工业控制系统网络安全纵深防御体系构建

1 工业控制系统网络安全防护现状

传统的工业控制系统安全防护主要基于防火墙、主机安全和流量检测等设备，对非蓄意类的病毒入侵、木马活动等有一定的防御能力，但整体安全较差，仍然存在局部失陷情况。近年来，主机白名单、工控网络流量审计等设备通过使用机器学习对白名单进行建模，对于系统相对稳定、变化较少的场景具备了一定的适应性，但仍需要消耗人力成本保证白名单策略的有效性。2019 年《信息安全技术网络安全等级保护基本要求》发布，工业控制系统安全体系的建设具备了系统性和规范性，但各类安全设施难以全面建设，部分信息资产仍然缺乏有效防护，各个安全设施之间、安全防御体系与企业管理体系之间缺乏有效协同，威胁识别不够准确，安全设备和系统未能充分发挥安全效能，风险仍然较大。

2 工业控制系统网络安全纵深防御体系构建原则与策略

2.1 分级分域保护原则

构建网络安全纵深防御体系的首要原则，是对全网进行分级分域保护。首先是分级保护，分级保护的关键是确定重要工控资产，如果重要资产边界不明确、不合理，会造成安全资源配置错位，无法体现纵深防御的优势。重要资产识别的主要思路是以业务为核心，梳理和业务具有最紧密关联的网络设施、信息系统和业务数据，这些设备、系统和数据一旦遭到破坏、篡改或泄露，可能严重危害企业利益。根据工业控制系统在企业生产经营中与其他系统交互关系的紧密程度，可划分为重要工控资产、一般工控资产和企业管理网资产。其中重要工控资产包括工控服务器、工控网服务器、区域交换机、工控核心交换机、关键控制环节可编程逻辑控制器（PLC）等。一般工控资产包括工控操作终端、工程师站、传感器、变频器等现场设备。

2.2 最小权限原则

应当遵循最小权限原则。最小权限原则是指每个程序或者用户都只应具有完成任务所必须的最小权限，只能访问必须的资源和应用。只有最小权限原则与分级分域保护相辅相成、互相配合，确定了工业控制系统在企业网络中的纵深层

级，才能更好地对各类资产实施权限控制。最小权限原则的应用包括以下几个方面：一是工业防火墙白名单策略，通过对正常工作时流量的学习，建立包括源地址、目的地址、源端口、目的端口、工业协议、协议中的操作指令、线圈值等在内的白名单策略，除策略之外的访问一律禁止。二是工业主机白名单策略，通过对服务器、工控终端在正常工作时应用、程序、进程以及访问资源的记录，建立白名单策略，开启防护模式后，仅允许策略中的应用、程序和进程访问对应的资源。

2.3 协同防护原则

应当遵循协同防护原则。纵深防御体系中，随着防护模块的增加，各个防护模块之间的协同变得尤为重要，只有各模块之间相互协同、相互配合，才能真正发挥纵深的防御优势，否则各个安全模块彼此互为孤岛，容易被逐个击破。协同原则主要包括两个方面：一是安全模块之间的协同，通过安全监测数据的对比、关联，实现更加准确的威胁检测，通过监测、防护设备之间的联动，实现更加快速的响应。二是安全设备和人之间的协同，也是纵深防御体系与企业安全管理之间的协同。

3 工业控制系统网络安全纵深防御体系

网络安全纵深防御体系在防御主体上自下而上分为物理层、主机层、网络层、应用层和数据层，在防护手段上包括隔离与防护、监测与控制、记录与审计、备份与恢复四大类别，最后通过安全管理运营平台对安全防护设施的监测和管理实现协同。防护手段基于事前保护、事中监控、事后追溯、破坏恢复进行划分，其中隔离与防护是通过隔离与保护的方式，防止未授权的接触和访问，应具备身份识别及访问权限管控，同时也支持通过配置管理、补丁管理加固相应的设备设施，增强隔离保护能力。

3.1 物理层

物理层主要包括信息系统的服务器、网络设备、终端物理实体及其所处的物理环境。物理层的防护手段在隔离与防护层面主要是门禁系统和电磁屏蔽，通过门禁实现非授权人员的隔离，通过电磁屏蔽实现对电磁攻击的防护。在监测与控制层面主要是视频监控、防盗报警等设施，对于物理层面的访问进行监视，同时也具备一定的控制功能，对非法访问具有警示、报警能力。在记录与审计层面主要是视频和门禁数据的处理与合规性分析，对追溯、追责、维权等提供证据。

3.2 主机层

主机层主要包括信息系统的服务器、网络设备、各类终端的操作系统。对于各类主机设备，主机层作为连接底层计算存储资源与上层业务应用的平台，其防护具有一定的共性。在隔离与防护层面，主要包括访问控制、主机配置基线管理，

通过系统配置，提供防护能力，防止非授权登录，只有在访问控制下通过身份识别的用户才能够对主机进行访问。在监测与控制层面包括防病毒、主机白名单等。防病毒属于误用检测，依赖已知攻击的特征库，存在漏报的可能性；主机白名单属于异常检测，依赖规则学习的完备性，误报率高，在工控环境中使用情况更多。3.3 网络层

网络层主要包括各类网络设备，如工业交换机、集线器（Hub）、路由器、无线 AC/AP 等。在隔离与防护层面，主要包括准入控制、工控网闸等设施，准入控制包括身份识别和对网络设备的管理功能，确保提供了身份标识的用户能获得与其权限相符合的网络资源，工控网闸一般接在工控网络与企业管理网之间，以对工控网络内部提供保护。在监测与控制层面包括防火墙，传统防火墙通过对数据包的源地址、目的地址、源端口、目的端口、协议进行判别后进行访问控制，下一代防火墙、WAF、IPS 则进一步地对网络流量中的内容进行分析和控制。在记录与审计层面包括全流量记录设备、日志审计系统，全流量设备详细记录了网络访问的完整流量，流量审计系统类似于主机白名单，它对正常业务中的网络访问行为进行学习、建立规则，误报率高，更适用于工控环境中业务较为固定、变化较少的场景。

4 结语

工业控制系统网络安全纵深防御体系的“纵深”性体现在业务安全层级、防护对象层级、防护手段层级相互之间的协同配合、立体防护上。在业务安全层级上，根据分级分域保护原则，建立了重要工控资产、一般工控资产和企业管理网资产的网络纵深，在防护对象层级上，设计了物理层、主机层、网络层、应用层、数据层多层防护，在防护手段上，按照事前保护、事中监控、事后追溯、破坏恢复的目标，设置了隔离与防护、监测与控制、记录与审计、备份与恢复四个类别的防御措施。同时，通过建立安全管理运营平台，实施安全模块之间的协同策略、纵深防御体系与企业安全管理之间的协同策略，将业务安全层级、防护对象层级、防护手段层级紧密协同起来，形成了多维度、大纵深的防御格局，对工业控制系统带来了系统性的安全保障。