工控安全，不容忽視

工業(yè)控制系統(tǒng)（簡稱ICS）是由各種自動化控制組件以及實(shí)時數(shù)據(jù)進(jìn)行采集、監(jiān)測的過程控制組件，共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運(yùn)行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠(yuǎn)程終端（RTU）、智能電子設(shè)備（IED），以及確保各組件通信的接口技術(shù)。

目前ICS廣泛應(yīng)用于我國電力、水利、污水處理、石油天然氣、化工、交通運(yùn)輸、制藥以及大型制造行業(yè)，其中超過80%的涉及國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠ICS來實(shí)現(xiàn)自動化作業(yè)，ICS安全已是國家安全戰(zhàn)略的重要組成部分。

近年來，國內(nèi)工業(yè)企業(yè)屢屢發(fā)生由于工控安全導(dǎo)致的事故，有的是因?yàn)楦腥倦娔X病毒，有的是因?yàn)門CP/IP協(xié)議棧存在明顯缺陷，有的是由于操作間員工違規(guī)操作帶入病毒。比如，2011年某石化企業(yè)某裝置控制系統(tǒng)分別感染Conficker病毒，造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度的中斷。又如，2014年某大型冶金廠車間控制系統(tǒng)發(fā)現(xiàn)病毒，是因?yàn)閱T工在某一臺工作站上私自安裝娛樂軟件，帶入病毒在控制網(wǎng)擴(kuò)散。還有一個案例是，江蘇某地級市自來水公司將所有小區(qū)泵站的PLC都通過某公司企業(yè)路由器直接聯(lián)網(wǎng)，通過VPN遠(yuǎn)程進(jìn)行控制訪問，實(shí)時得到各泵站PLC的數(shù)據(jù)；結(jié)果發(fā)現(xiàn)大量的PLC聯(lián)網(wǎng)狀態(tài)不穩(wěn)定，出現(xiàn)時斷時續(xù)的現(xiàn)象。經(jīng)過現(xiàn)場診斷，發(fā)現(xiàn)是PLC的TCP/IP協(xié)議棧存在明顯缺陷導(dǎo)致，最后靠廠家升級PLC固件解決。

ICS安全事故頻發(fā)，引起了相關(guān)各方和國家高層的重視。2014年12月，工控系統(tǒng)信息安全國家標(biāo)準(zhǔn)GB/T30976-2014首次發(fā)布，基本滿足工業(yè)控制系統(tǒng)的用戶、系統(tǒng)集成商、設(shè)備生產(chǎn)商等各方面的使用。國家標(biāo)準(zhǔn)的發(fā)布，極大地促進(jìn)了工控系統(tǒng)信息安全的發(fā)展。

我國ICS網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀

據(jù)工信部電子科學(xué)技術(shù)情報(bào)研究所數(shù)據(jù)顯示，2012年，中國工業(yè)控制系統(tǒng)信息安全市場已達(dá)到11億元，未來5年仍將保持年均15%的增長速度。而據(jù)工控網(wǎng)的預(yù)測，中國工業(yè)網(wǎng)絡(luò)安全市場有望在2015年達(dá)到超過20億元的規(guī)模，并以每年超過30%的復(fù)合增長率發(fā)展。

從行業(yè)來看，油氣、石化、化工、電力、冶金、煙草為核心應(yīng)用行業(yè)，其他行業(yè)規(guī)模相對較小。石化行業(yè)在工控安全方面走在所有行業(yè)的前列。從2009年開始，石化行業(yè)開始部署加拿大多芬諾公司的工控防火墻，主要用在OPC防護(hù)場景。燕山石化、齊魯石化及大慶石化等多家國內(nèi)大型石化企業(yè)都有較多部署。電力行業(yè)的網(wǎng)絡(luò)安全主要基于《電力二次系統(tǒng)安全防護(hù)規(guī)定》、《電力二次系統(tǒng)安全防護(hù)評估管理辦法》、《電力行業(yè)工控信息安全監(jiān)督管理暫行規(guī)定》以及配套文件等電力工控信息安全各項(xiàng)規(guī)定和要求，其對于真正意義上的工控安全的項(xiàng)目實(shí)施，基本還處于探索階段。目前實(shí)際的動作是在全網(wǎng)排查整改某品牌PLC、工業(yè)交換機(jī)的信息安全風(fēng)險(xiǎn)，并開展其它工控設(shè)備信息安全漏洞的檢測排查工作，對發(fā)現(xiàn)的安全漏洞進(jìn)行上報(bào)處理。冶金行業(yè)目前已開始進(jìn)行工控安全的實(shí)地部署，由于冶金行業(yè)大量采用了西門子、羅克韋爾、ABB、TEMIC（東芝三菱）、Yaskawa（日本安川）等國外品牌的PLC，因此冶金行業(yè)對于PLC的安全防護(hù)非常重視。

工控安全廠商分析

工控安全廠商作為市場中最主要的、最活躍的推動力量，在工控安全市場中扮演著非常重要的角色。其中以有工控背景的信息安全廠商為主，傳統(tǒng)的IT類信息安全供應(yīng)商介入速度加快。

力控華康， 脫胎于力控集團(tuán)，借助多年積淀的工業(yè)領(lǐng)域行業(yè)經(jīng)驗(yàn)，以及工控行業(yè)監(jiān)控軟件和工業(yè)協(xié)議分析處理技術(shù)，成功研發(fā)出適用于工業(yè)控制系統(tǒng)的工業(yè)隔離網(wǎng)關(guān)pSafetyLink、工業(yè)通信網(wǎng)關(guān)pFieldComm和工業(yè)防火墻HC-ISG等系列產(chǎn)品，受到市場的廣泛認(rèn)可。

海天煒業(yè)，即青島多芬諾，作為從2009年即在中國市場推廣工業(yè)防火墻的行業(yè)先驅(qū)，在多年的市場積累中，徹底脫胎換骨，從一家傳統(tǒng)的自動化系統(tǒng)維保公司成功轉(zhuǎn)型為一家專業(yè)的工控網(wǎng)絡(luò)安全解決方案提供者；尤其是在2014年4月22日發(fā)布的新一代自研“Guard”工業(yè)防火墻，受到行業(yè)一致好評。

中科網(wǎng)威，作為參與過中國多項(xiàng)網(wǎng)絡(luò)安全國標(biāo)編寫的廠商，憑借多年對用戶需求的潛心研究，推出了擁有軟硬件完全自主知識產(chǎn)權(quán)自主品牌“ANYSEC”，ANYSEC系列產(chǎn)品包括IPSEC/SSL VPN、流控管理、上網(wǎng)行為管理、中科網(wǎng)警、聯(lián)動數(shù)字平臺等多功能的IT安全網(wǎng)關(guān)產(chǎn)品，獲得廣大用戶的一致好評。

三零衛(wèi)士，是中國電子科技集團(tuán)公司電子第三十研究所下屬企業(yè)，在2014年成功推出了自研的工控防火墻，同時也推出了自己的“固隔監(jiān)”整體工控安全防護(hù)體系，得到了行業(yè)內(nèi)外的廣泛關(guān)注。

ICS存在網(wǎng)絡(luò)安全問題的根源及安全防護(hù)

研究發(fā)現(xiàn)，我國ICS存在網(wǎng)絡(luò)安全問題的根源主要是以下幾點(diǎn)：

第一，缺乏完整有效的安全策略與管理流程。經(jīng)研究發(fā)現(xiàn)，ICS以可用性為第一位，追求系統(tǒng)的穩(wěn)定可靠運(yùn)行是管理人員關(guān)注的重點(diǎn)，而把安全性放在次要的地位。這是很多ICS存在的普遍現(xiàn)象。缺乏完整有效的安全策略與管理流程是當(dāng)前我國ICS的最大難題。很多ICS實(shí)施了安全防御措施，但由于管理或操作上的失誤，如移動存儲介質(zhì)的使用等，仍然會造成安全事故。

第二，工控平臺比較脆弱。目前，多數(shù)ICS網(wǎng)絡(luò)僅通過部署防火墻來保證工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的相對隔離，各個工業(yè)自動化單元之間缺乏可靠的安全通信機(jī)制。而且，由于不同行業(yè)的應(yīng)用場景不同，其對于功能區(qū)域的劃分和安全防御的要求也各不相同，而對于利用針對性通信協(xié)議與應(yīng)用層協(xié)議的漏洞來傳播的惡意攻擊行為更是無能為力。更為嚴(yán)重的是，工業(yè)控制系統(tǒng)的補(bǔ)丁管理效果始終無法令人滿意。同時，工業(yè)系統(tǒng)補(bǔ)丁動輒半年的補(bǔ)丁發(fā)布周期，也讓攻擊者有較多的時間來利用已存在的漏洞發(fā)起攻擊。

第三，ICS網(wǎng)絡(luò)比較脆弱。通過以太網(wǎng)技術(shù)的引入讓ICS變得智能，也讓工業(yè)控制網(wǎng)絡(luò)愈發(fā)透明、開放、互聯(lián)，TCP/IP存在的威脅同樣會在工業(yè)網(wǎng)絡(luò)中重現(xiàn)。當(dāng)前ICS網(wǎng)絡(luò)的脆弱性體現(xiàn)在：邊界安全策略缺失、系統(tǒng)安全防制機(jī)制缺失、管理制度缺失、網(wǎng)絡(luò)配置規(guī)范缺失、監(jiān)控與應(yīng)急響應(yīng)制度缺失、網(wǎng)絡(luò)通信保障機(jī)制缺失、無線網(wǎng)絡(luò)接入認(rèn)證機(jī)制缺失、基礎(chǔ)設(shè)施可用性保障機(jī)制缺失等。

為解決網(wǎng)絡(luò)安全問題，我們建議：

第一，加強(qiáng)對工業(yè)控制系統(tǒng)的脆弱性（系統(tǒng)漏洞及配置缺陷）的合作研究，提供針對性的解決方案和安全保護(hù)措施。

第二，盡可能采用安全的通信協(xié)議及規(guī)范，并提供協(xié)議異常性檢測能力。

第三，建立針對ICS的違規(guī)操作、越權(quán)訪問等行為的有效監(jiān)管。

第四，建立完善的ICS安全保障體系，加強(qiáng)安全運(yùn)維與管理。

第五，加強(qiáng)針對ICS的新型攻擊技術(shù)（如APT）的防范研究。

其實(shí)，工業(yè)安全不是一個單純的技術(shù)問題，而是一個從意識培養(yǎng)開始，涉及到管理、流程、架構(gòu)、技術(shù)、產(chǎn)品等各方面的系統(tǒng)工程。工業(yè)安全需要工控系統(tǒng)的管理方、運(yùn)營方、集成商與組件提供商的共同參與、協(xié)同工作。目前，部署縱深防御是工業(yè)領(lǐng)域應(yīng)對安全挑戰(zhàn)的現(xiàn)實(shí)方法。工業(yè)安全同時是一個動態(tài)過程，需要在整個工業(yè)基礎(chǔ)設(shè)施生命周期的各個階段中持續(xù)實(shí)施，不斷改進(jìn)。