權(quán)京濤 郎偉

隨著科技發(fā)展，工業(yè)控制系統(tǒng)信息安全問題逐漸顯現(xiàn)，本文就工業(yè)控制系統(tǒng)定義，工業(yè)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)的區(qū)別及工業(yè)進(jìn)行了闡述，最后對工業(yè)控制系統(tǒng)信息安全常見問題及防護技術(shù)進(jìn)行了介紹。

工業(yè)控制系統(tǒng)相關(guān)基本概念

工業(yè)控制系統(tǒng)是由各種自動化控制組件以及對實時數(shù)據(jù)進(jìn)行采集、監(jiān)測的過程控制組件，共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。常見的工業(yè)控制系統(tǒng)包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)、分布式控制系統(tǒng)、可編程控制器、能源管理系統(tǒng)和安全儀表系統(tǒng)等。

工業(yè)控制系統(tǒng)存在的主要安全問題

1.核心技術(shù)受制于人

當(dāng)前我國重要關(guān)鍵設(shè)備和基礎(chǔ)軟件絕大多數(shù)采用國外產(chǎn)品，操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器、數(shù)據(jù)存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等高度依賴國外產(chǎn)品和技術(shù)，其中96%的操作系統(tǒng)、94%的數(shù)據(jù)庫、83%的服務(wù)器、86%的數(shù)據(jù)存儲設(shè)備以及59%的網(wǎng)絡(luò)設(shè)備均為國外品牌。從重要的工業(yè)控制系統(tǒng)來看，53%的SCADA系統(tǒng)、54%的DCS系統(tǒng)、99%的大型PLC、92%的中型PLC、81%的小型PLC以及74%的組態(tài)軟件均為國外產(chǎn)品。

2.防護水平相對落后

工業(yè)控制系統(tǒng)設(shè)計之初就處于與外網(wǎng)隔離狀態(tài)，因此并未考慮信息安全問題，隨著工業(yè)互聯(lián)趨勢逐步發(fā)展，使原本脆弱的工業(yè)控制系統(tǒng)要同時面臨來自內(nèi)外網(wǎng)的更為復(fù)雜的安全風(fēng)險。國家工業(yè)信息安全發(fā)展研究中心數(shù)據(jù)顯示我國工控企業(yè)存在一些普遍的安全問題，比如：安全漏洞、缺乏有效的安全配置策略、外網(wǎng)邊界容易被突破、內(nèi)網(wǎng)邊界訪問控制缺失、安全防護設(shè)備缺失、工控設(shè)備普遍開啟遠(yuǎn)程訪問、工控設(shè)備弱口令及默認(rèn)密碼未修改等問題。

3.網(wǎng)絡(luò)攻擊風(fēng)險持續(xù)加劇

近年來，工控系統(tǒng)已成為網(wǎng)絡(luò)攻擊的重要目標(biāo)，比如伊朗“震網(wǎng)”病毒、烏克蘭電網(wǎng)被黑以及美國遭受DDOS攻擊導(dǎo)致大面積斷網(wǎng)等事件頻發(fā)。具不完全統(tǒng)計，2017年，近40個國家對我國工業(yè)控制系統(tǒng)進(jìn)行了網(wǎng)絡(luò)攻擊，數(shù)量達(dá)到112 509次，這些攻擊主要來自美國等發(fā)達(dá)國家。

4.工業(yè)控制安全管理機制尚需完善

2016年10月，工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》（以下簡稱《指南》），指導(dǎo)工業(yè)企業(yè)開展工控安全防護工作。

目前，我國工控安全管理工作中仍存在不少問題，主要包括：各地區(qū)、部門、工業(yè)企業(yè)對工業(yè)控制系統(tǒng)安全認(rèn)識不足導(dǎo)致重視不夠，人員安全意識、風(fēng)險意識不足，企業(yè)工業(yè)控制系統(tǒng)安全管理制度不健全，技術(shù)防護措施不到位，工控安全專人人員缺乏，安全防護能力和應(yīng)急處置能力不高等，都威脅工業(yè)生產(chǎn)安全。

工業(yè)控制系統(tǒng)信息安全常用防護手段

1.網(wǎng)絡(luò)安全測試工具

常用的網(wǎng)絡(luò)安全測試工具既包括IT領(lǐng)域的測試工具，也包括針對工業(yè)控制領(lǐng)域的測試工具，主要包括系統(tǒng)發(fā)現(xiàn)命令工具、端口掃描工具以及網(wǎng)絡(luò)協(xié)議分析工具。

需要注意的是，沒有一個工具可以解決所有漏洞檢測和挖掘問題，通常需要綜合使用各種測試手段，一般來說測試應(yīng)在離線或非真實運行的狀態(tài)下進(jìn)行。

2漏洞挖掘技術(shù)

漏洞挖掘就是要找出軟件對異常情況處理不正確的地方，目前主要手段就是模糊測試。模糊測試，就是構(gòu)造異常的數(shù)據(jù)包發(fā)送給被測試設(shè)備，然后觀察被測試設(shè)備對異常數(shù)據(jù)包的反應(yīng)。進(jìn)行漏洞挖掘，就是要找到更多的未知漏洞。相比協(xié)議一致性測試和性能測試，漏洞挖掘發(fā)送的數(shù)據(jù)包是除正常數(shù)據(jù)包以外的無限種可能。

3.白名單技術(shù)

白名單是一個列表或者是實體的注冊表，在列表上的實體是可以接受、獲準(zhǔn)和認(rèn)可的，和白名單相反，黑名單是確定被拒絕、不被承認(rèn)還有排斥的實體列表，常見的白名單有用戶白名單、資產(chǎn)白名單以及應(yīng)用程序白名單等。白名單技術(shù)可以有效抵御“零日”漏洞攻擊和其它有針對性的攻擊，也可以提供程序警報，同時還有利于保持系統(tǒng)以最佳性能運行，從而提高工作效率。

對于正在運行的應(yīng)用、工具和進(jìn)程來說，白名單技術(shù)可以提供對系統(tǒng)的全面可視性。白名單能夠幫助抵御高級內(nèi)存注入攻擊。同時，白名單技術(shù)也具有一定的局限性，比如授權(quán)IP可能會發(fā)送非法交易、授權(quán)的端口可以轉(zhuǎn)換非法協(xié)議的數(shù)據(jù)等，因此實際應(yīng)用中需要結(jié)合黑名單技術(shù)才能更加完善。