出如下幾個(gè)關(guān)鍵的安全薄弱環(huán)節(jié)：辦公網(wǎng)與外網(wǎng)連接，

3、生產(chǎn)網(wǎng)與辦公網(wǎng)互通，生產(chǎn)網(wǎng)與辦公網(wǎng)邊界存在重大安全隱患。作為數(shù)據(jù)采集及存儲(chǔ)的關(guān)鍵部分，opc 服務(wù)器存在諸多安全隱患。工業(yè)控制相關(guān)的應(yīng)用系統(tǒng)普遍存在弱口令問題，這也反映出安全意識(shí)的不足。工控主機(jī)中會(huì)存儲(chǔ)一些重要的文件，但是文件一般未加密，容易造成核心數(shù)據(jù)丟失，同時(shí)病毒感染的現(xiàn)象普遍。便攜式工程師站、操作員站防護(hù)手段不足，會(huì)成為病毒、木馬入侵的跳板。三 實(shí)施方案3.1建設(shè)原則3.1.1深度防御在信息安全防護(hù)系統(tǒng)設(shè)計(jì)、實(shí)施過程中，建立等級(jí)保護(hù)深度防御體系，對(duì)計(jì)算環(huán)境、網(wǎng)絡(luò)邊界、通信網(wǎng)絡(luò)、用戶和數(shù)據(jù)進(jìn)行全面控制。以信息系統(tǒng)等級(jí)保護(hù)基本要求為依據(jù)，按照信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求，建設(shè)符合生產(chǎn)系統(tǒng)

4、安全需要的安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)。3.1.2集中管理集中管理是建設(shè)信息安全等級(jí)保護(hù)深度防御系統(tǒng)的基本要求，是各單位橫向集成、縱向貫通，信息共享的前提。同時(shí)，在生產(chǎn)控制系統(tǒng)安全防護(hù)時(shí)，按照統(tǒng)一信息系統(tǒng)安全管理的規(guī)范進(jìn)行規(guī)劃和設(shè)計(jì)，確保信息安全防護(hù)水平的一致。對(duì)業(yè)務(wù)系統(tǒng)范圍內(nèi)的資源和用戶進(jìn)行統(tǒng)一標(biāo)記，按照訪問控制策略來進(jìn)行實(shí)施，對(duì)于各個(gè)終端、服務(wù)器和邊界的事件應(yīng)統(tǒng)一由審計(jì)中心進(jìn)行分析和響應(yīng)。另外，應(yīng)建立全系統(tǒng)范圍的網(wǎng)絡(luò)管理和監(jiān)控系統(tǒng)，做到管理全局統(tǒng)一，監(jiān)控嚴(yán)密，響應(yīng)及時(shí)。3.1.3適度防護(hù)在信息安全防御體系建設(shè)過程中，需要考慮對(duì)內(nèi)部的防護(hù)，突出適度防護(hù)的原則。在考慮可用性和建設(shè)成

5、本的前提下，對(duì)現(xiàn)有系統(tǒng)進(jìn)行改造升級(jí)，建立滿足高安全等級(jí)要求的信息系統(tǒng)。3.2建設(shè)架構(gòu)3.2.1工控主機(jī)衛(wèi)士部署對(duì)感染病毒的主機(jī)進(jìn)行病毒清理工作。不同于辦公主機(jī)的殺毒，還要考慮到病毒清理可能對(duì)應(yīng)用軟件的破壞，需要先備份后殺毒。在備份主機(jī)上確認(rèn)殺毒方案對(duì)當(dāng)前系統(tǒng)沒有影響的情況下，才真正在目標(biāo)主機(jī)上開展相關(guān)病毒清理工作，病毒清理干凈后，部署主機(jī)衛(wèi)士進(jìn)行最終加固。通過“白名單”管理機(jī)制解決惡意代碼對(duì)工控主機(jī)的攻擊問題?？梢詫?duì)主機(jī)等usb接口進(jìn)行管控，杜絕由于移動(dòng)存儲(chǔ)設(shè)備所帶來的潛在安全風(fēng)險(xiǎn)。3.2.2工業(yè)防火墻部署工控交換機(jī)和工控出口3g路由器中間部署一臺(tái)工業(yè)防火墻用于工控系統(tǒng)的防護(hù)。在做好有效的訪問

6、控制的同時(shí)，通過工業(yè)協(xié)議的深度解析和指令級(jí)控制，有效阻斷來自生產(chǎn)網(wǎng)之外的對(duì)工控系統(tǒng)的攻擊行為。要做好工控協(xié)議的深度解析和指令級(jí)控制，首先要建立完整的業(yè)務(wù)模型，這一方面要借助工業(yè)防火墻的工業(yè)協(xié)議智能學(xué)習(xí)功能，同時(shí)也要結(jié)合人工的分析和調(diào)整，真正實(shí)現(xiàn)該阻斷的絕不放過，該通過的絕不阻斷。3.2.3  統(tǒng)一安全管理平臺(tái)部署在某機(jī)房安裝統(tǒng)一安全管理平臺(tái)對(duì)工業(yè)防火墻、智能監(jiān)測(cè)終端和主機(jī)衛(wèi)士加固過的工作站進(jìn)行集中管理，并對(duì)外提供web管理能力。有效阻斷非法ip的侵入。網(wǎng)絡(luò)安全從來都不是孤立的，我們?cè)趶?qiáng)調(diào)技防的同時(shí)，也要重視從管理入手去杜絕安全隱患，結(jié)合我處的現(xiàn)狀及特點(diǎn)，涵蓋工控系統(tǒng)邊界防護(hù)、區(qū)域防護(hù)

7、和主機(jī)防護(hù)的縱深防御解決方案，部署了包括威努特工業(yè)防火墻、工控主機(jī)衛(wèi)士（主機(jī)安全加固）以及統(tǒng)一安全管理平臺(tái)等。3.3功能介紹3.3.1工控主機(jī)衛(wèi)士1.主機(jī)安全防護(hù)工控主機(jī)安全防護(hù)軟件支持操作系統(tǒng)完整性檢查，完整性檢查包括注冊(cè)表保護(hù)、文件保護(hù)、防止操作系統(tǒng)被惡意軟件破環(huán)等。當(dāng)操作系統(tǒng)被惡意軟件破壞后，工控主機(jī)安全防護(hù)軟件可以通過統(tǒng)一安全管理平臺(tái)進(jìn)行告警，提醒信息安全管理員操作系統(tǒng)存在被入侵風(fēng)險(xiǎn)。2.阻止惡意代碼的執(zhí)行和擴(kuò)散工控主機(jī)安全防護(hù)軟件通過“白名單”機(jī)制，可以有效阻止“白名單”外的程序及病毒、木馬等惡意代碼的執(zhí)行，進(jìn)而有效避免系統(tǒng)感染震網(wǎng)病毒等工控惡意代碼。如果在工業(yè)控制系統(tǒng)中有一臺(tái)設(shè)備被

8、惡意病毒感染并通過網(wǎng)絡(luò)擴(kuò)散到其它主機(jī)后，在部署了工控主機(jī)安全防護(hù)軟件的主機(jī)上通過白名單功能就可以阻止病毒的運(yùn)行，進(jìn)而保護(hù)主機(jī)的運(yùn)行安全。3.移動(dòng)存儲(chǔ)管理由于工控網(wǎng)絡(luò)的封閉性，根據(jù)現(xiàn)場(chǎng)調(diào)研表情況看，工作站存在未使用的usb端口及光驅(qū)?，F(xiàn)場(chǎng)工程師可以通過u盤或光盤等與工控網(wǎng)中的設(shè)備上傳或下載數(shù)據(jù)信息，在這個(gè)過程中，很容易將病毒木馬帶入工控網(wǎng)絡(luò)中。工控主機(jī)安全防護(hù)軟件配套使用的安全u盤可以有效保障數(shù)據(jù)的安全，能夠根據(jù)需要靈活控制安全u盤和普通u盤的“禁用、只讀、可讀寫”權(quán)限。在信息安全源頭解決病毒、木馬等惡意代碼的入侵及傳播。4.主機(jī)安全管理工控主機(jī)安全防護(hù)軟件配合安全管理平臺(tái)，對(duì)白名單外的惡意代碼

9、、違規(guī)操作進(jìn)行告警及記錄;對(duì)人員未授權(quán)安裝軟件進(jìn)行告警;對(duì)普通u盤以及安全u盤的違規(guī)使用告警;支持注冊(cè)表、配臵文件和操作系統(tǒng)文件破壞告警。3.3.2工業(yè)防火墻1.策略配置防火墻部署前，提前配置全通acl策略并記錄日志，后期根據(jù)acl策略產(chǎn)生的日志配置詳細(xì)的acl策略。安全策略詳情見曲子站安全策略和咸陽站安全策略。2.白名單配置白名單采用自學(xué)習(xí)模式，學(xué)習(xí)完成后通過人工甄別的方式，最終同使用人確定通信訪問關(guān)系的可信情況并完善白名單。白名單詳情見曲子站白名單及咸陽站白名單。3.3.3統(tǒng)一安全管理平臺(tái)管理員通過web管理界面即可對(duì)系統(tǒng)內(nèi)安裝安全衛(wèi)士的主機(jī)進(jìn)行統(tǒng)一管理，這包括：1.查看已經(jīng)安裝的工業(yè)防火墻、智能監(jiān)測(cè)終端和主機(jī)衛(wèi)士當(dāng)前的工作狀態(tài);2.查看已經(jīng)部署或者配置新的工業(yè)防火墻的防火墻策略、白名單策略以及查看和處理已經(jīng)產(chǎn)生的告警日志和非法報(bào)文的攔截記錄;3.查看已經(jīng)部署或者配置新的智能監(jiān)測(cè)終端的工業(yè)協(xié)議白名單監(jiān)測(cè)策略、違反協(xié)議規(guī)約策略、無流量策略、異常流量基線配置等及