◆傅 鈺

?

淺談工業(yè)控制系統(tǒng)安全體系建設

◆傅 鈺

(江蘇國保信息系統(tǒng)測評中心有限公司 江蘇 215006)

工業(yè)控制系統(tǒng)廣泛用于冶金、電力、石油石化、先進制造等工業(yè)生產(chǎn)領(lǐng)域，以及航空、鐵路、公路、軌道交通等公共服務領(lǐng)域，是國家關(guān)鍵生產(chǎn)和基礎(chǔ)設施運行的中樞神經(jīng)。近幾年針對工業(yè)控制系統(tǒng)的攻擊事件成上升趨勢，部分工業(yè)控制網(wǎng)絡的安全防護仍然存在諸多薄弱環(huán)節(jié)，工業(yè)控制系統(tǒng)直接危及到國家基礎(chǔ)設施的安全，安全防護刻不容緩。本文從工業(yè)控制系統(tǒng)的系統(tǒng)架構(gòu)、安全形勢、安全風險以及安全防護體系建設方面展開討論。

工業(yè)控制系統(tǒng)；安全體系；風險分析

1 工業(yè)控制系統(tǒng)架構(gòu)

工業(yè)控制系統(tǒng)是通過計算機、網(wǎng)絡通信、自動化控制技術(shù)進行工業(yè)生產(chǎn)和控制的系統(tǒng)。工業(yè)控制系統(tǒng)一般常用于電力、燃氣、軌道交通、石油石化、煙草等行業(yè)。

工業(yè)生產(chǎn)型企業(yè)的網(wǎng)絡按網(wǎng)絡用途可以分為辦公網(wǎng)和生產(chǎn)網(wǎng)。

辦公網(wǎng)主要用于企業(yè)用戶日常業(yè)務辦公的網(wǎng)絡，從整體網(wǎng)絡架構(gòu)上可以理解為企業(yè)管理層，通常包括門戶網(wǎng)站、ERP、數(shù)據(jù)庫服務器，電子郵件系統(tǒng)等，部分企業(yè)的辦公網(wǎng)由于需要與外部單位進行溝通和業(yè)務往來，一般都設置互聯(lián)網(wǎng)出口。

生產(chǎn)網(wǎng)是企業(yè)用于工業(yè)生產(chǎn)和控制的網(wǎng)絡，生產(chǎn)網(wǎng)絡包含多個網(wǎng)絡層，網(wǎng)絡架構(gòu)可以進一步劃分成MES層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設備層。MES層通常包括倉儲管理、計劃排產(chǎn)、歷史數(shù)據(jù)庫等系統(tǒng)；過程監(jiān)控層通常包括操作員站、工程師站、監(jiān)控服務器、實時數(shù)據(jù)庫和接口服務器；現(xiàn)場控制層通常包括DCS（分散控制系統(tǒng)）和PLC（可編程邏輯控制器）系統(tǒng)；現(xiàn)場設備層通常包括各種環(huán)境探測器、動力控制設備等。

2 工業(yè)控制系統(tǒng)安全形勢

工業(yè)控制系統(tǒng)作為重要的關(guān)鍵基礎(chǔ)實施，近幾年攻擊事件不斷，惡意組織通過精心策劃和預謀，利用了多種方式組合滲透到工業(yè)控制網(wǎng)絡內(nèi)部對工業(yè)控制系統(tǒng)發(fā)起攻擊和破壞，典型的攻擊事件如下：

2010年10月伊朗核電站遭遇"震網(wǎng)"（Stuxnet）病毒攻擊，控制離心機運行，引發(fā)大面積設備故障，進而導致影響整個工業(yè)生產(chǎn)正常運行，帶來巨大的社會影響和經(jīng)濟損失。

2015年12月烏克蘭電力系統(tǒng)遭受攻擊，感染了惡意代碼BlackEnergy（黑色能量），攻擊者入侵了監(jiān)控管理系統(tǒng)SCADA下達斷電指令，導致了多個區(qū)域數(shù)小時的停電事故。

2017年5月全球爆發(fā)勒索病毒，除了在傳統(tǒng)計算機系統(tǒng)大肆傳播以外還向工業(yè)控制系統(tǒng)進行滲透，它們利用PLC系統(tǒng)自身的漏洞，采取橫向或縱向滲透的方式對PLC進行攻擊，鎖定設備合法用戶，對PLC中的程序代碼進行修改，發(fā)送勒索郵件，并觸發(fā)更嚴重的安全威脅。

針對工業(yè)控制系統(tǒng)嚴峻的安全形勢，近幾年國家對工業(yè)信息安全高度重視。 2016年10月工信部下發(fā)了《工業(yè)控制系統(tǒng)信息安全防護指南》對工業(yè)控制系統(tǒng)安全防護提出了指導意見；2017年6月1日，網(wǎng)絡安全法發(fā)布，其中要求對可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設施實行重點保護，并提出相關(guān)保護要求和措施；2017年12月，工信部發(fā)布《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020年）》提出建成全國在線監(jiān)測網(wǎng)絡，應急資源庫，仿真測試、信息共享、信息通報平臺（一網(wǎng)一庫三平臺），態(tài)勢感知、安全防護、應急處置能力顯著提升的目標。

3 工業(yè)控制系統(tǒng)安全現(xiàn)狀與風險分析

工業(yè)生產(chǎn)型企業(yè)通常對傳統(tǒng)網(wǎng)絡的信息安全采取了一定的安全防護措施，但對工業(yè)控制系統(tǒng)信息安全缺乏足夠的重視，安全防護和管理能力不足，這就導致了工業(yè)控制網(wǎng)絡仍然存在較大的安全漏洞和風險。存在的安全風險主要包括如下幾個方面：

3.1 物理安全風險

物理安全主要是指存放信息系統(tǒng)和重要設備的物理場所（通常包括信息系統(tǒng)中心機房、重要設備的控制站、指揮中心等）的物理安全防護。缺乏有效的物理安全防護手段，非授權(quán)或惡意攻擊人員將可以隨意進出或非授權(quán)觸碰訪問重要設備，可能導致社會工程或物理鄰近攻擊。

3.2 網(wǎng)絡安全風險

網(wǎng)絡方面存在的主要問題是企業(yè)網(wǎng)絡區(qū)域劃分不合理，未劃分明確清晰的安全域，安全域與安全域之間為采取邊界隔離措施，最明顯的就是生產(chǎn)網(wǎng)直接與辦公網(wǎng)連接。辦公網(wǎng)由于業(yè)務往來需要與互聯(lián)網(wǎng)連接，這就導致了可能從互聯(lián)網(wǎng)出口引入更多的安全威脅，辦公網(wǎng)引入的安全威脅將進一步傳播滲透到生產(chǎn)網(wǎng)，進而對工業(yè)控制網(wǎng)絡進行攻擊和破壞。許多企業(yè)出于安全考慮雖然將辦公網(wǎng)絡和生產(chǎn)網(wǎng)絡采取物理隔離措施，但并不代表網(wǎng)絡就絕對安全可靠，震網(wǎng)病毒就是通過企業(yè)員工的移動存儲介質(zhì)在私人電腦與工業(yè)控制網(wǎng)絡工作站之間進行擺渡從而實現(xiàn)對工業(yè)控制系統(tǒng)的攻擊。

3.3 主機安全風險

主機的安全風險主要包括病毒、木馬和蠕蟲的攻擊，以及通過移動外設引入的威脅。在大部分的用戶場景中已使用殺毒軟件進行安全防護。但是殺毒軟件主要還是針對已知的病毒和威脅進行防御，對于精心設計的攻擊病毒或木馬無法有效進行防御。部分用戶為了傳遞資料方便，開啟了工控網(wǎng)絡的工程師站電腦的USB接口，導致移動存儲介質(zhì)混用，從其他網(wǎng)絡引入威脅到工控網(wǎng)絡，導致攻擊事件發(fā)生。

3.4 管理安全風險

管理方面主要存在的問題是未成立安全管理機構(gòu)或機構(gòu)設置不完善，未設置專人負責日常安全管理工作，總體安全方針、安全策略、安全管理制度、操作規(guī)程不健全或執(zhí)行不到位，未加強信息安全意識和技能培訓，未定期開展應急演練等，這些問題都導致惡意份子利用管理疏漏對企業(yè)內(nèi)部進行滲透和攻擊。

4 工業(yè)控制系統(tǒng)安全防護設計

4.1 安全域劃分

安全域是統(tǒng)一放置具有相同功能用途類別或安全級別的設備的區(qū)域，根據(jù)前文中所介紹的工控網(wǎng)絡區(qū)域，可以網(wǎng)絡區(qū)域為基礎(chǔ)單位劃分安全域，根據(jù)實際安全風險評估的情況，可在各安全域中進一步細化成若干個安全子域，增強安全訪問控制的力度。建議辦公網(wǎng)劃分成一個安全域，MES層劃分成一個安全域，過程監(jiān)控層劃分成一個安全域，現(xiàn)場控制層和現(xiàn)場設備層劃分成一個安全域或各自獨立劃分安全域。

4.2 邊界防護設計

基于已經(jīng)劃分的安全域在各安全域邊界部署工業(yè)控制防火墻設備，工業(yè)控制防火墻與我們通常接觸的傳統(tǒng)防火墻有一定的區(qū)別，除了支持常規(guī)的網(wǎng)絡攻擊防護和網(wǎng)絡訪問控制功能外，還能夠廣泛支持常用工業(yè)設備的控制協(xié)議，對工控協(xié)議進行深度解析，并且當異常攻擊流量經(jīng)過該防火墻時，能夠進行阻斷和告警。在實際部署時根據(jù)安全防護的強度進行調(diào)整，當對安全保護級別要求較高時，可在SCADA服務器前端以及各DCS和PLC系統(tǒng)前端分部部署工業(yè)控制防火墻系統(tǒng)，此種部署方式能夠進一步對內(nèi)部網(wǎng)絡的惡意攻擊進行防御。

4.3 漏洞發(fā)掘和安全監(jiān)測

通過部署漏洞掃描系統(tǒng)定期對工業(yè)控制系統(tǒng)設備進行安全漏洞掃描和風險評估，及時修復安全漏洞，也可聘請專業(yè)的信息安全公司以服務的方式進行提供。同時部署異常流量監(jiān)測系統(tǒng)對網(wǎng)絡中的異常流量進行監(jiān)測，專職安全人員對監(jiān)測數(shù)據(jù)進行分析和研判，及時發(fā)現(xiàn)異常攻擊行為，將攻擊源頭從網(wǎng)絡中斷開，避免攻擊影響進一步擴大，針對攻擊行為進一步采取安全防護和加固措施。

4.4 主機安全防護

在各工業(yè)控制系統(tǒng)控制終端上部署白名單軟件，只允許工業(yè)生產(chǎn)所需運行的程序運行，其他軟件全部禁止運行，進一步加強主機系統(tǒng)的安全性，同時通過移動存儲介質(zhì)控制功能防止惡意代碼運行和傳播。

4.5 安全管理中心

部署安全管理中心對各安全設備進行統(tǒng)一安全管理，通過一個平臺可以集中管理所有安全防護或監(jiān)測系統(tǒng)，集中收集各安全系統(tǒng)的日志，并進行匯總、關(guān)聯(lián)分析和展示，實現(xiàn)安全可控、可管和可視化。

4.6 信息安全管理

成立信息安全管理機構(gòu)并設置專職的安全管理人員負責工業(yè)控制系統(tǒng)日常的安全管理工作，建立健全各項安全管理制度和操作規(guī)程，加強日常安全運維管理工作，制定網(wǎng)絡安全應急預案并定期進行演練，提升網(wǎng)絡安全事件的應急處置和系統(tǒng)功能恢復能力。

5 結(jié)語

信息技術(shù)不斷在發(fā)展，網(wǎng)絡安全威脅也在不斷發(fā)生變化，沒有網(wǎng)絡安全就沒有國家安全。隨著國家深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的重大舉措的實施，工業(yè)控制系統(tǒng)信息安全防護任重而道遠，作為一名信息安全從業(yè)人員，將以維護國家基礎(chǔ)設施安全為己任，為國家信息安全事業(yè)貢獻一份力量。

[1]肖建榮.工業(yè)控制系統(tǒng)信息安全[M].電子工業(yè)出版社， 2015.

[2]姚羽，祝烈煌，武傳坤.工業(yè)控制網(wǎng)絡安全技術(shù)與實踐.機械工業(yè)出版社，2017.