化纤行业工控系统安全分析与防护实践

陈夏裕，章明飞，刘孝赵

（1.江苏亨通信息安全技术有限公司，江苏 苏州 215200；2.江苏亨通工控安全研究院，江苏 苏州 215100；3.苏州经贸职业技术学院，江苏 苏州 215009）

0 引言

工业控制系统是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件，共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。常见的工业控制系统包括数据采集与监控系统、分布式控制系统、可编程控制器、能源管理系统和安全仪表系统等[1]。

随着互联网的飞速发展，近年来工业控制系统信息安全事件不断发生，“震网”、“火焰”、“毒区”、“Havex”等恶意软件严重影响了关键工业基础设施的稳定运行，充分反映了工业控制系统信息安全面临的严峻形势。

各个工业行业频发的信息安全事故表明，一直以来被认为相对安全、相对封闭的工业控制系统已经成为不法组织和黑客的攻击目标，黑客攻击正在从开放的互联网向封闭的工控网蔓延[2]。在化纤、电力、煤炭、交通、冶金等行业均遭受到了严峻的工业控制网络安全威胁，急需加大在工业控制网络安全方面的投入，防止工业企业受到针对工业控制系统的网络攻击行为[3]。

1 化纤行业工业控制系统存在的的主要安全问题

1.1 生产控制系统缺乏全面的安全性设计

我国化纤行业生产控制系统安全防护滞后于系统的建设速度，生产控制系统缺乏自身的安全性设计。在信息安全意识、策略、机制、法规标准等方面都存在不少问题。

1.2 核心技术受制于人

当前我国重要关键设备和基础软件绝大多数采用国外产品，从尤为重要的工业控制系统来看，53%的SCADA系统、54%的DCS系统、99%的大型PLC、92%的中型PLC、81%的小型PLC以及74%的组态软件均为国外产品，关键核心技术更是一直受制于人。

该集团也不例外，所采用的PLC 95%以上为西门子PLC。就危险等级最高的漏洞能造成的危害归类分析如下：

黑客或维护人员可以远程或就地登录PLC控制器，修改或窃取PLC程序。

远程攻击者可借助特制的数据包利用漏洞执行任意代码。

控制系统使用的硬编码密码，本地用户可以访问后端数据库和提升特权。造成数据库篡改，方便非授权人员非法操作等后果。

远程攻击者可通过发送特制数据包到TCP4999端口利用漏洞执行任意代码。

远程攻击者可以借助到TCP端口2308特制的数据包导致拒绝服务（内存崩溃）或者可能执行任意代码。

远程攻击者可发送TCP102端口或Profibus上的特制的数据包利用漏洞造成拒绝服务。

远程攻击者可利用该漏洞通过恶意的HTTP流量或恶意的IP数据包，导致拒绝服务（缺陷模式过度和服务中断）。

远程攻击者可利用该漏洞通过特制的ICMP数据包导致拒绝服务。

1.3 防护水平相对落后

工业控制系统设计之初就处于与外网隔离状态，因此并未考虑信息安全问题，随着工业互联趋势逐步发展，使原本脆弱的工业控制系统要同时面临来自内外网的更为复杂的安全风险。权威数据显示我国工控企业存在一些典型的安全问题，比如：安全漏洞、缺乏有效的安全配置策略、外网边界容易被突破、内网边界访问控制缺失、安全防护设备缺失、工控设备普遍开启远程访问、工控设备弱口令及默认密码未修改等等。

另外关键资产底数不清楚、严重漏洞难以及时处理、系统软件补丁管理困难等种种问题也导致工控网络难以抵御外来攻击。

2.4.3 工业化程度的深入推进加速了网络安全风险的暴露。

2 如何做好工控系统信息安全防护。

针对化纤行业工控系统结构信息安全的脆弱性，要提高工控系统的信息安全需要对系统每个位置进行安全防护，可采取以下防护措施：

2.1 等级保护

对工控系统中使用的相关产品实行按等级管理，对系统中发生的安全事件分等级响应、处置，采用“垂直分层，水平分区。边界控制，内部监测”进行安全域的划分。

2.2 风险评估

对工控系统进行风险评估，了解系统的架构、主要业务、软硬件设备、操作系统、网络连接等，评估系统存在的主要安全问题和潜在的风险，评定系统安全风险等级。

2.3 纵深防御体系建立

针对工控系统建立纵深防御体系，设置多层重叠的安全防护系统，包括建立信息安全管理体系、使用身份认证系统、搭建基础防护应用平台、建立边界防护系统、实施分区分域防御等。

（1）本次工控防火墙部署在各个生产车间接入交换机出口处以及关键设备前端，根据区域边界数据交换规则通过检查数据包的源地址、目的地址、传输层协议和请求的服务的基础上，经过工控协议深度检查，防病毒检测、确定是否允许该数据包通过该区域边界；根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等，确定是否允许该数据包进出受保护的区域边界，以防范来自边界的攻击行为，当检测到攻击行为时采取相应动作并通知安全管理中心。

（2）在某化纤集团（世界500强）管理信息网与生产控制网之间部署工业安全网闸实现逻辑隔离与数据的安全传输，系统采用专用信息摆渡机制，解决了由于网络隔离引起的数据交换问题，既保持了网络之间隔离的特性[4]，同时又提供了一种安全、有效的数据传输途径，采用非标准协议构成安全隧道，保障了数据传输的安全性，彻底杜绝了因办公网络的接入使业务系统感染病毒、木马的可能，消除了安全隐患。

（3）工控安全监测审计系统是针对工业控制网络数据通信进行安全审计的平台。本次部署在汇聚层的三层交换机节点上，抓取网络中的所有数据，通过实时动态分析、数据流监控、网络行为审计等技术，快速识别工业控制网络中存在的异常行为，对异常流量及时发出告警[5]。

（4）部署第三方边界防护产品。工控主机防护系统部署在生产网络中的各个PC端，专门针对工业控制系统的环境特点研发而成，依据程序特征建立操作系统运行的安全白环境，并且禁止非授信程序运行，解决了操作系统因无法升级补丁带来的安全问题，保证了系统的稳定运行；并且工控主机防护系统区别于传统的杀毒软件，不依赖于特征库，不用频繁升级，完美适配工控环境；除了限制未授权程序执行外，还具备监控注册表、侦测网络非法外联、限制移动存储介质非法接入等功能。

（5）通过部署工控运维审计系统，集中访问控制与授权，实现单点登录（SS0）和细粒度的命令集访问授权。基于用户的审计将直接审计到人，实现从登到退出的全过程操行为审计，满足合规管理和审计要求。

（6）部署统一安全管理平台，为运维管理人员提供全面了解资产安全现状，管理网络安全防护设备的平台的集中统一管理平台，实现安全防护设备的政策下发、运维管理、资产盘点等功能。

（7）部署态势感知系统，对系统即将面临的攻击做出判断，并对安全态势结果进行等级划分，呈现工控系统的当前安全态势，提供切实可靠的决策依据，从而保障工控系统的安全。

（8）工业信息安全部署图。

3 加强工业工控系统安全管理体系建设

俗话说“三分技术，七分管理”，只有在工控信息安全加固的基础上，配以合理有效的管理手段，才能更有效的实现安全生产。体系建设包括：工控安全制度管理；工控安全机构管理；人员安全管理；工控系统建设管理；工控系统运维管理。

3.1 安全服务

（1）漏扫服务：漏洞扫描服务以现有信息系统为主要对象，对目标范围内的主机系统、网络系统、应用系统进行安全漏洞扫描工作。发现安全漏洞，客观评估网络风险等级，修复网络安全漏洞和系统中的错误配置。

（2）系统配置核查服务：系统配置核查是系统的最小安全保证，是该系统最基本需要满足的安全要求。系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡，而安全基线正是这个平衡的合理的分界线。

（3）渗透测试服务：渗透测试完全模拟黑客的入侵思路与技术手段，黑客的攻击入侵需要利用目标网络的安全弱点，渗透测试也是同样的道理。在公网和内网对各系统进行安全扫描、渗透测试和业务安全测试等安全评测，并结合网络面临的安全隐患，分析评测结果，经评估后，进行安全加固协助工作。

（4）安全加固服务：实施安全加固服务将是实现服务器等保护对象自身安全的关键环节，在实施安全加固服务时，将参照国际权威系统加固配置标准，并结合等级保护国家政策及行业规范，根据实际系统的安全等级划分和具体要求，对相应信息系统可以制定和实施不同策略的安全加固和配置优化[6]。

4 方案优势

4.1 技术先进性

（1）公司完全自主研发的国产化工控安全软硬件产品，特别是工业量子安全网关、工控主动防御系统，是国内首创，具有完全自主的知识产权，已经申请到多项发明专利，江苏亨通工控安全研究院公司的安全产品能够帮助涉密单位、关系国计民生的大型工控企业对工控网络、网络内工作站、服务器进行安全防护和安全加固，杜绝安全后门隐患。

（2）安全智能设备，实现统一管理；以工业场景有效应用为主，构建化繁为简的安全防护体系；全面完整，成体系化的建设和部署方案，实用性强。

（3）高度适配工控系统。方案实施无需改造现有工业网络和频繁升级工控系统；无需频繁升级安全特征库；安全设备符合工控环境标准，可靠实用。

（4）深度理解工控协议和行为操作深度理解工控系统广泛使用的Modbus、DNP3、IEC104、Profinet、OPC等数十种应用通信协议，智能学习各类操作行为和参数，更好的识别攻击行为。

4.2 可复制推广性

在水务、燃气、智能制造、石油炼化等行业可进行复制推广。

5 实践成效

根据化纤行业系统的实际特点和安全需求，提升安全组织管理、风险控制、专业技术和服务能力，加强信息安全建设，系统安全防护力度，提升运行维护管理水平，使其安全保障能力进入国内先进行列。

本解决方案主要实现以下几个具体目标：

（1）完善信息安全管理制度，实现风险管理的机制化运行，管理人员能够准确掌握自身系统面临的主要安全风险。根据工控安全制度管理的基本要求制定各类管理规定、管理办法和暂行规定。从工控安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出能够有效推行和实施的制度。

（2）强化网络的边界防护和访问控制策略，确保网络不通区域之间互联互通的安全性。提高对信息网的入侵和异常行为监测和发现能力，实现安全威胁的可知、可查。办公区和生产厂区的网络之间做到有效的边界防护措施，内部数据的传输因此得到合理的隔离，防止了生产系统和生产数据未经授权的访问、病毒感染、生产业务拒绝式服务攻击等安全风险。

（3）完善生产数据的备份管理机制，确保核心设备安全与数据安全。如果没有采取数据备份和数据恢复手段与措施，就会导致数据的丢失。有时造成的损失是无法弥补与估量的。因此，数据备份与数据恢复是保护数据的最后手段，也是防止主动型信息攻击的最后一道防线。

（4）对现有信息系统进行符合于等级保护管理的风险评估工作。按照GB/T 22239-2019要求，完成整体信息化安全建设后能基本符合等保要求。（1）有利于提高工控网络安全建设的投入产出比；（2）有利于从整体上降低工控网络安全建设投入的资金

6 结语

经过某化纤集团的实施后，工控信息安全解决方案得到了很好的应用，效果也达到了预计的要求，各种安全指标进一步得到了夯实。还有部分安全指标参数系统还需要进一步提升，后续将继续对方案进行优化和改进，让工控安全解决方案更加完善。