工業企業控制系統安全防護體系建設淺析

一、引言

伴隨著網絡強國和制造強國全面建設、快速發展的步伐，工業企業仍處在數字化、網絡化、智能化快速發展的大時代浪潮之中。諸如電力、水和污水處理、石油和天然氣、化工、交通運輸、制藥、紙漿和造紙、食品和飲料以及離散制造(汽車、航空航天)等工業行業依托其各自行業特點、技術發展階段，在不同程度上完成了工業企業信息化轉型階段性任務。我國是工業生產大國，加快工業企業控制系統安全防護體系建設的研究，有利于形成疊加效應、聚合效應、倍增效應，前景廣闊、潛力巨大。當前，我國工業企業信息化轉型步伐不斷加快，在培育新模式新業態、推進供給側結構性改革等方面已初顯成效，但仍存在安全防護技術不足、安全保障有待加強、安全體制機制亟需完善等問題。

二、工業控制系統特點分析

現代工業控制系統自1968年，由“PLC之父”Dick Morley設計實現Modicon 084以來，在技術層面始終貫徹著自動控制需求至今，參考實際控制應用模型，同時抽象總結SCADA系統、DCS系統、PLC系統、SIS系統等常見工業控制系統模型中的共性部分。由圖1總結出工業控制系統的功能層次模型。該層次模型將工業控制系統功能劃分為五個層級。L0(Field device layer)現場設備層直接參與工業生產控制過程，該層涉及的設備為工業控制系統的傳感器和執行器等，作為數據采集設備接入過程監控層直接向各工業控制系統提供數據。L1(Field control layer)現場控制層直接用于工業生產過程，用以完成連續控制、順序控制、批量控制和離散控制等工業自動化控制。該層涉及設備包括DCS、PLC、RTU等。L2(Process control layer)過程監控層主要包括SCADA、HMI、主機等設備對象，主要用于對生產過程中不同方面數據進行采集與集中監控，搭建易用的人機接口，實現對工業生產的監視、控制、分析、報警等功能。L3(Producing management layer)生產管理層管理如調度生產、生產計劃、可靠性保障和現場控制業務優化等生產所需的工作流程，主要包括MES制造執行系統、EMS能源管理系統、生產調度系統等系統等。L4(Enterprise resource layer)企業資源層主要包括ERP系統、PLM系統等。

圖1 工業控制系統分層結構

三、工業控制系統風險分析

結合工業企業控制系統安全特點，歸納總結出其面對主要安全風險包括控制器及主機設備面對的安全風險、生產控制過程面對的安全風險、控制網絡通信傳輸面對的安全風險、工業數據生產與存儲面對的安全風險以及工業企業安全防護管理面對的安全風險。

( 1 ) 設備層面風險分析：設備脆弱性風險，工業控制系統存在大量在已知漏洞。該部分漏洞可成為攻擊者攻擊途徑，通過漏洞執行惡意操作，從而引發生產事故。設備惡意代碼風險，工業控制系統中存在惡意代碼、惡意腳本引發安全事故的條件，目前缺乏對計算環境中應用及服務的管控手段，無法有效管控上位機中進程，造成計算資源及計算環境的不可控。

( 2 ) 控制過程風險分析：控制誤操作風險，工業控制系統存在誤操作的產生空間，這類風險中，所有操作動作在系統識別中可能都是合法的，其非法部分存在于操作頻率、操作數值、操作地址等，所以需要具有通訊協議內容深度的防護技術去甄別及防護此類風險。

( 3 ) 網絡傳輸風險分析：網絡邊界安全風險，工業企業生產網絡訪問控制目前大部分仍處于空白失管狀態，十分容易產生無法識別的針對某一生產系統的攻擊，且無從追溯。遠程傳輸安全風險，工業企業生產網絡數據傳輸模式缺少相應的保障技術手段，且工業通訊協議在設計上缺乏安全智能能力，存在數據被篡改、監聽，甚至惡意攻擊的可能。

( 4 ) 數據流轉風險分析：數據傳輸安全風險，工業控制系統通訊協議均為工業專用協議，工業協議在設計支持考慮多為數據傳輸的實時性、容錯性等，無安全層面考慮，易造成生產數據的外泄。數據應用安全風險，工業控制系統中大量生產支持數據存儲模式缺少相應的保障技術手段，存在數據被篡改、竊取的可能。

( 5 ) 管理方面風險分析：缺少整體監控手段，當前生產網中缺少針對控制系統缺少統一監控分析手段，造成攻防對抗中防御者始終處于被動位置，無法形成有效的整體防范策略。缺少應急響應能力，當前生產環境中缺乏對于安全事故的應急響應能力，無法做出實質性響應策略。

四、工業控制系統動態防護體系建設

綜合分析工業企業控制系統安全風險問題，結合工業控制系統自身特點，建設包含安全防護檢測體系、安全態勢分析體系以及安全服務響應體系在內的動態閉環防護體系。安全防護檢測體系在防護檢測工業控制系統的同時向其他兩大體系提供安全數據信息;安全態勢分析體系結合安全防護檢測數據及安全服務事件信息反饋，向安全防護檢測體系實時動態下發安全策略與向安全服務響應體系歸納上報安全事件分析結果同步進行;安全服務響應體系根據安全態勢分析結果有效對安全防護檢測賦能支撐。

圖2 工業控制系統安全防護體系圖

( 1 ) 安全防護檢測體系基于行為基線為中心建設基礎安全防護能力，包括訪問控制管控、工業行為分析、主機白名單技術、工業設備內生安全管控、工業攻擊誘捕反制、工業漏洞虛擬防護、工業數據分類安全治理等。行為基線設計，針對工業行為基線進行調研及繪制，得出的行為基線作為安全防護體系中安全策略的建設依據，并作為最小化原則的模板進行安全建設；基于行為基線的訪問控制建設，有效解決了未經授權訪問的安全威脅，從網絡及應用層面對控制系統網絡進行管控。同時針對缺乏統一運維管控的安全威脅進行對應管控；基于行為基線的行為審計建設，以鏡像流量方式，對區域內操作記錄，訪問記錄進行檢測并審計，解決了針對誤操作的檢測與審計、以及對基于合法途徑的非法操作進行檢測與審計；基于行為基線的主機白名單建設，構成工業安全實質層面最外層的安全防線。有效解決了工業主機中缺少針對計算環境的管控以及缺少針對工控環境惡意代碼管控的需求；工業攻擊誘捕反制，通過偽裝技術誘捕工業控制系統攻擊者，獲得攻擊行為特征畫像，進一步追蹤溯源，對攻擊行為反制處置；工業漏洞虛擬防護，結合工業脆弱性漏洞特點、針對特征化工業生產環境，以具有針對性漏洞防護檢測技術實現工業漏洞的虛擬防護；工業數據分類安全治理，收集工業企業數據分級分類，分析處置工業數據，實現數據動態的集中展示，將工業大數據全生命周期流轉狀態及安全狀態實時呈現；工業設備內生安全管控，引入可信根對設備芯片與操作系統進行安全加固，進一步構建基于自主可控的嵌入式系統安全，保障可信安全系統自身安全。

( 2 ) 安全態勢分析體系作為工業企業控制系統安全防護體系的安全中樞，承擔安全數據的分析存儲、業務應用及集中展示功能。安全態勢分析主要作用于安全數據的統計與分析，通過多樣探針及大數據存儲分析等技術手段對網絡的安全事件、未知威脅等信息以時間、資產等維度進行統計。在統計數據的基礎上，構建威脅安全業務模型，分析工業控制系統中所存在的脆弱性、威脅源導致安全事件發生的可能性，以及由此產生的后果和影響。構建安全事件自動處置能力，動態管控安全防控檢測策略。

( 3 ) 安全服務響應體系是工業企業控制系統安全防護體系的最后一道防線，承擔安全支撐、檢測服務、運維服務、風險評估四大服務響應能力。為整體安全防護體系提供事前評估預警、事中分析處置、事后溯源提升的安全能力。同時安全服務響應體系與其他兩大體系互為支撐賦能，共同建設動態安全防護體系。

五、結語

工業企業控制系統安全防護體系應“自上而下的設計、自下而上的建設”。自上而下的設計通過對各個系統之間的數據指令進行分析，從而在最小化原則的基礎上，建立可知可控的安全環境。對于策略外數據指令交由態勢分析進一步分析，通過分析結果動態調整安全策略。部分特殊安全事件通過安全服務響應體系完成安全事件的應急處置，并且在事后輸出安全模型至態勢平臺豐富安全知識庫，優化自動化處理能力。自下而上的建設基于行為基線按照控制系統的訪問控制、行為監控、主機白名單加固、態勢分析平臺、主動感知技術、安全服務響應平臺的順序配合內生安全、誘捕反制、漏洞虛擬防護及數據治理同步進行安全能力建設，即優先保障獨立控制系統的安全，從而保證生產過程的可持續運行。其后再對工業控制網絡進行監測，防控與檢測數據作為態勢分析的基礎進行態勢分析平臺的建設，輔以可控的主動感知手段進行資產發現及資產管理。最后進行整體聯動，建立安全服務應急響應體系，完成安全閉環，打造工業控制系統安全防護體系。

原文來源：關鍵基礎設施安全應急響應中心