洛陽雙瑞萬基鈦業(yè)有限公司 黃燕峰 王麗娟 王少鵬 薛東曉

工業(yè)控制系統(tǒng)是關(guān)鍵基礎(chǔ)設(shè)施的重要部分，其關(guān)系到經(jīng)濟發(fā)展和社會穩(wěn)定。隨著工業(yè)向數(shù)字化、智能化方向發(fā)展，系統(tǒng)安全面臨安全威脅快速、攻擊復(fù)雜多樣等挑戰(zhàn)。保障工業(yè)控制系統(tǒng)安全，有助于我國工業(yè)制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展。

工業(yè)控制系統(tǒng)是用于操作、控制、數(shù)據(jù)收集、分布式控制和自動化工業(yè)生產(chǎn)的系統(tǒng)。工業(yè)控制系統(tǒng)涉及工廠生產(chǎn)、電力、能源等重點基礎(chǔ)設(shè)施，在經(jīng)濟中發(fā)揮著重要的作用。隨著工業(yè)互聯(lián)網(wǎng)技術(shù)發(fā)展，工業(yè)轉(zhuǎn)型增加了控制系統(tǒng)的對外連接。提高了系統(tǒng)運行效率和促進工業(yè)化創(chuàng)新，但同時也加劇了系統(tǒng)面臨的安全威脅。工業(yè)管理系統(tǒng)運行最初是為封閉環(huán)境，使用自己的通信協(xié)議，與其他網(wǎng)絡(luò)進行隔離。因此，在設(shè)計中主要考慮可靠性。相對于安全問題，對物理安全的關(guān)注較少。與傳統(tǒng)系統(tǒng)不同，工業(yè)控制系統(tǒng)是連接網(wǎng)絡(luò)和物理空間的紐帶，當(dāng)安全事件發(fā)生時，會造成信息的丟失，將導(dǎo)致嚴(yán)重的經(jīng)濟損失。為此，分析系統(tǒng)安全現(xiàn)狀，提出有針對性安全策略，具有重要的實踐意義。

1 工業(yè)控制系統(tǒng)安全概述

隨著信息化建設(shè)的推進，工業(yè)控制系統(tǒng)規(guī)模迅速擴大，成為關(guān)系經(jīng)濟正常運轉(zhuǎn)的重要領(lǐng)域。近年來，工業(yè)控制系統(tǒng)存在很多漏洞，包括系統(tǒng)中的一般風(fēng)險、漏洞，以及系統(tǒng)運行環(huán)境中隱患。系統(tǒng)漏洞數(shù)量也在持續(xù)增長，并且對于已識別的漏洞有很多是高風(fēng)險的。隨著技術(shù)進展，工業(yè)控制系統(tǒng)與MES、ERP和電子商務(wù)等系統(tǒng)對接，成為信息系統(tǒng)的一部分。在這個過程中不同部分相互隔離，信息安全措施沒有充分使用，并且也沒有得到評估。隨著工業(yè)自動化發(fā)展，可訪問的系統(tǒng)安全問題日益嚴(yán)重。從設(shè)備來看，PLC是上網(wǎng)次數(shù)最多的設(shè)備，其次是遠程控制終端?；ヂ?lián)網(wǎng)上提供的控制系統(tǒng)的廠商包括國內(nèi)外的控制系統(tǒng)制造商。工業(yè)控制系統(tǒng)漏洞數(shù)量增加，漏洞的風(fēng)險主要集中在服務(wù)器和數(shù)據(jù)上。漏洞潛在威脅也是最嚴(yán)重的，因為PLC、DCS在工業(yè)中被廣泛使用。主機軟件和PLC在公開披露的漏洞數(shù)量中位居前三，成為系統(tǒng)中最脆弱的組件。工業(yè)控制系統(tǒng)漏洞攻擊正在不斷演進，被攻擊數(shù)量不斷增加，使用網(wǎng)絡(luò)協(xié)議攻擊和病毒進行攻擊，工業(yè)控制系統(tǒng)控制漏洞同時也在增加[1]。

2 工業(yè)控制系統(tǒng)安全狀況

2.1 保護能力不足，缺乏恢復(fù)措施

為了從安全防護角度進行全面分析，需要對安全防護進行測試。測量定期接收病毒或軟件，但系統(tǒng)中一些主機未安裝防護措施，未更新惡意軟件，代碼庫或白名單在防病毒方面存在安全隱患。在補丁管理方面，一些工業(yè)企業(yè)沒有制定安全配置策略，未制定主機安全配置策略。一些工業(yè)企業(yè)尚未創(chuàng)建系統(tǒng)配置清單。此外，工業(yè)控制系統(tǒng)由于已識別的安全漏洞沒有得到修復(fù)。在安全防護方面，一些先進的企業(yè)管理采取了邏輯隔離的措施，大部分企業(yè)經(jīng)過多年的發(fā)展，對安全防護認(rèn)識也在逐步提高，將工控系統(tǒng)與內(nèi)部網(wǎng)絡(luò)進行有效的隔離。但是，由于一些企業(yè)沒有采取隔離措施，仍有企業(yè)工業(yè)控制系統(tǒng)面臨嚴(yán)重威脅。在隔離的系統(tǒng)中，只有小部分系統(tǒng)被劃分為安全區(qū)，有些工業(yè)企業(yè)只關(guān)心外區(qū)隔離，而忽略企業(yè)內(nèi)區(qū)的隔離。從實物防護來看，小部分企業(yè)沒有采取防護措施，工業(yè)企業(yè)比較重視傳統(tǒng)安全。但在主機安全方面，企業(yè)并未移除工業(yè)主機的外圍接口，未采取終端管理措施，未意識到存在潛在的威脅。一些工業(yè)管理系統(tǒng)沒有密碼或使用比較簡單的密碼，系統(tǒng)不定期更改密碼?；诠I(yè)控制系統(tǒng)，要求企業(yè)加強對工業(yè)控制系統(tǒng)的研究，采取多種方式認(rèn)證，加強系統(tǒng)信息的保密性，同時加強對實時控制系統(tǒng)的雙重要求。在遠程訪問方面，只有小部分工控系統(tǒng)在互聯(lián)網(wǎng)上開放服務(wù)，一些系統(tǒng)允許遠程訪問。允許遠程訪問的工業(yè)系統(tǒng)使用VPN來限制訪問權(quán)限、訪問地址限制等。加強遠程訪問控制措施，在安全監(jiān)控方面，使用安全監(jiān)控設(shè)備，使用深度信息防護分析和過濾功能。對于公安、網(wǎng)信等部門要通過在政策層面建立態(tài)勢感知和安全中心，加強對工業(yè)控制系統(tǒng)的監(jiān)控能力。在數(shù)據(jù)安全方面，工控系統(tǒng)對存儲數(shù)據(jù)需要采取加密、隔離或訪問措施，工控系統(tǒng)還需要對動態(tài)存儲數(shù)據(jù)采取保護措施。但只有部分企業(yè)工業(yè)控制系統(tǒng)定期備份重要數(shù)據(jù)，對測試數(shù)據(jù)采取保護措施。大多數(shù)工業(yè)系統(tǒng)都有實時數(shù)據(jù)，沒有采取安全措施來恢復(fù)數(shù)據(jù)，病毒或攻擊將會導(dǎo)致系統(tǒng)數(shù)據(jù)的丟失，將對系統(tǒng)運行產(chǎn)生重大影響。

2.2 系統(tǒng)結(jié)構(gòu)復(fù)雜

工業(yè)控制系統(tǒng)通常涉及PLC，數(shù)控機床，工業(yè)機器人、工業(yè)主機、數(shù)據(jù)采集和監(jiān)控系統(tǒng)?；诂F(xiàn)代化技術(shù)的發(fā)展，對于工業(yè)控制系統(tǒng)以PLC為主，但隨著智能儀表數(shù)量的增加，由此帶來安全威脅也逐漸顯現(xiàn)。工業(yè)控制系統(tǒng)包括生產(chǎn)管理設(shè)備、網(wǎng)絡(luò)通信設(shè)備、基礎(chǔ)設(shè)備、生產(chǎn)信息系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備，在實際業(yè)務(wù)運行中，存在工業(yè)生產(chǎn)管理水平較低的現(xiàn)狀。根據(jù)機器人產(chǎn)業(yè)需求及需求分析，工業(yè)機器人正變得越來越普遍。工業(yè)智能化程度很高，必須著眼于行業(yè)發(fā)展和產(chǎn)品的安全。在安全責(zé)任方面，需要建立工業(yè)控制系統(tǒng)管理機制，還需要應(yīng)業(yè)務(wù)范圍明確安全責(zé)任人。在應(yīng)急預(yù)案方面，需要制定安全事故應(yīng)急方案，按照預(yù)案定期開展安全培訓(xùn)，以有效應(yīng)對突發(fā)事件的控制。但是基于工業(yè)控制總體發(fā)展來看，行業(yè)組織對系統(tǒng)信息安全重視不夠，需要加強對行業(yè)信息安全的監(jiān)督。

3 工業(yè)控制系統(tǒng)安全應(yīng)用策略

3.1 統(tǒng)籌整體安全戰(zhàn)略

工業(yè)控制系統(tǒng)要關(guān)注內(nèi)部安全和功能問題，信息安全也導(dǎo)致了安全問題的沖突。黑客利用網(wǎng)絡(luò)攻擊基本功能設(shè)備，導(dǎo)致安全設(shè)備的使用有效性降低。功能安全可以解決一些安全問題，數(shù)據(jù)傳輸安全要求在傳輸中保證數(shù)據(jù)完整性，也是一種安全要求。因此，需要從技術(shù)、組織系統(tǒng)和操作系統(tǒng)等綜合考慮安全架構(gòu)，熟悉工業(yè)控制系統(tǒng)流程。從工控系統(tǒng)設(shè)備到ERP或MES系統(tǒng)，甚至現(xiàn)代化信息發(fā)展下的共享工業(yè)云、信息功能安全。解決信息安全與功能安全問題，同時要形成廣泛全面的安全體系，保障系統(tǒng)安全可靠運行[2]。

3.2 加強網(wǎng)絡(luò)安全監(jiān)管

基于當(dāng)前工業(yè)控制系統(tǒng)中的安全事件，大多數(shù)安全問題是由于管理疏忽造成的。因此，要做好系統(tǒng)安全管理，需要建立工業(yè)控制系統(tǒng)安全管理機制和漏洞掃描機制，加強對系統(tǒng)安全的組織管理，制定完善的防范措施?；谛袠I(yè)規(guī)范和制度，有效防止信息安全事件.列出符合工業(yè)控制系統(tǒng)現(xiàn)狀的管理需求，將安全管理轉(zhuǎn)移到系統(tǒng)建設(shè)、運維和關(guān)閉生命周期，通過全生命周期管理，將管理全生命周期劃分為若干措施，以創(chuàng)建管理體系。依法履行網(wǎng)絡(luò)安全管理職責(zé)，加強對管理系統(tǒng)安全監(jiān)督管理，促進核心職責(zé)的履行。傳達具體管理要求，確保良好的控制工業(yè)控制系統(tǒng)，同時要確保各項制度的全面貫徹與實施，有效保障工業(yè)控制系統(tǒng)穩(wěn)定安全運行。

3.3 構(gòu)建分級保護體系

基于工業(yè)控制系統(tǒng)安全相關(guān)的要求，包括漏洞評估及恢復(fù)、惡意代碼檢測、備份恢復(fù)管理和事件管理，包括軟件資源管理和監(jiān)控要求。工業(yè)控制系統(tǒng)進行等級評定，確?？梢园踩模蛟炀C合化管理保障體系?？v深防御是連接網(wǎng)絡(luò)環(huán)境中實現(xiàn)安全的策略，使用各種可用的方法，可以在保護能力、性能和運營效率取得平衡。在縱深防御中，人和操作是主要的因素。在管理系統(tǒng)中建立人因、設(shè)備訪問控制和監(jiān)督安全措施，制定技術(shù)上有效的戰(zhàn)略流程，以及實施適當(dāng)?shù)募夹g(shù)，關(guān)注維持組織安全所需的活動。在物理安全下，對工業(yè)體系進行系統(tǒng)的風(fēng)險分析，針對不同的威脅，實施具有層次不同的安全措施。從網(wǎng)絡(luò)邊界的保護和分配，為數(shù)據(jù)采用深度保護策略。

3.4 漏洞掃描總體架構(gòu)

根據(jù)漏洞的特點和層次結(jié)構(gòu)，采用漏洞掃描模型進行層次掃描。掃描模型的輸入為捕獲的工控流，為層次識別模塊。級別識別模塊根據(jù)輸入流分析存儲的設(shè)備，并使用級別識別算法獲得設(shè)備的級別，即過程級別和控制級別?？刂萍壴O(shè)備為工業(yè)網(wǎng)絡(luò)的PLC掃描敏感設(shè)備，管理級主要是主機。先進的設(shè)備由上位機、HMI設(shè)備、數(shù)據(jù)采集與控制、采集服務(wù)器等組成，是獨特的工業(yè)管理網(wǎng)絡(luò)設(shè)備，設(shè)備類型有利于漏洞掃描，學(xué)習(xí)HMI識別方法。漏洞掃描分為主動檢測和漏洞數(shù)據(jù)庫對比。主動檢測使用信息來分析使用協(xié)議，然后是設(shè)備制造商、類型、型號和版本等。根據(jù)協(xié)議生成詳細數(shù)據(jù)包，獲取設(shè)備信息，本質(zhì)上是顯示漏洞庫中的設(shè)備信息，以此來獲取漏洞信息。整體漏洞掃描系統(tǒng)由數(shù)據(jù)采集、設(shè)備檢測和漏洞掃描模塊組成。據(jù)采集模塊將擴展流對應(yīng)層次管理、過程層次，層次收集實時流數(shù)據(jù)。設(shè)備檢測模塊部署在服務(wù)器上，檢測目標(biāo)網(wǎng)絡(luò)上硬件信息，包括操作系統(tǒng)信、端口、服務(wù)、進程管理。以及工控網(wǎng)絡(luò)設(shè)備類型，端口掃描、服務(wù)識別和系統(tǒng)識別。管理硬件設(shè)備創(chuàng)建，分析硬件數(shù)據(jù)包，比對指紋庫以獲取設(shè)備詳細信息。主動和被動的結(jié)合旨在更全面地描述本質(zhì)。漏洞掃描模塊包含設(shè)備信息類型、制造商設(shè)備、網(wǎng)絡(luò)管理模型，以及傳統(tǒng)設(shè)備的開放端口和系統(tǒng)，搜索漏洞并獲取可能在設(shè)備上發(fā)現(xiàn)的漏洞。該模塊與資產(chǎn)模塊一起部署，對資產(chǎn)檢測信息進行分類處理后，將傳統(tǒng)設(shè)備的信息轉(zhuǎn)發(fā)到漏洞掃描工具進行掃描，將工業(yè)設(shè)備的信息傳送到常用的漏洞掃描工具進行掃描，用于漏洞比較的數(shù)據(jù)庫。

3.5 基于通信長度的HMI識別

HMI包括人機界面硬件和專用顯示組態(tài)軟件，ICS設(shè)備使用工業(yè)控制協(xié)議與PLC通信。傳統(tǒng)的漏洞掃描無法完全檢測出漏洞所有信息，必須首先識別HMI，確定關(guān)鍵是過程級設(shè)備差異。過程控制層歷史數(shù)據(jù)庫和HMI的各種功能都會帶來超時。使用硬件參數(shù)輸入數(shù)值控制參數(shù)，在PLC中監(jiān)控和設(shè)置等。HMI連接SCADA時，是流程中最長的，根據(jù)結(jié)果進入研究HMI和其他設(shè)備是否有通信長度級別的其他設(shè)備?；谶B接長度的HMI識別不完全可靠，因此在HMI識別時應(yīng)注意通訊頻率。HMI定時向PLC發(fā)起數(shù)據(jù)請求，通訊環(huán)路高于歷史數(shù)據(jù)庫。為了測量通信周期性，對通信數(shù)據(jù)包分組進行統(tǒng)計分析。將數(shù)據(jù)包按照分組范圍進行劃分，對分組排序。對于每個連接使用范圍標(biāo)準(zhǔn)差和范圍平均值來設(shè)置通信頻率，使用PC通信頻率，PC越大，頻率越差。分析過程級硬件流程數(shù)據(jù)，解決過程級識別混亂。HMI識別主要包括數(shù)據(jù)分組和鏈路長度統(tǒng)計等。將數(shù)據(jù)包按照分組間隔、通訊頻率進行分組，計算每組中的通訊時長，按通訊時長排序。HMI算法的輸入包含的PCAP和IP集合，PCAP是用來突出通信關(guān)聯(lián)。通信關(guān)聯(lián)包括源IP地址、源端口、目的IP、目的端口和數(shù)據(jù)包時間。分組時，將流分組為射線，將設(shè)備級返回到控制級的數(shù)據(jù)收集，然后根據(jù)射線的時間間隔對數(shù)據(jù)包分組。使用通訊頻率排除歷史數(shù)據(jù)庫數(shù)據(jù)，然后計算每個流鏈路長度，通過源IP求和，得到控制層IP和設(shè)備層IP總鏈路長度，使用最大鏈路長度來確定HMI。

3.6 基于漏洞分析的多級匹配

工業(yè)控制系統(tǒng)對實時性要求很高，主動掃描直接應(yīng)用會影響網(wǎng)絡(luò)設(shè)備的運行，造成硬件異常。因此漏洞掃描基于靜態(tài)匹配，靜態(tài)顯示漏洞掃描獲取設(shè)備信息，如設(shè)備類型、固件版本等。使用獲取到的設(shè)備信息查詢漏洞庫，獲取可能存在的漏洞，對漏洞進行一一檢查。檢測并獲取漏洞信息后，通過匹配數(shù)據(jù)庫設(shè)備索引，確定可能存在的漏洞信息。在創(chuàng)建漏洞數(shù)據(jù)庫時，不僅考慮漏洞庫完整性，還應(yīng)考慮合規(guī)性。

4 結(jié)語

綜上所述，工業(yè)控制系統(tǒng)在現(xiàn)代化發(fā)展，也面臨著諸多挑戰(zhàn)。因此，要充分認(rèn)識工業(yè)控制系統(tǒng)信息安全保護的關(guān)鍵，做好基礎(chǔ)設(shè)施的合理管控，樹立正確的安全理念，更新工業(yè)控制系統(tǒng)防范方法。加快制定工業(yè)安全控制法律標(biāo)準(zhǔn)，全力支持行業(yè)發(fā)展。積極推進工業(yè)控制系統(tǒng)安全控制，研發(fā)安全技術(shù)和設(shè)備，培養(yǎng)各類專業(yè)人才，提升工業(yè)控制系統(tǒng)安全控制水平。