工业控制网络系统安全防护的思考

李小强，陈涤新

（1.北京朋创天地科技有限公司，北京 100089；2.北京市自动化物流装备工程技术研究中心，北京 100007）

工业控制网络系统安全防护的思考

李小强1，陈涤新2

（1.北京朋创天地科技有限公司，北京 100089；2.北京市自动化物流装备工程技术研究中心，北京 100007）

工业控制网络系统的安全问题日益突出，目前所提出的各种解决方案，都存在一个共性问题，就是不能满足工业控制网络的可用性要求。从网络安全性、可靠性、可用性方面进行分析，提出采用终端集中管控技术和安全白名单技术的防御性安全策略来解决工业控制网络的安全问题的方法。

工业控制网络；系统信息安全白名单技术虚拟化技术

0 引言

工业控制系统是关系到国家基础设施运行的核心大脑，是国家的关键信息。随着网络信息技术的发展、随着信息化和工业化的深度融合和以太网技术的广泛应用，工业控制系统在飞速发展的同时，系统安全风险日益突出，信息安全问题成为了该领域关注的重点之一。

1 工业控制系统网络结构

随着网络信息技术的发展，从最初的分立元器件组成一个个控制系统，发展到计算机集中控制系统（CCS），再到分散控制系统（DCS），再到由如今的现场总线控制系统（FCS），工业控制系统现在已发展到了由现场控制层、监控管理层和数据采集层的三层网络架构。工业控制系统（ICS）已经从独立分散模式迈向互联互通的网络控制模式，其结构如图1所示。

在图1中，现场控制层中的控制设备如可编程控制器（PLC）、远程终端单元（RTU）、智能电子设备（IED）等设备之间的通信以及与上位系统设备的通信所采用的协议是OPC、Modbus、Profinet、Profibus等；这些协议都是基于TCP/IP协议标准；而监控管理层及以上的通信协议就是TCP/IP协议标准的，两层网络之间所遵循的协议标准是一致的。工业控制网络系统已经不再是一个“孤岛”而是和企业网甚至互联网实现了互联互通。这也就意味着，在传统办公网络中所出现的各种网络安全问题一样会在工业控制网络系统出现，传统的工业控制系统在现在的网络架构中不再是安全的，可靠的。因此如何保障工业控制网络系统的安全是现在所面临的首要解决问题。

图1 工业控制网络系统（ICS）三层网络结构示意图

2 传统网络的防护方法

如何解决工业控制网络系统的信息安全问题呢？是不是将传统办公网络安全的解决办法移植过来就可行呢？传统办公网络的信息安全解决方式有以下三种：

1）针对服务器等主机设备，主要采用的是在服务器安装部署各种安全防护软件，同时部署安全访问策略来限制访问权限；

2）针对网络系统，首先是基于不同网络设备的安全要求将他们部署在不同的安全域中；其次在网络中部署IDS/IPS，防火墙，堡垒机等网络安全设备；

3）针对终端设备就是在终端上安装防杀毒软件、终端安全管理软件等。

3 工业网络对信息要求的特殊性及结构特点

3.1 工控网络和办公网络的差别

办公网络系统对于信息传输的要求是“安全性”、“完整性”、“可用性”，“安全性”是第一位，信息的传输首先要保证安全，而对于信息的可用性要求不高；而工业控制网络系统对于信息传输的要求是“可用性”、“完整性”、“安全性”，“可用性”是首位的。在ICS系统中，信息传输的及时性要求非常高，这是因为在ICS系统中所传输的信息都是现场各种实时信号和实时指令，这些数据需要及时的传送，否则就会导致设备执行出现偏差，从而导致设备故障、损害，甚至人身伤害，直接导致企业出现经济损失等等。从可用性要求来看，在ICS网络系统中，若部署各种安全设备，必将改变网络结构，这将导致数据输送的延迟甚至丢失；若部署安全软件，则可能引起对数据的误判而导致数据延迟或丢失。所以ICS系统的网络安全必须区别于传统办公信息网络的安全部署方案，以确保数据的可用性作为首要要求。

3.2 工控网络系统的结构特点

首先分析下企业工控网络系统结构和所出现的安全问题。在控制网络中，现场设备层的控制设备主要是PLC、IPC以及HMI等设备，在现场监控层和数据采集层除了各种服务器外，作为人机交互的就是工程师站、操作员站、数据管理终端以及配套的外设。这些终端设备就是控制网络的安全边界，主要体现在终端设备和服务器及现场控制设备在逻辑上是直通的，数据可以直接交换。其次，这些终端设备都有各种接口，尤其是USB口，在方便移动存储设备的接入的同时也为各种恶意代码的引入创造了条件。据了解，在相关机构的现场检查中，就曾发现HMI上的USB口有智能手机接入，查原因是现场工人为给手机充电将手机接到HMI的USB口上。其他终端设备上也有违规接入外设的情况，而且非常普遍。我们知道发生在伊朗核电站的“震网病毒”其实就是因为一个移动存储设备的违规接入而导致的。其三，无线设备在工业网络中应用也是越来越普及，很多无线设备是直接与核心网络连接在一起的，而现在很多智能设备也是带无线Wi-Fi功能，如果没有对这些Wi-Fi连接进行有效管控，外部设备未经许可非法连接也是危害控制网络安全的主要因素；第四，随着PLC技术的发展，现在很多中大型PLC在性能上相当于一台计算机系统。针对PLC的维护和故障诊断，很多维护人员都是直接将笔记本连接到PLC上，这些笔记本同时也是公网进行连接，这也导致控制网络随时处在恶意代码和黑客的威胁之中。第五，工业通信协议的“私有性”导致传统信息网络安全策略根本无法起到任何安全防护作用。增加任何工控网络安全设备如工业防火墙、网闸等安全设备以及部署查杀毒软件等这些只会增加网络传输延时、指令或数据包的误审计而被隔离或者丢包，影响整个控制网络系统的正常安全运行和可靠性，根本就不能保证控制网络系统“可用性”要求。

鉴于上述种种对工控网络的安全威胁，我们可以认识到任何改变工控网络的结构，增加安全设备或者部署安全软件的网络安全策略都是会改变工控网络的可用性，影响工控网络的正常、稳定、安全、可靠的运行，这也是这些工业控制网络安全解决方案不被用户所接受的主要原因。

4 基于终端虚拟化技术和安全白名单技术的防御性策略安全解决方案

根据对现有的ICS系统的安全威胁的分析，并结合ICS系统对于网络“可用性”是第一要求，可以发现所有用户操作终端及各种接口是控制网络系统安全最大短板，这点和在传统信息网络的用户操作终端是局域网的安全边界相类似，那么从安全边界的积极防御性安全隔离策略出发，提高网络边界的安全防御技术措施，并结合有效的安全管理制度，就可以做好工业控制网络的安全，保护控制网络不受各种恶意代码和黑客的危害，保证控制网络的“可用性”和“安全性”。基于这一思想，提出采用“围城”的方式，将所有的工控网络设备包围在一个坚固的“城堡”内，将“城墙”做的坚固，足以防止任何外来威胁入侵。对于有必要需要进出的地方，像“城池”一样筑“城门”作为和外界沟通的唯一渠道。因“城门”是“城堡”内外交流的通道，因此必须部署重兵严防，做好“门禁”工作。所有进出“城堡”的人员，必须在城门处接受身份的查验，只有查验通过并获取许可的人员才能进出。所有获准进入城池内人员的行为必须受到严格的限制和规范，并且和其身份是匹配的。通过这种措施保证城池内所有人员的身份是合法的，行为是许可的，进而才能保证城池内的安全可控。

1）防御性安全隔离策略的网络结构示意图

防御性安全隔离策略就是将工业控制网络与安全性较差的外部环境进行安全隔离。从技术手段上讲筑好“城堡”，强化网络安全边界，具体技术手段就是将作为网络安全边界的人机交互界面，如用户操作终端，HMI等实现安全集中管控，并缩小网络安全边界，保障网络边界安全可控。同时在业务环境中部署应用程序白名单的安全策略，规范业务环境工作流程，业务数据的安全保护和确保业务环境的安全可信。通过将操作终端集中管控来实现控制网络系统的安全隔离，并在集中的用户操作环境中部署白名单技术，来规范业务环境中的各种应用，保护内网数据安全。具体的结构示意图如图2所示。

2）操作终端安全集中管控技术安全策略

图2 采用防御性安全隔离策略的控制网络结构示意图

图2 为采用了操作终端安全集中管控技术安全策略。该安全策略是基于开放的KVM终端虚拟化技术和拥有自有知识产品的虚拟化管理技术，将所有操作终端设备，如工程师站、操作员站以及HMI等控制网络中的各种终端设备通过终端虚拟化技术在安全虚拟桌面服务器中构建出对应的虚拟终端，并通过安全云桌面网关将操作终端物理机和虚拟机进行隔离。原先的操作终端和虚拟终端设备之间只有鼠标、键盘代码和显示器上显示的图形像素的交换。这些虚拟桌面可以按照功能和安全要求部署在不同的安全域中，并且通过模本-克隆机制安装不同的操作桌面供使用。通过终端虚拟化技术，实现了所有终端设备的集中管控，而实际的用户操作终端设备整体被“搬移”到控制网络外部，使这些终端设备不再和控制网的核心网络部分直连。图2中的应用防火墙和安全云桌面网关是防御性安全隔离策略的核心设备，安全云桌面网关首先将用户操作终端和控制网络进行隔离，操作人员要访问控制网络中的设备或者数据库系统，首先要通过网关对于其身份的审核，只有审计通过后，网关基于用户的身份和访问权限指定相应的虚拟桌面供用户使用；当用户退出后，网关自动断开虚拟桌面和用户操作终端的链接。其次，网关还有“流控”功能，就是控制内外网的数据流，即允许或是禁止数据从操作终端流向内网，或者内网流向操作终端，或者是双向控制。“流控”的安全策略也是基于用户身份来做的。第三，安全云桌面网关还具有对于操作终端接口的安全管理。因实际业务的需要部分操作终端需要连接打印机、扫描枪等外设，因此这些接口必须要开放使用，安全云桌面网关可通过映射功能将这些接口映射到虚拟机上，就可以确保虚拟机和外设的链接，满足实际使用要求。除此之外的终端设备上的其它未用的接口和虚拟机上的接口就没有映射，这些接口所连接的外设就和虚拟机没有任何联系，不可以拷贝复制任何内网的数据。通过安全云桌面网关的安全策略控制，可有防止未经许可的访问，以及各种外设的非法连接。同时，还可以有效的保护内网数据，比如各种配方，核心生产数据等关乎企业核心利益的数据，防止这些数据的泄露给企业造成损失。

应用防火墙是配合安全云桌面网关使用的。虚拟桌面的模式有普通桌面，专有桌面两种，对于普通桌面，网关是随机分配给用户的。如果要基于用户身份限制用户的对服务器或者数据库的访问就基本不可能，为了实现基于用户身份的访问限制，应用防火墙将虚拟桌面和用户身份绑定来实现这种访问限制。

3）白名单策略

白名单策略是基于密码技术的安全机制，是对所有需要运行业务环境中的应用软件通过密码技术采集相应的“指纹”形成白名单。业务环境中的任何软件的安装和执行都必须在已有的白名单中才可以运行。安装软件到工业控制网络前必须要确保该软件是安全可信的，网络管理员在白名单工具的辅助下安装这些软件，软件在安装过程中白名单工具就对软件中的可执行程序采集“指纹”并加入到白名单列表中。所有未经许可的软件是不可能安装的。操作人员在调用程序的时候，白名单工具对所调用的程序再次采集“指纹”并和白名单列表中的对应的“指纹”进行比较，只有审核的可执行程序才能运行，审核未通过的程序被禁止执行。也就是说只有在白名单中的程序才可运行，而那些不在白名单中的程序，无论其是否安全可信都不能运行，就意味着对于病毒、木马或各种恶意代码首先就无法安装，更谈不上运行了。通过白名单安全策略，就规范了业务环境中可以使用的程序，有效的防范的各种已知和未知的恶意代码。同时，白名单策略本身也具有可靠的防范恶意代码的攻击和修改。

白名单安全策略不仅部署在虚拟桌面服务器和虚拟桌面中都安装部署白名单策略，用于规范业务环境，保证业务环境的安全可信。而且，白名单策略也部署在安全云桌面网关和应用防火墙中，用于保护这些设备自身的安全。通过这种部署，确保了“城墙”和“城门”的安全。

通过将控制网中的各种操作终端设备与控制网隔离的这种“围城”策略，并结合白名单安全策略，从图2可以看到，控制网络的本身的结构并没有发生任何改变，也没有为了加强安全增加任何工业防火墙，网闸等安全设备，因而各层之间的信息传输不会产生延迟。同时，在控制层和数据采集层的服务器上也不需要安装部署防杀毒软件等安全软件，也就不会造成信息传输过程中因为安全策略的误解析而丢失。再结合安全管理制度，禁止PLC的维护管理人员将未经许可的终端直接接入PLC进行各种操作。从这几个层面就相当于在控制网络系统周边筑起了一道坚实的“城墙”和安全可靠的“城门”。

这样就将控制网络系统整体包围在起来了，在不改变不破坏控制网络系统结构的情况下，保证了控制网络系统的可用性，安全性。

5 结束语

上述在工业控制网络中采用操作终端安全管控技术和白名单技术的安全策略，满足了工业控制网络的“可用性”要求，无论是对新建控制网络系统还是既有的控制网络系统，都不失为最好的安全方案。首先本方案的安装部署简单，不需要在控制网络系统中串接或者旁路任何网络安全设备，也不需要安装部署任何网络安全软件，对网络系统尤其是既有的网络系统基本没有改动。其次，本方案对于控制网络协议没有任何技术兼容性要求，不会因为控制网络协议的多样性及私有性而导致安全策略的失效。第三，白名单的安全部署简单易用，白名单安全工具不仅可以对网络业务环境中的各种应用程序进行自动扫描并生成白名单，而且还可以协助安装新应用，并在安装过程中就自动加入到白名单中。另外，对于已在白名单中的程序的升级也可以通过白名单工具进行自动扫描并更新白名单。白名单策略是针对应用程序的可执行部分，对于非执行程序部分的升级等，不影响程序的正常使用。同时不用担心在程序升级中因遗漏某些进程而导致程序升级不成功的情况发生。第四，对于终端设备的接口采用“流控”安全策略和接口映射的策略进行有效管控，既可以支持正常的外设使用要求，又有效的防止各种外设的非法接入对控制网络造成的破坏。第五，对控制网络数据的集中管控，防止数据的非法泄露，保护企业数据机密的同时又能确保数据的有效使用。第六，降低终端设备的维护工作难度，采用操作终端的安全管控策略，操作终端不再是控制网络的安全边界，对于操作终端功能和性能及安全性要求大幅降低，所有操作终端甚至可以采用瘦客户机来代替传统的PC机，开机就可以直接进入虚拟桌面，终端设备的故障不再需要安装操作系统和各种应用程序客户端，直接更换主机就可以正常工作，提高的工作效率、降低了设备故障维修难度、缩短了故障处理时间、降低了设备综合投入成本。

本方案是通过终端虚拟化的方式将用户操作终端集中化管控，并结合安全云桌面网关和基于密码技术的白名单技术将工业控制网络系统的进行安全管控，通过缩小的控制网络的安全边界，将控制网络系统完全包围起来，所有的数据通信通过安全云网关的管控，所有来自操作终端的的操作行为通过安全云网关和白名单安全策略的审计和控制，来确保控制网络系统的安全。

通过本方案保证了控制网络的可用性的同时，对于网络系统内部的各种潜在威胁是不能有效检测和管控，这是因为方案所针对的是网络边界的安全管控，不针对网络内部设备和软件的安全进行管控，方案在部署时是认可整个网络系统是安全的，即使系统内部存在潜在危险，但只要这些潜在危险没有被激活而造成系统出现故障影响到系统正常运行。其次，对于操作人员非法将操作终端直接连接到PLC的行为，只能通过安全管理制度来保障，因此存在因外设的非法接入给网络系统带来潜在危害的可能性。

总之，随着工控网络的不断发展，信息安全的问题日益严峻，信息安全问题将一直与资源共享是一对矛盾的主体，相互促进发展。伴随着技术的发展，必将迎来更多的解决方案。

[1] 石勇,刘巍伟,刘博.工业控制系统(ICS)的安全研究[J].网络安全技术与应用,2008,(4):40-41.

[2] http://www.pengchuangworld.com/content_company.html.

[3] 彭勇,江常青,谢丰,戴忠华,熊琦,高洋.工业控制系统信息安全研究进展[J].清华大学学报（自然科学版）2012,52(10):1396-1408.

[4] 王孝良,崔保红,李思其.关于工控系统的安全思考与建议.第27次全国计算机安全学术交流会,2012.08.

Thoughts on security protection of industrial control network system

LI Xiao-qiang1, CHEN Di-xin2

TP309.2

：A

1009-0134(2017)06-0140-04

2017-05-16

李小强（1975 -），男，湖北人，工程师，本科，主要从事工业控制网络信息安全研究。