何志鵬

在工業(yè)生產(chǎn)環(huán)節(jié)，過程生產(chǎn)連續(xù)不可間斷的高可靠性，要求控制網(wǎng)絡(luò)具備更高的安全性。

工業(yè)控制系統(tǒng)（Industrial Control Systems， ICS），是由各種自動化控制組件和實(shí)時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構(gòu)成。其組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠(yuǎn)程終端（RTU）、智能電子設(shè)備（IED），以及確保各組件通信的接口技術(shù)。廣泛運(yùn)用于石油、石化、冶金、電力、燃?xì)?、煤礦、煙草以及市政等領(lǐng)域，用于控制關(guān)鍵生產(chǎn)設(shè)備的運(yùn)行。

一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞，將對工業(yè)生產(chǎn)運(yùn)行和國家經(jīng)濟(jì)安全造成重大隱患。在一般信息化系統(tǒng)里可以存在安全漏洞，不斷有新的補(bǔ)丁出現(xiàn)，計算機(jī)可能會死機(jī)、暫停，而這些如果發(fā)生在控制網(wǎng)絡(luò)里，帶來的危險和影響幾乎是不可想象的。

獨(dú)特的工業(yè)控制系統(tǒng)安全

工業(yè)控制系統(tǒng)與傳統(tǒng)的信息系統(tǒng)安全存在一些差別。在制定工業(yè)控制系統(tǒng)的安全方案時，無法回避工業(yè)控制系統(tǒng)的一系列特殊性要求：性能要求方面工業(yè)控制系統(tǒng)相對一般信息系統(tǒng)要求實(shí)時性要求較高，吞吐量通常不會過大，無法接受相對較高的延遲及抖動；可用性方面來講，類似重新啟動這樣的響應(yīng)通常是無法接受的。一般都要求冗余系統(tǒng)，斷電操作要提前若干天來進(jìn)行計劃。針對可用性一般需要通過高可用性測試后的系統(tǒng)才會上線運(yùn)行；風(fēng)險管控方面，最需要保護(hù)的不再是數(shù)據(jù)安全而是人身安全以及生成過程。對于機(jī)器故障和停機(jī)是無法接受的風(fēng)險；工業(yè)控制系統(tǒng)的操作系統(tǒng)種類較多或?qū)Ｓ?，通常沒有內(nèi)在的信息安全能力。要對系統(tǒng)進(jìn)行修改需要非常謹(jǐn)慎；工業(yè)控制協(xié)同存在較多的專用協(xié)議，并且這些協(xié)議運(yùn)行在更加復(fù)雜的網(wǎng)絡(luò)環(huán)境之下。

為滿足可用性而犧牲安全，是目前工業(yè)控制系統(tǒng)存在的主要現(xiàn)狀，沒有切實(shí)可行的安全策略與管理流程也給工業(yè)控制系統(tǒng)的信息安全帶來了一定的威脅。主要表現(xiàn)在對系統(tǒng)的設(shè)計本事就缺發(fā)整體架構(gòu)、沒有配套的安全策略和流程、缺乏專業(yè)的安全培訓(xùn)。

病毒的泛濫是目前信息安全的首要問題。我國的信息化系統(tǒng)，長期面臨大規(guī)模的病毒爆發(fā)的考驗(yàn)。目前全球已發(fā)現(xiàn)數(shù)萬種病毒，并且還在以每天數(shù)十余種的速度增長。除了傳統(tǒng)意義上的具有自我復(fù)制能力但必須寄生在其它實(shí)用程序中的病毒外，各種新型的惡意代碼也層出不窮，如陷阱門、邏輯炸彈、特洛伊木馬、蠕蟲、Zombie等。新型的惡意代碼具有更強(qiáng)的傳播能力和破壞性。例如蠕蟲，從廣義定義來說也是一種病毒，但和傳統(tǒng)病毒相比最大不同在于自我復(fù)制過程。隨著工業(yè)信息系統(tǒng)的互聯(lián)互通病毒或惡意代碼的傳播將成為最主要的安全威脅。

由于Windows平臺的技術(shù)架構(gòu)現(xiàn)廣泛應(yīng)用于控制系統(tǒng)的工程師站。而在工業(yè)控制系統(tǒng)中，工程師站是實(shí)現(xiàn)與上層應(yīng)用通信的主要網(wǎng)絡(luò)結(jié)點(diǎn)，因此其操作系統(tǒng)的漏洞就成為了整個控制網(wǎng)絡(luò)信息安全中的一個定時炸彈。

隨著TCP（UDP）/IP協(xié)議被控制網(wǎng)絡(luò)普遍采用，網(wǎng)絡(luò)通信協(xié)議漏洞問題變得越來越突出。TCP/IP協(xié)議簇最初設(shè)計的應(yīng)用環(huán)境是美國國防系統(tǒng)的內(nèi)部網(wǎng)絡(luò)，這一網(wǎng)絡(luò)是互相信任的，因此它原本只考慮互通互聯(lián)和資源共享的問題，并未考慮也無法兼容解決來自網(wǎng)絡(luò)中和網(wǎng)際間的大量安全問題。當(dāng)其推廣到社會的應(yīng)用環(huán)境后，安全問題發(fā)生了。所以說，TCP/IP在先天上就存在著致命的安全漏洞。

工業(yè)控制系統(tǒng)安全策略

應(yīng)用系統(tǒng)軟件應(yīng)當(dāng)使用白名單技術(shù)，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運(yùn)行。對各類軟件進(jìn)行充分的離線測試，確保其最小范圍的開放應(yīng)用端口。

日常完善工業(yè)控制系統(tǒng)中各類設(shè)備的的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進(jìn)行配置審計。對配置變更需要進(jìn)行影響分析，進(jìn)行配置變更前需要進(jìn)行安全測試。密切關(guān)注重大工控安全漏洞及其補(bǔ)丁發(fā)布，及時采取補(bǔ)丁升級措施。在補(bǔ)丁安裝前，需對補(bǔ)丁進(jìn)行嚴(yán)格的安全評估和測試驗(yàn)證。

通過工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)。

對重要工程師站、數(shù)據(jù)庫、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制、視頻監(jiān)控、專人值守等物理安全防護(hù)措施。拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無線等接口。若確需使用，通過主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問控制。

在工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問、工業(yè)云平臺訪問等過程中使用身份認(rèn)證管理。對于關(guān)鍵設(shè)備、系統(tǒng)和平臺的訪問采用多因素認(rèn)證。合理分類設(shè)置賬戶權(quán)限，以最小特權(quán)原則分配賬戶權(quán)限。強(qiáng)化工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等的登錄賬戶及密碼，避免使用默認(rèn)口令或弱口令，定期更新口令。加強(qiáng)對身份認(rèn)證證書信息保護(hù)力度，禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。

嚴(yán)格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等高風(fēng)險通用網(wǎng)絡(luò)服務(wù)。確需遠(yuǎn)程訪問的，采用數(shù)據(jù)單向訪問控制等策略進(jìn)行安全加固，對訪問時限進(jìn)行控制，并采用加標(biāo)鎖定策略。確需遠(yuǎn)程維護(hù)的，采用虛擬專用網(wǎng)絡(luò)（VPN）等遠(yuǎn)程接入方式進(jìn)行保留工業(yè)控制系統(tǒng)的相關(guān)訪問日志，并對操作過程進(jìn)行安全審計。

在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備，及時發(fā)現(xiàn)、報告并處理網(wǎng)絡(luò)攻擊或異常行為。在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護(hù)設(shè)備，限制違法操作。

制定工控安全事件應(yīng)急響應(yīng)預(yù)案，當(dāng)遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異常或故障時，應(yīng)立即采取緊急防護(hù)措施，防止事態(tài)擴(kuò)大，定期對工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進(jìn)行演練，必要時對應(yīng)急響應(yīng)預(yù)案進(jìn)行修訂。

對靜態(tài)存儲和動態(tài)傳輸過程中的數(shù)據(jù)應(yīng)當(dāng)進(jìn)行保護(hù)，根據(jù)風(fēng)險評估結(jié)果對數(shù)據(jù)信息進(jìn)行分級分類管理。對于關(guān)鍵業(yè)務(wù)數(shù)據(jù)應(yīng)當(dāng)定期備份，對測試數(shù)據(jù)進(jìn)行保護(hù)。endprint