閆 飛

（中國核電工程有限公司，北京 100840）

0 引言

近些年，全球核電產(chǎn)業(yè)在能源需求持續(xù)增加、全球經(jīng)濟(jì)逐步復(fù)蘇、環(huán)境問題日益復(fù)雜等諸多背景的推動(dòng)下，逐漸從日本福島核事故的沉寂中走出，呈現(xiàn)出回升態(tài)勢(shì)，根據(jù)IAEA公布的《2050年能源、電力和核電預(yù)測(cè)》報(bào)告，在高值情況下，預(yù)計(jì)到2030年和2050年，核電發(fā)電量在全球總發(fā)電量中的占有率將會(huì)達(dá)到13.5%和12.1%[1]。在全球核電產(chǎn)業(yè)復(fù)蘇的同時(shí)，工業(yè)控制系統(tǒng)信息安全問題正在嚴(yán)重威脅核電的安全[2]：2003年美國俄亥俄州DavisBesse核電站遭遇名為“監(jiān)獄”的病毒襲擊，導(dǎo)致核電站安全監(jiān)控系統(tǒng)整整癱瘓了5小時(shí)；2010年伊朗布什爾核電站遭受名為“震網(wǎng)”電腦病毒的毀滅性打擊，離心機(jī)部分功能失效，致使工廠出現(xiàn)物理損壞；德國Gundremmingen核電站的計(jì)算機(jī)系統(tǒng)遭受網(wǎng)絡(luò)攻擊，為防止不測(cè)，核電站被迫停止運(yùn)行等一系列工控系統(tǒng)的安全事件表明，一直以來被認(rèn)為相對(duì)安全的工業(yè)控制系統(tǒng)已經(jīng)成為黑客的攻擊目標(biāo)，特別是工業(yè)控制網(wǎng)絡(luò)中的終端設(shè)備極易成為敵人的入侵入口，與此同時(shí)，由于核電行業(yè)除了滿足電力需求之外，關(guān)乎國家的戰(zhàn)略安全，一旦破壞會(huì)對(duì)社會(huì)、民眾、環(huán)境帶來不可預(yù)計(jì)的后果。因此，核電產(chǎn)業(yè)相關(guān)的信息安全問題一定要加以重視。

本文以工業(yè)控制網(wǎng)絡(luò)中的終端設(shè)備信息安全防范作為研究對(duì)象，對(duì)工業(yè)控制系統(tǒng)的概念、終端設(shè)備面臨的威脅、終端設(shè)備信息安全防護(hù)體系設(shè)計(jì)原則及構(gòu)架和運(yùn)行過程進(jìn)行闡述。

1 工業(yè)控制系統(tǒng)基本概念及終端威脅分析

1.1 工業(yè)控制系統(tǒng)基本概念

工業(yè)控制系統(tǒng)（ICS，Industrial Control System）是一類用于工業(yè)生產(chǎn)控制系統(tǒng)的簡(jiǎn)稱，主要包括監(jiān)視控制與數(shù)據(jù)采集系統(tǒng)、過程控制系統(tǒng)、分布式控制系統(tǒng)、可編程邏輯控制器以及其他相關(guān)配置系統(tǒng)[3]。據(jù)統(tǒng)計(jì)，國內(nèi)80%的關(guān)鍵基礎(chǔ)設(shè)施部署并依賴于ICS[4]，是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。其中，終端是系統(tǒng)的具體實(shí)施、維護(hù)、監(jiān)控單元，主要包括上位機(jī)、工程師站、操作員站、服務(wù)器等終端。

1.2 工業(yè)控制系統(tǒng)終端設(shè)備信息安全威脅分析

隨著中國制造2025和工業(yè)4.0的全面推進(jìn)，工業(yè)化與信息化的融合趨勢(shì)越來越明顯。工業(yè)控制系統(tǒng)逐步從封閉走向開放，從單機(jī)走向互聯(lián)，越來越多的協(xié)議、通用軟硬件被應(yīng)用到工業(yè)控制系統(tǒng)中，但是伴隨而來的病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散，特別是系統(tǒng)中的終端設(shè)備因?yàn)閿?shù)量較多、部署較為分散、被接觸和使用人員屬性較為復(fù)雜等特征，易被不法分子作為攻擊工業(yè)控制系統(tǒng)的主要入口，而終端設(shè)備直接關(guān)系到系統(tǒng)的最終實(shí)施，一旦遭受攻擊，會(huì)直接導(dǎo)致生產(chǎn)停滯、財(cái)產(chǎn)損失、甚至人員傷亡的嚴(yán)重后果。因此，終端設(shè)備的信息安全問題要引起足夠的重視，其潛在的威脅主要包括[5]：

1）控制系統(tǒng)面臨病毒攻擊的風(fēng)險(xiǎn)。傳統(tǒng)工業(yè)系統(tǒng)是封閉系統(tǒng)，也稱單機(jī)系統(tǒng)，不用考慮聯(lián)網(wǎng)情況。當(dāng)時(shí)病毒入侵工業(yè)控制系統(tǒng)的方式主要是通過外圍設(shè)備與控制系統(tǒng)直接連接，將外圍設(shè)備中的病毒植入到控制系統(tǒng)中，入侵方式比較單一?，F(xiàn)在隨著工業(yè)“互聯(lián)網(wǎng)+”的推進(jìn)，IT和OT實(shí)現(xiàn)互聯(lián)，必然導(dǎo)致一批系統(tǒng)和設(shè)施暴露，使病毒入侵控制系統(tǒng)的方式大大增加。同時(shí)大量工控系統(tǒng)漏洞、攻擊方法可以通過互聯(lián)網(wǎng)等多種渠道獲取，許多技術(shù)分析報(bào)告給出了網(wǎng)絡(luò)攻擊步驟、攻擊代碼甚至攻擊工具等詳細(xì)信息，極易被黑客、商業(yè)競(jìng)爭(zhēng)對(duì)手等不法分子利用。

2）移動(dòng)存儲(chǔ)介質(zhì)使用風(fēng)險(xiǎn)大。終端設(shè)備由于其封閉性，更普遍使用U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備傳遞數(shù)據(jù)，但是由于系統(tǒng)漏洞多、升級(jí)慢，其遭受攻擊的可能性更大，如Stuxnet震網(wǎng)病毒即通過此種途徑傳播，一旦病毒入侵，就會(huì)在內(nèi)網(wǎng)迅速復(fù)制傳播，感染整個(gè)控制網(wǎng)絡(luò)。

3）缺乏對(duì)用戶操作、網(wǎng)絡(luò)行為的記錄及審核?，F(xiàn)實(shí)環(huán)境中通常缺乏針對(duì)工業(yè)控制系統(tǒng)的安全日志審計(jì)及配置變更管理，導(dǎo)致安全事故的分析難以進(jìn)行。這是因?yàn)椴糠止I(yè)控制系統(tǒng)可能不具備審計(jì)功能或者雖有日志審計(jì)功能但系統(tǒng)的性能要求決定了它不能開啟審計(jì)功能所造成的結(jié)果。同時(shí)，目前的IT安全審計(jì)產(chǎn)品因缺乏對(duì)工業(yè)控制協(xié)議的解析能力而不能直接用于工業(yè)控制系統(tǒng)中。

2 工業(yè)控制系統(tǒng)終端設(shè)備信息安全防護(hù)體系設(shè)計(jì)原則及方案

2.1 工業(yè)控制系統(tǒng)終端設(shè)備信息安全防護(hù)體系設(shè)計(jì)原則

中國的核安全標(biāo)準(zhǔn)體系相對(duì)較為完善，依托的國家法律主要有《中華人民共和國環(huán)境保護(hù)法》《中華人民共和國放射性污染防治法》等；國務(wù)院行政法規(guī)為HAF系列，主要有《中華人民共和國民用核設(shè)施安全監(jiān)督管理?xiàng)l例》HAF001、《中華人民共和國核材料管制條例》HAF501、《核電廠核事故應(yīng)急管理?xiàng)l例》HAF002、《民用核安全設(shè)備監(jiān)督管理?xiàng)l例 500號(hào)令》等；指導(dǎo)性文件主要是核安全導(dǎo)則HAD，與核電廠數(shù)字儀控系統(tǒng)相關(guān)的有通用系列HAF003/質(zhì)保類導(dǎo)則、HAD102/01核電廠設(shè)計(jì)總的安全原則、HAD102/10核電廠保護(hù)系統(tǒng)及有關(guān)設(shè)備、HAD102/14核電廠安全有關(guān)儀表和控制系統(tǒng)、HAD102/16核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件、HAD102/17核動(dòng)力廠安全評(píng)價(jià)與驗(yàn)證等?？刂葡到y(tǒng)設(shè)計(jì)應(yīng)以上述法律和文件為指導(dǎo)思想，構(gòu)建集技術(shù)、管理于一體的全面的安全防御體系。

2.2 工業(yè)控制系統(tǒng)終端設(shè)備信息安全防護(hù)體系設(shè)計(jì)方案

工業(yè)控制系統(tǒng)終端信息安全防護(hù)體系主要包含3個(gè)部分：主機(jī)防護(hù)系統(tǒng)、網(wǎng)絡(luò)管理平臺(tái)和應(yīng)用信譽(yù)庫，其基本構(gòu)架如圖1所示。其中，主機(jī)防護(hù)系統(tǒng)可以識(shí)別、阻止任何白名單外的程序、腳本運(yùn)行，對(duì)通過網(wǎng)絡(luò)、U盤等傳入系統(tǒng)的病毒、木馬、惡意程序具有阻止運(yùn)行、阻止傳播、分析識(shí)別的能力，同時(shí)可以關(guān)閉無關(guān)的主機(jī)外設(shè)通道，有效防止無線連接情況下的數(shù)據(jù)外泄；網(wǎng)絡(luò)管理平臺(tái)統(tǒng)一管理工業(yè)控制系統(tǒng)內(nèi)部所有主機(jī)防護(hù)客戶端，并收集、匯總、更新、同步單獨(dú)客戶端的黑白名單數(shù)據(jù)庫，統(tǒng)一管理企業(yè)消息推送，統(tǒng)一管理企業(yè)自建可信應(yīng)用信譽(yù)庫，并與本地工業(yè)防火墻聯(lián)動(dòng)；應(yīng)用信譽(yù)庫利用漏洞挖掘技術(shù)、智能分析技術(shù)建立的全球性應(yīng)用信譽(yù)系統(tǒng)，可有效分析不同操作系統(tǒng)、不同應(yīng)用廠家、不同工業(yè)行業(yè)的應(yīng)用可信性，并針對(duì)不同行業(yè)、不同應(yīng)用場(chǎng)景形成配置模板，能方便、有效的適配各種工作場(chǎng)景。

終端設(shè)備信息安全防護(hù)體系部署位置如圖2所示，在工控網(wǎng)絡(luò)內(nèi)部每臺(tái)工程師站、操作員站、服務(wù)器等設(shè)備部署防護(hù)體系，其運(yùn)行機(jī)制主要包括事前部署、事中監(jiān)督和事后審計(jì)。

圖1 控制系統(tǒng)信息安全防護(hù)體系總框圖Fig.1 General block diagram of information security protection system for control system

1）事前部署。防護(hù)體系運(yùn)行之前，首先對(duì)終端設(shè)備進(jìn)行權(quán)責(zé)明確，確保工作站系統(tǒng)只有特定的人員才可以操作，支持分權(quán)分域設(shè)計(jì)，對(duì)員工的操作記錄記入日志服務(wù)器供事后審計(jì)；黑白名單的建立可通過自動(dòng)掃描、軟件安裝跟蹤、軟件升級(jí)跟蹤、自定義添加等手段生成；對(duì)于對(duì)外接口如USB接口、光驅(qū)、串口等接口上的操作可由管理員配置，實(shí)現(xiàn)記錄和審計(jì)；建立系統(tǒng)內(nèi)部的可信應(yīng)用信譽(yù)庫，為企業(yè)可信應(yīng)用提供認(rèn)證、下載和升級(jí)服務(wù)，可防止被惡意軟件感染的工作軟件通過U盤拷貝等方式在企業(yè)內(nèi)傳播，管理員可以進(jìn)行應(yīng)用的推薦、強(qiáng)制安裝或卸載等操作。企業(yè)針對(duì)運(yùn)行特定任務(wù)的工作站，可以綜合運(yùn)用多種方法配置白名單，最后將白名單和控制策略等保存為模板，相同工作站可以一鍵式調(diào)用，減少配置工作量。

2）事中監(jiān)督。系統(tǒng)運(yùn)行過程中，只允許運(yùn)行白名單中的程序、腳本和插件，惡意軟件/病毒/未授權(quán)安裝的軟件等都被阻止運(yùn)行，軟件的變動(dòng)都被記錄和審計(jì)，對(duì)異常行為數(shù)據(jù)、非法卸載、停止本軟件的應(yīng)用程序、服務(wù)及驅(qū)動(dòng)，可根據(jù)策略配置進(jìn)行告警、提示或阻止，防止系統(tǒng)被篡改和植入后門。監(jiān)控和報(bào)告關(guān)鍵配置文件，以及關(guān)鍵注冊(cè)表項(xiàng)的更改，可以由管理員定制添加；只有經(jīng)過認(rèn)證的特定移動(dòng)設(shè)備才可以在特定的主機(jī)上運(yùn)行，根據(jù)策略執(zhí)行是否允許所有或特定移動(dòng)存儲(chǔ)設(shè)備操作，可細(xì)分為允許讀、允許寫、允許讀寫；可配置禁止USB存儲(chǔ)設(shè)備自動(dòng)執(zhí)行，防止惡意程序利用漏洞自動(dòng)運(yùn)行。日志、告警記錄：豐富、全面的日志記錄，可以根據(jù)策略記錄允許執(zhí)行的管理員、應(yīng)用程序名、時(shí)間、證書、公司名等；如果不允許執(zhí)行，記錄管理員、應(yīng)用程序名、時(shí)間、失敗原因；記錄違反安全策略的行為。支持syslog接口，可以將日志輸出到第三方日志服務(wù)器。

圖2 控制系統(tǒng)終端設(shè)備防護(hù)體系部署框圖Fig.2 Control system terminal equipment protection system deployment block diagram

3）事后審計(jì)。系統(tǒng)根據(jù)策略記錄被允許執(zhí)行的管理員、應(yīng)用程序名、時(shí)間、證書、公司名等，如果不被允許執(zhí)行，記錄管理員、應(yīng)用程序名、時(shí)間、失敗原因以及違反安全策略的行為，同時(shí)支持將記錄信息輸出到第三方服務(wù)器，以供后期檢查和分析；系統(tǒng)可以將記錄信息與大數(shù)據(jù)安全關(guān)聯(lián)，對(duì)系統(tǒng)內(nèi)的日志和警告信息進(jìn)行綜合分析，深度挖掘安全事件，如某款不在白名單中的軟件在多臺(tái)工作站試圖安裝，某個(gè)賬號(hào)在多臺(tái)終端試圖登錄等，生成安全事件警告，并定期輸出企業(yè)安全度檢查報(bào)告；系統(tǒng)會(huì)定期生成企業(yè)安全態(tài)勢(shì)分析報(bào)表，對(duì)近期企業(yè)安全事件、風(fēng)險(xiǎn)和管理進(jìn)行分析和匯報(bào)。

3 結(jié)論

本文全面分析了當(dāng)前工控系統(tǒng)中終端設(shè)備安全防護(hù)的特點(diǎn)和難點(diǎn)，針對(duì)終端設(shè)備面臨的信息安全風(fēng)險(xiǎn)，從主機(jī)防護(hù)系統(tǒng)、網(wǎng)絡(luò)管理平臺(tái)和應(yīng)用信譽(yù)庫3個(gè)方面分析，形成較為完整的信息安全防護(hù)體系，對(duì)相關(guān)行業(yè)控制領(lǐng)域的信息安全防護(hù)的建設(shè)具有借鑒意義。