工業控制系統信息安全防護體系規劃研究

Research on the Planning of Information Security Protection

for Industrial Control System

魏可承　李　斌　易偉文　焉　鶴

(廣東中煙工業有限責任公司，廣東 廣州　 510610)

工業控制系統信息安全防護體系規劃研究

Research on the Planning of Information Security Protection

for Industrial Control System

魏可承李斌易偉文焉鶴

(廣東中煙工業有限責任公司，廣東 廣州 510610)

摘要：對煙草工業企業工控系統的實際應用進行了研究。基于工業控制系統信息安全的特點和風險分析，指出開展信息安全建設的迫切性，提出適合工業控制系統信息安全防護體系的整體規劃。從制度建設、邊界防護安全、組網安全、主機安全、數據安全、物理安全、應急機制、安全檢查和風險評估等方面，對信息安全防護體系規劃的內容進行研究和探討。

關鍵詞：工業控制系統信息安全風險分析體系規劃邊界防護卷煙工業

Abstract：The practical application of industrial control systems in tobacco industrial enterprises is researched. Based on the features of information security of industrial control system and risk analysis, the urgency for carrying out the construction of information security is pointed out. The overall planning of protection system of information security suitable for industrial control system is proposed. The contents of information security protection system planning are researched and investigated from various aspects, including institutional construction, boundary protection safety, networking security, host computer security, physical security, emergency response mechanism, security inspection, and risk assessment, etc.

Keywords：Industrial control systemInformation securityRisk analysisSystem planningBoundary protectionCigarette industry

0引言

數據采集與監控(SCADA)、分布式控制系統(DCS)、過程控制系統(PCS)、可編程邏輯控制器(PLC)等工業控制系統廣泛運用于工業領域，用于控制生產設備的運行。一旦工業控制系統信息安全出現漏洞，將對工業生產運行和國家經濟安全造成重大隱患[1]。截至2011年底，有記錄的工控系統攻擊超過13萬次，造成重大影響或經濟損失超過50億美金的接近400次。

2011年11月25日，工信部召開地方信息安全工作會議，強調落實《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)，要求切實加強工業控制系統信息安全管理，保障工業生產運行安全、國家經濟安全和人民生命財產安全。

1工業信息安全概念

信息安全是指信息系統(包括硬件、軟件、數據、人、物理環境及其基礎設施)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷，最終實現業務連續性。信息安全的基本屬性表現在完整性、保密性、可用性、不可否認性、可控性[2]。

典型工控系統的四層架構如圖1所示。

圖1　工控系統典型網絡結構

L4層是企業經營管理協同層，既負責企業內部運營與管控，又是工業企業與上下游企業業務協同、滿足行業管控要求的集成平臺。L3層是生產執行層，負責生產制造執行過程的管理，核心為MES生產指揮系統，進行生產計劃調度和訂單下發，實現物料、設備、人員等工廠生產資源的統一指揮。L2層是工業控制層，以段控PLC、現場總線以及工業以太環網等組成集散控制系統，實現對生產過程的實時控制。L1層為底層設備執行層，以基本的自動化控制系統及I/O設備、現場儀表為主，實現對設備機臺功能的控制。

國際電工委員會IEC/TC65/WG1與ISA99于2007年成立聯合工作組，開始共同制定IEC 62443系列標準《工業過程測量控制和自動化-網絡與系統信息安全》，優化工業控制系統信息安全標準體系。該系列標準對通用、信息安全程序、系統技術要求和部件技術要求4個方面做出了規范[3]。IEC 62443標準中針對工控系統信息安全的定義是:①保護系統所采取的措施;②由建立和維護系統的措施所得到的系統狀態;③能夠避免對系統資源的非授權訪問和意外的變更破壞或損失;④基于計算機系統的能力，能夠保證授權人員和系統的合法操作權限，避免非授權人員和系統修改軟件及其數據或訪問系統功能;⑤防止對工控系統非法有害的入侵，或者對其正常操作的干擾[4]。

2工業控制系統信息安全特點

傳統的IT領域信息安全有3個主要目標，即實現保密性、完整性和可用性。工業控制系統體系結構與傳統IT全然不同，一方面高度集中的縱向多層機構使得脆弱性高度集中，另一方面信息安全事件能直接導致物理上的有形損失或傷害。因此，傳統的IT網絡安全概念幾乎不適合工業控制系統對信息安全的特殊要求，即使是短暫的網絡崩潰都足以導致產品損耗、生產中斷和對人及機器產生致命的危險。工業控制系統信息安全最優先考慮的是系統可用性，其次是數據傳輸的實時性，然后是完整性，最后才是保密性。

下面以煙草企業為例，介紹車間級生產管控一體化的工業控制系統網絡架構及其信息安全特點。車間工控系統采用雙網絡形式，生產執行層的9臺服務器通過2臺核心交換機與車間現場交換機組成光纖環網構成工控系統主網絡。工業控制層主要是由生產段控PLC將生產主控工藝段的設備進行聯網和數據通信，同時作為工業控制系統的操作接入接口，完成對生產線的集中控制、生產監視及過程工藝記錄等操作。設備執行層主要由PLC電控柜、分布式I/O站、智能儀表以及獨立單機設備等組成，通信方式有Profibus、Profinet、Modbus等。工控系統拓撲如圖2所示。

圖2　某卷煙廠典型工控系統拓撲圖

① 工控系統的封閉性強。作為企業管理網內的一個業務子系統，工控系統涉及關鍵領域和企業運營的大量敏感數據，只能做適度有限的開放。

② 工控系統對可用性和實時性要求高。工業控制系統要求必須保證持續的可用性及穩定的系統訪問、系統性能、專用工業控制系統安全保護技術，以及全生命周期的安全支持[3]。同時,對實時響應時間要求大多在 1 ms內完成。

③ 工業通信協議和通用TCP/IP協議的共存。工控系統存在兩種不同類型的協議，即TCP/IP協議和工控通信協議。

④ 工控系統的安全與管理網的安全互為依存。工業化和信息化的深度融合，伴隨企業管理需求的日益增加，管理網與工控網之間的數據互連變得越來越開放和常態化，也使得工控系統的安全與管理網的安全互為依存。

⑤ 工控系統長周期內保持結構固定。工業控制系統與設備和生產密不可分，除非影響到正常的企業生產，否則長周期內常態穩定的工控系統將不會進行輕易調整，如何有效應對不斷涌現的信息安全事件也面臨挑戰。

3工業控制系統信息安全風險分析

基于工業控制系統與傳統IT領域相比所呈現的特殊性和獨特性，工業信息安全面臨以下風險。

① 攻擊手段及入侵途徑的多變性。對工控系統的入侵越來越智能化，例如Flame病毒，偽裝方法高明，智能化程度完美[5]。同時互聯網的病毒和攻擊、遠程撥號攻擊、現場維護設備及手持終端的病毒等都展現了入侵途徑的多樣性。

② 工控系統受攻擊的后果嚴重。工控系統是國家重要的基礎設施，其安全會影響到生命安全、重大財產損失以及產生環境問題，導致物理世界中的重大災難。

③ 管理制度的缺漏。工控系統缺乏完整有效的安全策略與管理流程，缺乏針對性的管理制度，相關部門和崗位的職責不明確，缺少應急響應機制，安全風險評估和檢查從未開展。這些都將導致管理上的安全隱患。

④ 工業通信協議的安全漏洞。所有廣泛使用的工控協議都基本演化或擴展為在通用計算機和通用操作系統上實現，TCP/IP 協議自身存在的安全問題不可避免地會影響到運行于其上的應用層工控協議。例如OPC Classic 協議(OPC DA、OPC HAD 和OPC A&E)是基于微軟的DCOM 協議。DCOM協議是在網絡安全問題被廣泛認識之前設計的，極易受到攻擊，并且OPC通信采用不固定的端口號，導致目前幾乎無法使用傳統的IT防火墻來確保其安全性[6]。同時，西門子、AB等工業通信協議不斷暴露的安全漏洞[7]，也日益引起企業的關注。

⑤ 終端安全防護薄弱。大多數終端設備、工作站及HMI都是基于Windows操作系統平臺的，大量存在各種系統安全漏洞。為避免殺毒軟件與功能軟件在使用上產生沖突，并且需要經常更新病毒庫，殺毒軟件不適合工業控制環境。工控應用軟件的多樣性很難形成統一的防護規范和標準，從而引發大量的安全問題。傳統IT領域的軟件補丁方式和系統更新頻率對于控制系統不再適用[8]。

⑥ 移動存儲介質及外部計算機接入的安全風險。私有計算機接入和移動存儲介質在公用互聯網與工控系統間的交叉接入，通常沒有開展相關安全認證及安全防護措施，極易帶來病毒、木馬、蠕蟲感染與擴散的風險。

⑦ 關鍵服務器及核心網絡設備容錯性差。工業控制系統關鍵服務器、路由及交換機等核心網絡設備一般只做單機配置，一旦發生故障，整個工控系統的業務和通信將會停止運轉，導致生產中斷。

⑧ 無隔離的網絡子系統架構。在工業生產現場，大多數工業網絡子系統之間沒有進行有效的安全隔離，從而極易造成安全故障通過網絡迅速蔓延，形成網絡風暴。

4工業控制系統信息安全防護體系的規劃

在《關于加強工業控制系統信息安全管理的通知》的指引下，結合《信息系統安全等級保護基本要求》(GB/T 22239-2008)，對現有的工控系統信息安全做有效規劃和進一步加固，不僅需要關注傳統領域的網絡安全和連接安全，還應著重考慮數據安全的問題。同時，在管理、應急處置以及相關的安全檢查和風險評估上也應完善相關的制度和流程，建立全面有效的立體防護體系。

① 安全管理制度和培訓。建立相應的管理流程，明確工作職責，落實安全責任。針對企業設備技術人員和信息人員開展工控信息安全培訓，培養多技能復合型人才，從而強化企業技術人員的安全防范意識，達到提高技術水平和管理水平的目的。

② 邊界防護安全。網絡邊界分為以下三種，一是工控網與管理網的邊界，二是工控網內部不同安全分區之間的邊界，三是外部設備接入邊界。對管理網和工控網的邊界采用不同強度的安全連接產品實施有效地安全隔離。例如防病毒網關和防火墻，進行數據交換時，應對數據交換源的身份進行鑒別，只開啟必要的數據交換通路，采用信息擺渡技術對工控網與管理網進行安全互聯。對工控網內部不同層級的網域，在具有以太網接口的I/O設備和控制器上部署工業防火墻或安全路由器，同時可應用白名單過濾機制，在工控網內部不同層域之間進行動態通信行為判斷，避免因設備聯網而形成的干擾、病毒攻擊和廣播風暴。對外部設備接入的邊界，要采取必要的有效防范措施，保證接入設備的安全可靠，對接入操作進行審計，以保障作業過程的安全。

③ 組網管理安全。遵守區域(層級)管理的原則，以功能或能承受的風險等級為基線，采用虛擬局域網VLAN技術，劃分不同的網絡區域(層級)，保證連接的可靠性及安全性。組網時要同步規劃、同步建設、同步運行安全防護措施，切斷工控網與公共網絡之間的所有不必要連接，在物理層面上實現與外網的安全隔離。核心網絡設備采用冗余配置，在發生網絡故障時自動切換設備運行，保障生產和業務的連續性。

④ 設備主機系統安全。設備主機系統應嚴格賬戶和口令管理。關注設備終端的操作系統補丁及殺毒軟件病毒庫更新，關鍵工業控制系統軟件升級、補丁安裝前應進行安全評估和驗證。針對工控系統的操作開啟日志審計功能，對日常操作維護進行記錄和檢查。

⑤ 數據安全。針對生產重要敏感數據采取訪問權限控制等措施加以保護。加強數據恢復與備份，保證在工業控制網絡發生災難或故障時能及時對數據進行正確、完整的恢復。

⑥ 物理環境安全。生產網絡中央控制室的機房環境應按照信息系統安全等級保護的要求，在電力供應、溫濕度控制、消防、監控、震動、噪聲、防雷等方面進行完備和滿足。

⑦ 應急管理。建立規范的工控系統安全應急響應機制，制定應急預案，明確臨機處置權限。建設工控網應急技術支撐隊伍，定期進行應急演練及應急預案培訓。

⑧ 安全檢查與風險評估。組織開展信息安全檢查，定期對工業控制系統關鍵設備進行安全測評，檢測系統存在的安全漏洞，排查安全隱患，并依此對工控系統做進一步的補強與加固。

5結束語

本文以煙草企業工業控制系統架構為例，重點分析工業控制系統信息安全的定義、特點和存在的風險，并提出工控系統信息安全防護體系的整體規劃。隨著網絡技術的發展和通信的開放，企業信息網絡的深入應用與日漸增多的交互使用，信息安全的問題愈發突出。通過重點針對工業企業的信息安全弱點，對工控系統信息安全架構進行整體規劃和部署。從制度、設備、技術、應急、風險評估等環節入手，并結合企業實際，做出準確的判斷，持續加固完善，才能切實保障企業生產的正常運轉。

參考文獻

[1] 工信部信息安全協調司.工信部協[2011]451號 關于加強工業控制系統信息安全管理的通知[EB/OL].[2011-10-27].http://www.miit.gov.cn/n11293472/n11293832/n12843926/n13917012/14294613.html.

[2] 牛少彰，崔寶江，李劍.信息安全概論[M].2版.北京：郵電大學出版社，2007.

[3] 歐陽勁松，丁露.IEC 62443工控網絡與系統信息安全標準綜述[J].信息技術與標準化，2012(3) :24-27.

[4] TC/SC65.IEC/TS 62443-1-1 Edition1.0 Industrial communication networks-Network and system security-Part 1-1:Terminology，concepts and models[S].Geneva:IEC，2009.

[5] 于立業，薛向榮，張云貴，等.工業控制系統信息安全解決方案[J].冶金自動化，2013(1):5-11.

[6] 李青.淺談萊鋼能源管控中心工業網絡安全問題及解決方案[J].信息技術與信息化，2013(2):43-44.

[7] 高國輝.西門子被曝工業系統漏洞 或影響多數工業化國家[N].南方日報，2011-6-8.

[8] 楊建軍，唐一鴻.工業控制系統信息安全標準化[J].信息技術與標準化，2012(3)：20-23.------------------------------------------------------------------------------------------------

中圖分類號：TP273

文獻標志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201502013

修改稿收到日期：2014-07-24。

第一作者魏可承(1978-)，男，2008年畢業于華南理工大學模式識別與智能系統專業，獲碩士學位，工程師；主要從事煙草設備管理、工業控制、自動化系統、圖像處理方面的研究。