張建珍，閆波

山西機(jī)電職業(yè)技術(shù)學(xué)院，山西長(zhǎng)治，046000

0 引言

隨著新基建及兩化融合戰(zhàn)略的推進(jìn)，工業(yè)互聯(lián)網(wǎng)正在形成，傳統(tǒng)工業(yè)相對(duì)封閉安全的生產(chǎn)環(huán)境正在被打破，全要素、全產(chǎn)業(yè)鏈、全價(jià)值鏈的全面連接[1]，為我國(guó)工業(yè)技術(shù)改革創(chuàng)新提供了重要機(jī)遇，但如何保障工業(yè)控制系統(tǒng)的安全性也成為決定工業(yè)互聯(lián)網(wǎng)發(fā)展的首要因素。

1 工業(yè)控制系統(tǒng)內(nèi)涵

工業(yè)控制系統(tǒng)（ICS）是一個(gè)通用術(shù)語(yǔ)，它包括多種工業(yè)生產(chǎn)中使用的控制系統(tǒng)，包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）和其他較小的控制系統(tǒng)，如可編程邏輯控制器（PLC），現(xiàn)已廣泛應(yīng)用在工業(yè)部門(mén)和關(guān)鍵基礎(chǔ)設(shè)施中[2]。

2 工業(yè)控制系統(tǒng)安全控制的內(nèi)涵

工業(yè)控制系統(tǒng)的安全控制包括管理制度、運(yùn)維管理和技術(shù)管理三方面，由16個(gè)安全控制族[3]，如管理制度類(lèi)包含安全評(píng)估和授權(quán)、系統(tǒng)和服務(wù)獲取、規(guī)劃、風(fēng)險(xiǎn)評(píng)估；運(yùn)維管理包括人員安全、應(yīng)急規(guī)劃、物理和環(huán)境安全、配置管理、系統(tǒng)和信息完整性、介質(zhì)保護(hù)、事件響應(yīng)、意識(shí)和培訓(xùn)、維護(hù)；技術(shù)管理包括訪問(wèn)控制、審計(jì)和可核查性、標(biāo)識(shí)和鑒別。從概念上來(lái)說(shuō)，工業(yè)控制系統(tǒng)的安全與其他領(lǐng)域的安全是一樣的，工業(yè)控制系統(tǒng)的安全控制模式如圖1所示。

工業(yè)控制系統(tǒng)安全是一項(xiàng)系統(tǒng)工程，單一的產(chǎn)品和技術(shù)不能有效地保護(hù)工業(yè)控制系統(tǒng)安全，有效的工業(yè)控制系統(tǒng)安全戰(zhàn)略，需要采用深度防御及層次化的安全機(jī)制，使任一安全機(jī)制失效的影響最小化。工業(yè)控制系統(tǒng)安全應(yīng)在組織工業(yè)控制系統(tǒng)安全戰(zhàn)略指導(dǎo)下，通過(guò)適當(dāng)組合配置的安全控制予以實(shí)現(xiàn)[3]。

3 工業(yè)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)安全的區(qū)別

大多數(shù)的工業(yè)控制系統(tǒng)均在網(wǎng)絡(luò)、個(gè)人計(jì)算機(jī)和互聯(lián)網(wǎng)普及以前已經(jīng)開(kāi)發(fā)并使用，設(shè)計(jì)之初主要用于解決高效、穩(wěn)定、可靠、安全等工業(yè)生產(chǎn)需求。通常情況下，這種系統(tǒng)具有很強(qiáng)的實(shí)時(shí)通信能力，設(shè)備更換操作相對(duì)復(fù)雜，且系統(tǒng)運(yùn)行中不能重啟或重啟代價(jià)較大，通信協(xié)議多樣[4]。雖然這些系統(tǒng)設(shè)計(jì)時(shí)關(guān)注了可靠性、可用性和可維護(hù)性，但沒(méi)有預(yù)料到在解決性能和故障統(tǒng)計(jì)等問(wèn)題時(shí)的信息安全問(wèn)題。

傳統(tǒng)觀念中，工業(yè)控制系統(tǒng)安全僅意味著物理上專(zhuān)用網(wǎng)絡(luò)訪問(wèn)和系統(tǒng)控制臺(tái)功能。工業(yè)控制系統(tǒng)在20世紀(jì)80年代和90年代與微處理器、個(gè)人計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)同步發(fā)展，在90年代后期，互聯(lián)網(wǎng)技術(shù)開(kāi)始融入工業(yè)控制系統(tǒng)的設(shè)計(jì)中。這些新技術(shù)帶來(lái)的變化使工業(yè)控制系統(tǒng)面臨新的威脅，并極大增加了工業(yè)控制系統(tǒng)受到損害的可能性。

隨著低成本互聯(lián)網(wǎng)協(xié)議設(shè)備產(chǎn)品的成熟，工業(yè)控制系統(tǒng)開(kāi)始采用IT解決方案來(lái)實(shí)現(xiàn)企業(yè)連接和遠(yuǎn)程訪問(wèn)等功能，標(biāo)準(zhǔn)計(jì)算機(jī)、操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議在工業(yè)制作系統(tǒng)中使用的比重不斷加大，工業(yè)控制系統(tǒng)越來(lái)越像IT 系統(tǒng)。與之前相比，工業(yè)控制系統(tǒng)減少了封閉性，也產(chǎn)生了新的安全需求。工業(yè)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)相比存在許多特殊性，包括不同的風(fēng)險(xiǎn)和優(yōu)先級(jí)、不同的性能和可靠性要求等。下面是工業(yè)控制系統(tǒng)安全區(qū)別于傳統(tǒng)IT系統(tǒng)安全的幾個(gè)主要方面：

（1）可用性。大多數(shù)工業(yè)控制系統(tǒng)要求工作連續(xù)性，意外的中斷是不可接受的。部分工業(yè)控制系統(tǒng)采用冗余組件，并保持并聯(lián)運(yùn)行，以保證在主組件異?；虿豢捎脮r(shí)系統(tǒng)運(yùn)行的連續(xù)性。因此，使用典型的IT 策略，如重新啟動(dòng)組件，通常是不可接受的解決方案。

（2）風(fēng)險(xiǎn)管理。在典型的IT系統(tǒng)中，數(shù)據(jù)機(jī)密性和完整性通常是首要關(guān)注問(wèn)題。而工業(yè)控制系統(tǒng)首要關(guān)注的問(wèn)題是防止危害生命、公眾健康或信心，監(jiān)管合規(guī)，防止設(shè)備、產(chǎn)品或知識(shí)產(chǎn)權(quán)的損失等。

（3）實(shí)時(shí)控制。IT系統(tǒng)中，實(shí)現(xiàn)訪問(wèn)控制時(shí)不必過(guò)多關(guān)心數(shù)據(jù)流的情況。而在工業(yè)控制系統(tǒng)中，系統(tǒng)自動(dòng)響應(yīng)時(shí)間對(duì)人機(jī)交互的響應(yīng)要求較高，如在HMI中的身份驗(yàn)證和授權(quán)不得妨礙或干擾工業(yè)控制系統(tǒng)的緊急措施，信息流不能中斷。因此，工業(yè)控制系統(tǒng)安全控制的運(yùn)用受到嚴(yán)格的實(shí)時(shí)限制。

（4）通信協(xié)議。工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)控制和處理器間使用專(zhuān)用協(xié)議，如Modbus、CANBus、RS-232、PROFIBUS等，與IT 系統(tǒng)通信協(xié)議TCP/IP族完全不同。

（5）生命周期。典型的IT系統(tǒng)允許多樣化的支持方式。而對(duì)于工業(yè)控制系統(tǒng)，服務(wù)支持通常來(lái)自單一供應(yīng)商，可能不存在多樣化的支持方式。IT組件一般只有3~5年的生命周期，而工業(yè)控制系統(tǒng)組件的生命周期往往有15~20年，甚至更長(zhǎng)。

4 工業(yè)控制系統(tǒng)安全現(xiàn)狀

隨著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化、系統(tǒng)化、自動(dòng)化、集成化的不斷提高，其面臨的安全威脅日益增長(zhǎng)。企業(yè)對(duì)工業(yè)控制系統(tǒng)安全意識(shí)還不夠強(qiáng)，安全制度落實(shí)也存在不到位情況[5]，從發(fā)生的典型事件看，工業(yè)控制系統(tǒng)的安全威脅主要來(lái)自自然環(huán)境因素和人為操作因素。自然環(huán)境因素主要指不可抗因素，人為操作因素既有內(nèi)部人員誤操作，也有惡意攻擊。常見(jiàn)惡意攻擊如表1。

5 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估

為確保工業(yè)控制系統(tǒng)安全運(yùn)行，企業(yè)會(huì)進(jìn)行風(fēng)險(xiǎn)評(píng)估。工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的方法主要有5種：文檔查閱、現(xiàn)場(chǎng)訪談、現(xiàn)場(chǎng)核查、現(xiàn)場(chǎng)測(cè)試和模擬仿真測(cè)試[8]。

文檔查閱用于確認(rèn)被評(píng)估方的政策及技術(shù)方面是否全面且是最新的。評(píng)估方通過(guò)查閱被評(píng)估方的工業(yè)控制系統(tǒng)規(guī)劃設(shè)計(jì)方案、網(wǎng)絡(luò)拓?fù)鋱D、系統(tǒng)安全防護(hù)計(jì)劃、安全策略、架構(gòu)、要求、標(biāo)準(zhǔn)作業(yè)程序、授權(quán)協(xié)議、系統(tǒng)互連備忘錄、信息安全事件應(yīng)急響應(yīng)計(jì)劃等文檔，評(píng)估其準(zhǔn)確性和完整性，通過(guò)文檔查閱，發(fā)現(xiàn)被評(píng)估方可能導(dǎo)致丟失、不足或不正確執(zhí)行的安全策略。

現(xiàn)場(chǎng)訪談?dòng)糜谑占陀^事實(shí)材料，補(bǔ)充在文檔查閱中未被發(fā)現(xiàn)的工業(yè)控制系統(tǒng)細(xì)節(jié)，進(jìn)一步洞察工業(yè)控制系統(tǒng)的開(kāi)發(fā)、集成、供應(yīng)、使用、管理等過(guò)程。

表1 常見(jiàn)惡意攻擊

現(xiàn)場(chǎng)核查指在工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)生產(chǎn)環(huán)境下進(jìn)行的核查，如對(duì)工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)物理環(huán)境評(píng)估，工業(yè)控制系統(tǒng)配置、系統(tǒng)架構(gòu)和系統(tǒng)日志等評(píng)估，對(duì)工業(yè)控制系統(tǒng)安全管理評(píng)估，對(duì)已采取的安全措施進(jìn)行確認(rèn)。

現(xiàn)場(chǎng)測(cè)試包括漏洞掃描、協(xié)議分析、設(shè)備漏洞挖掘、滲透性測(cè)試等，對(duì)待評(píng)估工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)環(huán)境上進(jìn)行安全測(cè)試，以更真實(shí)反映工業(yè)控制系統(tǒng)存在的脆弱性。

對(duì)于連續(xù)型工業(yè)控制系統(tǒng)，由于需要不間斷運(yùn)行，而風(fēng)險(xiǎn)評(píng)估過(guò)程中對(duì)目標(biāo)攻擊測(cè)試會(huì)導(dǎo)致工業(yè)控制系統(tǒng)崩潰或進(jìn)入不可控狀態(tài)，因此會(huì)使用數(shù)字孿生技術(shù)建模擬仿真測(cè)試環(huán)境后進(jìn)行測(cè)試，模擬仿真測(cè)試常用方法包括：滲透測(cè)試、固件逆向分析、專(zhuān)用嵌入系統(tǒng)分析、源代碼審計(jì)、程序的上傳下載漏洞分析、專(zhuān)有協(xié)議分析、硬件板卡分析等。常用的檢測(cè)工具包括漏洞掃描器、滲透性測(cè)試工具、通訊協(xié)議數(shù)據(jù)捕獲工具等。

6 工業(yè)控制系統(tǒng)安全技術(shù)發(fā)展趨勢(shì)

兩化融合進(jìn)程中傳統(tǒng)工業(yè)相對(duì)封閉的制造環(huán)境必然被工業(yè)互聯(lián)網(wǎng)打破[9]，連入互聯(lián)網(wǎng)的工業(yè)設(shè)備、工業(yè)互聯(lián)網(wǎng)接入控制、工控設(shè)備操作系統(tǒng)、工業(yè)app及應(yīng)用、工業(yè)數(shù)據(jù)、移動(dòng)介質(zhì)均存在安全風(fēng)險(xiǎn)。

基于工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)，目前工控安全技術(shù)已從被動(dòng)防御轉(zhuǎn)向主動(dòng)防御發(fā)展，主要包括以下三方面。

6.1 安全測(cè)評(píng)認(rèn)證

工控設(shè)備上線前，進(jìn)行全方位安全檢測(cè)，以檢測(cè)產(chǎn)品健壯性，像ISASecure和Achilles就是兩個(gè)國(guó)際權(quán)威的工控安全認(rèn)證[10]，我國(guó)首個(gè)獲得國(guó)際認(rèn)證的工控安全設(shè)備是北京天地和興的HXSFW。進(jìn)行工控安全認(rèn)證，從工業(yè)控制第一步，進(jìn)行安全管控、大數(shù)據(jù)的工控態(tài)勢(shì)感知[11]。

6.2 態(tài)勢(shì)感知監(jiān)測(cè)

著名安全公司安恒信息，開(kāi)發(fā)有基于大數(shù)據(jù)的工控態(tài)勢(shì)感知監(jiān)測(cè)預(yù)警系統(tǒng)[11]，以工控系統(tǒng)控制現(xiàn)場(chǎng)層的數(shù)據(jù)為研究對(duì)象[12]，主要包括存儲(chǔ)網(wǎng)絡(luò)環(huán)境的資產(chǎn)、運(yùn)行狀態(tài)、漏洞收集、安全配置、日志、流量信息、情報(bào)信息等安全相關(guān)的數(shù)據(jù)[11]，提煉出有效的數(shù)據(jù)信息，使用K-means等聚類(lèi)算法實(shí)現(xiàn)正常工況模型的建立，并以此作為基準(zhǔn)實(shí)時(shí)檢測(cè)系統(tǒng)狀態(tài)與正常工況的偏離程度，通過(guò)大數(shù)據(jù)技術(shù)分析攻擊者畫(huà)像、安全事件數(shù)據(jù)處置、安全事件關(guān)聯(lián)、安全態(tài)勢(shì)報(bào)表等，實(shí)現(xiàn)安全事件的橫向、縱向關(guān)聯(lián)的大數(shù)據(jù)分析，從而達(dá)到為企業(yè)提供技術(shù)支撐，查明安全事件問(wèn)題根源的目的，避免或減少工業(yè)網(wǎng)絡(luò)被攻擊造成的生產(chǎn)破壞和設(shè)備損毀。在時(shí)間維度上對(duì)其進(jìn)行融合計(jì)算，得到系統(tǒng)當(dāng)前態(tài)勢(shì)，為后續(xù)態(tài)勢(shì)預(yù)測(cè)階段提供數(shù)據(jù)基礎(chǔ)。

6.3 工業(yè)控制系統(tǒng)等級(jí)保護(hù)

等級(jí)保護(hù)2.0為工業(yè)控制系統(tǒng)的安全建設(shè)、等保測(cè)評(píng)和安全整改等指明方向[6]。對(duì)工業(yè)控制系統(tǒng)實(shí)施等級(jí)保護(hù)，是實(shí)現(xiàn)工業(yè)控制系統(tǒng)安全的重要保證。工業(yè)控制系統(tǒng)信息安全等級(jí)基于工業(yè)控制系統(tǒng)存在的信息安全風(fēng)險(xiǎn)劃分，由工業(yè)控制系統(tǒng)資產(chǎn)重要程度、受侵害后潛在影響程度、需抵御的信息安全威脅程度等三個(gè)定級(jí)要素決定。這三個(gè)定級(jí)要素既相對(duì)獨(dú)立，又相互疊加。相對(duì)獨(dú)立是在一個(gè)側(cè)面或一定程度上可表示工業(yè)控制系統(tǒng)的信息安全等級(jí)。相互疊加是指一個(gè)工業(yè)控制系統(tǒng)的資產(chǎn)重要程度越高，對(duì)受侵害后潛在影響程度的考慮會(huì)越多，對(duì)需抵御的信息安全威脅程度也會(huì)更敏感，反之亦然?；谛畔踩L(fēng)險(xiǎn)的考慮，對(duì)工業(yè)控制系統(tǒng)資產(chǎn)重要程度、受侵害后潛在影響程度、需抵御的信息安全威脅程度進(jìn)行綜合評(píng)價(jià)，得出工業(yè)控制系統(tǒng)信息安全等級(jí)。

依據(jù)GB/T36324，工業(yè)控制系統(tǒng)信息安全等級(jí)分四級(jí)[7]，分別為第一，四級(jí)工業(yè)控制系統(tǒng)。第一級(jí)工業(yè)控制系統(tǒng)信息安全受到破壞后，會(huì)對(duì)一般領(lǐng)域的工業(yè)生產(chǎn)運(yùn)行造成損害，但不會(huì)損害國(guó)家安全。第二級(jí)工業(yè)控制系統(tǒng)信息安全受到破壞后，會(huì)對(duì)一般領(lǐng)域的工業(yè)生產(chǎn)運(yùn)行造成重大損害，但不會(huì)損害國(guó)家安全。第三級(jí)工業(yè)控制系統(tǒng)信息安全受到破壞后，會(huì)對(duì)重點(diǎn)領(lǐng)域的工業(yè)生產(chǎn)運(yùn)行造成重大損害，會(huì)對(duì)國(guó)家安全造成損害。第四級(jí)工業(yè)控制系統(tǒng)信息安全受到破壞后，會(huì)對(duì)關(guān)鍵領(lǐng)域的工業(yè)生產(chǎn)運(yùn)行造成重大損害。

四級(jí)工業(yè)控制系統(tǒng)信息安全保護(hù)工作要點(diǎn)。第一級(jí)工業(yè)控制系統(tǒng)，應(yīng)具有對(duì)系統(tǒng)資產(chǎn)、運(yùn)行環(huán)境、安全風(fēng)險(xiǎn)的基本認(rèn)識(shí)，采取基本的信息安全控制措施，能夠抵御來(lái)自個(gè)人、擁有少量資源的故意威脅；第二級(jí)工業(yè)控制系統(tǒng)，應(yīng)具有對(duì)系統(tǒng)資產(chǎn)、運(yùn)行環(huán)境、安全風(fēng)險(xiǎn)比較全面的認(rèn)識(shí)，初步建立風(fēng)險(xiǎn)管理戰(zhàn)略，采取比較全面的信息安全控制措施，及時(shí)檢測(cè)系統(tǒng)異常和安全事件，可以基本恢復(fù)受安全事件影響的工業(yè)控制系統(tǒng)運(yùn)行，能抵御來(lái)自有組織的團(tuán)隊(duì)、擁有中等資源的故意威脅；第三級(jí)工業(yè)控制系統(tǒng)，應(yīng)具有對(duì)系統(tǒng)資產(chǎn)、運(yùn)行環(huán)境、安全風(fēng)險(xiǎn)的全面認(rèn)識(shí)，建立風(fēng)險(xiǎn)管理戰(zhàn)略，實(shí)施信息安全治理，采取全面的信息安全控制措施，及時(shí)和全面監(jiān)測(cè)系統(tǒng)異常和安全事件，能夠恢復(fù)受安全事件影響的工業(yè)控制系統(tǒng)運(yùn)行，能抵御來(lái)自敵對(duì)組織、有組織的團(tuán)體擁有中等程度資源的故意威脅；第四級(jí)工業(yè)控制系統(tǒng)，具有對(duì)系統(tǒng)資產(chǎn)、運(yùn)行環(huán)境、安全風(fēng)險(xiǎn)的全面認(rèn)識(shí)，建立全面風(fēng)險(xiǎn)管理戰(zhàn)略，實(shí)施信息安全治理，采取全面的信息安全控制措施，連續(xù)和全面監(jiān)測(cè)系統(tǒng)異常和安全事件，及時(shí)恢復(fù)受安全事件影響的工業(yè)控制系統(tǒng)運(yùn)行，能抵御來(lái)自敵對(duì)組織、擁有豐富資源的故意威脅。

7 結(jié)語(yǔ)

工業(yè)控制系統(tǒng)正與互聯(lián)網(wǎng)進(jìn)行著深度融合，傳統(tǒng)信息網(wǎng)絡(luò)中的各種安全威脅已經(jīng)逐步延伸至工控網(wǎng)絡(luò)中。本文通過(guò)分析工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全控制模式，對(duì)比工業(yè)控制系統(tǒng)及傳統(tǒng)IT系統(tǒng)安全差異，梳理出當(dāng)前存在的主要安全問(wèn)題，提出工控系統(tǒng)安全技術(shù)發(fā)展趨勢(shì)，對(duì)企業(yè)工控網(wǎng)絡(luò)規(guī)劃、安全建設(shè)整改等工作都具有重要的參考意義。