近日，國內(nèi)科技學術(shù)期刊《工業(yè)信息安全》雜志刊發(fā)了優(yōu)秀論文《基于“零信任“的工控系統(tǒng)安全關鍵技術(shù)探討》。論文全面闡述了工控安全領域的“零信任”關鍵技術(shù)，為“零信任”工控安全領域的實施提供參考。

以下為論文內(nèi)容 ：

摘要

工控系統(tǒng)廣泛應用于關鍵基礎設施，如電力、能源、交通、智能制造等涉及國計民生的關鍵領域，一旦工控系統(tǒng)受到惡意入侵或攻擊，將造成嚴重后果，嚴重威脅國家安全。因此近年來工控系統(tǒng)安全問題越來越受到相關主管部門和企業(yè)的重視，關于工控安全的技術(shù)研究也越來越廣泛深入。本文基于在IT安全領域已經(jīng)得到驗證和應用的“持續(xù)驗證，永不信任”的零信任安全理念，從工控安全系統(tǒng)集中管理、用戶身份認證、工控資產(chǎn)接入控制、終端安全防護技術(shù)、工控指令訪問控制、工控行為訪問控制、USB外設接入控制、工控安全態(tài)勢分析等維度，全面闡述了工控安全領域的“零信任”關鍵技術(shù)，為“零信任”理念在工控安全領域的實施提供參考。

關鍵詞

零信任;工控系統(tǒng)安全;關鍵信息基礎設施

前言

2010年，著名研究機構(gòu)Forrester首席分析師約翰·金德瓦格(John Kindervag)首次提出了零信任安全的概念[1]，即所有的網(wǎng)絡流量和網(wǎng)絡訪問都是不可信的，對任何的訪問請求都需要進行安全驗證和授權(quán)?！傲阈湃巍备拍畹奶岢?，是對傳統(tǒng)的以安全域劃分、安全域隔離為基礎的網(wǎng)絡安全防御理念的顛覆[2]。在傳統(tǒng)的網(wǎng)絡安全防御方案中，通常會把網(wǎng)絡劃分為不同的安全域，例如外網(wǎng)和內(nèi)網(wǎng)，并在不同的安全域之間部署網(wǎng)絡安全防護設備(例如，防火墻)實施安全域隔離。采用上述網(wǎng)絡安全防御措施后，一般就會認為內(nèi)網(wǎng)的流量和用戶訪問都是安全的，外網(wǎng)的流量或用戶如果需要訪問內(nèi)網(wǎng)資源，則需要進行安全驗證和訪問控制。零信任則認為對網(wǎng)絡資源的訪問始終是“不可信的”，不默認任何訪問是安全的，從而不對任何訪問進行隱私授權(quán)，而是需要持續(xù)驗證網(wǎng)絡訪問的安全性。

工控網(wǎng)絡根據(jù)部署的位置和功能劃分，通常劃分為辦公網(wǎng)和生產(chǎn)網(wǎng)兩個不同的安全管理域，辦公網(wǎng)和生產(chǎn)網(wǎng)之間通常會安裝有工業(yè)防火墻設備，進行網(wǎng)絡安全隔離。其中生產(chǎn)網(wǎng)相對封閉，其網(wǎng)絡訪問流量主要是以工控網(wǎng)絡流量為主，是屬于傳統(tǒng)的“可信任”網(wǎng)絡。但是隨著現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型和兩化融合的推進，工業(yè)控制網(wǎng)絡也正在向網(wǎng)絡化、智能化和數(shù)字化方向發(fā)展，傳統(tǒng)工控網(wǎng)絡的生產(chǎn)網(wǎng)和辦公網(wǎng)之間的邊界也逐漸模糊，再加上生產(chǎn)網(wǎng)絡中一些人為操作引入的不安全因素，生產(chǎn)網(wǎng)遭受外來攻擊的風險日益加大，生產(chǎn)網(wǎng)絡中資源訪問的“可信任”性逐漸減弱。因此，傳統(tǒng)的基于生產(chǎn)網(wǎng)和辦公網(wǎng)隔離的安全的理念和策略也應該逐漸被“零信任”的安全理念所取代。本文基于“零信任”的核心理念，從用戶認證、集中安全管理、資產(chǎn)接入認證、終端安全防護、工控流量審查、USB存儲設備使用管控、工控網(wǎng)絡安全態(tài)勢分析等角度探討工控網(wǎng)絡中實施“零信任”的關鍵技術(shù)點。

01、零信任工控網(wǎng)絡安全架構(gòu)

零信任的網(wǎng)絡架構(gòu)是一種端到端的網(wǎng)絡安全框架和機制[3]，其核心是對訪問主體進行身份識別和認證。對于工控網(wǎng)絡而言，用戶的身份、工控設備、工控網(wǎng)絡流量、外部設備等的安全性，是影響工控網(wǎng)絡安全的關鍵因素。因此構(gòu)建以身份識別為核心，包含用戶身份識別和認證、網(wǎng)絡設備接入控制、網(wǎng)絡行為安全檢測、用戶操作安全保障等核心功能的網(wǎng)絡安全體系，是基于零信任的工控網(wǎng)絡安全架構(gòu)設計和部署的關鍵。

圖 1 基于零信任的工控網(wǎng)絡安全架構(gòu)

如圖 1所示，基于零信任的工控網(wǎng)絡安全架構(gòu)中，通過集中管理平臺實現(xiàn)控制平面和數(shù)據(jù)平面分離，控制平面主要由工控安全集中管理平臺實現(xiàn)統(tǒng)一安全策略管理、安全狀態(tài)監(jiān)測。數(shù)據(jù)平面主要實現(xiàn)工控安全控制能力，包括工控流量檢測控制、工業(yè)終端的安全防護、外部設備設訪問控制三大類。工控資產(chǎn)識別認證和用戶身份認證構(gòu)成了“零信任”工控安全網(wǎng)絡的基礎。安全分析平臺主要是對工控網(wǎng)絡安全狀態(tài)、趨勢等進行綜合分析，分析結(jié)果可以作為工控安全集中管理平臺進行安全管理的依據(jù)。

基于零信任的工控網(wǎng)絡安全架構(gòu)中，關鍵技術(shù)包括工控安全集中管理、用戶身份認證、資產(chǎn)接入控制、終端安全防護、工控網(wǎng)絡流量檢測和控制、USB存儲等外設接入控制、工控網(wǎng)絡安全態(tài)勢分析等。

02、集中安全管理

工業(yè)企業(yè)的生產(chǎn)系統(tǒng)大多分布式部署，表現(xiàn)為異地分布的生產(chǎn)工廠、生產(chǎn)車間等形式。對這些分布式部署的工業(yè)生產(chǎn)設備進行安全防護，需要進行統(tǒng)一的安全管理規(guī)劃，制定統(tǒng)一的安全防護策略，同時在某一個區(qū)域的設備遭受攻擊時，能夠及時上報到集中安全管理中心，便于對其他未遭受攻擊的區(qū)域提前實施更高級別的安全防護，避免攻擊范圍擴大，減少由此造成的損失。

集中安全管理功能主要實現(xiàn)系統(tǒng)安全策略的統(tǒng)一配置管理、安全事件的統(tǒng)一處理。從技術(shù)實現(xiàn)上，首先要求基于零信任的工控安全系統(tǒng)采用管理面和業(yè)務面分離的網(wǎng)絡架構(gòu)，提供單獨的安全配置管理通信通路，保障在業(yè)務系統(tǒng)異常時，管理策略能夠正常下達，業(yè)務安全告警信息能夠正常上報。其次，對于能夠登錄集中安全管理系統(tǒng)，進行系統(tǒng)安全策略配置的管理員權(quán)限要進行嚴格的身份認證，可采用用戶名+密碼、指紋認證的雙因子認證方案，防止用戶仿冒。最后，集中安全管理系統(tǒng)要采集并分析各個分布式區(qū)域上報的安全事件，對工控系統(tǒng)整體的安全形勢進行綜合研判，形成安全態(tài)勢報告，及時發(fā)現(xiàn)潛在的安全風險并預警，為制定和完善精細化的安全策略提供依據(jù)。

03、用戶身份認證

“零信任”理念強調(diào)要進行強身份驗證，要求對工業(yè)控制系統(tǒng)中所有用戶進行強身份驗證，確保只有經(jīng)過授權(quán)的用戶可以獲得訪問權(quán)限。在工控網(wǎng)絡中，用戶身份認證技術(shù)可以應用在多個系統(tǒng)上，尤其是工控管理終端設備上，例如工程師站、SCADA等。

最常見的用戶身份認證技術(shù)為“用戶名+密碼+驗證碼”;安全性更高的身份認證技術(shù)為“用戶名+密碼+Ukey”，這兩種認證技術(shù)能夠解決系統(tǒng)“用戶”訪問合法性問題，但是解決不了系統(tǒng)“用戶”與真“人”不一致的問題。在工業(yè)場景下，安全生產(chǎn)需要責任到具體真實的“人”，而不僅僅是真實的“用戶”，所以需要采用更加嚴格的認證技術(shù)，做到“用戶”和“人”合一?？梢圆捎萌说纳镄畔⒄J證+系統(tǒng)用戶認證技術(shù)，在用戶登錄系統(tǒng)時，除了要通過用戶名、密碼外，還要通過生物信息采集設備(例如指紋采集器)，進行生物信息比對。只有用戶名、密碼認證正確，同時用戶名對應的生物信息正確，才能驗證通過，生成用戶訪問授權(quán)信息[4]。在系統(tǒng)用戶試圖訪問系統(tǒng)資源時，必須保證有用戶訪問授權(quán)信息，才允許訪問，這樣不僅解決了現(xiàn)實世界的“人”的仿冒，也解決了網(wǎng)絡用戶的仿冒。

04、工控資產(chǎn)接入控制

工控資產(chǎn)是工業(yè)生產(chǎn)必需的設備，也是各類網(wǎng)絡攻擊的重點攻擊目標。一方面某些工業(yè)資產(chǎn)本身存在的漏洞，容易被黑客利用，實施網(wǎng)絡攻擊;另一方面，一些黑客設備可能會通過遠程方式接入工控網(wǎng)絡，竊取工控網(wǎng)絡數(shù)據(jù)或?qū)嵤┚W(wǎng)絡攻擊。因此需要對所有接入工控系統(tǒng)的設備進行識別、認證管理，建立工控系統(tǒng)資產(chǎn)信息庫，禁止未經(jīng)過認證的資產(chǎn)設備對工控系統(tǒng)中的資源進行任何操作，防止非法設備對工控資源的異常訪問。

工控資產(chǎn)識別，是對所有接入工控網(wǎng)絡的工業(yè)設備識別出設備類型、設備型號、生產(chǎn)廠家、MAC地址等工控資產(chǎn)身份信息。工控資產(chǎn)識別技術(shù)包括被動式識別技術(shù)和主動式識別技術(shù)兩類。被動式資產(chǎn)識別，是指從和待識別資產(chǎn)進行數(shù)據(jù)交互的網(wǎng)絡報文中，提取五元組及其它報文特征信息，根據(jù)報文特征分析出和待識別的資產(chǎn)進行交互的網(wǎng)絡和工控協(xié)議，從而判斷設備類型;還可以從網(wǎng)絡報文中提取一些關鍵特征字段，根據(jù)關鍵特征字段，可以進一步確認設備類型和廠商等設備身份信息。主動式資產(chǎn)識別，是指通過向待識別設備主動發(fā)送某些特定測試指令或測試報文，從待識別設備的響應信息中獲取設備型號、生產(chǎn)廠商等設備身份信息。資產(chǎn)管理系統(tǒng)可以內(nèi)置工控資產(chǎn)指紋庫，在資產(chǎn)識別過程中，通過把獲取的設備特征信息和工控資產(chǎn)指紋庫中的信息進行對比，可以更精準地識別資產(chǎn)。和對安全性要求較高的傳統(tǒng)的IT網(wǎng)絡相比，工控網(wǎng)絡(也稱“OT網(wǎng)絡”)更強調(diào)“高可用性”，要求網(wǎng)絡安全措施的實施不能影響正常的生產(chǎn)活動。因此，在實踐中，對于工控資產(chǎn)的識別主要是采用被動式識別技術(shù)，以減少對生產(chǎn)活動產(chǎn)生的影響，同時輔以主動識別模式，提升資產(chǎn)識別準確率。

識別出工控網(wǎng)絡中的設備資產(chǎn)后，經(jīng)過注冊、認證后形成有網(wǎng)絡訪問權(quán)限的工控資產(chǎn)列表，在工控資產(chǎn)列表中的設備可以訪問工控網(wǎng)絡資源。不在工控資產(chǎn)列表中的未知設備要接入工控網(wǎng)絡時，需要經(jīng)過注冊、認證，在系統(tǒng)確認該設備的合法性后，方可接入系統(tǒng)，并且該認證是一次性認證，設備再次接入系統(tǒng)需要重新驗證。沒有通過注冊驗證的設備，不能對工控系統(tǒng)做任何操作。已經(jīng)注冊過的設備，長時間下線后，再次上線，也需要重新進行注冊、驗證。通過上述工控資產(chǎn)的接入控制，可以防止資產(chǎn)非法接入和訪問系統(tǒng)資源。

05、終端安全防護

在工控網(wǎng)絡中，存在大量的應用客戶端、工程師站、SCADA設備等終端設備。一方面，這些設備會直接向工業(yè)生產(chǎn)設備下發(fā)生產(chǎn)指令，如果這些設備被攻擊或者感染病毒，將會帶來災難性的后果;另一方面，這是設備是工業(yè)生產(chǎn)操作人員執(zhí)行各類生產(chǎn)指令的入口，未經(jīng)授權(quán)的人工操作，可能會對工業(yè)生產(chǎn)過程造成破壞。因此需要加強對這些設備的安全防護。

為了保障工控終端安全，需要在工控終端上安裝安全防護程序，為了減少對工業(yè)生產(chǎn)活動的影響，工控終端安全防護需要采用“白名單”技術(shù)，把工控終端上需要重點保護的應用程序、腳本、數(shù)據(jù)文件等加入白名單中進行重點保護，只有特定的主體才能訪問和操作這些重點保護的對象，防止應用程序、腳本、文件或數(shù)據(jù)等被異常執(zhí)行或篡改?！鞍酌麊巍奔夹g(shù)原理是提取一個工控終端設備正常運行時所需要的所有應用程序、腳本、數(shù)據(jù)文件等原始文件，基于這些原始文件內(nèi)容，采用MD5信息摘要算法，產(chǎn)生出一個128位(16字節(jié))的散列值，即MD5值，以MD5值作為文件特征，形成“白名單”文件庫。通過對“白名單”文件庫中的文件讀寫進行控制，可以防御最常見的勒索病毒攻擊，避免工業(yè)企業(yè)遭受經(jīng)濟損失。

終端安全防護程序自身需要具備強大的用戶訪問認證能力，可采用雙因子認證登錄認證，即同時采用用戶名+密碼和生物信息認證的門禁式登錄認證方案，防止用戶信息盜用或用戶仿冒，保證安全責任到人，減少人為因素導致的安全隱患。

06、基于工控指令的訪問控制

基于工控指令的訪問控制是指通過對工控流量報文進行深度分析和識別，建立工業(yè)指令級別的訪問控制策略，從而識別和過濾異常攻擊指令對工業(yè)生產(chǎn)過程的破壞?；诠た刂噶畹脑L問控制技術(shù)包括工控協(xié)議訪問控制、工業(yè)指令訪問控制和工控指令操作數(shù)訪問控制三個由粗到細的訪問控制技術(shù)。

在傳統(tǒng)的IT網(wǎng)絡中，采用深度報文檢測技術(shù)(DPI)識別IT網(wǎng)絡中的各類互聯(lián)網(wǎng)應用。在工控網(wǎng)絡中，也可以采用深度報文檢測技術(shù)識別工控網(wǎng)絡中的工控協(xié)議，通過制定各類基于工控協(xié)議的訪問控制策略對異常攻擊流量進行過濾。但是，在工控網(wǎng)絡中，對工業(yè)生產(chǎn)造成嚴重危害的除異常工控協(xié)議流量外，更多的是正常工控協(xié)議流量中攜帶的異常控制指令和控制參數(shù)。因此，在識別工控網(wǎng)絡流量的工控協(xié)議后，還需要進一步識別出工控網(wǎng)絡流量報文中攜帶的工控指令和控制參數(shù)。例如，識別出工控流量是Modbus工控協(xié)議流量后，還需要識別出每條Modbus報文中的功能碼(例如，讀取線圈狀態(tài)、讀取保持寄存器、預置單寄存器、預置多寄存器等)以及該功能碼對應的操作數(shù)值?；谝陨瞎た貐f(xié)議識別技術(shù)和識別能力，制定基于工控指令級別的訪問控制策略對異常指令進行過濾，可以防止對工控設備的非法操作;在此基礎上還可以針對每個正常工控指令對應的操作數(shù)值定義控制策略，對超過正常操作值范圍的數(shù)據(jù)報文進行過濾，可以防止對工控設備的異?？刂?。

07、基于工控行為特征的訪問控制

基于工控行為特征的訪問控制是通過學習工業(yè)生產(chǎn)過程的周期性規(guī)律，固化一套正常的工控行為規(guī)則，以正常行為規(guī)則為模板，過濾超出正常行為規(guī)則以外的異常行為，防止對工控設備的異常訪問。

在傳統(tǒng)的IT網(wǎng)絡中，網(wǎng)絡流量反映的是人對網(wǎng)絡資源訪問的行為特征，而人的行為具有一定的隨機性，所以難以通過網(wǎng)絡流量特征判斷人的行為是否異常。和IT網(wǎng)絡流量不同，在工控網(wǎng)絡中，控制工業(yè)生產(chǎn)的工控指令一般是由PLC控制器自動發(fā)送的，由于工業(yè)生產(chǎn)過程具有一定的周期性且任何兩個周期內(nèi)的所有的操作應該嚴格一致，所以這些工控指令也具有一定的周期性規(guī)律。工控行為學習技術(shù)通過連續(xù)采集多個某個特定的工業(yè)生產(chǎn)周期中的所有工控報文，采用DPI深度報文識別技術(shù)識別出工控協(xié)議，基于工控協(xié)議進一步識別出工控網(wǎng)絡流量報文中攜帶的工控指令和控制參數(shù)，對多次采集的數(shù)據(jù)進行比對分析，找出工控指令下發(fā)的時間順序、時間間隔、工控協(xié)議、控制指令和控制參數(shù)等的出現(xiàn)規(guī)律，從而掌握一個正常的生產(chǎn)周期中所包含的所有報文及其特征，形成一條基于工控報文特征工控行為規(guī)則[5]，對不同生產(chǎn)過程重復上述分析過程，最終形成一個完整的工控行為特征規(guī)則庫。學習過程結(jié)束后，對后續(xù)生產(chǎn)過程中所有的工控報文特征都和工控行為規(guī)則中的規(guī)則進行比對，如果有不一致報文，立即進行告警或阻斷報文訪問工控設備，防止對工控設備的異常網(wǎng)絡訪問。

08、USB存儲設備接入控制

使用USB移動存儲設備進行文件的拷貝、轉(zhuǎn)移是工業(yè)生產(chǎn)中最常見的場景之一，而由于安全意識薄弱等原因，使用USB存儲設備帶來的安全風險往往容易被忽視，2010年，著名的“震網(wǎng)”病毒就是通過U盤傳播的。因此在工控網(wǎng)絡中對USB存儲設備的使用需要進行認證、授權(quán)，防止USB存儲設備濫用引入的網(wǎng)絡安全風險。

USB存儲設備接入管理需要通過專用的USB設備管理系統(tǒng)來實現(xiàn)，其目的是對未知的USB設備進行隔離，避免未知設備直接接入工控網(wǎng)絡中。USB設備管理系統(tǒng)的功能包括USB存儲設備識別、病毒查殺、設備授權(quán)、設備安全使用四個基本功能。首先，USB設備管理系統(tǒng)對接入工控系統(tǒng)的每一個USB設備識別，內(nèi)容包括USB設備類型、廠商、序列號、USB存儲設備容量、設備是否認證授權(quán)等基本信息。設備識別為USB存儲設備后，需要對設備進行病毒查殺，隔離或刪除病毒文件。已經(jīng)經(jīng)過病毒查殺的USB存儲設備，依然不能被工控系統(tǒng)直接使用，只有經(jīng)過系統(tǒng)管理員授權(quán)確認后，才能接入工控系統(tǒng)使用。已經(jīng)獲得授權(quán)的USB存儲設備，對其中的文件訪問采用最小權(quán)限原則進行訪問權(quán)限控制，可以對指定文件類型定義讀寫操作權(quán)限，防止異常的文件越權(quán)訪問?；凇坝啦恍湃巍痹瓌t，已經(jīng)授權(quán)的USB存儲設備下線后，再次插入系統(tǒng)，仍然需要進行病毒查殺，保證USB存儲設備安全可用。

09、工控網(wǎng)絡安全態(tài)勢分析

工控安全態(tài)勢分析通過實時采集工控安全網(wǎng)絡中各個安全設備產(chǎn)生的日志、告警數(shù)據(jù)以及各類網(wǎng)絡威脅情報信息，識別出系統(tǒng)中的安全威脅情況，同時，通過對海量安全數(shù)據(jù)的深度挖掘和機器學習的智能分析，綜合研判工控網(wǎng)絡安全趨勢及潛在安全風險。

圖2 工控網(wǎng)絡安全態(tài)勢分析技術(shù)

工控安全態(tài)勢分析的數(shù)據(jù)主要來源于各個工業(yè)安全設備的日志信息、安全風險事件信息等，可以通過專用的數(shù)據(jù)采集探針采集，也可以通過具備一定分析功能的流量審計和日志審計設備采集上報。對于采集到的海量數(shù)據(jù)，疊加內(nèi)置的各類安全威脅知識庫、安全規(guī)則庫等，采用大數(shù)據(jù)存儲及分析技術(shù)，建立大數(shù)據(jù)分析引擎，采用各類數(shù)據(jù)分析算法、機器學習算法以及基于特征、行為和時序的異常檢測算法，按照時間、空間、業(yè)務行為等多個維度對數(shù)據(jù)進行關聯(lián)分析，并根據(jù)安全事件特征規(guī)則，識別安全風險事件、安全威脅以及異常網(wǎng)絡行為。

通過工控安全態(tài)勢分析結(jié)果，可以幫助系統(tǒng)管理人員及時識別潛在的網(wǎng)絡風險，及時優(yōu)化網(wǎng)絡安全策略和各種安全配置，提升網(wǎng)絡安全防范能力。

總結(jié)

綜上所述，對于由工控設備、應用程序、網(wǎng)絡流量、外部設備、人為操作等核心要素構(gòu)成工控網(wǎng)絡系統(tǒng)，應用“零信任”原則，構(gòu)筑包括集中安全管理、用戶的認證和授權(quán)管理、工控資產(chǎn)識別和接入控制、終端安全防護、工控網(wǎng)絡流量分析和控制、USB存儲設備接入控制、工控安全態(tài)勢分析等能力的安全防護體系，確保只有經(jīng)過認證和授權(quán)的主體，才能對工控網(wǎng)絡資源進行訪問，是保障工控網(wǎng)絡安全的重要基石，也是“零信任”原則在工控網(wǎng)絡安全領域的應用。

參考文獻

[1] 算網(wǎng)融合產(chǎn)業(yè)及標準推進委員會.零信任技術(shù)和產(chǎn)業(yè)發(fā)展(2022 年)[R/OL]. (2022-12-15)[2023-1-15]: http://www.ccnis.org.cn/Assets/filewhtiepaper/lingxinrjscyfz.pdf.

[2] 余海，郭慶,房利國.零信任體系技術(shù)研究[J].通信技術(shù)，2020,20(8):2027-2028.

[3] 李歡歡，徐小云，王紅蕾.基于零信任的網(wǎng)絡安全模型架構(gòu)與應用研究.科技資訊,2021,19(17) : 8.

[4] 向人鵬.基于”零信任”的工業(yè)信息安全防護研究.2019 電力行業(yè)信息化年會論文集[C].無錫2019: 171-174.

[5] 石進.基于零信任機制的工控網(wǎng)絡安全防御技術(shù)研究[D/OL].北京: 華北電力大學,2022 [2022-05-01].https;//cdmd.cnki.com.cn/Article/CDMD11412-1023003858.htm.

來源：珞安科技