閆 飛

（中國核電工程有限公司，北京 100840）

0 引言

近些年，全球核電產業(yè)在能源需求持續(xù)增加、全球經濟逐步復蘇、環(huán)境問題日益復雜等諸多背景的推動下，逐漸從日本福島核事故的沉寂中走出，呈現(xiàn)出回升態(tài)勢，根據(jù)IAEA公布的《2050年能源、電力和核電預測》報告，在高值情況下，預計到2030年和2050年，核電發(fā)電量在全球總發(fā)電量中的占有率將會達到13.5%和12.1%[1]。在全球核電產業(yè)復蘇的同時，工業(yè)控制系統(tǒng)信息安全問題正在嚴重威脅核電的安全[2]：2003年美國俄亥俄州DavisBesse核電站遭遇名為“監(jiān)獄”的病毒襲擊，導致核電站安全監(jiān)控系統(tǒng)整整癱瘓了5小時；2010年伊朗布什爾核電站遭受名為“震網”電腦病毒的毀滅性打擊，離心機部分功能失效，致使工廠出現(xiàn)物理損壞；德國Gundremmingen核電站的計算機系統(tǒng)遭受網絡攻擊，為防止不測，核電站被迫停止運行等一系列工控系統(tǒng)的安全事件表明，一直以來被認為相對安全的工業(yè)控制系統(tǒng)已經成為黑客的攻擊目標，特別是工業(yè)控制網絡中的終端設備極易成為敵人的入侵入口，與此同時，由于核電行業(yè)除了滿足電力需求之外，關乎國家的戰(zhàn)略安全，一旦破壞會對社會、民眾、環(huán)境帶來不可預計的后果。因此，核電產業(yè)相關的信息安全問題一定要加以重視。

本文以工業(yè)控制網絡中的終端設備信息安全防范作為研究對象，對工業(yè)控制系統(tǒng)的概念、終端設備面臨的威脅、終端設備信息安全防護體系設計原則及構架和運行過程進行闡述。

1 工業(yè)控制系統(tǒng)基本概念及終端威脅分析

1.1 工業(yè)控制系統(tǒng)基本概念

工業(yè)控制系統(tǒng)（ICS，Industrial Control System）是一類用于工業(yè)生產控制系統(tǒng)的簡稱，主要包括監(jiān)視控制與數(shù)據(jù)采集系統(tǒng)、過程控制系統(tǒng)、分布式控制系統(tǒng)、可編程邏輯控制器以及其他相關配置系統(tǒng)[3]。據(jù)統(tǒng)計，國內80%的關鍵基礎設施部署并依賴于ICS[4]，是國家關鍵基礎設施的重要組成部分。其中，終端是系統(tǒng)的具體實施、維護、監(jiān)控單元，主要包括上位機、工程師站、操作員站、服務器等終端。

1.2 工業(yè)控制系統(tǒng)終端設備信息安全威脅分析

隨著中國制造2025和工業(yè)4.0的全面推進，工業(yè)化與信息化的融合趨勢越來越明顯。工業(yè)控制系統(tǒng)逐步從封閉走向開放，從單機走向互聯(lián)，越來越多的協(xié)議、通用軟硬件被應用到工業(yè)控制系統(tǒng)中，但是伴隨而來的病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散，特別是系統(tǒng)中的終端設備因為數(shù)量較多、部署較為分散、被接觸和使用人員屬性較為復雜等特征，易被不法分子作為攻擊工業(yè)控制系統(tǒng)的主要入口，而終端設備直接關系到系統(tǒng)的最終實施，一旦遭受攻擊，會直接導致生產停滯、財產損失、甚至人員傷亡的嚴重后果。因此，終端設備的信息安全問題要引起足夠的重視，其潛在的威脅主要包括[5]：

1）控制系統(tǒng)面臨病毒攻擊的風險。傳統(tǒng)工業(yè)系統(tǒng)是封閉系統(tǒng)，也稱單機系統(tǒng)，不用考慮聯(lián)網情況。當時病毒入侵工業(yè)控制系統(tǒng)的方式主要是通過外圍設備與控制系統(tǒng)直接連接，將外圍設備中的病毒植入到控制系統(tǒng)中，入侵方式比較單一。現(xiàn)在隨著工業(yè)“互聯(lián)網+”的推進，IT和OT實現(xiàn)互聯(lián)，必然導致一批系統(tǒng)和設施暴露，使病毒入侵控制系統(tǒng)的方式大大增加。同時大量工控系統(tǒng)漏洞、攻擊方法可以通過互聯(lián)網等多種渠道獲取，許多技術分析報告給出了網絡攻擊步驟、攻擊代碼甚至攻擊工具等詳細信息，極易被黑客、商業(yè)競爭對手等不法分子利用。

2）移動存儲介質使用風險大。終端設備由于其封閉性，更普遍使用U盤、移動硬盤等移動存儲設備傳遞數(shù)據(jù)，但是由于系統(tǒng)漏洞多、升級慢，其遭受攻擊的可能性更大，如Stuxnet震網病毒即通過此種途徑傳播，一旦病毒入侵，就會在內網迅速復制傳播，感染整個控制網絡。

3）缺乏對用戶操作、網絡行為的記錄及審核?，F(xiàn)實環(huán)境中通常缺乏針對工業(yè)控制系統(tǒng)的安全日志審計及配置變更管理，導致安全事故的分析難以進行。這是因為部分工業(yè)控制系統(tǒng)可能不具備審計功能或者雖有日志審計功能但系統(tǒng)的性能要求決定了它不能開啟審計功能所造成的結果。同時，目前的IT安全審計產品因缺乏對工業(yè)控制協(xié)議的解析能力而不能直接用于工業(yè)控制系統(tǒng)中。

2 工業(yè)控制系統(tǒng)終端設備信息安全防護體系設計原則及方案

2.1 工業(yè)控制系統(tǒng)終端設備信息安全防護體系設計原則

中國的核安全標準體系相對較為完善，依托的國家法律主要有《中華人民共和國環(huán)境保護法》《中華人民共和國放射性污染防治法》等；國務院行政法規(guī)為HAF系列，主要有《中華人民共和國民用核設施安全監(jiān)督管理條例》HAF001、《中華人民共和國核材料管制條例》HAF501、《核電廠核事故應急管理條例》HAF002、《民用核安全設備監(jiān)督管理條例 500號令》等；指導性文件主要是核安全導則HAD，與核電廠數(shù)字儀控系統(tǒng)相關的有通用系列HAF003/質保類導則、HAD102/01核電廠設計總的安全原則、HAD102/10核電廠保護系統(tǒng)及有關設備、HAD102/14核電廠安全有關儀表和控制系統(tǒng)、HAD102/16核動力廠基于計算機的安全重要系統(tǒng)軟件、HAD102/17核動力廠安全評價與驗證等?？刂葡到y(tǒng)設計應以上述法律和文件為指導思想，構建集技術、管理于一體的全面的安全防御體系。

2.2 工業(yè)控制系統(tǒng)終端設備信息安全防護體系設計方案

工業(yè)控制系統(tǒng)終端信息安全防護體系主要包含3個部分：主機防護系統(tǒng)、網絡管理平臺和應用信譽庫，其基本構架如圖1所示。其中，主機防護系統(tǒng)可以識別、阻止任何白名單外的程序、腳本運行，對通過網絡、U盤等傳入系統(tǒng)的病毒、木馬、惡意程序具有阻止運行、阻止傳播、分析識別的能力，同時可以關閉無關的主機外設通道，有效防止無線連接情況下的數(shù)據(jù)外泄；網絡管理平臺統(tǒng)一管理工業(yè)控制系統(tǒng)內部所有主機防護客戶端，并收集、匯總、更新、同步單獨客戶端的黑白名單數(shù)據(jù)庫，統(tǒng)一管理企業(yè)消息推送，統(tǒng)一管理企業(yè)自建可信應用信譽庫，并與本地工業(yè)防火墻聯(lián)動；應用信譽庫利用漏洞挖掘技術、智能分析技術建立的全球性應用信譽系統(tǒng)，可有效分析不同操作系統(tǒng)、不同應用廠家、不同工業(yè)行業(yè)的應用可信性，并針對不同行業(yè)、不同應用場景形成配置模板，能方便、有效的適配各種工作場景。

終端設備信息安全防護體系部署位置如圖2所示，在工控網絡內部每臺工程師站、操作員站、服務器等設備部署防護體系，其運行機制主要包括事前部署、事中監(jiān)督和事后審計。

圖1 控制系統(tǒng)信息安全防護體系總框圖Fig.1 General block diagram of information security protection system for control system

1）事前部署。防護體系運行之前，首先對終端設備進行權責明確，確保工作站系統(tǒng)只有特定的人員才可以操作，支持分權分域設計，對員工的操作記錄記入日志服務器供事后審計；黑白名單的建立可通過自動掃描、軟件安裝跟蹤、軟件升級跟蹤、自定義添加等手段生成；對于對外接口如USB接口、光驅、串口等接口上的操作可由管理員配置，實現(xiàn)記錄和審計；建立系統(tǒng)內部的可信應用信譽庫，為企業(yè)可信應用提供認證、下載和升級服務，可防止被惡意軟件感染的工作軟件通過U盤拷貝等方式在企業(yè)內傳播，管理員可以進行應用的推薦、強制安裝或卸載等操作。企業(yè)針對運行特定任務的工作站，可以綜合運用多種方法配置白名單，最后將白名單和控制策略等保存為模板，相同工作站可以一鍵式調用，減少配置工作量。

2）事中監(jiān)督。系統(tǒng)運行過程中，只允許運行白名單中的程序、腳本和插件，惡意軟件/病毒/未授權安裝的軟件等都被阻止運行，軟件的變動都被記錄和審計，對異常行為數(shù)據(jù)、非法卸載、停止本軟件的應用程序、服務及驅動，可根據(jù)策略配置進行告警、提示或阻止，防止系統(tǒng)被篡改和植入后門。監(jiān)控和報告關鍵配置文件，以及關鍵注冊表項的更改，可以由管理員定制添加；只有經過認證的特定移動設備才可以在特定的主機上運行，根據(jù)策略執(zhí)行是否允許所有或特定移動存儲設備操作，可細分為允許讀、允許寫、允許讀寫；可配置禁止USB存儲設備自動執(zhí)行，防止惡意程序利用漏洞自動運行。日志、告警記錄：豐富、全面的日志記錄，可以根據(jù)策略記錄允許執(zhí)行的管理員、應用程序名、時間、證書、公司名等；如果不允許執(zhí)行，記錄管理員、應用程序名、時間、失敗原因；記錄違反安全策略的行為。支持syslog接口，可以將日志輸出到第三方日志服務器。

圖2 控制系統(tǒng)終端設備防護體系部署框圖Fig.2 Control system terminal equipment protection system deployment block diagram

3）事后審計。系統(tǒng)根據(jù)策略記錄被允許執(zhí)行的管理員、應用程序名、時間、證書、公司名等，如果不被允許執(zhí)行，記錄管理員、應用程序名、時間、失敗原因以及違反安全策略的行為，同時支持將記錄信息輸出到第三方服務器，以供后期檢查和分析；系統(tǒng)可以將記錄信息與大數(shù)據(jù)安全關聯(lián)，對系統(tǒng)內的日志和警告信息進行綜合分析，深度挖掘安全事件，如某款不在白名單中的軟件在多臺工作站試圖安裝，某個賬號在多臺終端試圖登錄等，生成安全事件警告，并定期輸出企業(yè)安全度檢查報告；系統(tǒng)會定期生成企業(yè)安全態(tài)勢分析報表，對近期企業(yè)安全事件、風險和管理進行分析和匯報。

3 結論

本文全面分析了當前工控系統(tǒng)中終端設備安全防護的特點和難點，針對終端設備面臨的信息安全風險，從主機防護系統(tǒng)、網絡管理平臺和應用信譽庫3個方面分析，形成較為完整的信息安全防護體系，對相關行業(yè)控制領域的信息安全防護的建設具有借鑒意義。