工业控制系统信息安全防御及解决方案

工业控制系统信息安全防御及解决方案工业控制系统是由工业自动化生产设备，如PLC、RTU、DCS系统等组成，不同于IT网络，工业控制系统有着专有的通信协议和通信机制。由于相对独立的使用环境，工业控制系统多重视系统的功能实现，对安全的关注相对缺乏。因此工业控制系统存在大量的安全缺陷，这些缺陷使工业控制系统极其脆弱。随着工业信息化的快速发展以及工业4.0时代的到来，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益，工控网络会越来越开放，不可能完全的隔离，给工控系统网络安全防护带来了挑战。一、工业控制系统信息安全威胁近年来，各个工业行业频发的信息安全事故表明，一直以来被认为相对安全、相对封闭的工业控制系统已经成为不法组织和黑客的攻击目标，黑客攻击正在从开放的互联网向封闭的工控网蔓延。多个重要且关乎国计民生的行业，如电力、石油、石化、天然气、军工等均遭受到了严峻的工业控制网络安全威胁，急需加大在工业控制网络安全方面的投入，防止工业企业受到针对工控网络的攻击。如何解决工控安全问题已成为企业面临的严峻挑战，受到越来越多的工业企业的关注，并且得到了国家的高度重视。针对关乎国家经济命脉的电力、石油、石化、军工等行业，国家在鼓励要求提高工业信息化的同时，将网络安全问题提升到了国家战略层面，并要求各级政府部门和相关企业加大对于工控安全技术的研发力度，加速推进相关技术和解决方案的完善以及相关政策标准的推出。二、工业控制系统信息安全防御建议工业控制系统安全的重要性及其普遍安全防护措施不足的现实，使得加强工业控制系统的安全性来说无疑是一项相对艰巨的任务。结合工业控制系统自身的安全问题，本文提出一些安全建议，具体有：1、加强对工业控制系统的脆弱性研究，提供针对性的解决方案和安全保护措施；2、尽可能采用安全的通信协议及规范，并提供协议异常性检测能力；3、建立针对工业控制系统的违规操作、越权访问等行为的监管；4、建立完善的工业控制系统安全保障体系，加强安全运维与管理；5、加强针对工业控制系统的新型攻击技术（例如APT）的防范研究。上述描述的安全建议考虑对工业控制系统可能面对的风险进行防护，并尽可能降低相关系统的安全风险级别。但需要意识到由于外部威胁环境和系统技术演变将可能引入新的风险点。系统、人员、商业目标以及内、外部威胁等安全相关因素的任何一个发生改变时，都应建议企业对当前安全防护体系的正确性和有效性重新进行评估，以确定其能否有效应对新的风险。因此工业控制系统的安全保障措施也将是一个持续的改善过程，通过这一过程可使工业控制系统获得最大程度的保护。三、一种工业控制系统信息安全防御解决方案通常工控系统使用的生命周期都很长，目前国内大量工控系统多重视系统的功能实现，未充分考虑到信息安全问题。如何加强工业控制系统信息安全防护、安全增强和运维管理，构建信息安全防御体系，保障生产安全、系统可靠性，是当前亟待解决的问题。1、解决思路区别于传统IT安全思维，以工控系统安全的视角，针对工控系统对可靠性、实时性、稳定性、业务连续性的要求，以及工控系统软件和设备自身的特点，本文提出建立工控系统安全生产与运行的“可信网络白环境”以及“软件应用白名单”概念，进而构建工业控制系统的网络安全“白环境”。2、实施方案网络划分根据工控系统的业务与功能来评估计并划分网络区域，明确各网络区域的边界。控制/数据业务流及协议识别确定网络域之间，工作组之间，服务器、客户端、操作站、监控站之间的控制及数据业务流的传输关系，应用的协议等。建立可信网络域运用可信边界网关、可信区域网关对不同的网络域进行隔离，防护各域的网络边界。阻止来自业务网络的攻击、病毒、木马等感染入侵其它网络域。抑制在某一个网络域中的病毒木马向其它网络传播扩散，缩小安全问题影响范围。配置可信主机及可信服务器根据工作站、服务器等终端设备上运行的工控软件，针对每台终端配置软件白名单，建立工作站、服务器的软件工作“白环境”。建立大数据分析云平台通过可信网关，发现工控网络中的异常行为，攻击入侵行为，定位被攻击点及故障点。收集所有安全防护设备、安全防护软件、工控设备、网络设备日志上传至大数据日志服务器，以供后续分析处理。3、技术特点1）构建白环境，打造安全防御体系不同于IT系统，工业控制系统对可靠性、稳定性要求极高。部分工控系统供应商甚至规定不能私自升级杀毒软件和系统补丁，否则不予提供维保。这便造成了通用杀毒软件在工控系统中沦为了摆设，起不到安全防护的作用。本文提出运用白名单技术思想，建立工控网络“白环境”和软件应用“白名单”的技术方案。通过预先配置和机器自学习方式对工控网络进行安全建模，建立工控网络安全模型，构建工控网络正常通信及工作的“白环境”以及软件“白名单”。此后一旦有违反安全模型的通信、病毒、木马等出现，系统便会进行告警。2）软可信计算，可操作性强如果为每台计算机都配备一个可信计算芯片，对于已有的大量工业控制系统，需要更新主机设备，成本高，可操作性不强。本文提出，在操作系统内核级增加一套安全软件，通过安全软件对操作系统之上的应用软件进行验证，从而建立一个“软可信”计算环境，即软件白名单。此方案不仅成本低廉，而且部署维护简单，实用性强。3）全生命周期管理传统的可信计算、软件白名单聚焦在执行文件启动前的验证，某种执行文件一旦通过验证就不再对其进行安全监控，这种检测方法存在一定缺陷。例如，如果一个合法的软件存在远程缓冲区溢出漏洞，并被攻击者利用，恶意代码直接远程注入到该软件的内存中，典型的可信计算、软件白名单技术是无能为力的。本文提出，可针对工控系统设计了内存完整性检测、操作系统完整性检测、进程内存空间保护、配置文件完整性监控、注册表保护等技术改进。保护一个进程的内存空间的完整性，防止缓冲区溢出攻击。对操作系统完整性检查，发现操作系统完整性被破坏时进行告警。监控和报告系统及程序关键配置文件的更改，需要监控的配置文件可以由管理员定制添加。监控和报告Windows关键注册表项的更改，需要监控的注册表项可以由管理员定制添加。通过以上措施，对一个程序从打开执行到关闭的全生命周期进行监控和防护。四、结束语工业控制系统网络不同于IT网络，工控网络有着专有的通信协议和通信机制。工业控制系统多重视系统的功能实现，对安全的关注相对缺乏。因此工业控制系统存在大量的安全缺陷，给安全生产带来重大隐患。2010年发生的“震网”病毒事件，反映出工业控制系统信息安全威胁的严峻性。2011年9月，工信部印发《关于加强工业控制系统信息安全管理的通知》（工信部协[2011]451号）。《通知》明确加强与国计民生紧密相关领域的工业控制系统安全管理。在安全分析及建议的基础上，本文提出了一种工业控制系统网络控安全解决方案，该解决方