工业控制系统网络安全防护策略

由于针对工业控制系统的网络攻击持续增多，如何确保工业控制系统的网络安全成为各国越来越重视的课题。通过借鉴国际上相关领域的研究成果，我们总结出以下针对工业控制系统网络安全的防护策略和具体措施。

一.白名单管理

1.对获批准/信任的程序实行白名单管理，防止恶意软件或未经许可软件（如.DLL文件）的执行。对重要服务器（如活动目录）和其他认证服务器实行白名单管理可以有效防止意图窃取密码、扩大权限等恶意软件的运行。

2.严格的白名单管理是从源头上阻止来自网站下载、邮件附件、移动U盘、CD/DVD等渠道不受欢迎的软件，而不是简单地阻止新应用的安装。

3.配置白名单之前应清楚用户工作站上已安装的软件情况；通过设置白名单功能为“仅记录”模式可以生成一份已安装软件的清单。

4.安装新软件时应避免为新增的非执行文件生成hash值，以免白名单越来越庞大，使得系统登陆越来越慢。

5.配置白名单时，对未批准的程序，不论什么扩展名，都不允许运行。

6.如有可能，应禁止用户执行本文第十一条第3款第11小项列举的用于信息侦测的系统命令。

7.白名单管理防御非法入侵能力的大小与产品类型、配置情况和文件权限（写/执行）有关。

二.补丁管理

1.对PDF viewer、Flash Player、Microsoft

Office、Java、浏览器及插件（如ActiveX）等应实行补丁管理；对服务器应用，如存储敏感信息的数据库、Web服务器程序等也应实行补丁管理。补丁的安装应在2天内及时完成；否则，软件中“高危”漏洞的存在有可能给企业造成严重损失。

2.对Adobe Reader软件，最好使用X及以上版本，他们集合了较新的安全技术，如sandboxing。对某些软件，弥补漏洞唯一的办法就是及时升级至最新版本。

不要继续使用X以下版本的Adobe

Reader软件；不要继续使用v8以下的IE浏览器。

3.维护好每一台计算机设备上的软件信息，包括软件版本及补丁安装历史等。

4.根据企业风险容忍度和拥有各种应用软件（如驻留软件、不支持软件、自主研发软件或设计不当的软件）数量的不同，有不同的补丁管理办法：

第一种

补丁发布后，先等待几个小时，以免供应商收到不良反应报告而召回补丁；然后才在系统维护员等少数员工的计算机设备上安装；若一天内没有出现任何问题，再对各业务部门部分计算机设备进行安装，尤其是最可能成为入侵目标的计算机设备；若一天内仍旧没有任何问题，就可以推广到其他所有计算机设备上。这种做法的思路是：在合理的时间范围内更新补丁，可减少补丁测试成本，降低补丁带来的业务风险。

第二种

补丁安装前花大量的时间进行测试，为最大程度地降低对业务的影响。这种做法会增大企业成本，且让漏洞长时间存在。

第三种

补丁发布后立即或等待几小时后就在所有电脑设备上安装。这种做法可减少补丁测试成本，缩短漏洞存在时间，但存在万一安装后出现问题需要撤回补丁的风险。

5.给服务器安装补丁，或者安装带有新增功能的服务包之前，应进行全面测试。

三.操作系统补丁管理

1.补丁安装应在2天内及时完成；否则，软件中“高危”漏洞的存在有可能给企业造成严重后果。

2.在满足业务需求的情况下，最好采用最新版本的操作系统。因为操作系统版本越新，其集合的安全技术也越新。

不要继续使用Windows

XP或更早版本的Windows操作系统；最好选择64位，而不是32位版本的Windows操作系统，因为该版本具有更先进的安全保障。

四.尽量减少拥有域管理或本地管理权限的用户数量

1.目的是降低受攻击带来的后果。

2.这些用户使用的计算机环境应是安全可信的，至少是实施了上述安全策略的。

3.这些用户在进行非管理或读邮件、上网等风险低的操作时应使用普通账户，最好是在临时性的虚拟环境或普通电脑上操作。

五.屏蔽本地管理员账户

1.目的是避免攻击者利用被破解的本地管理员凭证（通常是多台计算机共享）入侵企业网络内的其他计算机设备。

2.管理电脑时，应使用具有本地管理权限，而不是域管理员权限的域账户。

1.远程管理应通过远程桌面进行。

2.理想情况下，最好每台电脑使用一个单独的域账户。这样，如果管理员密码被泄，可以减少受影响的范围。但是，管理多个域账户也会带来不必要的开销。

3.对于不可能屏蔽本地管理员账户的系统，如活动目录认证服务器等，应确保本地管理员账户唯一，且采用复合密码；同时还应保护好密码使用记录。

六.多因子身份认证

1.在远程登陆、进入数据库或其他敏感信息库和进行权限操作（如系统管理等）时应该实行多因子身份认证；尤其应对最可能成为攻击目标的计算机设备进行多因子身份认证。

2.多因子身份认证指用户在进行身份识别时应至少采用以下三项因子中的二项：

1.用户知道的事项，如密码等;

2.用户拥有的事项，如软件证书或物理令牌等；

3.用户的生物特征，如指纹等。

2.最好是使用独立于电脑之外、含有基于时间值的物理令牌，这样可以有效阻止黑客建立自己的VPN或远程访问会话。

1.智能卡不太安全，因为其安全性取决于智能卡如何被使用（如智能卡忘记从电脑拔下），取决于电脑程序与智能卡互动程度。

2.存储在操作系统中的软件证书更不安全，因为它们有可能被获得管理权限的黑客拷贝。

3.以文件方式存储、没有任何保护措施的软件证书也很不安全，因为它们不需要管理权限就可以轻易拷贝。

3.远程登陆采用多因子身份认证并不能完全规避用户在被入侵的电脑设备上输入密码。攻击者获得密码后有可能进一步入侵，例如获取企业敏感资源等。

所有用户访问包括办公系统的企业电脑时应实行多因子身份认证，或确保远程登陆密码与办公电脑登录密码不相同。

4.应保证储存用户身份认证数据和进行身份认证服务器的安全，因为这些服务器通常是攻击者的目标。

5.应确保管理服务账户和那些不能进行多因子身份认证的账户使用长位数的复合密码。

七.网络分段与隔离

1.为了保护敏感信息和一些特殊服务，如用户认证和用户目录信息，应将网络分段或隔离到安全区域。

2.网络分段指将网络分割成多个较小的网络。网络隔离指对某个电脑设备与其它电脑设备之间的通讯进行控制。例如，在大多数企业网络内，不允许用户电脑间相互通讯。

3.网络控制通过使用切换、虚拟LANs、单独区域、数据二极管、防火墙、路由器和网络访问控制等手段实现。

凡采用虚拟操作系统、云计算架构、提供远程访问或允许用户使用自己设备的企业应该进行网络控制；如使用个人防火墙、IPsec服务器与域隔离等。

IPsec可提供灵活的网络分段和网络隔离。例如，IPsec认证可以确保敏感服务器上的一个或多个特定端口只能被特定的电脑（如管理员的电脑）访问。

4.数据控制包括管理文件权限、管理信息权利、采用内容管理系统（如Microsoft

SharePoint替代网络文件共享）等。

5.网络隔离应考虑连接需求、用户角色、业务功能、信任界限和信息敏感度等。

6.活动目录和其他认证服务器等敏感系统只能通过有限数量的中间电脑（jump

server）进行管理。这些jump

server应受到严格保护和密切监控，限制可访问它们的网络设备和用户数，不允许访问因特网。

7.限制VPN和远程登陆、无线连接以及使用员工自带的手提电脑、智能手机和桌面电脑设备等。

8.高敏感的信息可以存储在不与因特网连接的电脑（air

gapped computer）上。采取严格的媒介传输策略，仅允许这些电脑传送安全补丁和安全数据。

八.基于工作站的防火墙

1.设置防火墙的缺省值为拒绝通信以阻止恶意软件或其它未经授权的通信进入网络。

2.设置防火墙缺省值为拒绝通信，仅允许白名单上的应用向网络外输出通信。

九.临时性虚拟操作环境

1.在企业因特网网关内，应为读邮件和网络浏览等不安全操作提供临时的、可靠的虚拟环境。

2.虚拟操作环境与企业敏感信息之间应进行网络分段或网络隔离。

3.临时性意味着系统可以由感染状态自动恢复到正常状态，不过，入侵痕迹、入侵证据也无法保留。

一〇.主机入侵检测/防御系统

1.可有效识别系统异常，如进程感染、键盘侧录、驱动加载、呼叫变更等；或者识别系统启动后仍有软件驻留、企图修改、增加注册表设置或系统服务文件等可疑情况。

2.合理配置HIDS/HIPS，有效识别恶意软件，避免误判。

十一、集中并同步记录事件日志（计算机）

1.自动同步记录并分析所有成功或失败的计算机事件。相关日志应至少保留18个月。主要日志包括安全产品相关的日志、活动目录事件日志以及用户身份识别相关（包括通过VPN或远程访问）的日志。

2.记录网络、系统或用户异常行为的日志应至少保留7年。

3.常规的日志分析应主要关注：

(1)最可能受攻击的目标;

(2)由防病毒软件或其他安全产品生成的日志;

(3)受阻的执行程序;

(4)用户身份认证和账户凭据的使用，特别是：

a.来自正在休假或不在场用户的身份认证；

b.来自用户的非常用电脑或外地电脑的身份认证；

c.来自国外VPN或远程访问的身份认证；

d.来自同一个IP地址的多个不同用户的身份验证；

e.不成功的管理权限账户的身份验证；

f.因多次密码验证失败而锁住的用户账户；

g.具有管理权限的账户意外登录到其他电脑设备；

h.创建或关闭用户账户，尤其是有管理权限的账户;

i.修改用户账户属性，如激活“使用可还原加密法存储密码”或“密码长期有效”等配置选项。

(5)工作时间以外的用户操作；注意，恶意软件利用用户账户进行的操作在日志中如同用户账户正常操作一样。

(6)有增改的服务或注册码用来在系统启动或用户登录时自动运行程序。

(7)有增改的执行文件；

(8)数据库访问；

(9)访问网络共享驱动上的文件；

(10)未经授权访问或修改事件日志；

(11)使用侦测和网络传播工具执行系统命令，如ipconfig,net,net1,netstat,

reg,wmic,schtasks,tasklist,rundll32,gpresult和systeminfo等。

2.集合并关联各渠道的日志以分析、识别可疑的行为模式，包括那些与正常员工行为模式偏离的行为。

十二、集中并同步记录事件日志（网络）

1.自动同步记录并分析所有允许和受阻的网络行为。相关日志至少保留18个月。主要日志包括DNS服务器日志、代理服务器日志、DHCP租约、防火墙日志以及网络数据流日志等。

2.记录网络、系统或用户异常行为的日志至少应保留7年。

3.维护网络结构图和网络设备连接图以建立网络日常行为基准。

2.常规的日志分析应主要关注连接情况、最可能受攻击目标发出的数据以及异常的内网通信；同时也应关注异常的外网通信，如：

(1)周期性的通信报警；

(2)HTTP会话中流入与流出的数据比例不正确；

(3)头部值为“User-Agent”的不合法的HTTP通信；

(4)DNS查询的域名不存在或类型不常见，表明恶意软件企图与攻击者尚未登记的域名通信；

(5)DNS查询指向本地主机IP地址（如127.0.0.1）的域名，表示攻击者尚未准备好与恶意软件通信；

(6)大规模的通信；

(7)工作时间以外的通信；

(8)长时间的连接。

十三、加强工作站应用程序的安全设置

1.关闭PDF Viewer和Microsoft

Office应用中不需要的脚本或宏功能，关闭不必要的Microsoft

Office文件转换器，关闭浏览器ActiveX和Java插件。

2.除了白名单上的网址，其他网址最好不允许使用Flash

Player、HTML内部框架和javascript.

3.严格与网络通信的应用程序设置。

十四、用户培训

1.培训内容包括如何识别钓鱼邮件、大量重复邮件等网络威胁或可疑电话等，并及时向安全部门报告。培训目的是影响用户的行为方式。

2.培训用户养成良好习惯，避免以下做法：

1.使用弱密码；

2.同一系统内反复使用相同的密码；

3.不同系统内采用相同的密码；

4.泄露邮件地址或其他个人信息；

5.浏览与工作无关的网站；

6.使用外带的USB设备或其他IT设备。

3.让用户知晓为什么遵循IT安全策略可以帮助他们有效保护敏感信息。

4.用户培训的效果可以根据事故发生频率及严重程度是否降低来衡量。

2.用户培训是对技术防御手段的有效补充。例如，从用户报告的可疑邮件、空白邮件或附件与内容不符的邮件中可以识别出钓鱼邮件等。

3.用户培训应根据用户的岗位职责量身定做。特殊岗位的员工还应有特殊的培训内容。例如：

1.培训内部开发人员编写安全代码；

2.培训内部测试人员查找相关漏洞；

3.培训系统、网络、数据库管理员有管IT安全及技术；

4.培训高级业务人员关于缺乏足够安全设计及安全测试、匆忙实施的项目所存在的风险；

5.培训技术支持人员保持一定的警觉性，如碰到无法确认身份的人员要求重置密码等情况。

十五、操作系统防御管理

1.实行数据执行保护（DEP）和地址空间随机分配（ASLR）等措施；

2.对所有操作系统程序及其他支持DEP的应用程序配置DEP硬件和软件；

3.对所有操作系统程序及其他支持ALSR的应用程序配置ASLR。

十六、计算机配置管理

1.强化标准操作环境，屏蔽非必需的操作系统功能，如IPv6、自动运行、远程桌面等；

2.保持用户电脑配置管理的一致性的好处有：

1.能够检测出偏离标准基线的异常软件；即使设为“仅记录”模式的白名单管理也有这个能力；

2.可以让网络管理员了解网络上有哪些软件在运行；

3.有助于评估最新公布的漏洞的危害性；

4.可以迅速将被感染的电脑重新映像到安全状态。

2.严格文件和注册权限管理。如有可能，应禁止用户执行本文第十一条第3款第11小项中列举的用于信息侦测的系统命令。

3.限制储存或尽量清除缓存凭证，以防攻击者使用哈希传递技术。

4.配置Windows任务调度（Task

Scheduler）服务以防恶意程序通过创建调度任务执行。

十七、服务器应用的安全配置

1.服务器应用指数据库、web应用、客户关系管理和其他数据存储系统等；

2.遵循OWASP指引可以协助堵住web应用的漏洞，如SQL注入。该指引涵盖了代码评审、数据有效性和数据清理、用户和会话管理、传输与存储中的数据保护、错误处理、用户身份认证、日志和审计等方面。

十八、禁止工作站直接访问因特网

1.使用支持IPv6的防火墙，强制网络流量通过独立的DNS服务器、邮件服务器或者身份认证代理服务器等。

2.防火墙应只使用获批准的网络端口和业务所需的协议。

3.最好使用能检查SSL流量的代理服务器，尤其是与不熟悉网址通信的SSL流量。

4.为工作站配备一个非路由网络捕捉设备作为缺省路由，避免恶意软件直接与因特网通信。

十九、防病毒软件

1.应具备最新签名技术、信誉评级和其他启发式检测能力。

2.访问或计划调度文件时应对文件进行扫描；

3.采用不同厂商的网关和桌面防毒软件；

4.有些防病毒产品已经发展为反恶意软件产品，甚至更进一步，成为集白名单管理、HIDS/HIPS、工作站防火墙功能于一体的终端安全产品。

二十、工作站Microsoft

Office文件检查

利用Microsoft Office文件有效性功能检查文件的异常情况。

二十一、强制实施强密码措施

1.明确密码复杂度和密码长度等，避免重复使用密码和使用字典词语做密码等。

2.尤其对服务账户和其他具有管理权限的账户应实施强密码措施。

二十二、限制访问服务器信息块（SMB）和NetBIOS服务

尽可能在工作站和服务器上运行。

二十三、可移动/便携媒介管理

1.应作为数据保护措施的一部分。具体内容应包含可移动/便携媒介的存储、处理、白名单设置、加密和销毁等方面。

2.供应商无意中提供的USB闪存设备有可能感染病毒；有些渗透测试人员会散发带有病毒的USB闪存设备、CD或DVD。

3.不同系统/网络之间使用便携式媒介传输数据必须严格遵循媒介使用策略。

二十四、屏蔽LanMan密码支持

1.屏蔽LanMan密码支持和工作站/服务器的证书缓存，阻止攻击者破解密码hash值；

2.最好强制所有账户定期更换密码，这样已存的LanMan密码hash值对攻击者就没有多少利用价值。

二十五、网络入侵检测/防御系统

使用签名技术和启发式技术来识别异常情况，关注经过网络边界的、含有敏感数据的数据流情况。应注意的是，攻击者通常会压缩或加密这类数据以免被扫描。

二十六、有针对性地捕捉网络流量

1.对已入侵事件进行事后分析，了解攻击者的技术手段，评价损失程度。

2.确保员工知晓，企业网络中的流量基于安全考虑应被监视。

3.空间许可的话，网络流量应至少保存7天。由于这种做法成本开销比较大，有些企业会以日志记录来替代。如果发生入侵成功事件，应保留采取补救措施前7天和后几天的网络记录，因为入侵者通常还会再次访问企业网络的。

4.关注网络上含有敏感信息的网络流量。空间允许的话，通过网络周边的流量最好保存7天以上。

5.网络连接有关的元数据可以作为日志的补充；而且，和网络数据包相比，它占用的空间比较小。