作者 | 绿盟科技格物实验室 任心 [email protected]

引言

在信息技术高速发展的今天，网络技术不断的应用到工业控制系统中，利用网络技术改进了企业产品全生命周期的各个环节，淘汰落后的生产能力，提升企业核心自主创新能力。享受两化融合带来的效能与效益之余,保障企业工业控制系统中的网络安全成了企业所关注的焦点。鉴于安全形势，国家发布了《信息安全技术 网络安全等级保护基本要求》，新变革针对共性安全保护需求提出安全通用要求；针对云计算、移动互联、物联网、工业控制系统和大数据等新技术、新应用的保护需求提出安全扩展要求，形成新的网络安全等级保护标准，确保关键信息基础设施安全，强化了安全管理中心的概念，明确安全管理中心在系统网络架构上的独立地位，对管理传输链路通信安全性提出要求，同时要求具备对网络安全事件的分析和告警能力。那么安全管理中心在企业工业控制系统中是否能起到应有的作用？本文就说一说我们在企业工业控制系统中发现安全管理中心存在的问题。

工控系统层级模型

要想了解“一个中心”，首先要对工业控制系统层次模型有个基本概念。

参考：IEC 62264-1的层次结构模型划分。

L4企业资源层：主要包括ERP系统功能单元，用于为企业决策层员工提供决策运行手段。 L3生产管理层：主要包括MES系统功能单元，用于对生产过程进行管理，如制造数据管理、生产调度管理等。 L2过程监控层：主要包括监控服务器与HMI系统功能单元，用于对生产过程数据进行采集与监控，并利用HMI系统实现人机交互。 L1现场控制层：主要包括各类控制器单元，如PLC、DCS控制单元等，用于对各执行设备进行控制。 L0现场设备层：主要包括各类过程传感设备与执行设备单元，用于对生产过程进行感知与操作。

“一个中心”是什么？

工业控制系统根据被保护对象业务性质分区，针对功能层次技术特点实施信息安全等级保护设计，根据“一个中心”管理下的“三重防护”体系框架，“一个中心”就是安全管理中心，也就是构建在安全管理中心支持下的安全通信网络、安全区域边界、安全计算环境三重防御体系。

安全管理中心的要求

安全管理中心名称虽然看着像管理，但实际为技术部分。在《信息安全技术 网络安全等级保护基本要求》中主要要求包括系统管理、审计管理、安全管理和集中管控四个控制点。

1) 系统管理要求：

a) 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。 b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

2) 审计管理要求：

a) 应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计。 b) 应通过审计管理员对审计记录应进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。

3) 安全管理要求

a) 应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计。 b) 应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。

4) 集中管控要求：

a) 应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理。 b) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 c) 应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求。 d) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 e) 应能对网络中发生的各类安全事件进行识别、报警和分析。 f) 应保证系统范围内的时间由唯一确定的时钟产生，以保证各种数据的管理和分析在时间上的一致性。

为什么管？

“一个中心，三重防护”的体系架构，目的是让工控系统通过安全策略建立边界防护体系，事前未雨绸缪；通过安全机制建立动态监控体系，事中风雨同舟；通过查处震慑建立信用体系，事后秋后算账。最后通过安全管理中心使整体具备安全运维、应急响应的能力，保证系统安全机制始终可管。

管什么？

由下图可见，安全管理中心应与第0-3层，也就是工控系统中所有参与通信的网络设备相连接。安全管理中心可以把分散的安全设备、安全策略、安全事件、安全风险、安全运维和系统中产生的日志集中统一的管理和运营起来。

怎么管？

要符合安全管理中心相应要求，通常要使用但不局限于以下安全产品。

• 运维审计类产品：

建立面向用户的集中、有序、主动的运维安全管控平台，通过基于唯一身份标识的集中账号与访问控制策略，与各服务器、网络设备等无缝连接。知道什么人，在什么时间，登录了什么设备，做了什么事情，实现集中精细化运维操作管控与审计。

• 日志审计类产品：

采集不同厂商的网络设备、主机、操作系统以及各种应用系统产生的日志信息，实现对工控系统整体安全状况的全面审计。

• 集中管理类产品：

对工控系统中的工业防火墙、安全审计、入侵检测、终端卫士等设备进行统一管理、配置、授权和响应。对安全设备的策略和安全事件进行集中、有效的管理。

存在什么问题？

通过上述描述相信大家也认识到了，安全通信网络、安全区域边界、安全计算环境覆盖工控系统的各层级。安全管理中心要服务于工控系统的各层级，网络的连通是必备条件，所以规划时多数会将安全管理中心放在生产管理层。工控系统中由于厂家、协议的繁杂，生产数据在L2（过程监控层）、L3（生产管理层）、L4（企业资源层）传递时多数在层级之间使用接口机。接口机也称为Buffer机，接口机通过与OPC服务器进行通讯，采集生产数据，起着数据缓冲、数据格式转换等作用。接口机通常采用多网卡收发数据，各层在数据传递时，网络路由是不可达的，这就导致了安全管理中心无法连接到接口机的另一侧网络，看不到想看的数据，管不到想管的设备，安全管理中心不能起到作用，那无疑会大大提高企业安全运维的成本。这直接导致企业只买不用，将安全产品堆在角落，沦落为应付合规性检查的工具。下面就简单列举一下我们实际发现的一些问题。

• 问题1

在我们调查的企业中，大多数企业往往因为担心破坏工控系统的稳定性，或因预算不足等原因不去建设安全专网，如果操作站安装日志采集代理、终端安全防护软件，是无法将日志、安全事件上传到安全管理中心的。这会使工控系统中所有安全组件各自为政。

• 问题2

还以这张图为例，可以看到虽然建设了安全专网，但若要管理操作站，只能将工控系统与安全专网连通，这样虽然可以统一管理，但会使安全管理中心变的不安全，我们还没有见到过将工控系统直接与安全专网打通的企业。

• 问题3

少数建设安全专网的企业中，安全专网打通了工控系统的各层网络，却没有按照工控安全框架对安全专网进行边界隔离，导致了新的安全问题出现，攻击者可通过安全专网进入安全管理中心，使攻击者更加容易的入侵工控系统。

• 问题4

很多企业在工控安全建设时，不会一步到位的去建设安全体系，会根据实际情况分期建设。由于每个厂家的安全产品接口不共享，自家产品只支持自家平台管理，如果后续建设中选用的安全产品与之前厂家不一样，会出现无法统一管理的问题。使用相同厂家安全产品，虽然可以统一管理，但会存在相同的编码问题，相同的通用组件等，这些问题会极大降低攻击者的攻击成本。

解决思路

要想安全管理中心起到作用，这些问题是当前阶段需要解决的，我们提出了一些解决思路。

1、建立安全专网，这是毋庸置疑的。安全专网的架构需要与原有工控系统网络架构一样，在安全管理中心边界为之部署下一代防火墙，之所以不使用工业防火墙，因为工业防火墙设计更偏向于工业场景、工业协议，而安全专网中不存在工业协议，下一代防火墙更加适用在安全专网中。

2、在工控系统中都应选择具备独立管理网口的安全产品，使业务与管理分离，互不干扰。

3、对于安全管理中心无法管理，网络路由不可达的区域，建立安全专网组网，然后通过多级部署的方式进行管理，双网卡分别连接工控系统与安全专网，类似接口机方式，这样分离工控系统与安全专网，也可提高安全管理中心的安全性。

4、尽可能选择不同厂家的安全产品，使部署在工控系统中的安全产品差异化。工控安全厂家应开放接口建立行业统一标准，使不同厂家的安全产品可以在一个平台上统一管理。

5、要有专用的安全运维计算机，用于运维人员对安全管理中心的维护。也要对安全管理中心的所有产品进行安全加固，如设置复杂的登录密码，取消超级权限用户，满足三权分立要求。设置访问策略，只允许安全运维计算机访问安全产品等。

总结

在《信息安全技术 网络安全等级保护基本要求》中，已经要求安全管理中心建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理。但工控系统网络结构复杂，节点较多，搭建一条真正安全的专网并不是一个简单的事情。安全管理中心是安全的大脑，但在企业眼里重视程度远不如边界安全、终端安全重要，这是一个值得思考的问题。工控安全已经从无到有，从有到优，如何从优到强，建立完善的安全管理中心，是当前阶段需要解决的问题。

转载请注明来源：网络安全应急技术国家工程实验室

本文始发于微信公众号（网络安全应急技术国家工程实验室）：原创 | 工控系统的“一个中心”