湖北武汉工控安全解决方案工业控制系统

1.1.  工控安全整体形势

工业控制系统（ICS）广泛应用于制造、能源、交通、水利以及市政等领域，用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。随着计算和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统越来越多采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。尤其是目前热火潮天的“工业互联网”、“工业4.0”、“两化深度融合”、“智能制造”、“智能工厂”等相关概念表明，在国家政策、技术创新和工业参与者需求转变等多个维度的共同驱动和协同下，工业正朝着数字化、网络化、开放化、集成化的工业互联方向发展，将面临更加复杂的信息安全威胁。近年来，工业控制系统信息安全事件不断发生，“震网”、“火焰”、“毒区”、“Havex”等恶意软件严重影响了关键工业基础设施的稳定运行，充分反映了工业控制系统信息安全面临的严峻形势。

近年来，制造业成为勒索病毒的重灾区，对各企业造成了极大困扰。最新统计数据显示，全球至少150个国家、30万名用户感染勒索病毒，造成损失达80亿美元，已经影响到制造、能源、金融，医疗、教育等众多行业，勒索病毒感染后应用系统和数据库文件被加密、终端蓝屏重启等问题，严重影响各行各业正常业务。

面对越来越严峻的信息安全形势，我国高度重视工业控制系统信息安全工作。2010年以来，工业和信息化部将工业控制系统信息安全作为信息安全工作的重要组成部分，积极开展工业控制系统信息安全管理工作。2011年9月工信部发布《关于加强工业控制系统信息安全管理的通知》（工业和信息化部协﹝2011﹞451号）文件，从加强重点领域工控信息安全管理、安全测评检查和漏洞发布制度建设、组织领导等方面提出了明确要求，已成为相关部门和重点企业推动工业控制系统信息安全工作的指导性文件。2016年10月17日，工信部颁布《工业控制系统信息安全防护指南》，指出工业控制系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任十一个方面做好工控安全防护工作，切实提升工业控制系统信息安全防护水平，保障工业控制系统安全。

由于起步较晚，我国工业控制系统信息安全保障能力方面存在较大不足。当前我国工业控制系统核心软硬件设备的自主可控水平严重低下，基本的安全防护严重不足，生产网络接入控制混乱，外包维护管理缺乏，有很多工控系统需要依赖厂商才能维护，在培训教育和应急响应方面的力度也相当有限。面对复杂的工控安全形势，我国加强工业控制系统信息安全的保障工作迫在眉捷。

1.2. 制造业面临的威胁

现今制造行业的工业控制网络发展速度很快，随着集成化制造运行模式的逐步推进，在统一管理集中监控的大趋势下，工业控制系统网络的集成度越来越高，因此与其他信息网络的互联程度也随之提高。因此，各系统间的协同作业与信息交互将构建一套完整的业务逻辑，在此过程中，未经隔离的网络与主机、误操作、恶意操作、未授权的接入与操作、未授权程序安装、系统资源滥用与误用、外部接口滥用（USB口及其他扩展接口）以及新型攻击（APT）将导致系统的完整性、机密性及可用性遭到严重破坏的可能性大大提高，如果系统不具备安全防护措施，不仅针对该类安全事件的定位、分析和追查将会变得非常困难，而且系统将存在大量的安全盲点与灰色地带，且系统的整体风险等级也将持续升高，给各类外部威胁留下大量可乘之机。

由于传统的网络安全防护产品不是为了工业控制系统专门设计的，因此这些产品无法准确理解工业控制系统和工业控制协议，只能针对传统安全攻击行为生效，而基于工业控制协议的安全事件则完全成为盲区，这将造成很大的风险隐患，制造厂亟需建立工业生产系统的网络信息安全防护体系，从网络层、主机层、系统层、应用层和管理制度等多方面进行主动式威胁管理，提高系统整体风险防御等级，保证整个制造系统稳定有序的运行。

2.  工控安全技术方案

2.1. 安全建设设计

2.1.1.   白环境技术理念

通过对制造行业工业控制系统安全风险的分析和相关政策规范的深入分析，结合工业控制系统网络和主机的特性，制定以白名单技术为基础的“白环境”安全防护技术体系理念。

图2-1 “白环境”安全防护技术理念

在工业控制系统环境中，白名单技术对比以IDS/IPS、杀毒软件为代表的黑名单技术具有显著优势。以主机防护为例，防病毒软件这类被动防御措施在工业环境中往往会遇到特征库更新滞后、误报误杀和硬件资源消耗大等问题，而主机白名单技术则采用文件白名单规则实现主动防御，基于有限数量的白名单规则效率更高并能显著降低硬件性能消耗，提升兼容性，尤其适用于工控主机性能不足、系统老旧的环境，同时能有效的抵御未知威胁（如勒索病毒、挖矿病毒此类变种数量庞大的恶意代码）攻击。

“等保2.0提出建设‘一个中心三重防护’的新要求，一个中心是指安全管理中心，三重防护是指通信网络防护、区域边界防护、计算环境防护。”所以在进行技术体系设计时以安全管理中心作为整个安全的中枢，构建集中管理和态势感知的能力，同时以安全通信网络为纽带，优化基础网络架构，分区分域，从而收缩网络攻击面。以安全区域边界为依托，以访问控制为基础，增强已知和未知攻击的防范能力，通过技术手段来强化纵深防御，实现对威胁的深度检测和及时响应，防患于未然。最终安全计算环境为重心，以白名单技术为依托，以基于标记的强制访问控制作为技术核心，改进业务风险管控，加强计算环境层面的动态防护。最终保证在业务系统边界处只有可信任的主机才能接入到生产网络中，在网络通道上只有可信任的消息、指令才能传输，在主机上只有可信任的业务程序才能执行。

2.2.       整体建设方案

2.3.  工业互联防火墙方案

MES和管理网之间部署工业互联墙，实现各骨干网络和外部网络之间的隔离。

2.3.1.  解决问题

部署工业互联防火墙可以解决以下问题

（1）深度业务感知、工业流量可视化

工业互联防火墙能够检测出100+种的ABB、Siemens、Emerson、GE、OMRON、Yokogawa、Honeywell、Schneider等主流厂商工控协议和工控设备类型发现，基于协议和设备类型实现工业流量的可视化和资产管理。

（2）一体化检测引擎、全面精准防御安全风险

工业互联防火墙集成了访问控制、负载均衡、入侵防御、病毒过滤、VPN接入、威胁可视化等功能，能够为工业用户提供一个灵活、高效、全面的边界安全解决方案。

通过强大的攻击回溯、防逃逸、攻击链可视化分析、攻击特征自定义、高性能IPS引擎和报文的深度还原解析技术，工业互联防火墙具备从数据链路层到应用层的入侵攻击防御和已知/未知病毒实时检测拦截能力，从而有效的阻断针对工业网络有目的的攻击行为。

2.3.2.   功能特点

（1）IPS入侵防御

IPS特征8000+，BPS level5检出率＞85%，支持自定义规则，支持异常协议逃逸检测，支持对检测到的攻击行为溯源。支持HTTP协议中7个字段10个条件精细化控制，支持正则表达式

支持拒绝服务、木马后门、间谍软件、蠕虫病毒、缓冲区溢出、安全扫描等网络层攻击防护

支持HTTPS防护、DDoS攻击、Web攻击、0-day攻击、CGI攻击等应用层攻击防护

（2）病毒防护

支持HTTP，FTP，POP3，SMTP，IMAP协议的病毒查杀

支持查杀压缩文件，最高可解压20层

支持200万余种病毒查杀，病毒库定期更新

（3）工业协议识别及解析

100+工业协议识别

Modbus、CIP、S7、OPC、DNP3、Profinet、IEC104等主流工业协议的深度解析

（4）威胁可视

基于用户、应用的流量趋势统计、分布统计和TOP排名

基于设备CPU、内存、转发流量、会话数趋势统计，接口状态展示

支持对IPS事件，DDoS攻击时间，AV事件的趋势图统计

基于网络状态，用户行为，网络安全多种维度生成的审计报表

支持审计防火墙的操作日志

支持攻击链可视化展示

2.4.工业防火墙方案

工业防火墙部署在生产网系统和MES系统以及MES系统和管理网系统之间

 

2.4.1. 解决问题

保护生产网和MES的安全，需要对各网络区域进行细致区域划分，根据网络情况及生产进行针对性保护，构建覆盖边界、区域、重要控制设备及特殊HMI设备的纵深防御体系。

通过在各生产网络区域之间、MES层边界处部署工业防火墙，实现对工业专有协议深度解析，建立通讯“白环境”，阻止区域间的越权访问，病毒、蠕虫扩散和入侵，将危险源控制在有限范围内，有效防止安全威胁在区域之间串扰，有利于问题的快速定位和解决。

通过在各上位机和PLC之间部署工业防火墙，通过对工业专有协议深度解析，学习正常操作流量，建立指令“白环境”，对异常流量和非法行为进行告警及阻断，实现针对重要控制设备已知安全漏洞利用等行为的阻断，有效识别正常指令和错误指令，防止误操作或恶意操作对生产造成直接的影响。

对于非Windows系统的高集成化数控设备，HMI无法通过安装应用程序白名单软件进行恶意代码防护，通过在这些设备前端部署工业防火墙，实现对工业专有协议深度解析，防范恶意代码入侵，阻断对HMI的非法访问及异常操作，有效保证这类HMI的正常运行。

工业防火墙不但继承了传统防火墙的包过滤、状态检测、代理检测、代理服务等主要功能，并结合工业控制网络的特点，对工业控制数据包进行过滤，主要手段有白名单机制、工业协议深度解析等，其中白名单机制是指通过学习获取到工业控制系统中传输的协议，支持到使用的类和方法，收集所有传输协议，阻止其他异常流量，对于安全级别高的信息网，可使用工业控制协议测试模式和只读模式，传输不影响正常业务流量传输。

工业防火墙可以解决以下问题：

（1）访问控制

工业防火墙在工控协议方面做了深度的解析，可以对操作人员和外网非法访问进行基于IP、MAC、工控协议或任意组合方式的访问进行控制，另外，用户可以根据具体需求设置更细粒度的策略，如对某个工控协议的只读、读写或者禁用，防止数据被篡改或信息外泄。支持通用防火墙会话状态检测、包过滤机制及工控协议的深度访问控制，阻止各类非授权访问行为。

（2）恶意攻击防护

由于工控网络的封闭性和工控网络中运行的软件和程序一般情况下都是很固定的，基于工控网络的这一特点，在工业防火墙上启用白名单功能，将工控网络中可信的软件或程序放入白名单，只有白名单中的软件或程序才能被安装和运行，可以有效阻止恶意病毒和木马的入侵或非法程序的运行。工业防火墙可以进行正常通信行为建模，通过对正常通信行为学习后，对工控指令攻击、控制参数修改、病毒和蠕虫等恶意代码等攻击行为进行有效防护，减少恶意攻击行为给工业控制系统带来的安全风险。

（3）Dos攻击防护

工控系统对网络的实时性和响应速度有很高的要求，为了保证工控系统的可用性和高效性，在工业防火墙上开启异常报文检测与异常流量检测功能，防止land攻击、Teardrop攻击、Ping of death以及各种Flood攻击导致的网络或工控系统的瘫痪。

2.4.2. 功能特点

（1）工业协议的深度解析

丰富的工控协议支持，智能自学习操作指令码、参数范围等，更好针对工控系统进行防护。全面支持各大主流工业控制协议，涵盖OPC、Modbus、西门子S7、IEC 60870-5-104、IEC 61850 MMS、DNP3等。并且能够对各类数据包进行快速有针对性的捕获与深度解析。在遵循工业控制系统可用性与完整性的基础上，能够检测出数据包的有效内容特征、负载和可用匹配信息，如恶意软件、具体数据和应用程序类型。

（2）通讯白环境机制

基于“通信白环境”机制， 相比基于特征检测的传统IPS和防火墙， 可以更有效防护未知威胁。

（3）Bypass功能

工业防火墙通过接口的Bypass功能保护网络间的应急通讯。由于工业防火墙串联在网络中，工业控制系统是以业务的稳定性与连续性为主，不能出现断网事故，所以工业防护墙自身具备Bypass功能，保证物理硬件在出现问题时工控网络的正常通讯。

2.5. 工控主机防护

根据制造行业生产网安全现状，操作员站等主机使用的是微软的Windows7、Windows Server2000等操作系统，微软系统存在大量安全漏洞，并且微软在2014年已经停止对WindowsXP操作系统进行漏洞升级工作。现有的杀毒软件无法满足对勒索病毒、挖矿病毒等的有效防护，特别是病毒库更新效率无法满足病毒变种速率的问题。

建议在制造行业各网络区域内上位机部署工控主机卫士软件，实现关键生产主机安全防护。工控主机卫士采用与杀毒软件“黑名单”机制相反的“白名单”管理技术，通过对数据采集和分析，其内置智能学习模块会自动工控主机上可执行文件白名单，与现网中的实时传输数据进行比较、匹配、判断。如果发现其用户节点的行为不符合白名单中的行为特征，其主机安全防护系统将会对此行为进行阻断或告警，以此避免主机网络受到未知漏洞威胁，同时还可以有效的阻止操作人员异常操作带来的危害。特别是对勒索病毒、挖矿病毒，基于白名单机制能够更好的实现对此类病毒变种的阻断和防护。

在生产网和MES层的工程师站、操作员站以及服务器上部署工控主机卫士：

 

2.5.1.  解决问题

工控主机卫士可以解决以下问题：

（1）建立工控主机白名单

工控主机卫士可通过自动扫描本地磁盘所有的可执行文件，对每个文件生成数字签名，之后根据所有PE文件的数字签名创建白名单数据库，也可通过软件安装跟踪、软件升级跟踪、自定义添加等手段生成工作站应用、脚本的白名单，或者通过自动从客户端导入的方式生成白名单库。此外，程序白名单配置中，还包括以下功能：

l  提供操作系统完整性检查

工控主机卫士会检查操作系统开机时所加载的系统文件是否被修改，当发现工作站操作系统完整性被破坏时进行告警，防止操作系统被篡改和植入后门。

l   可对包含在白名单内的进程的执行进行审计。

（2）阻止恶意代码的执行和扩散

工控主机卫士可以识别、阻止任何白名单外的程序运行，对通过网络、U盘等传入系统的病毒、木马、恶意程序具有阻止运行、阻止传播、分析识别的能力，最大限度保障工程师站、操作员站以及服务器等重要设备安全稳定运行。

（3）主机安全基线

工控主机卫士可针对工作站、服务器等设备进行基线配置管理，包括账户策略、审核策略、安全选项、IP安全、进程审计、系统日志等。通过开启密码复杂度、强制密码历史、关闭guest账户、开启系统和账户审核、关闭默认共享、进行进程审计等措施最大限度保护工作站、服务器等设备的安全。

l   对账户及账户密码的长度、复杂度、使用期限进行设置。

l  对系统登录事件、账户登录事件、对象访问等进行审核设置。

l   可对交互式登录、网络访问、自动播放、默认共享、关机时清空内存页面等进行设置。

l   可对操作系统日志保留大小和时间进行配置。

l   可以对操作系统的数据执行保护进行设置。

（4）网络白名单

工控主机卫士可针对工作站、服务器等设备进行网络白名单配置管理，包括开启SYN攻击防护和配置Windows防火墙、添加配置控制程序连接以及TCP或UDP端口连接的规则，最大限度保护工作站、服务器等设备的安全。

（5）外设管理

工控主机卫士配套威努特安全U盘保障数据交换的安全,能够根据需求灵活控制威努特安全U盘和普通U盘的“禁用、只读、可读写”权限。只有经过认证的特定USB设备才可以在特定的主机上运行，可配置禁止USB存储设备自动执行，防止恶意程序利用漏洞自动运行。

光驱控制，可禁用光驱防止通过磁盘泄露数据和感染病毒。无线网卡控制可禁用无线网卡的使用，防止通过无线网络泄露数据和感染病毒。

加上移动介质安检站对于无线网卡，U盘以及移动硬盘邓移动介质的杀毒标记，只有有标记的移动介质才可以接入到网络中，形成了移动介质管控的闭环

（1）非法外联

针对对自定义的ip或者域名进行网络检查，针对非法的网络状态提供了详细的日志记录和告警信息。

（2）安全检测

对主机系统进行全面的扫描，检测主机系统的状态等信息，并形成检测报告，检测功能包括：

l    安全基线

l   分区状态

l   共享目录列表

l    服务列表

l    已安装程序列表

l    进程列表

l     用户列表

2.5.2.  功能特点

（1）“白名单”机制

工控主机卫士先进的软件“白名单”防护机制，与传统防病毒软件相比不仅能对已知的恶意代码进行防护，还可以有效阻止各类未知的恶意软件的感染、运行和扩散。

（2）工控主机全生命周期保障

工控主机卫士充分利用应用程序白名单系统的高安全、高性能、低开销等特点，实现了工控主 机系统从启动、加载到持续运行过程的全生命周期的安全保障。

（3）兼容工控软件

采用“白名单”机制阻止恶意代码执行，具备良好的系统兼容性，不会出现传统杀毒软件对工控软件的误杀现象。与传统杀毒软件相比，工控主机卫士对主机性能占用小，不会对工控系统的监控软件和组态软件等正常使用造成任何影响。

（4）支持对老旧主机安全防护，

对控制系统使用的window XP等操作系统的主机设备进行全面的安全防护工作，解决信息安全管理员对此类陈旧系统的安全防护难题。