李富勇 聞宏強 趙一凡

摘 要：近年來，工業(yè)控制系統(tǒng)的安全問題越來越受到重視，文中對比了工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的區(qū)別，分析了現(xiàn)行等級保護測評的要求應用到工業(yè)控制系統(tǒng)的一些特殊性，并在此基礎上，提出了工業(yè)控制系統(tǒng)安全測評應重點關注的

問題，為工業(yè)企業(yè)和測評機構開展此類工作提供借鑒。

關鍵詞：工業(yè)控制系統(tǒng)；信息安全；等級保護；現(xiàn)狀

中圖分類號：TP309 文獻標識碼：A 文章編號：2095-1302（2018）07-00-03

0 引 言

工業(yè)控制系統(tǒng)是工業(yè)生產過程中涉及的軟硬件系統(tǒng)、控制平臺和技術人員的集合。工控系統(tǒng)中控制部件采集、監(jiān)測現(xiàn)場實時數(shù)據(jù)，實現(xiàn)工業(yè)設備自動化運行和業(yè)務流程管理。

隨著工業(yè)互聯(lián)網和智能制造的發(fā)展，工業(yè)控制系統(tǒng)的安全問題正遭受嚴峻的挑戰(zhàn)，當今移動互聯(lián)網無處不在，整個控制系統(tǒng)都可與遠程終端互連，使得工業(yè)控制系統(tǒng)存在的漏洞和遭受的攻擊日益增多。近年來我國發(fā)布了一系列工業(yè)控制系統(tǒng)網絡安全的國家標準，如GB/T 33007-2016和GB/T 33009.1-2016等[1-2]。

1 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀

1.1 工業(yè)控制系統(tǒng)結構概述

工業(yè)控制系統(tǒng)是用于采集、監(jiān)測和控制生產過程的系統(tǒng)，通常由傳感器、過程控制設備和通信設備構成[3-4]。工業(yè)控制系統(tǒng)的結構通常分為五層，如圖1所示，由外到內分別為管理調度層、網絡通信層、集中監(jiān)控層、現(xiàn)場控制層和采集執(zhí)

行層。

第一層是管理調度層，主要完成生產、人員和設備等管理工作，通過信息交互實現(xiàn)企業(yè)信息全集成管理。

第二層是網絡通信層，主要包含防火墻、交換機、路由器等網絡設備，實現(xiàn)公共網絡之間的連接、網絡連接防護措施、安全配置和審計、運維安全管理、業(yè)務連續(xù)性、容災備份措施等功能。

第三層是集中監(jiān)控層，包括監(jiān)控計算機、監(jiān)控服務器、工控機、操作站、監(jiān)控中心等。

第四層是現(xiàn)場控制層，采用專有的工控通信協(xié)議和工控設備，還包括DDC控制器、PLC控制器和生產相關的設備等。

第五層是采集執(zhí)行層，主要包括現(xiàn)場儀表和其他控制設備，用于實時采集現(xiàn)場參數(shù)。

1.2 工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的對比

從信息安全目標這一根本原則來看，傳統(tǒng)的CIA原則（機密性、完整性和可用性）已不再適用于工業(yè)控制系統(tǒng)，工業(yè)控制系統(tǒng)的安全目標應遵循AIC（可用性、完整性和機密性）等原則[5，6]?；谝陨显瓌t和對工業(yè)控制系統(tǒng)的理解，本文認為兩者的區(qū)別如下：

（1）工業(yè)企業(yè)往往追求系統(tǒng)的可用性，因此傳統(tǒng)的更新模式不再適用于工業(yè)控制系統(tǒng)，而且工控系統(tǒng)的更新需提前準備，更新升級必須要在離線環(huán)境下驗證，但在一些連續(xù)生產運行系統(tǒng)中，停機升級系統(tǒng)的成本很高。對于國外的工控設備而言，系統(tǒng)更新還有可能會和工控系統(tǒng)發(fā)生沖突，對生產或設備帶來不良影響。

（2）從系統(tǒng)目的來看，連續(xù)型工業(yè)控制系統(tǒng)對實時性要求較大，工控系統(tǒng)主要是對生產中遇到的問題能夠實時做出判斷和決策，特殊情況下必需確保及時處理，而傳統(tǒng)信息系統(tǒng)在緊急處理能力上和工業(yè)控制系統(tǒng)不在一個級別，且傳統(tǒng)信息系統(tǒng)通信過程中的安全手段通常采用TCP/IP協(xié)議和非對稱加密算法等措施。考慮到工業(yè)控制系統(tǒng)中現(xiàn)場控制設備向上位機發(fā)送現(xiàn)場數(shù)據(jù)時的實時性要求，認為實時性不高的加密技術對工業(yè)控制系統(tǒng)而言還不太適用。

（3）從系統(tǒng)特征來看，工業(yè)控制系統(tǒng)與物理環(huán)境存在交互關系，會產生相對復雜的交互作用，而傳統(tǒng)信息系統(tǒng)對環(huán)境沒有特別的影響。且在風險管理上，傳統(tǒng)信息系統(tǒng)往往注意的是數(shù)據(jù)保密，而工業(yè)控制系統(tǒng)最關注的是人和環(huán)境的安全，避免故障的發(fā)生，保障公眾的生命和健康。

當然，與傳統(tǒng)信息系統(tǒng)相比，工控系統(tǒng)還是有其獨特的特點，如網絡結構固定、擁有專用的通信協(xié)議、供應商單一、部件生命周期長等。

2 工業(yè)控制系統(tǒng)安全測評中的特殊性

信息系統(tǒng)安全等級保護以GB/T 22239-2008為依據(jù)，表現(xiàn)在技術和管理十個層面[7，8]。在工控系統(tǒng)測評時，直接把等保的十個層面生搬硬套到工業(yè)控制系統(tǒng)存在一定的特殊性，主要表現(xiàn)如下：

（1）物理環(huán)境方面

傳統(tǒng)模式的信息系統(tǒng)數(shù)據(jù)中心或者在本單位、托管在第三方機房，只要主機房物理環(huán)境滿足一般要求即可。但工業(yè)控制系統(tǒng)中，各個車間對物理環(huán)境的要求非常高，尤其是化工、醫(yī)藥行業(yè)，例如現(xiàn)場控制設備、PLC設備、儀器儀表等都安裝在車間里，但環(huán)境監(jiān)測設備在車間的使用率還不是很普遍，且部分車間的環(huán)境相當惡劣，對設備的防護要求較高，尤其是室外控制設備等。

（2）網絡安全方面

傳統(tǒng)信息系統(tǒng)通常采用的典型的IT網絡結構，網絡邊界是網絡信息安全的第一道防線，因此網絡邊界的安全防護措施顯得尤為重要。而工業(yè)控制系統(tǒng)的網絡結構往往需進行安全域劃分。從圖1我們可以發(fā)現(xiàn)工業(yè)控制系統(tǒng)是一種縱向分層的網絡結構，各層間采用有效的物理隔離或技術隔離，禁止任何HTTP，Telnet，F(xiàn)TP等網絡協(xié)議通過區(qū)域邊界。且工業(yè)控制系統(tǒng)中多采用Modbus，CANBus和PROFIBUS等通信協(xié)議，這些協(xié)議大多都能找到對應的協(xié)議內容，且有些已被黑客逆向攻破。由此可見，各層間的區(qū)域劃分、通信協(xié)議的安全性是工業(yè)控制系統(tǒng)面臨的挑戰(zhàn)之一。

（3）主機安全方面

由于工業(yè)企業(yè)往往注重系統(tǒng)的可用性，因此在操作系統(tǒng)中為避免系統(tǒng)沖突，在工業(yè)控制系統(tǒng)的工程師站、服務器等設備通常不安裝安全補丁、防惡意代碼軟件、入侵防御等具有病毒查殺和阻止入侵行為的軟件，通常采用白名單軟件的方式。而且DDC控制器、PLC 控制器等在主機安全層面還無法適用，因此現(xiàn)場工控設備、白名單的安全策略、離線環(huán)境下系統(tǒng)升級等是工控系統(tǒng)安全測評需要重點關注的內容。

（4）應用安全和數(shù)據(jù)安全方面

應用系統(tǒng)是工業(yè)數(shù)據(jù)的主要載體，其安全性直接關系到工業(yè)控制系統(tǒng)的數(shù)據(jù)安全；且多數(shù)工業(yè)控制系統(tǒng)具有運行監(jiān)測，功能通過大屏幕24小時實時監(jiān)測工控系統(tǒng)的運行，因此應用安全中有關資源控制的測評項并不適用于工業(yè)控制系統(tǒng)。而且工業(yè)控制系統(tǒng)會產生大量的工業(yè)數(shù)據(jù)，囊括了從客戶需求到銷售、訂單、研發(fā)、設計、制造等產品全生命周期的各類數(shù)據(jù)，這些數(shù)據(jù)價值巨大，如何確保數(shù)據(jù)遠程傳輸安全、數(shù)據(jù)集中存儲安全是工控系統(tǒng)迫切需要解決的問題。

3 工業(yè)控制系統(tǒng)等級保護測評

總體原則、技術要求和管理要求是工業(yè)控制系統(tǒng)等級保護的三類說明，其中工業(yè)控制系統(tǒng)整體提出的安全域保護原則是總體原則；技術要求針對工業(yè)控制系統(tǒng)的軟件、硬件、網絡協(xié)議等安全性、通信協(xié)議等要素；管理要求針對工業(yè)控制系統(tǒng)的人員管理、運維管理、制度管理等要素，但工業(yè)控制系統(tǒng)的防護措施也需保證對系統(tǒng)的正常運行不產生危害，并得到現(xiàn)場實踐驗證。參照等級保護測評的要求，結合上述分析，實施工業(yè)控制系統(tǒng)等級保護測評時，還應重點關注以下要求：

（1）物理和環(huán)境安全：室外工作的控制設備的安裝環(huán)境是否具有防火、絕緣等防護能力，并可避免電磁干擾影響。

（2）網絡結構安全：工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)、工業(yè)控制系統(tǒng)內部是否進行區(qū)域劃分，區(qū)域之間是否采取技術或物理手段隔離。

（3）各安全域訪問控制：在工業(yè)控制系統(tǒng)各安全域之間是否部署訪問控制設備，設置有效的訪問控制規(guī)則，控制策略失效時及時報警。

（4）通信傳輸安全：在工業(yè)控制系統(tǒng)內使用指令交換數(shù)據(jù)時，是否采用加密認證手段實現(xiàn)數(shù)據(jù)加密傳輸；對需要無線通信傳輸?shù)脑O備，是否對未經授權的無線設備進行攔截并報警。

（5）接口安全：是否關閉或拆除控制設備上的USB接口、串行口、光驅等，是否采取有效措施保證對外接口的安全。

（6）系統(tǒng)補丁和風險安全：更新系統(tǒng)補丁、惡意代碼庫、白名單庫前，是否在測試環(huán)境中通過測試，并保證系統(tǒng)的可用性，應有安全人員負責并保存更新記錄。

（7）安全事件處置：工業(yè)控制系統(tǒng)大多應用于化工、石油、醫(yī)藥等領域，應考慮是否建立工業(yè)控制系統(tǒng)聯(lián)合防護及應急機制，是否定期對應急機制進行演練，是否對安全事件進行總結、教育和培訓等。

4 結 語

隨著工業(yè)互聯(lián)網的發(fā)展，工業(yè)控制系統(tǒng)得到了各國的廣范關注，但因其行業(yè)的特殊性，在信息安全方面存在較多的安全風險。本文首先總結了工業(yè)控制系統(tǒng)和傳統(tǒng)信息系統(tǒng)的區(qū)別，其次結合工業(yè)控制系統(tǒng)自身特點，分析了工業(yè)控制系統(tǒng)在現(xiàn)行等級保護測評標準下的一些特殊性，最后，考慮總體原則，提出了開展工業(yè)控制系統(tǒng)等級保護測評需要重點關注的要求，為工業(yè)企業(yè)和測評機構開展此類工作提供一定的借鑒。

參考文獻

[1] GB/T 33007-2016 工業(yè)通信網絡 網絡和系統(tǒng)安全 建立工業(yè)自動化和控制系統(tǒng)安全程序[S].北京：標準出版社，2016.

[2] GB/T 33009.1-2016 工業(yè)自動化和控制系統(tǒng)網絡安全 集散控制系統(tǒng)（DCS）第1部分：防護要求[S].北京：標準出版社，2016.

[3]盧凱，趙云飛，柯皓仁.工業(yè)控制系統(tǒng)信息安全等級保護測評方案研究[J].信息網絡安全，2016（S1）：107-111.

[4] FALCO J，STOUFFER K，SCARFONE，K. Guide to Industrial Control Systems（ICS）Security[EB/OL].https：//www.researchgate.net/publication/264037960_Guide_to_Industrial_Control_Systems_ICS_Security，2016-4-11.

[5]彭勇，江常青，謝豐，等.工業(yè)控制系統(tǒng)信息安全研究進展[J].清華大學學報（自然科學版），2012（10）：1396-1408.

[6]何之棟，裘坤，鐘晨，等.工業(yè)控制系統(tǒng)的信息安全問題研究[J].工業(yè)控制計算機，2013（10）：1-4.

[7]陳雪鴻，葉世超，石聰聰.淺談工業(yè)控制系統(tǒng)信息安全等級保護定級工作[J].自動化博覽，2015（5）：66-70.

[8] GB/T22239-2008 信息系統(tǒng)安全等級保護基本要求[S].北京：標準出版社，2008.