前沿聚焦：“零信任”架構下的工業控制系統安全防護探索

01 傳統網絡安全現狀

隨著AI、5G、大數據、移動互聯、物聯網等新興技術的快速發展以及在一些行業的成功應用和落地，傳統意義上的網絡安全邊界正在逐漸擴展、延伸、模糊甚至消失。工業控制系統所在的生產網和傳統的辦公網存在著明顯的區別。IT網絡、OT網絡和IOT網絡（如視頻監控網絡），共同構建和支撐起目前較為成熟的工業企業基本的網絡框架和業務體系。

在現代企業數字化轉型和兩化融合的推動下，工業控制系統逐步走向網絡化、智能化和數字化。但是在企業數字化轉型達到降本增效目的的同時，工業控制系統網絡也逐步對外走向開放，對內走向互聯。針對工業控制系統的新型網絡攻擊，呈現出頻率高、方式多、危害大、范圍廣等特點，生產網絡面臨著各種各樣的新型網絡安全問題，主要表現在以下幾個方面：

• 威脅攻擊手段越來越多，運用傳統網絡安全防御理念，防不勝防。例如：WannaCry病毒、Petya病毒、Bad Rabbit病毒等；
• 威脅攻擊的種類越來越多，傳統安全防護的手段愈顯乏力。例如：網絡病毒與黑產、流氓軟件與灰產、流量攻擊與敲詐、黑客攻擊與Web安全、身份盜用與滲透、高級威脅APT與勒索等；
• 終端種類越來越多，管理人員難以有效管理。例如：傳統終端、移動終端、物聯網終端、車聯網終端、工程師站、操作員站、工控互聯網終端、HMI等；
• 傳統的安全防御體系錯綜復雜、彼此之間需要聯動協作，實際操作麻煩。例如：OSI七層安全體系、P2DR模型、IATF保障機制、IEC62443體系、PDCA模型、NSA CGSv2保障體系、NIST CSF防御等；
• 傳統的安全防御體系已無法適應5G、云計算、物聯網等發展需求。例如：隨著從獨立PC階段過渡到互聯網階段、發展到萬物互聯階段，傳統的安全架構基本上以邊界防御為主，在企業的不斷發展壯大中，物理的網絡邊界已經逐步被打破，并徹底走向模糊化。基于邊界安全的安全防護體系逐漸顯得乏力，不能適應和支撐企業的快速成長和業務發展。

02 零信任產生的背景

在數字化轉型的大背景下，企業逐漸將原本相對獨立的生產網絡與業務辦公網絡進行互聯互通。在實際工作中，隨著傳統意義上的網絡安全邊界概念日益模糊，人們逐漸發現了很多問題，這些問題將導致企業若想做好新安全形勢下對工業控制系統的安全防護，需做好如下防護措施：

綜上所述，隨著各類新興技術的不斷發展與壯大以及企業自身業務發展的自我驅動，需要將傳統的以網絡邊界為核心的安全防御理念，逐步過渡到以身份為核心的網絡安全防御理念。

2010年，著名研究機構Forrester首席分析師約翰.金德瓦格（John Kindervag）在Forrester報告中提出了零信任（ZT）概念。零信任不是單一的網絡體系結構，而是網絡基礎設施中的一組指導原則以及系統設計和運營方法。傳統的網絡安全防御理念是在網絡中，按照區域進行劃分，劃分為內網和外網。主觀上認為內網是安全的，外網是不安全的，外網客體如果需要訪問內網資源，則需要進行各種身份驗證和訪問控制。零信任則是一種以資源保護為核心的網絡安全范式，其前提是信任從來不應該被隱式授予，而是必須進行持續的評估。

零信任體系架構是一種針對企業資源和數據安全的端到端的安全方案，其中包括身份（人和非人的實體）、憑證、訪問管理、操作、終端、主機環境和互聯基礎設施。零信任架構的設計和部署遵循以下基本原則：

• 所有數據源和計算服務均被視為資源；
• 無論網絡位置如何，所有通信都必須是安全的；
• 對企業資源的訪問授權是基于每個連接的；
• 對資源的訪問權限由動態策略（包括客戶身份、應用和請求資產的可觀測狀態）決定，也可能包括其他行為屬性；
• 企業應該監控并且測量其所有自有或關聯的資產的完整性和安全態勢；
• 所有資源的身份認證和授權是動態的，并且在資源訪問被允許之前嚴格強制實施；
• 企業應該盡可能收集關于資產、網絡基礎設施和通信的當前狀態信息，并將其應用與改善網絡安全態勢。

2019年7月，美國國防部2019-2023年《數字現代化戰略》中，將零信任安全列為優先發展技術，Gartner行業報告《Market Guide for Zero TrustNetwork Access》指出，預計到2023年，60%的企業將淘汰大部分遠程訪問虛擬專用網絡（VPN），轉而使用零信任架構（ZTA）。

2019年9月，工業和信息化部發布公開征求對《關于促進網絡安全產業發展的指導意見（征求意見稿）》的意見，簡稱《意見》。《意見》中第二項“主要任務”中，要求著力突破網絡安全關鍵技術中提到積極探索“零信任”網絡安全新理念、新架構。

03 零信任定義及架構

NIST SP800-207 ZeroTrust Architecture（NIST《零信任架構》白皮書）中，對于零信任邏輯架構定義如下：

零信任作為一種網絡安全架構，企業可以通過多種方式為工作流引入零信任架構ZTA。組成一個完整的零信任架構，通常包括三種要素，分別是軟件定義邊界（SDP）、增強的身份管理（IAM）和微隔離技術（MSG），可以較為靈活地使用一種或者多種要素進行組合。

在NIST零信任架構白皮書中指出，零信任的實現可以通過使用頂層網絡來實現（即第 7 層，但也可以將其部署在更低的 ISO 網絡協議棧）。這種方案有時稱為軟件定義邊界（SDP）方法，并且經常包含 SDN和基于意圖的聯網（IBN）的概念。在這種方案中，PA 充當網絡控制器，根據 PE 做出的決定來建立和重新配置網絡。客戶端繼續請求通過 PEP（由 PA組件管理）進行訪問。

SDP常見的部署模式主要分為以下幾種模式：

• 基于設備代理/網關的部署

• 基于飛地的部署

• 基于資源門戶的部署

• 設備應用沙箱

04 SDP對工業控制系統的安全防護舉措

在CSA發布的《SDP實現等保2.0合規技術指南》中，除了描述SDP能夠滿足各個級別的通用要求外，同時還能夠通過部署SDP來滿足工業控制系統擴展要求（以三級為例）：

對“8.5.2.1網絡架構”的適用策略

實時生產控制區與非實時生產控制區、管理信息區、工業互聯網部署SDP可滿足：

• 在實時生產控制區域、非實時生產控制區之間安全部署SDP網關，可實現基于業務需求的技術隔離，可按網絡、資源、應用、用戶等進行技術隔離訪問控制，可滿足b）要求。在管理信息區內部署SDP，可滿足b）要求；
• 在工業互聯網中，因需要跨越互聯網，傳統網閘措施不被推薦使用，因為SDP更適用于工業互聯網的安全保護，部署SDP可滿足a)、b）、c）要求。

對“8.5.2.2通信傳輸”的適用策略

管理信息區、工業互聯網部署SDP可滿足：

• 部署SDP實現傳輸加密、身份零信任管理、訪問控制等功能，滿足等級保護2.0中工業安全擴展通信傳輸要求。可滿足a）要求。

對“8.5.3.1訪問控制”的適用策略

管理信息區、工業互聯網部署SDP可滿足：

• 管理信息區、工業互聯網部署SDP，實現對所有網絡訪問控制細粒度管理，可對e-Mail、Web、Telnet、Rlogin、FTP等通用網絡服務進行禁止；滿足a）要求。

對“8.5.3.2撥號使用控制”的適用策略

實時生產控制區與非實時生產控制區、管理信息區、工業互聯網部署SDP可滿足：

• 通過SDP實現對遠程撥號終端準入與用戶信任，訪問傳輸加密以及訪問資源按需授權，滿足a）要求，部分滿足b）要求。

對“8.5.3.3無線使用控制”的適用策略

管理信息區、工業互聯網部署SDP可滿足：

• 通過部署SDP、利用先認證再連接、零信任等機制、實現無線用戶、設備唯一性標識和鑒別，實現對網絡資源的安全授權和使用，通過隧道加密，提升傳輸加密，滿足a）、b）、c）要求。

對“8.5.4.1控制設備安全”的適用策略

實時生產控制區與非實時生產控制區、管理信息區、工業互聯網部署SDP可滿足：

• 通過部署SDP，可實現內部應用準入、身份鑒別和訪問控制，同時實現基于用戶行為的安全審計。滿足a）要求。

零信任作為一種新的網絡安全架構，并不是定義所有的訪問請求都不可信，而是保證對所有資源的所有請求都要從零開始建立信任、對身份進行鑒別、并始終保持校驗和持續的評估。零信任網絡安全架構也不是完全推翻現有的網絡安全防御架構體系，Google從2011年到2017年實施完成的BeyondGorp項目，是對零信任實踐解決方案的成功探索，零信任網絡安全架構可以很好地彌補傳統縱深防護架構的不足，將兩種架構互補，從而構建出具有先進網絡安全防護設計理念的整體安全防護體系。

企業可以通過多種方式為工作流引入零信任架構ZTA。這些方案因使用的組件和組織策略規則的主要來源而有所差異。每種方案都實現了零信任的所有原則，但可以使用一個或兩個（或一個組件）作為策略的主要驅動元素。本篇文章從軟件定義邊界（SDP）的角度，對工業控制系統在“零信任”架構下的網絡安全防護技術手段進行了分析，后續將根據實際情況出發，分別從基于增強的身份治理IAM和微隔離角度，再次進行分析和討論，敬請關注后續文章。