王斌， 范松豪， 徐敏

（工業(yè)和信息化部電子第五研究所華東分所， 江蘇 蘇州 215011）

0 引言

隨著數(shù)字經(jīng)濟的快速發(fā)展， 工業(yè)控制系統(tǒng)（ISC： Industrial Control System） 已被廣泛地應(yīng)用于交通、 水利、 電力、 石化和制造等工業(yè)領(lǐng)域， 在滿足工業(yè)控制要求， 提高運作效率的同時， 惡意攻擊事件頻出， 如烏克蘭電網(wǎng)“Black Energy” 惡意軟件攻擊事件[1]、 臺積電 “WannaCry” 勒索病毒事件等。 因此， 本文對比了ISC 與傳統(tǒng)信息系統(tǒng)的系統(tǒng)結(jié)構(gòu)差別和典型差別， 針對ISC 分析了其脆弱性， 并提出了必要的安全防護措施。

1 工業(yè)控制系統(tǒng)

1.1 工業(yè)控制系統(tǒng)的概念

ICS 是PLC、 HMI、 SCADA、 DCS 和SIS 等系統(tǒng)的總稱， 典型的控制系統(tǒng)有軌道交通系統(tǒng)、 電力調(diào)度系統(tǒng)和智能制造系統(tǒng)等[2]， 按照實現(xiàn)功能和通信網(wǎng)絡(luò)的不同， 可以分為企業(yè)資源層、 生產(chǎn)管理層、 過程監(jiān)控層、 現(xiàn)場控制層和現(xiàn)場設(shè)備層[3]，如圖1 所示。

圖1 工業(yè)控制系統(tǒng)模型圖

現(xiàn)場設(shè)備層主要包括執(zhí)行單元、 驅(qū)動單元、 被控對象、 傳感器和采集單元等， 將采集現(xiàn)場的狀態(tài)信息， 及時地反饋給現(xiàn)場控層， 同時接收現(xiàn)場控制層的相關(guān)控制信息， 通過驅(qū)動單元， 通過模擬量或者數(shù)字量輸出， 控制對象執(zhí)行工作。

現(xiàn)場控制層主要包括控制器（PLC、 DDC 等）、現(xiàn)場總線（CAN、 MVB 等） 和控制儀表等， 現(xiàn)場設(shè)備層的采集單元將狀態(tài)數(shù)據(jù)通過現(xiàn)場總線反饋給控制器。 控制器通過控制算法進行邏輯運算， 將實時的控制指令輸出到現(xiàn)場控制層的驅(qū)動單元或者執(zhí)行單元； 同時負(fù)責(zé)控制器與控制器之間， 控制器與過程監(jiān)控層之間的通信網(wǎng)絡(luò)。

過程監(jiān)控層主要包括人機界面（HMI）、 工業(yè)控制計算機（如工程師站等）、 服務(wù)器、 通信網(wǎng)絡(luò)和工業(yè)以太網(wǎng)等， 對控制現(xiàn)場進行監(jiān)視、 控制和管理， 監(jiān)控現(xiàn)場設(shè)備層、 現(xiàn)場控制層的工作狀態(tài)， 并負(fù)責(zé)工業(yè)控制計算機、 服務(wù)器間的通信網(wǎng)絡(luò)。

生產(chǎn)管理層主要是指包含資源分配管理、 生產(chǎn)調(diào)度管理、 數(shù)據(jù)采集、 質(zhì)量管理、 過程管理、 工廠信息管理（PIMS） 和先進制造（APC）等功能的MES 系統(tǒng)， 用于監(jiān)控控制現(xiàn)場的狀態(tài)信息， 并采集設(shè)備層、控制層和監(jiān)控層的工作狀態(tài)信息，優(yōu)化生產(chǎn)調(diào)度過程， 保證工業(yè)控制系統(tǒng)的可靠性。

企業(yè)資源層用于企業(yè)的日常管理， 包含辦公管理、 人事管理、 合同管理和營銷管理等傳統(tǒng)信息系統(tǒng)。

1.2 工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)對比

與傳統(tǒng)信息系統(tǒng)相比， ICS 在結(jié)構(gòu)上有許多不同， 如體系結(jié)構(gòu)、 操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議等。 ICS 有不同的性能、 可用性和風(fēng)險等要求， 所使用的操作系統(tǒng)和應(yīng)用程序與傳統(tǒng)信息系統(tǒng)也不一樣， 下面主要從系統(tǒng)結(jié)構(gòu)和典型差別兩個方面進行比較[4]，如表1-2 所示。

表1 工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)之間的結(jié)構(gòu)比較表

表2 工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)之間的典型比較表

1.3 工業(yè)控制系統(tǒng)安全

工業(yè)控制領(lǐng)域安全包括兩個方面： 一方面是系統(tǒng)自身安全， 涉及的是網(wǎng)絡(luò)安全范疇； 另一方面是系統(tǒng)或設(shè)備安全， 涉及的范疇是功能安全。 無論是網(wǎng)絡(luò)或者功能安全都事關(guān)安全生產(chǎn)， 因而工業(yè)領(lǐng)域安全的本質(zhì)是既要保證網(wǎng)絡(luò)安全又要保證功能安全。

ICS 網(wǎng)絡(luò)安全涉及的范圍較廣， 是一種跨學(xué)科的新技術(shù)， 它包含可用性、 完整性和保密性等， 并深刻地影響智能制造、 軟件和信息服務(wù)等產(chǎn)業(yè)發(fā)展、 數(shù)字政府建設(shè)等。

ICS 功能安全是指為了實現(xiàn)工業(yè)控制設(shè)施的安全功能， 受保護的工業(yè)控制設(shè)施必須正確執(zhí)行其安全功能， 當(dāng)故障或失效發(fā)生時， 工業(yè)控制設(shè)施必須仍能保持安全條件或進入安全狀態(tài)， 如儀表安全系統(tǒng)、 安全聯(lián)鎖系統(tǒng)和緊急停車系統(tǒng)等。

2 工業(yè)控制系統(tǒng)脆弱性分析

追求可用性而犧牲安全， 接下來從安全策略和管理流程、 工業(yè)控制網(wǎng)絡(luò)和工業(yè)控制平臺3 個方面分析可能存在的脆弱性[5]。

2.1 安全策略和管理流程脆弱性

安全策略和管理流程脆弱性如表3 所示。

表3 安全策略和管理流程脆弱性表

2.2 工業(yè)控制網(wǎng)絡(luò)脆弱性

工業(yè)管制網(wǎng)絡(luò)脆弱性如表4 所示。

表4 工業(yè)控制網(wǎng)絡(luò)脆弱性表

2.3 工業(yè)控制平臺脆弱性

工業(yè)控制平臺脆弱性如表5 所示。

表5 工業(yè)控制平臺脆弱性表

3 工業(yè)控制系統(tǒng)安全防護

ICS 網(wǎng)絡(luò)安全防護作為重中之重， 針對脆弱性， 采用口令、 智能卡和生物鑒別等方式實現(xiàn)鑒別和授權(quán)； 通過部署工業(yè)防火墻實現(xiàn)訪問控制并對協(xié)議進行分析過濾； 在遠(yuǎn)程訪問工業(yè)控制網(wǎng)時， 采用虛擬專用網(wǎng)絡(luò)VPN 安全技術(shù)來傳輸數(shù)據(jù)[6]； 通過部署具有物理分隔網(wǎng)絡(luò)的設(shè)備（如網(wǎng)閘等） 實現(xiàn)控制與管理網(wǎng)絡(luò)的邏輯分隔； 使用安全的通信協(xié)議并關(guān)閉不安全的端口和服務(wù)。

鑒于工業(yè)控制通信協(xié)議、 操作系統(tǒng)和組態(tài)軟件等方面的特殊性， 構(gòu)建ICS 漏洞平臺可以通過掃描關(guān)鍵設(shè)備， 檢測ICS 的脆弱性[7]； 大部分危害發(fā)生在漏洞已經(jīng)發(fā)布補丁后， 由于更新不及時而造成，ICS 補丁管理程序需要考慮ICS 的特性、 用戶對生產(chǎn)及環(huán)境的要求； 部署入侵檢測防御系統(tǒng)， 對網(wǎng)絡(luò)傳輸和ICS 運行過程中的入侵行為進行實時監(jiān)視、攔截并報警。

ICS 網(wǎng)絡(luò)安全不僅需要安全技術(shù)解決方案， 而且需要完善的管理方案， 因此建立一套全面而有效的信息安全管理體系（ICS-SMS） 勢在必行[8]， 采用PDCA 模型來建立體系過程， 建立、 實施和運行、 監(jiān)視與評審， 以及保持與改進體系。

圖2 ICS-SMS 圖

4 結(jié)束語

ICS 的網(wǎng)絡(luò)安全問題長期被忽視， 安全軟件紛繁復(fù)雜， 因此需要努力建立一個完善的網(wǎng)絡(luò)安全體系， 并采用規(guī)范化、 集成化和完善化的安全軟件，實現(xiàn)ICS 安全的集中監(jiān)控和有效管理； ICS 缺乏自主可控、 安全可靠的支撐平臺和檢測工具， 工控安全問題日趨嚴(yán)重， 因此需要搭建自主可控、 安全可靠的支撐平臺， 發(fā)展相關(guān)的檢測工具， 健全網(wǎng)絡(luò)安全體系。