呂建峰

摘 要：工業(yè)控制系統(tǒng)在過程生產(chǎn)、電力設(shè)施、水力油氣和運輸?shù)阮I(lǐng)域有著廣泛的應(yīng)用。傳統(tǒng)控制系統(tǒng)的安全性主要依賴于其技術(shù)的隱秘性，幾乎未采取任何安全措施。隨著企業(yè)管理層對生產(chǎn)過程數(shù)據(jù)的日益關(guān)注，工業(yè)控制系統(tǒng)越來越多地采用開放lnternet技術(shù)實現(xiàn)與企業(yè)網(wǎng)的互連。目前，大多數(shù)工業(yè)通信系統(tǒng)在商用操作系統(tǒng)的基礎(chǔ)上開發(fā)協(xié)議，通信應(yīng)用中存在很多漏洞。在工業(yè)控制系統(tǒng)與Internet或其他公共網(wǎng)絡(luò)互連時，這些漏洞將會暴露給潛在攻擊者。此外，工業(yè)控制系統(tǒng)多用于控制關(guān)鍵基礎(chǔ)措施，攻擊者出于政治目的或經(jīng)濟目的會主動向其發(fā)起攻擊，以期造成嚴重后果。例如，2010年，“震網(wǎng)”病毒席卷全球，伊朗布什爾核電站因遭此攻擊延期運行。因此，近年來，工業(yè)控制系統(tǒng)的信息安全問題成為一個廣泛關(guān)注的熱點問題。

關(guān)鍵字：工業(yè)控制網(wǎng)絡(luò)；安全性；威脅

本文將從工業(yè)控制系統(tǒng)的特點，目前面臨的主要威脅和隱患，國內(nèi)外已經(jīng)出現(xiàn)的解決辦法以及其次結(jié)合相關(guān)標準，從網(wǎng)絡(luò)防護角度介紹了目前的信息安全解決思路三部分對此進行闡述。

一、工業(yè)控制系統(tǒng)概述

工業(yè)控制系統(tǒng)（ICS）包括了監(jiān)控和數(shù)據(jù)采集（SCADA）系統(tǒng)，分布式控制系統(tǒng)（DCS），可編程控制器（PLC）等。這些控制系統(tǒng)往往又被稱為“系統(tǒng)中的系統(tǒng)”。這些控制系統(tǒng)廣泛應(yīng)用于核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造等國家關(guān)鍵基礎(chǔ)設(shè)施的運行。因此通過分析工業(yè)控制系統(tǒng)與傳統(tǒng)IT的主要區(qū)別，以便從管理上，技術(shù)上量身定做信息安全保障程序，達到保證控制系統(tǒng)的信息安全。

控制系統(tǒng)通常由一系列網(wǎng)絡(luò)設(shè)備構(gòu)成，包括：傳感器、執(zhí)行器、過程控制單元和通信設(shè)備。控制系統(tǒng)通常采用分層結(jié)構(gòu)，第一層為安裝有傳感器和執(zhí)行器等現(xiàn)場設(shè)備的物理設(shè)施；第二層為控制網(wǎng)絡(luò)，主要負責過程控制器和操作員站之間的實時數(shù)據(jù)傳輸；第三層為企業(yè)網(wǎng)，企業(yè)工作站負責生產(chǎn)控制，過程優(yōu)化和過程日志記錄。

根據(jù)控制系統(tǒng)的應(yīng)用特性，可以分為安全相關(guān)的應(yīng)用和非安全相關(guān)的應(yīng)用。安全相關(guān)的應(yīng)用一旦失效，可能會造成受控制的物理系統(tǒng)發(fā)生不可恢復(fù)的破壞。如果這類控制系統(tǒng)遭受破壞，將會對公共健康和安全產(chǎn)生重大影響，并導(dǎo)致經(jīng)濟損失。

二、目前面臨的主要威脅和隱患

1.安全現(xiàn)狀。二十世紀九十年代以前的大多數(shù)控制系統(tǒng)一般都采用專用的硬件、軟件和通信協(xié)議，有自己獨立的操作系統(tǒng)，系統(tǒng)之間的互聯(lián)要求也不高，因此幾乎不存在網(wǎng)絡(luò)安全風(fēng)險。多年來企業(yè)更多關(guān)注的是管理網(wǎng)絡(luò)的安全問題，許多企業(yè)對控制系統(tǒng)安全存在認識上的誤區(qū)：認為控制系統(tǒng)沒有直接連接互聯(lián)網(wǎng)、黑客或病毒不了解控制系統(tǒng)，無法攻擊控制系統(tǒng)，因此控制系統(tǒng)是安全的。而實際情況是，企業(yè)的許多控制網(wǎng)絡(luò)都是“敞開的”，系統(tǒng)之間沒有有效的隔離。同時黑客和病毒的入侵途徑又是多種多樣的，因此盡管企業(yè)網(wǎng)內(nèi)部安裝了一些網(wǎng)絡(luò)安全防護產(chǎn)品，施行了各類網(wǎng)絡(luò)安全技術(shù)，但隨著信息化的推動和工業(yè)化進程的加速，工廠信息網(wǎng)絡(luò)、移動存儲介質(zhì)、因特網(wǎng)以及其它因素導(dǎo)致的信息安全問題正逐漸向控制系統(tǒng)擴散，直接影響了工廠生產(chǎn)控制的穩(wěn)定與安全。近幾年來，國內(nèi)、外許多企業(yè)的DCS控制系統(tǒng)已經(jīng)有中病毒或遭黑客攻擊的現(xiàn)象，給安全生產(chǎn)帶來了極大的隱患。

2.面臨的主要漏洞

2.1 通信協(xié)議漏洞，兩化融合和物聯(lián)網(wǎng)的發(fā)展使得OPC協(xié)議等通用協(xié)議越來越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中，隨之而來的通信協(xié)議漏洞問題也日益突出。

2.2 操作系統(tǒng)漏洞，目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站/操作站/HMI都是Windows平臺的，為保證過程控制系統(tǒng)的相對獨立性，同時考慮到系統(tǒng)的穩(wěn)定運行，現(xiàn)場工程師在系統(tǒng)開車后通常不會對Windows平臺安裝任何補丁，從而埋下安全隱患。

2.3 安全策略和管理流程漏洞，追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來了一定的威脅。例如工業(yè)控制系統(tǒng)中移動存儲介質(zhì)包括筆記本電腦、U盤等設(shè)備的使用和不嚴格的訪問控制策略。

2.4 殺毒軟件漏洞，為了保證工控應(yīng)用軟件的可用性，許多工控系統(tǒng)操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于殺毒軟件的病毒庫需要不定期的經(jīng)常更新，這一要求尤其不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理總是滯后的，導(dǎo)致每年都會爆發(fā)大規(guī)模的病毒攻擊，特別是新病毒。

2.5 應(yīng)用軟件漏洞，由于應(yīng)用軟件多種多樣，很難形成統(tǒng)一的防護規(guī)范以應(yīng)對安全問題；

另外當應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時，就必須開放其應(yīng)用端口?；ヂ?lián)網(wǎng)攻擊者很有可能會利用一些大型工程自動化軟件的安全漏洞獲取諸如污水處理廠以及其他大型設(shè)備的控制權(quán)，一旦這些控制權(quán)被不良意圖黑客所掌握，那么后果不堪設(shè)想。

三、現(xiàn)有的解決方法

1.問題解決思路

1.1源頭控制：運營組織和關(guān)鍵提供商建立工業(yè)控制系統(tǒng)開發(fā)的全生命周期安全管理。在系統(tǒng)的需求分析、架構(gòu)設(shè)計、開發(fā)實現(xiàn)、內(nèi)部測試、第三方測試和人員知識傳遞等研發(fā)生命周期的典型階段，融入安全設(shè)計、安全編碼以及安全測試等相關(guān)安全技術(shù)，盡可能系統(tǒng)地識別和消除各個階段可能出現(xiàn)的來自于人員知識和技能、開發(fā)環(huán)境、業(yè)務(wù)邏輯引入系統(tǒng)缺陷的安全風(fēng)險

1.2分析檢測及防護：工業(yè)控制系統(tǒng)行業(yè)應(yīng)積極展開與安全研究組織或機構(gòu)的合作，加強對重要工業(yè)控制系統(tǒng)所使用軟硬件的靜態(tài)和動態(tài)代碼脆弱性分析、系統(tǒng)漏洞分析研究；開發(fā)工業(yè)控制系統(tǒng)行業(yè)專用的漏洞掃描、補丁管理及系統(tǒng)配置核查工具。

1.3漏洞庫管理：國家主管機構(gòu)主導(dǎo)建立權(quán)威的ICS專業(yè)漏洞庫以及完善的漏洞安全補丁發(fā)布機制。

2. 綜合方案——多芬諾工業(yè)控制系統(tǒng)信息安全解決方案

作為信息安全管理的重要組成部分，制定滿足業(yè)務(wù)場景需求的安全策略和管理流程，是確保ICS系統(tǒng)穩(wěn)定運行的基礎(chǔ)。多芬諾工業(yè)控制系統(tǒng)信息安全解決方案參照NERC CIP、ANSI/ISA-99、IEC 62443等國際標準對工業(yè)控制系統(tǒng)的安全要求，將具有相同功能和安全要求的控制設(shè)備劃分到同一區(qū)域，區(qū)域之間執(zhí)行管道通信，通過控制區(qū)域間管道中的通信內(nèi)容，實施縱深防御策略，從而保障工業(yè)網(wǎng)絡(luò)的安全。

四、結(jié)語

上述描述的安全建議從多維度考慮對工業(yè)控制系統(tǒng)可能面對的風(fēng)險進行防護，并盡可能降低相關(guān)系統(tǒng)的安全風(fēng)險級別。但需要意識到由于外部威脅環(huán)境和系統(tǒng)技術(shù)演變將可能引入新的風(fēng)險點。系統(tǒng)、人員、商業(yè)目標以及內(nèi)、外部威脅等安全相關(guān)因素的任何一個發(fā)生改變時，都應(yīng)建議企業(yè)對當前安全防護體系的正確性和有效性重新進行評估，以確定其能否有效應(yīng)對新的風(fēng)險。總之，工業(yè)控制網(wǎng)絡(luò)需要多層系、寬領(lǐng)域的防護。

因此ICS的安全保障措施也將是一個持續(xù)的改善過程，通過這一過程可使工業(yè)控制系統(tǒng)獲得最大程度的保護。