王 照，羅佳鈺

（中車株洲電力機(jī)車有限公司，湖南 株洲 412001）

1 工業(yè)控制系統(tǒng)信息安全防護(hù)的重要價(jià)值

隨著工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)發(fā)展，工業(yè)控制系統(tǒng)信息安全防護(hù)更加重要。工業(yè)控制系統(tǒng)軟件正在變得愈來愈龐大，無論架構(gòu)、機(jī)制或是代碼的復(fù)雜度都在不斷增加。復(fù)雜就意味著缺陷（漏洞）不可避免。隨著工業(yè)控制系統(tǒng)進(jìn)入工業(yè)互聯(lián)網(wǎng)時(shí)代，從技術(shù)角度而言，網(wǎng)絡(luò)空間信息系統(tǒng)基本要素的各個(gè)環(huán)節(jié)在任何時(shí)候都可能成為被攻擊的目標(biāo)和要點(diǎn)。物理上所保證的邏輯連通給網(wǎng)絡(luò)攻擊和病毒破壞創(chuàng)造了最為基礎(chǔ)的條件。另外，現(xiàn)有國(guó)內(nèi)工業(yè)控制系統(tǒng)大部分組件都從國(guó)外進(jìn)口，未能實(shí)現(xiàn)自主可控，存在后門或邏輯炸彈的可能性較大，漏洞數(shù)量也比較多。

綜上所述，工業(yè)控制系統(tǒng)很容易遭受非法入侵，導(dǎo)致核心生產(chǎn)數(shù)據(jù)被竊取，威脅工業(yè)生產(chǎn)安全。之所以要加強(qiáng)工控系統(tǒng)信息安全防護(hù)，是因?yàn)橛行嵘到y(tǒng)運(yùn)行安全性，以便積極應(yīng)對(duì)攻擊風(fēng)險(xiǎn)，為工業(yè)領(lǐng)域的生產(chǎn)活動(dòng)帶來安全保障[1]。

2 工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)發(fā)展趨勢(shì)

2.1 攻擊途徑多元化

工業(yè)控制系統(tǒng)具備固定的結(jié)構(gòu)，多為系統(tǒng)具備拓?fù)浣Y(jié)構(gòu)和通信模式固定，但網(wǎng)絡(luò)動(dòng)態(tài)簡(jiǎn)單，構(gòu)成元素繁多。工控系統(tǒng)入侵途徑較廣，多數(shù)來源于移動(dòng)介質(zhì)、現(xiàn)場(chǎng)總線、以太網(wǎng)、因特網(wǎng)甚至錯(cuò)誤操作，增加了安全防護(hù)的難度，容易存在安全防護(hù)漏洞。因攻擊途徑呈現(xiàn)出多元化，由于防火墻或者設(shè)備配置不當(dāng)，極有可能造成系統(tǒng)陷入安全風(fēng)險(xiǎn)，如控制網(wǎng)絡(luò)數(shù)據(jù)傳輸受到入侵、惡意傳播虛假信號(hào)、操作生產(chǎn)系統(tǒng)等引發(fā)安全事故?；蛘邤?shù)據(jù)傳輸過程中加密等級(jí)不夠，數(shù)據(jù)被攔截或竊聽，工業(yè)控制系統(tǒng)生產(chǎn)計(jì)劃被監(jiān)控，威脅生產(chǎn)安全。

2.2 攻擊目標(biāo)多樣性

以工業(yè)控制系統(tǒng)為目標(biāo)的攻擊多數(shù)來源于非法商務(wù)競(jìng)爭(zhēng)、恐怖組織、不法分子等，也可能來源于競(jìng)爭(zhēng)企業(yè)或黑客組織。在化工行業(yè)、冶金行業(yè)、核電行業(yè)等均采取工業(yè)控制系統(tǒng)，可能成為攻擊目標(biāo)。很多工業(yè)控制系統(tǒng)雖然被物理隔離，但在管理平臺(tái)中儲(chǔ)存了大量工業(yè)生產(chǎn)數(shù)據(jù)，在工作人員訪問管理平臺(tái)中帶入病毒程序，易造成數(shù)據(jù)泄露或者篡改，泄露重要信息，給企業(yè)帶來嚴(yán)重?fù)p失?；蛘邜阂鈩h除數(shù)據(jù)資料，企業(yè)并未進(jìn)行數(shù)據(jù)備份，造成生產(chǎn)數(shù)據(jù)丟失，嚴(yán)重影響企業(yè)正常運(yùn)行。

2.3 攻擊后果嚴(yán)重

工業(yè)控制系統(tǒng)是諸多行業(yè)的重要生產(chǎn)系統(tǒng)，工業(yè)控制系統(tǒng)受到威脅和攻擊可能直接使制造業(yè)的生產(chǎn)受阻，嚴(yán)重影響社會(huì)生產(chǎn)。尤其是在各行業(yè)生產(chǎn)規(guī)模和產(chǎn)能不斷發(fā)展的今天，生產(chǎn)流程高度機(jī)械化和集成化，一旦發(fā)生安全事故，系統(tǒng)很難立即恢復(fù)，將給各個(gè)企業(yè)造成巨大經(jīng)濟(jì)損失，甚至影響社會(huì)正常運(yùn)行，引發(fā)嚴(yán)重后果。應(yīng)用工業(yè)控制系統(tǒng)密集的行業(yè)多為關(guān)系到國(guó)計(jì)民生的支柱行業(yè)，對(duì)于信息安全要求高，多數(shù)采取獨(dú)立防御措施，因此安全防護(hù)較為集中，若受到非法攻擊將影響正常的生產(chǎn)流程，造成難以估計(jì)的后果。

2.4 安全防護(hù)困難

在多個(gè)行業(yè)中新系統(tǒng)和舊系統(tǒng)并行運(yùn)行，很多舊系統(tǒng)并未考慮到信息安全問題，無法進(jìn)行升級(jí)改造，無法形成一體化安全防護(hù)體系。系統(tǒng)使用不同品牌的設(shè)備，對(duì)于安全防護(hù)程序的適用條件不同，安全防護(hù)策略需要根據(jù)設(shè)備情況設(shè)置，無法實(shí)現(xiàn)統(tǒng)一的安全管理。此外，工業(yè)控制系統(tǒng)的接入設(shè)備較為分散，影響程度不一，安全管理難度較高，信息安全防護(hù)面臨巨大挑戰(zhàn)。很多工業(yè)控制設(shè)備在出廠時(shí)并未設(shè)置身份驗(yàn)證程序，很多身份信息未進(jìn)行加密處理，極容易被破解，造成外部人員冒充進(jìn)入系統(tǒng)，或者員工越級(jí)訪問操作，增加安全防護(hù)的難度。

3 工業(yè)控制系統(tǒng)的信息安全解決方案

3.1 主要問題

工業(yè)控制系統(tǒng)主要可以分為控制層面和管理層面，控制層面包括DCS控制器、生產(chǎn)設(shè)備、通信工具等；監(jiān)控層面包括數(shù)據(jù)采集、監(jiān)控設(shè)備等。目前工業(yè)控制系統(tǒng)信息安全防護(hù)主要面臨以下問題：

3.1.1 對(duì)信息安全重視度不高

因很多企業(yè)對(duì)于安全防護(hù)的重視程度不高，并未制定科學(xué)合理的安全管理方案，未加強(qiáng)對(duì)設(shè)計(jì)人員安全意識(shí)的培養(yǎng)。長(zhǎng)此以往將造成安全意識(shí)淡薄，只關(guān)注實(shí)際生產(chǎn)能力，忽略了安全建設(shè)，為工業(yè)控制系統(tǒng)安全生產(chǎn)埋下了安全隱患。

3.1.2 通信方式落后

工業(yè)控制系統(tǒng)包括部分老舊系統(tǒng)，系統(tǒng)通信方式滯后，在串行連接基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)的訪問，在設(shè)計(jì)時(shí)只考慮到通信的有效性，忽略了信息安全性。此外，通信方案未考慮到身份認(rèn)證和數(shù)據(jù)保密等方面，存在一定程度的考慮不足，影響通信安全。

3.1.3 管理接入設(shè)備松懈工業(yè)控制系統(tǒng)對(duì)于接入設(shè)備的管理相對(duì)松懈，對(duì)于限定條件不明確的設(shè)備直接接入網(wǎng)絡(luò)，給工業(yè)控制系統(tǒng)帶來病毒風(fēng)險(xiǎn)。缺乏對(duì)工業(yè)控制系統(tǒng)訪問用戶、設(shè)備的安全識(shí)別，未能有效防護(hù)接入風(fēng)險(xiǎn)。

3.1.4 物聯(lián)化水平不斷提高

如今我國(guó)信息技術(shù)和智能技術(shù)快速發(fā)展，讓工業(yè)生產(chǎn)水平快速提高，給工業(yè)企業(yè)帶來了巨大的發(fā)展空間。工業(yè)控制系統(tǒng)物聯(lián)化水平越來越高，越來越多自動(dòng)化設(shè)備、智能化設(shè)備接入系統(tǒng)，提高系統(tǒng)自動(dòng)響應(yīng)程度。同時(shí)也面臨著越來越多安全風(fēng)險(xiǎn)，物聯(lián)技術(shù)的引進(jìn)也帶入了更多安全風(fēng)險(xiǎn)，提高了信息安全防護(hù)的難度。

3.2 主要解決方案

為解決工業(yè)控制系統(tǒng)信息安全問題，提出了以下兩種解決方案。

3.2.1 通過技術(shù)手段建立工控安全防護(hù)體系

遵照等級(jí)保護(hù)2.0與工信部工業(yè)互聯(lián)網(wǎng)分類分級(jí)的工作要求，著眼未來，以IEC 62443-1-1標(biāo)準(zhǔn)層級(jí)為基礎(chǔ)，通過安全防護(hù)功能軟件、安全隔離設(shè)備以及安全管理平臺(tái)，構(gòu)成主動(dòng)隔離框架，構(gòu)建了符合自身的安全防護(hù)架構(gòu)的工控安全防護(hù)模型，工控網(wǎng)絡(luò)劃分遵照原有生產(chǎn)網(wǎng)絡(luò)架構(gòu)，原則上不同生產(chǎn)區(qū)域間禁止非授權(quán)訪問。在原有網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上新增DMZ區(qū)，作為生產(chǎn)區(qū)域的運(yùn)維管理區(qū)，部署安全設(shè)備集中管控平臺(tái)、脆弱性檢測(cè)系統(tǒng)、安全態(tài)勢(shì)分析系統(tǒng)等與運(yùn)維操作相關(guān)的安全設(shè)備，實(shí)現(xiàn)安全運(yùn)維管控。將整個(gè)工業(yè)控制系統(tǒng)按IEC 62443-1-1標(biāo)準(zhǔn)分為五層，其中，L0為現(xiàn)場(chǎng)設(shè)備層、L1為現(xiàn)場(chǎng)控制層、L2為過程監(jiān)控層、L3為生產(chǎn)管理層、L4為企業(yè)資源層。其中L4企業(yè)資源層為IT環(huán)境，其余均為OT環(huán)境。L0層、L1層為工業(yè)基礎(chǔ)環(huán)境，設(shè)備均為工業(yè)廠家黑盒設(shè)備，無法進(jìn)行主機(jī)層面的安全加固。L1層至L2層之間通過流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)；L2層、L3層為工業(yè)監(jiān)測(cè)、管理環(huán)境，可以通過主機(jī)白名單進(jìn)行主機(jī)層面安全管控；同時(shí)改兩層為不同區(qū)域，可以通過工控防火墻進(jìn)行安全隔離；L3層、L4層之間為OT網(wǎng)與IT網(wǎng)連接點(diǎn)，可以通過工控網(wǎng)閘進(jìn)行安全隔離。

在通信網(wǎng)絡(luò)安全防護(hù)方面，工業(yè)控制系統(tǒng)中常見的工業(yè)通信協(xié)議包括TCP(UDP)/IP、MODBUS、OPC、S7等，而工業(yè)通信協(xié)議本質(zhì)是不安全的，因此需要對(duì)工業(yè)現(xiàn)場(chǎng)協(xié)議進(jìn)行深度檢測(cè)，分析協(xié)議指令、功能碼等特征，并且應(yīng)用OPC協(xié)議的通信網(wǎng)絡(luò)能夠動(dòng)態(tài)適應(yīng) OPC的隨機(jī)業(yè)務(wù)端口，從而在傳輸層層面保證通信安全。

在通信傳輸安全防護(hù)方面，目前生產(chǎn)網(wǎng)絡(luò)未部署具有訪問控制功能的安全模塊，無法對(duì)通信網(wǎng)絡(luò)協(xié)議進(jìn)行深度過濾，無法保障通信傳輸數(shù)據(jù)的安全，存在較多安全風(fēng)險(xiǎn)。需增加部署具備訪問控制功能、攻擊防護(hù)功能、行為審計(jì)功能、流量管理功能的工業(yè)級(jí)安全防護(hù)設(shè)備，對(duì)工控網(wǎng)絡(luò)進(jìn)行深層級(jí)的安全防護(hù)。

在區(qū)域邊界防護(hù)方面，大部分企業(yè)工控網(wǎng)絡(luò)存在邊界界線模糊不清等問題，理論上來說，只要工控網(wǎng)絡(luò)可達(dá)的地方，網(wǎng)絡(luò)中任意一處安全漏洞引起的安全風(fēng)險(xiǎn)和威脅都可能影響到整個(gè)工控網(wǎng)絡(luò)，而不能將風(fēng)險(xiǎn)控制在最小范圍內(nèi)。因此需采用邊界隔離防護(hù)技術(shù)，合理劃分邊界，進(jìn)行分區(qū)分域安全防護(hù)，原則上在每個(gè)安全域邊界采取邊界隔離措施，配置不同安全域間的安全策略，明確工控網(wǎng)絡(luò)中的不同安全域網(wǎng)絡(luò)邊界，對(duì)非授權(quán)或越權(quán)跨越邊界的行為進(jìn)行阻斷并報(bào)警。

3.2.2 建立白名單管理環(huán)境

在工控信息安全中，只靠技術(shù)無法完全解決工控安全問題，基于工控系統(tǒng)相對(duì)固化的特點(diǎn)，威努特創(chuàng)新性地提出了建立工控系統(tǒng)的可信任網(wǎng)絡(luò)白環(huán)境和工控軟件白名單理念，基于該理念擴(kuò)展構(gòu)筑工業(yè)控制系統(tǒng)“安全白環(huán)境”整體防護(hù)，從根源上節(jié)制未知惡意行為的發(fā)生和傳播，進(jìn)一步保護(hù)工業(yè)基礎(chǔ)設(shè)施安全。

白名單防御技術(shù)是一種通過提前計(jì)劃好的協(xié)議、規(guī)則、策略來控制數(shù)據(jù)的交換，進(jìn)行動(dòng)態(tài)行為判斷。通過對(duì)約定協(xié)議、規(guī)則、策略的特征分析判斷進(jìn)行限制，從根源上節(jié)制未知惡意行為的發(fā)生和傳播。白名單管理環(huán)境不僅可應(yīng)用于安全防護(hù)技術(shù)的設(shè)置規(guī)則，也是在實(shí)際管理中要遵循的原則，例如，在對(duì)設(shè)備和計(jì)算機(jī)進(jìn)行實(shí)際操作時(shí)，需要使用指定的筆記本、U盤；管理人員只信任可識(shí)別的身份，未經(jīng)授權(quán)的行為將被拒絕；設(shè)備安全檢測(cè)明確安全風(fēng)險(xiǎn)等。

白名單安全環(huán)境主要包括以下方面。

（1）協(xié)議白名單：通過安全防護(hù)設(shè)備（如工業(yè)防火墻、工控終端安全軟件、全流量管控設(shè)備等）進(jìn)行協(xié)議識(shí)別，阻斷非規(guī)則定義的協(xié)議進(jìn)入控制端，只允許規(guī)則定義的協(xié)議通過，完成過濾非法的工業(yè)協(xié)議數(shù)據(jù)，僅允許正常的協(xié)議數(shù)據(jù)通過的目標(biāo)。

（2）設(shè)備白名單：按照國(guó)家安全測(cè)評(píng)標(biāo)準(zhǔn)，配合主管檢測(cè)部門，建立工控設(shè)備安全檢測(cè)機(jī)制；利用工控安全檢測(cè)裝備（漏洞挖掘設(shè)備、漏洞掃描設(shè)備）檢測(cè)發(fā)現(xiàn)設(shè)備存在的已知、未知漏洞及后門，全面掌握設(shè)備的健壯性和安全性；建立準(zhǔn)入白名單，形成設(shè)備準(zhǔn)入白名單列表，謹(jǐn)慎選用存在漏洞和風(fēng)險(xiǎn)的系統(tǒng)及設(shè)備，對(duì)已經(jīng)投入使用的設(shè)備進(jìn)行安全整改，加強(qiáng)設(shè)備安全防護(hù)。

（3）指令白名單：通過學(xué)習(xí)識(shí)別累積包括不限于建立指令集、操作規(guī)程等規(guī)則制度，或者采用行為審計(jì)設(shè)備等方式對(duì)現(xiàn)場(chǎng)操作流程及操作指令建立適合現(xiàn)場(chǎng)實(shí)際生產(chǎn)情況的指令白名單，阻斷誤操作或惡意操作指令，確保生產(chǎn)產(chǎn)線穩(wěn)定運(yùn)行。

（4）主機(jī)白名單：通過技術(shù)手段對(duì)工控操作系統(tǒng)進(jìn)行加固，掃描建立主機(jī)白名單，識(shí)別、阻止任何白名單外的程序運(yùn)行，防范已知未知病毒、木馬、惡意程序運(yùn)行和傳播及針對(duì)0day漏洞攻擊。

（5）軟件白名單：只允許經(jīng)過授權(quán)和安全評(píng)估的軟件才能在環(huán)境里運(yùn)行，否則只能在測(cè)試環(huán)境里測(cè)試，安全評(píng)估包括不限于漏掃、代碼審計(jì)、模擬攻擊測(cè)試等。

上述解決方案通過技術(shù)手段建立工控安全防護(hù)體系投入較大，主要為利用第三方安全防護(hù)設(shè)備與軟件加強(qiáng)工業(yè)控制系統(tǒng)安全，建立白名單管理環(huán)境更重視從管理層面加強(qiáng)安全，兩者均具有一定的安全防護(hù)效果，而且是互補(bǔ)的防護(hù)方案。在實(shí)際應(yīng)用上需要根據(jù)行業(yè)控制系統(tǒng)的特征和運(yùn)行情境合理搭配防護(hù)方案，以達(dá)到最優(yōu)防護(hù)效果。

4 結(jié)束語

綜上所述，工業(yè)控制系統(tǒng)信息安全防護(hù)具有重要價(jià)值，但隨著信息技術(shù)發(fā)展，工業(yè)控制系統(tǒng)面臨的信息安全風(fēng)險(xiǎn)逐漸呈現(xiàn)出攻擊途徑多元化、攻擊目標(biāo)多樣性、攻擊后果嚴(yán)重、安全防護(hù)困難。我國(guó)工業(yè)控制系統(tǒng)安全防護(hù)仍然面臨著對(duì)信息安全重視度不高等問題，現(xiàn)階段主要采取技術(shù)手段建立安全防護(hù)體系、建立白名單管理環(huán)境的解決方案加強(qiáng)安全防護(hù)。通過從各層面建立解決方案，形成完善的防護(hù)安全體系，初步具備防范一般安全風(fēng)險(xiǎn)的能力。■