工业控制系统网络态势感知平台建设的探索与实践

工业控制系统网络态势感知平台建设的探索与实践

田江权 1 李晖 2 李焕军 1 魏锐 1

1. 航天江南集团有限公司 2. 贵州大学计算机科学与技术学院

摘 要：针对航天江南工业控制系统网络仅部署一套监测本级用户至应用的流量访问功能单一的入侵检测系统，存在缺少资产识别、勒索病毒等病毒的监测、整体安全态势分析等问题，提出了工业控制系统网络态势感知平台建设工作，通过工业控制系统网络态势感知平台建设的探索与实践，得出了工业控制系统网络内需要一套全方位、全范围的安全事件监测与分析、展现平台的结论，给军工企业提供了借鉴。

关键词：态势感知 工业控制系统网络 网络安全 监测与分析

1 引言

当今世界工业控制系统网络（简称：工控网）安全防护现状不容乐观，随着信息化和工业化融合程度的不断加深，工业控制系统逐渐将嵌入式技术、多标准工业控制网络互联、无线技术等新兴技术融合进来，使得工业控制系统的发展空间得到拓展。但是，传统的IT信息系统网络中工业控制系统存在缺乏清晰的网络边界、边界访问控制措施、区域间通信防护、恶意程序防护措施、安全事件监管机制等问题，难以防范工业控制恶意攻击，同时部分国外工业控制系统设备有漏洞后门的问题严重，硬件漏洞修复成本高、难度大，关键基础设施工业控制系统的安全隐患难以根除；受厂家工业控制系统“一站到底式”控制模式的制约，工业控制系统的安全检测、监测、控制与防范等难以深入，存在很多未知的安全隐患，无法做到事前探测、事前处置，一旦受到恶意攻击，将产生灾难性的严峻后果。航天江南工控网内急需部署一套全方位、全范围的安全事件主动式监测与分析、展现平台，本文就此通过工控网态势感知平台建设进行探索与实践。

2 航天江南工控网态势感知平台技术探索

航天江南工控网络态势感知平台的建立依据是“安全分区、立体防御”。

“安全分区”：根据现有网络情况进行梳理，将工控网络进行安全分区，各区域内部再根据不同工艺流程或生产任务进行安全域划分，形成更为细致合理的安全区域。根据划分的安全区、安全域制定区间、域间防护措施，部署安全防护设备实现区域之间的安全隔离，工控网络态势感知平台根据不同的区域定制对应的安全感知和处置策略。

“立体防御”：结合安全区、安全域划分结果，在各安全区、安全域之间部署适当的安全防护设备，形成工控网络各组成区域之间的横向隔离防护，以及各网络内部安全区域之间的安全隔离防护，并在安全区、安全域内各工业主机（包括上位机和服务器）上部署应用程序白名单安全防护软件，实现对异常行为、恶意代码的检测和防护，多种技术手段结合形成立体防御。工控网态势感知平台采用集中部署的模式，分别旁路在航天江南所属航天电器、十部、航天风华、航天控制、航天电科、航天天马、梅岭电源等单位工控网中，采用集中管控。

鉴于航天江南工控网络较为分散，无法统一部署防火墙的现状，需在每一个工控网络边界部署相应的工业交换机和防火墙，工控网络态势感知平台部署如图1所示：

图1 航天江南工控网络态势感知平台部署示意图

⑴ 工控网络安全态势感知建模研究

航天江南工控网络安全态势感知模型是利用大数据技术对经过数据融合与预处理的网络态势感知要素进行关联分析、态势评估及业务评估的过程^[1]。模型是基于丰富的事件知识库和网络运行数据，对网络未来短期内的变化趋势做出正确的评估，进而可有针对性地制定策略，进行实时动态网络安全管理。工控网络安全态势感知模型如图2所示。

图2 工控网络安全态势感知模型

⑵ 工控网络安全态势评估技术

态势评估不仅要求对当前整个工控网络的安全状态进行量化评估^[1]，也需对态势感知的每项结果（如网络威胁）进行量化，完成该项作的前提是建立态势评估指标体系。为保证工控网络的网络安全态势评估结果的精确性，态势评估的指标体系需科学，再通过大数据分析技术，实现网络安全态势评估结果的实时性、准确性。评估技术如图3所所示。

图3 工控系统网络安全态势评估技术路线

⑶ 工控网络安全预警技术

工控网络安全态势感知预警模型能够根据态势感知分析处理的结果（如威胁、漏洞情况），对使用单位、部门开展预警和通报工作，能够实时发布预警信息，对安全态势进行趋势分析、预测及总结。态势感知预警模型的核心是通报预警平台，将态势感知和扫描检测到的威胁和漏洞情况进行分类、总结、预测，通过终端或短信、邮件、手机APP等方式向单位、部门和个人发布预警信息，并把预警信息发送至应急处置平台，以便于尽快形成应急处置预案系统。模型框架如图4所示。

图4 工控网络安全预警模型

⑷ 基于多源日志的工控网安全态势感知要素获取与融合分析处理技术

态势感知采集的数据来自众多设备，如传感器、防火墙、网络设备等，数据类型多样，数据格式不一、存储形式各异，表达的语义也不尽相同，需借助数据融合技术，对多个数据源进行归一化融合操作，方便获取感知要素。首先按信息抽象程度的高低，将数据融合从低到高分成三个层次：数据级融合、特征级融合和决策级融合，其中特征级融合和决策级融合是该项目主要使用的融合方法，在此基础上，有针对性的统一数据格式，进而通过网络中具有相似或不同特征模式的多源日志信息进行互补集成，完成对数据的自动监测、关联、相关、估计及组合等处理，实现数据的融合，如图5所示。

图5 基于多源日志的工控网络安全态势感知要素获取与融合分析过程

3 航天江南工控网态势感知平台辅助安全措施

⑴ 安全隔离措施

通过在办公网和工控网之间部署工业安全网关实现网络入侵防御及病毒识别防护，基于工业协议深度识别发现并防范来自办公网的入侵攻击、异常流量攻击和恶意软件扩散，形成办公网与生产网之间的纵向防护。

⑵ 工业安全网关功能防护

工业安全网关用于网络纵向分层和横向分区之间的安全隔离，以及关键工控设备的保护，防止异常流量、异常行为对正常生产造成影响。

协议解析：工控协议的深度解析（DPI），例如Modbus 、DNP3、IEC 104等；

通信安全：建立可信安全通信模型；

控制策略：只允许安全模型中的控制指令通过；阻止任何其他指令进入安全域，包括来自未知主机的“合法”指令；

安全审计：对所有通信过程进行记录和审计。

⑶ 主机安全防护部署

为保证工控网络中工业主机（包括工程师站、服务器及操作员站）的运行安全，在各工控网络区域内工业主机上部署“白名单”工控主机防护软件，建立工业主机“白名单”防护基线，放行正常的操作系统进程及工业应用程序，阻断未知程序、木马病毒、恶意软件、攻击脚本等运行，为工业主机创建干净安全的运行环境。

4 航天江南工控网态势感知平台技术实践

⑴ 航天江南工控网态势感知平台搭建

航天江南搭建工控网络态势感知平台，采用集中部署分布管控的模式，分别旁路在航天江南所属航天电器、十部、航天风华、航天控制、航天电科、航天天马、梅岭电源等单位工控网中。一方面，工控网络态势感知平台被动采集工业防火墙、工控网关、漏洞扫描系统、入侵检测系统等安全设备的日志进行统计分析、关联分析、安全预测和告警，另一方面，工控网络态势感知平台主动扫描工控网络内工控设备系统、主机系统，进行设备认证库匹配，对工业设备控制主机、工业设备和工业设备漏洞进行识别和管理。详见如图6所示。

图6工控网络态势感知平台部署图

⑵ 航天江南工控网态势感知平台功能实现

航天江南通过工控网络态势感知平台将网络安全态势感知技术、工控系统安全态势感知技术、网络安全态势评估技术和工控系统安全预警等技术引入工控网，从整体上动态反映工控网安全状况，并对系统安全的发展趋势进行预警，消除安全孤岛，从整体视角实现态势感知准确、安全预警及时、态势展示类型丰富的目标要求。如图7所示。

图7工控网络态势感知平台

航天江南工控网络态势感知平台提升了全天候、全方位态势感知能力，健全数据采集、追踪情报与大数据分析、检测预警、分析研判、应急处理、追踪溯源等功能，具备了主动检测、主动防御的能力。

5 中德智能制造样板间工控网络态势感知平台产生的成效

以中德智能制造样板间工控网络态势感知平台产生的成效为例，航天电器与航天云网和德国西门子合作，打造基于云平台的智能制造样板间车间。项目建立了全数字化的信息系统，包括ERP、PLM、MES、SCADA等，研制了59台柔性化的智能装备、四条物流输送线和两个立体仓库，并打通了软硬件的壁垒，实现了从订单到交付、从研发到服务的产品全生命周期集成。

中德智能制造样板间分布实施工控网络态势感知平台后，工控网安全防护整体建设工作符合国家相关政策和标准要求,能提前发现安全风险并及时处置，避免了病毒、蠕虫恶意软件扩散和入侵攻击，防止了病毒木马、恶意软件对工控设备的破坏，确保了设备、软件、系统、网络的可靠性、稳定性运行，保障了中德智能制造样板间实现生产人员由45人下降至11人、产品年产能由10万只提升至50万只、合格率由90%提升至99.8%以上,实现核心产品研制周期缩短33%, 生产效率提升50%以上，PPM降低一个数量级(由359降至50)，成本降低21%的业务目标。

6 结束语

航天江南工控网络态势感知平台在传统的IT信息系统网络工业控制系统安全防护体系下，着力对工控网络安全态势感知建模研究、工控网络安全态势评估技术、工控网络安全预警技术、基于多源的工控系统网络安全态势感知要素获取与融合分析处理技术等技术进行研究和落实，对接入工业云的工控系统的安全问题提供从系统态势感知、评估、预警的一体化安全保障，实施经验可推广应用于工业智能制造生产线工控系统网络，提升各类工业信息系统的安全防护能力。该平台具有广泛的应用市场，可实现军民两用，产生较大经济效益，同时为防止国家秘密、商业秘密的泄露提供安全屏障，对保障国家安全、促进社会和谐发展有着积极促进的作用。

参考文献

[1] 贾焰，方滨兴.网络安全态势感知（精）.电子工业出版社，2020

[2] 章恒. 工业互联网安全态势感知技术的应用研究. 第三十四届中国（天津）2020’IT、网络、信息技术、电子、仪器仪表创新学术会议

[3] 潘泉. 工业控制系统信息安全保密挑战与应对. 保密工作，2020

[4] 汤永田. 工业互联网安全态势感知技术及其应用研究. 自动化博览，2019

[5] 傅扬. 国内外工业互联网安全态势和风险分析. 信息安全研究，2019

作者简介：田江权（1972-），男，贵州沿河人，硕士，高级工程师，研究方向：智能制造、企业战略管理。