企业动态
行业资讯

工业企业控制系统安全防护体系建设浅析

摘要:工业企业控制系统安全防护体系应“自上而下的设计、自下而上的建设”。综合分析工业企业控制系统安全风险问题,结合工业控制系统自身特点,建设包含安全防护检测体系、安全态势分析体系以及安全服务响应体系在内的动态闭环防护体系。

关键词:行为基线 工业企业控制系统 防护检测 态势分析 服务响应

一、引言

伴随着网络强国和制造强国全面建设、快速发展的步伐,工业企业仍处在数字化、网络化、智能化快速发展的大时代浪潮之中。诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(汽车、航空航天)等工业行业依托其各自行业特点、技术发展阶段,在不同程度上完成了工业企业信息化转型阶段性任务。我国是工业生产大国,加快工业企业控制系统安全防护体系建设的研究,有利于形成叠加效应、聚合效应、倍增效应,前景广阔、潜力巨大。当前,我国工业企业信息化转型步伐不断加快,在培育新模式新业态、推进供给侧结构性改革等方面已初显成效,但仍存在安全防护技术不足、安全保障有待加强、安全体制机制亟需完善等问题。

二、工业控制系统特点分析

现代工业控制系统自1968年,由“PLC之父”Dick Morley设计实现Modicon 084以来,在技术层面始终贯彻着自动控制需求至今,参考实际控制应用模型,同时抽象总结SCADA系统、DCS系统、PLC系统、SIS系统等常见工业控制系统模型中的共性部分。由图1总结出工业控制系统的功能层次模型。该层次模型将工业控制系统功能划分为五个层级。L0(Field device layer)现场设备层直接参与工业生产控制过程,该层涉及的设备为工业控制系统的传感器和执行器等,作为数据采集设备接入过程监控层直接向各工业控制系统提供数据。L1(Field control layer)现场控制层直接用于工业生产过程,用以完成连续控制、顺序控制、批量控制和离散控制等工业自动化控制。该层涉及设备包括DCS、PLC、RTU等。L2(Process control layer)过程监控层主要包括SCADA、HMI、主机等设备对象,主要用于对生产过程中不同方面数据进行采集与集中监控,搭建易用的人机接口,实现对工业生产的监视、控制、分析、报警等功能。L3(Producing management layer)生产管理层管理如调度生产、生产计划、可靠性保障和现场控制业务优化等生产所需的工作流程,主要包括MES制造执行系统、EMS能源管理系统、生产调度系统等系统等。L4(Enterprise resource layer)企业资源层主要包括ERP系统、PLM系统等。

工业企业控制系统安全防护体系建设浅析1

图1 工业控制系统分层结构

三、工业控制系统风险分析

结合工业企业控制系统安全特点,归纳总结出其面对主要安全风险包括控制器及主机设备面对的安全风险、生产控制过程面对的安全风险、控制网络通信传输面对的安全风险、工业数据生产与存储面对的安全风险以及工业企业安全防护管理面对的安全风险。

( 1 ) 设备层面风险分析:设备脆弱性风险,工业控制系统存在大量在已知漏洞。该部分漏洞可成为攻击者攻击途径,通过漏洞执行恶意操作,从而引发生产事故。设备恶意代码风险,工业控制系统中存在恶意代码、恶意脚本引发安全事故的条件,目前缺乏对计算环境中应用及服务的管控手段,无法有效管控上位机中进程,造成计算资源及计算环境的不可控。

( 2 ) 控制过程风险分析:控制误操作风险,工业控制系统存在误操作的产生空间,这类风险中,所有操作动作在系统识别中可能都是合法的,其非法部分存在于操作频率、操作数值、操作地址等,所以需要具有通讯协议内容深度的防护技术去甄别及防护此类风险。

( 3 ) 网络传输风险分析:网络边界安全风险,工业企业生产网络访问控制目前大部分仍处于空白失管状态,十分容易产生无法识别的针对某一生产系统的攻击,且无从追溯。远程传输安全风险,工业企业生产网络数据传输模式缺少相应的保障技术手段,且工业通讯协议在设计上缺乏安全智能能力,存在数据被篡改、监听,甚至恶意攻击的可能。

( 4 ) 数据流转风险分析:数据传输安全风险,工业控制系统通讯协议均为工业专用协议,工业协议在设计支持考虑多为数据传输的实时性、容错性等,无安全层面考虑,易造成生产数据的外泄。数据应用安全风险,工业控制系统中大量生产支持数据存储模式缺少相应的保障技术手段,存在数据被篡改、窃取的可能。

( 5 ) 管理方面风险分析:缺少整体监控手段,当前生产网中缺少针对控制系统缺少统一监控分析手段,造成攻防对抗中防御者始终处于被动位置,无法形成有效的整体防范策略。缺少应急响应能力,当前生产环境中缺乏对于安全事故的应急响应能力,无法做出实质性响应策略。

四、工业控制系统动态防护体系建设

综合分析工业企业控制系统安全风险问题,结合工业控制系统自身特点,建设包含安全防护检测体系、安全态势分析体系以及安全服务响应体系在内的动态闭环防护体系。安全防护检测体系在防护检测工业控制系统的同时向其他两大体系提供安全数据信息;安全态势分析体系结合安全防护检测数据及安全服务事件信息反馈,向安全防护检测体系实时动态下发安全策略与向安全服务响应体系归纳上报安全事件分析结果同步进行;安全服务响应体系根据安全态势分析结果有效对安全防护检测赋能支撑。

工业企业控制系统安全防护体系建设浅析02

图2 工业控制系统安全防护体系图

( 1 ) 安全防护检测体系基于行为基线为中心建设基础安全防护能力,包括访问控制管控、工业行为分析、主机白名单技术、工业设备内生安全管控、工业攻击诱捕反制、工业漏洞虚拟防护、工业数据分类安全治理等。行为基线设计,针对工业行为基线进行调研及绘制,得出的行为基线作为安全防护体系中安全策略的建设依据,并作为最小化原则的模板进行安全建设;基于行为基线的访问控制建设,有效解决了未经授权访问的安全威胁,从网络及应用层面对控制系统网络进行管控。同时针对缺乏统一运维管控的安全威胁进行对应管控;基于行为基线的行为审计建设,以镜像流量方式,对区域内操作记录,访问记录进行检测并审计,解决了针对误操作的检测与审计、以及对基于合法途径的非法操作进行检测与审计;基于行为基线的主机白名单建设,构成工业安全实质层面最外层的安全防线。有效解决了工业主机中缺少针对计算环境的管控以及缺少针对工控环境恶意代码管控的需求;工业攻击诱捕反制,通过伪装技术诱捕工业控制系统攻击者,获得攻击行为特征画像,进一步追踪溯源,对攻击行为反制处置;工业漏洞虚拟防护,结合工业脆弱性漏洞特点、针对特征化工业生产环境,以具有针对性漏洞防护检测技术实现工业漏洞的虚拟防护;工业数据分类安全治理,收集工业企业数据分级分类,分析处置工业数据,实现数据动态的集中展示,将工业大数据全生命周期流转状态及安全状态实时呈现;工业设备内生安全管控,引入可信根对设备芯片与操作系统进行安全加固,进一步构建基于自主可控的嵌入式系统安全,保障可信安全系统自身安全。

( 2 ) 安全态势分析体系作为工业企业控制系统安全防护体系的安全中枢,承担安全数据的分析存储、业务应用及集中展示功能。安全态势分析主要作用于安全数据的统计与分析,通过多样探针及大数据存储分析等技术手段对网络的安全事件、未知威胁等信息以时间、资产等维度进行统计。在统计数据的基础上,构建威胁安全业务模型,分析工业控制系统中所存在的脆弱性、威胁源导致安全事件发生的可能性,以及由此产生的后果和影响。构建安全事件自动处置能力,动态管控安全防控检测策略。

( 3 ) 安全服务响应体系是工业企业控制系统安全防护体系的最后一道防线,承担安全支撑、检测服务、运维服务、风险评估四大服务响应能力。为整体安全防护体系提供事前评估预警、事中分析处置、事后溯源提升的安全能力。同时安全服务响应体系与其他两大体系互为支撑赋能,共同建设动态安全防护体系。

五、结语

工业企业控制系统安全防护体系应“自上而下的设计、自下而上的建设”。自上而下的设计通过对各个系统之间的数据指令进行分析,从而在最小化原则的基础上,建立可知可控的安全环境。对于策略外数据指令交由态势分析进一步分析,通过分析结果动态调整安全策略。部分特殊安全事件通过安全服务响应体系完成安全事件的应急处置,并且在事后输出安全模型至态势平台丰富安全知识库,优化自动化处理能力。自下而上的建设基于行为基线按照控制系统的访问控制、行为监控、主机白名单加固、态势分析平台、主动感知技术、安全服务响应平台的顺序配合内生安全、诱捕反制、漏洞虚拟防护及数据治理同步进行安全能力建设,即优先保障独立控制系统的安全,从而保证生产过程的可持续运行。其后再对工业控制网络进行监测,防控与检测数据作为态势分析的基础进行态势分析平台的建设,辅以可控的主动感知手段进行资产发现及资产管理。最后进行整体联动,建立安全服务应急响应体系,完成安全闭环,打造工业控制系统安全防护体系。

原文来源:关键基础设施安全应急响应中心

 
版权所有:郑州三中网安科技有限公司 豫ICP备2020036495号-1    豫公网安备 41019702002241号 | 站点地图 | 人才招聘 | 联系我们