久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

在工業(yè)控制系統(tǒng)中，終端設(shè)備網(wǎng)絡(luò)化、智能化的趨勢越來越明顯。隨著控制系統(tǒng)日漸走向網(wǎng)絡(luò)化、集成化、分布化的發(fā)展趨勢，信息安全成為影響工控系統(tǒng)正常運行的重要問題。現(xiàn)有的工業(yè)控制系統(tǒng)防護(hù)主要通過防火墻、工業(yè)網(wǎng)閘等網(wǎng)絡(luò)防護(hù)設(shè)備構(gòu)建邊界防護(hù)和基于主機(jī)和操作系統(tǒng)的加固防護(hù)技術(shù)，此類防護(hù)手段主要作用于攻擊或威脅發(fā)生后，屬于被動防御。本文提出針對工業(yè)控制系統(tǒng)的信息安全功能和防護(hù)架構(gòu)將通過基于數(shù)字證書的身份認(rèn)證、融合可信計算技術(shù)的工業(yè)控制器等一系列信息安全主動防護(hù)能力來實現(xiàn)工業(yè)信息安全的主動防御體系。

圖1 主動防護(hù)機(jī)制

2.1　被動防護(hù)機(jī)制

傳統(tǒng)的信息安全防護(hù)機(jī)制通過對關(guān)鍵網(wǎng)絡(luò)節(jié)點和數(shù)據(jù)出入口采取必要的訪問控制和權(quán)限控制來達(dá)到信息安全防護(hù)的目的。傳統(tǒng)的被動式防護(hù)體系主要采用“封”、“堵”、“查”、“殺”的策略對保護(hù)系統(tǒng)環(huán)境進(jìn)行安全過濾，主要依賴以下防護(hù)手段實現(xiàn)：

2.1.1　區(qū)域邊界隔離

（1）物理區(qū)域隔離

物理區(qū)域隔離，本質(zhì)上通過在內(nèi)網(wǎng)和外網(wǎng)之間建立對直接或間接連接的阻隔，從而實現(xiàn)對內(nèi)外網(wǎng)之間的物理隔絕的隔離技術(shù)。嚴(yán)格意義上來說，物理隔離的建立首先在兩個網(wǎng)絡(luò)之間的物理上是互不連接的，其次物理隔離需在鏈路層上切斷內(nèi)網(wǎng)外之間的數(shù)據(jù)鏈接，因此無論使用防火墻、路由器或其他交換設(shè)備連接的網(wǎng)絡(luò)均不屬于物理隔離。物理隔離目前常用工業(yè)網(wǎng)閘實現(xiàn)。

物理隔離對數(shù)據(jù)的傳輸方向要求較高，并且實施成本較大，但在安全性方面要強(qiáng)于邏輯隔離。

（2）邏輯區(qū)域隔離

邏輯區(qū)域隔離，被隔離的兩端仍然存在物理上數(shù)據(jù)通道連線，但通過技術(shù)手段保證被隔離的兩端沒有數(shù)據(jù)通道，即邏輯上隔離。主要通過軟件或硬件設(shè)備將兩個網(wǎng)絡(luò)進(jìn)行虛擬分割，并保證網(wǎng)絡(luò)之間進(jìn)行有條件的互訪。邏輯隔離通常采用VLAN和網(wǎng)絡(luò)防火墻等方式實現(xiàn)。

邏輯隔離具有部署簡便，操作性強(qiáng)，適用性廣等特點，但在安全程度上相較于物理隔離稍差。

2.1.2　邊界防護(hù)

通過邏輯或物理分區(qū)的方式將控制系統(tǒng)劃分為不同的區(qū)域，形成了多區(qū)域邊界的區(qū)域化結(jié)構(gòu)，在各分區(qū)的邊界采用邊界防護(hù)手段，能夠有效控制各區(qū)域出入口的數(shù)據(jù)和流量安全。

邊界防護(hù)是被動防御體系的核心所在，通常通過網(wǎng)閘設(shè)備和防火墻實現(xiàn)，以基礎(chǔ)架構(gòu)安全作為邊界防護(hù)的基礎(chǔ)，通過預(yù)置不同的安全策略和檢測特征來進(jìn)行靜態(tài)防護(hù)，邊界防護(hù)技術(shù)針對絕大多數(shù)常見類型的威脅和攻擊具有很好的抵御效果，但對于未知威脅和APT攻擊卻很難發(fā)揮出決定性作用。

2.1.3　安全管理

安全管理主要包括漏洞掃描修復(fù)、安全審計記錄等手段對工業(yè)控制系統(tǒng)中存在的漏洞進(jìn)行掃描和修復(fù)，防止存在的已知漏洞被惡意利用；審計系統(tǒng)則通過對發(fā)生的安全事件和非法數(shù)據(jù)流量進(jìn)行審計記錄，對安全事件提供追蹤溯源能力。

2.1.4　主機(jī)防護(hù)

主機(jī)防護(hù)所針對的保護(hù)對象為系統(tǒng)內(nèi)的合法資產(chǎn)，通過對已有主機(jī)的操作系統(tǒng)進(jìn)行系統(tǒng)加固，關(guān)閉無關(guān)端口和無關(guān)服務(wù)達(dá)到服務(wù)和端口最小化的目的，從而切斷可能存在的威脅傳輸介質(zhì)。

防病毒軟件同樣被應(yīng)用于對主機(jī)資產(chǎn)的防護(hù)，考慮到工業(yè)控制系統(tǒng)網(wǎng)絡(luò)隔離和難以保證病毒庫實時更新等問題，防病毒軟件在工業(yè)控制系統(tǒng)的應(yīng)用主要采用白名單防護(hù)的形式。

2.2　縱深防護(hù)機(jī)制

縱深防護(hù)理念引入工業(yè)控制系統(tǒng)的信息安全解決方案是目前業(yè)內(nèi)廣泛接受的應(yīng)用解決方案之一，工業(yè)控制系統(tǒng)的“縱深防護(hù)”旨在外部網(wǎng)絡(luò)與工業(yè)核心網(wǎng)絡(luò)之間構(gòu)建多層次的防護(hù)層，由于工業(yè)控制系統(tǒng)的功能層級化結(jié)構(gòu)明顯，縱深防護(hù)理念在工業(yè)控制系統(tǒng)的適用度更加明顯。

工控系統(tǒng)的縱深防護(hù)策略大體可分為四大類：

（1）安全管理

安全管理通過建立完善的安全管理流程、操作指南、安全業(yè)務(wù)管理和應(yīng)急響應(yīng)機(jī)制來完善信息安全防護(hù)能力。

（2）物理防護(hù)

物理防護(hù)指對工業(yè)控制現(xiàn)場和設(shè)備的物理訪問進(jìn)行限制和約束。包括門禁、身份卡、監(jiān)控設(shè)備等。

（3）網(wǎng)絡(luò)防護(hù)

網(wǎng)絡(luò)防護(hù)包含基于網(wǎng)絡(luò)分區(qū)的安全架構(gòu)，以及通過部署防火墻等邊界防護(hù)設(shè)備對網(wǎng)絡(luò)分區(qū)邊界節(jié)點的信息安全防護(hù)。

（4）主機(jī)防護(hù)

主機(jī)防護(hù)通過對主機(jī)操作系統(tǒng)的服務(wù)和配置加固、補(bǔ)丁管理、漏洞修復(fù)等完善操作系統(tǒng)的基本防護(hù)能力。此外，通過部署防病毒軟件對惡意代碼和惡意程序進(jìn)行檢測和防護(hù)。

縱深防護(hù)機(jī)制在以上防護(hù)策略的基礎(chǔ)上，對不同層級采用不同針對性的安全措施，從而保護(hù)工業(yè)控制系統(tǒng)內(nèi)的資產(chǎn)和網(wǎng)絡(luò)安全。

3  工業(yè)控制系統(tǒng)主動防護(hù)機(jī)制

基于已有的工業(yè)信息安全防護(hù)體系，為解決信息安全防護(hù)在工控系統(tǒng)中存在的問題，進(jìn)一步提出了針對工控系統(tǒng)的主動防護(hù)機(jī)制。主動防護(hù)機(jī)制基于可信計算技術(shù)、數(shù)字證書體系構(gòu)建能夠?qū)阂庑袨楹蛺阂馔{進(jìn)行自診斷、自抵御的核心內(nèi)生安全體系。

3.1　控制層主動防護(hù)

層級防護(hù)方面，在現(xiàn)有縱深防護(hù)的基礎(chǔ)上增加控制器核心安全防護(hù)層，通過提升控制系統(tǒng)核心控制器的安全抵御能力，將核心控制器作為安全的最后一道防線，采用可信計算和數(shù)字證書體系作為主動防護(hù)的基礎(chǔ)，進(jìn)一步賦予工控系統(tǒng)控制層的核心防護(hù)能力。通過對可信計算平臺的引入，控制器將具備對未知威脅的主動發(fā)現(xiàn)和阻隔能力。

3.2　網(wǎng)絡(luò)層主動防護(hù)

工業(yè)控制系統(tǒng)在系統(tǒng)網(wǎng)通信方向，通過對通信行為建模的方法，通過對正常工業(yè)通信行為進(jìn)行機(jī)器學(xué)習(xí)，針對無法辨識出未知特征的攻擊或入侵行為進(jìn)行檢測，實現(xiàn)對Profinet 、 Modbus-TCP、IEC-104、OPC-UA、DNP3.0等工業(yè)協(xié)議的訪問控制能力。

主動防御的工業(yè)協(xié)議訪問控制技術(shù)通過監(jiān)視并分析通信行為在入侵行為產(chǎn)生危害之前進(jìn)行攔截，作為對基本訪問控制能力的強(qiáng)化補(bǔ)充。

3.3　監(jiān)控層主動防護(hù)

主動防護(hù)機(jī)制引入數(shù)字證書的安全機(jī)制，解決設(shè)備固件更新階段的合法性和完整性度量，身份接入認(rèn)證，保證工控設(shè)備在啟動與運行階段的可信性，從源頭建立安全可信的運行環(huán)境。

設(shè)備接入工業(yè)網(wǎng)絡(luò)之后，通過數(shù)字證書進(jìn)行雙向認(rèn)證，并提供CRL多種方式的證書有效性驗證，提供PKCS1/ PKCS7、attach/PKCS7、detach/XML等格式的數(shù)字簽名和數(shù)字簽名驗證功能。

U-key作為身份認(rèn)證和加密傳輸?shù)年P(guān)鍵設(shè)備，作用于上層系統(tǒng)，基于802.1x認(rèn)證過程防止未授權(quán)登陸以保證系統(tǒng)的安全接入。支持對稱和非對稱加解密算法。U-key內(nèi)存儲有用于身份認(rèn)證的數(shù)字證書可被上位機(jī)用于完成身份認(rèn)證的工作。

4  信息安全主動防護(hù)體系應(yīng)用

工業(yè)信息安全主動防護(hù)體系，增加對控制層、網(wǎng)絡(luò)層、監(jiān)控層的主動防護(hù)技術(shù)的應(yīng)用，并結(jié)合被動防御機(jī)制核心的邊界防護(hù)以及縱深防護(hù)機(jī)制的獨立防護(hù)策略，構(gòu)成對工業(yè)控制系統(tǒng)新的安全防護(hù)體系。主動防護(hù)體系在抵御外部已知威脅的同時，進(jìn)而能夠?qū)ξ粗{以及從內(nèi)部發(fā)起的威脅進(jìn)行有效抵御，全面保護(hù)工業(yè)控制系統(tǒng)的穩(wěn)定運行。

通過在現(xiàn)有工業(yè)控制系統(tǒng)的拓?fù)浠A(chǔ)上，增加可離線運行的數(shù)字證書管理平臺、高度集成的安全管控平臺以及集成主動安全防護(hù)技術(shù)的核心安全控制器，構(gòu)筑能夠?qū)σ阎{、未知威脅、外部非法訪問、內(nèi)部非法接入等各類信息安全威脅的核心抵御能力。

（ 注： 本研究依托國家高技術(shù)研究發(fā)展計劃“863計劃”先進(jìn)制造技術(shù)領(lǐng)域“可編程嵌入式電子裝備的安全技術(shù)”項目“可編程嵌入式電子設(shè)備的安全防護(hù)技術(shù)及開發(fā)工具”課題任務(wù)進(jìn)行。）

作者簡介