李富勇 聞宏強(qiáng) 趙一凡

摘 要：近年來(lái)，工業(yè)控制系統(tǒng)的安全問(wèn)題越來(lái)越受到重視，文中對(duì)比了工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的區(qū)別，分析了現(xiàn)行等級(jí)保護(hù)測(cè)評(píng)的要求應(yīng)用到工業(yè)控制系統(tǒng)的一些特殊性，并在此基礎(chǔ)上，提出了工業(yè)控制系統(tǒng)安全測(cè)評(píng)應(yīng)重點(diǎn)關(guān)注的

問(wèn)題，為工業(yè)企業(yè)和測(cè)評(píng)機(jī)構(gòu)開(kāi)展此類工作提供借鑒。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；信息安全；等級(jí)保護(hù)；現(xiàn)狀

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2018）07-00-03

0 引 言

工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)過(guò)程中涉及的軟硬件系統(tǒng)、控制平臺(tái)和技術(shù)人員的集合。工控系統(tǒng)中控制部件采集、監(jiān)測(cè)現(xiàn)場(chǎng)實(shí)時(shí)數(shù)據(jù)，實(shí)現(xiàn)工業(yè)設(shè)備自動(dòng)化運(yùn)行和業(yè)務(wù)流程管理。

隨著工業(yè)互聯(lián)網(wǎng)和智能制造的發(fā)展，工業(yè)控制系統(tǒng)的安全問(wèn)題正遭受嚴(yán)峻的挑戰(zhàn)，當(dāng)今移動(dòng)互聯(lián)網(wǎng)無(wú)處不在，整個(gè)控制系統(tǒng)都可與遠(yuǎn)程終端互連，使得工業(yè)控制系統(tǒng)存在的漏洞和遭受的攻擊日益增多。近年來(lái)我國(guó)發(fā)布了一系列工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的國(guó)家標(biāo)準(zhǔn)，如GB/T 33007-2016和GB/T 33009.1-2016等[1-2]。

1 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀

1.1 工業(yè)控制系統(tǒng)結(jié)構(gòu)概述

工業(yè)控制系統(tǒng)是用于采集、監(jiān)測(cè)和控制生產(chǎn)過(guò)程的系統(tǒng)，通常由傳感器、過(guò)程控制設(shè)備和通信設(shè)備構(gòu)成[3-4]。工業(yè)控制系統(tǒng)的結(jié)構(gòu)通常分為五層，如圖1所示，由外到內(nèi)分別為管理調(diào)度層、網(wǎng)絡(luò)通信層、集中監(jiān)控層、現(xiàn)場(chǎng)控制層和采集執(zhí)

行層。

第一層是管理調(diào)度層，主要完成生產(chǎn)、人員和設(shè)備等管理工作，通過(guò)信息交互實(shí)現(xiàn)企業(yè)信息全集成管理。

第二層是網(wǎng)絡(luò)通信層，主要包含防火墻、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)公共網(wǎng)絡(luò)之間的連接、網(wǎng)絡(luò)連接防護(hù)措施、安全配置和審計(jì)、運(yùn)維安全管理、業(yè)務(wù)連續(xù)性、容災(zāi)備份措施等功能。

第三層是集中監(jiān)控層，包括監(jiān)控計(jì)算機(jī)、監(jiān)控服務(wù)器、工控機(jī)、操作站、監(jiān)控中心等。

第四層是現(xiàn)場(chǎng)控制層，采用專有的工控通信協(xié)議和工控設(shè)備，還包括DDC控制器、PLC控制器和生產(chǎn)相關(guān)的設(shè)備等。

第五層是采集執(zhí)行層，主要包括現(xiàn)場(chǎng)儀表和其他控制設(shè)備，用于實(shí)時(shí)采集現(xiàn)場(chǎng)參數(shù)。

1.2 工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的對(duì)比

從信息安全目標(biāo)這一根本原則來(lái)看，傳統(tǒng)的CIA原則（機(jī)密性、完整性和可用性）已不再適用于工業(yè)控制系統(tǒng)，工業(yè)控制系統(tǒng)的安全目標(biāo)應(yīng)遵循AIC（可用性、完整性和機(jī)密性）等原則[5，6]。基于以上原則和對(duì)工業(yè)控制系統(tǒng)的理解，本文認(rèn)為兩者的區(qū)別如下：

（1）工業(yè)企業(yè)往往追求系統(tǒng)的可用性，因此傳統(tǒng)的更新模式不再適用于工業(yè)控制系統(tǒng)，而且工控系統(tǒng)的更新需提前準(zhǔn)備，更新升級(jí)必須要在離線環(huán)境下驗(yàn)證，但在一些連續(xù)生產(chǎn)運(yùn)行系統(tǒng)中，停機(jī)升級(jí)系統(tǒng)的成本很高。對(duì)于國(guó)外的工控設(shè)備而言，系統(tǒng)更新還有可能會(huì)和工控系統(tǒng)發(fā)生沖突，對(duì)生產(chǎn)或設(shè)備帶來(lái)不良影響。

（2）從系統(tǒng)目的來(lái)看，連續(xù)型工業(yè)控制系統(tǒng)對(duì)實(shí)時(shí)性要求較大，工控系統(tǒng)主要是對(duì)生產(chǎn)中遇到的問(wèn)題能夠?qū)崟r(shí)做出判斷和決策，特殊情況下必需確保及時(shí)處理，而傳統(tǒng)信息系統(tǒng)在緊急處理能力上和工業(yè)控制系統(tǒng)不在一個(gè)級(jí)別，且傳統(tǒng)信息系統(tǒng)通信過(guò)程中的安全手段通常采用TCP/IP協(xié)議和非對(duì)稱加密算法等措施?？紤]到工業(yè)控制系統(tǒng)中現(xiàn)場(chǎng)控制設(shè)備向上位機(jī)發(fā)送現(xiàn)場(chǎng)數(shù)據(jù)時(shí)的實(shí)時(shí)性要求，認(rèn)為實(shí)時(shí)性不高的加密技術(shù)對(duì)工業(yè)控制系統(tǒng)而言還不太適用。

（3）從系統(tǒng)特征來(lái)看，工業(yè)控制系統(tǒng)與物理環(huán)境存在交互關(guān)系，會(huì)產(chǎn)生相對(duì)復(fù)雜的交互作用，而傳統(tǒng)信息系統(tǒng)對(duì)環(huán)境沒(méi)有特別的影響。且在風(fēng)險(xiǎn)管理上，傳統(tǒng)信息系統(tǒng)往往注意的是數(shù)據(jù)保密，而工業(yè)控制系統(tǒng)最關(guān)注的是人和環(huán)境的安全，避免故障的發(fā)生，保障公眾的生命和健康。

當(dāng)然，與傳統(tǒng)信息系統(tǒng)相比，工控系統(tǒng)還是有其獨(dú)特的特點(diǎn)，如網(wǎng)絡(luò)結(jié)構(gòu)固定、擁有專用的通信協(xié)議、供應(yīng)商單一、部件生命周期長(zhǎng)等。

2 工業(yè)控制系統(tǒng)安全測(cè)評(píng)中的特殊性

信息系統(tǒng)安全等級(jí)保護(hù)以GB/T 22239-2008為依據(jù)，表現(xiàn)在技術(shù)和管理十個(gè)層面[7，8]。在工控系統(tǒng)測(cè)評(píng)時(shí)，直接把等保的十個(gè)層面生搬硬套到工業(yè)控制系統(tǒng)存在一定的特殊性，主要表現(xiàn)如下：

（1）物理環(huán)境方面

傳統(tǒng)模式的信息系統(tǒng)數(shù)據(jù)中心或者在本單位、托管在第三方機(jī)房，只要主機(jī)房物理環(huán)境滿足一般要求即可。但工業(yè)控制系統(tǒng)中，各個(gè)車間對(duì)物理環(huán)境的要求非常高，尤其是化工、醫(yī)藥行業(yè)，例如現(xiàn)場(chǎng)控制設(shè)備、PLC設(shè)備、儀器儀表等都安裝在車間里，但環(huán)境監(jiān)測(cè)設(shè)備在車間的使用率還不是很普遍，且部分車間的環(huán)境相當(dāng)惡劣，對(duì)設(shè)備的防護(hù)要求較高，尤其是室外控制設(shè)備等。

（2）網(wǎng)絡(luò)安全方面

傳統(tǒng)信息系統(tǒng)通常采用的典型的IT網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)邊界是網(wǎng)絡(luò)信息安全的第一道防線，因此網(wǎng)絡(luò)邊界的安全防護(hù)措施顯得尤為重要。而工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)往往需進(jìn)行安全域劃分。從圖1我們可以發(fā)現(xiàn)工業(yè)控制系統(tǒng)是一種縱向分層的網(wǎng)絡(luò)結(jié)構(gòu)，各層間采用有效的物理隔離或技術(shù)隔離，禁止任何HTTP，Telnet，F(xiàn)TP等網(wǎng)絡(luò)協(xié)議通過(guò)區(qū)域邊界。且工業(yè)控制系統(tǒng)中多采用Modbus，CANBus和PROFIBUS等通信協(xié)議，這些協(xié)議大多都能找到對(duì)應(yīng)的協(xié)議內(nèi)容，且有些已被黑客逆向攻破。由此可見(jiàn)，各層間的區(qū)域劃分、通信協(xié)議的安全性是工業(yè)控制系統(tǒng)面臨的挑戰(zhàn)之一。

（3）主機(jī)安全方面

由于工業(yè)企業(yè)往往注重系統(tǒng)的可用性，因此在操作系統(tǒng)中為避免系統(tǒng)沖突，在工業(yè)控制系統(tǒng)的工程師站、服務(wù)器等設(shè)備通常不安裝安全補(bǔ)丁、防惡意代碼軟件、入侵防御等具有病毒查殺和阻止入侵行為的軟件，通常采用白名單軟件的方式。而且DDC控制器、PLC 控制器等在主機(jī)安全層面還無(wú)法適用，因此現(xiàn)場(chǎng)工控設(shè)備、白名單的安全策略、離線環(huán)境下系統(tǒng)升級(jí)等是工控系統(tǒng)安全測(cè)評(píng)需要重點(diǎn)關(guān)注的內(nèi)容。

（4）應(yīng)用安全和數(shù)據(jù)安全方面

應(yīng)用系統(tǒng)是工業(yè)數(shù)據(jù)的主要載體，其安全性直接關(guān)系到工業(yè)控制系統(tǒng)的數(shù)據(jù)安全；且多數(shù)工業(yè)控制系統(tǒng)具有運(yùn)行監(jiān)測(cè)，功能通過(guò)大屏幕24小時(shí)實(shí)時(shí)監(jiān)測(cè)工控系統(tǒng)的運(yùn)行，因此應(yīng)用安全中有關(guān)資源控制的測(cè)評(píng)項(xiàng)并不適用于工業(yè)控制系統(tǒng)。而且工業(yè)控制系統(tǒng)會(huì)產(chǎn)生大量的工業(yè)數(shù)據(jù)，囊括了從客戶需求到銷售、訂單、研發(fā)、設(shè)計(jì)、制造等產(chǎn)品全生命周期的各類數(shù)據(jù)，這些數(shù)據(jù)價(jià)值巨大，如何確保數(shù)據(jù)遠(yuǎn)程傳輸安全、數(shù)據(jù)集中存儲(chǔ)安全是工控系統(tǒng)迫切需要解決的問(wèn)題。

3 工業(yè)控制系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)

總體原則、技術(shù)要求和管理要求是工業(yè)控制系統(tǒng)等級(jí)保護(hù)的三類說(shuō)明，其中工業(yè)控制系統(tǒng)整體提出的安全域保護(hù)原則是總體原則；技術(shù)要求針對(duì)工業(yè)控制系統(tǒng)的軟件、硬件、網(wǎng)絡(luò)協(xié)議等安全性、通信協(xié)議等要素；管理要求針對(duì)工業(yè)控制系統(tǒng)的人員管理、運(yùn)維管理、制度管理等要素，但工業(yè)控制系統(tǒng)的防護(hù)措施也需保證對(duì)系統(tǒng)的正常運(yùn)行不產(chǎn)生危害，并得到現(xiàn)場(chǎng)實(shí)踐驗(yàn)證。參照等級(jí)保護(hù)測(cè)評(píng)的要求，結(jié)合上述分析，實(shí)施工業(yè)控制系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)時(shí)，還應(yīng)重點(diǎn)關(guān)注以下要求：

（1）物理和環(huán)境安全：室外工作的控制設(shè)備的安裝環(huán)境是否具有防火、絕緣等防護(hù)能力，并可避免電磁干擾影響。

（2）網(wǎng)絡(luò)結(jié)構(gòu)安全：工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)、工業(yè)控制系統(tǒng)內(nèi)部是否進(jìn)行區(qū)域劃分，區(qū)域之間是否采取技術(shù)或物理手段隔離。

（3）各安全域訪問(wèn)控制：在工業(yè)控制系統(tǒng)各安全域之間是否部署訪問(wèn)控制設(shè)備，設(shè)置有效的訪問(wèn)控制規(guī)則，控制策略失效時(shí)及時(shí)報(bào)警。

（4）通信傳輸安全：在工業(yè)控制系統(tǒng)內(nèi)使用指令交換數(shù)據(jù)時(shí)，是否采用加密認(rèn)證手段實(shí)現(xiàn)數(shù)據(jù)加密傳輸；對(duì)需要無(wú)線通信傳輸?shù)脑O(shè)備，是否對(duì)未經(jīng)授權(quán)的無(wú)線設(shè)備進(jìn)行攔截并報(bào)警。

（5）接口安全：是否關(guān)閉或拆除控制設(shè)備上的USB接口、串行口、光驅(qū)等，是否采取有效措施保證對(duì)外接口的安全。

（6）系統(tǒng)補(bǔ)丁和風(fēng)險(xiǎn)安全：更新系統(tǒng)補(bǔ)丁、惡意代碼庫(kù)、白名單庫(kù)前，是否在測(cè)試環(huán)境中通過(guò)測(cè)試，并保證系統(tǒng)的可用性，應(yīng)有安全人員負(fù)責(zé)并保存更新記錄。

（7）安全事件處置：工業(yè)控制系統(tǒng)大多應(yīng)用于化工、石油、醫(yī)藥等領(lǐng)域，應(yīng)考慮是否建立工業(yè)控制系統(tǒng)聯(lián)合防護(hù)及應(yīng)急機(jī)制，是否定期對(duì)應(yīng)急機(jī)制進(jìn)行演練，是否對(duì)安全事件進(jìn)行總結(jié)、教育和培訓(xùn)等。

4 結(jié) 語(yǔ)

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)控制系統(tǒng)得到了各國(guó)的廣范關(guān)注，但因其行業(yè)的特殊性，在信息安全方面存在較多的安全風(fēng)險(xiǎn)。本文首先總結(jié)了工業(yè)控制系統(tǒng)和傳統(tǒng)信息系統(tǒng)的區(qū)別，其次結(jié)合工業(yè)控制系統(tǒng)自身特點(diǎn)，分析了工業(yè)控制系統(tǒng)在現(xiàn)行等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)下的一些特殊性，最后，考慮總體原則，提出了開(kāi)展工業(yè)控制系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)需要重點(diǎn)關(guān)注的要求，為工業(yè)企業(yè)和測(cè)評(píng)機(jī)構(gòu)開(kāi)展此類工作提供一定的借鑒。

參考文獻(xiàn)

[1] GB/T 33007-2016 工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全 建立工業(yè)自動(dòng)化和控制系統(tǒng)安全程序[S].北京：標(biāo)準(zhǔn)出版社，2016.

[2] GB/T 33009.1-2016 工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全 集散控制系統(tǒng)（DCS）第1部分：防護(hù)要求[S].北京：標(biāo)準(zhǔn)出版社，2016.

[3]盧凱，趙云飛，柯皓仁.工業(yè)控制系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)方案研究[J].信息網(wǎng)絡(luò)安全，2016（S1）：107-111.

[4] FALCO J，STOUFFER K，SCARFONE，K. Guide to Industrial Control Systems（ICS）Security[EB/OL].https：//www.researchgate.net/publication/264037960_Guide_to_Industrial_Control_Systems_ICS_Security，2016-4-11.

[5]彭勇，江常青，謝豐，等.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2012（10）：1396-1408.

[6]何之棟，裘坤，鐘晨，等.工業(yè)控制系統(tǒng)的信息安全問(wèn)題研究[J].工業(yè)控制計(jì)算機(jī)，2013（10）：1-4.

[7]陳雪鴻，葉世超，石聰聰.淺談工業(yè)控制系統(tǒng)信息安全等級(jí)保護(hù)定級(jí)工作[J].自動(dòng)化博覽，2015（5）：66-70.

[8] GB/T22239-2008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].北京：標(biāo)準(zhǔn)出版社，2008.