0 引言

    自2010年震網(wǎng)(Stuxnet)病毒爆發(fā)后，國(guó)家非常重視國(guó)家基礎(chǔ)設(shè)施的信息安全問(wèn)題。此后在2012年6月，國(guó)務(wù)院發(fā)布《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)(國(guó)發(fā)[2012]23號(hào))》中明確要求：“保障工業(yè)控制系統(tǒng)安全。加強(qiáng)核設(shè)施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運(yùn)輸、水利樞紐、城市設(shè)施等重要領(lǐng)域工業(yè)控制系統(tǒng)，以及物聯(lián)網(wǎng)應(yīng)用、數(shù)字城市建設(shè)中的安全防護(hù)和管理，定期開(kāi)展安全檢查和風(fēng)險(xiǎn)評(píng)估。重點(diǎn)對(duì)可能危及生命和公共財(cái)產(chǎn)安全的工業(yè)控制系統(tǒng)加強(qiáng)監(jiān)管?！?/p>

    本文介紹了為XX企業(yè)智能工廠提供的信息安全解決方案。工業(yè)控制系統(tǒng)擁有提高效率、節(jié)能降耗、節(jié)省人力成本、促進(jìn)產(chǎn)業(yè)升級(jí)的明顯效果。通過(guò)建立全面的工業(yè)控制系統(tǒng)信息安全保障體系，達(dá)到保障工業(yè)控制信息安全運(yùn)行、工廠安全生產(chǎn)的目的，并由此減少企業(yè)的信息安全事件，保障商業(yè)秘密不外泄。

1 項(xiàng)目背景

    在2015年12月，工信部印發(fā)《2015年工業(yè)行業(yè)網(wǎng)絡(luò)安全檢查試點(diǎn)工作方案的通知》。在反復(fù)檢查調(diào)研后，了解到先進(jìn)制造、軌道交通、電力、石油石化等各行業(yè)工業(yè)控制系統(tǒng)絕大多數(shù)采用國(guó)外的控制系統(tǒng)，并且面臨著實(shí)際因U盤(pán)管理不規(guī)范、遠(yuǎn)程運(yùn)維不規(guī)范、邊界未隔離等原因造成的網(wǎng)絡(luò)病毒蠕蟲(chóng)、誤操作或泄密及影響生產(chǎn)等問(wèn)題，迫切需要實(shí)際的防護(hù)指南進(jìn)一步指導(dǎo)。

    因此，為貫徹落實(shí)《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見(jiàn)》，保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全，工信部制定《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》并于2016年11月3日發(fā)布，要求地方工業(yè)和信息化主管部門(mén)根據(jù)工業(yè)和信息化部統(tǒng)籌安排，指導(dǎo)本行政區(qū)域內(nèi)的工業(yè)企業(yè)制定工控信息安全防護(hù)實(shí)施方案，推動(dòng)企業(yè)分期分批達(dá)到本指南相關(guān)要求。

    伴隨兩化融合的實(shí)施，先進(jìn)制造業(yè)生產(chǎn)制造中的信息安全問(wèn)題顯得越來(lái)越突出，一旦網(wǎng)絡(luò)被攻陷，不僅會(huì)破壞精密機(jī)床設(shè)備，也會(huì)泄密企業(yè)的技術(shù)信息，一方面損壞企業(yè)形象，另一方面會(huì)對(duì)國(guó)家和社會(huì)造成嚴(yán)重不良影響。

    XX企業(yè)主要從事軌道交通車(chē)輛關(guān)鍵零部件研發(fā)、設(shè)計(jì)、制造和服務(wù)，為保護(hù)自身網(wǎng)絡(luò)及核心技術(shù)安全，計(jì)劃通過(guò)本次項(xiàng)目對(duì)網(wǎng)絡(luò)進(jìn)行改造，提升整體網(wǎng)絡(luò)安全防護(hù)能力^[1-2]。

2 現(xiàn)狀與風(fēng)險(xiǎn)概述

    XX企業(yè)擁有多條生產(chǎn)軌道交通零部件的生產(chǎn)線，生產(chǎn)工序覆蓋從冶煉到輪對(duì)總成全部流程，可以滿足軌道交通機(jī)、客、貨、動(dòng)全系列及工礦冶金等產(chǎn)品的制造需求。

    企業(yè)已成功實(shí)施MES、OA、LIMS、ERP等信息管理系統(tǒng),并且將具有感知、監(jiān)控能力的各類采集、控制傳感器或控制器，以及移動(dòng)通信、智能分析等技術(shù)融入到了工業(yè)生產(chǎn)過(guò)程各個(gè)環(huán)中。還基于各種網(wǎng)絡(luò)互聯(lián)技術(shù)，從工業(yè)設(shè)計(jì)、工藝、生產(chǎn)、管理、服務(wù)等涉及企業(yè)從創(chuàng)立到結(jié)束的全生命周期串聯(lián)起來(lái)。通過(guò)這些積累下來(lái)的數(shù)據(jù)還可以實(shí)現(xiàn)產(chǎn)品全生命周期的管理，為打造先進(jìn)的全自動(dòng)數(shù)字化智能工廠打下夯實(shí)的基礎(chǔ)。所以安全的、健康的網(wǎng)絡(luò)環(huán)境就顯得尤為重要。

    經(jīng)過(guò)深入企業(yè)進(jìn)行現(xiàn)場(chǎng)調(diào)研和技術(shù)交流發(fā)現(xiàn)，該企業(yè)生產(chǎn)車(chē)間的辦公網(wǎng)、生產(chǎn)網(wǎng)通過(guò)核心交換機(jī)連在一起。各車(chē)間與業(yè)務(wù)相關(guān)的應(yīng)用系統(tǒng)和輔助管理系統(tǒng)、服務(wù)器、主要網(wǎng)絡(luò)設(shè)備均運(yùn)行在同一網(wǎng)絡(luò)內(nèi)。生產(chǎn)網(wǎng)與辦公網(wǎng)僅通過(guò)VLAN和ACL等策略進(jìn)行網(wǎng)絡(luò)訪問(wèn)進(jìn)行限制或隔離，暫無(wú)其他相關(guān)網(wǎng)絡(luò)安全防護(hù)措施。

    經(jīng)實(shí)際現(xiàn)場(chǎng)訪談與勘察發(fā)現(xiàn)，工業(yè)控制系統(tǒng)面臨的信息安全問(wèn)題主要有以下幾方面：

    (1)網(wǎng)絡(luò)核心節(jié)點(diǎn)互聯(lián)互通，未進(jìn)行安全加固，缺乏安全管控設(shè)備，存在嚴(yán)重的信息安全隱患；

    (2)生產(chǎn)車(chē)間多臺(tái)上位機(jī)、服務(wù)器被惡意攻擊，在車(chē)間發(fā)現(xiàn)有設(shè)備關(guān)聯(lián)境外IP、域名，具體威脅影響不明確；

    (3)高精類數(shù)控設(shè)備通過(guò)使用U盤(pán)或連入網(wǎng)絡(luò)傳輸數(shù)據(jù)，可能會(huì)被傳染病毒或惡意代碼，進(jìn)而嚴(yán)重影響生產(chǎn)的產(chǎn)量、質(zhì)量及效率。

    (4)未對(duì)工業(yè)控制網(wǎng)絡(luò)區(qū)域間進(jìn)行隔離、惡意代碼、異常監(jiān)測(cè)、訪問(wèn)控制等一系列的防護(hù)措施，很容易發(fā)生病毒或攻擊，影響全部車(chē)間甚至整個(gè)企業(yè)。

    (5)未對(duì)操作站主機(jī)及服務(wù)器端進(jìn)行必要的安全配置，使得一旦能接觸訪問(wèn)到該主機(jī)則被攻擊的成功機(jī)會(huì)很高。

    (6)對(duì)相關(guān)人員的操作未進(jìn)行審計(jì)記錄，一旦發(fā)生安全事件后很難取證。

    (7)未對(duì)設(shè)備及日志進(jìn)行統(tǒng)一管理，使得相關(guān)工控系統(tǒng)事件不能統(tǒng)一收集、分析，不易關(guān)聯(lián)分析設(shè)備間的事件和日志，難于及時(shí)發(fā)現(xiàn)復(fù)雜的問(wèn)題。

3 系統(tǒng)安全防護(hù)總體防護(hù)設(shè)計(jì)

3.1 總體設(shè)計(jì)

    針對(duì)企業(yè)發(fā)現(xiàn)的安全風(fēng)險(xiǎn),按照輕重緩急原則，從以下五個(gè)方面進(jìn)行整改：

    (1)對(duì)制造企業(yè)網(wǎng)絡(luò)按照信息安全等級(jí)劃分成兩大部分：辦公網(wǎng)與生產(chǎn)網(wǎng)。兩網(wǎng)之間采用工業(yè)網(wǎng)閘隔離，其中辦公網(wǎng)分為辦公核心區(qū)、DMZ區(qū)(Demilitarized Zone，中文名稱為“隔離區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問(wèn)用戶不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū))、辦公服務(wù)器區(qū)、安全運(yùn)維區(qū)、辦公區(qū)、視頻專網(wǎng)多個(gè)區(qū)域；生產(chǎn)網(wǎng)分為生產(chǎn)網(wǎng)核心區(qū)、生產(chǎn)服務(wù)器區(qū)、安全管理區(qū)及各生產(chǎn)車(chē)間區(qū)等多個(gè)區(qū)域。

    (2)在辦公核心區(qū)部署防火墻、入侵防御及防病毒設(shè)備，避免互聯(lián)網(wǎng)側(cè)及集團(tuán)網(wǎng)絡(luò)側(cè)的安全威脅向企業(yè)內(nèi)部滲透，對(duì)企業(yè)對(duì)外網(wǎng)絡(luò)應(yīng)用服務(wù)進(jìn)行安全監(jiān)測(cè)。

    (3)對(duì)企業(yè)重點(diǎn)數(shù)據(jù)服務(wù)器進(jìn)行改造，統(tǒng)一運(yùn)行在應(yīng)用服務(wù)區(qū)進(jìn)行重點(diǎn)安全防護(hù)，對(duì)重要數(shù)據(jù)服務(wù)器的數(shù)據(jù)庫(kù)操作行為進(jìn)行審計(jì)及管理。在車(chē)間部署工控漏掃系統(tǒng)定期對(duì)生產(chǎn)網(wǎng)絡(luò)中的工業(yè)設(shè)備、重點(diǎn)服務(wù)器及操作終端進(jìn)行脆弱性檢查，防止因系統(tǒng)漏洞造成的安全隱患出現(xiàn)。

    (4)對(duì)重點(diǎn)生產(chǎn)區(qū)的接入、匯聚層交換機(jī)進(jìn)行網(wǎng)絡(luò)改造，將辦公終端與生產(chǎn)網(wǎng)絡(luò)設(shè)備進(jìn)行分區(qū)改造，并在各生產(chǎn)區(qū)部署工業(yè)防火墻進(jìn)行安全隔離；在各終端部署終端安全防護(hù)系統(tǒng)，避免病毒向核心生產(chǎn)區(qū)滲透，以保障企業(yè)工控系統(tǒng)安全穩(wěn)定運(yùn)行。同時(shí)對(duì)生產(chǎn)網(wǎng)絡(luò)內(nèi)部入侵行為進(jìn)行監(jiān)測(cè)與審計(jì)。

    (5)對(duì)生產(chǎn)區(qū)無(wú)線接入網(wǎng)絡(luò)部署無(wú)線安全管理系統(tǒng)對(duì)無(wú)線設(shè)備進(jìn)行安全防護(hù)，杜絕仿冒AP或非法AP在廠區(qū)出現(xiàn)，防止因無(wú)線造成網(wǎng)絡(luò)滲透或病毒襲擾。

    (6)對(duì)其業(yè)務(wù)中心網(wǎng)絡(luò)設(shè)置安全管理區(qū)，對(duì)整體信息安全進(jìn)行監(jiān)控與審核。

3.2 方案介紹

    安全方案包括安全域劃分、現(xiàn)場(chǎng)工控設(shè)備安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、無(wú)線安全防護(hù)、控制系統(tǒng)脆弱性評(píng)估、應(yīng)用和數(shù)據(jù)安全防護(hù)以及建立工控信息安全管理平臺(tái)等，由于篇幅原因，以下著重介紹作者參與設(shè)計(jì)的網(wǎng)絡(luò)安全防護(hù)的內(nèi)容。

    網(wǎng)絡(luò)安全防護(hù)對(duì)辦公網(wǎng)及生產(chǎn)控制層網(wǎng)絡(luò)進(jìn)行安全防護(hù)，主要是對(duì)網(wǎng)絡(luò)邊界及安全域邊界進(jìn)行訪問(wèn)控制，對(duì)網(wǎng)絡(luò)內(nèi)部進(jìn)行異常監(jiān)測(cè)及數(shù)據(jù)庫(kù)審計(jì)；防止木馬病毒蠕蟲(chóng)感染進(jìn)入工控網(wǎng)中,并且及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常行為。主要安全防護(hù)設(shè)備部署如圖1所示。

3.2.1 出口防火墻與區(qū)域防火墻

    為實(shí)現(xiàn)XX企業(yè)的網(wǎng)絡(luò)出口安全及網(wǎng)絡(luò)安全域間隔離要求，部署區(qū)域防火墻進(jìn)行安全防護(hù)，與集團(tuán)網(wǎng)絡(luò)進(jìn)行隔離，防止非法訪問(wèn)、網(wǎng)絡(luò)入侵及病毒侵?jǐn)_；利用一體化的安全防護(hù)設(shè)備實(shí)現(xiàn)統(tǒng)一安全防護(hù)的目的，提供網(wǎng)絡(luò)安全防護(hù)能力。

    出口一體化安全網(wǎng)關(guān)采用了業(yè)界最先進(jìn)的多核多線程并行運(yùn)算架構(gòu)、業(yè)務(wù)流解析引擎和一體化的軟件設(shè)計(jì)，集成防火墻、VPN、反垃圾郵件、抗拒絕服務(wù)攻擊等基礎(chǔ)安全功能，具有功能與性能兼具的入侵防御(IPS)、防病毒、內(nèi)容過(guò)濾、應(yīng)用識(shí)別、URL過(guò)濾、Web安全防護(hù)等綜合應(yīng)用安全防護(hù)能力，功能全開(kāi)應(yīng)用層性能業(yè)界領(lǐng)先，同時(shí)單位體積性能極高，體積小、耗能低、易維護(hù)。此外，更提供了基于云計(jì)算技術(shù)的智能防護(hù)功能，幫助用戶抵御日益復(fù)雜的安全威脅。防火墻架構(gòu)部署如圖2所示。

3.2.2 工業(yè)網(wǎng)閘設(shè)備

    改造前該企業(yè)辦公網(wǎng)與生產(chǎn)網(wǎng)間未采用安全訪問(wèn)控制措施，來(lái)自不同地址的網(wǎng)絡(luò)流量可以訪問(wèn)企業(yè)內(nèi)所有網(wǎng)絡(luò)地址，安全性非常低。

    針對(duì)該區(qū)域間的安全需求，區(qū)域間安全防護(hù)采用網(wǎng)閘進(jìn)行辦公網(wǎng)與生產(chǎn)網(wǎng)進(jìn)行安全隔離，限制不必要的訪問(wèn)網(wǎng)段，提高網(wǎng)絡(luò)安全強(qiáng)度，用于企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)控制。

    安全隔離技術(shù)的工作原理是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫(xiě)介質(zhì)連接兩個(gè)獨(dú)立的主機(jī)系統(tǒng)，模擬人工在兩個(gè)隔離網(wǎng)絡(luò)之間的信息交換。其本質(zhì)在于：兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接和邏輯連接，不存在依據(jù)TCP/IP協(xié)議的信息包轉(zhuǎn)發(fā)，只有格式化數(shù)據(jù)塊的無(wú)協(xié)議“擺渡”。被隔離網(wǎng)絡(luò)之間的數(shù)據(jù)傳遞方式采用完全的私有方式，不具備任何通用性。

    網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)要想做好防護(hù)的角色，首先必須能夠保證自身系統(tǒng)的安全性，具有極高的自身防護(hù)特性，可以阻止來(lái)自從網(wǎng)絡(luò)任何協(xié)議層發(fā)起的攻擊、入侵和非法訪問(wèn)。網(wǎng)絡(luò)之間所有的TCP/IP連接在安全隔離與信息交換系統(tǒng)上都要進(jìn)行完全的應(yīng)用協(xié)議還原，還原后的應(yīng)用層信息根據(jù)用戶的策略進(jìn)行強(qiáng)制檢查后，以格式化數(shù)據(jù)塊的方式通過(guò)隔離交換矩陣進(jìn)行單向交換，在另外一端的主機(jī)系統(tǒng)上通過(guò)自身建立的安全會(huì)話進(jìn)行最終的數(shù)據(jù)通信，即實(shí)現(xiàn)“協(xié)議落地、內(nèi)容檢測(cè)”。這樣，既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，又進(jìn)行了強(qiáng)制內(nèi)容檢測(cè)，從而實(shí)現(xiàn)最高級(jí)別的通信安全與自身安全性。工業(yè)網(wǎng)閘示意圖如圖3所示。

3.2.3 工業(yè)防火墻設(shè)備

    工業(yè)防火墻設(shè)備全防護(hù)裝置會(huì)將數(shù)據(jù)包會(huì)話接收下來(lái)，然后進(jìn)行協(xié)議解析，再判斷協(xié)議、端口及IP地址等內(nèi)容是否在白名單中，如果在白名單列表中，則繼續(xù)判斷數(shù)據(jù)格式是否正確，里面是否包含病毒，如果確保正確才通過(guò)并下發(fā)到工業(yè)控制網(wǎng)絡(luò)并記錄；如果不在白名單列表中則就直接拒絕，同時(shí)也會(huì)記錄日志。防火墻設(shè)備部署圖如圖4所示。

3.2.4 工控網(wǎng)異常監(jiān)測(cè)系統(tǒng)

    工控網(wǎng)異常監(jiān)測(cè)系統(tǒng)主要負(fù)責(zé)采集工控網(wǎng)絡(luò)中全面數(shù)據(jù)包，最大可支持2.5G網(wǎng)絡(luò)流量的實(shí)時(shí)接收采集，保障工控?cái)?shù)據(jù)采集的完整性。通過(guò)在旁路鏡像獲取到網(wǎng)絡(luò)數(shù)據(jù)包后，對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行基于擴(kuò)展NetFlow的流量分析技術(shù)的處理，轉(zhuǎn)換成獨(dú)有的vFlow。對(duì)于基本參數(shù)字段采用了標(biāo)準(zhǔn)NETFLOWV5的統(tǒng)計(jì)字段；對(duì)于TCP層和應(yīng)用層的擴(kuò)展參數(shù)，則擴(kuò)展插件框架，來(lái)支持了更多的應(yīng)用層協(xié)議識(shí)別，以支持更多工控協(xié)議。

    管理平臺(tái)系統(tǒng)主要針對(duì)采集信息的分析處理及存儲(chǔ)，對(duì)網(wǎng)絡(luò)流秩序自動(dòng)學(xué)習(xí)建立白名單機(jī)制以及工控系統(tǒng)合規(guī)性核查、根據(jù)事件與策略配置生產(chǎn)告警、工控設(shè)備管理、工控設(shè)備性能監(jiān)控、工控漏掃、基線核查、工控風(fēng)險(xiǎn)評(píng)估等功能；同時(shí)提供用戶界面友好的組態(tài)配置界面。技術(shù)架構(gòu)圖如圖5所示。

4 結(jié)論

    通過(guò)建立全面的工業(yè)控制系統(tǒng)信息安全保障體系，達(dá)到保障工業(yè)控制信息安全運(yùn)行、工廠安全生產(chǎn)的網(wǎng)絡(luò)安全的技術(shù)要求，減少企業(yè)的信息安全事件，保障商業(yè)秘密不外泄，實(shí)現(xiàn)了對(duì)工控網(wǎng)進(jìn)行安全區(qū)域劃分并進(jìn)行安全防護(hù)，由此保證了生產(chǎn)控制網(wǎng)和生產(chǎn)管理網(wǎng)的通信安全。并通過(guò)實(shí)時(shí)收集信息安全相關(guān)信息建立相關(guān)的工控系統(tǒng)安全制度流程，提升企業(yè)應(yīng)急響應(yīng)能力和信息安全事件處理效率。

    通過(guò)本方案的實(shí)施，還可以及時(shí)發(fā)現(xiàn)外發(fā)數(shù)據(jù)中潛藏的敏感信息，并能夠及時(shí)阻止敏感信息的外泄行為，幫助企業(yè)發(fā)現(xiàn)本單位內(nèi)的敏感信息泄露事件，解決了傳統(tǒng)防火墻、UTM及IDS束手無(wú)策的敏感信息防泄露的問(wèn)題，其次可以有效減少核心信息資產(chǎn)的破壞和泄漏，從而保護(hù)核心信息資產(chǎn)以及數(shù)據(jù)安全。并且能夠防護(hù)惡意代碼的侵?jǐn)_，精確識(shí)別并防護(hù)常見(jiàn)的Web攻擊。同時(shí)也可以清除終端本地的病毒及木馬，加固了終端自身安全性，從而大量減少了病毒、木馬等的入侵行為，并減少了網(wǎng)絡(luò)出現(xiàn)故障的幾率。從各個(gè)角度保護(hù)了網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

[1] 郭肖旺，閔曉霜，韓慶敏.基于自適應(yīng)深度檢測(cè)的工控安全防護(hù)系統(tǒng)設(shè)計(jì)[J].電子技術(shù)應(yīng)用，2019，45(1)：85-87，91.

[2] 豐大軍，張曉莉，杜文玉，等.安全可信工業(yè)控制系統(tǒng)構(gòu)建方案[J].電子技術(shù)應(yīng)用，2017，43(10)：74-77.

作者信息:

李仕奇，韓慶敏，杜軍釗，李末軍

(華北計(jì)算機(jī)系統(tǒng)工程研究所，北京100083)