工業(yè)控制系統(tǒng)深度防御策略

一、引言

隨工業(yè)控制系統(tǒng)（IndustryControlSystem，ICS）面臨遠程維護、非法操作、惡意軟件入侵、非法訪問、與互聯(lián)網(wǎng)聯(lián)接等帶來的潛在威脅，網(wǎng)絡(luò)邊界、訪問控制、通信保護、惡意操作控制、惡意程序防護等方面存在一定的脆弱性，因此單一的防護措施已不再有效。ICS作為工業(yè)基礎(chǔ)設(shè)施核心，關(guān)系到我國經(jīng)濟發(fā)展及國家安全。相關(guān)部門應基于深度防御理念，采取多重安全措施搭建安全的ICS，不斷滿足技術(shù)發(fā)展和商業(yè)發(fā)展的需要。

二、安全策略部署

全面翔實、科學合理的安全策略部署，對于深度防御策略的實施至關(guān)重要。安全策略需要進行年度修訂和評估，以便更好地實現(xiàn)時效性和實用性。

（一）安全策略制定

為提高有效性，安全策略必須具有一定的可操作性，不能嚴重影響生產(chǎn)且占據(jù)過高成本，同時還需獲得高層領(lǐng)導的必要支持。所以，安全策略的制定需要高層行政負責人和系統(tǒng)管理員的共同參與。網(wǎng)絡(luò)和ICS管理員掌握技術(shù)知識，但在執(zhí)行安全策略時仍需管理層的認證和授權(quán)。管理層也必須支持適當?shù)娜肆�資源部署和使用，以保證ICS安全。同時，可以借鑒許多傳統(tǒng)IT安全策略，并與ICS的特定需求進行融合。

（二）安全風險評估

風險評估是理解與定義威脅、漏洞，并為其制定安全措施的基礎(chǔ)。實施深度防御策略首先應進行全方位的安全風險評估，查找并挖掘自身面臨的風險和漏洞。

（三）組建安全團隊

組建一支跨職能的安全團隊，并由高層管理者具體負責。安全團隊應包括全程參與ICS的工程師和管理員，團隊成員需接受相關(guān)安全培訓，并掌握在當前ICS架構(gòu)下所面臨的安全挑戰(zhàn)和風險。安全團隊的主要職責是，制定安全策略和安全流程，以提高安全能力，并有效保護ICS。

（四）操作安全計劃

為防止安全策略對ICS的可用性造成負面影響，應考慮ICS的全部操作性要求。以滿足操作性要求為前提，建立操作安全計劃（OperationalSecurityProgram），其中包括角色與職責、物理安全、訪問控制、區(qū)域防御等。

在實施深度防御技術(shù)前，應首先制定技術(shù)評估計劃、安全采購計劃及貫穿系統(tǒng)生命周期的安全實施計劃。深度防御技術(shù)被看作是ICS安全構(gòu)架的一部分，應標記系統(tǒng)聯(lián)接及具備不同安全能力的關(guān)鍵區(qū)域。

（五）安全培訓

安全培訓是宣傳安全意識重要性的重要環(huán)節(jié)。在制定安全培訓時，應考慮目的和范圍；資源配置；實施計劃；監(jiān)控和反饋；效力評估等因素。

所有員工應接受包括執(zhí)行層、操作層和技術(shù)層在內(nèi)的安全培訓，并針對不同崗位接受不同的培訓內(nèi)容，例如，網(wǎng)絡(luò)安全管理員需接受涉及網(wǎng)絡(luò)安全領(lǐng)域內(nèi)的最前沿動態(tài)，如構(gòu)架設(shè)計、防火墻和入侵檢測系統(tǒng)配置等培訓。

（六）事件響應

在ICS中發(fā)生突發(fā)事件時，需及時采取識別、響應、消除影響、記錄等系列措施。制定詳細的事件響應流程文件，提高事件響應能力，指導員工采取響應措施。事件響應過程中應解決的問題包括：

事件發(fā)生或正在發(fā)生的標志；應采取的應急措施；通知相關(guān)人員的次序；保存收集證據(jù)的方法；保管受影響計算機的方法。

ICS取證計劃作為事件響應的一部分，應充分考慮事件的發(fā)起者、受害者、發(fā)生地、發(fā)生時間，并收集足夠的可用證據(jù)。為此，美國國家標準技術(shù)研究院（NIST）制定了計算機安全事件管理指南SP800-61，為安全工作人員提供事件處理過程的相關(guān)指導。

三、深度防御措施

（一）劃分區(qū)域

為建立分層防御，需掌握系統(tǒng)聯(lián)接處位置，通過建立明確的界限，將ICS架構(gòu)劃分為獨立區(qū)域進行管理。其中，可通過以下方法對ICS進行區(qū)域劃分：防火墻；有訪問控制列表的路由器；配置過的交換機；靜態(tài)路由和路由表；專用通信媒體�；�于普渡控制層次模型（PurdueModelforControlHierarchy）將控制系統(tǒng)分為以下5個區(qū)域。

1.外部區(qū)域（externalzone）：可聯(lián)接互聯(lián)網(wǎng)、備份或遠程廠區(qū)的區(qū)域。該區(qū)域不是隔離區(qū)（DMZ），但與之聯(lián)接的設(shè)備往往不被信任。此區(qū)域的優(yōu)先級最低、風險最高。

2.工作區(qū)域（corporatezone）：為組織通信區(qū)域，郵件服務器、域名系統(tǒng)服務器和IT商業(yè)系統(tǒng)構(gòu)架組件均在此區(qū)域內(nèi)。該區(qū)域同外部區(qū)域聯(lián)接，因此存在潛在安全風險。由于安全態(tài)勢具有一定的成熟度及系統(tǒng)的冗余性，工作區(qū)域的優(yōu)先級要高于外部區(qū)域，同時低于其他區(qū)域。

3.制造/數(shù)據(jù)區(qū)域（manufacturingzone）：即監(jiān)控區(qū)域，是保障組織業(yè)務連續(xù)性、管理控制網(wǎng)絡(luò)的重要區(qū)域，操作性設(shè)備和管理設(shè)備均部署在該區(qū)域內(nèi)。風險點存在于外部區(qū)域和工作區(qū)域的聯(lián)接處，該區(qū)域的優(yōu)先級較高。

4.控制區(qū)域（control/cellzone）：聯(lián)接可編程邏輯控制器、人機接口和基本輸入輸出設(shè)備的區(qū)域。該區(qū)域內(nèi)的設(shè)備功能可直接影響終端設(shè)備，因此該區(qū)域的優(yōu)先級較高。

5.安全區(qū)域（safetyzone）：由于該區(qū)域中設(shè)備可自動控制終端設(shè)備的安全級別，因此該區(qū)域擁有最高優(yōu)先級，且風險較低。

（二）部署防火墻

防火墻為不同網(wǎng)絡(luò)區(qū)域間的通信提供了健壯、復雜的規(guī)則，扮演了保護網(wǎng)絡(luò)的角色，以防止攻擊者從網(wǎng)絡(luò)中獲取所需信息或向網(wǎng)絡(luò)中發(fā)送文件和命令等。不同的防火墻可部署在OSI模型的不同層中，需根據(jù)控制系統(tǒng)的應用和聯(lián)接情況及網(wǎng)絡(luò)的不同層進行選擇。

1.包過濾防火墻：該類防火墻位于網(wǎng)絡(luò)層，根據(jù)既定規(guī)則，分析流入和流出各獨立網(wǎng)絡(luò)的數(shù)據(jù)包，其中包過濾規(guī)則通常與端口數(shù)、協(xié)議和其他指定數(shù)據(jù)相關(guān)。包過濾防火墻適用于需要快速聯(lián)接的系統(tǒng)，并根據(jù)設(shè)備的地址來制定規(guī)則，有助于ICS對特殊應用和協(xié)議開展安全防護。

2.代理防火墻：該類防火墻分布在應用層，適用于分析應用程序的內(nèi)部數(shù)據(jù)和收集用戶的活動信息。在ICS中，代理防火墻可將商業(yè)局域網(wǎng)和控制局域網(wǎng)進行隔離，并為需要特殊應用防護的DMZ和其他資產(chǎn)提供保護。

3.主機防火墻：該類防火墻是保護設(shè)備端口和服務的軟件，可建立跟蹤、允許或拒絕數(shù)據(jù)流的規(guī)則。由于工作站、筆記本等其他設(shè)備可能會進出ICS，因此將這些移動設(shè)備集成主機防火墻，可為ICS增加額外的安全保護。

對于ICS來說，對防火墻進行全面、合理、精確的配置十分重要，以此來保障所有的通信都被限制在系統(tǒng)功能允許的范圍內(nèi)，且所有與特殊區(qū)域聯(lián)接的通信線路都經(jīng)過詳細的安全風險評估。ICS中的信息交互需被實時監(jiān)控，考慮流經(jīng)防火墻的雙向數(shù)據(jù)，配置并管理出入網(wǎng)絡(luò)信息的規(guī)則，以保障通信過程安全。

（三）入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IntrusionDetectionSystems，IDS）不是單一的產(chǎn)品或技術(shù)，而是工具和過程的復雜集合，可監(jiān)控網(wǎng)絡(luò)中異�；蛭词跈�(quán)活動。

IDS通常部署在網(wǎng)絡(luò)架構(gòu)各出入點，或重要資源所在的網(wǎng)絡(luò)聯(lián)接點。IDS將收集信息狀態(tài)與既定規(guī)則、歷史行為或攻擊特征進行對比，以便判斷是否存在非法活動，檢測特征包括端口數(shù)、通信負載等。對比結(jié)果的偏差如超出閾值，系統(tǒng)將采取系列警報性措施，以加快事件響應和資源管理。

IDS進行日志分析的策略配置非常重要。如果攻擊者在日志審核前訪問系統(tǒng)并發(fā)起攻擊，IDS再檢測攻擊行為就失去了防護意義。

四、結(jié)語

ICS作為國家基礎(chǔ)設(shè)施的核心控制設(shè)備，其安全關(guān)系著國計民生。本文提出針對ICS采用深度防御策略，一方面需根據(jù)ICS構(gòu)架建立主動安全模型，方便根據(jù)架構(gòu)中的安全態(tài)勢，采取相應安全措施，進行有效的風險評估，并及時處理安全事故；另一方面應為ICS制定合適的安全策略，并定期回顧安全態(tài)勢，綜合考慮當前威脅、系統(tǒng)功能和所需安全級別；同時采用設(shè)置訪問控制列表、惡意行為監(jiān)測、日志監(jiān)測、修復核心問題等措施，提高ICS的安全等級。

 

（原載于《保密科學技術(shù)》雜志2017年8月刊）