制造業(yè)工業(yè)控制系統(tǒng)主機防護探討
一、概述
我國制造業(yè)可分為三種類型,一類是輕紡工業(yè),諸如食品、飲料、煙草、造紙、紡織等等。一類是以資源加工為主,比如石油、化工、化纖、醫(yī)藥、黑色金屬等。一類則是以機械、電子制造為代表,最具代表性的就是裝備、重工制造,不限于機床、專用設(shè)備、交通運輸工具、機械設(shè)備、儀器儀表等。隨著我國國力的增長,制造業(yè)獲得了長足的發(fā)展,并已成為國家未來發(fā)展主要支撐領(lǐng)域。制造業(yè)是我國國力強盛的最主要特征,其必將成為我國“工業(yè)互聯(lián)網(wǎng)”的重要基礎(chǔ),制造業(yè)的發(fā)展程度直接影響我國強國夢的實現(xiàn)。
二、風險分析
雖然我國制造業(yè)近幾年獲得了較大發(fā)展,但是整體水平較發(fā)達國家還是有較大差距,制造企業(yè)自身也面臨一系列發(fā)展瓶頸和不足,主要包括:
內(nèi)部因素:
1、規(guī)模不斷擴大,網(wǎng)絡(luò)不斷更新。橫向延伸、DNC網(wǎng)絡(luò)越來越龐大,產(chǎn)線不斷擴容,覆蓋面積越來越廣,網(wǎng)絡(luò)安全面臨挑戰(zhàn)??v向擴展、服務(wù)器體量越來越大,總體終端數(shù)量越來越多,以一個中型的汽車制造企業(yè)為例,其操作終端可多達400~500臺左右,占了辦公終端的近十分之一。如何確保主機終端安全可控面臨巨大挑戰(zhàn);
2、隨著市場需求多樣化,生產(chǎn)分工越來越精細化、功能性控制器(PLC、機床功能板卡等)程多樣化,設(shè)計端對DNC服務(wù)器及產(chǎn)線的干預(yù)(本地監(jiān)控站甚至機床本身)越來越多,未知風險愈來愈難以掌控;
3、隨著國家“工業(yè)互聯(lián)網(wǎng)”建設(shè)推進,作為“數(shù)據(jù)采集基礎(chǔ)”中的基礎(chǔ)-“企業(yè)中各種服務(wù)器和管理終端設(shè)備”,往往存在大量未知風險,面臨被淘汰、虛擬化趨勢。但企業(yè)、行業(yè)工業(yè)APP、工業(yè)云PaaS平臺建設(shè)緩慢,很長一段時間內(nèi),現(xiàn)有設(shè)備仍是生產(chǎn)主力,主要依賴對象。尋求既可滿足生產(chǎn)實際需求,也可保障設(shè)備自身安全的方案,是每個企業(yè)面臨的首要問題。
外部因素:
2017年,是我國工控安全的轉(zhuǎn)折點,這一年“勒索病毒-永恒之藍”肆虐,波及制造業(yè)(比如著名的臺積電事件)、油氣中下游產(chǎn)業(yè)鏈,醫(yī)療、海關(guān)、政府辦公等等行業(yè),被業(yè)內(nèi)人士稱為“網(wǎng)絡(luò)的512地震”。勒索病毒主要感染對象為操作主機,因此未來一段時間勒索病毒仍是制造業(yè)面臨的主要威脅。
三、國家政策導(dǎo)向
2016年5月13日,國務(wù)院就已頒發(fā)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》(國發(fā)〔2016〕28號)文件,推出關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見,進一步強調(diào)制造業(yè)是國民經(jīng)濟的主體,是實施“互聯(lián)網(wǎng)+”行動的主戰(zhàn)場,明確提出“提高工業(yè)信息系統(tǒng)安全水平”建設(shè)任務(wù)。
可見我國在制造業(yè)已加大力度,打造工業(yè)強國不遺余力,及時解決制造業(yè)目前所面臨的問題,對于“工業(yè)互聯(lián)網(wǎng)”安全生態(tài)環(huán)境至關(guān)重要。基礎(chǔ)安全是互聯(lián)的前提,終端安全是根本。
四、解決方案
從制造業(yè)本身特點來看,除了網(wǎng)絡(luò)的必要防護之外(比如邊界隔離、入侵檢測、網(wǎng)絡(luò)審計等),其最核心的應(yīng)當是主機安全防護了,畢竟人的因素才是最根本的。由于生產(chǎn)網(wǎng)絡(luò)龐大,操作節(jié)點眾多且分散,任何一個節(jié)點遭到攻擊都會造成網(wǎng)絡(luò)的局部、甚至全網(wǎng)癱瘓。從對企業(yè)實際情況的調(diào)研來看,無論操作員站、工程師站、服務(wù)器等都面臨一些共性問題,為了解決問題,需要從以下幾個方面去解決:
1) 調(diào)整網(wǎng)絡(luò)結(jié)構(gòu),設(shè)置數(shù)據(jù)中轉(zhuǎn)及操作專屬設(shè)備(或被稱為DMZ區(qū)),規(guī)范訪問路徑、限制操作行為,禁止非授權(quán)對終端主機的訪問和操作;
2) 對辦公網(wǎng)主機進行安全加固和補丁修補,預(yù)防再次中毒的危險;利用“白名單技術(shù)”對生產(chǎn)網(wǎng)工控主機,建立主機安全運行環(huán)境;
1、①號位置進行主機加固,封堵不必要的通訊端口,例如139、445等,同時依據(jù)相關(guān)技術(shù)要求,建立主機安全基線。辦公網(wǎng)主機由于其特殊性,存在大量的網(wǎng)絡(luò)操作和訪問,隨時會產(chǎn)生大量新的程序和文件,不適用主機白名單防護;
2、②號位置,由于其系統(tǒng)及操作相對固定,不會頻繁更新和升級,適合主機白名單防護機制;
3、③號位置,其操作系統(tǒng)固定,系統(tǒng)及軟件更新不頻繁,適合主機白名單機制防護。但是考慮到現(xiàn)場經(jīng)常有就地組態(tài)更新,這里主要有兩種情況:一是如果是技術(shù)參數(shù)調(diào)整不會影響主機安全衛(wèi)士的運行,且主機衛(wèi)士也不會進行攔截。二是如果進行組態(tài)更新,涉及到整個文件后綴名發(fā)生變化,或者增加新的文件(白名單中不存在的),則可以通過統(tǒng)一管理平臺將該臺主機白名單暫時放開即可;
4、由于現(xiàn)場操作的存在,一定要保證專用調(diào)試工具的安全,這可以通過工具管理實現(xiàn),參考工控安全管理規(guī)范;
5、與主機衛(wèi)士配套使用的還有安全授權(quán)U盤,專業(yè)維護工具也可安裝白名單軟件,對應(yīng)安全授權(quán)U盤,實現(xiàn)數(shù)據(jù)安全擺渡。
部署工控主機衛(wèi)士對系統(tǒng)內(nèi)主機進行防護,主機衛(wèi)士采用“白名單”管理技術(shù),通過對數(shù)據(jù)采集和分析,其內(nèi)置智能學(xué)習模塊會自動生成工業(yè)控制軟件正常行為的白名單,與現(xiàn)網(wǎng)中的實時傳輸數(shù)據(jù)進行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶節(jié)點的行為不符合白名單中的行為特征,其主機安全防護系統(tǒng)將會對此行為進行阻斷或告警,以此避免主機網(wǎng)絡(luò)受到未知漏洞威脅,同時還可以有效地阻止操作人員異常操作帶來的危害。
在控制網(wǎng)區(qū)域控制室各操作員站,工程師站,服務(wù)器部署工控主機衛(wèi)士對主機注冊表,操作系統(tǒng),以及運行在主機上的工控軟件進行保護,拒絕任何未經(jīng)授權(quán)的安裝、修改、卸載、刪除操作,從而做到斬斷病毒、惡意代碼的運行傳播,起到加固控制網(wǎng)主機的作用。
在采用智能主動防御基礎(chǔ)上,融合主機加固功能,滿足GB/T 20272-2006《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》對操作系統(tǒng)安全技術(shù)要求。它不用更改操作系統(tǒng)就可以安裝,操作方便。同時在操作系統(tǒng)的基礎(chǔ)安全功能之上提供安全保護層,通過截取系統(tǒng)調(diào)用來實現(xiàn)對文件系統(tǒng)的訪問控制,提高操作系統(tǒng)的安全性。它具有完整的用戶身份鑒別、訪問權(quán)限控制、外設(shè)控制、完整性校驗、日志審計的功能,并且采用集中式管理,克服了分布式系統(tǒng)在管理上的諸多問題。
3) 利用統(tǒng)一管理平臺,對主機進行雙因子認證、外設(shè)監(jiān)管、非法外聯(lián)監(jiān)控、軟體防火墻告警、主機流量、多種日志審計、存儲和管理等。
五、可解決問題
主要包括:
1) 主機操作系統(tǒng)純凈,不適合頻繁升級、打補丁的問題;
2) 目前國內(nèi)還沒有一款針對工業(yè)主機的專用殺毒軟件,即使有也存在一定安全隱患,比如病毒庫升級問題;
3) 由于特殊使用環(huán)境,主機應(yīng)用軟件存在一定漏洞,但又不敢輕易打補丁,白名單技術(shù),固化主機運行環(huán)境,解決主機升級、打補丁煩惱;
4) 絕大部分主機缺少必要的安全策略和管理規(guī)劃,主機安全衛(wèi)士融合主機加固技術(shù),解決安全基線建設(shè)不足問題。





