★中国民航大学陈佳

1　介绍

工控系统（Industrial Control System，ICS）是重要基础设施的核心，其一旦遭受网络攻击，造成后果影响面广，危害大。因此，保证网络安全是工控系统正常运行的保障^[1]。近年来，国内外学者对工控系统网络安全的研究已成为工程领域与学术领域的研究热点。可信Internet连接和代理外围防火墙提供了强大的Internet网关，主要抵御了来自网络的攻击^[2]，但是无法有效地防止设备漏洞等内部网络威胁。传统的物理隔离方法已经不能满足工控系统功能安全和网络安全的双重需求，如何保障工控系统免遭系统内外威胁和非法入侵，是工控系统网络安全领域面临的巨大挑战。

在现阶段，工控系统传统网络安全防护方法主要包括以下3个方面：（1）基于特征匹配的网络异常检测方法^[3]；（2）基于设备信号偏离的异常检测方法^[4]；（3）基于设备指纹的异常检测方法^[5]。随着工控系统的数字化转型速度加快，云计算、边缘控制和物联网（Internet of Things，IoT）等最新技术导致现有网络边界不断扩大，零信任架构（Zero Trust Architecture，ZTA）已经成为“边界防御”网络安全策略的新架构^[6]。早在2020年，NIST发布了SP800-207零信任架构标准，用于指导网络基础架构设计和操作，提高了任何网络的安全性，涉及范围包括了工控系统^[7]。零信任机制下的工控系统意味着在工控系统中，所有内、外部的设备和用户都被视为潜在威胁，需要持续地对所有设备和用户进行严格的身份认证和授权。因此，设计出一个适合零信任机制下的工控系统安全防护框架显得尤为必要，并在这一框架的基础上，构建基于零信任的安全防御体系，以实现对工控系统的全方位、多层次安全防护。

2　工控系统零信任安全框架设计

在现有工控系统的网络安全基础上引入零信任安全理念是一个重要的举措^[8]。本文设计的安全框架从三个方面确保安全性：终端可信接入、持续信任评估和动态访问控制。首先，终端可信接入确保只有经过身份认证的合法用户才能接入系统，从而防止终端接入异常和误操作的问题。其次，持续信任评估利用持续信任评估技术，对流量进行监测和分析，及时发现和应对异常流量，从而有效防止横向攻击行为。最后，动态访问控制根据用户的身份、行为以及其他上下文信息，动态调整访问权限，确保只有经过授权的用户才能访问系统资源。该框架如图1所示，具备终端可信接入、持续信任评估和动态访问控制的核心安全能力，能够为工控系统安全防护提供可靠的解决方案。

图1 工控系统零信任安全框架图

2.1　终端可信接入

在终端请求访问主站应用层业务资源时，首先需要在可信接入区进行可信身份认证。基础身份认证包括用户ID和密码认证、设备硬件认证以及应用哈希认证等方式，以确保终端设备的真实身份，防止假冒或劫持。基础身份认证是零信任架构的重要基础。在基础身份认证完成后，还需要进行多因素身份认证以增强安全性。这里采用单包授权认证的方法，将设备信息、应用信息和用户信息组合在一个授权包中，利用fwknop等工具实现单包授权认证，确保接入工控系统的设备、应用和用户的可信性。这样的认证流程有效确保了访问请求的合法性和安全性，为工控系统零信任安全框架提供了可靠的基础。

2.2　持续信任评估

用户通过可信身份认证后，则获得对工控系统资源的基础控制权限。然而，在用户与工控系统通信期间，需要进行持续的信任评估。这一过程是零信任安全框架的核心环节之一，其功能是为上层动态访问控制决策引擎提供访问终端的授权策略依据。持续信任评估的实现方式是对用户业务访问流量进行基于基线的异常分析，包括对流量数据包的基础特征和行为特征进行分析，并与用户历史行为对比，以确定用户行为的可信度。通过采集用户历史流量数据并进行训练，可以建立用户流量基线，然后解析用户实时流量数据并分析其行为特征，用作异常检测的依据。在零信任网络中，网络通信被划分为数据平面和控制平面。用户通过数据平面与工控系统进行业务交互，而控制平面则用于发起接入申请。经过信任评估、终端行为基线异常检测以及访问决策代理的处理，可以进行持续身份认证和动态授权，确保网络通信的安全性和可信度。

2.3　动态访问控制

动态访问控制通过接收下层持续信任评估的相关信息，根据最小权限授予策略，基于基础身份信任度、历史访问行为和动态行为信任度进行动态授权评价，是用户访问工控资源控制层的核心。动态访问控制策略库为用户提供授权决策的依据，动态访问控制策略库包括身份信息库、权限数据库、终端风险信息库和决策数据库。通过大数据分析和人工智能技术，对用户行为进行持续评估。

3　工控系统零信任安全防御体系建设

考虑到工控系统业务的复杂性和安全防御的多样性需求，可以借鉴零信任安全等防护理念，建立适合工控系统业务发展和安全防护需求的纵深一体化防御体系^[9]。零信任理念默认网络始终处于潜在的危险环境中，因此用户身份信息、硬件设备信息、访问过程中产生的行为信息以及数据流特征等多维数据可作为认证与鉴权的来源，以确定基于身份的权限授权范围。针对工控系统复杂的组网结构和业务接入特点，通过构建基于零信任的纵深一体化防御体系，可以根据用户不同业务的安全服务需求提供相应的安全保障。这种体系结构能够综合利用多种安全策略和技术手段，包括但不限于身份认证、访问控制、行为分析等，以确保工控系统的安全性和稳定性。同时，该体系结构能够适应工控系统业务发展的需求，可以灵活应对不断变化的安全威胁和攻击手法，提高了系统的整体安全防御能力。

3.1　纵深联动防御机制建设

构建零信任的防御体系模型并不仅限于单一维度的防御技术应用，而是一个由点及面逐步建设推进的过程。这个体系的建设是联动的、动态的、纵深的，并且涵盖了多个维度。整体防御的零信任机制应该尽可能覆盖更多的防御面，并确保这些面能够联动起来。这意味着，在构建零信任的防御体系时，需要考虑到以下几个方面：

联动化：不同的防御措施之间需要联动协作，形成一个整体的防御网络。这样可以确保在检测到攻击或威胁时，能够及时响应并采取相应的防御措施。

动态式：零信任的防御体系需要能够动态地适应不断变化的威胁和攻击手法。这包括实时监测和分析网络流量、用户行为等信息，以及动态调整和优化防御策略。

纵深式：防御体系应该是纵深的，即在不同的层面和环节都设置相应的防御措施，形成多层次的保护。这样即使一层防御被绕过或攻破，仍然有其他层次的防御在起作用。

多维度：零信任的防御体系应该覆盖多个维度，包括但不限于身份认证、访问控制、行为分析、数据加密等。这样可以从不同的角度对网络和系统进行保护，提高了整体的安全性。

3.2　零信任SDP解决接入安全

SDP（Software Defined Perimeter，SDP）是由云安全联盟开发的一种安全框架，它以身份为中心，融合多种判断源，并动态控制对资源的访问过程，旨在解决跨边界企业数据中心资源访问安全的问题^[10]。该设计采用单向敲门认证机制实现网络隐身，从根本上防止网络攻击行为的产生，并进一步实现业务级资源的动态授权访问。

零信任SDP架构通过构建SDP连接发起主机IH（即SDP客户端）、SDP连接接受主机AH（即SDP网关）以及SDP控制器的三角架构，打造零信任隐身网络。这种架构为业务打造无暴露面的隐身入口，在保障合法访问无中断的前提下，规避了来自网络中攻击者的渗透扫描和攻击。

3.3　内部东西向微隔离防御

微隔离（Micro Segmentation）是一种创建业务内部最小化安全域的方法，旨在实现更细粒度的网络安全控制^[6]。其目标是解决传统的“串葫芦式”安全防护手段所无法解决的横向流量防护和云虚拟环境安全防护的问题。传统的网络安全防护通常是基于边界的，将网络分成内部和外部两个部分，并在边界上部署防火墙、入侵检测系统等安全设备来监控和过滤流量。然而，随着网络的复杂性和云计算的普及，传统的边界安全措施已经无法满足对内部流量的细粒度控制需求。微隔离通过将网络划分为多个最小化的安全域，使得不同的业务和应用之间的流量在网络内部也能得到有效的隔离和控制。这种方法可以根据业务需求和安全策略，对不同的业务进行细粒度的访问控制，防止横向攻击和未经授权的内部访问。同时，在云虚拟环境中，微隔离也可以帮助实现对虚拟机、容器等资源的安全隔离和控制，确保云环境的安全性。总的来说，微隔离技术通过创建最小化安全域，实现了更细粒度的网络安全控制，为解决传统安全防护手段无法应对的横向流量防护和云虚拟环境安全防护提供了有效的解决方案。

3.4　身份识别与访问管理

身份访问管理技术（Identity and Access Management，IAM）是一种能够将网络环境中的应用系统、数据库、主机、网络设备和安全设备等资源的账号认证、访问控制和审计工作进行集中化整合的技术^[11]。在零信任体系中，构建高级IAM能力可以实现对所有基于账号的管理、认证、授权和审计进行集中的统一权限管理，从而提升身份识别与访问管理的精细化控制。IAM技术的核心功能包括：

身份管理（Identity Management）：管理用户、组织和设备的身份信息，包括账号创建、管理、修改和删除等操作。

访问控制（Access Control）：控制用户对系统资源的访问权限，包括基于角色的访问控制、基于策略的访问控制等。

认证（Authentication）：确保用户的身份是合法的，常见的认证方式包括密码认证、多因素认证、单点登录等。

授权（Authorization）：根据用户的身份和权限策略，授予用户对系统资源的特定访问权限。

审计（Audit）：记录和监控用户对系统资源的访问行为，以便进行安全审计和追踪。

通过集中化整合身份访问管理技术，可以实现对网络环境中各种资源的访问管控，提高了系统的安全性和可管理性。在零信任体系中，IAM技术扮演着重要的角色，可帮助企业或组织建立起更加细粒度、动态化的访问控制机制，可有效防止未经授权的访问和数据泄露等安全风险。

4　结论

综上所述，本文从零信任安全框架设计、零信任安全防御体系建设两个方面，对基于零信任机制的工控网络安全防护进行了深入研究：从零信任的理念出发，以终端可信接入、持续信任评估和动态访问控制三个方面出发，对工控系统网络安全防护体系架构进行了设计；通过分析工控系统实际业务需求，结合系统业务、网络、数据的网络安全防护要求，并借鉴不同维度的零信任方案，建立了基于纵深联动防御机制建设、零信任SDP解决接入安全、内部东西向微隔离防御和身份识别与访问管理的纵深防御方案。零信任安全框架为整个工控系统的安全防护提供了基础架构，零信任安全防御体系则是基于这一框架的进一步防护机制，两者互为支撑、相互依存，能够为现代工控系统网络安全防护提供一定的理论支持。

作者简介：

陈　佳（1993-），女，山西太原人，助理实验师，硕士，现就职于中国民航大学，研究方向为信息安全。

参考文献：

[1] 王智民, 武中力. 基于零信任的工控系统勒索防御体系[J]. 工业信息安全, 2023, (4) : 50 - 71.

[2] 石进. 基于零信任机制的工控网络安全防御技术研究[D]. 北京: 华北电力大学, 2022.

[3] 薛莹. 基于零信任架构的工业控制系统安全框架及仿真评价机制研究[D]. 兰州: 兰州理工大学, 2022.

[4] 向人鹏. 基于 "零信任" 的工业信息安全防护研究[C]/中国电机工程学会电力信息化专业委员会. 生态互联 数字电力—2019电力行业信息 化年会论文集. 北京天地和兴科技有限公司, 2019 : 4.

[5] 郭宝霞, 王佳慧, 马利民, 等.基于零信任的敏感数据动态访问控制模型研究[J]. 信息网络安全, 2022, 22 (6) : 86 - 93.

[6] 王群, 袁泉, 李馥娟, 等. 零信任网络及其关键技术综述[J]. 计算机应用, 2023, 43 (4) : 1142 - 1150.

[7] 王今, 邹纯龙, 马海群, 等. 基于零信任的公共数据平台安全指数构建研究[J]. 情报科学, 2023, 41 (8) : 18 - 24 + 36.

[8] 蒋宁, 范纯龙, 张睿航, 等. 基于模型的零信任网络安全架构[J]. 小型微型计算机系统, 2023, 44 (8) : 1819 - 1826.

[9] 史永飞. 云内云外融合网络安全纵深防御体系研究[J]. 都市快轨交通, 2022, 35 (6) : 59 - 63.

[10] 吴克河, 程瑞, 姜啸晨, 等. 基于SDP的电力物联网安全防护方案[J]. 信息网络安全, 2022, 22 (2) : 32 - 38.

[11] 陈长松. 零信任架构下的数据安全纵深防御体系研究[J]. 信息网络安全, 2021, (S1) : 105 - 108.

摘自《自动化博览》2024年8月刊