0 引言

    自2010年震網(Stuxnet)病毒爆發后，國家非常重視國家基礎設施的信息安全問題。此后在2012年6月，國務院發布《國務院關于大力推進信息化發展和切實保障信息安全的若干意見(國發[2012]23號)》中明確要求：“保障工業控制系統安全。加強核設施、航空航天、先進制造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要領域工業控制系統，以及物聯網應用、數字城市建設中的安全防護和管理，定期開展安全檢查和風險評估。重點對可能危及生命和公共財產安全的工業控制系統加強監管。”

    本文介紹了為XX企業智能工廠提供的信息安全解決方案。工業控制系統擁有提高效率、節能降耗、節省人力成本、促進產業升級的明顯效果。通過建立全面的工業控制系統信息安全保障體系，達到保障工業控制信息安全運行、工廠安全生產的目的，并由此減少企業的信息安全事件，保障商業秘密不外泄。

1 項目背景

    在2015年12月，工信部印發《2015年工業行業網絡安全檢查試點工作方案的通知》。在反復檢查調研后，了解到先進制造、軌道交通、電力、石油石化等各行業工業控制系統絕大多數采用國外的控制系統，并且面臨著實際因U盤管理不規范、遠程運維不規范、邊界未隔離等原因造成的網絡病毒蠕蟲、誤操作或泄密及影響生產等問題，迫切需要實際的防護指南進一步指導。

    因此，為貫徹落實《國務院關于深化制造業與互聯網融合發展的指導意見》，保障工業企業工業控制系統信息安全，工信部制定《工業控制系統信息安全防護指南》并于2016年11月3日發布，要求地方工業和信息化主管部門根據工業和信息化部統籌安排，指導本行政區域內的工業企業制定工控信息安全防護實施方案，推動企業分期分批達到本指南相關要求。

    伴隨兩化融合的實施，先進制造業生產制造中的信息安全問題顯得越來越突出，一旦網絡被攻陷，不僅會破壞精密機床設備，也會泄密企業的技術信息，一方面損壞企業形象，另一方面會對國家和社會造成嚴重不良影響。

    XX企業主要從事軌道交通車輛關鍵零部件研發、設計、制造和服務，為保護自身網絡及核心技術安全，計劃通過本次項目對網絡進行改造，提升整體網絡安全防護能力^[1-2]。

2 現狀與風險概述

    XX企業擁有多條生產軌道交通零部件的生產線，生產工序覆蓋從冶煉到輪對總成全部流程，可以滿足軌道交通機、客、貨、動全系列及工礦冶金等產品的制造需求。

    企業已成功實施MES、OA、LIMS、ERP等信息管理系統,并且將具有感知、監控能力的各類采集、控制傳感器或控制器，以及移動通信、智能分析等技術融入到了工業生產過程各個環中。還基于各種網絡互聯技術，從工業設計、工藝、生產、管理、服務等涉及企業從創立到結束的全生命周期串聯起來。通過這些積累下來的數據還可以實現產品全生命周期的管理，為打造先進的全自動數字化智能工廠打下夯實的基礎。所以安全的、健康的網絡環境就顯得尤為重要。

    經過深入企業進行現場調研和技術交流發現，該企業生產車間的辦公網、生產網通過核心交換機連在一起。各車間與業務相關的應用系統和輔助管理系統、服務器、主要網絡設備均運行在同一網絡內。生產網與辦公網僅通過VLAN和ACL等策略進行網絡訪問進行限制或隔離，暫無其他相關網絡安全防護措施。

    經實際現場訪談與勘察發現，工業控制系統面臨的信息安全問題主要有以下幾方面：

    (1)網絡核心節點互聯互通，未進行安全加固，缺乏安全管控設備，存在嚴重的信息安全隱患；

    (2)生產車間多臺上位機、服務器被惡意攻擊，在車間發現有設備關聯境外IP、域名，具體威脅影響不明確；

    (3)高精類數控設備通過使用U盤或連入網絡傳輸數據，可能會被傳染病毒或惡意代碼，進而嚴重影響生產的產量、質量及效率。

    (4)未對工業控制網絡區域間進行隔離、惡意代碼、異常監測、訪問控制等一系列的防護措施，很容易發生病毒或攻擊，影響全部車間甚至整個企業。

    (5)未對操作站主機及服務器端進行必要的安全配置，使得一旦能接觸訪問到該主機則被攻擊的成功機會很高。

    (6)對相關人員的操作未進行審計記錄，一旦發生安全事件后很難取證。

    (7)未對設備及日志進行統一管理，使得相關工控系統事件不能統一收集、分析，不易關聯分析設備間的事件和日志，難于及時發現復雜的問題。

3 系統安全防護總體防護設計

3.1 總體設計

    針對企業發現的安全風險,按照輕重緩急原則，從以下五個方面進行整改：

    (1)對制造企業網絡按照信息安全等級劃分成兩大部分：辦公網與生產網。兩網之間采用工業網閘隔離，其中辦公網分為辦公核心區、DMZ區(Demilitarized Zone，中文名稱為“隔離區”。它是為了解決安裝防火墻后外部網絡的訪問用戶不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區)、辦公服務器區、安全運維區、辦公區、視頻專網多個區域；生產網分為生產網核心區、生產服務器區、安全管理區及各生產車間區等多個區域。

    (2)在辦公核心區部署防火墻、入侵防御及防病毒設備，避免互聯網側及集團網絡側的安全威脅向企業內部滲透，對企業對外網絡應用服務進行安全監測。

    (3)對企業重點數據服務器進行改造，統一運行在應用服務區進行重點安全防護，對重要數據服務器的數據庫操作行為進行審計及管理。在車間部署工控漏掃系統定期對生產網絡中的工業設備、重點服務器及操作終端進行脆弱性檢查，防止因系統漏洞造成的安全隱患出現。

    (4)對重點生產區的接入、匯聚層交換機進行網絡改造，將辦公終端與生產網絡設備進行分區改造，并在各生產區部署工業防火墻進行安全隔離；在各終端部署終端安全防護系統，避免病毒向核心生產區滲透，以保障企業工控系統安全穩定運行。同時對生產網絡內部入侵行為進行監測與審計。

    (5)對生產區無線接入網絡部署無線安全管理系統對無線設備進行安全防護，杜絕仿冒AP或非法AP在廠區出現，防止因無線造成網絡滲透或病毒襲擾。

    (6)對其業務中心網絡設置安全管理區，對整體信息安全進行監控與審核。

3.2 方案介紹

    安全方案包括安全域劃分、現場工控設備安全防護、網絡安全防護、無線安全防護、控制系統脆弱性評估、應用和數據安全防護以及建立工控信息安全管理平臺等，由于篇幅原因，以下著重介紹作者參與設計的網絡安全防護的內容。

    網絡安全防護對辦公網及生產控制層網絡進行安全防護，主要是對網絡邊界及安全域邊界進行訪問控制，對網絡內部進行異常監測及數據庫審計；防止木馬病毒蠕蟲感染進入工控網中,并且及時發現網絡異常行為。主要安全防護設備部署如圖1所示。

3.2.1 出口防火墻與區域防火墻

    為實現XX企業的網絡出口安全及網絡安全域間隔離要求，部署區域防火墻進行安全防護，與集團網絡進行隔離，防止非法訪問、網絡入侵及病毒侵擾；利用一體化的安全防護設備實現統一安全防護的目的，提供網絡安全防護能力。

    出口一體化安全網關采用了業界最先進的多核多線程并行運算架構、業務流解析引擎和一體化的軟件設計，集成防火墻、VPN、反垃圾郵件、抗拒絕服務攻擊等基礎安全功能，具有功能與性能兼具的入侵防御(IPS)、防病毒、內容過濾、應用識別、URL過濾、Web安全防護等綜合應用安全防護能力，功能全開應用層性能業界領先，同時單位體積性能極高，體積小、耗能低、易維護。此外，更提供了基于云計算技術的智能防護功能，幫助用戶抵御日益復雜的安全威脅。防火墻架構部署如圖2所示。

3.2.2 工業網閘設備

    改造前該企業辦公網與生產網間未采用安全訪問控制措施，來自不同地址的網絡流量可以訪問企業內所有網絡地址，安全性非常低。

    針對該區域間的安全需求，區域間安全防護采用網閘進行辦公網與生產網進行安全隔離，限制不必要的訪問網段，提高網絡安全強度，用于企業內部網絡的訪問控制。

    安全隔離技術的工作原理是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立的主機系統，模擬人工在兩個隔離網絡之間的信息交換。其本質在于：兩個獨立主機系統之間，不存在通信的物理連接和邏輯連接，不存在依據TCP/IP協議的信息包轉發，只有格式化數據塊的無協議“擺渡”。被隔離網絡之間的數據傳遞方式采用完全的私有方式，不具備任何通用性。

    網絡安全隔離與信息交換系統要想做好防護的角色，首先必須能夠保證自身系統的安全性，具有極高的自身防護特性，可以阻止來自從網絡任何協議層發起的攻擊、入侵和非法訪問。網絡之間所有的TCP/IP連接在安全隔離與信息交換系統上都要進行完全的應用協議還原，還原后的應用層信息根據用戶的策略進行強制檢查后，以格式化數據塊的方式通過隔離交換矩陣進行單向交換，在另外一端的主機系統上通過自身建立的安全會話進行最終的數據通信，即實現“協議落地、內容檢測”。這樣，既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，又進行了強制內容檢測，從而實現最高級別的通信安全與自身安全性。工業網閘示意圖如圖3所示。

3.2.3 工業防火墻設備

    工業防火墻設備全防護裝置會將數據包會話接收下來，然后進行協議解析，再判斷協議、端口及IP地址等內容是否在白名單中，如果在白名單列表中，則繼續判斷數據格式是否正確，里面是否包含病毒，如果確保正確才通過并下發到工業控制網絡并記錄；如果不在白名單列表中則就直接拒絕，同時也會記錄日志。防火墻設備部署圖如圖4所示。

3.2.4 工控網異常監測系統

    工控網異常監測系統主要負責采集工控網絡中全面數據包，最大可支持2.5G網絡流量的實時接收采集，保障工控數據采集的完整性。通過在旁路鏡像獲取到網絡數據包后，對數據包內容進行基于擴展NetFlow的流量分析技術的處理，轉換成獨有的vFlow。對于基本參數字段采用了標準NETFLOWV5的統計字段；對于TCP層和應用層的擴展參數，則擴展插件框架，來支持了更多的應用層協議識別，以支持更多工控協議。

    管理平臺系統主要針對采集信息的分析處理及存儲，對網絡流秩序自動學習建立白名單機制以及工控系統合規性核查、根據事件與策略配置生產告警、工控設備管理、工控設備性能監控、工控漏掃、基線核查、工控風險評估等功能；同時提供用戶界面友好的組態配置界面。技術架構圖如圖5所示。

4 結論

    通過建立全面的工業控制系統信息安全保障體系，達到保障工業控制信息安全運行、工廠安全生產的網絡安全的技術要求，減少企業的信息安全事件，保障商業秘密不外泄，實現了對工控網進行安全區域劃分并進行安全防護，由此保證了生產控制網和生產管理網的通信安全。并通過實時收集信息安全相關信息建立相關的工控系統安全制度流程，提升企業應急響應能力和信息安全事件處理效率。

    通過本方案的實施，還可以及時發現外發數據中潛藏的敏感信息，并能夠及時阻止敏感信息的外泄行為，幫助企業發現本單位內的敏感信息泄露事件，解決了傳統防火墻、UTM及IDS束手無策的敏感信息防泄露的問題，其次可以有效減少核心信息資產的破壞和泄漏，從而保護核心信息資產以及數據安全。并且能夠防護惡意代碼的侵擾，精確識別并防護常見的Web攻擊。同時也可以清除終端本地的病毒及木馬，加固了終端自身安全性，從而大量減少了病毒、木馬等的入侵行為，并減少了網絡出現故障的幾率。從各個角度保護了網絡的安全。

參考文獻

[1] 郭肖旺，閔曉霜，韓慶敏.基于自適應深度檢測的工控安全防護系統設計[J].電子技術應用，2019，45(1)：85-87，91.

[2] 豐大軍，張曉莉，杜文玉，等.安全可信工業控制系統構建方案[J].電子技術應用，2017，43(10)：74-77.

作者信息:

李仕奇，韓慶敏，杜軍釗，李末軍

(華北計算機系統工程研究所，北京100083)