摘　要：隨著工業(yè)化與信息化的融合發(fā)展，工業(yè)控制網絡面臨的安全威脅日益增多，安全形勢日益嚴峻。針對工控信息安全事件頻發(fā)的現狀，為防范相關安全風險，在研究工業(yè)網絡結構與特點以及安全防護需求的基礎上，設計了適用于不同場景、不同層次、不同設備，基于縱深防護和多策略協(xié)同的綜合安全體系，并在典型行業(yè)工業(yè)網絡中實現應用推進，形成了覆蓋密碼保障、多層防護、綜合管控等多個維度的安全保障能力和整體解決方案。

內容目錄：

1 工業(yè)網絡概述
1.1　工業(yè)網絡結構概述
1.2　工業(yè)網絡特點概述
2　工業(yè)網絡縱深安全防護的需求研究
3　工業(yè)網絡縱深安全防護的技術框架設計
3.1　基于國產商用密碼的工業(yè)控制網絡縱深安全防護技術
3.2　基于策略協(xié)同的工業(yè)控制網絡多層級一體化管控技術
4　工業(yè)網絡縱深安全防護技術的實現和應用
5　結　語

近年來，在網絡空間政治對抗加劇的背景下，工業(yè)控制網絡面臨的安全威脅正在急劇增加，工業(yè)安全漏洞數量逐年遞增，工控信息安全事件層出不窮，安全威脅加速滲透，攻擊手段復雜多樣。伊朗“震網”事件、土耳其巴庫石油管道爆炸、烏克蘭電網停電、委內瑞拉停電事故等安全事故更是說明能源工控環(huán)境被攻擊所造成的危害巨大，給國內能源行業(yè)敲響了警鐘，關系國計民生的能源領域的工業(yè)控制網絡已成為黑客團體攻擊的重點目標，建立安全、穩(wěn)定運行的工業(yè)控制環(huán)境迫在眉睫。

我國高度重視工業(yè)信息安全并實施各種舉措，《網絡安全法》自 2017 年 6 月 1 日起開始實施，對關鍵信息基礎設施的運行安全提出了明確要求。在工信部信軟〔2016〕338 號文《工業(yè)控制系統(tǒng)信息安全防護指南》中，從 11 個方面對工業(yè)控制系統(tǒng)信息安全在管理和技術方面提出了具體要求。2019 年 5 月，國家標準化管理委員會發(fā)布 GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》，專門針對工業(yè)控制系統(tǒng)在通信網絡、區(qū)域邊界、計算環(huán)境等方面提出了要求，為工業(yè)控制系統(tǒng)的網絡安全防護提供了重要參考標準。《中華人民共和國國民經濟和社會發(fā)展第十四個五年規(guī)劃和 2035 年遠景目標綱要》明確提出，要加強網絡安全保護，建立健全關鍵信息基礎設施保護體系，提升安全防護和維護政治安全能力，推動構建網絡空間命運共同體。

近年來，隨著信息化與工業(yè)化的深度融合與發(fā)展，工業(yè)控制網絡由傳統(tǒng)的工業(yè)總線網絡發(fā)展到工業(yè)以太網及工業(yè)物聯(lián)網，工業(yè)控制網絡已成為由操作技術（Operation Technology，OT）、信 息 技 術（Information Technology，IT）、 工 業(yè)物聯(lián)網（Industrial Internet of Things，IIoT）形成的高度混雜融合的網絡，其面臨的網絡威脅與風險愈發(fā)復雜，安全形勢日益嚴峻。工業(yè)控制網絡現場場景差異大且復雜、功能安全與網絡安全交織疊加，導致系統(tǒng)整體防護遇到新的挑戰(zhàn)。傳統(tǒng)分區(qū)分域管理防護方式難以實現點面融合的一體化安全防護，因而亟須針對典型行業(yè)工業(yè)網絡特征研究出適應不同場景、不同層次、不同設備的縱深防護和多策略協(xié)同的安全體系。

1 工業(yè)網絡概述

1.1　工業(yè)網絡結構概述

在網絡信息技術不斷發(fā)展的背景下，工業(yè)網絡逐步形成 5 層體系架構，自下而上分別是現場設備層、現場控制層、過程監(jiān)控層、生產管理層、企業(yè)管理層。在 5 層網絡體系結構中，現場控制層采用 Ethernet/IP、Profinet、Modbus/TCP、OPC 等專用工業(yè)協(xié)議支持工控設備間的通信，并建立起與上位系統(tǒng)的通信，這些協(xié)議或為標準 TCP/IP 協(xié)議，或為基于 IP 協(xié)議的專用工業(yè)以太網協(xié)議，監(jiān)控管理層及以上通信也采用TCP/IP 協(xié)議。近年來，隨著云計算、大數據等新技術的不斷發(fā)展，工業(yè)網絡逐步由孤島運行模式發(fā)展為與互聯(lián)網、云網絡互聯(lián)互通的工業(yè)互聯(lián)網、工業(yè)物聯(lián)網運行模式，使得工業(yè)網絡系統(tǒng)不再孤立。同時，在工業(yè)網絡中也出現了傳統(tǒng) IT 網絡中的各種網絡安全問題，傳統(tǒng)的以物理隔離手段而構建的工業(yè)網絡安全保障體系將無法起到應有的作用。

1.2　工業(yè)網絡特點概述

工業(yè)控制網 絡 系 統(tǒng) 有 自 身 的 結 構 特 點。首先，在企業(yè)工業(yè)控制網絡系統(tǒng)結構中，現場設備層控制設備主要包括可編程邏輯控制器（Programmable Logic Controller，PLC）、集散控制 系 統(tǒng)（Distributed Control System，DCS）、 遠程終端設備（Remote Terminal Unit，RTU）等控制器，除了各服務器，現場監(jiān)控層和數據采集層還需人機交互，如工程師站、操作員站和管理終端等。這些終端設備在網絡安全模型中就是安全邊界，終端設備、服務器可直接連接現場控制設備交換數據。同時，這些終端設備的各種接口比如 USB，使得移動存儲設備可以便利接入，但也方便了各種惡意代碼的傳播。其次，工業(yè)網絡尤其是現場控制層及過程監(jiān)控層網絡主要執(zhí)行的是工業(yè)生產任務，其網絡協(xié)議更多關注的是業(yè)務的實時性與可靠性，在協(xié)議設計上通常缺乏安全防御機制，以及必要的基于密碼的安全防護措施。此外，鑒于工業(yè)通信協(xié)議的私有性特點，完全照搬傳統(tǒng)信息網絡安全策略到工業(yè)控制系統(tǒng)，將無法起到良好的防護效果。

2 工業(yè)網絡縱深安全防護的需求研究

工業(yè)領域不同行業(yè)和不同業(yè)務流程存在場景多樣性、環(huán)境復雜性和協(xié)議私有性等特點。工業(yè)網絡具有網絡設備、應用系統(tǒng)、主機、控制設備、執(zhí)行單元等不同類型、不同層次的安全防護手段，為相關系統(tǒng)和設備提供邊界防護、監(jiān)測審計、安全評估等多種防護技術和措施，但同時也存在協(xié)同聯(lián)動和自動化響應能力不足的問題。針對上述問題，工業(yè)網絡運營者將需要探尋適應工業(yè)領域網絡安全多場景、多層次需求的體系化安全防護解決方案，從而實現多種安全防護技術和措施的策略協(xié)同和聯(lián)合防護，構建切合于工業(yè)領域業(yè)務特點的網絡安全防護體系。

此外，工業(yè)控制網絡中還面臨著缺乏高效安全的密碼防護技術、內生持久免疫能力薄弱、有針對性的安全檢測分析手段缺失、跨域安全保障體系不完善等技術難題。這些難題分布在工業(yè)網絡的不同層級與不同設備中，要解決此類問題，需充分研究與工業(yè)網絡具體業(yè)務相融合的密碼防護、內生免疫、智能安全檢測需求，基于縱深防御理念，重點突破針對多樣性和復雜化工業(yè)網絡資產的自動化識別和測繪技術，針對私有化工業(yè)網絡協(xié)議的指令級智能化學習和策略控制技術，突破基于工業(yè)網絡數據和安全數據全流量采集的智能化分析和威脅檢測技術，突破工業(yè)領域邊界防護、監(jiān)測審計、漏洞分析、終端防護等多種安全措施之間策略協(xié)同和響應支撐的技術，設計實現針對工業(yè)網絡多場景、多層次安全防護措施的智能化安全決策支撐和自動化策略協(xié)同體系。

3 工業(yè)網絡縱深安全防護的技術框架設計

針對工業(yè)領域不同行業(yè)和不同生產流程下，存在的場景多樣性、環(huán)境復雜性和協(xié)議私有性等問題，面向工業(yè)領域的網絡、應用系統(tǒng)、主機，以商用密碼為基礎，圍繞工業(yè)網絡安全防護需求和法律法規(guī)政策要求，充分調研各領域工業(yè)網絡現狀及面臨的安全威脅，分析工業(yè)網絡的安全防護需求。在此基礎上，以 GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》、工信部信軟〔2016〕338 號文《工業(yè)控制系統(tǒng)信息安全防護指南》等政策標準為指導，根據工業(yè)網絡的自身特點、重要程度等，確定工業(yè)網絡安全等級的劃分；對各類典型的工業(yè)網絡開展安全防護系統(tǒng)設計，形成工業(yè)網絡風險分析報告、安全防護方案、安全防護技術規(guī)范等。在工業(yè)網絡場景和實際業(yè)務相結合的基礎上，將主機身份鑒別、網絡設備安全接入、用戶認證、傳輸加密、密鑰管理和數字認證等技術作為支撐，研制商密工業(yè)防火墻、終端安全防護系統(tǒng)、工業(yè)網絡安全智能監(jiān)測系統(tǒng)、工控漏洞掃描系統(tǒng)、虛擬專用網（Virtual Private Network，VPN）安全網關等網絡安全防護產品，配合密鑰管理、密碼服務等實現區(qū)域隔離、邊界防護、實時監(jiān)控和漏洞檢測，最終形成滿足工業(yè)網絡實際需求的基于商用密碼和策略協(xié)同的工業(yè)網絡縱深安全防護系統(tǒng) 。工業(yè)網絡縱深安全防護技術框架如圖 1 所示。

圖 1　工業(yè)網絡縱深安全防護技術框架

3.1　基于國產商用密碼的工業(yè)控制網絡縱深安全防護技術

基于國產商用密碼的工業(yè)控制網絡縱深安全防護技術框架如圖 2 所示。該技術針對工業(yè)控制網絡中私有協(xié)議多、密碼應用難度大的問題，深入分析工業(yè)控制網絡各層級通信網絡安全、區(qū)域邊界安全、計算環(huán)境安全及管理安全等多維度的密碼應用需求，采用國產商用密碼解決接入認證、權限控制、數據加密等關鍵技術問題，形成了基于國產商用密碼的工業(yè) VPN、邊緣網關、工業(yè)隔離網閘、工業(yè)主機安全防護系統(tǒng)、（車間級、現場級）工業(yè)防火墻、工業(yè)裝備安全網關等一系列裝備，有效解決了生產現場終端弱口令登錄、多區(qū)域之間的訪問未受控制、生產現場終端和網絡協(xié)議私有化等問題，打造了具備訪問控制、行為分析、可靠認證、安全傳輸的全方位縱深防護保障體系，極大提升了工業(yè)控制網絡系統(tǒng)安全防護能力。

圖 2　基于國產商用密碼的工業(yè)控制網絡縱深安全防護技術框架

基于商密的工業(yè)控制網絡縱深安全防護技術框架采用商密技術，實現對工控系統(tǒng)各層級不同業(yè)務場景的安全防護，主要商密應用如下文所述。

3.1.1　基于商用密碼的接入認證和權限控制

基于商用密碼的接入認證技術采用商用密碼算法對接入的關鍵設備（工程師站、操作員站、PLC 等）進行身份認證，防止設備非法接入與訪問。當設備接入時，須通過安全防護設備（如防火墻、安全網關等）采用“USBkey+ 用戶 / 口令”的雙因子認證方式對其進行身份認證。USBkey 采用 SM2 證書及相關商用密碼算法實現身份確認，使得用戶身份認證更加安全。其中，SM2 密碼算法主要用于證書頒發(fā)，SM2WithSM3密碼算法主要用于網絡設備接入認證。

基于商用密碼的權限控制在認證服務器側實現，認證控制服務器維護所有用戶的認證和授權信息，負責對一個或多個接入請求提供認證授權服務。認證控制服務器基于標準 RADIUS擴展實現對商密算法（SM2/SM3/SM4）的支持，服務器端商密運算則通過置于設備內部的嵌入式商用密碼卡實現。設備或用戶在通過接入認證之后，由認證控制服務器結合內置的用戶授權策略提供對應權限，從而實現對其權限控制。

3.1.2　基于商用密碼的通信數據加密

基于商用密碼算法的通信數據加密技術采用商用密碼算法實現對關鍵數據鏈路（分公司與總部、不同作業(yè)流程之間、現場工作單元與辦公網絡等）的通信數據機密性及完整性保護。該技術通過基于商用密碼算法的 IPSec VPN 為用戶構建了一個安全加密通道，在該通道中傳輸的數據都經過加密保護，可保證數據的機密性與安全性。在具體應用上，首先在 VPN 等安全防護設備內部嵌入硬件商用密碼卡組件，實現對 SM2、SM3、SM4 商密算法的加載。同時，在安全防護設備系統(tǒng)中擴展 IPSec 對于商密算法套件的支持，采用 SM2、SM3 等商密算法實現簽名認證與密鑰協(xié)商，采用 SM4 算法實現數據加密。以商密 IPSec 技術為載體，通過 SM2 商密證書技術和 SM2/SM3 算法實現安全通信隧道創(chuàng)建與密鑰協(xié)商，最終通過 SM4 算法實現基于商密技術的工業(yè)控制網絡通信數據加密傳輸，并通過 SM3 算法對數據完整性進行保護。

3.2　基于策略協(xié)同的工業(yè)控制網絡多層級一體化管控技術

工業(yè)控制網絡的控制設備與場景復雜，不同場景下安全策略制定煩瑣且缺乏具有時效性的統(tǒng)一管控手段。針對上述問題，設計了一種基于傳統(tǒng)安全防護策略與策略協(xié)同聯(lián)動的統(tǒng)一管控方法。工業(yè)控制網絡多層級管控模型如圖 3 所示，該模型通過實時感知安全信息，發(fā)現安全威脅，預判安全態(tài)勢，根據不斷變化的威脅環(huán)境進行自適應調整，生成策略基線；同時，針對業(yè)務相近、網絡環(huán)境趨同的數據信息，通過相互協(xié)同收斂，進一步改進策略基線，從而形成智能輔助推薦的動態(tài)安全策略。通過統(tǒng)一的策略描述模型，使各管控執(zhí)行單元都能“理解”，并下發(fā)到工業(yè)控制網絡各功能安全模塊，如輸入輸出管理、信令可信執(zhí)行與管控、數據安全保護、傳輸通道加密及一體化內生安全控制器等策略執(zhí)行環(huán)節(jié)，從而形成針對本體安全所有要素的策略協(xié)同聯(lián)動及安全管控能力，實現對業(yè)務流程、數據和資源的可視化和控制，并提高運行系統(tǒng)的可靠性、穩(wěn)定性和效率，強化安全防御能力，降低運營成本 。

圖 3　工業(yè)控制網絡多層級管控模型

基于策略協(xié)同的工業(yè)控制網絡多層級一體化管控技術主要由基于基線自學習模型的白名單策略協(xié)同技術和基于策略協(xié)同的工業(yè)網絡多層次縱深防護技術組成。其中，基于基線自學習模型的白名單策略協(xié)同技術設計實現了一種網絡安全基線生成方法；基于策略協(xié)同的工業(yè)網絡多層次縱深防護技術則利用策略協(xié)同技術，對實施中的防護策略加以收斂改進，形成多層縱深、融合管控、協(xié)同防護的工控網絡縱深防御架構。

3.2.1　基于基線自學習模型的白名單策略協(xié)同技術

傳統(tǒng)安全防護設備的防護策略，通常需要業(yè)務專家、網絡安全專家和網絡運維人員協(xié)同參與安全策略的逐條編制。針對該問題，基于基線自學習模型的白名單策略協(xié)同技術設計實現了一種基于全流量的網絡安全基線生成方法，如圖 4 所示。在網絡正常情況下，對流量通信情況、工藝業(yè)務情況進行自動學習，生成白名單策略基線模型，并將生成的白名單策略名單分發(fā)給網絡中的安全防護設備進行運用。針對工業(yè)企業(yè)內業(yè)務相近、網絡環(huán)境相似的工業(yè)網絡，涉及工藝業(yè)務服務等的策略基線可相互協(xié)同收斂，進一步改進策略。采用該技術后，會針對工業(yè)網絡形成一個以其為基準進行檢測和度量的風險管控手段，實現了從監(jiān)管層面向防護層面的協(xié)同遞進，可確保常規(guī)網絡安全控制，有效保護了工業(yè)控制系統(tǒng)的正常作業(yè)。通過在各工業(yè)網絡層次縱深應用該技術，使得安全防護更具針對性。

圖 4　基于基線自學習模型的白名單策略協(xié)同

3.2.2　基于策略協(xié)同的工業(yè)網絡多層次縱深防護技術

針對工業(yè)網絡邊界關聯(lián)數據泄露、底層風險滲透等安全問題，本文基于策略協(xié)同的工業(yè)網絡多層次縱深防護技術從設備接入安全、協(xié)議安全、數據處理安全等多個核心方面入手，在現場控制層、過程監(jiān)控層、生產管理層、企業(yè)管理層各層邊界及關鍵設施上實施針對性的防護措施，并以策略協(xié)同技術加以收斂改進，形成契合等級保護的多層縱深、協(xié)同防護的體系架構，如圖 5所示。利用該體系架構，現已實現對 55 種工控協(xié)議的深度控制、IPv4/IPv6 雙?？刂?、安全隔離和信息交換、裝備接口接入管控等核心技術。同時，結合傳統(tǒng)信息安全及基于商密的工控網絡縱深安全防護技術，進一步打造協(xié)同防護架構，形成具備訪問控制、行為分析、可靠認證、安全傳輸的全方位安全防護保障體系，進而形成可復制推廣的工業(yè)網絡安全防護解決方案。

圖 5　工業(yè)網絡多層縱深、協(xié)同防護體系架構

4 工業(yè)網絡縱深安全防護技術的實現和應用

面向工業(yè)網絡各領域的商密版工業(yè)防火墻產品，根據特定領域的具體要求，在商用密碼技術應用、工業(yè)協(xié)議深度解析與控制、自主可控等技術功能方面進行適配研究與開發(fā)。

面向工業(yè)網絡各領域的基于商用密碼技術終端安全防護系統(tǒng)，在身份鑒別系統(tǒng)和主機監(jiān)控與審計系統(tǒng)產品的基礎上，對商用密碼技術在身份鑒別、進程白名單、外設控制、違規(guī)外聯(lián)等安全功能方面進行了適配研究與開發(fā)。

面向工業(yè)網絡各領域的 VPN 安全網關產品，重點在商用密碼技術應用、工控網絡低時延、系統(tǒng)自愈可靠性等方面進行了適配研究與開發(fā)。

面向工業(yè)網絡各領域的工控漏洞掃描系統(tǒng)，在工控協(xié)議、設備指紋、工控漏洞、自主可控等技術功能方面進行了適配研究與開發(fā)。

面向工業(yè)網絡各領域的網絡安全智能監(jiān)測系統(tǒng)產品，采用了基于基線自學習模型的白名單策略協(xié)同技術，在工控網絡資產識別、威脅分析、網絡可視化、自主可控等技術功能方面進行了適配研究與開發(fā)。

結合工業(yè)網絡眾多安全設備的集中管理和策略協(xié)同防護的需求，研究并開發(fā)了工業(yè)網絡安全態(tài)勢分析和管理系統(tǒng)，重點研究了實現不同安全技術和設備之間的策略協(xié)同、集中管理和防護響應，從而構建體系化的保障。

以密碼為基礎，構建實體認證和信任體系，實現安全通信、靜態(tài)可信認證、動態(tài)度量和身份認證機制；以典型工業(yè)網絡等關鍵基礎設施為安全防護對象，將主機身份鑒別、網絡設備安全接入、用戶認證、傳輸加密、密鑰管理和數字認證等技術作為支撐，在商密工業(yè)防火墻、終端安全防護系統(tǒng)、工業(yè)網絡安全智能監(jiān)測系統(tǒng)、工控漏洞掃描系統(tǒng)、VPN 安全網關等網絡安全防護產品的基礎上，以工業(yè)網絡安全態(tài)勢分析和管理系統(tǒng)為集中呈現和協(xié)同平臺，配合密鑰管理、密碼服務等，最終實現基于國產商用密碼和策略協(xié)同的工業(yè)網絡縱深安全防護技術和防護系統(tǒng) 。

目前，已經面向電力、石油、化工等重要能源領域，深入推進國產商用密碼與工業(yè)控制網絡系統(tǒng)深度融合，形成了覆蓋密碼保障、多層防護、綜合管控等多個維度的安全保障能力和整體解決方案，引領國產商用密碼技術在工業(yè)控制網絡中的應用，建立以國產商用密碼為基準、策略協(xié)同為機制的工業(yè)網絡安全防護體系。

5 結　語

本文從總體上論述了基于商用密碼和策略協(xié)同的工業(yè)控制網絡縱深安全防護技術框架，并詳細闡述了基于商密與策略協(xié)同構建工業(yè)控制網絡縱深安全防護技術、多層級一體化管控技術相關的理論方法。然而，上述研究更注重整體上的體系研究，與具體行業(yè)工控網絡典型業(yè)務的結合度還不夠深入，未能抽象出具有典型行業(yè)適應性的安全策略協(xié)同算法或方案。

未來，將基于本文提出的工業(yè)網絡縱深安全防護技術框架，與具體行業(yè)深度結合，進一步研究商用密碼、策略協(xié)同等技術在重點行業(yè)的適配與融合，并推進相關技術在典型工控網絡中的廣泛應用與推廣。

引用格式：劉波 , 賴軍 , 李立 , 等 . 基于國產商用密碼和策略協(xié)同的工業(yè)網絡縱深安全防護技術 [J].信息安全與通信保密 ,2023(9):56-64.
作者簡介 >>>
劉　波，男，碩士，高級工程師，主要研究方向為網絡安全防護、工業(yè)信息安全等；
賴　軍，男，學士，工程師，主要研究方向為網絡信息安全等；
李　立，男，學士，高級工程師，主要研究方向為網絡信息安全等；
幸享宏，男， 學 士， 工 程 師，主要研究方向為網絡安全防護、工業(yè)信息安全等。
選自《信息安全與通信保密》2023年第9期（為便于排版，已省去原文參考文獻）

重要聲明：本文來自信息安全與通信保密雜志社，經授權轉載，版權歸原作者所有，不代表銳成觀點，轉載的目的在于傳遞更多知識和信息。

相關閱讀：
什么是國密算法？國密算法有哪些？
什么是商用密碼？商用密碼產品有哪些？