伍錦榮

(中國石油化工股份有限公司 廣州分公司，廣東 廣州 510726)

工業(yè)控制系統(tǒng)網(wǎng)絡安全現(xiàn)狀及解決方案

伍錦榮

(中國石油化工股份有限公司 廣州分公司，廣東 廣州 510726)

工業(yè)控制系統(tǒng)廣泛應用于工業(yè)生產(chǎn)的各個領域且起著重要的作用,工業(yè)控制系統(tǒng)網(wǎng)絡的信息化和通用化使系統(tǒng)面臨前所未有的威脅。通過對當前工業(yè)控制系統(tǒng)網(wǎng)絡安全的現(xiàn)狀分析，總結(jié)工業(yè)控制系統(tǒng)的網(wǎng)絡安全特點，對工業(yè)控制系統(tǒng)網(wǎng)絡的安全策略展開研究，給出當前工業(yè)控制系統(tǒng)網(wǎng)絡安全的具體解決方案。

工業(yè)控制系統(tǒng) 信息化 網(wǎng)絡安全 解決方案

自從2010年伊朗布什爾核電站的“震網(wǎng)病毒”事件影響后，工業(yè)控制系統(tǒng)的網(wǎng)絡安全問題開始成為網(wǎng)絡安全領域的焦點。工業(yè)控制系統(tǒng)從發(fā)展的開始就著眼于系統(tǒng)的可靠性和可用性，隨著應用和相關(guān)技術(shù)的不斷發(fā)展，工業(yè)控制系統(tǒng)越來越多地采用通用的計算機硬件和軟件技術(shù)及以信息技術(shù)(IT)為基礎的通用通信協(xié)議。同時，工業(yè)控制系統(tǒng)通過各種數(shù)據(jù)采集網(wǎng)絡與生產(chǎn)執(zhí)行系統(tǒng)(MES)等管理系統(tǒng)網(wǎng)絡相聯(lián)。工業(yè)控制系統(tǒng)已從原來封閉的“信息孤島”逐步發(fā)展成為互聯(lián)互通的系統(tǒng)，網(wǎng)絡安全面臨著巨大的威脅。由于工業(yè)控制系統(tǒng)已被廣泛應用于社會生產(chǎn)的各個領域，特別是能源、石化、冶金、水利、交通等關(guān)乎國家安全和國計民生的行業(yè)，當系統(tǒng)受到病毒、木馬感染或網(wǎng)絡攻擊而發(fā)生事故時所產(chǎn)生的經(jīng)濟、環(huán)境和社會影響都是十分巨大的。因此，必須按照有關(guān)法規(guī)和規(guī)范，結(jié)合工業(yè)控制系統(tǒng)網(wǎng)絡安全的特點，加快研究和實施行之有效的防范措施和解決方案，切實保障生產(chǎn)安全。

1 工業(yè)控制系統(tǒng)網(wǎng)絡安全現(xiàn)狀

工業(yè)控制系統(tǒng)通常是指分散控制系統(tǒng)(DCS)、數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、可編程控制器系統(tǒng)(PLC)、工業(yè)控制計算機系統(tǒng)(IPC)、機組控制系統(tǒng)(CCS)、安全儀表系統(tǒng)(SIS)、先進控制(APC)等控制系統(tǒng)[1]。由于應用領域、行業(yè)規(guī)范、使用習慣以及工控系統(tǒng)廠商等眾多不同，工業(yè)控制系統(tǒng)呈現(xiàn)出多樣化和復雜化的特點。同時，IT化和網(wǎng)絡互聯(lián)的快速發(fā)展，使得工控系統(tǒng)網(wǎng)絡安全的形勢更趨嚴峻。當前，工業(yè)控制系統(tǒng)網(wǎng)絡的威脅來源主要有： 系統(tǒng)存在的高危漏洞、工業(yè)網(wǎng)絡病毒、關(guān)鍵設備的“后門”、高級持續(xù)性威脅(APT)以及無線技術(shù)應用的風險等。

1.1 安全設計缺失

工業(yè)控制系統(tǒng)被攻擊的行為出現(xiàn)較大增長是近十年的事情，對于大量的存量工業(yè)控制系統(tǒng)，存在網(wǎng)絡安全設計嚴重缺失的問題。制造廠商在設計時主要考慮的是工業(yè)控制系統(tǒng)的可靠性與可用性，容易忽略控制系統(tǒng)本身的安全性，系統(tǒng)沒有有效的安全防護策略或方法，普遍存在網(wǎng)絡架構(gòu)“無縱深”、系統(tǒng)應用“無防護”和“無監(jiān)測”的狀態(tài)。系統(tǒng)的應用平臺、控制器的固件程序、通用的通信協(xié)議以及操作管理界面軟件(HMI)等都存在各種漏洞或缺陷，使得系統(tǒng)對網(wǎng)絡的安全防護嚴重不足，容易感染網(wǎng)絡病毒、木馬等，甚至被利用和攻擊。公開的統(tǒng)計數(shù)據(jù)表明,2010年后新發(fā)現(xiàn)的工業(yè)控制系統(tǒng)漏洞呈快速增長的趨勢。石化行業(yè)常用的國外工業(yè)控制系統(tǒng),如西門子(Siemens)、研華(Advantech)、施耐德(Schneider)、羅克韋爾自動化(Rockwell Automation)產(chǎn)品漏洞數(shù)量占前4名,國產(chǎn)工業(yè)控制系統(tǒng)的漏洞問題也開始引起注意。

1.2 工業(yè)控制系統(tǒng)網(wǎng)絡安全規(guī)范尚未完善

企業(yè)在應用工業(yè)控制系統(tǒng)時缺乏明確的安全設計、測試和驗收標準，而且工業(yè)控制系統(tǒng)的安全測估體系也不夠健全。缺少專業(yè)的工業(yè)控制系統(tǒng)網(wǎng)絡安全檢測機構(gòu)，對不同行業(yè)、不同應用、不同軟件固件版本等的工業(yè)控制系統(tǒng)缺乏有說服力的檢測和評測依據(jù)。

當前，國家已加緊制定相關(guān)的標準，結(jié)合國際的標準體系,如IEC 62443《工業(yè)過程測量、控制和自動化網(wǎng)絡與系統(tǒng)信息安全》和ISO/IEC 27000《信息安全管理系統(tǒng)》等，制定了GB/T 30976—2014《工控系統(tǒng)信息安全》標準。針對不同行業(yè)工業(yè)控制系統(tǒng)差異大的特點，部分行業(yè)如電力、核電等也在制定具有行業(yè)特點的安全標準、規(guī)范或規(guī)定，中石化在2011年制定了《中國石化信息系統(tǒng)安全管理辦法》，并在2015年作了修訂。這些標準、規(guī)定或辦法對實際的工業(yè)控制系統(tǒng)運行、維護有一定的幫助，但指導性和可操作性仍然明顯不足。

1.3 缺少對工業(yè)控制系統(tǒng)網(wǎng)絡有效的隔離方案和設備

由于工業(yè)控制系統(tǒng)網(wǎng)絡的多樣性和復雜性，針對具體的應用，如不同的操作系統(tǒng)和應用軟件版本、控制器和通信接口卡固件版本等，缺乏第三方的加固、網(wǎng)絡隔離設備。同時，對加固、網(wǎng)絡隔離設備的適用性也缺乏有效的評估、驗證依據(jù)。對出現(xiàn)的一些工業(yè)控制系統(tǒng)的安全加固、網(wǎng)絡隔離設備，也由于病毒、木馬和網(wǎng)絡攻擊的隱蔽性和不確定性而缺乏適用性以及穩(wěn)定性的測試、考驗和經(jīng)驗，使用效果難以評定而推廣應用緩慢。

1.4 安全管理意識不夠

許多企業(yè)對工業(yè)控制系統(tǒng)網(wǎng)絡安全的意識薄弱，還沒有建立全生命周期安全管理的理念，特別是在建設、運行和維護過程中缺乏安全管理意識，沒有制訂合理的工業(yè)控制系統(tǒng)安全防護方案和管理制度，缺乏對設計、維護和操作人員在網(wǎng)絡安全方面的安全意識培訓，容易出現(xiàn)隨意和違規(guī)操作等問題，給工業(yè)控制系統(tǒng)的安全埋下安全隱患。典型的現(xiàn)象有： 隨意增加系統(tǒng)的通信接口或互聯(lián)；應用工業(yè)控制系統(tǒng)時忽視加固措施和防護技術(shù)手段；沒有防止“后門”的意識；對高級持續(xù)性威脅缺乏認識；隨意刪減系統(tǒng)安全加固環(huán)節(jié)；通信協(xié)議缺乏安全審計和權(quán)限校驗；使用簡單、默認的用戶名和密碼；沒有限制移動介質(zhì)的使用；系統(tǒng)維護過程中沒有安全方面的監(jiān)管；操作系統(tǒng)和應用軟件不做必要的補丁升級和漏洞修復；遠程訪問缺乏限制和防護手段；機房、控制室等重點場所管理監(jiān)管混亂等。

2 工業(yè)控制系統(tǒng)網(wǎng)絡安全解決方案

2.1 安全特點

雖然工業(yè)控制系統(tǒng)采用大量IT技術(shù)，但與傳統(tǒng)的IT系統(tǒng)相比，工業(yè)控制系統(tǒng)網(wǎng)絡安全有自身的特點。主要有：

1) 系統(tǒng)功能、網(wǎng)絡架構(gòu)和應用軟件相對固定。由于被控對象的功能、應用范圍和規(guī)模等相對固定，系統(tǒng)建成投用后不會輕易或頻繁變動。

2) 可靠性和可用性高。工業(yè)控制系統(tǒng)的生命周期長，通常達到15 a及以上，大多采用連續(xù)運行的工作模式，即每天24 h連續(xù)運行3～5 a，期間不允許因系統(tǒng)本身的問題引起停工。出現(xiàn)故障后恢復時間要求短。

3) 系統(tǒng)功能失效或發(fā)生故障時損失大、影響大，甚至引發(fā)重大安全事故。

4) 控制器層及以下仍較多使用私有協(xié)議，系統(tǒng)運行環(huán)境相對落后等。

2.2 安全策略

隨著工業(yè)控制系統(tǒng)IT化和通用化的不斷發(fā)展以及各種病毒、木馬和網(wǎng)絡攻擊技術(shù)的快速演變，加上工業(yè)控制系統(tǒng)網(wǎng)絡安全特點和重要性，使得工業(yè)控制系統(tǒng)面臨前所未有的網(wǎng)絡安全威脅，單一的防護技術(shù)，如防火墻、病毒查殺等已難以有效地全面保護工業(yè)控制系統(tǒng)的安全[2-4]。因此，工業(yè)控制系統(tǒng)網(wǎng)絡安全應按全生命周期進行管理，在防護規(guī)范和有關(guān)規(guī)定的指導下，從防護技術(shù)和安全管理上進行綜合研究，在設計、運行維護管理、異常監(jiān)測、變更管理等各個方面，制訂完善的、可操作的防護對策和實施方案，既要按照IT系統(tǒng)的要求保障數(shù)據(jù)安全、內(nèi)容安全，更要對工業(yè)控制系統(tǒng)進行安全風險評估，通過對系統(tǒng)漏洞的檢測，并采取有效的加固、防護措施，確保系統(tǒng)的網(wǎng)絡安全以保障系統(tǒng)的可靠運行。

1) 安全策略的發(fā)展。工業(yè)控制系統(tǒng)的安全防護策略在不斷發(fā)展之中，先后經(jīng)歷了隔離、建立縱深防御體系、系統(tǒng)“免疫”機制和國家層面的攻防戰(zhàn)略研究等過程。

a) 隔離是最早使用的方法，指采取防火墻、網(wǎng)關(guān)、網(wǎng)閘等設備實現(xiàn)隔離并進行防護，屬于被動防御策略。隔離措施無法全面防御現(xiàn)代的高級持續(xù)性威脅。

b) 建立縱深防御體系是在隔離的基礎上，建立隔離區(qū)和入侵防護系統(tǒng)(IPS)，并配置有效的安全策略和事件響應機制等，是當前主要的網(wǎng)絡防護策略，有主動防御的能力。

c) 系統(tǒng)“免疫”機制是指在工業(yè)控制系統(tǒng)內(nèi)部，通過硬件和軟件實現(xiàn)可定制的、可靠的持續(xù)性的防御策略。目前只有個別工控系統(tǒng)廠商提供相關(guān)的產(chǎn)品和方案。

d) 國家層面的攻防戰(zhàn)略研究是指在國家層面上，全面注重攻擊技術(shù)的研究、實驗和突破，建立攻防演示實驗室，以攻擊技術(shù)的提高，帶動防御技術(shù)的提高，以提高攻擊威懾力來換取系統(tǒng)安全性的策略。

2) 企業(yè)安全策略[5-7]。工業(yè)控制系統(tǒng)網(wǎng)絡安全解決方案目前主要是結(jié)合系統(tǒng)各層次的網(wǎng)絡安全需求，建立結(jié)合工業(yè)控制系統(tǒng)網(wǎng)絡安全特點的縱深防護架構(gòu)。工業(yè)控制系統(tǒng)網(wǎng)絡通常分為五層，即從下到上分別為現(xiàn)場設備層、控制層、過程監(jiān)控管理層、MES層和企業(yè)管理層。石化行業(yè)典型的系統(tǒng)網(wǎng)絡安全防護架構(gòu)如圖1所示。除DCS，SIS一體化系統(tǒng)外，其他SIS、專用控制系統(tǒng)應通過RS-485，RS-422接口與Modbus協(xié)議，或通過硬接線與控制系統(tǒng)相連。SIS不應與MES或數(shù)據(jù)采集系統(tǒng)直接相連[8]。其核心是：

a) 縱向?qū)优c層之間進行隔離，橫向通過把工業(yè)控制系統(tǒng)網(wǎng)絡按照控制區(qū)域、裝置、單元功能等要求劃分，在相互隔離的區(qū)域內(nèi)獨立進行隔離，共同防御來自網(wǎng)絡的病毒感染和網(wǎng)絡攻擊。

b) 加強過程監(jiān)控設備防護，控制移動介質(zhì)的使用來防止內(nèi)部病毒、木馬通過移動介質(zhì)侵入系統(tǒng)。

c) 建立安全監(jiān)測系統(tǒng)實現(xiàn)主動的入侵安全監(jiān)控，及時發(fā)現(xiàn)、報警、攔截和終止入侵。同時，采用“白名單”和“黑名單”結(jié)合、深度包檢測(DPI)、監(jiān)測審計的方法，識別工控系統(tǒng)網(wǎng)絡中存在的非法操作、異常事件、外部攻擊等，并對其進行記錄、報警和阻斷[9]。

圖1 石化行業(yè)典型的系統(tǒng)網(wǎng)絡安全防護架構(gòu)示意

2.3 解決方案

1) 應用工業(yè)防火墻和智能保護設備。應用防火墻和智能保護設備是目前IT網(wǎng)絡邊界防護和終端防護的常用方法。工業(yè)防火墻除了包括傳統(tǒng)防火墻的訪問控制、地址轉(zhuǎn)換、應用代理、流量控制等功能外，還能對TCP/IP等協(xié)議進行安全過濾，對工業(yè)控制系統(tǒng)應用層的主要協(xié)議如OPC，Modbus TCP，IEC 60870-5-104，IEC 61850 MMS，DNP3等進行深度解釋，實現(xiàn)對控制指令識別、操作地址和參數(shù)的提取等。智能保護設備是布置在各個終端節(jié)點上的網(wǎng)絡保護設備，防御來自外部、內(nèi)部其他區(qū)域及終端的威脅。在企業(yè)管理層、MES層、過程監(jiān)控管理層之間分別部署工業(yè)防火墻和智能保護設備，可以有效地保障系統(tǒng)的安全性和可靠性。

2) 過程監(jiān)控設備防護。過程監(jiān)控設備是指工業(yè)控制系統(tǒng)中使用的計算機，包括工程師站、操作站、歷史站、數(shù)采站和服務器等，也稱為工控主機。由于過程監(jiān)控設備直接與控制器相連，因而過程監(jiān)控設備的防護十分關(guān)鍵。防護的主要目的就是防止病毒、木馬通過過程監(jiān)控設備侵入系統(tǒng)，措施有： 操作系統(tǒng)和應用軟件最小化安裝，減少不必要的應用；應用基于“白名單”和“黑名單”相結(jié)合的防護技術(shù)，在系統(tǒng)穩(wěn)定運行后通過規(guī)則匹配、機器學習算法等方法獲取合法的“白名單”，有效發(fā)現(xiàn)病毒和網(wǎng)絡攻擊的異常情況；限制端口的使用，使用USB端口管控工具控制外部移動存儲設備的準入和應用，并對所有接入的移動存儲設備生成日志記錄；安裝系統(tǒng)允許的殺毒軟件，并定期升級病毒庫以保障病毒查殺的有效性；對操作系統(tǒng)軟件和應用軟件的補丁有效管理，使補丁修復及時、嚴密和風險可控。

3) 控制移動介質(zhì)使用。移動介質(zhì)包括U盤、移動硬盤、光盤、存儲卡等，體積小、容量大、使用便捷，在系統(tǒng)維護、數(shù)據(jù)備份等方面使用廣泛?？刂埔苿咏橘|(zhì)的使用，就是對移動介質(zhì)進行有效管控，防止病毒感染和傳播，防止惡意代碼通過移動介質(zhì)實現(xiàn)擺渡滲透、潛伏并利用系統(tǒng)漏洞實現(xiàn)攻擊。

4) 部署工業(yè)控制系統(tǒng)安全監(jiān)測系統(tǒng)。在工業(yè)控制網(wǎng)絡系統(tǒng)上部署主動的、智能的入侵防護系統(tǒng)，以旁路方式接入，通過數(shù)據(jù)流鏡像，主動采集工業(yè)控制系統(tǒng)的網(wǎng)絡數(shù)據(jù)進行分析，實時查找網(wǎng)絡的異常情況和攻擊線索，監(jiān)測網(wǎng)絡的通信狀況，及時發(fā)現(xiàn)網(wǎng)絡攻擊和病毒的異常傳播，攔截所有可疑的數(shù)據(jù)包，終止入侵，保護系統(tǒng)不受攻擊。

5) 完善管理措施。完善有效的工業(yè)控制系統(tǒng)網(wǎng)絡安全管理措施是實現(xiàn)安全防護的關(guān)鍵。要建立相應的組織機構(gòu)負責系統(tǒng)網(wǎng)絡的安全防護工作，制訂安全方針，明確職責，按照國家法規(guī)和有關(guān)規(guī)定對工業(yè)控制系統(tǒng)實行全生命周期管理，持續(xù)開展工業(yè)控制系統(tǒng)網(wǎng)絡安全風險評估，落實系統(tǒng)安全項目、系統(tǒng)安全升級等技術(shù)方案，采取切實可行的綜合防控措施，確保工業(yè)控制系統(tǒng)的安全穩(wěn)定運行。同時，不斷總結(jié)有效防護經(jīng)驗，全面培訓相關(guān)技術(shù)人員，制訂應急預案并進行演練，不斷提升安全防御水平。

3 結(jié)束語

工業(yè)控制系統(tǒng)網(wǎng)絡安全問題是當前工控安全領域的焦點，要結(jié)合IT技術(shù)和工業(yè)控制系統(tǒng)的特點，加快安全標準和規(guī)范的制定，按工業(yè)控制系統(tǒng)網(wǎng)絡安全的全生命管理來完善相關(guān)的管理制度和防護措施，提高工業(yè)控制系統(tǒng)網(wǎng)絡安全意識和防護水平，不斷解決工業(yè)控制系統(tǒng)網(wǎng)絡存在的問題，保障系統(tǒng)的安全運行和生產(chǎn)安全。結(jié)合工控系統(tǒng)的運行情況和應用維護經(jīng)驗，有以下建議：

1) 建立管理機構(gòu)并充分發(fā)揮其組織和實施協(xié)調(diào)作用，針對安全標準規(guī)范的滯后性和安全威脅的快速演變，加快完善具有行業(yè)特點、可操作性強的管理制度和規(guī)定并實施。

2) 對新建工控系統(tǒng)，要按新標準同時建設、同時部署、同時投用網(wǎng)絡隔離設備。對存量系統(tǒng)，應在安全風險評估的基礎上，根據(jù)系統(tǒng)的信息安全等級制定防護措施，并實現(xiàn)對應的防護要求。

3) 網(wǎng)絡隔離設備的應用、操作系統(tǒng)和應用軟件升級、固件程序漏洞補丁升級和病毒庫更新等必須經(jīng)過嚴格的測試、驗證后才能實施。所有的加固措施和監(jiān)測手段都不能影響系統(tǒng)的實時性和穩(wěn)定性。

4) 結(jié)合行業(yè)系統(tǒng)網(wǎng)絡安全的特點和應用經(jīng)驗，總結(jié)經(jīng)過實踐證明的網(wǎng)絡隔離設備、解決方案進行推廣，進一步保障工業(yè)控制系統(tǒng)網(wǎng)絡和生產(chǎn)運行的安全。

[1] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 30976—2014 工業(yè)控制信息安全 第1部分： 評估規(guī)范[S].北京： 中國標準出版社，2014.

[2] 歐陽勁松，丁露.IEC 62443 工控網(wǎng)絡與系統(tǒng)信息安全標準綜述[J]. 信息技術(shù)與標準化，2012(03)： 26-29.

[3] 朱世順，黃益彬，朱應飛，等．工業(yè)控制系統(tǒng)信息安全防護關(guān)鍵技術(shù)研究[J]．電力信息與通信技術(shù)，2013(11)： 106-109.

[4] 張同光.信息安全技術(shù)實用教程[M].3版.北京： 電子工業(yè)出版社，2017.

[5] 張波．西門子縱深防御DCS信息安全方案在青島煉化項目的應用[J]．自動化博覽，2015(02)： 42-45.

[6] 陳紹望，羅琪，陸曉鵬．海洋石油平臺工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及策略[J].自動化與儀器儀表，2015(05)： 4-5.

[7] 梁瀟，高昆侖，徐志博，等．美國電力行業(yè)信息安全工作現(xiàn)狀與特點分析[J]．電網(wǎng)技術(shù)，2011，35(12)： 221-228.

[8] 中華人民共和國住房和城鄉(xiāng)建設部，中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局.GB/T 50770—2013 石油化工安全儀表系統(tǒng)設計規(guī)范[S].北京： 中國計劃出版社，2013.

[9] 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 30976—2014 工業(yè)控制信息安全 第2部分： 驗收規(guī)范[S].北京： 中國標準出版社，2014.

Current Situation and Solutions of Industrial Control System’s Network Security

Wu Jinrong

(Sinopec Guangzhou Company, Guangzhou, 510726, China)

s： Industrial control system(ICS) is now widely used in various fields of industrial manufacture. It plays an important role. The informatization and generalization of ICS network make it encounters unprecedented threats.Through discussion on current situation of ICS’s network security, the characteristics of ICS’s network security are summarized.The network security strategies of ICS are studied. Specific solutions for current ICS’s network security are provided.

industrial control system; informatization; network security; solutions

伍錦榮(1964—)，男，1995年畢業(yè)于廣東工業(yè)大學工業(yè)自動化專業(yè)，獲工學碩士學位，現(xiàn)就職于中國石化廣州分公司儀控中心，從事儀表自動化專業(yè)技術(shù)管理工作，任高級主任工程師。

TP 273

B

1007-7324(2017)04-0001-04

稿件收到日期： 2017-03-20，修改稿收到日期： 2017-06-06。