智能製造中的工控信息安全框架設計

摘要：面向全產業鏈環節，綜合應用現代傳感技術、網絡技術、自動化技術、智能化技術和管理技術等先進技術，與現有生產過程的工藝和設備運行技術高度集成的新型工廠，以實現複雜環境下生產運營的高效、節能和可持續為目標。

進入21 世紀以來，信息與通信技術取得了突破性進展，智能的網絡世界與物理世界融合產生了物聯網與信息物理融合系統。

為了確保製造業世界領先地位，德國首先將信息技術應用於製造工業的全周期中，開啟了Industry 4. 0 第四次工業革命。

並全面論述了Industry 4.0 的願景與目標、主要內容和採用的戰略，深入分析了智能工廠的體系架構，同時闡述了智能工廠創新聯盟正在開展的研發項目。

我們應該借鑑Industry 4.0 智能工廠的理念、方案與路線圖，勇於創新，加快我國裝備製造業轉型升級。

1.工業控制網絡安全現狀：

工業控制系統（ICS）廣泛應用於工業、能源、交通、水利以及市政等領域，用於控制生產設備的運行。

一旦工業控制系統信息安全出現漏洞，將對工業生產運行和國家經濟安全造成重大隱患。

隨著計算機和網絡技術的發展，特別是信息化與工業化深度融合以及物聯網的快速發展，工業控制系統產品越來越多採用通用協議、通用硬體和通用軟體，以各種方式與網際網路等公共網絡連接，病毒、木馬等威脅正在向工業控制系統擴散，工業控制系統信息安全問題日益突出。

尤其是「工業網際網路」、「工業4.0」、「兩化深度融合」、「網際網路+」等相關概念的提出，在國家政策、技術創新和工業參與者需求轉變等多個維度的共同驅動和協同下，工業正朝著數字化、網絡化、開放化、集成化的工業互聯方向發展，將面臨更加複雜的信息安全威脅。

近年來，工業控制系統信息安全事件不斷發生，「震網」、「火焰」、「毒區」、「Havex」等惡意軟體嚴重影響了關鍵工業基礎設施的穩定運行，充分反映了工業控制系統信息安全面臨著嚴峻的形勢。

工業控制系統信息安全風險和事件數量依然呈上升趨勢。

根據美國工業控制系統網絡應急響應小組（ICS-CERT）發布的2013年年報統計，近幾年ICS-CERT接到的工控系統漏洞上報數量在不斷增加，其中在2013年接到的181個漏洞報告中，有177個被確認是真實的工控系統漏洞，共涉及52個廠商。

在這177個被確認的漏洞中，87%可以被通過網絡遠程利用。

在網絡化浪潮下的工業互聯時代，這些漏洞的潛在威脅正在不斷加大。

在漏洞類型中，身份驗證漏洞的數量最多。

這些漏洞可能使具有初級水平的攻擊者就可以通過Internet獲得訪問工業控制設備的管理員權限。

國內，根據綠盟科技公司的統計，2013年公開新增工業控制系統相關的漏洞共計78個，相對於前兩年有所放緩，軟體漏洞數量有所回落，但硬體漏洞數量繼續保持持續增長趨勢。

根據美國ICS-CERT往年統計的工控信息安全事件數量可知，近幾年工業控制系統相關的信息安全事件正在呈快速增長的趨勢。

在2013年的工控信息安全事件中，能源、製造業、市政等國家關鍵基礎設施受到的攻擊最為嚴重。

這些信息安全事件涉及的主要攻擊方式包括水坑式攻擊、SQL注入攻擊和釣魚攻擊等。

我國也在積極探索漏洞挖掘與風險通報工作，2012年國務院的23號文與2011年工信部的451號文都提出要建立漏洞通報與發布制度。

2012年，工業和信息化部啟動了工業控制系統信息安全風險發布工作。

8月，工業和信息化部下發了《工業和信息化部辦公廳關於開展工業控制系統信息安全風險信息發布工作的通知》（工信廳協函〔2012〕629號），對工業控制系統信息安全風險信息發布工作做出了安排，指出工業和信息化部將不定期的向各地工業和信息化主管部門、有關國有大型企業及相關工業控制系統廠商發布《工業控制系統信息安全風險提示》。

為支撐工業控制系統信息安全風險發布工作，工業和信息化部也組織相關機構建立工業控制系統信息安全模擬環境和測試實驗室，形成工業控制系統信息安全攻防演練及漏洞驗證和挖掘能力。

同時，我國也鼓勵研究機構、工控產品廠商、信息安全廠商和研究人員積極參與工控風險「可發現」的研究工作，積極向主管部門上報風險。

2.安全防護體系需求

根據國家工業和信息化部【2011】451號文件要求，需要加強工業信息安全防護工作，結合實際製造過程，網絡總體需求如下：

（1）在保證自動化及相關網絡通訊信息傳輸可靠、可用的基礎上，來完善智能製造網絡安全解決方案。

（2）結合工控網絡安全相關標準規範，對現有智能製造生產網絡架構進行優化並說明；

（3）對生產網絡核心資產的防攻擊、防竊密；

（4）對生產網絡資產及安全狀況的監控；

3.基於工業4.0的智能工廠安全防護體系

3.1 網絡邊界防護與邏輯隔離

網絡安全隔離防護的首要內容就是實現網絡中一些重要的子系統之間網絡流量的訪問控制，這是網絡安全防護的基礎。

目前工控網絡所面臨的安全威脅不僅僅是常規IT攻擊手段或病毒感染，而針對工控通訊協議和控制設備自身安全缺陷和漏洞的攻擊則會為工控系統帶來更成嚴重的危害，因此訪問控制粒度的把握成為工控網絡安全建設成敗的根本因素，以往的埠級訪問控制策略無法做到工業協議惡意代碼攻擊的防護，這就需要在網絡邊界處設置具有工業協議深度包檢查（DPI）功能的工業防火牆系統來提供更加有效的工業協議應用層防護。

部署位置：

企業信息網和生產網的隔離；

關鍵控制節點的保護；

生產網區域之間隔離；

生產網和第三方系統邊界隔離防護（例如遠程維護）。

工業防火牆使用工業通訊協議白名單的技術，內置PC/Modbus/DNP3/Profinet/104等多種專有工業通信協議。

與常規防火牆不同，工業協議防火牆不僅是在埠上的防護，更對基於應用層的數據包深度檢查，屬於新一代工業通訊協議防火牆，為工業通訊提供獨特的、工業級的專業隔離防護解決方案。

具備在線修改防火牆組態的功能，可以實時對組態的防火牆策略進行修改，而且不影響工廠實時通訊。

無需電廠停機就可在線直接插入使用，不需要對原有網絡進行任何改動，不存在因安全規則配置錯誤導致有效工業通訊被阻斷的隱患，大大降低了項目實施風險。

為滿足工業環境的特點，設計為雙電源供電，斷電報警輸出功能，無風扇寬溫設計，並提供可配置Bypass功能。

3.2在線審計與異常監測

生產控制區的監控系統應當具備安全審計功能，能夠對生產網絡通訊做行為分析，實時監測網絡中的通訊鏈路狀態，溯源網絡中病毒木馬的傳播路徑；同時，用戶可自定義異常狀態判定閾值，將發生的異常通訊以告警的形式匯總展示；此產品還同時具備工控協議及作業系統漏洞庫，可以檢測工控系統是否存在安全漏洞和隱患。

除了具備實時工業通訊協議行為解析外，審計設備也可像飛機的黑匣子一樣，能夠回溯及追查網絡安全問題，完成追根溯源。

包括功能如下：

網絡數據流量監測；

網絡異常數據報警及追溯；

操作記錄及協議深度分析；（需要雙方配合）

信息竊取報警（通過網絡的文件或數據非法訪問及傳輸）；

未知設備接入；

3.3計算機防病毒及主動安全防禦功能

生產控制區具備控制功能的系統應當逐步推廣應用以密碼硬體為核心的可信計算技術，用於實現計算環境和網絡環境安全可信，免疫未知惡意代碼破壞，應對高級別的惡意攻擊。

由於工業控制環境的特殊性，惡意代碼庫難以獲得及時的升級，因此在工控系統中實施基於惡意代碼庫的惡意代碼防範，將存在嚴重滯後性。

攻擊者可以輕易利用惡意代碼庫還未收集的惡意代碼侵入主機系統，進而破壞整個工控系統安全性。

可信計算終端防護由授權伺服器和安全客戶端兩部分組成。

客戶端全面度量系統所有進程，並將度量信息提交至授權伺服器端，伺服器對這些信息進行編輯後生成白名單，供客戶端下載，客戶端依據所下載的白名單對系統和應用進行防護，並將系統及應用中的異常信息和攔截日誌進行上傳。

移動存儲介質是主機之間傳輸信息的重要途徑，因此對移動存儲介質的管控和審計也是整個工業控制系統安全建設的重要組成部分。

基於可信計算技術構建的移動存儲介質管控系統，其主要功能包括：主機對移動存儲介質的身份認證；主機對移動存儲介質的准入控制；主機對準入信息的下載更新。

首先可信伺服器為主機及移動存儲設備頒發准入證書，然後可信伺服器將統一產生並發布主機對移動存儲設備的准入策略，形式為主機能插入的U盤列表，最後主機的准入控制將基於兩個方面的策略來實施，即必須同時滿足這兩方面策略才能讀取或寫入移動存儲介質的內容，一方面移動存儲介質的身份位於主機的准入策略的列表中，另一方面主機的身份必須位於移動存儲介質的准入策略的列表中。

此外，移動設備的接入和使用行為將被嚴格地審計，包括接入時間、接入的操作站、訪問主體、被訪問客體、訪問方式、訪問結果、日期及時間、用戶信息等等。

3.4工控安全監控需要綜合監控功能

網絡安全管理平台，接收來自工業網絡防火牆和可信終端的報警及日誌。

具有工控網絡行為審計記錄的智能分析的功能，具備強大的審計日誌存儲查詢功能，可以對海量的審計數據進行實時監控和網絡行為態勢分析，使系統安全運維人員能夠通過實時日誌展示畫面隨時監控正在發生的不同級別審計日誌和報警信息，也可以通過安全管理平台的條件查詢、統計、篩選、圖表展示和態勢分析算法模型等強大的功能迅速得出網絡健康狀況，最終自動獲得詳細的統計分析報告和事件處置方式建議，實現系統運維管理的實時性、完整性、安全性、自動化、智能化。

平台針對工控網絡行為進行監控和與智能安全分析，監控平台以底層工業防火牆、工控可信計算安全平台以及其他網絡設備為探針，針對內置的「工業控制網絡通訊行為模型庫」核心模塊，能及時檢測工業網絡中出現的工業攻擊、蠕蟲病毒及非法入侵、設備異常等情況，並對危及系統網絡安全的因素做出智能預警分析，為管理者提供決策支持，為工業網絡信息安全故障的及時排查、分析提供可靠地依據。

3.5 控制系統網絡安全管理

生產控制網絡安全管理是整個安全方案中的必要手段，針對生產控制區內，無法採用軟硬體技術實現安全的，需採用管理手段進行防護。

3.7 遠程訪問安全技術

由產業鏈上不同控制車間/工廠通過網際網路共享數據信息。

工業防火牆對生產數據防護，提供通信安全的保障。

3.8 安全防火體系架構圖：

4結語

本文以縱深防禦的防護理念為核心，結合智能製造中的工控信息安全的需求，推出一套基於可信計算、工業防火牆、工控審計與異常監測、SMP安全管理平台的縱深防禦的解決方案，實現了智能製造工廠控制系統信息安全的縱深防禦，能切實有效地保護工控系統遠離木馬、蠕蟲、黑客等各種威脅和攻擊，保障企業生產安全穩定運行。