工业控制系统安全在过去几年里,从一个小众技术话题变成了许多企业必须面对的现实问题。随着制造业数字化转型的推进,越来越多的工控系统从封闭的专用网络走向了互联互通,OT与IT的融合带来了效率提升,也带来了安全风险。工控系统的安全防护和传统IT安全有很大差异,不能简单套用现有的安全方法论。今天从建设工控网络安全防护体系的角度,聊聊需要关注的重点。

一、工控安全为什么和IT安全不一样

很多初次接触工控安全的人会有一个疑问:网络安全不就是那套东西吗,防火墙、杀毒软件、入侵检测,用在工控系统上应该也差不多吧?答案是否定的。工控系统和IT系统在三个核心维度上有本质差异。

可用性的优先级不同。IT系统中,数据保密性通常是首要位的;但在工控系统中,可用性是绝对优先的。生产线的控制系统如果宕机一分钟,可能造成几十万甚至上百万的经济损失。安全措施的部署不能以牺牲生产连续性为代价。

系统更新的节奏完全不同。IT系统的安全补丁可以按月甚至按周打,但工控系统的更新周期往往以年为单位。PLC、DCS等控制设备的固件升级需要停产检修期间才能进行,而且必须经过严格的兼容性测试。

通信协议的差异也很大。工控系统使用Modbus、PROFINET、EtherCAT等专用协议,这些协议在设计之初很少考虑安全因素,大部分没有认证和加密机制。传统的IT安全设备也难以直接分析和处理这些协议。

理解了这三个差异,才对工控安全的挑战有真实的感受。工控安全防护体系的设计必须基于工控系统的实际特点来展开。

二、工控安全防护的分层模型

参考ISA-99/IEC 62443等国际标准,工控安全防护通常采用纵深防御和分区分域的设计思路。

制造执行层是工控系统的最底层,包括PLC、RTU、DCS控制器、传感器和执行器等。这一层的安全策略以"最小干预"为原则,主要依靠物理隔离和访问控制来保护,尽量减少对控制器的直接操作。

过程监控层包括工程师站、操作员站、历史数据库等。这一层是工控系统安全防护的重点区域,需要部署主机安全防护、应用白名单、操作审计等措施。还要严格管理对控制器的组态和参数修改操作。

企业层包括MES、ERP等生产管理系统,与办公网络有数据交换。这一层是工控系统与外部网络连接的边界,需要部署工控防火墙、入侵检测系统、安全网关等设备,实现严格的边界控制。

每一层之间的数据流动受到控制,通过工控防火墙设置精细化的访问控制策略。不同安全域之间采用单向隔离或受控双向通信,防止安全事件在不同层级之间扩散。

三、工控主机的安全防护

工控系统中的操作站和工程师站,运行的是Windows系统或专用控制系统,但这些主机往往长期不打补丁、不更新软件,安全防护处于比较弱的状态。

应用白名单是比较适合工控场景的安全技术。传统的杀毒软件依赖病毒特征库更新,但工控系统的网络往往离线或有限连通,病毒库更新困难。应用白名单只允许经过授权的程序运行,不在白名单中的程序自动阻止执行。这种方式不依赖病毒库更新,比较适合工控系统的实际情况。

USB设备管理也是工控主机的常见问题。工程师经常需要通过U盘传递程序、上传下载组态文件,这些U盘可能在不同安全级别的系统之间交叉使用,成为病毒传播的载体。建议对工控主机的USB接口进行管控,使用的U盘进行病毒查杀和权限控制。

主机加固也很有必要。关闭不需要的系统服务、删除不必要的应用程序、设置强密码策略、启用安全审计日志,这些都是基础的加固措施。操作系统的加固可以在不影响业务运行的前提下明显提升安全性。

四、工控网络的流量监测

工控网络的流量特征和IT网络不同,传统的IT安全监控设备在工控环境中的效果有限。专用的工控网络流量监测设备需要具备工控协议深度解析的能力,能够理解Modbus、PROFINET等协议的语义。

工控网络流量监测的核心价值在于建立基线。在系统正常运行期间,通过流量监测设备学习网络的正常流量模式:哪些设备之间通信、使用什么协议、数据包的频率和大小是怎样的。基线建立起来之后,任何偏离基线的异常行为都可以被及时发现。

异常流量告警的场景包括:从未出现的设备突然接入网络、某个控制器在非工作时间频繁发送数据、异常的协议指令序列。这些异常行为可能预示着安全事件正在发生。

工控网络的流量监测设备部署方式要非常谨慎。工控网络对延迟非常敏感,串联方式的部署可能增加网络延迟影响生产。通常采用旁路监听的方式,不直接参与数据转发,只对口流量进行分析。

五、工控安全管理制度建设

技术手段只是工控安全防护的一部分,管理制度跟不上,技术措施的效果也会大打折扣。

工控安全管理制度需要明确几个关键内容。系统资产清单是基础,管理范围内的所有工控设备、网络设备、主机和应用系统,形成完整的资产清单,标注设备的型号、固件版本、所在位置和安全等级。变更管理制度也很重要,工控系统的任何变更,包括控制器程序的修改、网络配置的调整、系统参数的变更,都需要经过审批和实施验证。

第三方运维的管理同样需要规范。工控系统涉及设备厂商、集成商、软件供应商等多个外部单位,这些外部人员访问工控系统时的安全管理要有明确的流程。在外部人员进入工控区域前进行安全告知,操作过程全程陪同和记录。

应急预案和演练也是管理制度的重要组成部分。工控安全事件发生时的响应流程、决策机制、恢复方案应该提前制定,并定期进行演练。工控系统的恢复演练比IT系统更复杂,因为涉及生产设备的操作,需要在停产检修期间进行。

写在最后

工控网络安全防护体系的建设,需要同时从技术和管理两个维度推进。技术层面做好分区分域、主机防护、流量监测,管理层面建立完善的制度流程。工控安全的难点在于,要保证生产连续性的前提下,逐步提升安全防护水平。每走一步都需要谨慎,但每一步都值得认真走下去。