1。工业控制网络的特殊安全要求工业控制网络(以下简称工业控制网络)不同于普通的信息网络,其核心任务是保证生产运行指令的顺利运行和持续有效,确保生产运行指令、生产要素、生产活动可以依托网络快速开展,生产链全时连接,作业信息全时管控,生产系统连续运行,控制系统对安全性和可靠性有很高的要求。这些特点导致了工业控制网络安全防护系统设计的特殊性。现阶段主要采用将传统的IT安全防护技术迁移到工控网络的方法,但这不能很好地满足工控信息系统的安全要求。其特殊性主要体现在以下三个方面:一是安全防御的首要原则是生产业务优先。在信息网络安全保护中,主要关注的是网络中业务数据的安全保护,重点是保证数据的机密性、完整性和可用性。在工控网络中,首先需要保证网络的可用性,生产业务需要不间断运行。运营过程中安全设备更新难度大,不可能像信息网那样晚上停服几个小时更新版本。、补丁或安全控制。其次,安全性和灵活性是工业控制网络的基本要求。与强调“共享”的普通信息网络不同,工业控制网络需要网络弹性,也称为高稳健安全能力。其网络信息系统和安全防御架构的设计必须考虑到各种类型的网络攻击。在事件期间“快速恢复”的能力。如何保证在生产活动受到网络攻击时,工控网络系统能够抵御攻击并迅速从攻击的破坏中恢复,自动适应生产环境并维持其业务的正常运行,这是非常重要的。重要的。三是安全措施不能影响工业控制网络的“四高”属性。工业控制网络的四高属性:高可用性,与普通信息网络强调保密性不同,工业控制网络强调可用性;高确定性,工业控制网络对通信时延和抖动的要求远高于普通信息网络;高可靠性,工业控制网络要求尽可能短的通信中断,尽可能低的丢包率,并且天生对分组时序紊乱敏感;高度集成,这是当代工业控制网络的新趋势。工控网络不再是单纯的OT网络,而是OT、IT、IoT高度混合、融合的网络。基于工业控制网络特殊的安全属性,其安全防御要求至少包括以下三个方面:一是网络环境的可信性,主要是指整个网络环境必须是清晰可信的,覆盖范围包括:最少网络边界和网络设备与网络交互的可信度等三个方面。可信网络边界是指所有的网络边界都有明确的描述,包括终端设备接入、终端设备上的外围接口、边界隔离交换设备配置策略等。设备可信是指所有连接到网络的设备都清晰完整,并且必须实时监控所有终端设备的使用和变化;网络交互可信性是指网络中各终端设备之间的交互行为清晰可信,包括网络交互的参与者、使用的通信协议、执行的操作行为等。二是网络状态的可见性,主要是指清楚了解网络当前的整体状态,能够及时感知正在发生或可能发生的安全事件,提前发现网络异常或正在进行的攻击活动,改善网络异常行为。发现和感知能力至少涵盖三个方面:设备接入、网络交互和安全事件可见性。设备接入已知是指各种终端设备接入网络的情况是实时可知的,包括设备数量、类型、终端属性信息等。交互活动可知是指网络中各种终端设备之间的交互是实时可知的。time,包括当前活跃连接的分布、网络流量内容等。可知网络行为事件是指实时知晓网络中的异常流量现象或异常网络行为,包括可疑终端设备接入、非法外联、恶意提权三是网络运行的可控性,主要是指网络在运行过程中能够随着网络环境的变化及时调整威胁检测规则,在出现异常时能够立即采取措施阻断攻击活动在网络中发现活动或攻击行为。为控制其危害范围,保障相关生产业务系统安全稳定运行,至少需要涵盖分布性、适应性和可恢复性三个方面。控制分布是指网络中的安全控制点或监控设备分散在网络的各个角落;控制的适应性是指它可以随着网络环境的变化动态调整自己的威胁检测能力,保证对外部安全威胁和内部异常行为的检测效率和准确性;控制权自恢复是指网络在发现内部异常活动或外部攻击后,能够及时采取应对措施,自行恢复网络运行。2.高安全工控网络防御系统设计思路工业控制网络中的信息网络安全防护,形成了一个“安全岛”或“数字堡垒”。建设高安全工控网络的思路分为全新改造高安全工控网络和对现有工控网络进行持续加固。新改造的高安全工控网络主要有以下两种设计思路:一是创新网络架构,基于下一代互联网技术建立具有自我认证特性的基础安全网络,解决互联互通问题,现有网络的互操作性、安全性和可控性。二者的矛盾在于改变目前依靠行政管理手段解决基础设施安全问题的尴尬局面,为工控网络安全防御体系建设打下坚实的技术基础;二是建立动态信任体系,将传统网络安全技术与“可信计算”技术相结合,将改变传统安全体系“防外多于内”但“防不胜防”的不利现状。防止”。从网络,到应用,到服务,到数据,基于主体属性和客体保护级别之间的安全度量,建立动态信任链,最终形成覆盖整个工业控制的可信网络连接网络的建立,从而为工控网络环境提供更加安全的环境。完善的安全管控和安全保障。对现有工控网络的持续加固主要包括以下两种设计思路:一是建立并不断优化纵深防御机制,将网络安全能力部署到工控基础设施和信息系统的“每一个角落”,力争最大限度覆盖,形成工控网各组成实体,实现工控网“深度融合、深度覆盖”的纵深防御能力和安全防护措施;二是部署网络主动防御能力,建立以威胁情报和人工智能为指导的网络安全态势感知和安全管控体系。持续检测网络安全风险,准确感知网络攻击特征,及时阻断网络攻击活动,完善网络防护措施。即使在遭受物理攻击的情况下,也能保证核心业务数据不被窃取,重要生产活动不被干扰,展现出足够的业务安全灵活性和自恢复能力。3.高安全工控网络关键路径的全新重构安全态势感知、威胁检测和预警,在防御能力调配机制的支持下,形成“监控-决策-响应-防御”的动态防御体系,实现基于态势变化和动态变化的网络信息系统安全防御。安全要求。其关键技术途径主要包括:内生安全基础网络、安全可信终端、动态信任机制,其中:内生安全基础网络是整个工业控制网络的防御基石;动态信任体系是工控网络防御的关口,“坏人”和“好人”都不能进来,“好”和“坏”也不是一成不变的,必须不断衡量和评估;安全可信的终端是工控网络防御的支点,终端是所有安全策略和信任关系的执行点,是一切安全措施和访问控制的落脚点,是一切安全防御活动产生实效的纽带反映。内生安全基础网络:目前的工业控制基础网络,包括普通信息网络,没有内生的地址真实性识别机制。针对这个问题,IETF提出的HIP协议思想在网络层和传输层之间插入主机标识层,IP地址只作为网络层使用的位置标识,实现路由转发的数据报。Identity)提供主机身份识别功能,供传输层使用。双方通信时,IP地址的变化对传输层是透明的,以保证在发生移动或地址变化时通信可以不中断地继续进行,并且通信对端可以确定移动节点的身份根据主机身份HI。安全可信的终端:目前,工业控制网络中各种终端设备的软硬件架构大多基于Wintel架构。终端安全管控系统只能为终端系统运行提供安全防护能力,其防护效果往往难以察觉。有人提出利用当前本地化替代的机会,利用虚拟化技术实现可信终端。动态信任机制:静态信任机制首先构建基础信任根,然后从信任根开始到硬件平台、操作系统、应用程序,一层认证,一层信任,一层信任,将这种信任延伸到整个工业控制网络,从而保证整个工业控制网络的可信度。工业互联网打通封闭的工业控制网络体系,更加强调大规模业务资源共享和广域业务流程协同,更加强调扁平化控制和逐级协同联动。静态的信任机制不再适用于当前和未来的工业控制网络。基于“零信任”概念的动态信任机制是借鉴人类社会中的信任关系,为解决分布式网络而提出的一种信任管理模型。动态信任管理模型认为信任关系随时间变化,需要对信任关系进行实时在线评估;认为不同任务场景下网络主体与客体之间的信任关系需要根据主体的身份属性和客体的保护级别来确定。精准的测量分析,细粒度的权限控制和特定时空范围的检测审计;相信信任关系是可以传播的,可以沿着业务网络中具有可信连接路径的关系路由传播,解决不同安全域之间身份的按需识别相互安全识别问题;认为信任关系的构建主要依赖长期有效的安全交互行为,真正有效的信任管理策略需要从海量通信实体的交互日志中挖掘生成,人工行政管理手段只是辅助手段.4、对现有工业控制网络关键路径的持续安全加固。在实现高安全性的工业控制网络时,我们不得不面对一个现实,即目前有超大规模的工业控制网络系统在服役。如何保障其网络信息安全?一是建立并不断优化纵深防御机制。纵深防御是攻防对抗中消耗对方资源最有效的方法。从网络空间安全的角度,可以从物理层、技术层和管理层建立纵深防御体系。如下图所示:物理层纵深防御分为物理层、技术层和管理层。物理层包括安全考虑和衡量指标,如可见性和CPTED;技术层措施包括电子门禁、物理入侵检测、CCTV、报警系统等指标;管理层包括现场管理、人员管理、应急演练等指标。技术层纵深防御至少包括网络、主机/设备、应用和数据四层防御。如下图所示:网络层按照协议的垂直层进行防御,可以在OSI模型的七层采取相应的安全措施,如物理层的防窃听、防ARP链路层欺骗,网络层IPsec,传输层安全。TLS等,应用层的识别控制等。网络层按逻辑区域进行防御。从外到内,DMZ区域可以有防火墙、VPN、WAF、IDS、APT防护、蜜罐等防控措施。在内网区域,有防火墙和网络分区、VLAN隔离、网络访问、网络DLP、内网蜜罐、SIEM、虚拟桌面等,在内网核心区域存放重要的业务数据库。应用层可以从代码层、服务层、业务层进行防御。代码层是最基本的。相应的安全手段包括安全编码规范、代码走查、代码扫描、代码审计等;服务层包括认证、授权、Logging、加密、哈希、签名等技术措施;业务层可以采取更多的安全措施,会根据用户的行为和特点采取相应的安全防范措施。管理层面的纵深防御从组织保障、安全规划、管理制度到人的安全意识逐步推进。在组织保障层面,要建立保障组织架构、人员配置、岗位职责、协调机制等;一系列工作的规章制度,如安全需求管理、漏洞管理、应急管理、事件管理、变更管理、配置管理等规章制度。归根结底,在人的安全意识层面,本质上是预防和避免人性的缺陷。为防止人为疏忽造成的误操作,将采取变更管理、程序审查、双重审查等措施;采取考勤、巡检、抽查、监督、审计等措施,防止人为惰性;为了防止人类的贪婪,最小特权手段、职责分离、多人控制、知识分离、特权管理等;防止或阻止可能的肇事者、工作轮换、强制休假和离职审计的手段;为防止群众安全防范意识淡薄,需要不断培训、教育、宣传、警示。信息安全意识培训最重要的是提高警惕性,尤其是提高识别和防范社会工程学攻击的能力。最后,建立安全责任追究机制也很重要。凡是不履行程序、不履行职责,甚至故意违反制度的人和事,特别是造成不良后果的人和事,都要追究责任。对现役工业控制网络系统部署纵深防御能力,也可以从物理层面、技术层面和管理层面来实施。这里只介绍技术层面的纵深防御系统。工业控制网络系统实施纵深防御的核心思想:垂直分层,水平分区;边境管制、内部监控;态势感知,集中管理。如下图所示,为工控系统和网络提供五道防线:第一道防线:部署工业网闸或工业防火墙,实现IT和OT网络隔离和访问控制;第二道防线:部署工业防火墙,实现操作层和监控层网络隔离和访问控制;第三道防线:部署工业卫士,实施上位机加固和恶意代码防护;第四道防线:部署工业网络入侵防御系统或工业防火墙,抵御上位机与控制器之间的双向入侵攻击;第五道防线:部署现场总线防火墙,抵御来自现场总线网络的入侵攻击。如上图所示,有时我们容易混淆纵深防御系统中三个系统的价值定位:工业网络入侵审计系统、工业安全管理平台、厂站工业态势感知平台。部署在工业交换机上的工业网络入侵审计系统是一个安全监控系统,它的视野只是工业交换机可以连接的网络区域。要搞清楚工业网络入侵审计系统应该提供哪些安全功能,应该采用什么样的交互方式来提供这些安全功能?然后我们可以观察这个网区的OT工程师是如何监控生产业务的。其具有以下特点:工控设备是一个监控单元,一台监控器一屏监控设备。相关指标数据是否存在异常;在线监测,离线处置;监控屏幕大多是可视化和索引的。因此,工业网络入侵审计系统不需要过多的统计分析图表,而是重点提供安全事件经过去重、关联、排序后的实时监控画面。当然,还需要提供操作安全事件的查询取证操作接口。工业安全管理平台从安全设备、网络结构、安全策略、安全事件四个方面对整个工业控制网络或工业控制网络的某一区域进行统一管理。因此,工业安全管理平台的管理视野可以小到一个工业交换机的网络范围,大到整个工厂的工控网络。二是部署主动防御能力。工业网络入侵审计系统旨在实时监控安全事件,但往往视野局限于某个工业交换机网络。如果想了解整个工厂的工控网络,甚至工厂IT网络的安全状况,就需要一个系统监控范围更广的工具,这个工具就是工厂站工业态势感知平台上图。在工厂范围内,更关心的是发生了什么,是被网络入侵了,还是感染了病毒。因此,工厂站工业态势感知平台围绕XDR的思想,运用人工智能、大数据分析等技术,实现对整个工厂的监控。工业控制网络与信息网络的联动威胁检测与威胁处置,具备主动防御能力:持续检测网络安全威胁,准确感知网络安全风险,及时阻断网络攻击活动,完善网络防护措施.
