陸　贊

（中國有色礦業(yè)集團(tuán)有限公司，北京100029）

基于工業(yè)控制系統(tǒng)的安全體系建設(shè)研究

陸贊

（中國有色礦業(yè)集團(tuán)有限公司，北京100029）

當(dāng)前，我國工業(yè)化和信息化的深度融合給工業(yè)控制系統(tǒng)（簡稱工控系統(tǒng)）帶來了巨大的發(fā)展機(jī)遇，也帶來了前所未有的挑戰(zhàn)。我國工控系統(tǒng)安全建設(shè)仍處在起步階段，如何建立全面的安全保障體系，減少面臨的內(nèi)外部的威脅，為推動兩化深度融合、工業(yè)轉(zhuǎn)型升級提供支持，是當(dāng)前我國工控信息安全領(lǐng)域面臨的重大挑戰(zhàn)。本文提出了一種針對工控系統(tǒng)的安全體系建設(shè)框架，為企業(yè)開展工控安全建設(shè)提供借鑒指導(dǎo)。

工控系統(tǒng)；安全體系；建設(shè)框架

1　前言

工業(yè)控制系統(tǒng)（ICS）是由各種自動化控制、實(shí)時數(shù)據(jù)采集、監(jiān)測的過程控制等功能組件及子系統(tǒng)共同構(gòu)成的，其功能組件主要包括數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠(yuǎn)程監(jiān)控單元（RTU）、智能電子設(shè)備（IED）等，子系統(tǒng)主要包括人機(jī)界面（HMI）、制造執(zhí)行系統(tǒng)（MES）、歷史/實(shí)時數(shù)據(jù)庫以及工程師站/子系統(tǒng)監(jiān)控站信息管理系統(tǒng)等。隨著TCP/IP通用協(xié)議與開發(fā)標(biāo)準(zhǔn)的引入，以及物聯(lián)網(wǎng)、云計(jì)算、移動互聯(lián)網(wǎng)等新興技術(shù)的不斷廣泛應(yīng)用，使得工控系統(tǒng)理論上絕對的物理隔絕網(wǎng)絡(luò)因?yàn)闃I(yè)務(wù)模式的改變變得不斷開放，使得工控系統(tǒng)自身的安全漏洞日益凸顯。近年來全球一系列工控安全事件的發(fā)生，工控系統(tǒng)的安全問題已經(jīng)開始被政府、組織及企業(yè)所重視。我國工控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)仍處在起步階段，針對工控網(wǎng)絡(luò)的防護(hù)標(biāo)準(zhǔn)尚未成型、安全評估能力評測體系不健全，如何建立全面的信息安全保障體系，為推動兩化深度融合、工業(yè)轉(zhuǎn)型升級提供支持，是當(dāng)前工控系統(tǒng)安全領(lǐng)域面臨的重大挑戰(zhàn)。本文介紹了一種基于工控系統(tǒng)的安全體系建設(shè)框架，為企業(yè)開展工控安全建設(shè)提供借鑒指導(dǎo)。

工控安全體系框架應(yīng)涵蓋架構(gòu)安全、連接安全、組網(wǎng)安全、配置安全、運(yùn)維安全、數(shù)據(jù)安全等六部分。

2　架構(gòu)安全

工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)應(yīng)以保證工控系統(tǒng)的高可用性、業(yè)務(wù)連續(xù)性為目的，即使網(wǎng)絡(luò)故障發(fā)生也在本層范圍內(nèi)，不會影響到其他層級。應(yīng)采用縱深防御思想進(jìn)行概念設(shè)計(jì)，實(shí)現(xiàn)橫向分層、縱向分域、區(qū)域分等級，橫向分層，即定義明確的安全邊界，將全網(wǎng)劃分為不同的安全網(wǎng)絡(luò)層級，比如較為通用的“三層兩防”結(jié)構(gòu)（如圖1所示）。

圖1　工業(yè)控制系統(tǒng)安全架構(gòu)-“三層兩防”

“三層”即管理層、執(zhí)行層、控制層。管理層主要部署以ERP系統(tǒng)為代表的管理信息系統(tǒng)、執(zhí)行層主要部署以MES為代表的生產(chǎn)管理和調(diào)度執(zhí)行系統(tǒng)、控制層主要部署以SCADA為代表的各種工業(yè)自動化控制組件、實(shí)時數(shù)據(jù)采集及過程控制組件等?！皟煞馈奔慈齻€層級之間部署兩層防護(hù)。管理層與執(zhí)行層之間，主要防護(hù)非法入侵、避免非授權(quán)訪問和濫用、過濾惡意代碼、篡改數(shù)據(jù)及抵賴等風(fēng)險，部署入侵檢測、終端準(zhǔn)入、防病毒、訪問控制、身份認(rèn)證、網(wǎng)絡(luò)審計(jì)等；執(zhí)行層與控制層之間，主要防護(hù)系統(tǒng)漏洞、病毒傳播、非法入侵等風(fēng)險，部署工業(yè)級防火墻、入侵檢測、防病毒、漏洞掃描、行為審計(jì)等；縱向分域，在三層結(jié)構(gòu)中對有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)進(jìn)行劃分，設(shè)置安全域，比如按各生產(chǎn)車間劃分，車間A的執(zhí)行層和控制層可在同一安全域中，不同安全域之間通過工業(yè)防火墻等安全設(shè)備進(jìn)行隔離。區(qū)域分等級，根據(jù)同一域中按不同系統(tǒng)的重要程度劃分不同安全等級，采取不同等級的安全策略、安全環(huán)境、安全技術(shù)進(jìn)行保障。此外，系統(tǒng)的核心網(wǎng)及骨干網(wǎng)應(yīng)建設(shè)冗余鏈路，確認(rèn)冗余鏈路應(yīng)采用不同的網(wǎng)絡(luò)方式構(gòu)建；SCADA服務(wù)器、歷史/實(shí)時數(shù)據(jù)庫服務(wù)器、HMI服務(wù)器、核心交換機(jī)應(yīng)進(jìn)行硬件冗余；系統(tǒng)的網(wǎng)絡(luò)帶寬設(shè)計(jì)指標(biāo)應(yīng)大于網(wǎng)絡(luò)帶寬需求指標(biāo)，網(wǎng)絡(luò)帶寬的充足性應(yīng)滿足異常生產(chǎn)工況、突發(fā)業(yè)務(wù)需求、最大業(yè)務(wù)處理對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)帶寬的實(shí)際要求；當(dāng)網(wǎng)絡(luò)故障發(fā)生，鏈路自動切換。系統(tǒng)業(yè)務(wù)不中斷、不丟失數(shù)據(jù)。

3　連接安全

工控系統(tǒng)連接安全設(shè)計(jì)要明確邊界控制，嚴(yán)格管理訪問入口，既要防止外部攻擊，也要防止內(nèi)部人員越權(quán)訪問、違規(guī)操作。①對于網(wǎng)絡(luò)連接，控制層應(yīng)盡量保持與管理層、執(zhí)行層的物理隔離；對確實(shí)需要的連接，采取設(shè)置防火墻、網(wǎng)閘等措施加以防護(hù)，形成邏輯隔離。②對于會話連接，應(yīng)部署訪問控制設(shè)備阻斷非授權(quán)訪問、部署監(jiān)控軟件對各層邊界數(shù)據(jù)交換情況進(jìn)行異常行為檢測、部署安全審計(jì)設(shè)備進(jìn)行安全審計(jì)。③對于設(shè)備連接，嚴(yán)格控制系統(tǒng)專用網(wǎng)和公共網(wǎng)絡(luò)之間移動存儲介質(zhì)、便攜式計(jì)算機(jī)的交叉使用，如需使用移動設(shè)備，須使用專用設(shè)備，使用前經(jīng)過特殊處理統(tǒng)一標(biāo)識，同時部署敏感信息掃描軟件等，限制關(guān)鍵工控?cái)?shù)據(jù)傳出。

4　組網(wǎng)安全

工控系統(tǒng)組網(wǎng)時要充分考慮實(shí)用性、可用性、安全性，要有足夠強(qiáng)度的認(rèn)證、加密、授權(quán)等。①網(wǎng)絡(luò)拓?fù)鋺?yīng)使用環(huán)形網(wǎng)，相比鏈型網(wǎng)具有良好的自愈能力，因此只要路由分布允許，應(yīng)盡可能組建環(huán)形網(wǎng)。②遠(yuǎn)程通信應(yīng)采取虛擬專用網(wǎng)絡(luò)（VPN）、線路冗余備份、數(shù)據(jù)加密等措施，加強(qiáng)防護(hù)。③不建議使用無線網(wǎng)、微波技術(shù)，如必須使用，應(yīng)對無線、微波組網(wǎng)采取嚴(yán)格的身份認(rèn)證、權(quán)限認(rèn)證等防護(hù)措施，杜絕第三方的竊聽及欺騙性攻擊，屏蔽內(nèi)外非授權(quán)用戶的非法訪問。

5　配置安全

工控系統(tǒng)大多數(shù)開發(fā)設(shè)計(jì)時只考慮效率和實(shí)時等特性，缺乏同步安全設(shè)計(jì)，這就造成了其安全防護(hù)能力不足，補(bǔ)丁管理困難，漏洞難以及時處理，需要通過其他技術(shù)手段加固。①審計(jì)方面，開啟設(shè)備審計(jì)功能或部署審計(jì)設(shè)備，對訪問控制、請求錯誤、系統(tǒng)日志、備份和存儲事件、配置變更等進(jìn)行審計(jì)。②賬戶管理方面，根據(jù)工作需要合理分類設(shè)置賬戶權(quán)限，及時清理不必要的用戶和管理員賬戶。③口令管理方面，及時更改產(chǎn)品安裝時的預(yù)設(shè)口令，杜絕弱口令、空口令，應(yīng)為所有用戶提供實(shí)施口令的最小和最大有效期限制，并定期檢查口令周期性更新情況。④主機(jī)管理方面，定期對主機(jī)服務(wù)器端口、服務(wù)等進(jìn)行檢查，停止無用的后臺程序和進(jìn)程，關(guān)閉無關(guān)的端口和服務(wù)，如FTP、RLogin、Te1net等。

6　運(yùn)維安全

工控系統(tǒng)運(yùn)維安全也是影響工控系統(tǒng)安全的重要方面。①設(shè)備方面，工控系統(tǒng)中控制器、組態(tài)軟件、數(shù)據(jù)庫、監(jiān)控軟件、核心交換機(jī)、重要服務(wù)器等關(guān)鍵設(shè)備應(yīng)采用國產(chǎn)設(shè)備，必須是經(jīng)過一定時間市場考驗(yàn)的成熟產(chǎn)品，如使用國外設(shè)備，須經(jīng)第三方檢測安全無漏洞的。②人才方面，保證企業(yè)自身人才隊(duì)伍具備對關(guān)鍵工業(yè)控制系統(tǒng)的二次開發(fā)及運(yùn)維能力，不依賴外部廠商。③確保技術(shù)服務(wù)安全可控，在安全得不到保證的情況下禁止采取遠(yuǎn)程在線服務(wù)。④系統(tǒng)備份方面，確保系統(tǒng)備份安全可控，定期執(zhí)行用戶級和系統(tǒng)級全備、增量備份的窗口期，不影響正常生產(chǎn)。⑤補(bǔ)丁升級方面，密切關(guān)注軟件升級、補(bǔ)丁安裝，在關(guān)鍵工業(yè)控制系統(tǒng)軟件升級、補(bǔ)丁安裝前要請第三方評測機(jī)構(gòu)進(jìn)行安全評估和驗(yàn)證，確保補(bǔ)丁升級安全可控。

7　數(shù)據(jù)安全

工控系統(tǒng)一般關(guān)注工業(yè)數(shù)據(jù)的實(shí)時性、業(yè)務(wù)連續(xù)性，在安全三種基本屬性（CIA）中可用性優(yōu)先級最高、完整性次之，保密性最低，因此要采取措施提高工控系統(tǒng)數(shù)據(jù)安全性。①數(shù)據(jù)傳輸方面，應(yīng)對數(shù)據(jù)進(jìn)行加密處理，提高破譯和偽造的難度。②數(shù)據(jù)處理及存儲方面，數(shù)據(jù)庫軟件采用身份認(rèn)證、訪問權(quán)限控制、數(shù)據(jù)加密技術(shù)、安全審計(jì)等。③數(shù)據(jù)備份及容災(zāi)方面，要做好數(shù)據(jù)備份及容災(zāi)技術(shù)措施及應(yīng)急保障機(jī)制。

以上安全體系框架設(shè)計(jì)從六個維度考慮對工控系統(tǒng)可能面臨的風(fēng)險進(jìn)行防護(hù)，盡可能降低系統(tǒng)安全風(fēng)險等級，減少風(fēng)險發(fā)生概率，使工控系統(tǒng)獲得最大程度的保護(hù)。

10.3969/j.issn.1673-0194.2016.13.062

F273

A

1673-0194（2016）13-0117-03

2016-02-16