01. 工業(yè)控制網(wǎng)絡的特殊安全需求

工業(yè)控制網(wǎng)絡(后簡稱工控網(wǎng)絡)不同于普通信息網(wǎng)絡，其核心任務是保障生產(chǎn)操作指令運行暢通、持續(xù)有效，并在確保生產(chǎn)指令、生產(chǎn)要素、生產(chǎn)活動得以依托網(wǎng)絡快速展開，在生產(chǎn)鏈路的全時貫通、操作信息的全時受控、生產(chǎn)系統(tǒng)的連續(xù)運行、控制體系的安全可靠等方面有著很高的要求。這些特征導致工業(yè)控制網(wǎng)絡的安全防護體系設計有其特殊性?，F(xiàn)階段主要是采取把傳統(tǒng)IT安全保護技術遷移到工控網(wǎng)絡的方法，但這并不能很好地滿足工控信息體系安全需求。其特殊性主要體現(xiàn)在以下3個方面：

一是安全防御以生產(chǎn)業(yè)務優(yōu)先作為首要原則。在信息網(wǎng)絡的安全保護中，主要關注的是對網(wǎng)絡中業(yè)務數(shù)據(jù)的安全防護，著重保證數(shù)據(jù)的保密性、完整性與可用性。而在工控網(wǎng)絡中，網(wǎng)絡的可用性是需要優(yōu)先保障的，生產(chǎn)業(yè)務要求不間斷運行，運行過程中很難對安全設備進行更新?lián)Q代，也不能像信息網(wǎng)絡那樣可以晚間中止服務數(shù)個小時來更新版本、補丁或安全控制措施。

二是安全彈性是工控網(wǎng)絡的基本要求。與普通信息網(wǎng)絡強調(diào)“共享性”不同，工控網(wǎng)絡要求具有高彈性安全能力(Cyber Resilience)，也叫高魯棒性安全能力，其網(wǎng)絡信息體系設計和安全防御架構，必須考慮從各類網(wǎng)絡攻擊事件中“迅速恢復”能力。如何確保生產(chǎn)活動在遭受網(wǎng)絡攻擊時，工控網(wǎng)絡系統(tǒng)能夠抵擋攻擊入侵并快速從攻擊損壞中恢復，自動適應生產(chǎn)環(huán)境并保持其業(yè)務正常運轉能力，是非常重要的。

三是安全措施不能影響工控網(wǎng)絡的“四高”屬性。工控網(wǎng)絡的四高屬性：高可用性，與普通信息網(wǎng)絡強調(diào)保密性不同，工控網(wǎng)絡強調(diào)可用性;高確定性，工控網(wǎng)絡對通信時延、抖動要求遠高于普通信息網(wǎng)絡;高可靠性，工控網(wǎng)絡要求盡可能短的通信中斷、盡可能低的丟包率、對報文時序錯亂天生比較敏感;高融合性，這是當代工控網(wǎng)絡出現(xiàn)的新趨勢，工控網(wǎng)絡不再是單純的OT網(wǎng)絡，而是OT、IT、IoT高度混雜融合的網(wǎng)絡。

基于工控網(wǎng)絡特殊安全屬性，其安全防御需求至少包括以下3個方面：

一是網(wǎng)絡環(huán)境的可信性，主要是指整個網(wǎng)絡環(huán)境必須是確定清晰且可信任的，至少涵蓋網(wǎng)絡邊界、網(wǎng)絡設備和網(wǎng)絡交互的可信性等三個方面。網(wǎng)絡邊界可信是指所有網(wǎng)絡邊界都是清晰可描述的，包括終端設備的接入、終端設備上的外設接口、邊界隔離交換設備配置策略等;設備可信是指所有接入網(wǎng)絡的設備都是明確無遺漏的，所有終端設備的使用與變更要做到實時監(jiān)控;網(wǎng)絡交互可信是指網(wǎng)絡中各個終端設備之間的交互行為是清晰可信的，包括網(wǎng)絡交互的參與方、采用的通信協(xié)議、執(zhí)行的操作行為等。

二是網(wǎng)絡狀態(tài)的可知性，主要是指對于網(wǎng)絡當前運行的總體狀態(tài)明確可知，能夠及時感知其中正在發(fā)生或可能發(fā)生的安全事件，提前發(fā)現(xiàn)網(wǎng)絡異常情況或正在發(fā)生的攻擊活動，提升網(wǎng)絡異常行為發(fā)現(xiàn)感知能力，至少涵蓋設備接入、網(wǎng)絡交互和安全事件的可知性等三個方面。

設備接入可知是指各類終端設備接入網(wǎng)絡的情況是實時可知的，包括設備數(shù)量、類型、終端屬性信息等;交互活動可知是指網(wǎng)絡內(nèi)各個終端設備之間的交互情況是實時可知的，包括當前活動連接分布情況、網(wǎng)絡流量內(nèi)容情況等;網(wǎng)絡行為事件可知是指網(wǎng)絡中出現(xiàn)的異常流量現(xiàn)象或異常網(wǎng)絡行為是實時可知的，包括可疑終端設備接入、違規(guī)外聯(lián)、惡意提權操作等。

三是網(wǎng)絡運行的可控性，主要是指網(wǎng)絡能夠在運行過程中隨著網(wǎng)絡環(huán)境的變化及時調(diào)整威脅檢測規(guī)則，在網(wǎng)絡內(nèi)發(fā)現(xiàn)異?；顒踊蚬粜袨闀r能夠隨即采取措施，阻斷其攻擊活動，控制其危害范圍，保證相關生產(chǎn)業(yè)務系統(tǒng)的安全平穩(wěn)運行，至少需要涵蓋分布性、適應性和可恢復性等三個方面內(nèi)容。

控制的分布性是指網(wǎng)絡中的安全控制點或監(jiān)測設備分散在網(wǎng)絡各個角落;控制的適應性是指能夠隨著網(wǎng)絡環(huán)境的變化動態(tài)調(diào)整其威脅檢測能力，確保對外部安全威脅和內(nèi)部異常行為的檢測效率與準確性;控制的自恢復性是指網(wǎng)絡在發(fā)現(xiàn)內(nèi)部異常活動或外部攻擊行為后，能夠及時采取反制措施，自行恢復網(wǎng)絡運轉。

02. 高安全工控網(wǎng)絡防御體系設計思路

高安全性工控網(wǎng)絡，絕對不是簡單地將普通信息網(wǎng)絡安全保護技術遷移到工控網(wǎng)絡，也不是將普通信息網(wǎng)絡安全保護的“三大件”部署在工控網(wǎng)絡，形成“安全孤島”或“數(shù)字堡壘”。高安全性工控網(wǎng)絡構建思路分為全新重構高安全性工控網(wǎng)絡和持續(xù)加固現(xiàn)有工控網(wǎng)絡。

全新重構高安全性工控網(wǎng)絡，主要有以下2個設計思路：

一是創(chuàng)新網(wǎng)絡體系結構，基于下一代互聯(lián)網(wǎng)技術建立具備自認證特征的基礎安全網(wǎng)絡，解決現(xiàn)有網(wǎng)絡在互聯(lián)互通與安全可控之間的對立矛盾，改變當前以行政管理手段解決基礎架構安全問題的尷尬局面，為工控網(wǎng)絡安全防御體系構造打下堅實技術根基;

二是建立動態(tài)信任體系，將傳統(tǒng)網(wǎng)絡安全技術與"可信計算"技術結合起來，改變傳統(tǒng)安全體系"防外重于防內(nèi)"卻"防不勝防"的不利現(xiàn)狀，根據(jù)不同任務場景的不同安全需求，以終端的安全可信為源頭、作為信任根，從終端到網(wǎng)絡、到應用、到服務、到數(shù)據(jù)，基于主體屬性與客體保護等級之間的安全度量，建立動態(tài)信任信任鏈，最終建立起覆蓋整個工控網(wǎng)絡的可信網(wǎng)絡連接，從而提供對工控網(wǎng)絡環(huán)境更加完善的安全控制與安全保障。

持續(xù)加固現(xiàn)有工控網(wǎng)絡，主要有以下2個設計思路：

一是建立和持續(xù)優(yōu)化縱深防御機制，將網(wǎng)絡安全能力部署到工控基礎設施與信息系統(tǒng)的“每一個角落”，力求最大化覆蓋構成工控網(wǎng)絡的各個組成實體，實現(xiàn)工控網(wǎng)絡與安全防護措施“深度融合、縱深覆蓋”的縱深防御能力;

二是部署網(wǎng)絡主動防御能力，建立威脅情報和人工智能引導的網(wǎng)絡安全態(tài)勢感知與安全控制體系，持續(xù)檢測網(wǎng)絡安全風險，準確感知網(wǎng)絡攻擊特征，及時阻斷網(wǎng)絡攻擊活動，完善改進網(wǎng)絡防護措施。哪怕是遭受物理攻擊，也能確保核心業(yè)務數(shù)據(jù)不被竊取，重要生產(chǎn)活動不被干擾，并能表現(xiàn)出充分的業(yè)務安全彈性與自主恢復能力。

03. 全新重構高安全性工控網(wǎng)絡關鍵路徑

高安全性工控網(wǎng)絡以統(tǒng)一安全基底為基礎、以安全因需賦能為核心、以智能安全管理為保障，在安全態(tài)勢感知、威脅檢測預警、防御能力部署機制的支撐下，形成“監(jiān)測-決策-響應-防御”的動態(tài)防御體系，實現(xiàn)基于態(tài)勢變化和安全需求的網(wǎng)絡信息系統(tǒng)安全防御。

其關鍵技術途徑主要包括：內(nèi)生安全的基礎網(wǎng)絡、安全可信終端、動態(tài)信任機制，其中：具備內(nèi)生安全的基礎網(wǎng)絡是整個工控網(wǎng)絡防御的基石;動態(tài)信任體制是工控網(wǎng)絡防御的關口，既不能讓“壞人”進來，又要把“好人”放進來，而且“好”與“壞”并非一成不變，而是要持續(xù)度量持續(xù)評估;安全可信終端是工控網(wǎng)絡防御的支點，終端是所有安全策略與信任關系的執(zhí)行點，是所有安全措施與訪問控制的落腳點，是所有安全防御活動實際效果體現(xiàn)的環(huán)節(jié)。

內(nèi)生安全基礎網(wǎng)絡：當前基礎的工控網(wǎng)絡，包括普通信息網(wǎng)絡，都不具備地址真實性鑒別的內(nèi)生機制。針對此問題，IETF提出的HIP協(xié)議思路，在網(wǎng)絡層和傳輸層之間插入主機標識層，IP地址只作為網(wǎng)絡層所使用的定位標識符，實現(xiàn)數(shù)據(jù)報的路由轉發(fā)，主機標識符 HI(Host Identity)提供主機身份標識功能，由傳輸層使用。雙方在通信時，IP地址的變化對傳輸層透明，從而保證在發(fā)生移動或地址變化時，通信不中斷可以持續(xù)進行，并且通信對端可以根據(jù)主機標識 HI確定移動節(jié)點身份。

安全可信終端：目前工控網(wǎng)絡中的各類終端設備，其軟硬件體系結構大多是Wintel架構，其終端安全管控系統(tǒng)只能通過"打補丁、堵漏洞、建盾墻"等外掛方式，為終端系統(tǒng)運行提供安全防護能力，其防護效果往往是防不勝防。有人提出借助當前國產(chǎn)化替代的契機，采用虛擬化技術來實現(xiàn)可信終端。

動態(tài)信任機制：靜態(tài)信任機制先構建基礎的信任根，然后從信任根開始到硬件平臺、操作系統(tǒng)、應用程序，一層認證一層，一層信任一層，把這種信任擴展到整個工控網(wǎng)絡，從而確保整個工控網(wǎng)絡的可信性。工業(yè)互聯(lián)網(wǎng)將封閉的工控網(wǎng)絡系統(tǒng)打開，更加強調(diào)大規(guī)模業(yè)務資源共享與廣域業(yè)務流程協(xié)作，更加強調(diào)扁平化控制與分步式協(xié)同聯(lián)動，靜態(tài)信任機制已經(jīng)不適用于當前及未來工控網(wǎng)絡。

基于“零信任”理念的動態(tài)信任機制，是參考了人類社會中的信任關系而提出的用于解決分布式網(wǎng)絡的信任管理模型。動態(tài)信任管理模型認為信任關系隨時間變化而變化，需要實時在線對信任關系進行評估;認為不同任務場景下網(wǎng)絡主體與客體之間的信任關系，需要根據(jù)主體身份屬性與客體受保護等級的不同而精確度量分析，進行細粒度權限控制和特定時空范圍的檢測審計;認為信任關系可以傳播，可以沿著業(yè)務網(wǎng)絡中具備可信連接路徑的關系路線進行傳播，解決不同安全域之間身份標識按需安全互認問題;認為信任關系的構建主要依靠相當長有效時間的安全交互行為，真正管用好用的可信管理策略需要從海量通信實體交互日志中挖掘生成，人為行政管理手段只是輔助。

04. 持續(xù)安全加固現(xiàn)有工控網(wǎng)絡關鍵路徑

在實現(xiàn)高安全工控網(wǎng)絡的時候，我們不得不面對一個現(xiàn)實，那就是當前存在超大規(guī)模的正在服役的工控網(wǎng)絡系統(tǒng)，如何確保它的網(wǎng)絡信息安全?

一是建立和持續(xù)優(yōu)化縱深防御機制。縱深防御是攻防對抗中消耗對方資源的最有效的方法。從網(wǎng)絡空間安全的角度來看，可以從物理層、技術層和管理層分別建立縱深防御體系。如下圖所示：

物理層縱深防御又可分為物理層、技術層和管理層。物理層有可視性、CPTED等安全考慮和措施指標;技術層措施包括電子門禁、物理入侵檢測、CCTV、報警系統(tǒng)等指標;管理層面會有場地管理、人員管理、應急演練等指標。

技術層縱深防御至少包括網(wǎng)絡、主機/設備、應用、數(shù)據(jù)等四層防線。如下圖所示：

網(wǎng)絡層按協(xié)議縱向層次防御，在OSI模型7個層次都可以采取相應的安全措施，比如物理層的防竊聽、鏈路層的防ARP欺騙、網(wǎng)絡層的IPsec、傳輸層的TLS等，應用層的識別控制等。網(wǎng)絡層按照邏輯區(qū)域防御，從外至內(nèi)看，DMZ區(qū)可以有防火墻、VPN、WAF、IDS、APT防護、蜜罐等防控措施，在內(nèi)網(wǎng)區(qū)域，有防火墻和網(wǎng)絡分區(qū)，有VLAN隔離、網(wǎng)絡準入、網(wǎng)絡DLP、內(nèi)網(wǎng)蜜罐、SIEM、虛擬桌面等等內(nèi)容，在內(nèi)網(wǎng)的核心區(qū)域，保存著重要業(yè)務的數(shù)據(jù)庫。

應用層可從代碼層、服務層和業(yè)務層來防御，代碼層是最基礎，對應的安全方法有安全編碼規(guī)范、代碼走查、代碼掃描、代碼審計等等;服務層，有認證、授權、日志、加密、哈希、簽名等等技術措施;業(yè)務層，可以做更多的安全措施，會根據(jù)用戶的行為和特征做相應的安全防范。

管理層縱深防御從組織保障、安全規(guī)劃、管理制度到人的安全意識逐層遞進。在組織保障層面，要建立起安全組織架構、人員配備、崗位職責、協(xié)調(diào)機制等;在安全規(guī)劃層面，要制定安全方針、目標、愿景、策略并注重跟蹤落實;在管理制度層面，要定義一系列工作的規(guī)章和流程，如安全需求管理、漏洞管理、應急管理、事件管理、變更管理、配置管理等規(guī)章制度。

最終在人的安全意識層面上，本質(zhì)上是要防范和規(guī)避人性的缺陷。為防范因人的疏忽而導致的誤操作，會采用變更管理、方案審核、雙人復核等措施;為防范人的懶惰，會采用考勤、巡檢、抽查、督辦、審計等措施;為防范人的貪婪，會采用最小特權、職責分離、多人控制、知識分離、特權管理等手段;為防范或威懾可能的作案者，會采用崗位輪換、強制休假、離任審計等手段;為防范人的安全防范意識薄弱，需要對他們進行不斷的培訓、教育、宣傳、警示。信息安全意識培訓最重要的是提高警惕性，尤其是提高對社工類型攻擊的識別和防范能力。最后，建立安全問責機制也很重要，要對所有因不履行流程、不盡職、甚至是故意違反制度，尤其是引起不良后果的人和事都要問責。

為正在運行服役的工控網(wǎng)絡系統(tǒng)部署縱深防御能力，也可以考慮從物理層面、技術層面和管理層面來實施。這里僅描述技術層面的縱深防御體系。

為工控網(wǎng)絡系統(tǒng)實施縱深防御的核心思想：垂直分層、水平分區(qū);邊界控制、內(nèi)部監(jiān)測;態(tài)勢感知、集中管理。如下圖所示，為工控系統(tǒng)和網(wǎng)絡提供五道防線：

第1道防線：部署工業(yè)網(wǎng)閘或工業(yè)防火墻實現(xiàn)IT與OT網(wǎng)絡隔離與訪問控制;

第2道防線：部署工業(yè)防火墻實現(xiàn)操作層與監(jiān)控層網(wǎng)絡隔離與訪問控制;

第3道防線：部署工業(yè)衛(wèi)士實現(xiàn)上位機加固、惡意代碼防護;

第4道防線：部署工業(yè)網(wǎng)絡入侵防御系統(tǒng)或工業(yè)防火墻抵御上位機與控制器之間的雙向入侵攻擊;

第5道防線：部署現(xiàn)場總線防火墻抵御來自現(xiàn)場總線網(wǎng)絡的入侵攻擊。

如上圖所示，有時候我們?nèi)菀讓⒐I(yè)網(wǎng)絡入侵審計系統(tǒng)、工業(yè)安全管理平臺、廠站工業(yè)態(tài)勢感知平臺三個系統(tǒng)在縱深防御體系中的價值定位混淆。

旁路部署在工業(yè)交換機的工業(yè)網(wǎng)絡入侵審計系統(tǒng)，屬于安全監(jiān)測類系統(tǒng)，它的視野也僅僅是工業(yè)交換機所能夠連接的網(wǎng)絡區(qū)域，要想搞清楚工業(yè)網(wǎng)絡入侵審計系統(tǒng)應該提供哪些安全功能，應該以什么樣的交互方式提供這些安全功能，那么我們可以觀察一下這個網(wǎng)絡區(qū)域的OT工程師他們是如何監(jiān)測生產(chǎn)業(yè)務的，具有如下特點：

● 工控裝置為監(jiān)測單元，一臺顯示器的一個畫面監(jiān)測此裝置的相關指標數(shù)據(jù)是否存在異常;

● 在線監(jiān)測，線下處置;

● 監(jiān)控畫面多為形象化、指標化。

因此工業(yè)網(wǎng)絡入侵審計系統(tǒng)不需要太多的統(tǒng)計分析圖表，而是重點提供經(jīng)過去重、關聯(lián)、排序后的安全事件實時監(jiān)測畫面即可，當然還需要提供安全事件留存證據(jù)查詢與調(diào)取的操作界面。

工業(yè)安全管理平臺針對整個工控網(wǎng)絡或工控網(wǎng)絡某區(qū)域從安全設備、網(wǎng)絡結構、安全策略、安全事件四個方面進行統(tǒng)一管理。因此工業(yè)安全管理平臺的管理視野可以小到一臺工業(yè)交換機的網(wǎng)絡范圍，大到整個工廠的工控網(wǎng)絡。

二是部署主動防御能力。工業(yè)網(wǎng)絡入侵審計系統(tǒng)是針對安全事件的實時監(jiān)測，但往往視野僅僅局限在某個工業(yè)交換機網(wǎng)絡范圍，如果希望了解整個工廠的工控網(wǎng)絡，甚至是工廠IT網(wǎng)絡的安全狀況，則需要一個能夠監(jiān)測到更大范圍的工具，這個工具就是上圖中的廠站工業(yè)態(tài)勢感知平臺。

在工廠范圍來說，更關心的是發(fā)生了什么，是否被網(wǎng)絡入侵、感染病毒了，因此廠站工業(yè)態(tài)勢感知平臺側重于基于XDR思想，借助人工智能、大數(shù)據(jù)分析等技術，實現(xiàn)整個工廠的工控網(wǎng)絡和信息網(wǎng)絡的關聯(lián)威脅檢測和威脅處置，從而具備主動防御能力：持續(xù)檢測網(wǎng)絡安全威脅、準確感知網(wǎng)絡安全風險、及時阻斷網(wǎng)絡攻擊活動、完善改進網(wǎng)絡防護措施。

文章來源：六方云