久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

摘要：隨著電氣化、自動化、信息化技術能力發(fā)展，工業(yè)自動化技術和信息化技術全面融合，工業(yè)控制系統(tǒng)的基礎性、全局性的作用也日益增強，自動化與信息化控制系統(tǒng)PLC、DCS、SCADA等全面普及。在面臨不斷發(fā)生的網(wǎng)絡攻擊事件形勢下，習總書記提出“沒有網(wǎng)絡，就沒有國家安全”、“網(wǎng)絡安全與信息化是一體之雙翼”核心思想，開啟了我國網(wǎng)絡安全理念和安全保障理念的進步，網(wǎng)絡安全發(fā)展將面臨前所未有的機遇和挑戰(zhàn)。本文針對控制系統(tǒng)中的終端主機的安全及防護實踐進行概述。

關鍵詞：工控主機安全；電力工控安全

1　引言

伴隨我國經(jīng)濟的快速發(fā)展，工業(yè)自動化控制技術進步日新月異，自動化與信息化控制系統(tǒng)PLC、DCS、SCADA等在電力行業(yè)的發(fā)電側已經(jīng)全面普及。發(fā)電行業(yè)隨著工業(yè)自動化技術和信息化技術的高速發(fā)展而全面融合，工業(yè)控制系統(tǒng)的基礎性、全局性在生產(chǎn)經(jīng)營中的作用也日益增強，為企業(yè)帶來管理和提高生產(chǎn)效率的同時，伴隨而來的網(wǎng)絡安全風險亦不容忽視。近年來，國內(nèi)外發(fā)生“Stuxnet”震網(wǎng)病毒入侵伊朗布什爾核電站、“BalckEnergy”惡意攻擊導致烏克蘭伊萬諾-弗蘭科夫斯克地區(qū)大面積停電等網(wǎng)絡攻擊安全事件給全世界敲響了網(wǎng)絡安全的警鐘。習近平總書記多次提出網(wǎng)絡安全的重要性：沒有網(wǎng)絡安全，就沒有國家安全；沒有信息化，就沒有現(xiàn)代化。電力行業(yè)的安全生產(chǎn)涉及百姓民生，而保障電力安全生產(chǎn)的重要環(huán)節(jié)正是這基礎設施的工業(yè)控制系統(tǒng)，而整個控制系統(tǒng)的最脆弱、最危險、最不可控、最容易受到攻擊和入侵的正是控制系統(tǒng)的工程師站和操作員站等終端主機。

2　工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)是指由計算機與工業(yè)過程控制部件組成的自動控制系統(tǒng)。工業(yè)控制系統(tǒng)（ICS）主要包括常見的SCADA系統(tǒng)、DCS和其他較小的自動控制系統(tǒng)，如PLC，是工業(yè)生產(chǎn)中使用的所有類型控制系統(tǒng)的總稱。SCADA系統(tǒng)通常作為工業(yè)控制的核心系統(tǒng)，實現(xiàn)對現(xiàn)場的設備進行實時監(jiān)視和控制及設備參數(shù)調(diào)節(jié)、數(shù)據(jù)采集、數(shù)據(jù)測量、各類反饋信號報警等。DCS分布式控制系統(tǒng)主要應用在流程生產(chǎn)行業(yè)的控制系統(tǒng)，主要實現(xiàn)對各子系統(tǒng)在運行過程中的控制功能。PLC廣泛應用于實現(xiàn)工業(yè)設備的具體操作與工藝控制，其作用主要是從遠程站點獲取數(shù)據(jù)和接受自動化或者操作者命令。例如控制生產(chǎn)設備啟停、監(jiān)測生產(chǎn)環(huán)境、接收傳感器數(shù)據(jù)。工業(yè)過程控制部件對實時數(shù)據(jù)進行采集、監(jiān)測，在計算機的調(diào)配下，實現(xiàn)設備自動化運行以及對業(yè)務流程的管理與監(jiān)控，其特點主要表現(xiàn)在數(shù)據(jù)傳送的實時性、數(shù)據(jù)的事件驅動及數(shù)據(jù)源主動推送等。隨著計算機技術、通信技術和控制技術的發(fā)展，傳統(tǒng)的控制領域正經(jīng)歷著一場前所未有的變革，開始向網(wǎng)絡化方向發(fā)展。控制系統(tǒng)的結構從最初的計算機集中控制系統(tǒng)（CCS），到第二代的分散控制系統(tǒng)（DCS），發(fā)展到現(xiàn)在流行的現(xiàn)場總線控制系統(tǒng)（FCS）。伴隨著自動化程度和控制系統(tǒng)的進步發(fā)展，工業(yè)控制系統(tǒng)的管理、控制及操作端的功能越來越豐富，權限越來越大。集中、遠程管理在帶來高效、便捷性的同時，也帶來主機管理的多個安全風險性，如何管理好工業(yè)控制系統(tǒng)的“城門入口”，成為確保工業(yè)控制系統(tǒng)安全穩(wěn)定生產(chǎn)的重要工作。

3　主機安全要求

等保2.0版本的更迭意味著等級保護制度已進入全新的時代，原有的制度已無法滿足當下工控環(huán)境安全的要求，政策依據(jù)工控環(huán)境安全需求而制定，而工控環(huán)境的安全亦需將制度切實落地，兩者相互依賴。根據(jù)《信息安全技術網(wǎng)絡安全等級保護基本要求》GBT22239-2019和《信息安全技術網(wǎng)絡安全等級保護測評要求》GBT28448-2019等系列等保2.0相關標準對主機安全防護，尤其是工業(yè)控制系統(tǒng)中主機的安全防護提出防護要求。本文對從安全風險及可整改性角度進行部分闡述。

從控制設備的主機安全總體層面，應否具有身份鑒別、訪問控制和安全審計等功能，如不具備上述功能，則核查是否由其上位控制或管理設備實現(xiàn)同等功能或通過管理手段控制。

從主機的物理層面應對主機是否關閉或拆除設備的軟盤驅動、光盤驅動、USB接口、串行口或多余網(wǎng)，保留的軟盤驅動、光盤驅動、USB接口、串行口或多余網(wǎng)口等是否通過相關的措施實施嚴格的監(jiān)控管理。

從主機的身份鑒別層面，應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換，應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。

從主機的安全策略配置層面，應重命名默認賬戶，刪除、停用默認賬戶和多余的、過期的賬戶，避免共享賬戶的存在。應授予管理用戶所需的最小權限，實現(xiàn)管理用戶的權限分離。應由授權主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。并啟用登錄失敗處理功能，啟用安全控制策略限制非法登錄功能，非法登錄達到一定次數(shù)后采取特定動作，如賬戶鎖定等。

從主機的安全審計層面，應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。通過相關的技術措施實施嚴格的監(jiān)控管理。

從安全建設采購管理方面層面，工業(yè)控制系統(tǒng)重要設備應通過專業(yè)機構的安全檢測后方可采購使用。

4　主機安全風險

經(jīng)過多年的主機安全防護實踐發(fā)現(xiàn)，很多高危的風險隱患依然存在，由于近幾年來對網(wǎng)絡安全的重視，新建工業(yè)控制系統(tǒng)在建設時，會將網(wǎng)絡安全作為重要的一環(huán)進行考慮設計，主機多采用Linux操作系統(tǒng)或國產(chǎn)主機及控制系統(tǒng)，風險隱患相對較低。但存量的工業(yè)控制系統(tǒng)風險隱患尤為明顯，尤其是距今10年左右建設的工業(yè)控制系統(tǒng)，建設時設計多偏向功能和應用，對主機安全設計較為忽略，多數(shù)為工業(yè)主機、商用臺式機，多采用Windows7、XP、2008操作系統(tǒng)，由于受控制系統(tǒng)平臺制約無法更換主機的操作系統(tǒng)，同時常見的安全防護軟件在很多存量的工業(yè)控制系統(tǒng)中無法進行很好的應用，主要是管理員或廠家無法接受在控制主機端安裝安全防護軟件，或部分老舊主機安裝防護軟件后會嚴重占用系統(tǒng)資源導致影響業(yè)務應用，所以存在極大的安全隱患。以電力行業(yè)為例，發(fā)現(xiàn)存在很多相似的安全風險隱患，如電力監(jiān)控系統(tǒng)中工程師站、操作員站、歷史站存在不必要的軟盤驅動、光盤驅動、USB接口、串行口、無線、藍牙等未拆除或關閉，必要使用端口沒有采用技術措施確保安全；電力監(jiān)控系統(tǒng)中工程師及操作員站無密碼或弱口令登錄，缺乏技術手段實現(xiàn)雙因子認證登錄；電力監(jiān)控系統(tǒng)中工程師及操作員站存在默認賬戶及訪客用戶，未使用合理策略控制安全風險；電力監(jiān)控系統(tǒng)中工程師站、操作員站，終端I/O設備操作權限缺乏技術管控手段，存在內(nèi)部惡意人員非授權操作及越權操作的安全威脅；電力監(jiān)控系統(tǒng)中工程師站或操作員站的系統(tǒng)配置、運行監(jiān)控、重大操作等行為操作、U口使用、數(shù)據(jù)交換等操作缺乏行為監(jiān)管，無法做到行為審計，無法實現(xiàn)過程追溯；電力監(jiān)控系統(tǒng)中工程師站、操作員站、歷史站、OPCSERVER主機、工作站、一般都采用Windows系統(tǒng)，由于處于電廠內(nèi)部的隔離網(wǎng)絡，存在補丁升級更新不及時或不能更新、無補丁可更新的狀況，設備或系統(tǒng)存在來自操作系統(tǒng)層面的漏洞；在特定工作中如部分系統(tǒng)調(diào)試和維護時，通常需要本地或遠程接入筆記本電腦。而對這些接入的移動終端缺乏有效的安全監(jiān)管。這些常見隱患給工業(yè)控制系統(tǒng)帶來巨大的安全風險。

5　面臨的難題

針對目前比較主流的工業(yè)控制系統(tǒng)工程師站和操作員的設計，多采用Linux操作系統(tǒng)，但是由于早年工業(yè)控制系統(tǒng)在建設設計時，全行業(yè)對網(wǎng)絡安全、信息安全要求并不高，針對工業(yè)控制系統(tǒng)的功能和應用更為重視，所以在規(guī)劃設計時對信息安全環(huán)節(jié)投入不足，主機多采用當時流行的工業(yè)主機、商用塔式機、辦公臺式機，操作系統(tǒng)Windows2000、2008、XP、7都較為常見，且很多系統(tǒng)都是破解版、OEM版或是非商業(yè)版本。但是由于工業(yè)控制系統(tǒng)制約無法輕易更換主機的操作系統(tǒng)，很多早年工業(yè)控制系統(tǒng)的工程師站無法從Windows下改變Linux操作系統(tǒng)。

主機安全防護技術經(jīng)過多年的發(fā)展，出現(xiàn)了安全防護、白名單等多種安全防護解決方案，在新建系統(tǒng)中應用廣泛。但針對于存量的工業(yè)控制系統(tǒng)，在安全管理大區(qū)的非控制大區(qū)尚有應用，但在生產(chǎn)的控制大區(qū)則相對較少，還存在一些問題，無法大面積廣泛采用，主要是由于工業(yè)控制系統(tǒng)特性原因，管理員或廠家認為在工程師站或操作員站的操作系統(tǒng)下安全防護軟件或具有“白名單”功能的防護軟件會對原有系統(tǒng)產(chǎn)生一定影響業(yè)務系統(tǒng)的隱患，所以無法接受在控制主機端安裝安全防護軟件，部分較為陳舊主機存在兼容或安裝防護軟件后會嚴重占用系統(tǒng)資源導致主機操作系統(tǒng)變慢的問題，所以存量工業(yè)控制系統(tǒng)的主機安全成為工業(yè)控制系統(tǒng)中的一大重要難題。

6　實踐技術路線

通過研發(fā)發(fā)現(xiàn)大量的存量工業(yè)控制無法更換安全操作系統(tǒng)和主機管理，或研發(fā)廠家無法接受安裝軟件及存在的安全風險隱患。同時根據(jù)《信息安全技術網(wǎng)絡安全等級保護基本要求》GBT22239-2019和《信息安全技術網(wǎng)絡安全等級保護測評要求》GBT28448-2019等系列制度中，對主機應否具有身份鑒別、訪問控制和安全審計等功能，如不具備上述功能，則核查是否由其上位控制或管理設備實現(xiàn)同等功能或通過管理手段控制的要求，選擇從工業(yè)控制系統(tǒng)的上位控制或管理設備實現(xiàn)同等功能或通過管理手段控制的技術路線來實現(xiàn)工業(yè)控制系統(tǒng)主機的安全防護。

通過“一對一”部署純硬件式“鎧甲式外掛”防護裝置的方式，不接入原有工業(yè)控制系統(tǒng)網(wǎng)絡及主機系統(tǒng)，對工業(yè)控制系統(tǒng)實現(xiàn)人員身份鑒別密碼+智能卡，滿足“雙因子認證”且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)要求，同時替代性解決工業(yè)控制系統(tǒng)缺少人員訪問控制、雙因子認證、人員權限管理等要求。并且針對USB口管理、數(shù)據(jù)安全交換提供了在線監(jiān)測和殺毒等技術手段管理，滿足對主機用戶操作、人員行為審計要求。在注重采用技術手段解決問題的同時，同樣注重產(chǎn)品安全、可靠性，產(chǎn)品通過了公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心和中國電力科學研究院信息安全實驗室檢驗，確保了自身安全和對原有工業(yè)控制系統(tǒng)無影響。

7　實踐解決的問題

此技術路線和實踐，通過理論研究和大量的現(xiàn)場實踐，獲得了用戶廣泛的認可，解決了工業(yè)控制系統(tǒng)主機無法更換，無法安裝安全防護軟件，缺少人員身份鑒別、訪問控制、USB口管理、數(shù)據(jù)安全交換、操作系統(tǒng)及人員操作行為審計等場景下的工業(yè)控制系統(tǒng)主機安全防護問題。

網(wǎng)絡安全建設亦是日積月累逐漸完善的過程，工業(yè)控制系統(tǒng)在不斷發(fā)展，隨之而來安全風險不斷增加，所以工控網(wǎng)絡安全防護工作必將永遠在路上。

作者簡介

謝云龍（1987-），江蘇人，本科，現(xiàn)就職于北京中電瑞鎧科技有限公司，研究方向為網(wǎng)絡安全、工業(yè)互聯(lián)網(wǎng)、工控安全、信息化建設。

參考文獻：

[1] 公安部, 國家保密局, 國家密碼管理局, 國務院信息化工作辦公室.信息安全等級保護管理辦法[Z]. 2007.

[2] GB/T22239-2019, 信息安全技術網(wǎng)絡安全等級保護基本要求[S].

[3] GB/T28448-2019, 信息安全技術 網(wǎng)絡安全等級保護測評要求[S].

摘自《工業(yè)控制系統(tǒng)信息安全?？ǖ诹嫞?/span>