★ 张志伟，丰存旭浙江中控技术股份有限公司

摘要：工业控制系统在发展之初是相对封闭和独立的，传统工业控制系统安全防护往往采用物理隔离等方式。随着通信信息技术的发展和深入应用，整个工业控制系统可与数据采集网、生产管理网和办公网实现信息互联和数据交互。网络蠕虫、永恒之蓝、震网等病毒的攻击，工控系统漏洞的利用，互联网、可移动存储介质、设备未经授权的操作及人为因素等使得网络安全问题直接延伸到工业控制系统，导致工业控制系统固有漏洞和攻击面不断增加，易引发工业生产的紧急停车、设备故障，或影响工控系统组件的可靠性和灵敏度，由此产生的安全事件或事故也日趋增多，给传统工业控制系统防护体系带来严峻挑战。本文针对工控网络存在的信息安全风险进行深入剖析，细致挖掘工控企业信息安全痛点，围绕满足政策合规和工控网络安全能力提升需求开展安全设计，达到纵深防御效果，全生命周期提升工控网络安全防护水平。

关键词：工控安全；主机加固；信息安全

1 引言

随着工控企业信息化的推进，MES和EMS的建设越来越多，原本相互独立的DCS、PLC、仪器仪表及SCADA等控制子系统需要通过网络和信息系统连接在一起。这些子系统负责完成控制任务，一旦受到恶性攻击和病毒感染，就会导致工业控制系统的控制组件和整个生产线被迫停止运转，甚至造成人员伤亡等严重后果。

2 工控网络安全现状

（1）网络边界安全控制能力较弱，入侵及威胁传播防御能力差

尽管进行了网络分段隔离（有的企业甚至没有做隔离），各层通常没有防火墙或者其他安全访问控制策略，数据交互随意，导致攻击进入任意层次后都会比较容易直接威胁到现场设备层对设备的控制。同时，随着跨装置应用的丰富，各装置的网络连接也缺乏足够的边界保护。

（2）计算机及工控系统严重漏洞检测及处理不及时，系统安全风险大

工控企业PC终端、服务器、PLC控制器等普遍存在系统安全漏洞，包括能够造成远程代码执行攻击和越权执行的严重威胁类漏洞。由于设备、协议多导致管理难度大，以及企业专业技能缺乏、安全认识不足等现实问题，造成工业控制系统的补丁管理困难，难以及时处理威胁严重的漏洞。

（3）违规操作及越权行为监控不力，主机安全不可控

缺乏对移动介质的安全管控，操作人员直接通过主机USB接口、串口、光驱等外设进行文件、程序等传输，是当前病毒感染的主要途径之一；企业由实施阶段进入生产运维阶段后，任意接入计划外操作站、移动笔记本、网络设备，甚至违规接入互联网等行为都是重大安全隐患。

（4）基于工控协议的安全保护机制欠缺，缺乏针对性

专有的工业控制通信协议或规约在设计时通常更强调通信的实时性及可用性，对安全性普遍考虑不足，比如缺少足够强度的认证、加密、授权等。随着Modbus、OPC、SiemensS7、IEC104等工业协议的广泛认知提升，攻击者更容易掌握协议的格式和内容，对PLC等系统的攻击变得更加容易，因此针对工控协议的安全防范就更加重要。

（5）缺乏网络攻击行为动态监测部署，主动防御能力欠缺

随着针对工控系统的攻击行为的增加，互联网中攻击方式多、病毒传播快、变种快等特征也很快被应用到工业领域。传统防御以不断丰富病毒知识和攻击特征来预防非法网络行为，缺乏主动学习能力，因此如何动态监测攻击行为并进行预测性主动防御将是未来工控安全建设的关键技术。

（6）重要操作站和工程师站数据备份恢复措施缺失

工控现场重要的组态数据会通过移动存储介质进行离线备份，通常备份周期很长，难以做到定期自动备份。当前勒索病毒频发，现有备份方案面对勒索病毒等严重病毒危害不足以有效应对。

3 工控网络安全设计

以“纵深防御”为指导思想，遵照网络安全等级保护2.0相关标准，在工控系统安全需求的基础上，建立预警、防护、检测、响应自适应闭环的安全防护体系，同时为工控系统提供可定制的安全服务，全面感知工控系统遇到或可能遇到的网络安全风险，提升系统的整体安全防御能力，构建单位可信、可控、可管的安全防护体系。建设工控安全技术体系，体现“一个中心，三重防护”。一个中心是指安全管理中心，三重防护是指通信网络、区域边界和计算环境的防护。

3.1 工业网络边界防护

在控制器与各计算机系统之间部署工业防火墙。一方面通过访问控制策略限定指定的计算机才能访问控制器，管控网络通信对象，降低计划外设备非法访问风险；另一方面，通过OPC、Modbus/TCP、Modbus/RTU、Siemenss7、IEC 104等多种工业协议深度解析支持，实现指令级别的过滤防护，避免来源于HMI等计算机的非法控制命令下达。

工控网络不同装置之间部署具有工业协议深度解析功能的工控防火墙，实现针对工控网络及工业协议的逻辑隔离、报文过滤、访问控制等功能。通过加装工业防火墙，并配置防火墙安全规则（包过滤、规则学习、攻击防护、IP/MAC等）可以有效实现对工业控制系统边界及工业控制系统内部不同控制区域之间的边界防护。

3.2 工业主机安全

工控网络操作站、工程师站等主机采用“白+黑”防护机制为目标主机提供多层次安全保护。根据白名单列表对可执行文件的执行进行监控，白名单内的可执行文件允许执行，对白名单外的可执行文件阻止执行，有效阻止病毒、木马及0-day漏洞的感染和被利用，保障工控主机安全。同时该机制具备强大黑名单功能，可对系统文件进行深度扫描，识别并查杀恶意代码。主机安全卫士具有网络防护功能，仅允许白名单内的程序和端口进行网络访问；支持对重要文件的保护，仅允许特定的程序访问。主机安全卫士软件满足符合性、连续性和可靠性的设计原则，内存占用和CPU使用率低，具备强大的自身安全性和易管理性。

3.3 工业网络监测审计

工控网络部署入侵检测系统实现攻击行为检测。系统通过对工控网络流量的采集、分析和监测，进行特征提取并与规则库进行匹配，快速有效识别出工业控制网络中存在的网络异常行为和网络攻击行为，并进行实时告警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。

（1）入侵检测系统能够监视整个网络、子网或者某一特定协议、地址及端口的报文流量和字节流量，进行实时统计和展示，还可通过对网络流量数据的分析，发现网络异常行为或攻击行为。

（2）入侵检测系统内置大量关联分析场景，如认证登录、授权行为、违规行为、系统变更、攻击入侵、敏感操作和设备故障等，通过事件关联分析引擎，可从低风险的事件中实时发现高风险的网络攻击和违规行为。

（3）采用机器学习算法学习特定工控系统通信行为，形成可信网络行为规则。

3.4 工业安全管理

在工厂生产网核心交换机上，建立单独的工控安全运维管理区，实现对工厂的工控网络安全管理中心功能。安全管理中心设计策略如下：

（1）安全管理平台，对工业环境中的主机进行安全状态监测和工业主机防护系统的集中管理和监控；

（2）安全管理平台，对工控网络监测状态、工业主机安全状态、工控网络安全事件等安全信息进行集中收集和处理，对工控网络安全态势进行分析、展示和报警；

（3）安全管理平台，对工控环境中的工业防火墙和主机安全防护系统进行集中管理，并对防火墙和主机安全防护系统日志进行统一采集和告警分析；

（4）工业日志审计系统，对工控系统的网络设备、安全设备及工业主机日志信息进行集中收集和审计分析。

3.5 工业网络设备安全设计

针对工控企业工业网内大量的工业交换机、路由器、防火墙等网络和安全设备进行安全加固，加固内容至少应包括：

（1）加密保存系统账户口令；

（2）采用SSH进行远程管理；

（3）限制远程管理地址；

（4）启用账户口令复杂度策略；

（5）启用账户登录失败处理策略；

（6）修改默认账户，删除多余账户；

（7）启用日志审计，并将日志集中上传至日志服务器；

（8）对交换机和路由器进行基线加固配置，关闭不必要的服务和端口，手动关闭交换机、路由器、防火墙等设备空闲端口；

（9）在交换机上设置MAC地址与端口绑定和MAC地址与IP地址绑定功能。

3.6 工业应用系统安全设计

对工控企业工业网内的DCS、PLC、SCADA等工业控制软件和业务数据从软件属性的合法性、文件数据的完整性、保密性、身份鉴别、口令、恶意输入、补丁更新、信息真实性、拒绝服务、中间人攻击、重放攻击、信息嗅探、内存漏洞等方面进行梳理防护，实现DCS、SIS、PLC等工控业务安全，保障生产持续稳定进行。业务安全设计策略如下：

（1）根据密码管理策略设置业务应用系统用户密码，密码长度和组成满足口令复杂度要求，并定期更换；

（2）对工控系统配置文件中涉及到的操作系统、数据库管理系统等的用户口令应采用MD5等单向加密方式进行加密处理，禁止将明文口令填写在配置文件中；

（3）删除临时账户和测试账户，重命名默认账户，修改其默认口令，限制其访问权限，禁止匿名用户登录；

（4）通过工业安全监测系统对工业用户操作行为进行安全审计；

（5）对应用系统审计日志进行集中保存和分析，保存期限至少6个月；

（6）对通过人机接口和程序接口输入的数据进行有效性检查。

3.7 备份恢复系统设计

部署数据备份恢复系统，针对重要工程师站和历史趋势服务器进行定期的自动化数据备份。当现场重要终端遭受病毒攻击或硬件故障时，可以通过备份恢复服务器进行数据恢复。

4 工控网络安全建设收益

本文所述针对工控企业常用网络架构，以分层分区为原则进行工控安全设计，以主动防范、及时发现、快速处理为目标来提升工控安全防御能力，主要达到了以下效果：

（1）各层次、各区域之间有效隔离防护：通过防火墙限定通信对象和内容，阻断非法入侵和危险传播。其中工业防火墙还可以进行基于协议解析的控制命令过滤，重点保护PLC控制器安全，保证生产正常进行。

（2）工控入侵检测系统：动态监测网络信息流，及时发现传统网络木马病毒入侵行为、针对工控设备的攻击行为、未知设备接入和工控网络流异常变化趋势等，报警联调防护设备。

（3）违规操作监测和预防：实时监控外设使用情况和运行进程，设置管理策略，预防设备违规接入和计划外软件安装行为，杜绝内部威胁传播。

5 结束语

综上所述，在工控现场基于纵深防御工控网络安全架构开展网络安全建设，在满足政策法规的同时提升工控网络的安全防护能力和水平，确保工控网络安全稳定运行，为现场装置安稳长满运行保驾护航。

作者简介

张志伟（1987-），男，河南林州人，中级工程师，现就职于浙江中控技术股份有限公司，主要研究方向为工控安全。

丰存旭（1984-），男，甘肃庆阳人，中级工程师，现就职于浙江中控技术股份有限公司，主要研究方向为工控安全。

参考文献：

[1] 李强, 田慧蓉, 杜霖, 刘晓曼. 工业互联网安全发展策略研究[J]. 世界电信, 2016, (4) : 16 - 19.

[2] 张伟, 于目奎, 罗显科. 钢铁企业工控安全研究与设计[J]. 工业加热, 2020, (4) : 48 - 52.

[3] 陆赞. 基于工业控制系统的安全体系建设研究[J]. 中国管理信息化, 2016, 19 (13) : 117 - 119.

[4] 孙易安, 井柯, 汪义舟. 工业控制系统安全网络防护研究[J]. 信息安全研究, 2017, 3 (2) : 171 - 176.

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》