摘　要：隨著工業(yè)化與信息化的融合發(fā)展，工業(yè)控制網(wǎng)絡(luò)面臨的安全威脅日益增多，安全形勢日益嚴(yán)峻。針對工控信息安全事件頻發(fā)的現(xiàn)狀，為防范相關(guān)安全風(fēng)險(xiǎn)，在研究工業(yè)網(wǎng)絡(luò)結(jié)構(gòu)與特點(diǎn)以及安全防護(hù)需求的基礎(chǔ)上，設(shè)計(jì)了適用于不同場景、不同層次、不同設(shè)備，基于縱深防護(hù)和多策略協(xié)同的綜合安全體系，并在典型行業(yè)工業(yè)網(wǎng)絡(luò)中實(shí)現(xiàn)應(yīng)用推進(jìn)，形成了覆蓋密碼保障、多層防護(hù)、綜合管控等多個(gè)維度的安全保障能力和整體解決方案。

內(nèi)容目錄：1　工業(yè)網(wǎng)絡(luò)概述

1.1　工業(yè)網(wǎng)絡(luò)結(jié)構(gòu)概述

1.2　工業(yè)網(wǎng)絡(luò)特點(diǎn)概述

2　工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)的需求研究

3　工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)的技術(shù)框架設(shè)計(jì)

3.1　基于國產(chǎn)商用密碼的工業(yè)控制網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)

3.2　基于策略協(xié)同的工業(yè)控制網(wǎng)絡(luò)多層級一體化管控技術(shù)

4　工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)的實(shí)現(xiàn)和應(yīng)用

5　結(jié)　語

近年來，在網(wǎng)絡(luò)空間政治對抗加劇的背景下，工業(yè)控制網(wǎng)絡(luò)面臨的安全威脅正在急劇增加，工業(yè)安全漏洞數(shù)量逐年遞增，工控信息安全事件層出不窮，安全威脅加速滲透，攻擊手段復(fù)雜多樣。伊朗“震網(wǎng)”事件、土耳其巴庫石油管道爆炸、烏克蘭電網(wǎng)停電、委內(nèi)瑞拉停電事故等安全事故更是說明能源工控環(huán)境被攻擊所造成的危害巨大，給國內(nèi)能源行業(yè)敲響了警鐘，關(guān)系國計(jì)民生的能源領(lǐng)域的工業(yè)控制網(wǎng)絡(luò)已成為黑客團(tuán)體攻擊的重點(diǎn)目標(biāo)，建立安全、穩(wěn)定運(yùn)行的工業(yè)控制環(huán)境迫在眉睫。

我國高度重視工業(yè)信息安全并實(shí)施各種舉措，《網(wǎng)絡(luò)安全法》自 2017 年 6 月 1 日起開始實(shí)施，對關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全提出了明確要求。在工信部信軟〔2016〕338 號文《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中，從 11 個(gè)方面對工業(yè)控制系統(tǒng)信息安全在管理和技術(shù)方面提出了具體要求。2019 年 5 月，國家標(biāo)準(zhǔn)化管理委員會發(fā)布 GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》，專門針對工業(yè)控制系統(tǒng)在通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境等方面提出了要求，為工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)提供了重要參考標(biāo)準(zhǔn)。《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十四個(gè)五年規(guī)劃和 2035 年遠(yuǎn)景目標(biāo)綱要》明確提出，要加強(qiáng)網(wǎng)絡(luò)安全保護(hù)，建立健全關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系，提升安全防護(hù)和維護(hù)政治安全能力，推動(dòng)構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體。

近年來，隨著信息化與工業(yè)化的深度融合與發(fā)展，工業(yè)控制網(wǎng)絡(luò)由傳統(tǒng)的工業(yè)總線網(wǎng)絡(luò)發(fā)展到工業(yè)以太網(wǎng)及工業(yè)物聯(lián)網(wǎng)，工業(yè)控制網(wǎng)絡(luò)已成為由操作技術(shù)（Operation Technology，OT）、信 息 技 術(shù)（Information Technology，IT）、 工 業(yè)物聯(lián)網(wǎng)（Industrial Internet of Things，IIoT）形成的高度混雜融合的網(wǎng)絡(luò)，其面臨的網(wǎng)絡(luò)威脅與風(fēng)險(xiǎn)愈發(fā)復(fù)雜，安全形勢日益嚴(yán)峻。工業(yè)控制網(wǎng)絡(luò)現(xiàn)場場景差異大且復(fù)雜、功能安全與網(wǎng)絡(luò)安全交織疊加，導(dǎo)致系統(tǒng)整體防護(hù)遇到新的挑戰(zhàn)。傳統(tǒng)分區(qū)分域管理防護(hù)方式難以實(shí)現(xiàn)點(diǎn)面融合的一體化安全防護(hù)，因而亟須針對典型行業(yè)工業(yè)網(wǎng)絡(luò)特征研究出適應(yīng)不同場景、不同層次、不同設(shè)備的縱深防護(hù)和多策略協(xié)同的安全體系。

1

工業(yè)網(wǎng)絡(luò)概述

1.1　工業(yè)網(wǎng)絡(luò)結(jié)構(gòu)概述

在網(wǎng)絡(luò)信息技術(shù)不斷發(fā)展的背景下，工業(yè)網(wǎng)絡(luò)逐步形成 5 層體系架構(gòu)，自下而上分別是現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層、生產(chǎn)管理層、企業(yè)管理層。在 5 層網(wǎng)絡(luò)體系結(jié)構(gòu)中，現(xiàn)場控制層采用 Ethernet/IP、Profinet、Modbus/TCP、OPC 等專用工業(yè)協(xié)議支持工控設(shè)備間的通信，并建立起與上位系統(tǒng)的通信，這些協(xié)議或?yàn)闃?biāo)準(zhǔn) TCP/IP 協(xié)議，或?yàn)榛?IP 協(xié)議的專用工業(yè)以太網(wǎng)協(xié)議，監(jiān)控管理層及以上通信也采用TCP/IP 協(xié)議。近年來，隨著云計(jì)算、大數(shù)據(jù)等新技術(shù)的不斷發(fā)展，工業(yè)網(wǎng)絡(luò)逐步由孤島運(yùn)行模式發(fā)展為與互聯(lián)網(wǎng)、云網(wǎng)絡(luò)互聯(lián)互通的工業(yè)互聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)運(yùn)行模式，使得工業(yè)網(wǎng)絡(luò)系統(tǒng)不再孤立。同時(shí)，在工業(yè)網(wǎng)絡(luò)中也出現(xiàn)了傳統(tǒng) IT 網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)安全問題，傳統(tǒng)的以物理隔離手段而構(gòu)建的工業(yè)網(wǎng)絡(luò)安全保障體系將無法起到應(yīng)有的作用。

1.2　工業(yè)網(wǎng)絡(luò)特點(diǎn)概述

工業(yè)控制網(wǎng) 絡(luò) 系 統(tǒng) 有 自 身 的 結(jié) 構(gòu) 特 點(diǎn)。首先，在企業(yè)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中，現(xiàn)場設(shè)備層控制設(shè)備主要包括可編程邏輯控制器（Programmable Logic Controller，PLC）、集散控制 系 統(tǒng)（Distributed Control System，DCS）、 遠(yuǎn)程終端設(shè)備（Remote Terminal Unit，RTU）等控制器，除了各服務(wù)器，現(xiàn)場監(jiān)控層和數(shù)據(jù)采集層還需人機(jī)交互，如工程師站、操作員站和管理終端等。這些終端設(shè)備在網(wǎng)絡(luò)安全模型中就是安全邊界，終端設(shè)備、服務(wù)器可直接連接現(xiàn)場控制設(shè)備交換數(shù)據(jù)。同時(shí)，這些終端設(shè)備的各種接口比如 USB，使得移動(dòng)存儲設(shè)備可以便利接入，但也方便了各種惡意代碼的傳播。其次，工業(yè)網(wǎng)絡(luò)尤其是現(xiàn)場控制層及過程監(jiān)控層網(wǎng)絡(luò)主要執(zhí)行的是工業(yè)生產(chǎn)任務(wù)，其網(wǎng)絡(luò)協(xié)議更多關(guān)注的是業(yè)務(wù)的實(shí)時(shí)性與可靠性，在協(xié)議設(shè)計(jì)上通常缺乏安全防御機(jī)制，以及必要的基于密碼的安全防護(hù)措施。此外，鑒于工業(yè)通信協(xié)議的私有性特點(diǎn)，完全照搬傳統(tǒng)信息網(wǎng)絡(luò)安全策略到工業(yè)控制系統(tǒng)，將無法起到良好的防護(hù)效果。

2

工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)的需求研究

工業(yè)領(lǐng)域不同行業(yè)和不同業(yè)務(wù)流程存在場景多樣性、環(huán)境復(fù)雜性和協(xié)議私有性等特點(diǎn)。工業(yè)網(wǎng)絡(luò)具有網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、主機(jī)、控制設(shè)備、執(zhí)行單元等不同類型、不同層次的安全防護(hù)手段，為相關(guān)系統(tǒng)和設(shè)備提供邊界防護(hù)、監(jiān)測審計(jì)、安全評估等多種防護(hù)技術(shù)和措施，但同時(shí)也存在協(xié)同聯(lián)動(dòng)和自動(dòng)化響應(yīng)能力不足的問題。針對上述問題，工業(yè)網(wǎng)絡(luò)運(yùn)營者將需要探尋適應(yīng)工業(yè)領(lǐng)域網(wǎng)絡(luò)安全多場景、多層次需求的體系化安全防護(hù)解決方案，從而實(shí)現(xiàn)多種安全防護(hù)技術(shù)和措施的策略協(xié)同和聯(lián)合防護(hù)，構(gòu)建切合于工業(yè)領(lǐng)域業(yè)務(wù)特點(diǎn)的網(wǎng)絡(luò)安全防護(hù)體系。

此外，工業(yè)控制網(wǎng)絡(luò)中還面臨著缺乏高效安全的密碼防護(hù)技術(shù)、內(nèi)生持久免疫能力薄弱、有針對性的安全檢測分析手段缺失、跨域安全保障體系不完善等技術(shù)難題。這些難題分布在工業(yè)網(wǎng)絡(luò)的不同層級與不同設(shè)備中，要解決此類問題，需充分研究與工業(yè)網(wǎng)絡(luò)具體業(yè)務(wù)相融合的密碼防護(hù)、內(nèi)生免疫、智能安全檢測需求，基于縱深防御理念，重點(diǎn)突破針對多樣性和復(fù)雜化工業(yè)網(wǎng)絡(luò)資產(chǎn)的自動(dòng)化識別和測繪技術(shù)，針對私有化工業(yè)網(wǎng)絡(luò)協(xié)議的指令級智能化學(xué)習(xí)和策略控制技術(shù)，突破基于工業(yè)網(wǎng)絡(luò)數(shù)據(jù)和安全數(shù)據(jù)全流量采集的智能化分析和威脅檢測技術(shù)，突破工業(yè)領(lǐng)域邊界防護(hù)、監(jiān)測審計(jì)、漏洞分析、終端防護(hù)等多種安全措施之間策略協(xié)同和響應(yīng)支撐的技術(shù)，設(shè)計(jì)實(shí)現(xiàn)針對工業(yè)網(wǎng)絡(luò)多場景、多層次安全防護(hù)措施的智能化安全決策支撐和自動(dòng)化策略協(xié)同體系。

3

工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)的技術(shù)框架設(shè)計(jì)

針對工業(yè)領(lǐng)域不同行業(yè)和不同生產(chǎn)流程下，存在的場景多樣性、環(huán)境復(fù)雜性和協(xié)議私有性等問題，面向工業(yè)領(lǐng)域的網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、主機(jī)，以商用密碼為基礎(chǔ)，圍繞工業(yè)網(wǎng)絡(luò)安全防護(hù)需求和法律法規(guī)政策要求，充分調(diào)研各領(lǐng)域工業(yè)網(wǎng)絡(luò)現(xiàn)狀及面臨的安全威脅，分析工業(yè)網(wǎng)絡(luò)的安全防護(hù)需求。在此基礎(chǔ)上，以 GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》、工信部信軟〔2016〕338 號文《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等政策標(biāo)準(zhǔn)為指導(dǎo)，根據(jù)工業(yè)網(wǎng)絡(luò)的自身特點(diǎn)、重要程度等，確定工業(yè)網(wǎng)絡(luò)安全等級的劃分；對各類典型的工業(yè)網(wǎng)絡(luò)開展安全防護(hù)系統(tǒng)設(shè)計(jì)，形成工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析報(bào)告、安全防護(hù)方案、安全防護(hù)技術(shù)規(guī)范等。在工業(yè)網(wǎng)絡(luò)場景和實(shí)際業(yè)務(wù)相結(jié)合的基礎(chǔ)上，將主機(jī)身份鑒別、網(wǎng)絡(luò)設(shè)備安全接入、用戶認(rèn)證、傳輸加密、密鑰管理和數(shù)字認(rèn)證等技術(shù)作為支撐，研制商密工業(yè)防火墻、終端安全防護(hù)系統(tǒng)、工業(yè)網(wǎng)絡(luò)安全智能監(jiān)測系統(tǒng)、工控漏洞掃描系統(tǒng)、虛擬專用網(wǎng)（Virtual Private Network，VPN）安全網(wǎng)關(guān)等網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，配合密鑰管理、密碼服務(wù)等實(shí)現(xiàn)區(qū)域隔離、邊界防護(hù)、實(shí)時(shí)監(jiān)控和漏洞檢測，最終形成滿足工業(yè)網(wǎng)絡(luò)實(shí)際需求的基于商用密碼和策略協(xié)同的工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)系統(tǒng) 。工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)框架如圖 1 所示。

圖 1　工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)框架

3.1　基于國產(chǎn)商用密碼的工業(yè)控制網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)

基于國產(chǎn)商用密碼的工業(yè)控制網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)框架如圖 2 所示。該技術(shù)針對工業(yè)控制網(wǎng)絡(luò)中私有協(xié)議多、密碼應(yīng)用難度大的問題，深入分析工業(yè)控制網(wǎng)絡(luò)各層級通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計(jì)算環(huán)境安全及管理安全等多維度的密碼應(yīng)用需求，采用國產(chǎn)商用密碼解決接入認(rèn)證、權(quán)限控制、數(shù)據(jù)加密等關(guān)鍵技術(shù)問題，形成了基于國產(chǎn)商用密碼的工業(yè) VPN、邊緣網(wǎng)關(guān)、工業(yè)隔離網(wǎng)閘、工業(yè)主機(jī)安全防護(hù)系統(tǒng)、（車間級、現(xiàn)場級）工業(yè)防火墻、工業(yè)裝備安全網(wǎng)關(guān)等一系列裝備，有效解決了生產(chǎn)現(xiàn)場終端弱口令登錄、多區(qū)域之間的訪問未受控制、生產(chǎn)現(xiàn)場終端和網(wǎng)絡(luò)協(xié)議私有化等問題，打造了具備訪問控制、行為分析、可靠認(rèn)證、安全傳輸?shù)娜轿豢v深防護(hù)保障體系，極大提升了工業(yè)控制網(wǎng)絡(luò)系統(tǒng)安全防護(hù)能力。

圖 2　基于國產(chǎn)商用密碼的工業(yè)控制網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)框架

基于商密的工業(yè)控制網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)框架采用商密技術(shù)，實(shí)現(xiàn)對工控系統(tǒng)各層級不同業(yè)務(wù)場景的安全防護(hù)，主要商密應(yīng)用如下文所述。

3.1.1　基于商用密碼的接入認(rèn)證和權(quán)限控制

基于商用密碼的接入認(rèn)證技術(shù)采用商用密碼算法對接入的關(guān)鍵設(shè)備（工程師站、操作員站、PLC 等）進(jìn)行身份認(rèn)證，防止設(shè)備非法接入與訪問。當(dāng)設(shè)備接入時(shí)，須通過安全防護(hù)設(shè)備（如防火墻、安全網(wǎng)關(guān)等）采用“USBkey+ 用戶 / 口令”的雙因子認(rèn)證方式對其進(jìn)行身份認(rèn)證。USBkey 采用 SM2 證書及相關(guān)商用密碼算法實(shí)現(xiàn)身份確認(rèn)，使得用戶身份認(rèn)證更加安全。其中，SM2 密碼算法主要用于證書頒發(fā)，SM2WithSM3密碼算法主要用于網(wǎng)絡(luò)設(shè)備接入認(rèn)證。

基于商用密碼的權(quán)限控制在認(rèn)證服務(wù)器側(cè)實(shí)現(xiàn)，認(rèn)證控制服務(wù)器維護(hù)所有用戶的認(rèn)證和授權(quán)信息，負(fù)責(zé)對一個(gè)或多個(gè)接入請求提供認(rèn)證授權(quán)服務(wù)。認(rèn)證控制服務(wù)器基于標(biāo)準(zhǔn) RADIUS擴(kuò)展實(shí)現(xiàn)對商密算法（SM2/SM3/SM4）的支持，服務(wù)器端商密運(yùn)算則通過置于設(shè)備內(nèi)部的嵌入式商用密碼卡實(shí)現(xiàn)。設(shè)備或用戶在通過接入認(rèn)證之后，由認(rèn)證控制服務(wù)器結(jié)合內(nèi)置的用戶授權(quán)策略提供對應(yīng)權(quán)限，從而實(shí)現(xiàn)對其權(quán)限控制。

3.1.2　基于商用密碼的通信數(shù)據(jù)加密

基于商用密碼算法的通信數(shù)據(jù)加密技術(shù)采用商用密碼算法實(shí)現(xiàn)對關(guān)鍵數(shù)據(jù)鏈路（分公司與總部、不同作業(yè)流程之間、現(xiàn)場工作單元與辦公網(wǎng)絡(luò)等）的通信數(shù)據(jù)機(jī)密性及完整性保護(hù)。該技術(shù)通過基于商用密碼算法的 IPSec VPN 為用戶構(gòu)建了一個(gè)安全加密通道，在該通道中傳輸?shù)臄?shù)據(jù)都經(jīng)過加密保護(hù)，可保證數(shù)據(jù)的機(jī)密性與安全性。在具體應(yīng)用上，首先在 VPN 等安全防護(hù)設(shè)備內(nèi)部嵌入硬件商用密碼卡組件，實(shí)現(xiàn)對 SM2、SM3、SM4 商密算法的加載。同時(shí)，在安全防護(hù)設(shè)備系統(tǒng)中擴(kuò)展 IPSec 對于商密算法套件的支持，采用 SM2、SM3 等商密算法實(shí)現(xiàn)簽名認(rèn)證與密鑰協(xié)商，采用 SM4 算法實(shí)現(xiàn)數(shù)據(jù)加密。以商密 IPSec 技術(shù)為載體，通過 SM2 商密證書技術(shù)和 SM2/SM3 算法實(shí)現(xiàn)安全通信隧道創(chuàng)建與密鑰協(xié)商，最終通過 SM4 算法實(shí)現(xiàn)基于商密技術(shù)的工業(yè)控制網(wǎng)絡(luò)通信數(shù)據(jù)加密傳輸，并通過 SM3 算法對數(shù)據(jù)完整性進(jìn)行保護(hù)。

3.2　基于策略協(xié)同的工業(yè)控制網(wǎng)絡(luò)多層級一體化管控技術(shù)

工業(yè)控制網(wǎng)絡(luò)的控制設(shè)備與場景復(fù)雜，不同場景下安全策略制定煩瑣且缺乏具有時(shí)效性的統(tǒng)一管控手段。針對上述問題，設(shè)計(jì)了一種基于傳統(tǒng)安全防護(hù)策略與策略協(xié)同聯(lián)動(dòng)的統(tǒng)一管控方法。工業(yè)控制網(wǎng)絡(luò)多層級管控模型如圖 3 所示，該模型通過實(shí)時(shí)感知安全信息，發(fā)現(xiàn)安全威脅，預(yù)判安全態(tài)勢，根據(jù)不斷變化的威脅環(huán)境進(jìn)行自適應(yīng)調(diào)整，生成策略基線；同時(shí)，針對業(yè)務(wù)相近、網(wǎng)絡(luò)環(huán)境趨同的數(shù)據(jù)信息，通過相互協(xié)同收斂，進(jìn)一步改進(jìn)策略基線，從而形成智能輔助推薦的動(dòng)態(tài)安全策略。通過統(tǒng)一的策略描述模型，使各管控執(zhí)行單元都能“理解”，并下發(fā)到工業(yè)控制網(wǎng)絡(luò)各功能安全模塊，如輸入輸出管理、信令可信執(zhí)行與管控、數(shù)據(jù)安全保護(hù)、傳輸通道加密及一體化內(nèi)生安全控制器等策略執(zhí)行環(huán)節(jié)，從而形成針對本體安全所有要素的策略協(xié)同聯(lián)動(dòng)及安全管控能力，實(shí)現(xiàn)對業(yè)務(wù)流程、數(shù)據(jù)和資源的可視化和控制，并提高運(yùn)行系統(tǒng)的可靠性、穩(wěn)定性和效率，強(qiáng)化安全防御能力，降低運(yùn)營成本 。

圖 3　工業(yè)控制網(wǎng)絡(luò)多層級管控模型

基于策略協(xié)同的工業(yè)控制網(wǎng)絡(luò)多層級一體化管控技術(shù)主要由基于基線自學(xué)習(xí)模型的白名單策略協(xié)同技術(shù)和基于策略協(xié)同的工業(yè)網(wǎng)絡(luò)多層次縱深防護(hù)技術(shù)組成。其中，基于基線自學(xué)習(xí)模型的白名單策略協(xié)同技術(shù)設(shè)計(jì)實(shí)現(xiàn)了一種網(wǎng)絡(luò)安全基線生成方法；基于策略協(xié)同的工業(yè)網(wǎng)絡(luò)多層次縱深防護(hù)技術(shù)則利用策略協(xié)同技術(shù)，對實(shí)施中的防護(hù)策略加以收斂改進(jìn)，形成多層縱深、融合管控、協(xié)同防護(hù)的工控網(wǎng)絡(luò)縱深防御架構(gòu)。

3.2.1　基于基線自學(xué)習(xí)模型的白名單策略協(xié)同技術(shù)

傳統(tǒng)安全防護(hù)設(shè)備的防護(hù)策略，通常需要業(yè)務(wù)專家、網(wǎng)絡(luò)安全專家和網(wǎng)絡(luò)運(yùn)維人員協(xié)同參與安全策略的逐條編制。針對該問題，基于基線自學(xué)習(xí)模型的白名單策略協(xié)同技術(shù)設(shè)計(jì)實(shí)現(xiàn)了一種基于全流量的網(wǎng)絡(luò)安全基線生成方法，如圖 4 所示。在網(wǎng)絡(luò)正常情況下，對流量通信情況、工藝業(yè)務(wù)情況進(jìn)行自動(dòng)學(xué)習(xí)，生成白名單策略基線模型，并將生成的白名單策略名單分發(fā)給網(wǎng)絡(luò)中的安全防護(hù)設(shè)備進(jìn)行運(yùn)用。針對工業(yè)企業(yè)內(nèi)業(yè)務(wù)相近、網(wǎng)絡(luò)環(huán)境相似的工業(yè)網(wǎng)絡(luò)，涉及工藝業(yè)務(wù)服務(wù)等的策略基線可相互協(xié)同收斂，進(jìn)一步改進(jìn)策略。采用該技術(shù)后，會針對工業(yè)網(wǎng)絡(luò)形成一個(gè)以其為基準(zhǔn)進(jìn)行檢測和度量的風(fēng)險(xiǎn)管控手段，實(shí)現(xiàn)了從監(jiān)管層面向防護(hù)層面的協(xié)同遞進(jìn)，可確保常規(guī)網(wǎng)絡(luò)安全控制，有效保護(hù)了工業(yè)控制系統(tǒng)的正常作業(yè)。通過在各工業(yè)網(wǎng)絡(luò)層次縱深應(yīng)用該技術(shù)，使得安全防護(hù)更具針對性。

圖 4　基于基線自學(xué)習(xí)模型的白名單策略協(xié)同

3.2.2　基于策略協(xié)同的工業(yè)網(wǎng)絡(luò)多層次縱深防護(hù)技術(shù)

針對工業(yè)網(wǎng)絡(luò)邊界關(guān)聯(lián)數(shù)據(jù)泄露、底層風(fēng)險(xiǎn)滲透等安全問題，本文基于策略協(xié)同的工業(yè)網(wǎng)絡(luò)多層次縱深防護(hù)技術(shù)從設(shè)備接入安全、協(xié)議安全、數(shù)據(jù)處理安全等多個(gè)核心方面入手，在現(xiàn)場控制層、過程監(jiān)控層、生產(chǎn)管理層、企業(yè)管理層各層邊界及關(guān)鍵設(shè)施上實(shí)施針對性的防護(hù)措施，并以策略協(xié)同技術(shù)加以收斂改進(jìn)，形成契合等級保護(hù)的多層縱深、協(xié)同防護(hù)的體系架構(gòu)，如圖 5所示。利用該體系架構(gòu)，現(xiàn)已實(shí)現(xiàn)對 55 種工控協(xié)議的深度控制、IPv4/IPv6 雙?？刂啤踩綦x和信息交換、裝備接口接入管控等核心技術(shù)。同時(shí)，結(jié)合傳統(tǒng)信息安全及基于商密的工控網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)，進(jìn)一步打造協(xié)同防護(hù)架構(gòu)，形成具備訪問控制、行為分析、可靠認(rèn)證、安全傳輸?shù)娜轿话踩雷o(hù)保障體系，進(jìn)而形成可復(fù)制推廣的工業(yè)網(wǎng)絡(luò)安全防護(hù)解決方案。

圖 5　工業(yè)網(wǎng)絡(luò)多層縱深、協(xié)同防護(hù)體系架構(gòu)

4

工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)的實(shí)現(xiàn)和應(yīng)用

面向工業(yè)網(wǎng)絡(luò)各領(lǐng)域的商密版工業(yè)防火墻產(chǎn)品，根據(jù)特定領(lǐng)域的具體要求，在商用密碼技術(shù)應(yīng)用、工業(yè)協(xié)議深度解析與控制、自主可控等技術(shù)功能方面進(jìn)行適配研究與開發(fā)。

面向工業(yè)網(wǎng)絡(luò)各領(lǐng)域的基于商用密碼技術(shù)終端安全防護(hù)系統(tǒng)，在身份鑒別系統(tǒng)和主機(jī)監(jiān)控與審計(jì)系統(tǒng)產(chǎn)品的基礎(chǔ)上，對商用密碼技術(shù)在身份鑒別、進(jìn)程白名單、外設(shè)控制、違規(guī)外聯(lián)等安全功能方面進(jìn)行了適配研究與開發(fā)。

面向工業(yè)網(wǎng)絡(luò)各領(lǐng)域的 VPN 安全網(wǎng)關(guān)產(chǎn)品，重點(diǎn)在商用密碼技術(shù)應(yīng)用、工控網(wǎng)絡(luò)低時(shí)延、系統(tǒng)自愈可靠性等方面進(jìn)行了適配研究與開發(fā)。

面向工業(yè)網(wǎng)絡(luò)各領(lǐng)域的工控漏洞掃描系統(tǒng)，在工控協(xié)議、設(shè)備指紋、工控漏洞、自主可控等技術(shù)功能方面進(jìn)行了適配研究與開發(fā)。

面向工業(yè)網(wǎng)絡(luò)各領(lǐng)域的網(wǎng)絡(luò)安全智能監(jiān)測系統(tǒng)產(chǎn)品，采用了基于基線自學(xué)習(xí)模型的白名單策略協(xié)同技術(shù)，在工控網(wǎng)絡(luò)資產(chǎn)識別、威脅分析、網(wǎng)絡(luò)可視化、自主可控等技術(shù)功能方面進(jìn)行了適配研究與開發(fā)。

結(jié)合工業(yè)網(wǎng)絡(luò)眾多安全設(shè)備的集中管理和策略協(xié)同防護(hù)的需求，研究并開發(fā)了工業(yè)網(wǎng)絡(luò)安全態(tài)勢分析和管理系統(tǒng)，重點(diǎn)研究了實(shí)現(xiàn)不同安全技術(shù)和設(shè)備之間的策略協(xié)同、集中管理和防護(hù)響應(yīng)，從而構(gòu)建體系化的保障。

以密碼為基礎(chǔ)，構(gòu)建實(shí)體認(rèn)證和信任體系，實(shí)現(xiàn)安全通信、靜態(tài)可信認(rèn)證、動(dòng)態(tài)度量和身份認(rèn)證機(jī)制；以典型工業(yè)網(wǎng)絡(luò)等關(guān)鍵基礎(chǔ)設(shè)施為安全防護(hù)對象，將主機(jī)身份鑒別、網(wǎng)絡(luò)設(shè)備安全接入、用戶認(rèn)證、傳輸加密、密鑰管理和數(shù)字認(rèn)證等技術(shù)作為支撐，在商密工業(yè)防火墻、終端安全防護(hù)系統(tǒng)、工業(yè)網(wǎng)絡(luò)安全智能監(jiān)測系統(tǒng)、工控漏洞掃描系統(tǒng)、VPN 安全網(wǎng)關(guān)等網(wǎng)絡(luò)安全防護(hù)產(chǎn)品的基礎(chǔ)上，以工業(yè)網(wǎng)絡(luò)安全態(tài)勢分析和管理系統(tǒng)為集中呈現(xiàn)和協(xié)同平臺，配合密鑰管理、密碼服務(wù)等，最終實(shí)現(xiàn)基于國產(chǎn)商用密碼和策略協(xié)同的工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)和防護(hù)系統(tǒng) 。

目前，已經(jīng)面向電力、石油、化工等重要能源領(lǐng)域，深入推進(jìn)國產(chǎn)商用密碼與工業(yè)控制網(wǎng)絡(luò)系統(tǒng)深度融合，形成了覆蓋密碼保障、多層防護(hù)、綜合管控等多個(gè)維度的安全保障能力和整體解決方案，引領(lǐng)國產(chǎn)商用密碼技術(shù)在工業(yè)控制網(wǎng)絡(luò)中的應(yīng)用，建立以國產(chǎn)商用密碼為基準(zhǔn)、策略協(xié)同為機(jī)制的工業(yè)網(wǎng)絡(luò)安全防護(hù)體系。

5

結(jié)　語

本文從總體上論述了基于商用密碼和策略協(xié)同的工業(yè)控制網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)框架，并詳細(xì)闡述了基于商密與策略協(xié)同構(gòu)建工業(yè)控制網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)、多層級一體化管控技術(shù)相關(guān)的理論方法。然而，上述研究更注重整體上的體系研究，與具體行業(yè)工控網(wǎng)絡(luò)典型業(yè)務(wù)的結(jié)合度還不夠深入，未能抽象出具有典型行業(yè)適應(yīng)性的安全策略協(xié)同算法或方案。

未來，將基于本文提出的工業(yè)網(wǎng)絡(luò)縱深安全防護(hù)技術(shù)框架，與具體行業(yè)深度結(jié)合，進(jìn)一步研究商用密碼、策略協(xié)同等技術(shù)在重點(diǎn)行業(yè)的適配與融合，并推進(jìn)相關(guān)技術(shù)在典型工控網(wǎng)絡(luò)中的廣泛應(yīng)用與推廣。

來源：選自《信息安全與通信保密》2023年第9期