近日，國(guó)內(nèi)科技學(xué)術(shù)期刊《工業(yè)信息安全》雜志刊發(fā)了優(yōu)秀論文《基于“零信任“的工控系統(tǒng)安全關(guān)鍵技術(shù)探討》。論文全面闡述了工控安全領(lǐng)域的“零信任”關(guān)鍵技術(shù)，為“零信任”工控安全領(lǐng)域的實(shí)施提供參考。

以下為論文內(nèi)容 ：

摘要

工控系統(tǒng)廣泛應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施，如電力、能源、交通、智能制造等涉及國(guó)計(jì)民生的關(guān)鍵領(lǐng)域，一旦工控系統(tǒng)受到惡意入侵或攻擊，將造成嚴(yán)重后果，嚴(yán)重威脅國(guó)家安全。因此近年來(lái)工控系統(tǒng)安全問(wèn)題越來(lái)越受到相關(guān)主管部門(mén)和企業(yè)的重視，關(guān)于工控安全的技術(shù)研究也越來(lái)越廣泛深入。本文基于在IT安全領(lǐng)域已經(jīng)得到驗(yàn)證和應(yīng)用的“持續(xù)驗(yàn)證，永不信任”的零信任安全理念，從工控安全系統(tǒng)集中管理、用戶身份認(rèn)證、工控資產(chǎn)接入控制、終端安全防護(hù)技術(shù)、工控指令訪問(wèn)控制、工控行為訪問(wèn)控制、USB外設(shè)接入控制、工控安全態(tài)勢(shì)分析等維度，全面闡述了工控安全領(lǐng)域的“零信任”關(guān)鍵技術(shù)，為“零信任”理念在工控安全領(lǐng)域的實(shí)施提供參考。

關(guān)鍵詞

零信任;工控系統(tǒng)安全;關(guān)鍵信息基礎(chǔ)設(shè)施

前言

2010年，著名研究機(jī)構(gòu)Forrester首席分析師約翰·金德瓦格(John Kindervag)首次提出了零信任安全的概念[1]，即所有的網(wǎng)絡(luò)流量和網(wǎng)絡(luò)訪問(wèn)都是不可信的，對(duì)任何的訪問(wèn)請(qǐng)求都需要進(jìn)行安全驗(yàn)證和授權(quán)。“零信任”概念的提出，是對(duì)傳統(tǒng)的以安全域劃分、安全域隔離為基礎(chǔ)的網(wǎng)絡(luò)安全防御理念的顛覆[2]。在傳統(tǒng)的網(wǎng)絡(luò)安全防御方案中，通常會(huì)把網(wǎng)絡(luò)劃分為不同的安全域，例如外網(wǎng)和內(nèi)網(wǎng)，并在不同的安全域之間部署網(wǎng)絡(luò)安全防護(hù)設(shè)備(例如，防火墻)實(shí)施安全域隔離。采用上述網(wǎng)絡(luò)安全防御措施后，一般就會(huì)認(rèn)為內(nèi)網(wǎng)的流量和用戶訪問(wèn)都是安全的，外網(wǎng)的流量或用戶如果需要訪問(wèn)內(nèi)網(wǎng)資源，則需要進(jìn)行安全驗(yàn)證和訪問(wèn)控制。零信任則認(rèn)為對(duì)網(wǎng)絡(luò)資源的訪問(wèn)始終是“不可信的”，不默認(rèn)任何訪問(wèn)是安全的，從而不對(duì)任何訪問(wèn)進(jìn)行隱私授權(quán)，而是需要持續(xù)驗(yàn)證網(wǎng)絡(luò)訪問(wèn)的安全性。

工控網(wǎng)絡(luò)根據(jù)部署的位置和功能劃分，通常劃分為辦公網(wǎng)和生產(chǎn)網(wǎng)兩個(gè)不同的安全管理域，辦公網(wǎng)和生產(chǎn)網(wǎng)之間通常會(huì)安裝有工業(yè)防火墻設(shè)備，進(jìn)行網(wǎng)絡(luò)安全隔離。其中生產(chǎn)網(wǎng)相對(duì)封閉，其網(wǎng)絡(luò)訪問(wèn)流量主要是以工控網(wǎng)絡(luò)流量為主，是屬于傳統(tǒng)的“可信任”網(wǎng)絡(luò)。但是隨著現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型和兩化融合的推進(jìn)，工業(yè)控制網(wǎng)絡(luò)也正在向網(wǎng)絡(luò)化、智能化和數(shù)字化方向發(fā)展，傳統(tǒng)工控網(wǎng)絡(luò)的生產(chǎn)網(wǎng)和辦公網(wǎng)之間的邊界也逐漸模糊，再加上生產(chǎn)網(wǎng)絡(luò)中一些人為操作引入的不安全因素，生產(chǎn)網(wǎng)遭受外來(lái)攻擊的風(fēng)險(xiǎn)日益加大，生產(chǎn)網(wǎng)絡(luò)中資源訪問(wèn)的“可信任”性逐漸減弱。因此，傳統(tǒng)的基于生產(chǎn)網(wǎng)和辦公網(wǎng)隔離的安全的理念和策略也應(yīng)該逐漸被“零信任”的安全理念所取代。本文基于“零信任”的核心理念，從用戶認(rèn)證、集中安全管理、資產(chǎn)接入認(rèn)證、終端安全防護(hù)、工控流量審查、USB存儲(chǔ)設(shè)備使用管控、工控網(wǎng)絡(luò)安全態(tài)勢(shì)分析等角度探討工控網(wǎng)絡(luò)中實(shí)施“零信任”的關(guān)鍵技術(shù)點(diǎn)。

01、零信任工控網(wǎng)絡(luò)安全架構(gòu)

零信任的網(wǎng)絡(luò)架構(gòu)是一種端到端的網(wǎng)絡(luò)安全框架和機(jī)制[3]，其核心是對(duì)訪問(wèn)主體進(jìn)行身份識(shí)別和認(rèn)證。對(duì)于工控網(wǎng)絡(luò)而言，用戶的身份、工控設(shè)備、工控網(wǎng)絡(luò)流量、外部設(shè)備等的安全性，是影響工控網(wǎng)絡(luò)安全的關(guān)鍵因素。因此構(gòu)建以身份識(shí)別為核心，包含用戶身份識(shí)別和認(rèn)證、網(wǎng)絡(luò)設(shè)備接入控制、網(wǎng)絡(luò)行為安全檢測(cè)、用戶操作安全保障等核心功能的網(wǎng)絡(luò)安全體系，是基于零信任的工控網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和部署的關(guān)鍵。

圖 1 基于零信任的工控網(wǎng)絡(luò)安全架構(gòu)

如圖 1所示，基于零信任的工控網(wǎng)絡(luò)安全架構(gòu)中，通過(guò)集中管理平臺(tái)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面分離，控制平面主要由工控安全集中管理平臺(tái)實(shí)現(xiàn)統(tǒng)一安全策略管理、安全狀態(tài)監(jiān)測(cè)。數(shù)據(jù)平面主要實(shí)現(xiàn)工控安全控制能力，包括工控流量檢測(cè)控制、工業(yè)終端的安全防護(hù)、外部設(shè)備設(shè)訪問(wèn)控制三大類(lèi)。工控資產(chǎn)識(shí)別認(rèn)證和用戶身份認(rèn)證構(gòu)成了“零信任”工控安全網(wǎng)絡(luò)的基礎(chǔ)。安全分析平臺(tái)主要是對(duì)工控網(wǎng)絡(luò)安全狀態(tài)、趨勢(shì)等進(jìn)行綜合分析，分析結(jié)果可以作為工控安全集中管理平臺(tái)進(jìn)行安全管理的依據(jù)。

基于零信任的工控網(wǎng)絡(luò)安全架構(gòu)中，關(guān)鍵技術(shù)包括工控安全集中管理、用戶身份認(rèn)證、資產(chǎn)接入控制、終端安全防護(hù)、工控網(wǎng)絡(luò)流量檢測(cè)和控制、USB存儲(chǔ)等外設(shè)接入控制、工控網(wǎng)絡(luò)安全態(tài)勢(shì)分析等。

02、集中安全管理

工業(yè)企業(yè)的生產(chǎn)系統(tǒng)大多分布式部署，表現(xiàn)為異地分布的生產(chǎn)工廠、生產(chǎn)車(chē)間等形式。對(duì)這些分布式部署的工業(yè)生產(chǎn)設(shè)備進(jìn)行安全防護(hù)，需要進(jìn)行統(tǒng)一的安全管理規(guī)劃，制定統(tǒng)一的安全防護(hù)策略，同時(shí)在某一個(gè)區(qū)域的設(shè)備遭受攻擊時(shí)，能夠及時(shí)上報(bào)到集中安全管理中心，便于對(duì)其他未遭受攻擊的區(qū)域提前實(shí)施更高級(jí)別的安全防護(hù)，避免攻擊范圍擴(kuò)大，減少由此造成的損失。

集中安全管理功能主要實(shí)現(xiàn)系統(tǒng)安全策略的統(tǒng)一配置管理、安全事件的統(tǒng)一處理。從技術(shù)實(shí)現(xiàn)上，首先要求基于零信任的工控安全系統(tǒng)采用管理面和業(yè)務(wù)面分離的網(wǎng)絡(luò)架構(gòu)，提供單獨(dú)的安全配置管理通信通路，保障在業(yè)務(wù)系統(tǒng)異常時(shí)，管理策略能夠正常下達(dá)，業(yè)務(wù)安全告警信息能夠正常上報(bào)。其次，對(duì)于能夠登錄集中安全管理系統(tǒng)，進(jìn)行系統(tǒng)安全策略配置的管理員權(quán)限要進(jìn)行嚴(yán)格的身份認(rèn)證，可采用用戶名+密碼、指紋認(rèn)證的雙因子認(rèn)證方案，防止用戶仿冒。最后，集中安全管理系統(tǒng)要采集并分析各個(gè)分布式區(qū)域上報(bào)的安全事件，對(duì)工控系統(tǒng)整體的安全形勢(shì)進(jìn)行綜合研判，形成安全態(tài)勢(shì)報(bào)告，及時(shí)發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)并預(yù)警，為制定和完善精細(xì)化的安全策略提供依據(jù)。

03、用戶身份認(rèn)證

“零信任”理念強(qiáng)調(diào)要進(jìn)行強(qiáng)身份驗(yàn)證，要求對(duì)工業(yè)控制系統(tǒng)中所有用戶進(jìn)行強(qiáng)身份驗(yàn)證，確保只有經(jīng)過(guò)授權(quán)的用戶可以獲得訪問(wèn)權(quán)限。在工控網(wǎng)絡(luò)中，用戶身份認(rèn)證技術(shù)可以應(yīng)用在多個(gè)系統(tǒng)上，尤其是工控管理終端設(shè)備上，例如工程師站、SCADA等。

最常見(jiàn)的用戶身份認(rèn)證技術(shù)為“用戶名+密碼+驗(yàn)證碼”;安全性更高的身份認(rèn)證技術(shù)為“用戶名+密碼+Ukey”，這兩種認(rèn)證技術(shù)能夠解決系統(tǒng)“用戶”訪問(wèn)合法性問(wèn)題，但是解決不了系統(tǒng)“用戶”與真“人”不一致的問(wèn)題。在工業(yè)場(chǎng)景下，安全生產(chǎn)需要責(zé)任到具體真實(shí)的“人”，而不僅僅是真實(shí)的“用戶”，所以需要采用更加嚴(yán)格的認(rèn)證技術(shù)，做到“用戶”和“人”合一?？梢圆捎萌说纳镄畔⒄J(rèn)證+系統(tǒng)用戶認(rèn)證技術(shù)，在用戶登錄系統(tǒng)時(shí)，除了要通過(guò)用戶名、密碼外，還要通過(guò)生物信息采集設(shè)備(例如指紋采集器)，進(jìn)行生物信息比對(duì)。只有用戶名、密碼認(rèn)證正確，同時(shí)用戶名對(duì)應(yīng)的生物信息正確，才能驗(yàn)證通過(guò)，生成用戶訪問(wèn)授權(quán)信息[4]。在系統(tǒng)用戶試圖訪問(wèn)系統(tǒng)資源時(shí)，必須保證有用戶訪問(wèn)授權(quán)信息，才允許訪問(wèn)，這樣不僅解決了現(xiàn)實(shí)世界的“人”的仿冒，也解決了網(wǎng)絡(luò)用戶的仿冒。

04、工控資產(chǎn)接入控制

工控資產(chǎn)是工業(yè)生產(chǎn)必需的設(shè)備，也是各類(lèi)網(wǎng)絡(luò)攻擊的重點(diǎn)攻擊目標(biāo)。一方面某些工業(yè)資產(chǎn)本身存在的漏洞，容易被黑客利用，實(shí)施網(wǎng)絡(luò)攻擊;另一方面，一些黑客設(shè)備可能會(huì)通過(guò)遠(yuǎn)程方式接入工控網(wǎng)絡(luò)，竊取工控網(wǎng)絡(luò)數(shù)據(jù)或?qū)嵤┚W(wǎng)絡(luò)攻擊。因此需要對(duì)所有接入工控系統(tǒng)的設(shè)備進(jìn)行識(shí)別、認(rèn)證管理，建立工控系統(tǒng)資產(chǎn)信息庫(kù)，禁止未經(jīng)過(guò)認(rèn)證的資產(chǎn)設(shè)備對(duì)工控系統(tǒng)中的資源進(jìn)行任何操作，防止非法設(shè)備對(duì)工控資源的異常訪問(wèn)。

工控資產(chǎn)識(shí)別，是對(duì)所有接入工控網(wǎng)絡(luò)的工業(yè)設(shè)備識(shí)別出設(shè)備類(lèi)型、設(shè)備型號(hào)、生產(chǎn)廠家、MAC地址等工控資產(chǎn)身份信息。工控資產(chǎn)識(shí)別技術(shù)包括被動(dòng)式識(shí)別技術(shù)和主動(dòng)式識(shí)別技術(shù)兩類(lèi)。被動(dòng)式資產(chǎn)識(shí)別，是指從和待識(shí)別資產(chǎn)進(jìn)行數(shù)據(jù)交互的網(wǎng)絡(luò)報(bào)文中，提取五元組及其它報(bào)文特征信息，根據(jù)報(bào)文特征分析出和待識(shí)別的資產(chǎn)進(jìn)行交互的網(wǎng)絡(luò)和工控協(xié)議，從而判斷設(shè)備類(lèi)型;還可以從網(wǎng)絡(luò)報(bào)文中提取一些關(guān)鍵特征字段，根據(jù)關(guān)鍵特征字段，可以進(jìn)一步確認(rèn)設(shè)備類(lèi)型和廠商等設(shè)備身份信息。主動(dòng)式資產(chǎn)識(shí)別，是指通過(guò)向待識(shí)別設(shè)備主動(dòng)發(fā)送某些特定測(cè)試指令或測(cè)試報(bào)文，從待識(shí)別設(shè)備的響應(yīng)信息中獲取設(shè)備型號(hào)、生產(chǎn)廠商等設(shè)備身份信息。資產(chǎn)管理系統(tǒng)可以內(nèi)置工控資產(chǎn)指紋庫(kù)，在資產(chǎn)識(shí)別過(guò)程中，通過(guò)把獲取的設(shè)備特征信息和工控資產(chǎn)指紋庫(kù)中的信息進(jìn)行對(duì)比，可以更精準(zhǔn)地識(shí)別資產(chǎn)。和對(duì)安全性要求較高的傳統(tǒng)的IT網(wǎng)絡(luò)相比，工控網(wǎng)絡(luò)(也稱(chēng)“OT網(wǎng)絡(luò)”)更強(qiáng)調(diào)“高可用性”，要求網(wǎng)絡(luò)安全措施的實(shí)施不能影響正常的生產(chǎn)活動(dòng)。因此，在實(shí)踐中，對(duì)于工控資產(chǎn)的識(shí)別主要是采用被動(dòng)式識(shí)別技術(shù)，以減少對(duì)生產(chǎn)活動(dòng)產(chǎn)生的影響，同時(shí)輔以主動(dòng)識(shí)別模式，提升資產(chǎn)識(shí)別準(zhǔn)確率。

識(shí)別出工控網(wǎng)絡(luò)中的設(shè)備資產(chǎn)后，經(jīng)過(guò)注冊(cè)、認(rèn)證后形成有網(wǎng)絡(luò)訪問(wèn)權(quán)限的工控資產(chǎn)列表，在工控資產(chǎn)列表中的設(shè)備可以訪問(wèn)工控網(wǎng)絡(luò)資源。不在工控資產(chǎn)列表中的未知設(shè)備要接入工控網(wǎng)絡(luò)時(shí)，需要經(jīng)過(guò)注冊(cè)、認(rèn)證，在系統(tǒng)確認(rèn)該設(shè)備的合法性后，方可接入系統(tǒng)，并且該認(rèn)證是一次性認(rèn)證，設(shè)備再次接入系統(tǒng)需要重新驗(yàn)證。沒(méi)有通過(guò)注冊(cè)驗(yàn)證的設(shè)備，不能對(duì)工控系統(tǒng)做任何操作。已經(jīng)注冊(cè)過(guò)的設(shè)備，長(zhǎng)時(shí)間下線后，再次上線，也需要重新進(jìn)行注冊(cè)、驗(yàn)證。通過(guò)上述工控資產(chǎn)的接入控制，可以防止資產(chǎn)非法接入和訪問(wèn)系統(tǒng)資源。

05、終端安全防護(hù)

在工控網(wǎng)絡(luò)中，存在大量的應(yīng)用客戶端、工程師站、SCADA設(shè)備等終端設(shè)備。一方面，這些設(shè)備會(huì)直接向工業(yè)生產(chǎn)設(shè)備下發(fā)生產(chǎn)指令，如果這些設(shè)備被攻擊或者感染病毒，將會(huì)帶來(lái)災(zāi)難性的后果;另一方面，這是設(shè)備是工業(yè)生產(chǎn)操作人員執(zhí)行各類(lèi)生產(chǎn)指令的入口，未經(jīng)授權(quán)的人工操作，可能會(huì)對(duì)工業(yè)生產(chǎn)過(guò)程造成破壞。因此需要加強(qiáng)對(duì)這些設(shè)備的安全防護(hù)。

為了保障工控終端安全，需要在工控終端上安裝安全防護(hù)程序，為了減少對(duì)工業(yè)生產(chǎn)活動(dòng)的影響，工控終端安全防護(hù)需要采用“白名單”技術(shù)，把工控終端上需要重點(diǎn)保護(hù)的應(yīng)用程序、腳本、數(shù)據(jù)文件等加入白名單中進(jìn)行重點(diǎn)保護(hù)，只有特定的主體才能訪問(wèn)和操作這些重點(diǎn)保護(hù)的對(duì)象，防止應(yīng)用程序、腳本、文件或數(shù)據(jù)等被異常執(zhí)行或篡改?！鞍酌麊巍奔夹g(shù)原理是提取一個(gè)工控終端設(shè)備正常運(yùn)行時(shí)所需要的所有應(yīng)用程序、腳本、數(shù)據(jù)文件等原始文件，基于這些原始文件內(nèi)容，采用MD5信息摘要算法，產(chǎn)生出一個(gè)128位(16字節(jié))的散列值，即MD5值，以MD5值作為文件特征，形成“白名單”文件庫(kù)。通過(guò)對(duì)“白名單”文件庫(kù)中的文件讀寫(xiě)進(jìn)行控制，可以防御最常見(jiàn)的勒索病毒攻擊，避免工業(yè)企業(yè)遭受經(jīng)濟(jì)損失。

終端安全防護(hù)程序自身需要具備強(qiáng)大的用戶訪問(wèn)認(rèn)證能力，可采用雙因子認(rèn)證登錄認(rèn)證，即同時(shí)采用用戶名+密碼和生物信息認(rèn)證的門(mén)禁式登錄認(rèn)證方案，防止用戶信息盜用或用戶仿冒，保證安全責(zé)任到人，減少人為因素導(dǎo)致的安全隱患。

06、基于工控指令的訪問(wèn)控制

基于工控指令的訪問(wèn)控制是指通過(guò)對(duì)工控流量報(bào)文進(jìn)行深度分析和識(shí)別，建立工業(yè)指令級(jí)別的訪問(wèn)控制策略，從而識(shí)別和過(guò)濾異常攻擊指令對(duì)工業(yè)生產(chǎn)過(guò)程的破壞?；诠た刂噶畹脑L問(wèn)控制技術(shù)包括工控協(xié)議訪問(wèn)控制、工業(yè)指令訪問(wèn)控制和工控指令操作數(shù)訪問(wèn)控制三個(gè)由粗到細(xì)的訪問(wèn)控制技術(shù)。

在傳統(tǒng)的IT網(wǎng)絡(luò)中，采用深度報(bào)文檢測(cè)技術(shù)(DPI)識(shí)別IT網(wǎng)絡(luò)中的各類(lèi)互聯(lián)網(wǎng)應(yīng)用。在工控網(wǎng)絡(luò)中，也可以采用深度報(bào)文檢測(cè)技術(shù)識(shí)別工控網(wǎng)絡(luò)中的工控協(xié)議，通過(guò)制定各類(lèi)基于工控協(xié)議的訪問(wèn)控制策略對(duì)異常攻擊流量進(jìn)行過(guò)濾。但是，在工控網(wǎng)絡(luò)中，對(duì)工業(yè)生產(chǎn)造成嚴(yán)重危害的除異常工控協(xié)議流量外，更多的是正常工控協(xié)議流量中攜帶的異?？刂浦噶詈涂刂茀?shù)。因此，在識(shí)別工控網(wǎng)絡(luò)流量的工控協(xié)議后，還需要進(jìn)一步識(shí)別出工控網(wǎng)絡(luò)流量報(bào)文中攜帶的工控指令和控制參數(shù)。例如，識(shí)別出工控流量是Modbus工控協(xié)議流量后，還需要識(shí)別出每條Modbus報(bào)文中的功能碼(例如，讀取線圈狀態(tài)、讀取保持寄存器、預(yù)置單寄存器、預(yù)置多寄存器等)以及該功能碼對(duì)應(yīng)的操作數(shù)值?；谝陨瞎た貐f(xié)議識(shí)別技術(shù)和識(shí)別能力，制定基于工控指令級(jí)別的訪問(wèn)控制策略對(duì)異常指令進(jìn)行過(guò)濾，可以防止對(duì)工控設(shè)備的非法操作;在此基礎(chǔ)上還可以針對(duì)每個(gè)正常工控指令對(duì)應(yīng)的操作數(shù)值定義控制策略，對(duì)超過(guò)正常操作值范圍的數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾，可以防止對(duì)工控設(shè)備的異?？刂?。

07、基于工控行為特征的訪問(wèn)控制

基于工控行為特征的訪問(wèn)控制是通過(guò)學(xué)習(xí)工業(yè)生產(chǎn)過(guò)程的周期性規(guī)律，固化一套正常的工控行為規(guī)則，以正常行為規(guī)則為模板，過(guò)濾超出正常行為規(guī)則以外的異常行為，防止對(duì)工控設(shè)備的異常訪問(wèn)。

在傳統(tǒng)的IT網(wǎng)絡(luò)中，網(wǎng)絡(luò)流量反映的是人對(duì)網(wǎng)絡(luò)資源訪問(wèn)的行為特征，而人的行為具有一定的隨機(jī)性，所以難以通過(guò)網(wǎng)絡(luò)流量特征判斷人的行為是否異常。和IT網(wǎng)絡(luò)流量不同，在工控網(wǎng)絡(luò)中，控制工業(yè)生產(chǎn)的工控指令一般是由PLC控制器自動(dòng)發(fā)送的，由于工業(yè)生產(chǎn)過(guò)程具有一定的周期性且任何兩個(gè)周期內(nèi)的所有的操作應(yīng)該嚴(yán)格一致，所以這些工控指令也具有一定的周期性規(guī)律。工控行為學(xué)習(xí)技術(shù)通過(guò)連續(xù)采集多個(gè)某個(gè)特定的工業(yè)生產(chǎn)周期中的所有工控報(bào)文，采用DPI深度報(bào)文識(shí)別技術(shù)識(shí)別出工控協(xié)議，基于工控協(xié)議進(jìn)一步識(shí)別出工控網(wǎng)絡(luò)流量報(bào)文中攜帶的工控指令和控制參數(shù)，對(duì)多次采集的數(shù)據(jù)進(jìn)行比對(duì)分析，找出工控指令下發(fā)的時(shí)間順序、時(shí)間間隔、工控協(xié)議、控制指令和控制參數(shù)等的出現(xiàn)規(guī)律，從而掌握一個(gè)正常的生產(chǎn)周期中所包含的所有報(bào)文及其特征，形成一條基于工控報(bào)文特征工控行為規(guī)則[5]，對(duì)不同生產(chǎn)過(guò)程重復(fù)上述分析過(guò)程，最終形成一個(gè)完整的工控行為特征規(guī)則庫(kù)。學(xué)習(xí)過(guò)程結(jié)束后，對(duì)后續(xù)生產(chǎn)過(guò)程中所有的工控報(bào)文特征都和工控行為規(guī)則中的規(guī)則進(jìn)行比對(duì)，如果有不一致報(bào)文，立即進(jìn)行告警或阻斷報(bào)文訪問(wèn)工控設(shè)備，防止對(duì)工控設(shè)備的異常網(wǎng)絡(luò)訪問(wèn)。

08、USB存儲(chǔ)設(shè)備接入控制

使用USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行文件的拷貝、轉(zhuǎn)移是工業(yè)生產(chǎn)中最常見(jiàn)的場(chǎng)景之一，而由于安全意識(shí)薄弱等原因，使用USB存儲(chǔ)設(shè)備帶來(lái)的安全風(fēng)險(xiǎn)往往容易被忽視，2010年，著名的“震網(wǎng)”病毒就是通過(guò)U盤(pán)傳播的。因此在工控網(wǎng)絡(luò)中對(duì)USB存儲(chǔ)設(shè)備的使用需要進(jìn)行認(rèn)證、授權(quán)，防止USB存儲(chǔ)設(shè)備濫用引入的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

USB存儲(chǔ)設(shè)備接入管理需要通過(guò)專(zhuān)用的USB設(shè)備管理系統(tǒng)來(lái)實(shí)現(xiàn)，其目的是對(duì)未知的USB設(shè)備進(jìn)行隔離，避免未知設(shè)備直接接入工控網(wǎng)絡(luò)中。USB設(shè)備管理系統(tǒng)的功能包括USB存儲(chǔ)設(shè)備識(shí)別、病毒查殺、設(shè)備授權(quán)、設(shè)備安全使用四個(gè)基本功能。首先，USB設(shè)備管理系統(tǒng)對(duì)接入工控系統(tǒng)的每一個(gè)USB設(shè)備識(shí)別，內(nèi)容包括USB設(shè)備類(lèi)型、廠商、序列號(hào)、USB存儲(chǔ)設(shè)備容量、設(shè)備是否認(rèn)證授權(quán)等基本信息。設(shè)備識(shí)別為USB存儲(chǔ)設(shè)備后，需要對(duì)設(shè)備進(jìn)行病毒查殺，隔離或刪除病毒文件。已經(jīng)經(jīng)過(guò)病毒查殺的USB存儲(chǔ)設(shè)備，依然不能被工控系統(tǒng)直接使用，只有經(jīng)過(guò)系統(tǒng)管理員授權(quán)確認(rèn)后，才能接入工控系統(tǒng)使用。已經(jīng)獲得授權(quán)的USB存儲(chǔ)設(shè)備，對(duì)其中的文件訪問(wèn)采用最小權(quán)限原則進(jìn)行訪問(wèn)權(quán)限控制，可以對(duì)指定文件類(lèi)型定義讀寫(xiě)操作權(quán)限，防止異常的文件越權(quán)訪問(wèn)?；凇坝啦恍湃巍痹瓌t，已經(jīng)授權(quán)的USB存儲(chǔ)設(shè)備下線后，再次插入系統(tǒng)，仍然需要進(jìn)行病毒查殺，保證USB存儲(chǔ)設(shè)備安全可用。

09、工控網(wǎng)絡(luò)安全態(tài)勢(shì)分析

工控安全態(tài)勢(shì)分析通過(guò)實(shí)時(shí)采集工控安全網(wǎng)絡(luò)中各個(gè)安全設(shè)備產(chǎn)生的日志、告警數(shù)據(jù)以及各類(lèi)網(wǎng)絡(luò)威脅情報(bào)信息，識(shí)別出系統(tǒng)中的安全威脅情況，同時(shí)，通過(guò)對(duì)海量安全數(shù)據(jù)的深度挖掘和機(jī)器學(xué)習(xí)的智能分析，綜合研判工控網(wǎng)絡(luò)安全趨勢(shì)及潛在安全風(fēng)險(xiǎn)。

圖2 工控網(wǎng)絡(luò)安全態(tài)勢(shì)分析技術(shù)

工控安全態(tài)勢(shì)分析的數(shù)據(jù)主要來(lái)源于各個(gè)工業(yè)安全設(shè)備的日志信息、安全風(fēng)險(xiǎn)事件信息等，可以通過(guò)專(zhuān)用的數(shù)據(jù)采集探針采集，也可以通過(guò)具備一定分析功能的流量審計(jì)和日志審計(jì)設(shè)備采集上報(bào)。對(duì)于采集到的海量數(shù)據(jù)，疊加內(nèi)置的各類(lèi)安全威脅知識(shí)庫(kù)、安全規(guī)則庫(kù)等，采用大數(shù)據(jù)存儲(chǔ)及分析技術(shù)，建立大數(shù)據(jù)分析引擎，采用各類(lèi)數(shù)據(jù)分析算法、機(jī)器學(xué)習(xí)算法以及基于特征、行為和時(shí)序的異常檢測(cè)算法，按照時(shí)間、空間、業(yè)務(wù)行為等多個(gè)維度對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，并根據(jù)安全事件特征規(guī)則，識(shí)別安全風(fēng)險(xiǎn)事件、安全威脅以及異常網(wǎng)絡(luò)行為。

通過(guò)工控安全態(tài)勢(shì)分析結(jié)果，可以幫助系統(tǒng)管理人員及時(shí)識(shí)別潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)，及時(shí)優(yōu)化網(wǎng)絡(luò)安全策略和各種安全配置，提升網(wǎng)絡(luò)安全防范能力。

總結(jié)

綜上所述，對(duì)于由工控設(shè)備、應(yīng)用程序、網(wǎng)絡(luò)流量、外部設(shè)備、人為操作等核心要素構(gòu)成工控網(wǎng)絡(luò)系統(tǒng)，應(yīng)用“零信任”原則，構(gòu)筑包括集中安全管理、用戶的認(rèn)證和授權(quán)管理、工控資產(chǎn)識(shí)別和接入控制、終端安全防護(hù)、工控網(wǎng)絡(luò)流量分析和控制、USB存儲(chǔ)設(shè)備接入控制、工控安全態(tài)勢(shì)分析等能力的安全防護(hù)體系，確保只有經(jīng)過(guò)認(rèn)證和授權(quán)的主體，才能對(duì)工控網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)，是保障工控網(wǎng)絡(luò)安全的重要基石，也是“零信任”原則在工控網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用。

參考文獻(xiàn)

[1] 算網(wǎng)融合產(chǎn)業(yè)及標(biāo)準(zhǔn)推進(jìn)委員會(huì).零信任技術(shù)和產(chǎn)業(yè)發(fā)展(2022 年)[R/OL]. (2022-12-15)[2023-1-15]: http://www.ccnis.org.cn/Assets/filewhtiepaper/lingxinrjscyfz.pdf.

[2] 余海，郭慶,房利國(guó).零信任體系技術(shù)研究[J].通信技術(shù)，2020,20(8):2027-2028.

[3] 李歡歡，徐小云，王紅蕾.基于零信任的網(wǎng)絡(luò)安全模型架構(gòu)與應(yīng)用研究.科技資訊,2021,19(17) : 8.

[4] 向人鵬.基于”零信任”的工業(yè)信息安全防護(hù)研究.2019 電力行業(yè)信息化年會(huì)論文集[C].無(wú)錫2019: 171-174.

[5] 石進(jìn).基于零信任機(jī)制的工控網(wǎng)絡(luò)安全防御技術(shù)研究[D/OL].北京: 華北電力大學(xué),2022 [2022-05-01].https;//cdmd.cnki.com.cn/Article/CDMD11412-1023003858.htm.

來(lái)源：珞安科技