工控系统信息安全的设计

摘要：工业控制系统作为智能制造的神经中枢，关系到中国制造2025强国战略目标的实现。受限于国内微电子工业的能力，芯片和操作系统无法安全可控。再加上网络化、信息化，黑客攻击手段更加复杂多样。通过分析工控系统典型威胁、技术上的脆弱性及攻击手段，给出了纵深防御的安全防御方案。该方案对边界隔离、终端加固、内核安全的设计进行详细说明。该方案的实施能够保障工业控制系统的信息安全。

关键词：工业控制系统，信息安全，脆弱性，纵深防御，边界隔离，终端加固，加密技术

1工控系统信息安全面临的威胁及分析

由博莱斯福德（DillonBeresford）实验得出工控系统非常脆弱，并很容易被利用。深究其威胁的根本原因：控制网、生产网、管理网、互联网的连接，TCP／IP协议的普及，类Windows系统广泛使用。

1．1技术对工控系统脆弱性影响

工控设备的脆弱性源于操作系统漏洞、开发工具漏洞、应用软件设计不周、算法问题。硬件芯片依赖进口，硬件缺陷隐蔽性强，难以发现。工控通讯的脆弱性包括企业内集成互联、信息共享，工控系统由信息孤岛向公共平台延伸，意味着工控系统暴露在更大范围、更加虚拟化的攻击者面前。远程运维Web访问远程监控，暴露多、入口多，随时都有被攻击的可能。通讯协议采用通用开放的TCP／IP协议，开放了大量端口，为黑客进攻提供途径。

1．2工控系统安全的攻击手段

随着技术的发展，攻击手段越来越复杂多样，攻击者除了利用工具包、钓鱼攻击等传统感染方式外，还采用了新型攻击手段，如0day漏洞利用、变形木马、隐蔽通道等。同时常用的攻击手段还包括：暴力破解、重放攻击、伪造证书、留后门、远程指令、恶意代码、反射dll注入、DNS欺骗、假冒数据、躲避入侵检测、分布DOS攻击等。

2纵深防御体系设计

以《信息系统安全等级保护基本要求》为依据，按照工业和信息化部印发《工业控制系统信息安全防护指南》的具体办法，采用内外结合纵深防御、综合防范的设计思路，建立从外到内的边界隔离、终端加固、内核安全三重防御体系，从网络、主机、应用、数据等层面加强防护，保障信息系统的保密性、完整性和可用性，指导工业企业开展工控安全防护工作。

2．1边界隔离

区域边界是工控系统主机环境与通信网络之间完成联接的部件。采用网络分区隔离，DCS系统网络相对独立／内部网络划分Vlan。由于各区域边界在进入工控系统核心网络有共同的出口，可在区域边界部署工业防火墙、单向网关对用户访问时的网络访问控制、包过滤防护、入侵防范、安全审计、完整性防护、网络设备自身保护等方面进行安全防护。利用防火墙和单向网关检查数据包的传输方向、源地址、目的地址、端口、传输层协议、MAC地址、时间等，对网络流量内的OPC、Modbus等通用协议进行深度过滤解析，利用白名单与规则匹配方式进行安全防护，只有可信任的设备，才能接入到工控系统网络，只有可信任的数据，才能在网络上传输。对工控系统的异常流量、违规活动、网络攻击行为进行实时监测，并在发现可疑或危险的活动时采取相应的安全措施，如告警、阻断当前连接等。利用防火墙DOS防护功能，有效检测常见的端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。工控系统的连接访问，进行身份认证，提供两种或两种以上的认证方式进行访问控制，实现网络连接的保密性、完整性和唯一性。

2．2终端加固

对工控系统的数据库服务器、上位机（服务器、工作站）等设备，增加对终端设备加固。进行漏洞扫描、网络入侵检测，通过使用主机监控与审计的资源，隔离限制特定进程对特定文件的访问权限等操作，对服务器、终端采用安全操作系统，实时和定时防病毒检测，安装安全补丁，使用集中式的日志服务器管理系统日志，实现强身份鉴别、强制访问控制、程序可信执行保护、恶意代码防护。漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定系统设备的的安全脆弱性进行检测，了解网络的安全设置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级，在被攻击前进行防范。防火墙是被动的防御手段，那么漏洞扫描就是一种主动的防范措施，做到防患于未然。因此漏洞扫描和防火墙互相配合，能够有效提高系统的安全性。网络入侵检测是对防火墙的有效补充，利用特征匹配或异常识别技术检测攻击，实时进行协议分析、网络流量分析，违反安全策略的流量及时报警和防护，实现从事前警告、事中防护到事后取证。可利用入侵监测系统实时记录各种黑客攻击（如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、僵尸网络等）。主机监控及审计系统具备软硬件资产管理、行为管理、网络访问管理、安全漏洞管理、补丁分发管理、审计及报表等功能。对非法接入和违规外联进行阻断，并记录审计日志和告警；使用黑白名单方式管理进程；关闭不需要的网络端口，关闭不需要的网络服务；关闭或拆除主机不需要的软盘驱动、光盘驱动、USB接口、串行口等；根据需要限制单个用户对系统资源的最大或最小使用限度。安装防病毒系统，实时和定时检测／清除病毒，并及时更新病毒代码库和病毒扫描引擎，更新前进行安全性和兼容性测试。各种防护设备的安全审计能够及时发现各种违规行为、攻击行为。此外使用日志服务器对网络设备、服务器、数据库、应用服务等通用计算机软硬件系统以及各种特定业务系统在运行过程中产生的日志、状态、操作等信息的采集，在实时分析的基础上，监测并发现各种异常事件，准确发出实时告警。审计系统同时提供对存储的历史日志数据进行数据挖掘和关联分析，通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告，协助管理人员及时发现安全漏洞。

2．3内核安全

内核的信息安全是纵深防御的最核心部分，它将是信息安全保护的最后一道技术防护闸门，在其它防护手段失效的情况下，内核信息安全设计将给整个系统提供一个强大的防护能力，防止关键数据被篡改、被伪造，以保护工控系统设备的安全。内核安全主要包括数据加密保护、认证机制、通讯保护三部分。对工控系统的上位机、控制器、卡件的重要数据进行加密解密。只有符合条件的，经过授权的机器以及用户才能打开加密的文件，以防止重要数据失窃。采用国密算法，如SM1、SM2、SM3、SM4、祖冲之算法，实现加解密多样性。即同一环网中的不同数据类型采用不同的密钥算法和密钥机制，上下层网络之间采用不用的密钥算法和密钥机制。对上位机、控制器、卡件、应用、操作者身份进行认证确认。设备加入到工业控制系统前，需要进行认证。采用SM2、SM3进行数字签字、密钥交换、公钥加密等处理，采用类似CA认证方式，将公钥和公钥的主人名字（也就是上位机、应用、用户等）联系在一起，加上企业的签名，形成证书。证书由企业来签发，私钥就分发给上位机，每一个上位机、每一个控制器都需要一个私钥，用来证明它的身份。对工控系统的上位机、控制器、卡件相互间通讯数据进行加密保护。通讯前进行认证，采用可靠的认证机制，保证通讯两端都是合法的设备、应用和用户。通讯中的加密采用SSL体制，使用SM3验证数据的完整性，保证数据在发送之后和接收之前没有被篡改，使用序列号来防止重放攻击。

3结束语

随着信息化与工业化融合的深度推进，关键基础设施工控系统已进入工业4．0、工业互联网、智能制造时代。当务之急，利用纵深防御体系思想，指导企业进一步优化技术防护手段，健全工控信息安全标准体系，为工控系统提供可靠安全的运行环境。

参考文献

［1］王小山，杨安,石志强，等．工业控制系统信息安全新趋势［J］．信息网络安全，2015（1）：6－11

［2］向人鹏．火力发电厂控制系统的纵深防御［J］．自动化博览，2015（z2）

［3］周跃，鄢斌，谷会涛，等．计算机网络安全威胁分析及防护体系架构研究［J］．计算机安全，2013（12）：18－21

［4］何之栋，裘坤，钟晨，等．工业控制系统信息安全问题研究［J］．工业控制计算机，2013，26（10）：1－4

［5］晏国勋．加密技术下的信息安全［J］．网络安全技术与应用，2013（8）：100－104

作者：甘先荣  单位：国核自仪系统工程有限公司