工業控制系統深度防御策略

一、引言

隨工業控制系統（IndustryControlSystem，ICS）面臨遠程維護、非法操作、惡意軟件入侵、非法訪問、與互聯網聯接等帶來的潛在威脅，網絡邊界、訪問控制、通信保護、惡意操作控制、惡意程序防護等方面存在一定的脆弱性，因此單一的防護措施已不再有效。ICS作為工業基礎設施核心，關系到我國經濟發展及國家安全。相關部門應基于深度防御理念，采取多重安全措施搭建安全的ICS，不斷滿足技術發展和商業發展的需要。

二、安全策略部署

全面翔實、科學合理的安全策略部署，對于深度防御策略的實施至關重要。安全策略需要進行年度修訂和評估，以便更好地實現時效性和實用性。

（一）安全策略制定

為提高有效性，安全策略必須具有一定的可操作性，不能嚴重影響生產且占據過高成本，同時還需獲得高層領導的必要支持。所以，安全策略的制定需要高層行政負責人和系統管理員的共同參與。網絡和ICS管理員掌握技術知識，但在執行安全策略時仍需管理層的認證和授權。管理層也必須支持適當的人力資源部署和使用，以保證ICS安全。同時，可以借鑒許多傳統IT安全策略，并與ICS的特定需求進行融合。

（二）安全風險評估

風險評估是理解與定義威脅、漏洞，并為其制定安全措施的基礎。實施深度防御策略首先應進行全方位的安全風險評估，查找并挖掘自身面臨的風險和漏洞。

（三）組建安全團隊

組建一支跨職能的安全團隊，并由高層管理者具體負責。安全團隊應包括全程參與ICS的工程師和管理員，團隊成員需接受相關安全培訓，并掌握在當前ICS架構下所面臨的安全挑戰和風險。安全團隊的主要職責是，制定安全策略和安全流程，以提高安全能力，并有效保護ICS。

（四）操作安全計劃

為防止安全策略對ICS的可用性造成負面影響，應考慮ICS的全部操作性要求。以滿足操作性要求為前提，建立操作安全計劃（OperationalSecurityProgram），其中包括角色與職責、物理安全、訪問控制、區域防御等。

在實施深度防御技術前，應首先制定技術評估計劃、安全采購計劃及貫穿系統生命周期的安全實施計劃。深度防御技術被看作是ICS安全構架的一部分，應標記系統聯接及具備不同安全能力的關鍵區域。

（五）安全培訓

安全培訓是宣傳安全意識重要性的重要環節。在制定安全培訓時，應考慮目的和范圍；資源配置；實施計劃；監控和反饋；效力評估等因素。

所有員工應接受包括執行層、操作層和技術層在內的安全培訓，并針對不同崗位接受不同的培訓內容，例如，網絡安全管理員需接受涉及網絡安全領域內的最前沿動態，如構架設計、防火墻和入侵檢測系統配置等培訓。

（六）事件響應

在ICS中發生突發事件時，需及時采取識別、響應、消除影響、記錄等系列措施。制定詳細的事件響應流程文件，提高事件響應能力，指導員工采取響應措施。事件響應過程中應解決的問題包括：

事件發生或正在發生的標志；應采取的應急措施；通知相關人員的次序；保存收集證據的方法；保管受影響計算機的方法。

ICS取證計劃作為事件響應的一部分，應充分考慮事件的發起者、受害者、發生地、發生時間，并收集足夠的可用證據。為此，美國國家標準技術研究院（NIST）制定了計算機安全事件管理指南SP800-61，為安全工作人員提供事件處理過程的相關指導。

三、深度防御措施

（一）劃分區域

為建立分層防御，需掌握系統聯接處位置，通過建立明確的界限，將ICS架構劃分為獨立區域進行管理。其中，可通過以下方法對ICS進行區域劃分：防火墻；有訪問控制列表的路由器；配置過的交換機；靜態路由和路由表；專用通信媒體。基于普渡控制層次模型（PurdueModelforControlHierarchy）將控制系統分為以下5個區域。

1.外部區域（externalzone）：可聯接互聯網、備份或遠程廠區的區域。該區域不是隔離區（DMZ），但與之聯接的設備往往不被信任。此區域的優先級最低、風險最高。

2.工作區域（corporatezone）：為組織通信區域，郵件服務器、域名系統服務器和IT商業系統構架組件均在此區域內。該區域同外部區域聯接，因此存在潛在安全風險。由于安全態勢具有一定的成熟度及系統的冗余性，工作區域的優先級要高于外部區域，同時低于其他區域。

3.制造/數據區域（manufacturingzone）：即監控區域，是保障組織業務連續性、管理控制網絡的重要區域，操作性設備和管理設備均部署在該區域內。風險點存在于外部區域和工作區域的聯接處，該區域的優先級較高。

4.控制區域（control/cellzone）：聯接可編程邏輯控制器、人機接口和基本輸入輸出設備的區域。該區域內的設備功能可直接影響終端設備，因此該區域的優先級較高。

5.安全區域（safetyzone）：由于該區域中設備可自動控制終端設備的安全級別，因此該區域擁有最高優先級，且風險較低。

（二）部署防火墻

防火墻為不同網絡區域間的通信提供了健壯、復雜的規則，扮演了保護網絡的角色，以防止攻擊者從網絡中獲取所需信息或向網絡中發送文件和命令等。不同的防火墻可部署在OSI模型的不同層中，需根據控制系統的應用和聯接情況及網絡的不同層進行選擇。

1.包過濾防火墻：該類防火墻位于網絡層，根據既定規則，分析流入和流出各獨立網絡的數據包，其中包過濾規則通常與端口數、協議和其他指定數據相關。包過濾防火墻適用于需要快速聯接的系統，并根據設備的地址來制定規則，有助于ICS對特殊應用和協議開展安全防護。

2.代理防火墻：該類防火墻分布在應用層，適用于分析應用程序的內部數據和收集用戶的活動信息。在ICS中，代理防火墻可將商業局域網和控制局域網進行隔離，并為需要特殊應用防護的DMZ和其他資產提供保護。

3.主機防火墻：該類防火墻是保護設備端口和服務的軟件，可建立跟蹤、允許或拒絕數據流的規則。由于工作站、筆記本等其他設備可能會進出ICS，因此將這些移動設備集成主機防火墻，可為ICS增加額外的安全保護。

對于ICS來說，對防火墻進行全面、合理、精確的配置十分重要，以此來保障所有的通信都被限制在系統功能允許的范圍內，且所有與特殊區域聯接的通信線路都經過詳細的安全風險評估。ICS中的信息交互需被實時監控，考慮流經防火墻的雙向數據，配置并管理出入網絡信息的規則，以保障通信過程安全。

（三）入侵檢測系統

入侵檢測系統（IntrusionDetectionSystems，IDS）不是單一的產品或技術，而是工具和過程的復雜集合，可監控網絡中異常或未授權活動。

IDS通常部署在網絡架構各出入點，或重要資源所在的網絡聯接點。IDS將收集信息狀態與既定規則、歷史行為或攻擊特征進行對比，以便判斷是否存在非法活動，檢測特征包括端口數、通信負載等。對比結果的偏差如超出閾值，系統將采取系列警報性措施，以加快事件響應和資源管理。

IDS進行日志分析的策略配置非常重要。如果攻擊者在日志審核前訪問系統并發起攻擊，IDS再檢測攻擊行為就失去了防護意義。

四、結語

ICS作為國家基礎設施的核心控制設備，其安全關系著國計民生。本文提出針對ICS采用深度防御策略，一方面需根據ICS構架建立主動安全模型，方便根據架構中的安全態勢，采取相應安全措施，進行有效的風險評估，并及時處理安全事故；另一方面應為ICS制定合適的安全策略，并定期回顧安全態勢，綜合考慮當前威脅、系統功能和所需安全級別；同時采用設置訪問控制列表、惡意行為監測、日志監測、修復核心問題等措施，提高ICS的安全等級。

 

（原載于《保密科學技術》雜志2017年8月刊）