基于国产商用密码和策略协同的工业网络纵深安全防护技术

近年来，在网络空间政治对抗加剧的背景下，工业控制网络面临的安全威胁正在急剧增加，工业安全漏洞数量逐年递增，工控信息安全事件层出不穷，安全威胁加速渗透，攻击手段复杂多样。伊朗“震网”事件、土耳其巴库石油管道爆炸、乌克兰电网停电、委内瑞拉停电事故等安全事故更是说明能源工控环境被攻击所造成的危害巨大，给国内能源行业敲响了警钟，关系国计民生的能源领域的工业控制网络已成为黑客团体攻击的重点目标，建立安全、稳定运行的工业控制环境迫在眉睫。我国高度重视工业信息安全并实施各种举措，《网络安全法》自2017年6月1日起开始实施，对关键信息基础设施的运行安全提出了明确要求。在工信部信软〔2016〕338号文《工业控制系统信息安全防护指南》中，从11个方面对工业控制系统信息安全在管理和技术方面提出了具体要求。2019年5月，国家标准化管理委员会发布GB/T22239—2019《信息安全技术网络安全等级保护基本要求》，专门针对工业控制系统在通信网络、区域边界、计算环境等方面提出了要求，为工业控制系统的网络安全防护提供了重要参考标准。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出，要加强网络安全保护，建立健全关键信息基础设施保护体系，提升安全防护和维护政治安全能力，推动构建网络空间命运共同体。近年来，随着信息化与工业化的深度融合与发展，工业控制网络由传统的工业总线网络发展到工业以太网及工业物联网，工业控制网络已成为由操作技术（OperationTechnology，OT）、信息技术（InformationTechnology，IT）、工业物联网（IndustrialInternetofThings，IIoT）形成的高度混杂融合的网络，其面临的网络威胁与风险愈发复杂，安全形势日益严峻。工业控制网络现场场景差异大且复杂、功能安全与网络安全交织叠加，导致系统整体防护遇到新的挑战。传统分区分域管理防护方式难以实现点面融合的一体化安全防护，因而亟须针对典型行业工业网络特征研究出适应不同场景、不同层次、不同设备的纵深防护和多策略协同的安全体系。1工业网络概述1.1工业网络结构概述在网络信息技术不断发展的背景下，工业网络逐步形成5层体系架构，自下而上分别是现场设备层、现场控制层、过程监控层、生产管理层、企业管理层。在5层网络体系结构中，现场控制层采用Ethernet/IP、Profinet、Modbus/TCP、OPC等专用工业协议支持工控设备间的通信，并建立起与上位系统的通信，这些协议或为标准TCP/IP协议，或为基于IP协议的专用工业以太网协议，监控管理层及以上通信也采用TCP/IP协议。近年来，随着云计算、大数据等新技术的不断发展，工业网络逐步由孤岛运行模式发展为与互联网、云网络互联互通的工业互联网、工业物联网运行模式，使得工业网络系统不再孤立。同时，在工业网络中也出现了传统IT网络中的各种网络安全问题，传统的以物理隔离手段而构建的工业网络安全保障体系将无法起到应有的作用。1.2工业网络特点概述工业控制网络系统有自身的结构特点。首先，在企业工业控制网络系统结构中，现场设备层控制设备主要包括可编程逻辑控制器（ProgrammableLogicController，PLC）、集散控制系统（DistributedControlSystem，DCS）、远程终端设备（RemoteTerminalUnit，RTU）等控制器，除了各服务器，现场监控层和数据采集层还需人机交互，如工程师站、操作员站和管理终端等。这些终端设备在网络安全模型中就是安全边界，终端设备、服务器可直接连接现场控制设备交换数据。同时，这些终端设备的各种接口比如USB，使得移动存储设备可以便利接入，但也方便了各种恶意代码的传播。其次，工业网络尤其是现场控制层及过程监控层网络主要执行的是工业生产任务，其网络协议更多关注的是业务的实时性与可靠性，在协议设计上通常缺乏安全防御机制，以及必要的基于密码的安全防护措施。此外，鉴于工业通信协议的私有性特点，完全照搬传统信息网络安全策略到工业控制系统，将无法起到良好的防护效果。2工业网络纵深安全防护的需求研究工业领域不同行业和不同业务流程存在场景多样性、环境复杂性和协议私有性等特点。工业网络具有网络设备、应用系统、主机、控制设备、执行单元等不同类型、不同层次的安全防护手段，为相关系统和设备提供边界防护、监测审计、安全评估等多种防护技术和措施，但同时也存在协同联动和自动化响应能力不足的问题。针对上述问题，工业网络运营者将需要探寻适应工业领域网络安全多场景、多层次需求的体系化安全防护解决方案，从而实现多种安全防护技术和措施的策略协同和联合防护，构建切合于工业领域业务特点的网络安全防护体系。此外，工业控制网络中还面临着缺乏高效安全的密码防护技术、内生持久免疫能力薄弱、有针对性的安全检测分析手段缺失、跨域安全保障体系不完善等技术难题。这些难题分布在工业网络的不同层级与不同设备中，要解决此类问题，需充分研究与工业网络具体业务相融合的密码防护、内生免疫、智能安全检测需求，基于纵深防御理念，重点突破针对多样性和复杂化工业网络资产的自动化识别和测绘技术，针对私有化工业网络协议的指令级智能化学习和策略控制技术，突破基于工业网络数据和安全数据全流量采集的智能化分析和威胁检测技术，突破工业领域边界防护、监测审计、漏洞分析、终端防护等多种安全措施之间策略协同和响应支撑的技术，设计实现针对工业网络多场景、多层次安全防护措施的智能化安全决策支撑和自动化策略协同体系。3工业网络纵深安全防护的技术框架设计针对工业领域不同行业和不同生产流程下，存在的场景多样性、环境复杂性和协议私有性等问题，面向工业领域的网络、应用系统、主机，以商用密码为基础，围绕工业网络安全防护需求和法律法规政策要求，充分调研各领域工业网络现状及面临的安全威胁，分析工业网络的安全防护需求。在此基础上，以GB/T22239—2019《信息安全技术网络安全等级保护基本要求》、工信部信软〔2016〕338号文《工业控制系统信息安全防护指南》等政策标准为指导，根据工业网络的自身特点、重要程度等，确定工业网络安全等级的划分；对各类典型的工业网络开展安全防护系统设计，形成工业网络风险分析报告、安全防护方案、安全防护技术规范等。在工业网络场景和实际业务相结合的基础上，将主机身份鉴别、网络设备安全接入、用户认证、传输加密、密钥管理和数字认证等技术作为支撑，研制商密工业防火墙、终端安全防护系统、工业网络安全智能监测系统、工控漏洞扫描系统、虚拟专用网（VirtualPrivateNetwork，VPN）安全网关等网络安全防护产品，配合密钥管理、密码服务等实现区域隔离、边界防护、实时监控和漏洞检测，最终形成满足工业网络实际需求的基于商用密码和策略协同的工业网络纵深安全防护系统。工业网络纵深安全防护技术框架如图1所示。图1工业网络纵深安全防护技术框架3.1基于国产商用密码的工业控制网络纵深安全防护技术基于国产商用密码的工业控制网络纵深安全防护技术框架如图2所示。该技术针对工业控制网络中私有协议多、密码应用难度大的问题，深入分析工业控制网络各层级通信网络安全、区域边界安全、计算环境安全及管理安全等多维度的密码应用需求，采用国产商用密码解决接入认证、权限控制、数据加密等关键技术问题，形成了基于国产商用密码的工业VPN、边缘网关、工业隔离网闸、工业主机安全防护系统、（车间级、现场级）工业防火墙、工业装备安全网关等一系列装备，有效解决了生产现场终端弱口令登录、多区域之间的访问未受控制、生产现场终端和网络协议私有化等问题，打造了具备访问控制、行为分析、可靠认证、安全传输的全方位纵深防护保障体系，极大提升了工业控制网络系统安全防护能力。图2基于国产商用密码的工业控制网络纵深安全防护技术框架基于商密的工业控制网络纵深安全防护技术框架采用商密技术，实现对工控系统各层级不同业务场景的安全防护，主要商密应用如下文所述。3.1.1基于商用密码的接入认证和权限控制基于商用密码的接入认证技术采用商用密码算法对接入的关键设备（工程师站、操作员站、PLC等）进行身份认证，防止设备非法接入与访问。当设备接入时，须通过安全防护设备（如防火墙、安全网关等）采用“USBkey+用户/口令”的双因子认证方式对其进行身份认证。USBkey采用SM2证书及相关商用密码算法实现身份确认，使得用户身份认证更加安全。其中，SM2密码算法主要用于证书颁发，SM2WithSM3密码算法主要用于网络设备接入认证。基于商用密码的权限控制在认证服务器侧实现，认证控制服务器维护所有用户的认证和授权信息，负责对一个或多个接入请求提供认证授权服务。认证控制服务器基于标准RADIUS扩展实现对商密算法（SM2/SM3/SM4）的支持，服务器端商密运算则通过置于设备内部的嵌入式商用密码卡实现。设备或用户在通过接入认证之后，由认证控制服务器结合内置的用户授权策略提供对应权限，从而实现对其权限控制。3.1.2基于商用密码的通信数据加密基于商用密码算法的通信数据加密技术采用商用密码算法实现对关键数据链路（分公司与总部、不同作业流程之间、现场工作单元与办公网络等）的通信数据机密性及完整性保护。该技术通过基于商用密码算法的IPSecVPN为用户构建了一个安全加密通道，在该通道中传输的数据都经过加密保护，可保证数据的机密性与安全性。在具体应用上，首先在VPN等安全防护设备内部嵌入硬件商用密码卡组件，实现对SM2、SM3、SM4商密算法的加载。同时，在安全防护设备系统中扩展IPSec对于商密算法套件的支持，采用SM2、SM3等商密算法实现签名认证与密钥协商，采用SM4算法实现数据加密。以商密IPSec技术为载体，通过SM2商密证书技术和SM2/SM3算法实现安全通信隧道创建与密钥协商，最终通过SM4算法实现基于商密技术的工业控制网络通信数据加密传输，并通过SM3算法对数据完整性进行保护。3.2基于策略协同的工业控制网络多层级一体化管控技术工业控制网络的控制设备与场景复杂，不同场景下安全策略制定烦琐且缺乏具有时效性的统一管控手段。针对上述问题，设计了一种基于传统安全防护策略与策略协同联动的统一管控方法。工业控制网络多层级管控模型如图3所示，该模型通过实时感知安全信息，发现安全威胁，预判安全态势，根据不断变化的威胁环境进行自适应调整，生成策略基线；同时，针对业务相近、网络环境趋同的数据信息，通过相互协同收敛，进一步改进策略基线，从而形成智能辅助推荐的动态安全策略。通过统一的策略描述模型，使各管控执行单元都能“理解”，并下发到工业控制网络各功能安全模块，如输入输出管理、信令可信执行与管控、数据安全保护、传输通道加密及一体化内生安全控制器等策略执行环节，从而形成针对本体安全所有要素的策略协同联动及安全管控能力，实现对业务流程、数据和资源的可视化和控制，并提高运行系统的可靠性、稳定性和效率，强化安全防御能力，降低运营成本。图3工业控制网络多层级管控模型基于策略协同的工业控制网络多层级一体化管控技术主要由基于基线自学习模型的白名单策略协同技术和基于策略协同的工业网络多层次纵深防护技术组成。其中，基于基线自学习模型的白名单策略协同技术设计实现了一种网络安全基线生成方法；基于策略协同的工业网络多层次纵深防护技术则利用策略协同技术，对实施中的防护策略加以收敛改进，形成多层纵深、融合管控、协同防护的工控网络纵深防御架构。3.2.1基于基线自学习模型的白名单策略协同技术传统安全防护设备的防护策略，通常需要业务专家、网络安全专家和网络运维人员协同参与安全策略的逐条编制。针对该问题，基于基线自学习模型的白名单策略协同技术设计实现了一种基于全流量的网络安全基线生成方法，如图4所示。在网络正常情况下，对流量通信情况、工艺业务情况进行自动学习，生成白名单策略基线模型，并将生成的白名单策略名单分发给网络中的安全防护设备进行运用。针对工业企业内业务相近、网络环境相似的工业网络，涉及工艺业务服务等的策略基线可相互协同收敛，进一步改进策略。采用该技术后，会针对工业网络形成一个以其为基准进行检测和度量的风险管控手段，实现了从监管层面向防护层面的协同递进，可确保常规网络安全控制，有效保护了工业控制系统的正常作业。通过在各工业网络层次纵深应用该技术，使得安全防护更具针对性。图4基于基线自学习模型的白名单策略协同3.2.2基于策略协同的工业网络多层次纵深防护技术针对工业网络边界关联数据泄露、底层风险渗透等安全问题，本文基于策略协同的工业网络多层次纵深防护技术从设备接入安全、协议安全、数据处理安全等多个核心方面入手，在现场控制层、过程监控层、生产管理层、企业管理层各层边界及关键设施上实施针对性的防护措施，并以策略协同技术加以收敛改进，形成契合等级保护的多层纵深、协同防护的体系架构，如图5所示。利用该体系架构，现已实现对55种工控协议的深度控制、IPv4/IPv6双栈控制、安全隔离和信息交换、装备接口接入管控等核心技术。同时，结合传统信息安全及基于商密的工控网络纵深安全防护技术，进一步打造协同防护架构，形成具备访问控制、行为分析、可靠认证、安全传输的全方位安全防护保障体系，进而形成可复制推广的工业网络安全防护解决方案。图5工业网络多层纵深、协同防护体系架构4工业网络纵深安全防护技术的实现和应用面向工业网络各领域的商密版工业防火墙产品，根据特定领域的具体要求，在商用密码技术应用、工业协议深度解析与控制、自主可控等技术功能方面进行适配研究与开发。面向工业网络各领域的基于商用密码技术终端安全防护系统，在身份鉴别系统和主机监控与审计系统产品的基础上，对商用密码技术在身份鉴别、进程白名单、外设控制、违规外联等安全功能方面进行了适配研究与开发。面向工业网络各领域的VPN安全网关产品，重点在商用密码技术应用、工控网络低时延、系统自愈可靠性等方面进行了适配研究与开发。面向工业网络各领域的工控漏洞扫描系统，在工控协议、设备指纹、工控漏洞、自主可控等技术功能方面进行了适配研究与开发。面向工业网络各领域的网络安全智能监测系统产品，采用了基于基线自学习模型的白名单策略协同技术，在工控网络资产识别、威胁分析、网络可视化、自主可控等技术功能方面进行了适配研究与开发。结合工业网络众多安全设备的集中管理和策略协同防护的需求，研究并开发了工业网络安全态势分析和管理系统，重点研究了实现