一种符合工控系统“四高”特性的安全防御体系设计

​1.​​工业控制网络的四高特殊安全需求

工业控制网络（后简称工控网络）不同于普通信息网络 ，其核心任务是种符保障生产操作指令运行畅通、持续有效，合工并在确保生产指令、控系生产要素
、统特体系生产活动得以依托网络快速展开 ，安全在生产链路的防御全时贯通、操作信息的设计全时受控 、生产系统的四高连续运行、控制体系的种符安全可靠等方面有着很高的要求。云计算这些特征导致工业控制网络的合工安全防护体系设计有其特殊性 。现阶段主要是控系采取把传统IT安全保护技术迁移到工控网络的方法 ，但这并不能很好地满足工控信息体系安全需求 。统特体系其特殊性主要体现在以下3个方面
：

一是安全安全防御以生产业务优先作为首要原则
。在信息网络的防御安全保护中，主要关注的是对网络中业务数据的安全防护，着重保证数据的保密性 、模板下载完整性与可用性。而在工控网络中，网络的可用性是需要优先保障的 ，生产业务要求不间断运行 ，运行过程中很难对安全设备进行更新换代，也不能像信息网络那样可以晚间中止服务数个小时来更新版本 、补丁或安全控制措施。

二是安全弹性是工控网络的基本要求。与普通信息网络强调“共享性”不同 ，工控网络要求具有高弹性安全能力（Cyber Resilience） ，香港云服务器也叫高鲁棒性安全能力 ，其网络信息体系设计和安全防御架构，必须考虑从各类网络攻击事件中“迅速恢复”能力 。如何确保生产活动在遭受网络攻击时 ，工控网络系统能够抵挡攻击入侵并快速从攻击损坏中恢复，自动适应生产环境并保持其业务正常运转能力，是非常重要的。

三是安全措施不能影响工控网络的“四高”属性。工控网络的四高属性 ：高可用性
，与普通信息网络强调保密性不同 ，工控网络强调可用性；高确定性
，服务器租用工控网络对通信时延、抖动要求远高于普通信息网络；高可靠性，工控网络要求尽可能短的通信中断 、尽可能低的丢包率、对报文时序错乱天生比较敏感；高融合性 ，这是当代工控网络出现的新趋势 ，工控网络不再是单纯的OT网络，而是OT、IT、源码下载IoT高度混杂融合的网络。

基于工控网络特殊安全属性，其安全防御需求至少包括以下3个方面 ：​

一是网络环境的可信性，主要是指整个网络环境必须是确定清晰且可信任的 ，至少涵盖网络边界、网络设备和网络交互的可信性等三个方面。网络边界可信是指所有网络边界都是清晰可描述的源码库，包括终端设备的接入、终端设备上的外设接口、边界隔离交换设备配置策略等；设备可信是指所有接入网络的设备都是明确无遗漏的，所有终端设备的使用与变更要做到实时监控；网络交互可信是指网络中各个终端设备之间的交互行为是清晰可信的，包括网络交互的参与方、采用的通信协议、执行的操作行为等 。

二是网络状态的可知性，主要是指对于网络当前运行的总体状态明确可知，能够及时感知其中正在发生或可能发生的安全事件，提前发现网络异常情况或正在发生的攻击活动，提升网络异常行为发现感知能力，至少涵盖设备接入、网络交互和安全事件的可知性等三个方面 
。

设备接入可知是指各类终端设备接入网络的情况是实时可知的，包括设备数量 、类型、终端属性信息等；交互活动可知是指网络内各个终端设备之间的交互情况是实时可知的 ，包括当前活动连接分布情况、网络流量内容情况等；网络行为事件可知是指网络中出现的异常流量现象或异常网络行为是实时可知的，包括可疑终端设备接入、违规外联、恶意提权操作等 。

三是网络运行的可控性 ，主要是指网络能够在运行过程中随着网络环境的变化及时调整威胁检测规则，在网络内发现异常活动或攻击行为时能够随即采取措施，阻断其攻击活动 ，控制其危害范围，保证相关生产业务系统的安全平稳运行，至少需要涵盖分布性
、适应性和可恢复性等三个方面内容
。

控制的分布性是指网络中的安全控制点或监测设备分散在网络各个角落；控制的适应性是指能够随着网络环境的变化动态调整其威胁检测能力，确保对外部安全威胁和内部异常行为的检测效率与准确性；控制的自恢复性是指网络在发现内部异常活动或外部攻击行为后 ，能够及时采取反制措施，自行恢复网络运转。

2.​高安全工控网络防御体系设计思路

高安全性工控网络
 ，绝对不是简单地将普通信息网络安全保护技术迁移到工控网络 ，也不是将普通信息网络安全保护的“三大件”部署在工控网络，形成“安全孤岛”或“数字堡垒”
。高安全性工控网络构建思路分为全新重构高安全性工控网络和持续加固现有工控网络 。

全新重构高安全性工控网络，主要有以下2个设计思路：

一是创新网络体系结构 ，基于下一代互联网技术建立具备自认证特征的基础安全网络，解决现有网络在互联互通与安全可控之间的对立矛盾，改变当前以行政管理手段解决基础架构安全问题的尴尬局面，为工控网络安全防御体系构造打下坚实技术根基；

二是建立动态信任体系  ，将传统网络安全技术与"可信计算"技术结合起来 ，改变传统安全体系"防外重于防内"却"防不胜防"的不利现状，根据不同任务场景的不同安全需求 ，以终端的安全可信为源头 、作为信任根 ，从终端到网络、到应用 、到服务
、到数据，基于主体属性与客体保护等级之间的安全度量，建立动态信任信任链，最终建立起覆盖整个工控网络的可信网络连接 ，从而提供对工控网络环境更加完善的安全控制与安全保障。

持续加固现有工控网络，主要有以下2个设计思路：

一是建立和持续优化纵深防御机制，将网络安全能力部署到工控基础设施与信息系统的“每一个角落”，力求最大化覆盖构成工控网络的各个组成实体
，实现工控网络与安全防护措施“深度融合 、纵深覆盖”的纵深防御能力；

二是部署网络主动防御能力
，建立威胁情报和人工智能引导的网络安全态势感知与安全控制体系，持续检测网络安全风险
，准确感知网络攻击特征，及时阻断网络攻击活动
，完善改进网络防护措施。哪怕是遭受物理攻击
，也能确保核心业务数据不被窃取 ，重要生产活动不被干扰，并能表现出充分的业务安全弹性与自主恢复能力 。

3.​全新重构高安全性工控网络关键路径

高安全性工控网络以统一安全基底为基础、以安全因需赋能为核心、以智能安全管理为保障，在安全态势感知 、威胁检测预警
、防御能力部署机制的支撑下，形成“监测-决策-响应-防御”的动态防御体系，实现基于态势变化和安全需求的网络信息系统安全防御 。

其关键技术途径主要包括：内生安全的基础网络 、安全可信终端 、动态信任机制，其中 ：具备内生安全的基础网络是整个工控网络防御的基石；动态信任体制是工控网络防御的关口 ，既不能让“坏人”进来 ，又要把“好人”放进来 ，而且“好”与“坏”并非一成不变，而是要持续度量持续评估；安全可信终端是工控网络防御的支点，终端是所有安全策略与信任关系的执行点，是所有安全措施与访问控制的落脚点，是所有安全防御活动实际效果体现的环节。

内生安全基础网络：当前基础的工控网络，包括普通信息网络
，都不具备地址真实性鉴别的内生机制
。针对此问题
，IETF提出的HIP协议思路，在网络层和传输层之间插入主机标识层，IP地址只作为网络层所使用的定位标识符，实现数据报的路由转发，主机标识符 HI(Host Identity)提供主机身份标识功能 ，由传输层使用 。双方在通信时，IP地址的变化对传输层透明，从而保证在发生移动或地址变化时，通信不中断可以持续进行，并且通信对端可以根据主机标识 HI确定移动节点身份。

安全可信终端：目前工控网络中的各类终端设备，其软硬件体系结构大多是Wintel架构，其终端安全管控系统只能通过"打补丁、堵漏洞、建盾墙"等外挂方式，为终端系统运行提供安全防护能力，其防护效果往往是防不胜防 。有人提出借助当前国产化替代的契机
，采用虚拟化技术来实现可信终端。

动态信任机制：静态信任机制先构建基础的信任根，然后从信任根开始到硬件平台、操作系统、应用程序 ，一层认证一层，一层信任一层 ，把这种信任扩展到整个工控网络，从而确保整个工控网络的可信性。工业互联网将封闭的工控网络系统打开 ，更加强调大规模业务资源共享与广域业务流程协作，更加强调扁平化控制与分步式协同联动，静态信任机制已经不适用于当前及未来工控网络。

基于“零信任”理念的动态信任机制 ，是参考了人类社会中的信任关系而提出的用于解决分布式网络的信任管理模型 。动态信任管理模型认为信任关系随时间变化而变化 ，需要实时在线对信任关系进行评估；认为不同任务场景下网络主体与客体之间的信任关系，需要根据主体身份属性与客体受保护等级的不同而精确度量分析，进行细粒度权限控制和特定时空范围的检测审计；认为信任关系可以传播，可以沿着业务网络中具备可信连接路径的关系路线进行传播，解决不同安全域之间身份标识按需安全互认问题；认为信任关系的构建主要依靠相当长有效时间的安全交互行为，真正管用好用的可信管理策略需要从海量通信实体交互日志中挖掘生成，人为行政管理手段只是辅助。

4.持续安全加固现有工控网络关键路径

在实现高安全工控网络的时候 ，我们不得不面对一个现实 ，那就是当前存在超大规模的正在服役的工控网络系统，如何确保它的网络信息安全？

一是建立和持续优化纵深防御机制 。纵深防御是攻防对抗中消耗对方资源的最有效的方法。从网络空间安全的角度来看
，可以从物理层、技术层和管理层分别建立纵深防御体系。如下图所示 ：

物理层纵深防御又可分为物理层 、技术层和管理层 。物理层有可视性、CPTED等安全考虑和措施指标；技术层措施包括电子门禁、物理入侵检测、CCTV 、报警系统等指标；管理层面会有场地管理、人员管理
 、应急演练等指标 。

技术层纵深防御至少包括网络、主机/设备、应用 、数据等四层防线。如下图所示
：

网络层按协议纵向层次防御 ，在OSI模型7个层次都可以采取相应的安全措施 ，比如物理层的防窃听
、链路层的防ARP欺骗 
、网络层的IPsec 、传输层的TLS等，应用层的识别控制等。网络层按照逻辑区域防御，从外至内看，DMZ区可以有防火墙  、VPN
、WAF
、IDS、APT防护
、蜜罐等防控措施
，在内网区域 ，有防火墙和网络分区 ，有VLAN隔离、网络准入、网络DLP、内网蜜罐 、SIEM
、虚拟桌面等等内容，在内网的核心区域 ，保存着重要业务的数据库。

应用层可从代码层、服务层和业务层来防御 ，代码层是最基础，对应的安全方法有安全编码规范 、代码走查、代码扫描、代码审计等等；服务层  ，有认证、授权、日志、加密、哈希 、签名等等技术措施；业务层，可以做更多的安全措施，会根据用户的行为和特征做相应的安全防范 。

管理层纵深防御从组织保障 、安全规划、管理制度到人的安全意识逐层递进。在组织保障层面，要建立起安全组织架构、人员配备 、岗位职责、协调机制等；在安全规划层面
，要制定安全方针、目标、愿景  、策略并注重跟踪落实；在管理制度层面，要定义一系列工作的规章和流程，如安全需求管理 、漏洞管理、应急管理、事件管理
 、变更管理、配置管理等规章制度。

最终在人的安全意识层面上
，本质上是要防范和规避人性的缺陷。为防范因人的疏忽而导致的误操作，会采用变更管理
、方案审核、双人复核等措施；为防范人的懒惰 ，会采用考勤
、巡检、抽查、督办、审计等措施；为防范人的贪婪，会采用最小特权、职责分离、多人控制  、知识分离、特权管理等手段；为防范或威慑可能的作案者，会采用岗位轮换 、强制休假、离任审计等手段；为防范人的安全防范意识薄弱，需要对他们进行不断的培训、教育、宣传  、警示 。信息安全意识培训最重要的是提高警惕性
，尤其是提高对社工类型攻击的识别和防范能力。最后，建立安全问责机制也很重要，要对所有因不履行流程 、不尽职 、甚至是故意违反制度 
，尤其是引起不良后果的人和事都要问责
。

为正在运行服役的工控网络系统部署纵深防御能力，也可以考虑从物理层面、技术层面和管理层面来实施。这里仅描述技术层面的纵深防御体系。

为工控网络系统实施纵深防御的核心思想：垂直分层
 、水平分区；边界控制、内部监测；态势感知 、集中管理 。如下图所示，为工控系统和网络提供五道防线：

第1道防线 ：部署工业网闸或工业防火墙实现IT与OT网络隔离与访问控制；

第2道防线：部署工业防火墙实现操作层与监控层网络隔离与访问控制；

第3道防线：部署工业卫士实现上位机加固、恶意代码防护；

第4道防线
 ：部署工业网络入侵防御系统或工业防火墙抵御上位机与控制器之间的双向入侵攻击；

第5道防线
：部署现场总线防火墙抵御来自现场总线网络的入侵攻击 。

如上图所示，有时候我们容易将工业网络入侵审计系统、工业安全管理平台、厂站工业态势感知平台三个系统在纵深防御体系中的价值定位混淆。

旁路部署在工业交换机的工业网络入侵审计系统
，属于安全监测类系统 ，它的视野也仅仅是工业交换机所能够连接的网络区域，要想搞清楚工业网络入侵审计系统应该提供哪些安全功能，应该以什么样的交互方式提供这些安全功能，那么我们可以观察一下这个网络区域的OT工程师他们是如何监测生产业务的，具有如下特点：

工控装置为监测单元 ，一台显示器的一个画面监测此装置的相关指标数据是否存在异常；在线监测，线下处置；监控画面多为形象化 、指标化 。

因此工业网络入侵审计系统不需要太多的统计分析图表，而是重点提供经过去重、关联、排序后的安全事件实时监测画面即可 ，当然还需要提供安全事件留存证据查询与调取的操作界面。

工业安全管理平台针对整个工控网络或工控网络某区域从安全设备、网络结构 、安全策略、安全事件四个方面进行统一管理。因此工业安全管理平台的管理视野可以小到一台工业交换机的网络范围 ，大到整个工厂的工控网络。

二是部署主动防御能力 。工业网络入侵审计系统是针对安全事件的实时监测，但往往视野仅仅局限在某个工业交换机网络范围
，如果希望了解整个工厂的工控网络，甚至是工厂IT网络的安全状况，则需要一个能够监测到更大范围的工具，这个工具就是上图中的厂站工业态势感知平台。

在工厂范围来说
，更关心的是发生了什么，是否被网络入侵
、感染病毒了 ，因此厂站工业态势感知平台侧重于基于XDR思想 ，借助人工智能 、大数据分析等技术
，实现整个工厂的工控网络和信息网络的关联威胁检测和威胁处置 ，从而具备主动防御能力 ：持续检测网络安全威胁、准确感知网络安全风险 、及时阻断网络攻击活动、完善改进网络防护措施。​