0 引言

    自2010年震網(Stuxnet)病毒爆發(fā)后，國家非常重視國家基礎設施的信息安全問題。此后在2012年6月，國務院發(fā)布《國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見(國發(fā)[2012]23號)》中明確要求：“保障工業(yè)控制系統(tǒng)安全。加強核設施、航空航天、先進制造、石油石化、油氣管網、電力系統(tǒng)、交通運輸、水利樞紐、城市設施等重要領域工業(yè)控制系統(tǒng)，以及物聯(lián)網應用、數(shù)字城市建設中的安全防護和管理，定期開展安全檢查和風險評估。重點對可能危及生命和公共財產安全的工業(yè)控制系統(tǒng)加強監(jiān)管?！?/p>

    本文介紹了為XX企業(yè)智能工廠提供的信息安全解決方案。工業(yè)控制系統(tǒng)擁有提高效率、節(jié)能降耗、節(jié)省人力成本、促進產業(yè)升級的明顯效果。通過建立全面的工業(yè)控制系統(tǒng)信息安全保障體系，達到保障工業(yè)控制信息安全運行、工廠安全生產的目的，并由此減少企業(yè)的信息安全事件，保障商業(yè)秘密不外泄。

1 項目背景

    在2015年12月，工信部印發(fā)《2015年工業(yè)行業(yè)網絡安全檢查試點工作方案的通知》。在反復檢查調研后，了解到先進制造、軌道交通、電力、石油石化等各行業(yè)工業(yè)控制系統(tǒng)絕大多數(shù)采用國外的控制系統(tǒng)，并且面臨著實際因U盤管理不規(guī)范、遠程運維不規(guī)范、邊界未隔離等原因造成的網絡病毒蠕蟲、誤操作或泄密及影響生產等問題，迫切需要實際的防護指南進一步指導。

    因此，為貫徹落實《國務院關于深化制造業(yè)與互聯(lián)網融合發(fā)展的指導意見》，保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，工信部制定《工業(yè)控制系統(tǒng)信息安全防護指南》并于2016年11月3日發(fā)布，要求地方工業(yè)和信息化主管部門根據工業(yè)和信息化部統(tǒng)籌安排，指導本行政區(qū)域內的工業(yè)企業(yè)制定工控信息安全防護實施方案，推動企業(yè)分期分批達到本指南相關要求。

    伴隨兩化融合的實施，先進制造業(yè)生產制造中的信息安全問題顯得越來越突出，一旦網絡被攻陷，不僅會破壞精密機床設備，也會泄密企業(yè)的技術信息，一方面損壞企業(yè)形象，另一方面會對國家和社會造成嚴重不良影響。

    XX企業(yè)主要從事軌道交通車輛關鍵零部件研發(fā)、設計、制造和服務，為保護自身網絡及核心技術安全，計劃通過本次項目對網絡進行改造，提升整體網絡安全防護能力^[1-2]。

2 現(xiàn)狀與風險概述

    XX企業(yè)擁有多條生產軌道交通零部件的生產線，生產工序覆蓋從冶煉到輪對總成全部流程，可以滿足軌道交通機、客、貨、動全系列及工礦冶金等產品的制造需求。

    企業(yè)已成功實施MES、OA、LIMS、ERP等信息管理系統(tǒng),并且將具有感知、監(jiān)控能力的各類采集、控制傳感器或控制器，以及移動通信、智能分析等技術融入到了工業(yè)生產過程各個環(huán)中。還基于各種網絡互聯(lián)技術，從工業(yè)設計、工藝、生產、管理、服務等涉及企業(yè)從創(chuàng)立到結束的全生命周期串聯(lián)起來。通過這些積累下來的數(shù)據還可以實現(xiàn)產品全生命周期的管理，為打造先進的全自動數(shù)字化智能工廠打下夯實的基礎。所以安全的、健康的網絡環(huán)境就顯得尤為重要。

    經過深入企業(yè)進行現(xiàn)場調研和技術交流發(fā)現(xiàn)，該企業(yè)生產車間的辦公網、生產網通過核心交換機連在一起。各車間與業(yè)務相關的應用系統(tǒng)和輔助管理系統(tǒng)、服務器、主要網絡設備均運行在同一網絡內。生產網與辦公網僅通過VLAN和ACL等策略進行網絡訪問進行限制或隔離，暫無其他相關網絡安全防護措施。

    經實際現(xiàn)場訪談與勘察發(fā)現(xiàn)，工業(yè)控制系統(tǒng)面臨的信息安全問題主要有以下幾方面：

    (1)網絡核心節(jié)點互聯(lián)互通，未進行安全加固，缺乏安全管控設備，存在嚴重的信息安全隱患；

    (2)生產車間多臺上位機、服務器被惡意攻擊，在車間發(fā)現(xiàn)有設備關聯(lián)境外IP、域名，具體威脅影響不明確；

    (3)高精類數(shù)控設備通過使用U盤或連入網絡傳輸數(shù)據，可能會被傳染病毒或惡意代碼，進而嚴重影響生產的產量、質量及效率。

    (4)未對工業(yè)控制網絡區(qū)域間進行隔離、惡意代碼、異常監(jiān)測、訪問控制等一系列的防護措施，很容易發(fā)生病毒或攻擊，影響全部車間甚至整個企業(yè)。

    (5)未對操作站主機及服務器端進行必要的安全配置，使得一旦能接觸訪問到該主機則被攻擊的成功機會很高。

    (6)對相關人員的操作未進行審計記錄，一旦發(fā)生安全事件后很難取證。

    (7)未對設備及日志進行統(tǒng)一管理，使得相關工控系統(tǒng)事件不能統(tǒng)一收集、分析，不易關聯(lián)分析設備間的事件和日志，難于及時發(fā)現(xiàn)復雜的問題。

3 系統(tǒng)安全防護總體防護設計

3.1 總體設計

    針對企業(yè)發(fā)現(xiàn)的安全風險,按照輕重緩急原則，從以下五個方面進行整改：

    (1)對制造企業(yè)網絡按照信息安全等級劃分成兩大部分：辦公網與生產網。兩網之間采用工業(yè)網閘隔離，其中辦公網分為辦公核心區(qū)、DMZ區(qū)(Demilitarized Zone，中文名稱為“隔離區(qū)”。它是為了解決安裝防火墻后外部網絡的訪問用戶不能訪問內部網絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū))、辦公服務器區(qū)、安全運維區(qū)、辦公區(qū)、視頻專網多個區(qū)域；生產網分為生產網核心區(qū)、生產服務器區(qū)、安全管理區(qū)及各生產車間區(qū)等多個區(qū)域。

    (2)在辦公核心區(qū)部署防火墻、入侵防御及防病毒設備，避免互聯(lián)網側及集團網絡側的安全威脅向企業(yè)內部滲透，對企業(yè)對外網絡應用服務進行安全監(jiān)測。

    (3)對企業(yè)重點數(shù)據服務器進行改造，統(tǒng)一運行在應用服務區(qū)進行重點安全防護，對重要數(shù)據服務器的數(shù)據庫操作行為進行審計及管理。在車間部署工控漏掃系統(tǒng)定期對生產網絡中的工業(yè)設備、重點服務器及操作終端進行脆弱性檢查，防止因系統(tǒng)漏洞造成的安全隱患出現(xiàn)。

    (4)對重點生產區(qū)的接入、匯聚層交換機進行網絡改造，將辦公終端與生產網絡設備進行分區(qū)改造，并在各生產區(qū)部署工業(yè)防火墻進行安全隔離；在各終端部署終端安全防護系統(tǒng)，避免病毒向核心生產區(qū)滲透，以保障企業(yè)工控系統(tǒng)安全穩(wěn)定運行。同時對生產網絡內部入侵行為進行監(jiān)測與審計。

    (5)對生產區(qū)無線接入網絡部署無線安全管理系統(tǒng)對無線設備進行安全防護，杜絕仿冒AP或非法AP在廠區(qū)出現(xiàn)，防止因無線造成網絡滲透或病毒襲擾。

    (6)對其業(yè)務中心網絡設置安全管理區(qū)，對整體信息安全進行監(jiān)控與審核。

3.2 方案介紹

    安全方案包括安全域劃分、現(xiàn)場工控設備安全防護、網絡安全防護、無線安全防護、控制系統(tǒng)脆弱性評估、應用和數(shù)據安全防護以及建立工控信息安全管理平臺等，由于篇幅原因，以下著重介紹作者參與設計的網絡安全防護的內容。

    網絡安全防護對辦公網及生產控制層網絡進行安全防護，主要是對網絡邊界及安全域邊界進行訪問控制，對網絡內部進行異常監(jiān)測及數(shù)據庫審計；防止木馬病毒蠕蟲感染進入工控網中,并且及時發(fā)現(xiàn)網絡異常行為。主要安全防護設備部署如圖1所示。

3.2.1 出口防火墻與區(qū)域防火墻

    為實現(xiàn)XX企業(yè)的網絡出口安全及網絡安全域間隔離要求，部署區(qū)域防火墻進行安全防護，與集團網絡進行隔離，防止非法訪問、網絡入侵及病毒侵擾；利用一體化的安全防護設備實現(xiàn)統(tǒng)一安全防護的目的，提供網絡安全防護能力。

    出口一體化安全網關采用了業(yè)界最先進的多核多線程并行運算架構、業(yè)務流解析引擎和一體化的軟件設計，集成防火墻、VPN、反垃圾郵件、抗拒絕服務攻擊等基礎安全功能，具有功能與性能兼具的入侵防御(IPS)、防病毒、內容過濾、應用識別、URL過濾、Web安全防護等綜合應用安全防護能力，功能全開應用層性能業(yè)界領先，同時單位體積性能極高，體積小、耗能低、易維護。此外，更提供了基于云計算技術的智能防護功能，幫助用戶抵御日益復雜的安全威脅。防火墻架構部署如圖2所示。

3.2.2 工業(yè)網閘設備

    改造前該企業(yè)辦公網與生產網間未采用安全訪問控制措施，來自不同地址的網絡流量可以訪問企業(yè)內所有網絡地址，安全性非常低。

    針對該區(qū)域間的安全需求，區(qū)域間安全防護采用網閘進行辦公網與生產網進行安全隔離，限制不必要的訪問網段，提高網絡安全強度，用于企業(yè)內部網絡的訪問控制。

    安全隔離技術的工作原理是使用帶有多種控制功能的固態(tài)開關讀寫介質連接兩個獨立的主機系統(tǒng)，模擬人工在兩個隔離網絡之間的信息交換。其本質在于：兩個獨立主機系統(tǒng)之間，不存在通信的物理連接和邏輯連接，不存在依據TCP/IP協(xié)議的信息包轉發(fā)，只有格式化數(shù)據塊的無協(xié)議“擺渡”。被隔離網絡之間的數(shù)據傳遞方式采用完全的私有方式，不具備任何通用性。

    網絡安全隔離與信息交換系統(tǒng)要想做好防護的角色，首先必須能夠保證自身系統(tǒng)的安全性，具有極高的自身防護特性，可以阻止來自從網絡任何協(xié)議層發(fā)起的攻擊、入侵和非法訪問。網絡之間所有的TCP/IP連接在安全隔離與信息交換系統(tǒng)上都要進行完全的應用協(xié)議還原，還原后的應用層信息根據用戶的策略進行強制檢查后，以格式化數(shù)據塊的方式通過隔離交換矩陣進行單向交換，在另外一端的主機系統(tǒng)上通過自身建立的安全會話進行最終的數(shù)據通信，即實現(xiàn)“協(xié)議落地、內容檢測”。這樣，既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，又進行了強制內容檢測，從而實現(xiàn)最高級別的通信安全與自身安全性。工業(yè)網閘示意圖如圖3所示。

3.2.3 工業(yè)防火墻設備

    工業(yè)防火墻設備全防護裝置會將數(shù)據包會話接收下來，然后進行協(xié)議解析，再判斷協(xié)議、端口及IP地址等內容是否在白名單中，如果在白名單列表中，則繼續(xù)判斷數(shù)據格式是否正確，里面是否包含病毒，如果確保正確才通過并下發(fā)到工業(yè)控制網絡并記錄；如果不在白名單列表中則就直接拒絕，同時也會記錄日志。防火墻設備部署圖如圖4所示。

3.2.4 工控網異常監(jiān)測系統(tǒng)

    工控網異常監(jiān)測系統(tǒng)主要負責采集工控網絡中全面數(shù)據包，最大可支持2.5G網絡流量的實時接收采集，保障工控數(shù)據采集的完整性。通過在旁路鏡像獲取到網絡數(shù)據包后，對數(shù)據包內容進行基于擴展NetFlow的流量分析技術的處理，轉換成獨有的vFlow。對于基本參數(shù)字段采用了標準NETFLOWV5的統(tǒng)計字段；對于TCP層和應用層的擴展參數(shù)，則擴展插件框架，來支持了更多的應用層協(xié)議識別，以支持更多工控協(xié)議。

    管理平臺系統(tǒng)主要針對采集信息的分析處理及存儲，對網絡流秩序自動學習建立白名單機制以及工控系統(tǒng)合規(guī)性核查、根據事件與策略配置生產告警、工控設備管理、工控設備性能監(jiān)控、工控漏掃、基線核查、工控風險評估等功能；同時提供用戶界面友好的組態(tài)配置界面。技術架構圖如圖5所示。

4 結論

    通過建立全面的工業(yè)控制系統(tǒng)信息安全保障體系，達到保障工業(yè)控制信息安全運行、工廠安全生產的網絡安全的技術要求，減少企業(yè)的信息安全事件，保障商業(yè)秘密不外泄，實現(xiàn)了對工控網進行安全區(qū)域劃分并進行安全防護，由此保證了生產控制網和生產管理網的通信安全。并通過實時收集信息安全相關信息建立相關的工控系統(tǒng)安全制度流程，提升企業(yè)應急響應能力和信息安全事件處理效率。

    通過本方案的實施，還可以及時發(fā)現(xiàn)外發(fā)數(shù)據中潛藏的敏感信息，并能夠及時阻止敏感信息的外泄行為，幫助企業(yè)發(fā)現(xiàn)本單位內的敏感信息泄露事件，解決了傳統(tǒng)防火墻、UTM及IDS束手無策的敏感信息防泄露的問題，其次可以有效減少核心信息資產的破壞和泄漏，從而保護核心信息資產以及數(shù)據安全。并且能夠防護惡意代碼的侵擾，精確識別并防護常見的Web攻擊。同時也可以清除終端本地的病毒及木馬，加固了終端自身安全性，從而大量減少了病毒、木馬等的入侵行為，并減少了網絡出現(xiàn)故障的幾率。從各個角度保護了網絡的安全。

參考文獻

[1] 郭肖旺，閔曉霜，韓慶敏.基于自適應深度檢測的工控安全防護系統(tǒng)設計[J].電子技術應用，2019，45(1)：85-87，91.

[2] 豐大軍，張曉莉，杜文玉，等.安全可信工業(yè)控制系統(tǒng)構建方案[J].電子技術應用，2017，43(10)：74-77.

作者信息:

李仕奇，韓慶敏，杜軍釗，李末軍

(華北計算機系統(tǒng)工程研究所，北京100083)