工業(yè)控制系統(tǒng)信息安全建設思路

北京力控華康科技有限公司 李光朋

工業(yè)控制系統(tǒng)信息安全建設思路

北京力控華康科技有限公司 李光朋

隨著我國兩化融合和“互聯(lián)網(wǎng)+”戰(zhàn)略的推進，信息技術在工業(yè)企業(yè)的生產(chǎn)經(jīng)營中的應用越來越廣泛。在大幅提升了生產(chǎn)效率的同時，一定程度上也增加了企業(yè)安全生產(chǎn)管理的難度。由于原本相對獨立的工業(yè)控制系統(tǒng)越來越多地與企業(yè)管理網(wǎng)互聯(lián)互通，而企業(yè)的管理網(wǎng)絡本身又是一個開放的網(wǎng)絡，這為信息系統(tǒng)的安全威脅向生產(chǎn)系統(tǒng)擴散提供了便利條件。同傳統(tǒng)的企業(yè)信息系統(tǒng)不同，工業(yè)控制系統(tǒng)的信息安全直接影響到生產(chǎn)安全。本文對工業(yè)控制領域內(nèi)所面臨的安全威脅進行了分析，并對工控系統(tǒng)信息安全建設的思路進行了探討。

工業(yè)控制系統(tǒng)；DCS；SCADA；信息安全；縱深防御

1 背景

2015年7月14日，延續(xù)長達12年之久的伊朗核問題取得突破性進展，伊朗與世界六個主要國家達成協(xié)議，同意長期限制其核活動，以換取國際社會逐步解除對該國的多項制裁。這很容易讓大家聯(lián)想到2010年7月著名的“震網(wǎng)病毒”事件：據(jù)稱是美國和以色列聯(lián)合研發(fā)的Stuxnet病毒攻擊了伊朗核設施，導致其鈾濃縮工廠五分之一的離心機報廢，從而使得“伊朗核計劃至少推遲了兩年多”。雖然我們不能將伊朗在核問題上的妥協(xié)直接歸功于“震網(wǎng)病毒”，但毫無疑問，針對核心工業(yè)系統(tǒng)的網(wǎng)絡攻擊已經(jīng)成為有效打擊敵對國家的手段，其效果甚至優(yōu)于一場戰(zhàn)爭。

“震網(wǎng)病毒”事件為之前相對沉悶的工業(yè)信息安全敲響了警鐘，開始讓人們關注工業(yè)控制系統(tǒng)的安全問題。根據(jù)權威的工業(yè)安全事件信息庫RISI的統(tǒng)計，截至到2011年10月，全球已發(fā)生200余起針對工業(yè)控制系統(tǒng)的攻擊事件。最近幾年，諸如Flame、Havex、Dragonfly等專門針對工業(yè)控制系統(tǒng)的滲透和攻擊層出不窮。可以說，潘多拉的盒子已經(jīng)被打開，原來相對封閉的工業(yè)控制系統(tǒng)再也無法在互聯(lián)網(wǎng)時代獨善其身。

2 工業(yè)控制系統(tǒng)的信息安全風險分析

工業(yè)控制系統(tǒng)（Industrial Control Systems，ICS）是幾種類型控制系統(tǒng)的總稱，包括監(jiān)控和數(shù)據(jù)采集（SCADA）系統(tǒng)、分布式控制系統(tǒng)（DCS）和其它控制系統(tǒng)如可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED）等，以及確保各組件通信的接口技術。工業(yè)控制系統(tǒng)普遍應用在電力、石油天然氣、自來水和污水處理、化工、交通運輸、造紙等行業(yè)，是工業(yè)基礎設施能夠正常運作的關鍵。

最初的工業(yè)控制系統(tǒng)采用專門的硬件和軟件來運行專有的控制協(xié)議，而且由于是孤立的系統(tǒng)，不太容易受到外部的攻擊。隨著信息技術的發(fā)展，通用的計算機、操作系統(tǒng)（如Windows）和網(wǎng)絡協(xié)議（TCP/IP）在工業(yè)控制系統(tǒng)中得到了廣泛應用，大大增加了網(wǎng)絡安全漏洞和事故出現(xiàn)的可能。另外，工業(yè)控制系統(tǒng)也開始與企業(yè)管理網(wǎng)絡、生產(chǎn)監(jiān)控網(wǎng)絡互聯(lián)互通，而這些網(wǎng)絡本身又具備相當?shù)拈_放性，甚至存在與互聯(lián)網(wǎng)的接口，這為信息系統(tǒng)的安全威脅向生產(chǎn)系統(tǒng)擴散提供了便利條件。可以說，傳統(tǒng)的IT系統(tǒng)所面臨的信息安全風險，在工業(yè)控制系統(tǒng)中都是存在的，并且工業(yè)控制系統(tǒng)直接同生產(chǎn)設備交互，決定了其安全性還存在自己的特點。總體來說，工業(yè)控制系統(tǒng)的信息安全風險主要來自于以下幾個方面：

（1）通用IT資產(chǎn)的漏洞和脆弱性。在工業(yè)控制系統(tǒng)中，通用IT技術得到了廣泛的應用，比如標準的商用操作系統(tǒng)、中間件和各種通用軟件、以太網(wǎng)以及TCP/IP協(xié)議等等。因此，通用信息系統(tǒng)的風險在工業(yè)控制系統(tǒng)中是普遍存在的。另外，由于工業(yè)控制系統(tǒng)只能接受很短的計劃停機時間，往往發(fā)現(xiàn)了漏洞，也沒有機會去對系統(tǒng)進行升級或安裝補丁，這就導致了其漏洞和脆弱性的嚴重程度遠大于一般的IT系統(tǒng)。

（2）來自網(wǎng)絡互聯(lián)的攻擊和滲透。現(xiàn)在的工業(yè)控制系統(tǒng)已經(jīng)不是一個安全孤島，而是同ERP、MES系統(tǒng)有著廣泛的交互。這使得從工業(yè)控制系統(tǒng)之外，甚至是互聯(lián)網(wǎng)上發(fā)動攻擊成為可能。互聯(lián)網(wǎng)上廣泛存在的DDoS攻擊、病毒和木馬、網(wǎng)絡嗅探和滲透等威脅，對日益開放的工業(yè)控制系統(tǒng)來說是一個巨大的威脅。

（3）工業(yè)控制協(xié)議本身的安全缺陷。工業(yè)控制系統(tǒng)中存在比較多的工業(yè)控制協(xié)議如Modbus、OPC、PROFIBUS/PROFINET、DNP3、IEC 60870-5-101/104等。絕大多數(shù)工控協(xié)議在設計之初，僅關注效率、實時性和可靠性以滿足工業(yè)生產(chǎn)的需求，而忽視了安全性的需求，缺少諸如認證、授權和加密等安全機制，這使得工業(yè)控制協(xié)議更容易遭受第三者的竊聽及欺騙性攻擊。

（4）來自第三方運維人員的風險。即使是在傳統(tǒng)的IT領域，第三方運維也產(chǎn)生了大量的安全風險，在工業(yè)控制系統(tǒng)內(nèi)，這個問題就更嚴重了。工業(yè)控制系統(tǒng)內(nèi)的第三方運維體系本身更復雜，包括IT設備運維、自動化設備運維、生產(chǎn)設備運維等；另外，工業(yè)企業(yè)針對運維行為，通常也缺乏足夠的安全管理措施，比如身份認證、移動介質(zhì)管控、運維行為審計等，這造成了目前工業(yè)控制系統(tǒng)中運維安全難以管控，出現(xiàn)問題難以追溯的局面。著名的“震網(wǎng)病毒”就是利用了自動化廠商的服務人員引入的。

除了上述風險，由于工業(yè)控制網(wǎng)絡很難接受長時間的停機，又導致了傳統(tǒng)的IT安全技術措施和管理措施很難落地。可以說工業(yè)控制系統(tǒng)所面臨的信息安全風險比傳統(tǒng)IT系統(tǒng)更復雜、更多樣、更嚴峻，防護能力又更加薄弱甚至缺失，這使得工業(yè)控制系統(tǒng)的安全防護已經(jīng)成為工業(yè)企業(yè)“兩化融合”建設中的短板。

工業(yè)控制系統(tǒng)的信息安全不僅可能造成信息的丟失，還可能造成生產(chǎn)故障、人員損害及設備損壞，其直接財產(chǎn)的損失是巨大的，甚至有可能引起環(huán)境問題和社會問題。也因此，工業(yè)控制系統(tǒng)的安全也引起了國家的高度重視，并在政策、標準、技術、方案等方面展開了積極應對。2011年，工業(yè)和信息化部發(fā)布了《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，要求在關系國計民生的重點領域內(nèi)，加強對工業(yè)控制系統(tǒng)信息安全的管理。2012年6月28號國務院《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見（國發(fā)[2012]23號）》中明確要求：保障工業(yè)控制系統(tǒng)安全；重點保障可能危及生命和公共財產(chǎn)安全的工業(yè)控制系統(tǒng)。

3 工業(yè)控制系統(tǒng)信息安全建設思路

根據(jù)上述分析，筆者認為在工業(yè)企業(yè)推進安全規(guī)劃和安全建設時，既要借鑒通用IT系統(tǒng)信息安全保障的做法，又要充分考慮到工業(yè)控制系統(tǒng)的特點。在安全規(guī)劃階段，首先應建立信息安全風險評估機制，對工業(yè)控制系統(tǒng)的安全風險進行系統(tǒng)、全面分析；在安全方案設計階段，可以借鑒傳統(tǒng)IT系統(tǒng)安全分區(qū)和縱深防御的成熟做法，選擇適合工業(yè)控制系統(tǒng)的安全技術和產(chǎn)品；但不論在哪個階段，都要充分考慮工業(yè)控制系統(tǒng)的特殊性，堅持功能安全和信息安全相結合的原則，保障生產(chǎn)任務的不間斷運行。總結來說，就是“風險評估先行，安全分區(qū)奠基；功能安全結合，縱深防御完善”，下面進行詳細闡述。

3.1 風險評估先行

孫子兵法云：“知己知彼，百戰(zhàn)不殆”。在了解對手有哪些手段之前，更重要的是要對自己的情況，尤其是弱點了然于胸。在信息安全建設的過程中，了解自己弱點的過程，就是針對信息資產(chǎn)的脆弱性及風險進行評估。所謂的風險評估（Risk Assessment） ，就是量化測評某一事件或事物帶來的影響或損失的可能程度。從信息安全的角度來講，風險評估是對信息資產(chǎn)所面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用所帶來風險的可能性的評估。信息安全風險評估是組織確定信息安全需求的重要途徑。

風險評估各要素的關系如圖1所示。方框部分的內(nèi)容為風險評估的基本要素，橢圓形部分的內(nèi)容是與這些要素相關的屬性，也是風險評估要素的一部分。企業(yè)的業(yè)務戰(zhàn)略是依賴于企業(yè)的資產(chǎn)去完成的，資產(chǎn)的價值越高，所面臨的風險就越大；而風險是由于威脅而產(chǎn)生的，威脅則是利用了脆弱性，脆弱性越大，企業(yè)面臨的威脅就越大，從而風險也就越大。風險評估實施的過程，就是對企業(yè)資產(chǎn)、脆弱性和威脅進行識別，通過安全措施來對抗威脅，降低風險，從而確保資產(chǎn)的安全和企業(yè)業(yè)務戰(zhàn)略的達成。

圖1 風險評估要素關系模型

在工業(yè)控制系統(tǒng)中實施信息安全風險評估，跟在IT系統(tǒng)中的做法有區(qū)別，而且往往更加復雜，這主要體現(xiàn)在：

（1）工業(yè)控制系統(tǒng)的信息安全需求跟傳統(tǒng)IT系統(tǒng)有區(qū)別。信息安全建設要實現(xiàn)三個目標，即信息的保密性、完整性和可用性。在傳統(tǒng)IT系統(tǒng)中，通常將保密性放在首位，完整性次之，而可用性則放在最后。而在工業(yè)控制系統(tǒng)中，這三個目標的優(yōu)先級順序則正好相反。工業(yè)控制系統(tǒng)首先要考慮的是生產(chǎn)實時性和業(yè)務連續(xù)性，因此對控制系統(tǒng)本身的可用性最為關注，其次才是信息的完整性，保密性的實現(xiàn)通常是放在最后。在對工業(yè)控制系統(tǒng)進行風險評估時，相關威脅、風險的權重需要進行適當?shù)恼{(diào)整。

（2）工業(yè)控制系統(tǒng)面臨的威脅和脆弱性更復雜。正如之前的分析，傳統(tǒng)的IT系統(tǒng)所面臨的信息安全風險，在工業(yè)控制系統(tǒng)中都是存在的；而工業(yè)控制系統(tǒng)還存在它獨特的風險。利用工業(yè)應用程序、工業(yè)控制協(xié)議和工業(yè)控制設備存在的漏洞，結合傳統(tǒng)的操作系統(tǒng)漏洞、TCP/IP協(xié)議漏洞，攻擊者可以構建更加隱蔽的攻擊通道，這對風險評估方案的設計提出了極高的要求。

（3）工業(yè)控制系統(tǒng)中的風險評估實施環(huán)境復雜。工業(yè)控制系統(tǒng)內(nèi)的信息安全風險評估需要考慮工業(yè)現(xiàn)場的實際情況，不能影響正常的工業(yè)生產(chǎn)。舉例來說，傳統(tǒng)的IT安全評估中常用的漏洞掃描，就可能會對工業(yè)控制系統(tǒng)的正常運行產(chǎn)生影響，因此只能在非常特定的時間進行操作。由于很多評估操作無法在實際環(huán)境中進行，甚至可能需要借助仿真環(huán)境、實驗床環(huán)境來模擬進行。

目前用于指導信息安全風險評估的方法較多，大多數(shù)評估方法都是“自下而上”的，即從計算基礎設施開始，過于強調(diào)技術弱點，而很少考慮組織的任務和業(yè)務目標的風險。根據(jù)工業(yè)控制系統(tǒng)的特點，可采用OCTAVE（Operationally Critical Threat, Assert, Vulnerability Evaluation 可操作的關鍵威脅、資產(chǎn)和薄弱點評估方法）方法來指導工業(yè)企業(yè)的安全風險評估。OCTAVE是美國卡耐基-梅隆大學軟件工程研究所下屬的CERT協(xié)調(diào)中心的研發(fā)成果，用以定義一種系統(tǒng)的、組織范圍內(nèi)的評估信息安全風險的方法。OCTAVE方法著眼于組織本身并識別出組織所需要保護的對象，明確它為什么存在風險，然后開發(fā)出技術和實踐相結合的解決方案。

OCTAVE方法強調(diào)組織的參與，分析小組由本組織內(nèi)部的人員組成，并且領導整個評估活動。分析小組必須由來自不同學科的人員組成，包括來自業(yè)務部門和信息技術部門的不同人員。在工業(yè)控制系統(tǒng)領域，采用OCTAVE方法的優(yōu)勢在于：

（1）熟悉工業(yè)生產(chǎn)工藝流程、自動化技術和信息技術的人員協(xié)同工作，有利于風險評估工作的開展，并制定出符合工業(yè)控制系統(tǒng)實際情況的安全策略；

（2）調(diào)動現(xiàn)場工作人員參與風險評估，更有利于提升大家的信息安全意識和安全生產(chǎn)意識，鞏固評估成果。

3.2 安全分區(qū)奠基

安全風險評估完成之后，就可以根據(jù)評估結果制定工業(yè)控制系統(tǒng)的安全解決方案。對業(yè)務網(wǎng)絡進行安全分區(qū)或者安全域劃分是常用的信息安全手段，也是企業(yè)建立縱深防御安全體系的基礎。安全域指同一系統(tǒng)內(nèi)有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡，且相同的網(wǎng)絡安全域共享一樣的安全策略。通俗來說，安全域是指具有相同業(yè)務要求和安全要求的IT系統(tǒng)要素的集合。通過網(wǎng)絡安全域的劃分，可以把復雜的大型網(wǎng)絡系統(tǒng)安全問題轉化為較小區(qū)域的更為單純的安全保護問題，從而更好地控制網(wǎng)絡安全風險，降低系統(tǒng)風險；根據(jù)不同安全域的安全等級要求，明確各區(qū)域的防護重點，可以將有限的安全設備投人到最需要保護的資產(chǎn)，提高安全設備利用率。

如圖2所示，IEC 62443系列標準是由IEC/TC65/WG10與ISA 99共同制定的適用于工業(yè)自動化和控制領域的權威安全標準，其中IEC 62443-3在防護策略中引入了區(qū)域和管道的方法，這實際上就是安全域的劃分：通過橫向分區(qū)，縱向分域，對控制系統(tǒng)的各個子系統(tǒng)進行分段管理，區(qū)域之間的通信靠專用管道執(zhí)行，通過對管道的管理來阻擋區(qū)域之間的非法通信，保護網(wǎng)絡區(qū)域和其中的設備。

圖2 IEC62443中的安全分區(qū)和管道通信

在國內(nèi)的工業(yè)控制領域，基于安全域理念的防護體系也已經(jīng)很成熟，這其中典型代表就是電力二次系統(tǒng)的安全防護體系。原電監(jiān)會頒布的《電力二次系統(tǒng)安全防護規(guī)定》中提出，電力二次系統(tǒng)安全防護工作應該堅持安全分區(qū)、專網(wǎng)專用、橫向隔離、縱向認證的原則，保障電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡的安全，如圖3所示。

在安全域劃分中，常用的安全技術包括防火墻、UTM、網(wǎng)閘等，但這些通用的安全技術無法針對工業(yè)控制協(xié)議進行深度檢測，比如對Modbus、OPC、DNP3等協(xié)議字段級別的識別和防護。在工業(yè)控制系統(tǒng)中，還需采用支持工業(yè)控制協(xié)議的專用安全產(chǎn)品來彌補通用安全技術的不足，實現(xiàn)對網(wǎng)絡邊界的完全保護。

作為國內(nèi)最早推出專業(yè)工控安全產(chǎn)品和安全服務的廠商，力控華康的工業(yè)防火墻和工業(yè)網(wǎng)絡安全防護網(wǎng)關是目前比較成熟的工業(yè)控制網(wǎng)絡邊界防護產(chǎn)品，在鋼鐵冶金、石油化工、電力、市政等領域有著廣泛的應用。

圖3 電力二次系統(tǒng)的安全分區(qū)防護

力控華康HC-ISG工業(yè)防火墻是國內(nèi)首款專門應用于工業(yè)控制安全領域的自主知識產(chǎn)權的防火墻產(chǎn)品，能有效針對SCADA、DCS、PLC、RTU提供安全保護。HC-ISG支持對常見工業(yè)控制協(xié)議的識別、過濾和深度防御，可以對工業(yè)協(xié)議內(nèi)部的指令、寄存器等信息進行檢查，防止應用層協(xié)議被篡改或破壞，保證工業(yè)協(xié)議通訊的可控性和準確性。

力控華康PSL工業(yè)網(wǎng)絡安全防護網(wǎng)關是一款安全隔離產(chǎn)品，用于解決工業(yè)控制系統(tǒng)接入信息網(wǎng)絡時的安全問題。PSL安全防護網(wǎng)關采用“2+1”的安全隔離技術架構，阻斷網(wǎng)絡間直接的TCP/IP連接，通過專有協(xié)議實現(xiàn)對OPC、Modbus等工業(yè)控制協(xié)議的封裝和安全的數(shù)據(jù)傳輸。

3.3 功能安全結合

工業(yè)控制領域的安全可分為三類，即功能安全（Function Safety）、物理安全（Physical Safety）和信息安全（Information Security）。所謂的功能安全，是指工業(yè)控制系統(tǒng)中的控制器、執(zhí)行器出現(xiàn)失效或故障時，系統(tǒng)仍能保持安全條件或進入到一種安全狀態(tài)，緊急停車防止事故發(fā)生。功能安全系統(tǒng)包括安全儀表系統(tǒng)（SIS）、工業(yè)控制軟件的功能安全部分等（對于確保功能安全的系統(tǒng)，我們在下文統(tǒng)稱為“安全執(zhí)行系統(tǒng)”）。物理安全是減少由于點擊、著火、輻射、機械危險、化學危險等因素造成的危害。這三方面的安全不是孤立而是相輔相成的，物理安全出現(xiàn)問題會影響到信息安全，信息安全出現(xiàn)問題也會影響到功能安全。

由于工業(yè)控制系統(tǒng)的特殊性，黑客攻擊的最終目標往往并不是竊取信息，而是對生產(chǎn)過程進行破壞，甚至制造惡性事故。這種情況下，“安全執(zhí)行系統(tǒng)”是否能夠正常運行就成為確保不發(fā)生事故的最后一道防線。“震網(wǎng)病毒”就是典型的在破壞了信息安全之后又破壞功能安全的案例。“震網(wǎng)病毒”在侵入伊朗的鈾濃縮工廠后，最主要的動作是控制離心機的轉速，通過提高其轉速而達到破壞離心機的效果。但是在離心機的轉速不正常的情況下，控制系統(tǒng)的“安全執(zhí)行系統(tǒng)”就會起作用，強制停止離心機的運轉，這樣伊朗的技術人員就能夠迅速的發(fā)現(xiàn)異常。只有“安全執(zhí)行系統(tǒng)”也被破壞或屏蔽，“震網(wǎng)病毒”才能夠隨意控制離心機的轉速，達到大面積破壞的目的。“震網(wǎng)病毒”成功控制了伊朗工廠的“安全執(zhí)行系統(tǒng)”，通過發(fā)送偽造的傳感器數(shù)據(jù)來掩蓋其攻擊行為，使得破壞可以不被發(fā)現(xiàn)地持續(xù)進行。

國際電工協(xié)會制定的IEC61508標準：《電氣、電子、可編程電子安全系統(tǒng)的功能安全》規(guī)范了滿足安全相關系統(tǒng)功能安全的基本要求和規(guī)則，在IEC61508基礎之上，IEC又制訂了一系列的標準，其中IEC61511《過程工業(yè)安全儀表系統(tǒng)的功能安全》是關于過程工業(yè)系統(tǒng)功能安全的主要國際標準，可用于實際工作中功能安全相關操作的指引。

“安全執(zhí)行系統(tǒng)”是確保工業(yè)控制系統(tǒng)安全的重要一環(huán)。同工業(yè)控制系統(tǒng)一樣，現(xiàn)在的“安全執(zhí)行系統(tǒng)”也離不開信息技術，例如出于安全監(jiān)控等目的，安全儀表系統(tǒng)經(jīng)常通過TCP/IP協(xié)議同其他系統(tǒng)連接，增加了被攻擊的風險。信息安全和功能安全相結合，一方面指綜合采用信息安全措施和功能安全措施來確保工業(yè)控制系統(tǒng)的安全，另一方面，也要采用信息安全措施來保護功能安全的“安全執(zhí)行系統(tǒng)”。在工業(yè)控制系統(tǒng)內(nèi)實施信息安全風險評估，不僅要評估控制系統(tǒng)的安全風險，還要評估“安全執(zhí)行系統(tǒng)”的安全風險，識別信息安全風險可能對功能安全帶來的影響；在工業(yè)控制系統(tǒng)內(nèi)實施信息安全策略，不僅要保護控制系統(tǒng)本身，還要保護控制系統(tǒng)的“安全執(zhí)行系統(tǒng)”，否則“行百里者半九十”，容易出現(xiàn)安全短板。

3.4 縱深防御完善

在IT系統(tǒng)的信息安全保障體系中，縱深防御是比較常見的一種安全保護模型。縱深防御是指綜合利用安全分區(qū)、邊界保護、威脅檢測、安全審計等多種安全手段，層層制定安全防護策略，確保核心業(yè)務系統(tǒng)的信息安全。

工業(yè)控制系統(tǒng)很早就借鑒了IT系統(tǒng)信息安全建設的思路。早在2009年，美國國土安全部發(fā)布了《利用縱深防御策略提升工業(yè)控制系統(tǒng)的網(wǎng)絡安全性》指導文件，用于指導美國國內(nèi)重要基礎設施和流程工業(yè)企業(yè)的工業(yè)控制系統(tǒng)安全實踐。圖4是采用縱深防御體系的工業(yè)控制系統(tǒng)的網(wǎng)絡結構。在這份指導性文件中，將工業(yè)企業(yè)的網(wǎng)絡劃分為不同的保護區(qū)域，并將控制系統(tǒng)中對外提供服務的設施進一步劃分出不同的DMZ區(qū)。對DMZ區(qū)的所有訪問，利用IT防火墻和PLC/現(xiàn)場級工業(yè)防火墻來提供足夠強度的安全防護，不允許繞過防火墻進行操作；并進一步通過部署入侵檢測系統(tǒng)（IDS）、安全事件管理（SIEM）來提供對網(wǎng)絡威脅的識別和告警，以彌補單純防護手段的不足。

圖4 采用了縱深防御體系的工業(yè)控制系統(tǒng)（美國國土安全部）

2010年“震網(wǎng)病毒”事件之后，工業(yè)控制系統(tǒng)的安全性問題開始為大眾所關注，各大控制系統(tǒng)廠商、工控安全廠商也紛紛推出了自己的安全解決方案。比如西門子提出的基于縱深防御理念的工業(yè)控制系統(tǒng)保護模型，通過部署多層次的、具有不同針對性的安全措施，來確保關鍵的工業(yè)自動化控制過程與應用的安全；同時，其針對整個工業(yè)信息安全的防護體系也分為工廠安全、工廠IT安全和訪問控制多個層級，層層保護，縱深加強。

在縱深防御的理念已經(jīng)成為業(yè)界主流的情況下，對“縱深”的不同理解成為防護是否有效的關鍵。在筆者看來，在工業(yè)控制系統(tǒng)內(nèi)真正有效的縱深防御體系應該具備以下特點：

（1）對“癥”下藥而非生搬硬套。工業(yè)控制系統(tǒng)的使用場景有別于傳統(tǒng)IT系統(tǒng)，不能將傳統(tǒng)IT安全的一套照搬過來。比如在邊界防護中，需要考慮工業(yè)控制系統(tǒng)對實時性的要求，選擇有足夠性能支撐的防火墻。而在使用IDS來進行威脅偵測時，如果使用人員不具備對安全事件的分析和識別能力，那么IDS頻繁的事件上報將會是一種災難。必須針對工業(yè)控制系統(tǒng)的使用環(huán)境，調(diào)整并優(yōu)化安全策略，使各種安全技術能夠真正有效地發(fā)揮作用。

（2）防護、檢測技術和響應手段相結合。針對工業(yè)控制系統(tǒng)中的攻擊一般都是高級可持續(xù)性威脅（APT），潛伏周期長，攻擊手段復雜。針對這種類型的威脅和攻擊，采用單純的防御措施是遠遠不夠的，經(jīng)典安全理論中的防護技術（Protection）、檢測技術（Detection）和響應手段（Response）缺一不可。防護技術（比如防火墻）提供一定時間的安全緩沖，而通過檢測手段和響應措施，可以彌補防護技術的不足。典型的檢測手段包括：漏洞掃描和修補、入侵檢測、日志分析、網(wǎng)絡行為審計、安全事件管理等。

（3）需要建立安全管理策略和規(guī)范。安全是“三分技術、七分管理”，一個完整的縱深防御體系，不能缺少安全管理和規(guī)范的內(nèi)容。相關統(tǒng)計數(shù)據(jù)顯示，只有20%的數(shù)據(jù)破壞是公司外部威脅導致，而80%的安全威脅是來自公司內(nèi)部的，其中包括操作失誤、故意破壞和知識缺乏等。針對這樣的問題，企業(yè)內(nèi)部信息安全通報和響應機制的建立、針對員工安全意識的培訓、制定工控系統(tǒng)安全操作規(guī)范等，都是行之有效的措施。

4 總結

隨著以太網(wǎng)和互聯(lián)網(wǎng)技術在工業(yè)系統(tǒng)中的應用越來越廣泛，工業(yè)控制系統(tǒng)所面臨的信息安全風險也越來越突出。信息安全保障體系的設計是一項龐大的系統(tǒng)工程，尤其是考慮到在工業(yè)控制系統(tǒng)中應用時需要面對方方面面的問題。本文在分析工業(yè)控制系統(tǒng)安全風險及現(xiàn)有解決方案的基礎上，提出了“風險評估先行，安全分區(qū)奠基；功能安全結合，縱深防御完善”的工控信息安全建設思路。目前該思路已經(jīng)在一些項目中得到應用，并取得了良好的效果。

[1] IEC 62443 Industrial communication networks - Network and system security (DRAFT)[S].

[2] IEC 61508 Functional safety of electrical/electronic/programmable electronic safety - related systems[S].

[3] IEC 61511 Functional safety - safety instrumented systems for the process industry sector[S].

[4] 彭瑜. 過程工業(yè)控制系統(tǒng)及其軟件的功能安全[J]. 自動化博覽, 2010, 27(12).

[5] Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense - In - Depth Strategies[M]. Department of Homeland Security, U. S., 2009.

[6] 盧祈. 安全無止境 - 解析工控系統(tǒng)中的功能安全與信息安全[J]. 中國儀器儀表, 2013(2): 29 - 32.

李光朋（1979-），男，漢族，山東濰坊人，碩士。現(xiàn)就職于北京力控華康科技有限公司，任市場部經(jīng)理，主要從事工業(yè)控制系統(tǒng)信息安全的研究和推廣工作。