钢铁冶金行业工控安全的研究

2020-11-10靖长续付春刚李春雷

山东冶金 2020年5期

靖长续，付春刚，李春雷

（山信软件股份有限公司，山东济南250101）

1 前言

工业控制系统（ICS）负责不同过程的自动化以及对系统的整体控制，现如今，信息化和工业化得到了深度融合，工业控制产品越来越多采用通用协议、通用软硬件，以各种方式与公共网络连接，严重影响了关键工业基础设施的稳定运行［1］。作为工业控制系统（ICS）得到广泛应用的钢铁冶金行业，工控安全问题尤为突出。

2 工控安全与传统信息安全的差异

ICS 系统从根本上不同于传统的IT 系统，这使保护ICS系统的过程更加复杂。ICS和IT环境之间的差异存在于其整个的产品生命期。对于ICS 系统，生命期一般＞15 a，而IT系统通常每3～5 a更换一次。由于ICS具有实时性，因此其可用性和应急性要求也更高，这使得补丁更新和替换周期难以像IT系统中那样频繁进行。ICS通常在专门的操作环境中使用现成的协议（例如Modbus和DNP3），而不会如IT系统一样额外制定专属的IT协议。本质上，IT 管理数据而ICS管理物理环境，并且实时通信在ICS中至关重要，故而ICS中应急响应更加重要。所以，相对于传统信息安全注重的数据机密性、完整性和可用性，工控安全更注重可用性以保证ICS的连续运行，这就使得容错对ICS非常重要。最后，与IT组件相比，ICS组件中的系统内存往往非常受限制，这进一步增加了保证工控安全的难度。

3 行业隐患

相对于传统信息安全来说，由于工控设备功能简单，设计规范，且大部分的工业协议都不具备安全防护特征，以至于黑客仅需少许计算机知识就可以完成其逆向工程［2］。

钢铁冶金行业对ICS高度依赖，由于在ICS中，从基本的传感器和执行器到高度复杂的可编程逻辑控制器（PLC）由世界各地不同的组件制造商制作，并且各制造商选用的标准以及协议的不同，导致了这种基础架构的复杂性和异构性，并成倍的增加了钢铁冶金行业的受攻击面。钢铁冶金行业在工控安全方面主要存在以下隐患。

3.1 边界隔离问题

典型的钢铁冶金企业网络一般由五层架构组成，如图1 所示。基础的L1 层生产设备控制系统，各分厂的PLC、工程师站等设备分布于此。L2层面向生产过程和控制的PCS（过程控制）系统，包含通讯服务器以及骨干网交换机。这两层在钢铁冶金行业中存在着大量已知和未知的可利用漏洞，随着智慧工厂、物联网的发展，边界越来越多且越来越模糊，这些漏洞所存在的重大隐患也就越发凸显。由于没有进行有效的边界隔离，各区域间通信网络安全隐患重重，当一个系统或区域内爆发工控安全事件后，会轻易地扩散到其他系统或区域里。

图1 典型钢铁冶金企业网络架构

3.2 审计缺失

审计可用于记录、审查主体对客体进行访问和使用情况，保证安全规则被正确执行，并且可以帮助分析安全事故产生的原因。钢铁冶金企业内部通常根据生产产品的不同划分为一个个单独的生产厂区，而各厂区缺少恶意代码监测、异常监测、安全审计等一系列的监测审计措施，由此导致了工控安全事故发生前无法提前预警，工控安全事故发生后，企业也很难查清工控安全事故产生的原因，无法采取有效措施防止相同工控安全事故的再次发生。

3.3 关键设备未进行安全加固

未对工程师站、操作站主机及服务器进行安全加固，不能有效地管理移动外设，工控主机作为上位机极易受到病毒及误操作的影响。带毒USB、光驱等外部设备的接入和使用，为木马和病毒的入侵提供了通道。

3.4 第三方威胁

第三方运维人员（特别是国外的技术人员）在进行现场或远程运维时，由于思维方式和工作习惯的不同以及缺乏对于工控安全的认知，相关人员在运维以及调试过程中很有可能对工业控制系统及网络带来误操作、病毒等安全隐患。

3.5 监控系统分散

未能建立统一的安全管理监控系统，使得相关工控系统事件不能统一收集、分析。当工控安全事件发生时，相关人员不易关联分析设备间的事件和日志，对于复杂的工控安全事故问题难以及时发现，且事后难以形成有效且可信的记录。

4 解决方案

图2 工控安全系统布局

4.1 工业防火墙

在L1、L2 与L3 之间的关键位置部署具有工业协议深度解析功能的工控防火墙，如图2 所示，实现针对工控网络及工业协议的逻辑隔离、报文过滤、访问控制等功能。安装位置为交换机前或后，具体位置视所选型号工业防火墙的接口数量和现场情况而定。若接口数量允许且各通道互不影响，那么将工业防火墙安装在交换机之前，按照设备→工业防火墙→交换机→通讯服务器方式连接；若接口数量不足，那么应安装在交换机之后，按照设备→交换机→工业防火墙→通讯服务器方式连接。通过加装工业防火墙，并配置防火墙安全规则（包过滤、规则学习、攻击防护、IP/MAC等）可以有效实现对工业控制系统边界及工业控制系统内部不同控制区域之间的边界防护［3］。

4.2 安全监测

部署入侵检测系统和工控威胁检测系统，在厂区边界进行安全监测，为了减少对网络的影响，应采用不影响原有网络环境的“轻接触”接入方式分析来自网络内外的入侵信号及APT 攻击。入侵检测系统可以实时监控网络传输，自动检测可疑行为，分析来自网络内部和外部的入侵信号。工控威胁检测系统可以对格式文档溢出特种木马、渗透行为等未知威胁进行有效的检测，发现ATP攻击，及时发现威胁，采取正确的处理措施。

4.3 安全加固

依靠病毒治理、主机加固及工业“白名单”防护技术三合一的主机防护系统，通过部署工控防火墙和主机安全防护系统对关键的工控主机及服务器进行安全加固及审计自查。通过工控防火墙阻止来自管理网不同区域间的安全威胁，对工业控制系统边界及工业控制系统内部不同控制区域之间进行边界防护。通过主机安全防护系统对操作员站、工程师站、服务器等工控主机进行安全加固，实时检测发现和阻止各种主机威胁，对系统关键资源进行防护。通过建立资产、会话、应用通讯数据3 个层次的“白名单”防护机制，防范已知恶意代码和各类未知恶意软件的感染、运行和扩散。

4.4 运维审计系统

建立账号管理及运维审计系统，解决远程连接、第三方运维带来的权限泛滥、非法接入及权责不明等问题。通过对服务器、网络设备、安全设备、工控系统、数据库的访问进行有效管控，实现集中精细化运维管控与审计。通过对分布于工业控制系统网络关键节点的流量提取对工业控制系统中的工控语言进行专项解读，建立工控网络安全审计机制和安全基线，实现安全事件预警。

4.5 安全管理平台

部署安全管理平台，对工控安全设备进行集中管理，对安全设备、网络设备和主机等的日志及告警信息进行收集分析，实现数据的联动分析和集中展示，进而实现态势感知。对服务器、网络设备、安全设备、工控系统、数据库的访问进行有效管控，实现集中精细化运维管控与审计，降低人为安全风险，避免安全损失，满足合规要求，保障企业效益。

4.6 加强人员管理

加强相关人员的管理，增强安全意识，建立标准化管理体系，制定详细措施保证企业员工自己不犯错，建立相关考核体系，对第三方进行管理。提高安全意识，保障所制定的工控安全管控规章制度得到认真的贯彻与落实，加强监管力度，才能为工控安全提供切实的保障。对于核心设备区域以及无人值守的站点采取必要的物理防范措施，如增加视频监控系统、电子门禁系统等阻止相关人员未经授权进入对应区域，也方便事故发生后的审计和追查［4］。