IT与OT融合的工业安全防护体系建设实践

文│ 中车戚墅堰机车车辆工艺研究所有限公司信息技术部 张枫  金涛  李韧廷

中车戚墅堰机车车辆工艺研究所有限公司（以下简称戚墅堰所）是我国机车车辆新材料及新工艺的专业研究机构，轨道交通关键零部件高科技生产商。目前已形成以轨道交通装备齿轮传动系统制造和精密部件铸造为关键业务的多产业板块。

为向客户提供更加先进、成熟、可靠、经济、适用的高技术产品，戚墅堰所一直致力于企业的数字化和智能化转型，使得原本封闭的工控系统逐渐间接或直接连接到公司办公网中。因此，需针对不同层次，不同类型，不同区域的安全风险，围绕管理、技术、生产、经营等方面的应用，从基础设施、应用管理、终端安全、数据安全等各个方面着手，建设基于AI智能分析的IT与OT融合的工业纵深安全防护体系。

一、应用场景与目标

IT网络与OT网络的融合能有效促进生产过程节约增效，但也暴露了工业控制网络的自身脆弱性。因此，为保证持续不间断正常生产、保护各类机密数据，企业启动了齿轮车间和低压金属铸造车间IT与OT融合的工业安全建设试点，目标如下：

1.协议智能解析与防护

建立安全通信网络，根据生产流程逐个划分安全域，对尚未部署安全设备的区域部署边界安全防护设备。能识别生产系统网络协议，并且能够对各类数据包进行快速有针对性的捕获与深度解析。在遵循系统可用性与完整性的基础上，能够检测出数据包的有效内容特征、负载和可用匹配信息。解析引擎执行时能够满足系统的通信效率保障和冗余机制等要求，并能快速识别系统中的非法操作、异常事件以及外部攻击并及时告警和阻断非法数据包。

2.多机制保护防御

建立安全计算环境，对工业主机基于白名单的进程、外设、网络接入控制，防止工业网络内部发生病毒入侵、异常网络接入等安全事件发生。建立工业安全管理平台，对安全软硬件设备进行统一的运维和安全事件处置。能对APT网络攻击、异常行为和非法数据包等多种威胁进行多方式保护，对发现的威胁进行告警和阻断，保护生产系统网络安全，有效提高网络安全性。

3.高性能数据交换、多协议支持

具备高性能的数据交换能力，能满足大规模的控制数据、处理、转发、响应。同时，支持目前主流的生产系统控制网络中的各种应用协议。

二、基于AI智能分析的工业纵深安全防护体系建设

1.需求分析

安全域划分与控制

虽然从整体上通过网闸及防火墙设备进行了合理的分区访问控制，但在以车间为代表的工控网络内部，工控系统分层和生产车间分区间缺乏必要的访问控制机制，可能导致恶意入侵行为的扩散及发起的内部攻击难以识别及预防。因此，需要根据工控系统分层和生产工艺分区在工业控制网络内部合理划分安全域，并部署能够识别并控制工业风险边界隔离保护设备，发现来自内外部的恶意行为，并阻断攻击。

工控网络通讯的保护机制

车间工业控制网络采用的协议均为专用工控协议，工业协议普遍存在较多已公开的协议漏洞且缺乏认证机制。因此，需要在工业控制网络内建立对应的漏洞攻击防护机制及针对自控设备、工业主机的识别认证，防止工业通讯网络中的漏洞攻击及伪装攻击等行为。

针对操作终端的防护

车间中的工业PC普遍使用winXP系统，已经没有官方漏洞修复，且难以部署及时更新的杀毒软件，导致工业PC存在较大的安全风险，且被攻破后可能直接影响现场导致停产。因此，需要建立符合工业现场的保护机制，通过严格的控制防止任何病毒侵入的渠道，从而保障系统安全。

2.解决方案

解决思路

针对两化融合大背景下工控网络存在的若干风险，工业安全的建设思路为：以车间为切入点，逐步导入工业安全防护技术，验证方案的有效性和适用性。

（1）在车间上连过程监控层的互联交换机之间透明部署工业防火墙，进行访问控制、入侵防御。

（2）部署工业主机卫士软件，通过白名单功能保护主机不受病毒的侵害。

（3）逐步推广实施范围，引入对安全软硬件的集中管理和深入安全分析，建设工业安全管理中心，并在其他潜在风险点持续引入安全防护措施，设计安全管理制度。构建可持续的IT与OT融合的工业安全防护体系和制度保障。

应用方案

（1）部署工业防火墙

经过对比测试，采用串接方式部署具有AI分析功能和工业协议指令级识别能力的工业防火墙，分别应用在两个车间。

（2）安全事件分析

设备割接上线后，两台防火墙分别开启了基于工业协议指令的白名单访问控制功能，经过为期7天的工业自学习，完整且准确掌握了现场生产工作使用的工业协议及指令集，对违规请求自动告警。同时开启基于工业漏洞库的工业入侵防御功能和基于AI分析的异常行为发现功能。

工业主机卫士部署

为保证工业主机不再受到侵害，在工业PC上安装了工业安全软件，通过工业安全软件生成上位机主机进程白名单、注册表白名单、可执行文件白名单和外设白名单库，防止病毒木马再次入侵工业网络；定义核心文件，识别可用进程主体，通过应用程序完整性保护和操作系统完整性保护对工控软件进行保护。经过该软件部署后，系统进入无报警稳定运行期，借助网络安全加主机安全的双管齐下，大幅度地提高了试点区域的工控网安全性。

三、应用成效

有效性：部署IPS防御后，系统采集到了源于某IP向现场多台DNC设备发起攻击的入侵尝试，并成功阻断。

由此可见，在安全防护设备和软件部署后，系统能够较快发现工业控制网络中存在的安全隐患，有效解决了当前安全问题并降低了未来被攻破的可能性。

完整性：通过开启机器学习功能，在7天的学习后，系统通过自动建模建立了安全行为基线，对异常行为发出了告警。

两类告警将问题指向了同一台服务器，经过排查发现存在中毒情况，所感染进程为打印机程序，该病毒可导致CPU占用达到100%，并自动扫描其他可以开放135端口、445端口的主机进行感染尝试。

通过网络边界防护结合主机防护有效应对来自外部的攻击和系统内部的潜在入侵可能，形成了完整的立体纵深防御以应对多方面的攻击风险。

简易性：通过基于白名单策略对软硬件产品进行防护，配置简单，大幅降低了日常维护和更新的工作量。可以通过一次有效的策略配置长久的对现场进行保护并对异常行为进行告警。

可复制性：目前已在厂内启动推广，具有易学、易部署特性，且有保障机制不会造成产线停产，也可对类似的离散型制造企业的工业安全实践提供可参考的案例。

先进性：通过选用具有人工智能分析能力的安全设备，能在现场及时、主动的发现问题，实现主动防御的防护效果，在安全理念和具体技术应用上都具备了一定的领先性，且符合未来攻防双方基于人工智能进行攻防较量的发展趋势。

（本文刊登于《中国信息安全》杂志2019年第6期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。