劉硯峰 李岳棟 倪樂 陶文雯

摘要：作為國家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分，工業(yè)控制系統(tǒng)被廣泛應(yīng)用于能源、交通、制造等多個行業(yè)。其安全運行問題直接影響著生產(chǎn)安全和社會穩(wěn)定，受到各方關(guān)注。安全評估是治理工控系統(tǒng)安全的必要步驟，作者總結(jié)了參與的幾次工控安全評估工作，從組織方法、資產(chǎn)收集、測試技術(shù)等方面，闡述了工控系統(tǒng)安全評估過程中的一些關(guān)鍵環(huán)節(jié)。并針對這些關(guān)鍵環(huán)節(jié)提出具體對策。

關(guān)鍵詞：項目管理;資產(chǎn)收集;端口掃描;流量分析

自2010年伊朗“震網(wǎng)病毒”事件始，越來越頻繁發(fā)生的工控系統(tǒng)（ICS）安全問題引發(fā)各方關(guān)注。不同于互聯(lián)網(wǎng)系統(tǒng)，工控系統(tǒng)末梢連接甚至操控著真實的物理世界，一旦遭到攻擊破壞，輕則遲滯生產(chǎn)活動，重則影響社會穩(wěn)定?？梢哉f，保障工控系統(tǒng)安全運行就是保障生產(chǎn)安全、保障社會穩(wěn)定。多個行業(yè)提出了“要像重視生產(chǎn)安全一樣重視網(wǎng)絡(luò)安全”的基本原則，工控系統(tǒng)安全治理工作也正在有序開展中。治理工控系統(tǒng)安全首先要做好安全評估工作，全面了解風(fēng)險和隱患。筆者有幸參與了幾次工控系統(tǒng)現(xiàn)場安全評估工作，結(jié)合現(xiàn)場評估過程，淺談幾點收獲。

一、關(guān)于組織評估工作的幾點考慮

隨著工業(yè)化與信息化的融合，計算機、信息網(wǎng)絡(luò)已經(jīng)取代了原有的模擬控制系統(tǒng)，成為現(xiàn)代工業(yè)控制系統(tǒng)的關(guān)鍵組成部分。從這個意義說，工業(yè)控制系統(tǒng)是一種網(wǎng)絡(luò)信息系統(tǒng)，可參考傳統(tǒng)信息系統(tǒng)安全風(fēng)險評估的方法進行。應(yīng)將獲得領(lǐng)導(dǎo)的承諾，包括確定目標(biāo)和方針，納入管理體系等，作為安全評估工作的前置條件。這樣，可以在評估組織過程中，獲得所需的資源。同時，工業(yè)控制系統(tǒng)有一定的特殊性，它與生產(chǎn)活動直接相關(guān)。如果將工控安全治理工作看做一個項目，那么安全評估則對應(yīng)于項目啟動階段的收集需求過程。此時識別干系人，了解他們對項目的影響能力，并平衡他們的要求、需求和期望，對項目成功至關(guān)重要[1]。工業(yè)控制系統(tǒng)連接著現(xiàn)實設(shè)備、支撐著生產(chǎn)活動，從這個角度出發(fā)，項目干系人應(yīng)至少包括生產(chǎn)管理、設(shè)備管理、安全管理和信息管理人員等。安全評估應(yīng)盡可能促使相關(guān)方高職位人員參與，這樣既保證了評估過程有一個全面的視角，也可取得各方的關(guān)注與支持，為后期持續(xù)開展工業(yè)控制系統(tǒng)安全治理奠定基礎(chǔ)。可以文件的形式組成評估工作組，進一步提升干系人的參與度。工作組職責(zé)可包括但不限于以下幾點：1.建立工作協(xié)調(diào)機制，統(tǒng)籌隱患治理工作。2.組織安全防護評估，梳理安全隱患，并制定整改計劃，落實整改方案。3.協(xié)調(diào)工業(yè)控制系統(tǒng)安全隱患整改實施，組織隱患治理效果后評估工作。此外，鑒于大多工業(yè)控制系統(tǒng)貼近生產(chǎn)現(xiàn)場的特點，系統(tǒng)現(xiàn)場的運行管理者及使用者亦應(yīng)納入項目干系人管理。評估過程中，可采取召開評估啟動會的方式，通過安全意識和政策形勢宣貫，取得這部分干系人的理解和支持。

二、資產(chǎn)收集的思考

安全評估結(jié)果是否全面準(zhǔn)確，資產(chǎn)識別是關(guān)鍵。特別是工業(yè)控制系統(tǒng)，涉及的品牌種類繁多，開發(fā)環(huán)境多樣。應(yīng)全面了解資產(chǎn)細(xì)節(jié)，除了將資產(chǎn)關(guān)聯(lián)到具體系統(tǒng)以外，還應(yīng)確保其關(guān)聯(lián)到現(xiàn)實環(huán)境中。因為，不同專業(yè)角度對資產(chǎn)安全的關(guān)注角度是有差異的，如設(shè)備部門關(guān)注儀器儀表的準(zhǔn)確性、完整性和物理位置安全。而安全管理部門則關(guān)注關(guān)鍵設(shè)備的運行狀態(tài)，如重大危險源，他們會選擇安裝多臺監(jiān)控設(shè)備，時刻關(guān)注其運行狀態(tài)。

另外，不同于傳統(tǒng)信息系統(tǒng)的風(fēng)險定級標(biāo)準(zhǔn)，工業(yè)控制系統(tǒng)安全評估中鑒定的安全風(fēng)險要首先考慮設(shè)備設(shè)施的本質(zhì)安全因素，系統(tǒng)安全運行的最終目標(biāo)是為安全生產(chǎn)提供保障。一個物理上重大風(fēng)險點中所涉及設(shè)備的低風(fēng)險隱患等級，可能要高于數(shù)據(jù)系統(tǒng)中存在高風(fēng)險。因此，為確保識別風(fēng)險準(zhǔn)確，資產(chǎn)臺賬應(yīng)能夠滿足多業(yè)務(wù)角度下的安全管理需求。可分為儀器儀表、通信設(shè)備、服務(wù)器及視頻監(jiān)控設(shè)備四部分，分別采集各專業(yè)關(guān)注的設(shè)備資產(chǎn)臺賬，通過IP地址、物理位置、所屬組織關(guān)聯(lián)，建立層層遞歸的資產(chǎn)歸屬關(guān)系，形成工業(yè)控制系統(tǒng)綜合資產(chǎn)臺賬（圖1），使資產(chǎn)臺賬具有立體感。為不同專業(yè)角度提供統(tǒng)一的觀察模型，安全管理人員、設(shè)備管理人員可從物理位置出發(fā)，結(jié)合實際生產(chǎn)中的風(fēng)險點定級，給出風(fēng)險定級;生產(chǎn)管理人員，可結(jié)合具體其所屬組織具體的生產(chǎn)連續(xù)性要求，給出風(fēng)險級別;信息管理人員可綜合各方風(fēng)險級別，結(jié)合信息系統(tǒng)隱患，確定綜合風(fēng)險級別。

三、對基礎(chǔ)資料收集的思考

在完善資產(chǎn)臺賬的基礎(chǔ)上，應(yīng)結(jié)合物理的和邏輯的環(huán)境，深入理解系統(tǒng)的運行機制，可從三個方面入手：

（一）系統(tǒng)的功能和架構(gòu)

通用的工業(yè)控制系統(tǒng)可分為現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層、生產(chǎn)管理層和企業(yè)資源層（圖2）。

由圖可知，工業(yè)控制系統(tǒng)中不同層級的功能模塊所提供的服務(wù)對象不同，企業(yè)資源層面向管理者，主要提供數(shù)據(jù)分析展示服務(wù)，數(shù)據(jù)展示一般以日、周、月為周期。對實時性的要求不是很高。而越底層的功能模塊對數(shù)據(jù)的實時性要求越高，并且越接近物理環(huán)境，其受到損害對現(xiàn)實環(huán)境的影響則越大。如現(xiàn)場控制層模塊與過程監(jiān)控層模塊出現(xiàn)安全故障，造成的損害級別不同，應(yīng)參照圖2給出的理論模型深入剖析系統(tǒng)功能和各模塊，為后期開展識別風(fēng)險，提供一個縱向上的觀察視角。

（二）網(wǎng)絡(luò)架構(gòu)

絕大多數(shù)企業(yè)已將以太網(wǎng)應(yīng)用在工業(yè)控制系統(tǒng)中，取代原來種類繁多的現(xiàn)場總線，使控制系統(tǒng)與管理系統(tǒng)無縫銜接，形成垂直方向的系統(tǒng)集成，同時降低不同廠商設(shè)備在水平面上的集成成本[2]。因此在網(wǎng)絡(luò)層面，從RTU/PLC到工程師站、上位機，OPC服務(wù)到實時數(shù)據(jù)，大部分系統(tǒng)采用以太網(wǎng)通信。Modbus/TCP、PROFINET、OPC等多種工業(yè)以太網(wǎng)協(xié)議繼承了傳統(tǒng)以太網(wǎng)核心技術(shù)，也使得傳統(tǒng)以太網(wǎng)固有的安全設(shè)計缺陷疊加到了工業(yè)以太網(wǎng)中。如Modbus/TCP等多種協(xié)議缺乏安全屬性，明文傳輸數(shù)據(jù)，易受到欺騙、洪泛、重放等攻擊威脅[2]。傳統(tǒng)以太網(wǎng)的合理網(wǎng)絡(luò)布局，縮小廣播域是抑制攻擊的有效方法。VLAN、防火墻等技術(shù)的應(yīng)用能夠?qū)⒐舻挠绊懴拗圃谝欢ǚ秶?。而工業(yè)控制系統(tǒng)設(shè)計時主要考慮系統(tǒng)的可用性，大多沒有實現(xiàn)“橫向分區(qū)，縱向分層”的網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)結(jié)構(gòu)的缺陷極有可能引起系統(tǒng)性的安全故障，是影響工業(yè)控制系統(tǒng)安全運行的嚴(yán)重隱患，一次普通的DOS攻擊就能夠?qū)е抡麄€系統(tǒng)癱瘓。因此對于工業(yè)控制系統(tǒng)安全評估，考慮后期安全治理的需要，細(xì)致梳理網(wǎng)絡(luò)結(jié)構(gòu)是一項重要的工作內(nèi)容。繪制并提交工業(yè)控制系統(tǒng)運行網(wǎng)絡(luò)結(jié)構(gòu)圖是體現(xiàn)評估效果的必要因素。工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)圖應(yīng)該體現(xiàn)具體細(xì)節(jié)，包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、工程師站、上位機、OPC、實時數(shù)據(jù)庫等，應(yīng)盡可能詳細(xì)標(biāo)注。這有助于我們深入理解系統(tǒng)內(nèi)部的運行過程，提供一個橫向上的觀察視角。

（三）生產(chǎn)工藝流程

生產(chǎn)工藝流程反映了產(chǎn)品的生產(chǎn)過程，而工業(yè)控制系統(tǒng)必然建立在一套成熟的生產(chǎn)工藝流程之上。因此，評估中了解生產(chǎn)流程，可以幫助我們從現(xiàn)實生產(chǎn)需要出發(fā)，考察系統(tǒng)控制和作用機制。

綜合考量上述三方面，我們可以從一個較高的視角俯視系統(tǒng)全貌，是后續(xù)完成安全治理的重要保障。

四、一些應(yīng)采用的技術(shù)測試方法

（一）端口掃描

在評估過程中，應(yīng)全面收集工業(yè)控制系統(tǒng)內(nèi)部通信端口的開放情況，可使用ScanPort、PortScan等實用工具開展全網(wǎng)掃描，結(jié)合系統(tǒng)實際在用通信協(xié)議，初步判斷掃描出的端口是否在用。

對于開放的無用端口，現(xiàn)場可進行封閉測試，驗證并記錄端口封閉后對系統(tǒng)的影響。在加固設(shè)備安全的同時，為今后的工業(yè)控制系統(tǒng)安全策略部署提供數(shù)據(jù)支撐。表1為工業(yè)控制系統(tǒng)內(nèi)常用協(xié)議的端口。

（二）漏洞掃描

評估過程中，應(yīng)開展操作系統(tǒng)、數(shù)據(jù)庫及web應(yīng)用漏洞掃描。由于工業(yè)控制系統(tǒng)對穩(wěn)定性的高要求，為確保持續(xù)運行，內(nèi)部的服務(wù)器、工程師站等終端設(shè)備很少升級或打補丁修復(fù)，積累了大量的安全漏洞。分析近年來發(fā)生的重大工控安全事件，多以暴露在外的桌面終端為跳板，通過橫向滲透，進而控制工業(yè)控制系統(tǒng)內(nèi)部關(guān)鍵主機，達到攻擊目的。如2021年發(fā)生的美國輸油管線勒索病毒事件，有消息稱，其暴露在互聯(lián)網(wǎng)上的一臺桌面終端被控制，以此終端為跳板成功實施了勒索攻擊。因此，工業(yè)控制系統(tǒng)內(nèi)大量未修復(fù)漏洞的工程師站、上位機、服務(wù)器等設(shè)備，既是工業(yè)控制系統(tǒng)的核心組件，也是整個系統(tǒng)的脆弱點。現(xiàn)場評估應(yīng)開展漏洞掃描檢測，識別并記錄操作系統(tǒng)、數(shù)據(jù)庫等層面的安全隱患，為后期開展治理工作提供支撐資料。

（三）流量分析

評估過程中，應(yīng)開展流量抓包分析，有助于深入了解系統(tǒng)內(nèi)部的運行狀態(tài)。文獻[3]指出，越來越多的設(shè)備和系統(tǒng)直接或間接接入互聯(lián)網(wǎng)，打破了工業(yè)控制系統(tǒng)原有的封閉性。加之工控協(xié)議在安全設(shè)計方面普遍存在缺陷和不足，加劇了其面臨的蓄意攻擊安全威脅。結(jié)合筆者參與的工業(yè)控制系統(tǒng)評估經(jīng)驗，流量分析中發(fā)現(xiàn)的威脅連接大多來自互聯(lián)網(wǎng)方向。這不同于我們對于網(wǎng)絡(luò)安全的認(rèn)知，即80%以上的威脅來自網(wǎng)絡(luò)內(nèi)部。筆者認(rèn)為有兩方面的原因，一是相對于傳統(tǒng)網(wǎng)絡(luò)大范圍的互聯(lián)互通，終端規(guī)模龐大，工業(yè)控制系統(tǒng)相對封閉且終端數(shù)量有限。加之組織的管理，降低了內(nèi)部的惡意行為的可能性。二是作為國家關(guān)鍵信息基礎(chǔ)設(shè)施，其重要作用很容易成為國家和組織間對抗的橋頭堡。因此，流量分析中考慮應(yīng)相對關(guān)注來自互聯(lián)網(wǎng)方向的流量。可使用WireShark（圖3）等抓包工具開展流量分析，這依賴于評估人員的高度專業(yè)和豐富的經(jīng)驗。也可使用專業(yè)分析工具，據(jù)了解，大多數(shù)工控安全廠商均可提供專業(yè)的流量分析設(shè)備。

五、結(jié)束語

本文從評估人員組成、資產(chǎn)收集、評估角度、技術(shù)測試等方面總結(jié)了幾點收獲。＼隨著信息化與工業(yè)化的不斷融合，我們可以借鑒傳統(tǒng)信息安全領(lǐng)域的理論和方法開展評估。但不同傳統(tǒng)信息系統(tǒng)架構(gòu)相對穩(wěn)固的特點，工業(yè)控制系統(tǒng)與生產(chǎn)高度關(guān)聯(lián)，隨著生產(chǎn)建設(shè)的延伸，工業(yè)控制系統(tǒng)必將隨之拓展變化。因此，評估有一定的時效性，筆者認(rèn)為在完成安全評估后，應(yīng)盡快啟動安全治理工作，在修復(fù)已有隱患的同時，為工業(yè)控制系統(tǒng)的進一步發(fā)展的奠定安全基礎(chǔ)，避免系統(tǒng)快速擴張產(chǎn)生新的安全隱患。

參? 考? 文? 獻

[1]項目管理知識體系指南（PMBOK指南）（第5版）

[2]馮濤等.工業(yè)以太網(wǎng)協(xié)議脆弱性與安全防護技術(shù)綜述[J].通信學(xué)報.2017，11（Z2）：185-196.

[3]方棟梁，等.工業(yè)控制系統(tǒng)協(xié)議安全綜述[J].計算機研究與發(fā)展，2022，59（5）.

作者單位：劉硯峰? ? 李岳棟? ? 倪樂? ? 陶文雯? ? 中國石化華東油氣分公司信息化管理中心

劉硯峰（1976.03-），男，漢族，研究生，高級工程師，研究方向：信息安全。