详解安恒“PMPE”工控安全防护技术体系

随着两化融合、工业4.0、工业物联网的快速发展，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的网络技术来提高系统间的集成、互联以及信息化管理水平。

工业控制系统生命周期过程非常复杂，从前期规划、整体设计、集成建设、投入使用、直到系统废弃，建设及使用周期长、覆盖区域广、变更难度大。在工控系统生命周期中涉及集成业主、设计院、产商、集成商等多方工作。在保证系统安全稳定可靠运行前提下，工控系统显然不可能随着日新月异的外部因素变动而实时变动。

工业控制系统广泛用于诸如电力、水处理、石油和天然气、化工、轨道交通、制药、纸浆和造纸以及离散制造等行业。国内外众多的工控厂家不同类型的系统都有各自不同的基础网络架构及应用环境要求。每个不同的行业、企业均根据各自不同的发展情况及建设时期，建设符合行业要求、企业需求的工控系统，因此每个企业工控系统的架构差别比较大。

工控系统日趋开放化与标准化的过程中，网络安全也开始面临严重的挑战，安全事故数量逐年大幅上升，不法组织和黑客也将攻击目标选择向工控系统。工控系统主要的安全威胁与隐患有以下方面：

观念与体制欠缺：工控企业的领导普遍认为物理隔离就是安全，工控企业缺少合理的网络安全组织体系，缺乏有效的制度保障；

管理不全面：工控企业在工控安全缺乏统一设计，安全措施片面且没有预见性；

专业人员与技术欠缺：工控系统运维人员专业性很强，一般较少接受网络安全相关的培训，网络安全意识和技术水平较为薄弱。

工控设备自身问题：近年来被公布的工控系统的漏洞呈现明显增长的趋势，高精尖行业的工控系统国产化水平较低，且普遍存在后面。运行环境一般采用开放性较高的windows平台，因与控制系统兼容性问题，难以进行补丁修复工作；

各类病毒的传播：大部分的工控主机未采取防病毒措施，震网病毒、勒索病毒等破坏力惊人、影响深远，常规病毒对工控系统的影响同样不可小觑；

人员的因素：工控系统生命周期中需要多方人员配合，存在合法授权人员有意无意将安全风险引入工控系统的情况。此外外部黑客、敌对势力出于各种目的，入侵工控系统，也会造成严重损失。

作为中国领先的安全产品和服务解决方案提供商，安恒信息充分研究工控系统特性，结合各不同行业的特点，经过众多项目实践检验，提出“PMPE”的安全技术架构，即以预警、监控、保护、应急作为核心，结合各种工控安全服务及产品，构建贯穿工业控制系统全生命周期的安全防护体系，为工控网络安全保驾护航。

安全预警

工控系统应用于需要极度安全的生产环境，且任何安全措施的实施均需经过严格论证，安全预警是保障系统在尽可能小的变更下保持安全的重要途径。安全预警通过无损漏洞检测、网络行为监测审计、风险评估等技术手段，周期性或实时分析网络安全状态与漏洞风险分布，判断可能出现的网络安全事件，指导安全策略的调整，为安全体系建设决策提供意见。

无损漏洞检测

工控系统的漏洞修复都需进行严密验证，即使是操作系统的漏洞补丁修复都应验证与工控软件的兼容性问题。无损漏洞检测通过检测工控系统具有的漏洞并判断可能造成的影响与可被利用的方式，根据各方面的情况，判断出有效的处置方式。

风险评估

工控安全应避免过度建设情况，风险评估是全面了解自身的状况，避免过度建设的重要途径。风险评估是一个系统性复杂的过程，需要结合资产、威胁、脆弱性等重要因素，和各项技术指标，并符合国家相关法律法规要求。用户可以通过各项技术手段和系统性工作方法开展风险评估工作，自动化生成风险评估报告，指导工控安全建设，保证适度安全与合规。

态势感知

通过漏洞检测、风险评估等技术手段，结合工控系统内部的软硬件资产实时在线监测信息与系统所处的内外部网络环境，形成针对工控系统统一的态势分析功能，并依托于二维地图与网络结构图精确结合，直观快速定位和呈现威胁可能发生的物理和逻辑区域，达到快速安全事情预警及处理、全面提升工控系统安全威胁防护能力效果。

安全监控

工控企业信息部门与工控系统运行维护部门是两个不同的专业，工作性质差别很大，工控运维部门技术人员普遍对安全管理和技术了解不深入，而信息部门对于工控系统则不敢涉足。安全监控是通过实时监控，集中管理，安全运维等技术手段达到消灭管理盲区，优化管理架构，降低人力成本，保证安全效果。

实时监控

工控系统架构复杂、分布区域广、各种设备类型多，全面定时巡检难度很大。通过安全监控功能，可将所有的网络设备、主机设备、控制设备、安全设备的运行状态进行汇总监控，极大的降低了巡检的难度。工控系统的安全是随着内外部环境动态调整的过程，有效网络监测审计是防御策略调整和提升的一个重要依据，是帮助用户构建适用专属工控网络安全防护体系的重要来源。此外实时监控功能将所有的设备进行日志审计，便于分析整个系统的性能状态，有效指导安全生产。

集中管理

工控企业安全设备品种杂、数量多、分布广。通过对相应设备和系统管理模块进行授权，开启不同安全设备和系统的管理功能。在维护操作过程中只需要一键进入相应的管理模块，即可对相应安全设备和系统进行系统配置、拓扑管理、设备状态监控等，在提高工作效率、降低工作出错的概率和维护难度的同时，还节约了企业人力资源的投入。

安全运维

工控系统在运行过程中，必不可少会有各种系统的运行维护操作，可能直接跳过在网络上的安全设备将电脑、移动存储设备通过网口、串口、USB等直接接入现场设备或网络进行运维与操作，会暴露出一系列的现场运维管控问题。通过安全运维系统，可有效的对运维的过程进行严格监控与审计，对进出系统的数据、文件进行病毒查杀，防止恶意代码传播，配合双因子认证、工单管理等功能，规范运维过程，降低现场运维的风险。

安全防护

安全防护是系统性的工程，其中合理的安全架构是实现网络安全的基础，安全的架构包括合理的安全区域划分，边界界定等，基于合理的架构通过各项技术手段，包括网络防护，主机防护等技术手段，配合合理有效的安全策略，构成有机防护整体，达到安全防护的有效性。

网络防护

网络防护是指基于工控网络传输过程，结合对系统内使用的工控协议的识别、检测和深度解析，对其中的通信行为进行管控，达到防止攻击、恶意软件传播、非经授权访问、恶意篡改等功能。工控系统的网络防护措施应首先保证系统可用性，因此网络防护设备对自身时延、电磁干扰、硬件设计与工控系统的兼容性等进行严格设计，才可结合工控系统安全分区等措施，保障关键资产和业务的安全。

主机防护

工控网络一般情况下较为独立，工控网络内部的主机很难通过有效的方式从防病毒软件厂家里面进行病毒库的升级，设置黑名单的技术方式很难有效达到恶意代码防范的效果。工控主机的应用软件一般较为小众化，很难与黑名单的杀毒软件兼容，更新的病毒库可能会对应用软件形成威胁，影响功能安全。此外大部分工控主机性能较低，很难与信息系统的服务器相比，但对于稳定性要求却比信息系统服务器要求更高，杀毒软件需要占用大量系统资源，会严重影响工控主机的性能。

基于以上原因，对于工控系统的恶意代码防范主要通过白名单的技术方式实现。工控主机防护是指在工控上位机的操作系统平台层面，对网络端口、外设端口、重要文件进行管控，达到主机层面对恶意代码的有效防范。此外也可以对操作系统层面的操作行为进行集中审计。主机防护应采用轻量级的软件设计提高工控网络适应性以及工控主机的软硬件兼容性，全面监控主机的进程状态、网络端口状态、USB端口状态，同时支持主机加固，有效防御已知与未知的病毒、木马等恶意软件威胁，实现工控主机的全生命周期的安全保护。

应急处置

应急响应是为满足企业发生工控安全事件或规避安全事件的发生，需要紧急解决问题提供的技术及服务手段。当企业发生黑客入侵、系统崩溃或其它可能影响业务正常运行的安全事件时，应在第一时间结合技术和管理手段对安全事件进行应急响应处理，使企业的工控系统网络应用系统不受安全事件影响或在最短时间内恢复正常运行，避免或减少经济损失。

平台处置

平台处置是基于安全防护、安全预警等功能，通过安全监控进行汇总分析，结合生产环境的条件，得出应该采取的技术动作，进行风险规避等措施。其中可由安全监控进行处置，从而达到可接受风险值的部分操作，由平台进行优化处置。

现场处置

现场处置是现场生产环境复杂，不适用基于平台的处置方式，可结合工控应急处置工具箱等技术手段，并配合安恒技术服务力量，完成现场恢复取证等工作。

体系优化

发生相应的工控网络安全事件，应彻底排查安全事件的来源、传播途径、影响方式等重要因素，并根据现有的安全解决方案，全面排查风险点，快速优化安全体系架构。

企业通过构建合理的安全组织、制定规范的安全制度，执行有效的安全运营规范等，并结合安恒“PMPE”工控安全防护体系作为技术保障，构建有效抵御工控系统病毒木马传播影响及恶意网络攻击行为，有效的降低工控安全运行维护难度及成本，实现工控系统全生命周期的安全防护。