洛陽(yáng)雙瑞萬(wàn)基鈦業(yè)有限公司 黃燕峰 王麗娟 王少鵬 薛東曉

工業(yè)控制系統(tǒng)是關(guān)鍵基礎(chǔ)設(shè)施的重要部分，其關(guān)系到經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定。隨著工業(yè)向數(shù)字化、智能化方向發(fā)展，系統(tǒng)安全面臨安全威脅快速、攻擊復(fù)雜多樣等挑戰(zhàn)。保障工業(yè)控制系統(tǒng)安全，有助于我國(guó)工業(yè)制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展。

工業(yè)控制系統(tǒng)是用于操作、控制、數(shù)據(jù)收集、分布式控制和自動(dòng)化工業(yè)生產(chǎn)的系統(tǒng)。工業(yè)控制系統(tǒng)涉及工廠生產(chǎn)、電力、能源等重點(diǎn)基礎(chǔ)設(shè)施，在經(jīng)濟(jì)中發(fā)揮著重要的作用。隨著工業(yè)互聯(lián)網(wǎng)技術(shù)發(fā)展，工業(yè)轉(zhuǎn)型增加了控制系統(tǒng)的對(duì)外連接。提高了系統(tǒng)運(yùn)行效率和促進(jìn)工業(yè)化創(chuàng)新，但同時(shí)也加劇了系統(tǒng)面臨的安全威脅。工業(yè)管理系統(tǒng)運(yùn)行最初是為封閉環(huán)境，使用自己的通信協(xié)議，與其他網(wǎng)絡(luò)進(jìn)行隔離。因此，在設(shè)計(jì)中主要考慮可靠性。相對(duì)于安全問(wèn)題，對(duì)物理安全的關(guān)注較少。與傳統(tǒng)系統(tǒng)不同，工業(yè)控制系統(tǒng)是連接網(wǎng)絡(luò)和物理空間的紐帶，當(dāng)安全事件發(fā)生時(shí)，會(huì)造成信息的丟失，將導(dǎo)致嚴(yán)重的經(jīng)濟(jì)損失。為此，分析系統(tǒng)安全現(xiàn)狀，提出有針對(duì)性安全策略，具有重要的實(shí)踐意義。

1 工業(yè)控制系統(tǒng)安全概述

隨著信息化建設(shè)的推進(jìn)，工業(yè)控制系統(tǒng)規(guī)模迅速擴(kuò)大，成為關(guān)系經(jīng)濟(jì)正常運(yùn)轉(zhuǎn)的重要領(lǐng)域。近年來(lái)，工業(yè)控制系統(tǒng)存在很多漏洞，包括系統(tǒng)中的一般風(fēng)險(xiǎn)、漏洞，以及系統(tǒng)運(yùn)行環(huán)境中隱患。系統(tǒng)漏洞數(shù)量也在持續(xù)增長(zhǎng)，并且對(duì)于已識(shí)別的漏洞有很多是高風(fēng)險(xiǎn)的。隨著技術(shù)進(jìn)展，工業(yè)控制系統(tǒng)與MES、ERP和電子商務(wù)等系統(tǒng)對(duì)接，成為信息系統(tǒng)的一部分。在這個(gè)過(guò)程中不同部分相互隔離，信息安全措施沒(méi)有充分使用，并且也沒(méi)有得到評(píng)估。隨著工業(yè)自動(dòng)化發(fā)展，可訪問(wèn)的系統(tǒng)安全問(wèn)題日益嚴(yán)重。從設(shè)備來(lái)看，PLC是上網(wǎng)次數(shù)最多的設(shè)備，其次是遠(yuǎn)程控制終端?；ヂ?lián)網(wǎng)上提供的控制系統(tǒng)的廠商包括國(guó)內(nèi)外的控制系統(tǒng)制造商。工業(yè)控制系統(tǒng)漏洞數(shù)量增加，漏洞的風(fēng)險(xiǎn)主要集中在服務(wù)器和數(shù)據(jù)上。漏洞潛在威脅也是最嚴(yán)重的，因?yàn)镻LC、DCS在工業(yè)中被廣泛使用。主機(jī)軟件和PLC在公開披露的漏洞數(shù)量中位居前三，成為系統(tǒng)中最脆弱的組件。工業(yè)控制系統(tǒng)漏洞攻擊正在不斷演進(jìn)，被攻擊數(shù)量不斷增加，使用網(wǎng)絡(luò)協(xié)議攻擊和病毒進(jìn)行攻擊，工業(yè)控制系統(tǒng)控制漏洞同時(shí)也在增加[1]。

2 工業(yè)控制系統(tǒng)安全狀況

2.1 保護(hù)能力不足，缺乏恢復(fù)措施

為了從安全防護(hù)角度進(jìn)行全面分析，需要對(duì)安全防護(hù)進(jìn)行測(cè)試。測(cè)量定期接收病毒或軟件，但系統(tǒng)中一些主機(jī)未安裝防護(hù)措施，未更新惡意軟件，代碼庫(kù)或白名單在防病毒方面存在安全隱患。在補(bǔ)丁管理方面，一些工業(yè)企業(yè)沒(méi)有制定安全配置策略，未制定主機(jī)安全配置策略。一些工業(yè)企業(yè)尚未創(chuàng)建系統(tǒng)配置清單。此外，工業(yè)控制系統(tǒng)由于已識(shí)別的安全漏洞沒(méi)有得到修復(fù)。在安全防護(hù)方面，一些先進(jìn)的企業(yè)管理采取了邏輯隔離的措施，大部分企業(yè)經(jīng)過(guò)多年的發(fā)展，對(duì)安全防護(hù)認(rèn)識(shí)也在逐步提高，將工控系統(tǒng)與內(nèi)部網(wǎng)絡(luò)進(jìn)行有效的隔離。但是，由于一些企業(yè)沒(méi)有采取隔離措施，仍有企業(yè)工業(yè)控制系統(tǒng)面臨嚴(yán)重威脅。在隔離的系統(tǒng)中，只有小部分系統(tǒng)被劃分為安全區(qū)，有些工業(yè)企業(yè)只關(guān)心外區(qū)隔離，而忽略企業(yè)內(nèi)區(qū)的隔離。從實(shí)物防護(hù)來(lái)看，小部分企業(yè)沒(méi)有采取防護(hù)措施，工業(yè)企業(yè)比較重視傳統(tǒng)安全。但在主機(jī)安全方面，企業(yè)并未移除工業(yè)主機(jī)的外圍接口，未采取終端管理措施，未意識(shí)到存在潛在的威脅。一些工業(yè)管理系統(tǒng)沒(méi)有密碼或使用比較簡(jiǎn)單的密碼，系統(tǒng)不定期更改密碼。基于工業(yè)控制系統(tǒng)，要求企業(yè)加強(qiáng)對(duì)工業(yè)控制系統(tǒng)的研究，采取多種方式認(rèn)證，加強(qiáng)系統(tǒng)信息的保密性，同時(shí)加強(qiáng)對(duì)實(shí)時(shí)控制系統(tǒng)的雙重要求。在遠(yuǎn)程訪問(wèn)方面，只有小部分工控系統(tǒng)在互聯(lián)網(wǎng)上開放服務(wù)，一些系統(tǒng)允許遠(yuǎn)程訪問(wèn)。允許遠(yuǎn)程訪問(wèn)的工業(yè)系統(tǒng)使用VPN來(lái)限制訪問(wèn)權(quán)限、訪問(wèn)地址限制等。加強(qiáng)遠(yuǎn)程訪問(wèn)控制措施，在安全監(jiān)控方面，使用安全監(jiān)控設(shè)備，使用深度信息防護(hù)分析和過(guò)濾功能。對(duì)于公安、網(wǎng)信等部門要通過(guò)在政策層面建立態(tài)勢(shì)感知和安全中心，加強(qiáng)對(duì)工業(yè)控制系統(tǒng)的監(jiān)控能力。在數(shù)據(jù)安全方面，工控系統(tǒng)對(duì)存儲(chǔ)數(shù)據(jù)需要采取加密、隔離或訪問(wèn)措施，工控系統(tǒng)還需要對(duì)動(dòng)態(tài)存儲(chǔ)數(shù)據(jù)采取保護(hù)措施。但只有部分企業(yè)工業(yè)控制系統(tǒng)定期備份重要數(shù)據(jù)，對(duì)測(cè)試數(shù)據(jù)采取保護(hù)措施。大多數(shù)工業(yè)系統(tǒng)都有實(shí)時(shí)數(shù)據(jù)，沒(méi)有采取安全措施來(lái)恢復(fù)數(shù)據(jù)，病毒或攻擊將會(huì)導(dǎo)致系統(tǒng)數(shù)據(jù)的丟失，將對(duì)系統(tǒng)運(yùn)行產(chǎn)生重大影響。

2.2 系統(tǒng)結(jié)構(gòu)復(fù)雜

工業(yè)控制系統(tǒng)通常涉及PLC，數(shù)控機(jī)床，工業(yè)機(jī)器人、工業(yè)主機(jī)、數(shù)據(jù)采集和監(jiān)控系統(tǒng)。基于現(xiàn)代化技術(shù)的發(fā)展，對(duì)于工業(yè)控制系統(tǒng)以PLC為主，但隨著智能儀表數(shù)量的增加，由此帶來(lái)安全威脅也逐漸顯現(xiàn)。工業(yè)控制系統(tǒng)包括生產(chǎn)管理設(shè)備、網(wǎng)絡(luò)通信設(shè)備、基礎(chǔ)設(shè)備、生產(chǎn)信息系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備，在實(shí)際業(yè)務(wù)運(yùn)行中，存在工業(yè)生產(chǎn)管理水平較低的現(xiàn)狀。根據(jù)機(jī)器人產(chǎn)業(yè)需求及需求分析，工業(yè)機(jī)器人正變得越來(lái)越普遍。工業(yè)智能化程度很高，必須著眼于行業(yè)發(fā)展和產(chǎn)品的安全。在安全責(zé)任方面，需要建立工業(yè)控制系統(tǒng)管理機(jī)制，還需要應(yīng)業(yè)務(wù)范圍明確安全責(zé)任人。在應(yīng)急預(yù)案方面，需要制定安全事故應(yīng)急方案，按照預(yù)案定期開展安全培訓(xùn)，以有效應(yīng)對(duì)突發(fā)事件的控制。但是基于工業(yè)控制總體發(fā)展來(lái)看，行業(yè)組織對(duì)系統(tǒng)信息安全重視不夠，需要加強(qiáng)對(duì)行業(yè)信息安全的監(jiān)督。

3 工業(yè)控制系統(tǒng)安全應(yīng)用策略

3.1 統(tǒng)籌整體安全戰(zhàn)略

工業(yè)控制系統(tǒng)要關(guān)注內(nèi)部安全和功能問(wèn)題，信息安全也導(dǎo)致了安全問(wèn)題的沖突。黑客利用網(wǎng)絡(luò)攻擊基本功能設(shè)備，導(dǎo)致安全設(shè)備的使用有效性降低。功能安全可以解決一些安全問(wèn)題，數(shù)據(jù)傳輸安全要求在傳輸中保證數(shù)據(jù)完整性，也是一種安全要求。因此，需要從技術(shù)、組織系統(tǒng)和操作系統(tǒng)等綜合考慮安全架構(gòu)，熟悉工業(yè)控制系統(tǒng)流程。從工控系統(tǒng)設(shè)備到ERP或MES系統(tǒng)，甚至現(xiàn)代化信息發(fā)展下的共享工業(yè)云、信息功能安全。解決信息安全與功能安全問(wèn)題，同時(shí)要形成廣泛全面的安全體系，保障系統(tǒng)安全可靠運(yùn)行[2]。

3.2 加強(qiáng)網(wǎng)絡(luò)安全監(jiān)管

基于當(dāng)前工業(yè)控制系統(tǒng)中的安全事件，大多數(shù)安全問(wèn)題是由于管理疏忽造成的。因此，要做好系統(tǒng)安全管理，需要建立工業(yè)控制系統(tǒng)安全管理機(jī)制和漏洞掃描機(jī)制，加強(qiáng)對(duì)系統(tǒng)安全的組織管理，制定完善的防范措施。基于行業(yè)規(guī)范和制度，有效防止信息安全事件.列出符合工業(yè)控制系統(tǒng)現(xiàn)狀的管理需求，將安全管理轉(zhuǎn)移到系統(tǒng)建設(shè)、運(yùn)維和關(guān)閉生命周期，通過(guò)全生命周期管理，將管理全生命周期劃分為若干措施，以創(chuàng)建管理體系。依法履行網(wǎng)絡(luò)安全管理職責(zé)，加強(qiáng)對(duì)管理系統(tǒng)安全監(jiān)督管理，促進(jìn)核心職責(zé)的履行。傳達(dá)具體管理要求，確保良好的控制工業(yè)控制系統(tǒng)，同時(shí)要確保各項(xiàng)制度的全面貫徹與實(shí)施，有效保障工業(yè)控制系統(tǒng)穩(wěn)定安全運(yùn)行。

3.3 構(gòu)建分級(jí)保護(hù)體系

基于工業(yè)控制系統(tǒng)安全相關(guān)的要求，包括漏洞評(píng)估及恢復(fù)、惡意代碼檢測(cè)、備份恢復(fù)管理和事件管理，包括軟件資源管理和監(jiān)控要求。工業(yè)控制系統(tǒng)進(jìn)行等級(jí)評(píng)定，確保可以安全整改，打造綜合化管理保障體系?？v深防御是連接網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)安全的策略，使用各種可用的方法，可以在保護(hù)能力、性能和運(yùn)營(yíng)效率取得平衡。在縱深防御中，人和操作是主要的因素。在管理系統(tǒng)中建立人因、設(shè)備訪問(wèn)控制和監(jiān)督安全措施，制定技術(shù)上有效的戰(zhàn)略流程，以及實(shí)施適當(dāng)?shù)募夹g(shù)，關(guān)注維持組織安全所需的活動(dòng)。在物理安全下，對(duì)工業(yè)體系進(jìn)行系統(tǒng)的風(fēng)險(xiǎn)分析，針對(duì)不同的威脅，實(shí)施具有層次不同的安全措施。從網(wǎng)絡(luò)邊界的保護(hù)和分配，為數(shù)據(jù)采用深度保護(hù)策略。

3.4 漏洞掃描總體架構(gòu)

根據(jù)漏洞的特點(diǎn)和層次結(jié)構(gòu)，采用漏洞掃描模型進(jìn)行層次掃描。掃描模型的輸入為捕獲的工控流，為層次識(shí)別模塊。級(jí)別識(shí)別模塊根據(jù)輸入流分析存儲(chǔ)的設(shè)備，并使用級(jí)別識(shí)別算法獲得設(shè)備的級(jí)別，即過(guò)程級(jí)別和控制級(jí)別?？刂萍?jí)設(shè)備為工業(yè)網(wǎng)絡(luò)的PLC掃描敏感設(shè)備，管理級(jí)主要是主機(jī)。先進(jìn)的設(shè)備由上位機(jī)、HMI設(shè)備、數(shù)據(jù)采集與控制、采集服務(wù)器等組成，是獨(dú)特的工業(yè)管理網(wǎng)絡(luò)設(shè)備，設(shè)備類型有利于漏洞掃描，學(xué)習(xí)HMI識(shí)別方法。漏洞掃描分為主動(dòng)檢測(cè)和漏洞數(shù)據(jù)庫(kù)對(duì)比。主動(dòng)檢測(cè)使用信息來(lái)分析使用協(xié)議，然后是設(shè)備制造商、類型、型號(hào)和版本等。根據(jù)協(xié)議生成詳細(xì)數(shù)據(jù)包，獲取設(shè)備信息，本質(zhì)上是顯示漏洞庫(kù)中的設(shè)備信息，以此來(lái)獲取漏洞信息。整體漏洞掃描系統(tǒng)由數(shù)據(jù)采集、設(shè)備檢測(cè)和漏洞掃描模塊組成。據(jù)采集模塊將擴(kuò)展流對(duì)應(yīng)層次管理、過(guò)程層次，層次收集實(shí)時(shí)流數(shù)據(jù)。設(shè)備檢測(cè)模塊部署在服務(wù)器上，檢測(cè)目標(biāo)網(wǎng)絡(luò)上硬件信息，包括操作系統(tǒng)信、端口、服務(wù)、進(jìn)程管理。以及工控網(wǎng)絡(luò)設(shè)備類型，端口掃描、服務(wù)識(shí)別和系統(tǒng)識(shí)別。管理硬件設(shè)備創(chuàng)建，分析硬件數(shù)據(jù)包，比對(duì)指紋庫(kù)以獲取設(shè)備詳細(xì)信息。主動(dòng)和被動(dòng)的結(jié)合旨在更全面地描述本質(zhì)。漏洞掃描模塊包含設(shè)備信息類型、制造商設(shè)備、網(wǎng)絡(luò)管理模型，以及傳統(tǒng)設(shè)備的開放端口和系統(tǒng)，搜索漏洞并獲取可能在設(shè)備上發(fā)現(xiàn)的漏洞。該模塊與資產(chǎn)模塊一起部署，對(duì)資產(chǎn)檢測(cè)信息進(jìn)行分類處理后，將傳統(tǒng)設(shè)備的信息轉(zhuǎn)發(fā)到漏洞掃描工具進(jìn)行掃描，將工業(yè)設(shè)備的信息傳送到常用的漏洞掃描工具進(jìn)行掃描，用于漏洞比較的數(shù)據(jù)庫(kù)。

3.5 基于通信長(zhǎng)度的HMI識(shí)別

HMI包括人機(jī)界面硬件和專用顯示組態(tài)軟件，ICS設(shè)備使用工業(yè)控制協(xié)議與PLC通信。傳統(tǒng)的漏洞掃描無(wú)法完全檢測(cè)出漏洞所有信息，必須首先識(shí)別HMI，確定關(guān)鍵是過(guò)程級(jí)設(shè)備差異。過(guò)程控制層歷史數(shù)據(jù)庫(kù)和HMI的各種功能都會(huì)帶來(lái)超時(shí)。使用硬件參數(shù)輸入數(shù)值控制參數(shù)，在PLC中監(jiān)控和設(shè)置等。HMI連接SCADA時(shí)，是流程中最長(zhǎng)的，根據(jù)結(jié)果進(jìn)入研究HMI和其他設(shè)備是否有通信長(zhǎng)度級(jí)別的其他設(shè)備。基于連接長(zhǎng)度的HMI識(shí)別不完全可靠，因此在HMI識(shí)別時(shí)應(yīng)注意通訊頻率。HMI定時(shí)向PLC發(fā)起數(shù)據(jù)請(qǐng)求，通訊環(huán)路高于歷史數(shù)據(jù)庫(kù)。為了測(cè)量通信周期性，對(duì)通信數(shù)據(jù)包分組進(jìn)行統(tǒng)計(jì)分析。將數(shù)據(jù)包按照分組范圍進(jìn)行劃分，對(duì)分組排序。對(duì)于每個(gè)連接使用范圍標(biāo)準(zhǔn)差和范圍平均值來(lái)設(shè)置通信頻率，使用PC通信頻率，PC越大，頻率越差。分析過(guò)程級(jí)硬件流程數(shù)據(jù)，解決過(guò)程級(jí)識(shí)別混亂。HMI識(shí)別主要包括數(shù)據(jù)分組和鏈路長(zhǎng)度統(tǒng)計(jì)等。將數(shù)據(jù)包按照分組間隔、通訊頻率進(jìn)行分組，計(jì)算每組中的通訊時(shí)長(zhǎng)，按通訊時(shí)長(zhǎng)排序。HMI算法的輸入包含的PCAP和IP集合，PCAP是用來(lái)突出通信關(guān)聯(lián)。通信關(guān)聯(lián)包括源IP地址、源端口、目的IP、目的端口和數(shù)據(jù)包時(shí)間。分組時(shí)，將流分組為射線，將設(shè)備級(jí)返回到控制級(jí)的數(shù)據(jù)收集，然后根據(jù)射線的時(shí)間間隔對(duì)數(shù)據(jù)包分組。使用通訊頻率排除歷史數(shù)據(jù)庫(kù)數(shù)據(jù)，然后計(jì)算每個(gè)流鏈路長(zhǎng)度，通過(guò)源IP求和，得到控制層IP和設(shè)備層IP總鏈路長(zhǎng)度，使用最大鏈路長(zhǎng)度來(lái)確定HMI。

3.6 基于漏洞分析的多級(jí)匹配

工業(yè)控制系統(tǒng)對(duì)實(shí)時(shí)性要求很高，主動(dòng)掃描直接應(yīng)用會(huì)影響網(wǎng)絡(luò)設(shè)備的運(yùn)行，造成硬件異常。因此漏洞掃描基于靜態(tài)匹配，靜態(tài)顯示漏洞掃描獲取設(shè)備信息，如設(shè)備類型、固件版本等。使用獲取到的設(shè)備信息查詢漏洞庫(kù)，獲取可能存在的漏洞，對(duì)漏洞進(jìn)行一一檢查。檢測(cè)并獲取漏洞信息后，通過(guò)匹配數(shù)據(jù)庫(kù)設(shè)備索引，確定可能存在的漏洞信息。在創(chuàng)建漏洞數(shù)據(jù)庫(kù)時(shí)，不僅考慮漏洞庫(kù)完整性，還應(yīng)考慮合規(guī)性。

4 結(jié)語(yǔ)

綜上所述，工業(yè)控制系統(tǒng)在現(xiàn)代化發(fā)展，也面臨著諸多挑戰(zhàn)。因此，要充分認(rèn)識(shí)工業(yè)控制系統(tǒng)信息安全保護(hù)的關(guān)鍵，做好基礎(chǔ)設(shè)施的合理管控，樹立正確的安全理念，更新工業(yè)控制系統(tǒng)防范方法。加快制定工業(yè)安全控制法律標(biāo)準(zhǔn)，全力支持行業(yè)發(fā)展。積極推進(jìn)工業(yè)控制系統(tǒng)安全控制，研發(fā)安全技術(shù)和設(shè)備，培養(yǎng)各類專業(yè)人才，提升工業(yè)控制系統(tǒng)安全控制水平。