淺談工業控制系統安全體系建設

◆傅 鈺

?

淺談工業控制系統安全體系建設

◆傅 鈺

(江蘇國保信息系統測評中心有限公司 江蘇 215006)

工業控制系統廣泛用于冶金、電力、石油石化、先進制造等工業生產領域，以及航空、鐵路、公路、軌道交通等公共服務領域，是國家關鍵生產和基礎設施運行的中樞神經。近幾年針對工業控制系統的攻擊事件成上升趨勢，部分工業控制網絡的安全防護仍然存在諸多薄弱環節，工業控制系統直接危及到國家基礎設施的安全，安全防護刻不容緩。本文從工業控制系統的系統架構、安全形勢、安全風險以及安全防護體系建設方面展開討論。

工業控制系統；安全體系；風險分析

1 工業控制系統架構

工業控制系統是通過計算機、網絡通信、自動化控制技術進行工業生產和控制的系統。工業控制系統一般常用于電力、燃氣、軌道交通、石油石化、煙草等行業。

工業生產型企業的網絡按網絡用途可以分為辦公網和生產網。

辦公網主要用于企業用戶日常業務辦公的網絡，從整體網絡架構上可以理解為企業管理層，通常包括門戶網站、ERP、數據庫服務器，電子郵件系統等，部分企業的辦公網由于需要與外部單位進行溝通和業務往來，一般都設置互聯網出口。

生產網是企業用于工業生產和控制的網絡，生產網絡包含多個網絡層，網絡架構可以進一步劃分成MES層、過程監控層、現場控制層和現場設備層。MES層通常包括倉儲管理、計劃排產、歷史數據庫等系統；過程監控層通常包括操作員站、工程師站、監控服務器、實時數據庫和接口服務器；現場控制層通常包括DCS（分散控制系統）和PLC（可編程邏輯控制器）系統；現場設備層通常包括各種環境探測器、動力控制設備等。

2 工業控制系統安全形勢

工業控制系統作為重要的關鍵基礎實施，近幾年攻擊事件不斷，惡意組織通過精心策劃和預謀，利用了多種方式組合滲透到工業控制網絡內部對工業控制系統發起攻擊和破壞，典型的攻擊事件如下：

2010年10月伊朗核電站遭遇"震網"（Stuxnet）病毒攻擊，控制離心機運行，引發大面積設備故障，進而導致影響整個工業生產正常運行，帶來巨大的社會影響和經濟損失。

2015年12月烏克蘭電力系統遭受攻擊，感染了惡意代碼BlackEnergy（黑色能量），攻擊者入侵了監控管理系統SCADA下達斷電指令，導致了多個區域數小時的停電事故。

2017年5月全球爆發勒索病毒，除了在傳統計算機系統大肆傳播以外還向工業控制系統進行滲透，它們利用PLC系統自身的漏洞，采取橫向或縱向滲透的方式對PLC進行攻擊，鎖定設備合法用戶，對PLC中的程序代碼進行修改，發送勒索郵件，并觸發更嚴重的安全威脅。

針對工業控制系統嚴峻的安全形勢，近幾年國家對工業信息安全高度重視。 2016年10月工信部下發了《工業控制系統信息安全防護指南》對工業控制系統安全防護提出了指導意見；2017年6月1日，網絡安全法發布，其中要求對可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施實行重點保護，并提出相關保護要求和措施；2017年12月，工信部發布《工業控制系統信息安全行動計劃（2018-2020年）》提出建成全國在線監測網絡，應急資源庫，仿真測試、信息共享、信息通報平臺（一網一庫三平臺），態勢感知、安全防護、應急處置能力顯著提升的目標。

3 工業控制系統安全現狀與風險分析

工業生產型企業通常對傳統網絡的信息安全采取了一定的安全防護措施，但對工業控制系統信息安全缺乏足夠的重視，安全防護和管理能力不足，這就導致了工業控制網絡仍然存在較大的安全漏洞和風險。存在的安全風險主要包括如下幾個方面：

3.1 物理安全風險

物理安全主要是指存放信息系統和重要設備的物理場所（通常包括信息系統中心機房、重要設備的控制站、指揮中心等）的物理安全防護。缺乏有效的物理安全防護手段，非授權或惡意攻擊人員將可以隨意進出或非授權觸碰訪問重要設備，可能導致社會工程或物理鄰近攻擊。

3.2 網絡安全風險

網絡方面存在的主要問題是企業網絡區域劃分不合理，未劃分明確清晰的安全域，安全域與安全域之間為采取邊界隔離措施，最明顯的就是生產網直接與辦公網連接。辦公網由于業務往來需要與互聯網連接，這就導致了可能從互聯網出口引入更多的安全威脅，辦公網引入的安全威脅將進一步傳播滲透到生產網，進而對工業控制網絡進行攻擊和破壞。許多企業出于安全考慮雖然將辦公網絡和生產網絡采取物理隔離措施，但并不代表網絡就絕對安全可靠，震網病毒就是通過企業員工的移動存儲介質在私人電腦與工業控制網絡工作站之間進行擺渡從而實現對工業控制系統的攻擊。

3.3 主機安全風險

主機的安全風險主要包括病毒、木馬和蠕蟲的攻擊，以及通過移動外設引入的威脅。在大部分的用戶場景中已使用殺毒軟件進行安全防護。但是殺毒軟件主要還是針對已知的病毒和威脅進行防御，對于精心設計的攻擊病毒或木馬無法有效進行防御。部分用戶為了傳遞資料方便，開啟了工控網絡的工程師站電腦的USB接口，導致移動存儲介質混用，從其他網絡引入威脅到工控網絡，導致攻擊事件發生。

3.4 管理安全風險

管理方面主要存在的問題是未成立安全管理機構或機構設置不完善，未設置專人負責日常安全管理工作，總體安全方針、安全策略、安全管理制度、操作規程不健全或執行不到位，未加強信息安全意識和技能培訓，未定期開展應急演練等，這些問題都導致惡意份子利用管理疏漏對企業內部進行滲透和攻擊。

4 工業控制系統安全防護設計

4.1 安全域劃分

安全域是統一放置具有相同功能用途類別或安全級別的設備的區域，根據前文中所介紹的工控網絡區域，可以網絡區域為基礎單位劃分安全域，根據實際安全風險評估的情況，可在各安全域中進一步細化成若干個安全子域，增強安全訪問控制的力度。建議辦公網劃分成一個安全域，MES層劃分成一個安全域，過程監控層劃分成一個安全域，現場控制層和現場設備層劃分成一個安全域或各自獨立劃分安全域。

4.2 邊界防護設計

基于已經劃分的安全域在各安全域邊界部署工業控制防火墻設備，工業控制防火墻與我們通常接觸的傳統防火墻有一定的區別，除了支持常規的網絡攻擊防護和網絡訪問控制功能外，還能夠廣泛支持常用工業設備的控制協議，對工控協議進行深度解析，并且當異常攻擊流量經過該防火墻時，能夠進行阻斷和告警。在實際部署時根據安全防護的強度進行調整，當對安全保護級別要求較高時，可在SCADA服務器前端以及各DCS和PLC系統前端分部部署工業控制防火墻系統，此種部署方式能夠進一步對內部網絡的惡意攻擊進行防御。

4.3 漏洞發掘和安全監測

通過部署漏洞掃描系統定期對工業控制系統設備進行安全漏洞掃描和風險評估，及時修復安全漏洞，也可聘請專業的信息安全公司以服務的方式進行提供。同時部署異常流量監測系統對網絡中的異常流量進行監測，專職安全人員對監測數據進行分析和研判，及時發現異常攻擊行為，將攻擊源頭從網絡中斷開，避免攻擊影響進一步擴大，針對攻擊行為進一步采取安全防護和加固措施。

4.4 主機安全防護

在各工業控制系統控制終端上部署白名單軟件，只允許工業生產所需運行的程序運行，其他軟件全部禁止運行，進一步加強主機系統的安全性，同時通過移動存儲介質控制功能防止惡意代碼運行和傳播。

4.5 安全管理中心

部署安全管理中心對各安全設備進行統一安全管理，通過一個平臺可以集中管理所有安全防護或監測系統，集中收集各安全系統的日志，并進行匯總、關聯分析和展示，實現安全可控、可管和可視化。

4.6 信息安全管理

成立信息安全管理機構并設置專職的安全管理人員負責工業控制系統日常的安全管理工作，建立健全各項安全管理制度和操作規程，加強日常安全運維管理工作，制定網絡安全應急預案并定期進行演練，提升網絡安全事件的應急處置和系統功能恢復能力。

5 結語

信息技術不斷在發展，網絡安全威脅也在不斷發生變化，沒有網絡安全就沒有國家安全。隨著國家深化制造業與互聯網融合發展的重大舉措的實施，工業控制系統信息安全防護任重而道遠，作為一名信息安全從業人員，將以維護國家基礎設施安全為己任，為國家信息安全事業貢獻一份力量。

[1]肖建榮.工業控制系統信息安全[M].電子工業出版社， 2015.

[2]姚羽，祝烈煌，武傳坤.工業控制網絡安全技術與實踐.機械工業出版社，2017.