工業控制系統網絡安全問題與應對策略

鄧勇

摘 要：本文主要分析在工業控制系統中如何保證其網絡安全。主要方法是通過分析工業控制系統中存在的問題，并提出相應的應對措施來保證工業控制系統的網絡安全。

關鍵字：工業控制；安全 ；應對策略

一、什么是工業控制系統

工業控制系統（Industrial Control Systems， ICS）是由各種自動化控制組件和實時數據采集、監測的過程控制組件共同構成。其組件包括數據采集與監控系統（SCADA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED），以及確保各組件通信的接口技術。

工業控制系統廣泛應用于工業、電力、能源、交通運輸、水利、公用事業和生產企業，被控對象的范圍包括生產過程、機械裝置、交通工具、實驗裝置、儀器儀表、家庭生活設施、家用電器等。它通過對工作過程進行自動化監測、指揮、控制和調節，保證工業設施的正常運轉，是國家關鍵基礎設施和信息系統的重要組成部分。SCADA是廣域網規模的控制系統，RTU作為遠程終端；DCS是局域網規模的控制系統，主要采用PLC作為遠程終端。

當前工業控制系統的核心自動化部件是計算機或嵌入式芯片，經過幾十年的發展已走過了專用機、通用機和因特網終端等階段。抽象地看，工業控制系統由三個部分組成：主控站、遠程終端和受控工業過程。

二、工業控制系統安全問題

1.工業控制系統網絡化帶來嚴重的安全問題：

工業控制系統在最初發展的幾十年里是完全獨立的，與企業管理系統是隔離的。但是隨著各行業企業對實現管理與控制的一體化需求的增加，工業控制系統和企業管理信息系統逐步實現了網絡化集成，管理信息網絡與生產控制網絡之間實現了數據交換，導致工業控制系統不再是一個獨立運行的系統，而要與管理系統甚至互聯網進行互通、互聯。

另外，工業控制系統的結構也在向工業以太網結構發展，開放性越來越強。基于 TCP/IP協議以太網通訊技術在該領域得到廣泛應用。工業控制系統中大量使用了使用了通用PC服務器、PC終端、通用的操作系統和數據庫，這樣很容易遭到來自企業管理網或互聯網的病毒、木馬以及黑客的攻擊。

2.工業控制系統的脆弱性及面臨的威脅：據業界估計，每年未加報道的攻擊事件在數百例之多。2004年，美國國土安全部發現1700個設施的SCADA系統存有外部可以攻擊的漏洞。在“震網”病毒之后，各國又發現德國西門子公司生產的工控系統數十個新漏洞。國外有機構堅稱，我國生產的“組件王”（KINGVIEW）亦存在漏洞。

“震網”病毒之類的威脅，發展到現在，已經遠不止對工業控制系統構成威脅，而是對所有采用計算機、嵌入式芯片的系統構成了威脅，包括電網生產調度、油氣生產運輸、石油化工生產、核設施、航空航天、城市軌道交通、高速列車、水利樞紐、物流、城市上下水、衛生醫療等國家、社會基礎設施。

三、我國工業控制系統安全產品發展現狀

我國工業控制系統信息安全產品的研發和應用目前還處于起步階段，以北京中科網威信息技術有限公司為代表的傳統信息安全企業已經研發出了適合電力等行業的工業防火墻等產品，工業威脅監測系統、工業漏洞檢查工具也在開發中。

工業控制系統與傳統IT系統對信息安全的需求考慮存在明顯差異，工業控制系統最先考慮的是系統可用性，其次是完整性，第三是保密性，傳統IT系統首先是保密性、完整性，最后才是可用性。

另外，工業控制系統的高實時性、復雜的電磁環境、特定的供電環境、惡劣的溫度濕度環境、專業的通訊協議、高可靠性（MTBF）、不同的使用人員等，都對工業級安全產品提出了有別于傳統IT系統的功能和性能需求。

目前主流的工業控制系統安全產品主要通過改造硬件平臺，提升數據處理的實時性，增加專用協議識別，完善和改進易用的人機交互管理系統來實現，使其滿足工業級網絡運行環境、網絡通信高實時性、訪問控制識別工業控制協議等要求。

四、工業控制系統安全應對策略

工業控制系統安全問題是不同于以往傳統的IT信息安全問題的新問題，需要采取新的策略應對，主要包括以下幾項：

1.開展信息安全核心技術產品的安全檢查工作。加強對國外進口技術和產品，以及新技術、新產品和新業務的漏洞分析工作，提升安全隱患的發現能力，促進漏洞信息共享。建立進口重大信息技術、產品及服務的安全檢測與審核制度，對進口技術和產品的安全進行風險評估。

2.加強工業控制系統安全技術研究、開發與應用，逐步實現核心技術產品的國產化替代，真正實現“以我為主，自主可控”。

3.加強關鍵信息基礎設施安全防護工作。進一步完善等級保護制度和標準，做好工業控制系統等級保護定級和測評工作，根據系統等級和面臨風險有針對性加強工業控制系統的管理和技術防護。加強風險評估工作，及時發現風險隱患，完善安全措施。

4.切實加強對重點領域工業控制系統的信息安全管理工作，部署縱深防御體系，保證工業控制系統的物理安全，建立安全策略與流程，適當采取隔離、漏洞檢查、威脅檢測等保護措施。例如，進行網絡分區與邊界保護，建立安全的單元間通信，系統加固與補丁管理，惡意軟件的檢測與防護，訪問控制與賬號管理，記錄設備訪問日志并進行必要的審計等。確保只有絕對必要的人員才能在物理上接觸到工業控制設備。

5.組織工業企業與信息安全企業一起，研制開發適合工業控制系統的安全產品，如工業防火墻、工業威脅監測系統、工業漏洞檢查工具等。

6.通過宣傳、培訓，提高人們對工業控制系統安全的意識。