詹乃松+喬振亞

摘 要：工業(yè)制造行業(yè)因設備使用壽命長、設備穩(wěn)定性高、控制系統(tǒng)牽涉面廣，工業(yè)控制系統(tǒng)存在著版本升級緩慢，安全防護技術(shù)落后，無法兼容新型操作系統(tǒng)等問題。傳統(tǒng)的工業(yè)隔離網(wǎng)已無法適應新形勢下的企業(yè)生產(chǎn)管理需求。了解、掌握攻擊技術(shù)路線，主動防御；建立健全安全保障體系，全方位防護；敦促工業(yè)控制系統(tǒng)安全技術(shù)架構(gòu)升級，才能夠引領工業(yè)生產(chǎn)及制造行業(yè)安全平穩(wěn)地進入“互聯(lián)網(wǎng)+”時代。

關鍵詞：工業(yè)控制系統(tǒng)；設備風險；安全保障框架；入侵檢測

中圖分類號： TP39 文獻標識碼：A

The Research on Information Security Protection of Industrial Control System

Zhan Nai-song， Qiao Zhen-ya

（Hydrochina Huadong Engineering Corporation Limited， Zhejiang Hangzhou 311122）

Abstract： Due to long equipment usage time， high equipment stability and wide cover range of control system in manufacturing industry， industrial control system faces slow version upgrade， lag in safety protection technology， incompatibility with new operation system. The traditional industrial isolation network is unable to adapt to the production management demands of enterprises under the new situation. We should understand and master technical line of attack and defend actively， establish and improve the security assurance system and defend comprehensively， urge and push the technology architecture upgrade of the industrial control system security protection. Only in this way can we lead industrial production and manufacturing industry into “Internet Plus” era.

Key words： Control System of Industry； Equipment Risk； Industrial Security Assurance Framework； Intrusion Detection

1 引言

我國政府在2016年年初提出了生產(chǎn)制造模式的變革，推動產(chǎn)業(yè)結(jié)構(gòu)明顯提升。隨著網(wǎng)絡和信息技術(shù)在各個傳統(tǒng)行業(yè)中的廣泛應用，使得生產(chǎn)過程變得更加智能化及可視化。近幾年，物聯(lián)網(wǎng)、工業(yè)網(wǎng)、智慧城市、智慧交通等逐漸進入人們的工作和生活，都是建立在網(wǎng)絡互聯(lián)的基礎之上。

在智慧工廠、智慧生產(chǎn)的背景下，工業(yè)控制系統(tǒng)與傳統(tǒng)網(wǎng)絡之間、工業(yè)控制系統(tǒng)之間的網(wǎng)絡互聯(lián)已經(jīng)成為趨勢。網(wǎng)絡互聯(lián)可以提高生產(chǎn)力和創(chuàng)新力，減少能源及資源消耗，加快產(chǎn)業(yè)模式轉(zhuǎn)型升級，但是網(wǎng)絡互聯(lián)也會帶來一些問題，網(wǎng)絡安全就是最重要的問題。

傳統(tǒng)工業(yè)控制系統(tǒng)設計時都是在一張獨立的控制網(wǎng)里面，沒有過多地考慮與外部的連接及數(shù)據(jù)交互，所以一般只考慮功能的實現(xiàn)，并沒有考慮到安全防護方面的問題。網(wǎng)絡互聯(lián)使工業(yè)控制系統(tǒng)直接暴露在互聯(lián)網(wǎng)上，這必將給工控網(wǎng)里面的重要生產(chǎn)系統(tǒng)、基礎設施等帶來巨大的安全風險。從近幾年網(wǎng)絡攻擊的發(fā)展趨勢來看，目前工業(yè)控制系統(tǒng)面臨的網(wǎng)絡攻擊，已成為最嚴重的國家安全挑戰(zhàn)之一。

2 工業(yè)控制系統(tǒng)安全需求的變化

網(wǎng)絡釣魚仍然是經(jīng)常使用的攻擊方法，因為它相對易于執(zhí)行和有效。通過弱身份驗證技術(shù)所發(fā)生的入侵仍處于一個比較高的比例，網(wǎng)絡掃描和SQL注入的嘗試也保持較高的比例。作為資產(chǎn)所有者應確保網(wǎng)絡防御措施能夠應對這些流行的入侵技術(shù)。

隨著兩化融合的進一步發(fā)展，工業(yè)控制系統(tǒng)越來越多地使用通用的協(xié)議、通用硬件和通用軟件。同時，由于前期架構(gòu)設計或管理不完善的原因，工業(yè)控制系統(tǒng)的邊界越來越模糊，很多工業(yè)控制系統(tǒng)多多少少與互聯(lián)網(wǎng)有單個或多個通道，這將給工業(yè)控制系統(tǒng)帶來極大的風險，攻擊者從因特網(wǎng)，通過管理信息大區(qū)和生產(chǎn)控制大區(qū)的不安全連接，便可以輕松到達工業(yè)控制網(wǎng)絡，從而發(fā)動攻擊。

此外，工業(yè)控制系統(tǒng)常用的ModBus等協(xié)議，在設計之初主要考慮了工業(yè)控制系統(tǒng)的可用性和實時性，并沒有從保密性等方面進行考慮，因此這些工業(yè)控制協(xié)議缺少加密和認證等環(huán)節(jié)，這將造成工業(yè)控制系統(tǒng)內(nèi)部的信息很容易被竊取，并且竊取的信息未經(jīng)加密，攻擊者可以直接獲得其中的信息。此外，缺少認證環(huán)節(jié)，也導致下位機存在“有命令就執(zhí)行”的風險，攻擊者無需偽裝身份，可以以任意IP、MAC、賬戶進行組態(tài)[1]，這將給工業(yè)控制系統(tǒng)帶來極大的風險和隱患。

3 工業(yè)控制系統(tǒng)安全技術(shù)

原先封閉、孤立的工業(yè)控制系統(tǒng)在網(wǎng)絡互聯(lián)的背景下，正逐漸轉(zhuǎn)化為開放互聯(lián)的系統(tǒng)，控制網(wǎng)絡與傳統(tǒng)信息網(wǎng)絡相連推動了生產(chǎn)的自動化，可以實現(xiàn)用戶不用去生產(chǎn)現(xiàn)場，通過遠程維護與Internet連接就可以控制生產(chǎn)系統(tǒng)。網(wǎng)絡互聯(lián)給工業(yè)生產(chǎn)帶來的技術(shù)進步、生產(chǎn)率提高的同時，也面臨著越來越嚴重的安全威脅。endprint

3.1 攻擊技術(shù)路線

近年來，工業(yè)安全事件正在呈快速增長的趨勢，且這些事件多分布在能源、關鍵制造業(yè)、市政、交通等涉及國計民生的關鍵基礎行業(yè)。這與關鍵基礎行業(yè)對于現(xiàn)實社會的重要性及其工控系統(tǒng)的自動化、信息化程度較高有著緊密的關系[2]。

根據(jù)CVE公開漏洞庫整理的工業(yè)控制系統(tǒng)漏洞設計的工控系統(tǒng)的分布如圖1所示。

如圖1所示，SCADA、PLC工業(yè)交換機的漏洞在工控漏洞中占據(jù)前三位，它們也是最容易被攻擊者利用發(fā)動攻擊的主要工業(yè)控制系統(tǒng)。

由于工業(yè)控制系統(tǒng)協(xié)議缺少加密和認證的機制，因此信息泄露占工業(yè)控制系統(tǒng)脆弱點第一位，其次由于工業(yè)控制系統(tǒng)本身具有較高的脆弱性、緩沖區(qū)溢出、安全繞過、拒絕服務等攻擊，也是攻擊者常用的攻擊手段，這些攻擊低則可以直接對相關工業(yè)控制系統(tǒng)進行流量攻擊使其癱瘓，如果攻擊者使用的手段較為巧妙，則可以通過這些攻擊取得相關工控系統(tǒng)的最高權(quán)限進行組態(tài)。同時，像遠程執(zhí)行等操作有的是因為相關系統(tǒng)本身的脆弱性導致，但是也有很大一部分是由于相關管理人員安全意識淡薄，沒有主動意識到相關的安全威脅，而導致的安全基線較低[3]。

通過對大量工業(yè)控制系統(tǒng)信息安全事件的分析，我們發(fā)現(xiàn)大多數(shù)的工業(yè)控制系統(tǒng)信息安全事件影響范圍和危害程度較大，且在此類事件中顯露出來的攻擊思路和攻擊視野在一段時間內(nèi)會帶來示范效應。結(jié)合傳統(tǒng)IT系統(tǒng)的攻擊演變過程，總結(jié)出工業(yè)控制系統(tǒng)的攻擊路線圖，如圖2所示。

攻擊目標演變：攻擊目標往往針對關鍵基礎設施和重要單位。

攻擊者水平：攻擊代碼愈加專業(yè)化，個人很難開展，黑客組織（競爭對手、工業(yè)間諜、政治打擊）已成為當前工控系統(tǒng)的主要攻擊發(fā)起者。

攻擊時間演變：攻擊事件持續(xù)時間很長，甚至長達數(shù)年。

攻擊態(tài)度演變：攻擊者逐步變?yōu)闃O具耐心，不斷嘗試，通過長期的潛伏，收集目標系統(tǒng)的信息，一步一步獲取目標系統(tǒng)的權(quán)限。

攻擊手段演變：由破壞通信過程，引起上位機與下位機通信中斷，到通過控制上位機惡意下裝引起控制器運行邏輯問題，引起上位機和下位機整體邏輯異常，或者通過提前預制惡意軟件達到對控制系統(tǒng)進行攻擊的目的。

攻擊范圍擴大：攻擊者關注的范圍由基礎設施擴大到油化、冶金、制造業(yè)、智能部件、物聯(lián)網(wǎng)等范圍。

從工控系統(tǒng)安全技術(shù)的發(fā)展看，目前工控系統(tǒng)的安全防護主要以邊界防護為主。從工業(yè)控制系統(tǒng)安全事件看，單純的邊界安全防護技術(shù)已經(jīng)不能夠解決工業(yè)控制系統(tǒng)所面臨的安全問題，工控安全防護技術(shù)已經(jīng)向深度防護的方向發(fā)展，從工控系統(tǒng)的生命周期的角度來考慮工業(yè)控制系統(tǒng)的安全。近些年，在工控安全領域關于工控安全漏洞的挖掘、漏洞掃描、工控安全審計、工業(yè)蜜罐（蜜罐場）、未知威脅及APT攻擊檢測、態(tài)勢感知、綜合預警等相關技術(shù)開始涌現(xiàn)出來，以此來提升工業(yè)控制系統(tǒng)所面臨的安全威脅[4]。原來傳統(tǒng)的信息安全企業(yè)、高校及研究機構(gòu)也在已經(jīng)開展針對工業(yè)控制系統(tǒng)的安全研究，但是從整個產(chǎn)業(yè)的發(fā)展看，由于工控系統(tǒng)與傳統(tǒng)信息網(wǎng)絡的差距，工業(yè)控制系統(tǒng)安全與工業(yè)控制技術(shù)要完美融合還有一段距離。

3.2 總體工業(yè)安全保障框架

對于工業(yè)控制系統(tǒng)的安全防護，光靠利用設備去做防護是遠遠不夠的。應從技術(shù)、管理和運行三個維度來保障工業(yè)控制系統(tǒng)安全。三個維度中主要包含工控網(wǎng)絡邊界防護、安全深度防護、安全運行和安全管理要求等幾個方面，融合了技術(shù)、管理和運行的要求來保障工業(yè)控制系統(tǒng)的安全。同時，結(jié)合工業(yè)控制系統(tǒng)運行階段的特點，針對工業(yè)控制系統(tǒng)的安全建設應從上線前的安全檢測、安全能力防護、安全運行三個階段，覆蓋工業(yè)控制系統(tǒng)運行周期的安全保障。

3.2.1 技術(shù)方面

3.2.1.1 訪問控制

針對工業(yè)控制系統(tǒng)的訪問控制可以參照等級保護中相關級別的訪問控制內(nèi)容，同時又要充分考慮到工業(yè)控制系統(tǒng)中的時機情況去設置。

工業(yè)控制系統(tǒng)的訪問控制可以使用基于角色的訪問控制模型，基本思想是將權(quán)限分配給一定的角色，用戶所獲得權(quán)限取決于用戶所獲得的角色。這是因為在很多實際環(huán)境中，用戶并不是可以訪問的目標系統(tǒng)的所有者，訪問控制應該基于用戶的職務角色，而不是基于用戶在哪個組，即訪問控制是由每個用戶在生產(chǎn)系統(tǒng)中所扮演的角色來確定的。相關的角色擁有不同對工業(yè)控制系統(tǒng)的訪問，修改權(quán)限，并做好權(quán)限最小化的工作[5]。

3.2.1.2 審計

審計是一項記錄的獨立的審核和檢查，也是訪問系統(tǒng)控制的適當性的動作，用于確認同意建立的政策和操作性過程，也用于推薦控制、政策或者過程中的必要的改變。審計日志也提供安全防衛(wèi)來反映，例如審查失敗或者審查日志能力已負荷。審查數(shù)據(jù)應該防止被修改并且被設計為具有無可替代的能力[6]。

在傳統(tǒng)的IT系統(tǒng)中，用于審查的最初基礎已經(jīng)被記錄保存。在ICS環(huán)境中，使用適當?shù)墓ぞ咝枰獜呐cICS、主要產(chǎn)品和設備的安全隱患相似的IT專業(yè)獲取可擴展的知識。安裝在ICS中的很多過程控制設備已經(jīng)被安裝多年，并且不具有提供文中所闡述審查記錄的能力。因此，這些用于審查系統(tǒng)和網(wǎng)絡活動的調(diào)制解調(diào)器工具的適應性，依賴于ICS中組成部分的能力。但是，如果相關的工控交換機支持端口鏡像，則應該采用第三方的審計設備對ICS系統(tǒng)的操作進行審計。

一般來說，為了應對固定端口進行協(xié)議識別的缺陷，系統(tǒng)應用識別引擎采用DPI和DFI兩種技術(shù)， 可以結(jié)合應用的行為和特征實現(xiàn)對應用的識別，而不依賴于端口或協(xié)議。因為在工控系統(tǒng)中，很多系統(tǒng)采用的私有協(xié)議，或一些小廠家的設備，這些系統(tǒng)可能采用動態(tài)端口，所以針對固定端口的入侵檢測是無法實現(xiàn)高效的檢測[7]。

審計裝置應使用DPI技術(shù)，即深度包檢測。在進行分析報文頭的基礎上，結(jié)合不同的應用協(xié)議特征值綜合判斷所屬的應用。DFI，即深度流檢測，它是基于一種流量行為的應用識別技術(shù)。DPI技術(shù)可以比較準確地識別出具體的應用，而DFI技術(shù)由于采用流量模型方式，可以識別出DPI技術(shù)無法識別的流量。endprint

同時，為了有效地對規(guī)約的指令進行識別，審計裝置應集成規(guī)約識別模板，能夠?qū)Σ煌闹噶钤趹脠鼍爸械牟煌M行有效選取，針對不同廠家的控制設備，制定相應的模板。通過深度解析后，與定義模板進行匹配，發(fā)現(xiàn)相應的工控設備類型，通過內(nèi)置策略對記錄相關的操作行為中的異常行為進行告警。

3.2.1.3 縱深防御

不同于傳統(tǒng)IT網(wǎng)絡采用IPS、WAF等串聯(lián)安全防護設備。為了保證工業(yè)控制網(wǎng)絡業(yè)務的連續(xù)性，大部分工業(yè)控制網(wǎng)絡中建議不要使用串聯(lián)的安全設備，而是采用工控入侵檢測類的旁路監(jiān)測設備對威脅進行第一時間的告警。不采用工控IPS的原因還有誤報率，工控環(huán)境中如果組態(tài)命令被IPS誤報而丟棄，可能會導致較大的安全事故[8]。

在發(fā)生相關的入侵事件后，工控入侵檢測可以第一時間進行告警，告警內(nèi)容包括被入侵的資產(chǎn)IP、攻擊源、攻擊時間點、攻擊類型等。相關的告警信息會反饋給工業(yè)控制系統(tǒng)管理員，然后由管理員來進行判斷，是否為真的攻擊或是誤報，這也對管理員的信息安全水平提出了相應的要求。

3.2.1.4 上位機管控

在大部分工控系統(tǒng)中，上位機是整個系統(tǒng)重要的脆弱性短板之一。主要的原因為大部分上位機底層還是運行的Windows系統(tǒng)或者Linux系統(tǒng)，且這些系統(tǒng)版本一般來說都較為陳舊，廠商處于降低后期維護成本的目的，一般不會對底層系統(tǒng)進行升級或打補丁的操作，所以即使攻擊者并沒有很多工控系統(tǒng)的入侵經(jīng)驗，也可以利用上位機本身系統(tǒng)的脆弱性進行攻擊和滲透，所以要從整個上位機來進行安全方面的考慮。

現(xiàn)階段，一般來說針對上位機的安全措施主要有幾點：首先對上位機的底層系統(tǒng)進行加固和基線水平的提高；其次就是使用各類上位機管控軟件，該類上位機管控軟件采用進程白名單機制，對白名單內(nèi)的進程進行放過，對于白名單之外的進程全部殺停。采用此種機制的原因主要是上位機的功能和安裝的軟件一般來說都較為單一，使用白名單機制不管對于使用者還是軟件維護者來說工作量都可以最小化，并且只要上位機軟件不更新，相關的管控軟件和白名單列表便不需要更新，明顯地降低了工控系統(tǒng)管理者的運維量和在升級過程中帶來的風險[8]。

3.2.2 運行

3.2.2.1 事件響應

事件響應方案是預先通過演練確定一套動作或者應對的文檔，目的是限制事件結(jié)果發(fā)生來保護組織的信息系統(tǒng)。一個事件被發(fā)現(xiàn)，則會使用響應方案迅速對攻擊和響應選擇的風險進行評估。例如，一個可能的響應選擇是在受到攻擊時進行斷網(wǎng)。但是，這會導致對于相關業(yè)務造成影響，因此需要在事前提前做好響應的應急響應措施，相關受到攻擊的工業(yè)控制系統(tǒng)及時進行隔離、恢復，短時間無法實現(xiàn)的可以切換到手動操作。

3.2.2.2 安全培訓

對于ICS環(huán)境，必須包括控制系統(tǒng)特別信息安全意識和用于特別的ICS申請培訓。此外，一個組織必須認證、歸檔和培訓所有具有明顯ICS角色和責任的人員。意識和培訓必須涵蓋被控制的物理進程和ICS。

安全意識是一個ICS事件防護的重要部分，特別在社會工程威脅來臨時顯得尤為重要。社會工程是一項用于操作個人進入的個人信息，例如密碼，這項信息能夠被用于包括其它的安全系統(tǒng)。

完成一項ICS安全項目可能會導致在個人連接計算機項目、應用和計算機桌面本身的方式上發(fā)生變化。組織者應該設計有效的培訓項目和交流手段來幫助員工理解為什么需要新的訪問和控制方式、降低風險的方法以及如果控制方法不被落實對于組織產(chǎn)生的影響。培訓項目能夠提高相關人員的安全意識，讓他們在今后的生產(chǎn)活動中去積極落實相關安全管理制度，提升工業(yè)控制系統(tǒng)安全性。

4 結(jié)束語

雖然工業(yè)控制系統(tǒng)為了保障業(yè)務的穩(wěn)定運行，也具備了一定的安全功能，但是這些功能更多是防止誤操作對工業(yè)控制系統(tǒng)的影響，在應對外部攻擊所導致功能失效的時候起到一定的作用。但是，隨著工業(yè)網(wǎng)絡互聯(lián)及信息化的加深，必然將導致工業(yè)控制系統(tǒng)受攻擊的也會增多，結(jié)合實際的操作規(guī)程要求、實際功能安全屬性、基于業(yè)務流程的行為分析，形成信息安全技術(shù)手段與業(yè)務行為分析的相互融合技術(shù)，才能在工業(yè)控制系統(tǒng)信息安全領域?qū)崿F(xiàn)真正的突破。

參考文獻

[1] NIST SP800-82.

[2] 電力監(jiān)控系統(tǒng)安全防護規(guī)定[].國家發(fā)改委，2014.

[3] 夏春明.工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及發(fā)展趨勢[J].信息安全與技術(shù)，2013.

[4] 信息安全技術(shù)安全可控信息系統(tǒng)電力系統(tǒng)安全指標體系[J].中國電科院，2012.

[5] 張帥.工業(yè)控制系統(tǒng)安全風險分析[J].信息安全與通信保密，2012.

[6] 魏欽志.工業(yè)網(wǎng)絡控制系統(tǒng)的安全與管理[J].測控技術(shù)，2013.

[7] 張帥.工業(yè)控制系統(tǒng)安全現(xiàn)狀與風險分析——ICS工業(yè)控制系統(tǒng)安全風險分析之一[J].計算機安全，2012.

[8] 孫易安.工業(yè)控制系統(tǒng)安全網(wǎng)絡防護研究[J].信息安全研究，2017.endprint