王 照，羅佳鈺

（中車株洲電力機車有限公司，湖南 株洲 412001）

1 工業(yè)控制系統(tǒng)信息安全防護的重要價值

隨著工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)發(fā)展，工業(yè)控制系統(tǒng)信息安全防護更加重要。工業(yè)控制系統(tǒng)軟件正在變得愈來愈龐大，無論架構(gòu)、機制或是代碼的復(fù)雜度都在不斷增加。復(fù)雜就意味著缺陷（漏洞）不可避免。隨著工業(yè)控制系統(tǒng)進入工業(yè)互聯(lián)網(wǎng)時代，從技術(shù)角度而言，網(wǎng)絡(luò)空間信息系統(tǒng)基本要素的各個環(huán)節(jié)在任何時候都可能成為被攻擊的目標和要點。物理上所保證的邏輯連通給網(wǎng)絡(luò)攻擊和病毒破壞創(chuàng)造了最為基礎(chǔ)的條件。另外，現(xiàn)有國內(nèi)工業(yè)控制系統(tǒng)大部分組件都從國外進口，未能實現(xiàn)自主可控，存在后門或邏輯炸彈的可能性較大，漏洞數(shù)量也比較多。

綜上所述，工業(yè)控制系統(tǒng)很容易遭受非法入侵，導致核心生產(chǎn)數(shù)據(jù)被竊取，威脅工業(yè)生產(chǎn)安全。之所以要加強工控系統(tǒng)信息安全防護，是因為有效提升系統(tǒng)運行安全性，以便積極應(yīng)對攻擊風險，為工業(yè)領(lǐng)域的生產(chǎn)活動帶來安全保障[1]。

2 工業(yè)控制系統(tǒng)信息安全風險發(fā)展趨勢

2.1 攻擊途徑多元化

工業(yè)控制系統(tǒng)具備固定的結(jié)構(gòu)，多為系統(tǒng)具備拓撲結(jié)構(gòu)和通信模式固定，但網(wǎng)絡(luò)動態(tài)簡單，構(gòu)成元素繁多。工控系統(tǒng)入侵途徑較廣，多數(shù)來源于移動介質(zhì)、現(xiàn)場總線、以太網(wǎng)、因特網(wǎng)甚至錯誤操作，增加了安全防護的難度，容易存在安全防護漏洞。因攻擊途徑呈現(xiàn)出多元化，由于防火墻或者設(shè)備配置不當，極有可能造成系統(tǒng)陷入安全風險，如控制網(wǎng)絡(luò)數(shù)據(jù)傳輸受到入侵、惡意傳播虛假信號、操作生產(chǎn)系統(tǒng)等引發(fā)安全事故?；蛘邤?shù)據(jù)傳輸過程中加密等級不夠，數(shù)據(jù)被攔截或竊聽，工業(yè)控制系統(tǒng)生產(chǎn)計劃被監(jiān)控，威脅生產(chǎn)安全。

2.2 攻擊目標多樣性

以工業(yè)控制系統(tǒng)為目標的攻擊多數(shù)來源于非法商務(wù)競爭、恐怖組織、不法分子等，也可能來源于競爭企業(yè)或黑客組織。在化工行業(yè)、冶金行業(yè)、核電行業(yè)等均采取工業(yè)控制系統(tǒng)，可能成為攻擊目標。很多工業(yè)控制系統(tǒng)雖然被物理隔離，但在管理平臺中儲存了大量工業(yè)生產(chǎn)數(shù)據(jù)，在工作人員訪問管理平臺中帶入病毒程序，易造成數(shù)據(jù)泄露或者篡改，泄露重要信息，給企業(yè)帶來嚴重損失?；蛘邜阂鈩h除數(shù)據(jù)資料，企業(yè)并未進行數(shù)據(jù)備份，造成生產(chǎn)數(shù)據(jù)丟失，嚴重影響企業(yè)正常運行。

2.3 攻擊后果嚴重

工業(yè)控制系統(tǒng)是諸多行業(yè)的重要生產(chǎn)系統(tǒng)，工業(yè)控制系統(tǒng)受到威脅和攻擊可能直接使制造業(yè)的生產(chǎn)受阻，嚴重影響社會生產(chǎn)。尤其是在各行業(yè)生產(chǎn)規(guī)模和產(chǎn)能不斷發(fā)展的今天，生產(chǎn)流程高度機械化和集成化，一旦發(fā)生安全事故，系統(tǒng)很難立即恢復(fù)，將給各個企業(yè)造成巨大經(jīng)濟損失，甚至影響社會正常運行，引發(fā)嚴重后果。應(yīng)用工業(yè)控制系統(tǒng)密集的行業(yè)多為關(guān)系到國計民生的支柱行業(yè)，對于信息安全要求高，多數(shù)采取獨立防御措施，因此安全防護較為集中，若受到非法攻擊將影響正常的生產(chǎn)流程，造成難以估計的后果。

2.4 安全防護困難

在多個行業(yè)中新系統(tǒng)和舊系統(tǒng)并行運行，很多舊系統(tǒng)并未考慮到信息安全問題，無法進行升級改造，無法形成一體化安全防護體系。系統(tǒng)使用不同品牌的設(shè)備，對于安全防護程序的適用條件不同，安全防護策略需要根據(jù)設(shè)備情況設(shè)置，無法實現(xiàn)統(tǒng)一的安全管理。此外，工業(yè)控制系統(tǒng)的接入設(shè)備較為分散，影響程度不一，安全管理難度較高，信息安全防護面臨巨大挑戰(zhàn)。很多工業(yè)控制設(shè)備在出廠時并未設(shè)置身份驗證程序，很多身份信息未進行加密處理，極容易被破解，造成外部人員冒充進入系統(tǒng)，或者員工越級訪問操作，增加安全防護的難度。

3 工業(yè)控制系統(tǒng)的信息安全解決方案

3.1 主要問題

工業(yè)控制系統(tǒng)主要可以分為控制層面和管理層面，控制層面包括DCS控制器、生產(chǎn)設(shè)備、通信工具等；監(jiān)控層面包括數(shù)據(jù)采集、監(jiān)控設(shè)備等。目前工業(yè)控制系統(tǒng)信息安全防護主要面臨以下問題：

3.1.1 對信息安全重視度不高

因很多企業(yè)對于安全防護的重視程度不高，并未制定科學合理的安全管理方案，未加強對設(shè)計人員安全意識的培養(yǎng)。長此以往將造成安全意識淡薄，只關(guān)注實際生產(chǎn)能力，忽略了安全建設(shè)，為工業(yè)控制系統(tǒng)安全生產(chǎn)埋下了安全隱患。

3.1.2 通信方式落后

工業(yè)控制系統(tǒng)包括部分老舊系統(tǒng)，系統(tǒng)通信方式滯后，在串行連接基礎(chǔ)上進行網(wǎng)絡(luò)的訪問，在設(shè)計時只考慮到通信的有效性，忽略了信息安全性。此外，通信方案未考慮到身份認證和數(shù)據(jù)保密等方面，存在一定程度的考慮不足，影響通信安全。

3.1.3 管理接入設(shè)備松懈工業(yè)控制系統(tǒng)對于接入設(shè)備的管理相對松懈，對于限定條件不明確的設(shè)備直接接入網(wǎng)絡(luò)，給工業(yè)控制系統(tǒng)帶來病毒風險。缺乏對工業(yè)控制系統(tǒng)訪問用戶、設(shè)備的安全識別，未能有效防護接入風險。

3.1.4 物聯(lián)化水平不斷提高

如今我國信息技術(shù)和智能技術(shù)快速發(fā)展，讓工業(yè)生產(chǎn)水平快速提高，給工業(yè)企業(yè)帶來了巨大的發(fā)展空間。工業(yè)控制系統(tǒng)物聯(lián)化水平越來越高，越來越多自動化設(shè)備、智能化設(shè)備接入系統(tǒng)，提高系統(tǒng)自動響應(yīng)程度。同時也面臨著越來越多安全風險，物聯(lián)技術(shù)的引進也帶入了更多安全風險，提高了信息安全防護的難度。

3.2 主要解決方案

為解決工業(yè)控制系統(tǒng)信息安全問題，提出了以下兩種解決方案。

3.2.1 通過技術(shù)手段建立工控安全防護體系

遵照等級保護2.0與工信部工業(yè)互聯(lián)網(wǎng)分類分級的工作要求，著眼未來，以IEC 62443-1-1標準層級為基礎(chǔ)，通過安全防護功能軟件、安全隔離設(shè)備以及安全管理平臺，構(gòu)成主動隔離框架，構(gòu)建了符合自身的安全防護架構(gòu)的工控安全防護模型，工控網(wǎng)絡(luò)劃分遵照原有生產(chǎn)網(wǎng)絡(luò)架構(gòu)，原則上不同生產(chǎn)區(qū)域間禁止非授權(quán)訪問。在原有網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上新增DMZ區(qū)，作為生產(chǎn)區(qū)域的運維管理區(qū)，部署安全設(shè)備集中管控平臺、脆弱性檢測系統(tǒng)、安全態(tài)勢分析系統(tǒng)等與運維操作相關(guān)的安全設(shè)備，實現(xiàn)安全運維管控。將整個工業(yè)控制系統(tǒng)按IEC 62443-1-1標準分為五層，其中，L0為現(xiàn)場設(shè)備層、L1為現(xiàn)場控制層、L2為過程監(jiān)控層、L3為生產(chǎn)管理層、L4為企業(yè)資源層。其中L4企業(yè)資源層為IT環(huán)境，其余均為OT環(huán)境。L0層、L1層為工業(yè)基礎(chǔ)環(huán)境，設(shè)備均為工業(yè)廠家黑盒設(shè)備，無法進行主機層面的安全加固。L1層至L2層之間通過流量進行實時監(jiān)測；L2層、L3層為工業(yè)監(jiān)測、管理環(huán)境，可以通過主機白名單進行主機層面安全管控；同時改兩層為不同區(qū)域，可以通過工控防火墻進行安全隔離；L3層、L4層之間為OT網(wǎng)與IT網(wǎng)連接點，可以通過工控網(wǎng)閘進行安全隔離。

在通信網(wǎng)絡(luò)安全防護方面，工業(yè)控制系統(tǒng)中常見的工業(yè)通信協(xié)議包括TCP(UDP)/IP、MODBUS、OPC、S7等，而工業(yè)通信協(xié)議本質(zhì)是不安全的，因此需要對工業(yè)現(xiàn)場協(xié)議進行深度檢測，分析協(xié)議指令、功能碼等特征，并且應(yīng)用OPC協(xié)議的通信網(wǎng)絡(luò)能夠動態(tài)適應(yīng) OPC的隨機業(yè)務(wù)端口，從而在傳輸層層面保證通信安全。

在通信傳輸安全防護方面，目前生產(chǎn)網(wǎng)絡(luò)未部署具有訪問控制功能的安全模塊，無法對通信網(wǎng)絡(luò)協(xié)議進行深度過濾，無法保障通信傳輸數(shù)據(jù)的安全，存在較多安全風險。需增加部署具備訪問控制功能、攻擊防護功能、行為審計功能、流量管理功能的工業(yè)級安全防護設(shè)備，對工控網(wǎng)絡(luò)進行深層級的安全防護。

在區(qū)域邊界防護方面，大部分企業(yè)工控網(wǎng)絡(luò)存在邊界界線模糊不清等問題，理論上來說，只要工控網(wǎng)絡(luò)可達的地方，網(wǎng)絡(luò)中任意一處安全漏洞引起的安全風險和威脅都可能影響到整個工控網(wǎng)絡(luò)，而不能將風險控制在最小范圍內(nèi)。因此需采用邊界隔離防護技術(shù)，合理劃分邊界，進行分區(qū)分域安全防護，原則上在每個安全域邊界采取邊界隔離措施，配置不同安全域間的安全策略，明確工控網(wǎng)絡(luò)中的不同安全域網(wǎng)絡(luò)邊界，對非授權(quán)或越權(quán)跨越邊界的行為進行阻斷并報警。

3.2.2 建立白名單管理環(huán)境

在工控信息安全中，只靠技術(shù)無法完全解決工控安全問題，基于工控系統(tǒng)相對固化的特點，威努特創(chuàng)新性地提出了建立工控系統(tǒng)的可信任網(wǎng)絡(luò)白環(huán)境和工控軟件白名單理念，基于該理念擴展構(gòu)筑工業(yè)控制系統(tǒng)“安全白環(huán)境”整體防護，從根源上節(jié)制未知惡意行為的發(fā)生和傳播，進一步保護工業(yè)基礎(chǔ)設(shè)施安全。

白名單防御技術(shù)是一種通過提前計劃好的協(xié)議、規(guī)則、策略來控制數(shù)據(jù)的交換，進行動態(tài)行為判斷。通過對約定協(xié)議、規(guī)則、策略的特征分析判斷進行限制，從根源上節(jié)制未知惡意行為的發(fā)生和傳播。白名單管理環(huán)境不僅可應(yīng)用于安全防護技術(shù)的設(shè)置規(guī)則，也是在實際管理中要遵循的原則，例如，在對設(shè)備和計算機進行實際操作時，需要使用指定的筆記本、U盤；管理人員只信任可識別的身份，未經(jīng)授權(quán)的行為將被拒絕；設(shè)備安全檢測明確安全風險等。

白名單安全環(huán)境主要包括以下方面。

（1）協(xié)議白名單：通過安全防護設(shè)備（如工業(yè)防火墻、工控終端安全軟件、全流量管控設(shè)備等）進行協(xié)議識別，阻斷非規(guī)則定義的協(xié)議進入控制端，只允許規(guī)則定義的協(xié)議通過，完成過濾非法的工業(yè)協(xié)議數(shù)據(jù)，僅允許正常的協(xié)議數(shù)據(jù)通過的目標。

（2）設(shè)備白名單：按照國家安全測評標準，配合主管檢測部門，建立工控設(shè)備安全檢測機制；利用工控安全檢測裝備（漏洞挖掘設(shè)備、漏洞掃描設(shè)備）檢測發(fā)現(xiàn)設(shè)備存在的已知、未知漏洞及后門，全面掌握設(shè)備的健壯性和安全性；建立準入白名單，形成設(shè)備準入白名單列表，謹慎選用存在漏洞和風險的系統(tǒng)及設(shè)備，對已經(jīng)投入使用的設(shè)備進行安全整改，加強設(shè)備安全防護。

（3）指令白名單：通過學習識別累積包括不限于建立指令集、操作規(guī)程等規(guī)則制度，或者采用行為審計設(shè)備等方式對現(xiàn)場操作流程及操作指令建立適合現(xiàn)場實際生產(chǎn)情況的指令白名單，阻斷誤操作或惡意操作指令，確保生產(chǎn)產(chǎn)線穩(wěn)定運行。

（4）主機白名單：通過技術(shù)手段對工控操作系統(tǒng)進行加固，掃描建立主機白名單，識別、阻止任何白名單外的程序運行，防范已知未知病毒、木馬、惡意程序運行和傳播及針對0day漏洞攻擊。

（5）軟件白名單：只允許經(jīng)過授權(quán)和安全評估的軟件才能在環(huán)境里運行，否則只能在測試環(huán)境里測試，安全評估包括不限于漏掃、代碼審計、模擬攻擊測試等。

上述解決方案通過技術(shù)手段建立工控安全防護體系投入較大，主要為利用第三方安全防護設(shè)備與軟件加強工業(yè)控制系統(tǒng)安全，建立白名單管理環(huán)境更重視從管理層面加強安全，兩者均具有一定的安全防護效果，而且是互補的防護方案。在實際應(yīng)用上需要根據(jù)行業(yè)控制系統(tǒng)的特征和運行情境合理搭配防護方案，以達到最優(yōu)防護效果。

4 結(jié)束語

綜上所述，工業(yè)控制系統(tǒng)信息安全防護具有重要價值，但隨著信息技術(shù)發(fā)展，工業(yè)控制系統(tǒng)面臨的信息安全風險逐漸呈現(xiàn)出攻擊途徑多元化、攻擊目標多樣性、攻擊后果嚴重、安全防護困難。我國工業(yè)控制系統(tǒng)安全防護仍然面臨著對信息安全重視度不高等問題，現(xiàn)階段主要采取技術(shù)手段建立安全防護體系、建立白名單管理環(huán)境的解決方案加強安全防護。通過從各層面建立解決方案，形成完善的防護安全體系，初步具備防范一般安全風險的能力?！?/p>