一、引言

随工业控制系统（IndustryControlSystem，ICS）面临远程维护、非法操作、恶意软件入侵、非法访问、与互联网联接等带来的潜在威胁，网络边界、访问控制、通信保护、恶意操作控制、恶意程序防护等方面存在一定的脆弱性，因此单一的防护措施已不再有效。ICS作为工业基础设施核心，关系到我国经济发展及国家安全。相关部门应基于深度防御理念，采取多重安全措施搭建安全的ICS，不断满足技术发展和商业发展的需要。

二、安全策略部署

全面翔实、科学合理的安全策略部署，对于深度防御策略的实施至关重要。安全策略需要进行年度修订和评估，以便更好地实现时效性和实用性。

（一）安全策略制定

为提高有效性，安全策略必须具有一定的可操作性，不能严重影响生产且占据过高成本，同时还需获得高层领导的必要支持。所以，安全策略的制定需要高层行政负责人和系统管理员的共同参与。网络和ICS管理员掌握技术知识，但在执行安全策略时仍需管理层的认证和授权。管理层也必须支持适当的人力资源部署和使用，以保证ICS安全。同时，可以借鉴许多传统IT安全策略，并与ICS的特定需求进行融合。

（二）安全风险评估

风险评估是理解与定义威胁、漏洞，并为其制定安全措施的基础。实施深度防御策略首先应进行全方位的安全风险评估，查找并挖掘自身面临的风险和漏洞。

（三）组建安全团队

组建一支跨职能的安全团队，并由高层管理者具体负责。安全团队应包括全程参与ICS的工程师和管理员，团队成员需接受相关安全培训，并掌握在当前ICS架构下所面临的安全挑战和风险。安全团队的主要职责是，制定安全策略和安全流程，以提高安全能力，并有效保护ICS。

（四）操作安全计划

为防止安全策略对ICS的可用性造成负面影响，应考虑ICS的全部操作性要求。以满足操作性要求为前提，建立操作安全计划（OperationalSecurityProgram），其中包括角色与职责、物理安全、访问控制、区域防御等。

在实施深度防御技术前，应首先制定技术评估计划、安全采购计划及贯穿系统生命周期的安全实施计划。深度防御技术被看作是ICS安全构架的一部分，应标记系统联接及具备不同安全能力的关键区域。

（五）安全培训

安全培训是宣传安全意识重要性的重要环节。在制定安全培训时，应考虑目的和范围；资源配置；实施计划；监控和反馈；效力评估等因素。

所有员工应接受包括执行层、操作层和技术层在内的安全培训，并针对不同岗位接受不同的培训内容，例如，网络安全管理员需接受涉及网络安全领域内的最前沿动态，如构架设计、防火墙和入侵检测系统配置等培训。

（六）事件响应

在ICS中发生突发事件时，需及时采取识别、响应、消除影响、记录等系列措施。制定详细的事件响应流程文件，提高事件响应能力，指导员工采取响应措施。事件响应过程中应解决的问题包括：

事件发生或正在发生的标志；应采取的应急措施；通知相关人员的次序；保存收集证据的方法；保管受影响计算机的方法。

ICS取证计划作为事件响应的一部分，应充分考虑事件的发起者、受害者、发生地、发生时间，并收集足够的可用证据。为此，美国国家标准技术研究院（NIST）制定了计算机安全事件管理指南SP800-61，为安全工作人员提供事件处理过程的相关指导。

三、深度防御措施

（一）划分区域

为建立分层防御，需掌握系统联接处位置，通过建立明确的界限，将ICS架构划分为独立区域进行管理。其中，可通过以下方法对ICS进行区域划分：防火墙；有访问控制列表的路由器；配置过的交换机；静态路由和路由表；专用通信媒体。基于普渡控制层次模型（PurdueModelforControlHierarchy）将控制系统分为以下5个区域。

1.外部区域（externalzone）：可联接互联网、备份或远程厂区的区域。该区域不是隔离区（DMZ），但与之联接的设备往往不被信任。此区域的优先级最低、风险最高。

2.工作区域（corporatezone）：为组织通信区域，邮件服务器、域名系统服务器和IT商业系统构架组件均在此区域内。该区域同外部区域联接，因此存在潜在安全风险。由于安全态势具有一定的成熟度及系统的冗余性，工作区域的优先级要高于外部区域，同时低于其他区域。

3.制造/数据区域（manufacturingzone）：即监控区域，是保障组织业务连续性、管理控制网络的重要区域，操作性设备和管理设备均部署在该区域内。风险点存在于外部区域和工作区域的联接处，该区域的优先级较高。

4.控制区域（control/cellzone）：联接可编程逻辑控制器、人机接口和基本输入输出设备的区域。该区域内的设备功能可直接影响终端设备，因此该区域的优先级较高。

5.安全区域（safetyzone）：由于该区域中设备可自动控制终端设备的安全级别，因此该区域拥有最高优先级，且风险较低。

（二）部署防火墙

防火墙为不同网络区域间的通信提供了健壮、复杂的规则，扮演了保护网络的角色，以防止攻击者从网络中获取所需信息或向网络中发送文件和命令等。不同的防火墙可部署在OSI模型的不同层中，需根据控制系统的应用和联接情况及网络的不同层进行选择。

1.包过滤防火墙：该类防火墙位于网络层，根据既定规则，分析流入和流出各独立网络的数据包，其中包过滤规则通常与端口数、协议和其他指定数据相关。包过滤防火墙适用于需要快速联接的系统，并根据设备的地址来制定规则，有助于ICS对特殊应用和协议开展安全防护。

2.代理防火墙：该类防火墙分布在应用层，适用于分析应用程序的内部数据和收集用户的活动信息。在ICS中，代理防火墙可将商业局域网和控制局域网进行隔离，并为需要特殊应用防护的DMZ和其他资产提供保护。

3.主机防火墙：该类防火墙是保护设备端口和服务的软件，可建立跟踪、允许或拒绝数据流的规则。由于工作站、笔记本等其他设备可能会进出ICS，因此将这些移动设备集成主机防火墙，可为ICS增加额外的安全保护。

对于ICS来说，对防火墙进行全面、合理、精确的配置十分重要，以此来保障所有的通信都被限制在系统功能允许的范围内，且所有与特殊区域联接的通信线路都经过详细的安全风险评估。ICS中的信息交互需被实时监控，考虑流经防火墙的双向数据，配置并管理出入网络信息的规则，以保障通信过程安全。

（三）入侵检测系统

入侵检测系统（IntrusionDetectionSystems，IDS）不是单一的产品或技术，而是工具和过程的复杂集合，可监控网络中异常或未授权活动。

IDS通常部署在网络架构各出入点，或重要资源所在的网络联接点。IDS将收集信息状态与既定规则、历史行为或攻击特征进行对比，以便判断是否存在非法活动，检测特征包括端口数、通信负载等。对比结果的偏差如超出阈值，系统将采取系列警报性措施，以加快事件响应和资源管理。

IDS进行日志分析的策略配置非常重要。如果攻击者在日志审核前访问系统并发起攻击，IDS再检测攻击行为就失去了防护意义。

四、结语

ICS作为国家基础设施的核心控制设备，其安全关系着国计民生。本文提出针对ICS采用深度防御策略，一方面需根据ICS构架建立主动安全模型，方便根据架构中的安全态势，采取相应安全措施，进行有效的风险评估，并及时处理安全事故；另一方面应为ICS制定合适的安全策略，并定期回顾安全态势，综合考虑当前威胁、系统功能和所需安全级别；同时采用设置访问控制列表、恶意行为监测、日志监测、修复核心问题等措施，提高ICS的安全等级。

 

（原载于《保密科学技术》杂志2017年8月刊）