冶金行業工業控制信息安全系統淺析

許海峰 靳 靜 叢力群

(上海寶信軟件股份有限公司，上海 201900)

冶金行業工業控制信息安全系統淺析

許海峰 靳 靜 叢力群

(上海寶信軟件股份有限公司，上海 201900)

介紹了工業控制系統(ICS)信息安全發展現狀，分析了冶金行業工業控制系統所面臨的信息安全威脅以及用戶所切實關注的安全問題。在現有安全技術和解決方案的基礎上，提出了適用于冶金行業的智能立體防御體系，并給出了智能立體防御體系的詳細方案和試驗案例。最后介紹了寶信軟件工業控制系統信息安全實驗室的建設情況及未來技術研究方向。

冶金行業 工業控制系統(ICS) 工業化和信息化 信息安全 智能立體防御體系

0 引言

隨著信息技術的發展，“工業4.0”、“互聯網+”等先進思想逐漸被應用于工業控制系統(industrial control systems ,ICS)中，企業信息化建設必然要求更大范圍的工控系統網絡互聯互通，工業控制系統將面臨廣泛的外部安全威脅。2010年，“震網”病毒事件為世人敲響了工業控制系統網絡安全的警鐘；在相繼發現了Duqu病毒、火焰病毒等同樣針對工控系統的病毒之后，2014年春，Havex病毒在能源行業大規模爆發，呈現出強烈的行業橫向蔓延趨勢。近年來，世界范圍內工業控制系統發生的信息安全事件數量呈幾何倍數上升態勢，世界各國都給予了高度重視。

我國工信部于2011年10月下發了協〔2011〕451號文“關于加強工業控制系統信息安全管理的通知”。2013年，工信部信〔2013〕317號文工業化和信息化深度融合專項行動計劃又提出“落實451號文，加強重點領域工業控制系統的信息安全檢查、監管和測評，實施安全風險和漏洞通報制度”。同時，我國的工業控制系統網絡安全相關標準也正在開展標準編制工作。其中，國家標準GB/T 30976-2014《工業控制系統信息安全》[1]的第一、第二部分已于2014年12月發布。

針對工業控制系統對信息安全的需求，必須盡早建立適用于行業的全流程安全防護體系，特別要重點關注工控系統自身安全并研究各種新的防護技術。本文主要針對冶金行業的特點，結合寶鋼工業控制系統信息安全建設的經驗，分享在工業控制系統信息安全方面的一些想法和方案。

1 工業控制系統信息安全現狀

1.1 工業控制安全威脅

工業控制安全的威脅主要有以下四類。

①個人黑客：個人黑客是最普遍的一種網絡攻擊制造者。他們的能力有高有低，動機有的是為了賺錢，有的只是好奇，各種個人黑客情況千差萬別，對工控網絡造成的威脅也各不相同。

②民間組織：隨著網絡技術的發展、個人黑客數量的增多，民間組織逐漸成為實施工控網絡攻擊的主流制造者。2014年新發現的Havex病毒，即由民間組織“蜻蜓”(或“活力熊”)所制造。

③國家政府：國家政府是工控網絡攻擊的始作俑者。世界上第一個工控網絡病毒“震網”病毒，即是出于政府之手。至今在許多工控網絡攻擊方法中，還能看到震網病毒的影子。以政府為背景的黑客組織，開發出了震網、毒區、火焰等病毒，是工業控制系統最大的威脅。

④員工誤操作：在工控安全事件中，員工誤操作雖然不是蓄意破壞，也占了事故來源的很大一部分比例，必須引起重視。員工誤操作的原因有：通用的操作系統導致在調試、運維過程中帶入病毒、蠕蟲等；黑客組織攻擊控制系統廠商的官方網站，將木馬文件嵌入供客戶下載的軟件升級包，員工升級軟件導致病毒蔓延；此外，還有騙取用戶密碼的釣魚式攻擊等多種方法，都是員工易于上當受騙的攻擊手段。

1.2 工業控制系統信息安全防護體系現狀

總的來說，國內外工控系統網絡安全防護理念演變可以劃分為三個階段，如圖1所示。

圖1 工業控制系統信息安全發展的三個階段

第一個階段是以隔離為手段的安全防護理念。在我國“工業化”、“信息化”兩化融合的伊始，隔離就成為了企業用戶、集成商、供應商應對工控系統網絡安全的“庇護傘”。工業控制系統是一個“信息孤島”成為了行業內根深蒂固的思想，直至2010年“震網”病毒爆發，人們才開始意識到隔離在整個工控系統網絡安全防護中只是一種手段，并非解決一切問題的方法。

第二個階段是縱深防御的安全防護體系。這個理念從信息安全領域自然延伸，自有其在網絡安全防護上的功效與成果，但是在實際的工控系統網絡安全防護實施過程中，設備供應商、安全供應商并未解決實際問題，為工廠用戶所建立的縱深防御體系往往會變成一個簡單的信息安全產品的堆砌。工業控制網需要盡可能少的故障點，而部署了大量的信息安全產品后，故障點不減反增，反而會帶來一系列問題。

第三階段是工業控制系統內部生長的智能立體防御體系。根據工業控制網絡自身特點，智能立體的防御體系需要關注三點。第一，故障點盡可能要少。這是工控系統與生俱來的需求，因此，安全設備也要符合工控設備的特點。除了盡量避免多層部署外，安全設備在保護工控系統正常生產運行的同時還要保證即使斷電、設備更新也不會對系統產生任何影響。第二，防御體系要有可持續性。適應工業控制網絡特點的持續性防御體系可以通過基礎硬件的創新來實現，使安全防護滿足低延時、高可靠、可定制化、可持續更新、操作與實施的簡易化等特性。第三，主要解決存量系統問題。解決與人民生產生活息息相關的、直面安全威脅的存量在裝系統的問題是工業信息安全防護體系的關鍵。

2 冶金行業工業控制系統信息安全問題

冶金行業是自動化程度較高的行業。隨著信息化和工業化的深度融合，也使得針對工業控制系統的病毒和木馬攻擊呈現出攻擊來源復雜化、攻擊目的多樣化以及攻擊過程持續化的特征。經過分析, 冶金行業可能面臨的安全風險如下。

① 嚴重漏洞難以及時處理，系統安全風險巨大。當前主流的冶金工業控制系統普遍存在安全漏洞，且多為能夠造成遠程攻擊、越權執行的嚴重威脅類漏洞；而且近兩年漏洞的數量呈快速增長的趨勢。工業控制系統存在通信協議種類繁多、系統軟件難以及時升級、設備使用周期長以及系統補丁兼容性差、發布周期長等現實問題，造成工業控制系統的補丁管理困難，難以及時處理威脅嚴重的漏洞。許多工控軟件健壯性較差，智能運行在操作系統的某個特定版本上，一旦升級，補丁升級很有可能導致原工控系統無法使用。

② 工業控制系統協議缺乏足夠的安全性考慮，易被攻擊者利用。專有的工業控制通信協議或規約在設計時通常只強調通信的實時性和可用性，對安全性普遍考慮不足，比如缺少足夠強度的認證、加密、授權等。尤其是工業控制系統中的無線通信協議，更容易遭受第三者的竊聽和欺騙性攻擊。為保證數據傳輸的實時性，Modbus/TCP、OPC Classic、IEC 60870-5-104、DNP 3.0、IEC-61850-MMS、Profinet、EtherNet/IP等工控協議多采用明文傳輸，易于劫持和修改。

③ 缺乏違規操作、越權訪問行為審計能力。操作管理人員的技術水平和安全意識差別較大，容易發生越權訪問、違規操作，給生產系統埋下極大的安全隱患。事實上，國內冶金行業ICS相對封閉的環境，也使得來自系統內部人員在應用系統層面的誤操作、違規操作或故意的破壞性操作成為工業控制系統所面臨的主要安全風險。因此，對生產網絡的訪問行為、特定控制協議內容和數據庫數據的真實性、完整性進行監控、管理與審計是非常必要的。

④ 沒有足夠的安全政策、管理制度，人員安全意識缺乏。冶金行業工業控制系統在設計時多考慮系統的可用性，普遍對安全性問題的考慮不足，缺乏完善的工業控制系統安全政策、管理制度以及對人員的安全意識培養。在工控系統中常會接入個人PC、服務器、控制終端、各類安全設備，其中某一個或者某一種設備都會構成工控系統安全威脅。特別是在開發調試、定修等環節中對人員及傳輸介質的管理薄弱，導致病毒、木馬等在工業控制系統內的傳播，為系統運行埋下隱患。

綜上所述，冶金行業信息化、自動化系統雖然有L0～L5的縱向劃分，也有各個工藝工序間的橫向分隔，但是由于設備種類多樣性、傳輸協議特殊性、系統復雜性、網絡復雜性、系統生命周期長、現場人員難以管理等特點，工業控制系統信息安全問題比較嚴重。這也需要整合各種安全技術，通過形成完善的安全防御體系(防御手段的組織化、體系化)才可能有效杜絕工業控制系統信息安全問題。

3 智能立體防御體系

根據冶金行業特點，企業自動化、信息系統可由下至上劃分為L0～L5六個層次[2-4]，如圖2所示。圖2中，L3、L4屬于傳統IT信息安全的范疇，無論是規范政策、技術手段、評估和驗收手段都比較成熟。隨著信息技術的發展、云技術在企業中的應用，產生了云系統信息安全的問題；智能設備的接入及物聯網技術大發展引起了底層控制系統信息安全的問題。云信息安全和控制系統信息安全都是安全領域全新的范疇。

圖2 冶金行業自動化、信息化信息安全層次劃分示意圖

建設具有冶金行業特色的工業控制系統，需最大限度滿足GB/T 30976-2014 工業控制系統信息安全的規范要求，同時結合IT信息安全建設的相關經驗。由于工控網絡及其應用擴展范圍非常廣闊，隨著網絡規模的擴大及應用的增加，網絡的脆弱性也會不斷增加，一勞永逸地解決安全問題是不現實的。同時由于信息安全風險的不斷變化，未來勢必將增加新的安全防護措施，所以方案在設計時將充分考慮到安全設備的可擴展性。

針對冶金行業工業控特點和組網需求，需要在系統全生命周期中提供工業信息安全解決方案。方案主要包含對工業控制系統信息安全風險評估和漏洞分析、工業控制系統智能立體保護系統及工業控制系統檢測審計平臺三個方面。

3.1 工業控制系統信息安全風險評估和漏洞分析

根據不同工控系統的網絡結構、功能應用、通信協議等，為用戶定制系統的漏洞風險檢測與評估方法。工業控制網絡系統風險評估可以有效地幫助客戶識別、控制、降低或消除影響工業控制系統的網絡安全風險，同時具有模糊測試、未知協議分析測試、基于漏洞庫的設備漏洞驗證等功能。此外，還包括了設備漏洞挖掘工具箱、系統風險評估工具箱、插件開發環境和工具包等一系列測試、檢測、分析、評估工具。主要技術手段如下。

① 設備漏洞檢測：設備檢測在工控系統的規劃、設計階段就能夠開展，在系統上線之前就能及時發現隱患與漏洞，對上線后的存量系統仍可以開展設備、系統的安全檢測，以對其進行深層次的安全風險評估。設備檢測必須覆蓋主要的工控協議，包括通用的Modbus、OPC等協議以及主流廠商私有的通信協議，同時需要支持多種總線、對未知協議的檢測與漏洞挖掘，最大程度為工控系統、工控設備提供豐富的檢測手段。

② 網絡檢測：對工控系統進行工控網絡流量的在線實時過濾與異常數據攔截。自動學習網絡行為、自動生成防御策略，能適應自動化控制人員操作特點，進行一鍵式安全部署，可在層邊界部署入侵檢測裝置，實時監測入侵行為，事后安全審計。

風險評估和漏洞分析針對工控設備、工控網絡以及流程系統都擁有完善而可靠的評估手段和標準，完全符合國家相關標準，可以對客戶控制系統中存在的風險漏洞進行挖掘與診斷，并同時提供客觀、有效的補償性措施建議以及整體系統評分，幫助提高工控系統的安全性以及穩定性。

3.2 工業控制系統智能立體保護系統

結合冶金行業特點，可以通過多層次的隔離防護措施、全面的監控手段、立體的防御技術，實現對工業控制系統的整體安全防護，從而保障整個工業控制系統安全穩定運行。在管理層與數采監控層之間，主要進行身份鑒別、訪問控制、入侵檢測、行為審計、病毒過濾等安全防護；在數采監控層和PLC系統層之間，主要基于工業控制通信協議進行訪問控制。以煉鋼廠工業控制系統為例，進行了“智能立體防護，統一平臺管理”的設計，其拓撲圖如圖3所示。

圖3 某煉鋼廠工業控制系統信息安全解決方案

第一層，采取傳統信息安全的手段，用于保護整個企業防御Internet的安全威脅，或是與整個企業集團信息化網絡相隔離。第二層，采用具有協議解析、端口控制、分區隔離功能的防火墻，保證各區域網絡不受其他區域影響。第三層，應用系統加固、終端防護等技術手段，免除各類人機交互終端對工控系統的安全威脅。第四層，分布式安全組件則用于保護諸如PLC或DCS等關鍵設備；在選用底層控制設備時，也需考慮使用漏洞較少、設備本身具有防護能力的控制設備。主要技術手段如下。

①智能訪問控制：工業控制系統的主機、控制器設備都應具備訪問控制功能。通過設定邊界防護策略，如利用白名單方式的工業防火墻的深度包解析等技術，實現訪問控制和網絡邊界的隔離防護。

②主機應用防護：需要對控制系統操作主機或數據服務器進行計算環境的完整性保護，對進程進行安全識別和管控，例如使用可信計算等技術實現進程白名單管控；工業控制系統主機需進行移動存儲設備應用管控，對必要的U盤等設備授權使用，未經授權的設備將無法使用，并生成安全審計記錄。

③防惡意代碼：檢測和發現工業控制系統中的惡意代碼，可使用特征掃描、防病毒軟件、可信計算技術進程管控(新技術)等方式實現。

3.3 工業控制系統監測審計平臺

監測審計平臺是針對工業控制網絡設計的實時告警系統，通過特定的安全策略快速識別出系統中存在的非法操作、異常事件、外部攻擊并實時告警。平臺采用旁路部署，在實現安全監視的同時，完全不影響現有系統的生產運行，可廣泛應用于各類網絡應用環境。監測審計終端在網絡中分布部署、統一管理，可實現數據的共享和大數據的分析。主要技術手段如下。

①可視化監測：可以直觀清晰地展示系統拓撲結構，對網絡數據、事件進行實時監視、實時告警，幫助用戶掌握網絡運行狀況。對網絡中的活動進行行為審計和內容審計生成完整記錄便于追溯。

③安全數據庫：通過長期監測分析，可根據設備、行業進行安全數據庫的完善。工控網絡安全數據庫需要覆蓋主流廠商設備、各行各業系統，并至少包括有設備安全漏洞庫、網絡結構模型庫、設備風險統計庫等數據庫，以大數據的理念全面、高效地支持工控網絡安全的實時智能防護與威脅態勢感知。

4 未來的研究方向

針對工業控制系統安全的重要性及相關研究相對不足的現實情況，重點開展工業控制系統的協議安全性分析、相關漏洞的統計分析以及智能立體防御體系、終端防護方案的研究，期望據此能夠有效地降低工業控制系統所面臨的安全威脅。由于工業控制系統數量種類繁多，網絡結構各異，未來仍需在以下幾方面持續研究。

①控制系統安全漏洞數據庫。搭建工業安全實驗室平臺，構建自主可控、高可信度、大規模、開放式、增長式實驗平臺，覆蓋主流控制系統，針對主流控制系統的通信協議及產品。通過漏洞挖掘工具的掌握，不斷積累各個控制產品漏洞，形成較完備的設備安全漏洞數據庫。針對冶金行業不同工藝單元的典型控制系統網絡拓撲結構，形成成熟的工控網絡安全實施規范，并作為行業規范推廣。

②工控系統終端防護。工業控制系統終端通常安全防護較薄弱，可插接可移動設備，現場工程師可能直接連接筆記本調試，病毒入侵很高。利用可信計算技術、操作系統進程分析和管理技術，實現Windows 桌面系統從XP系列以上的終端防護。在主機應用防護中，對于工控進程的兼容性一直是安全產品的開發難點，基于特征庫的安全軟件一般會將工控軟件識別為非法進程或安全威脅，甚至會誤殺或誤攔截一些重要工控進程，這樣導致很多常規IT安全軟件無法在工控系統中使用，如何精確識別工控進程的可信性和完整性是工控主機應用防護產品的研究方向。和工控設備廠家合作，對工控設備和軟件進行白名單完善，原廠認證后的白名單更完善更具權威性，保證相關系統可靠安全地運行。

③工業控制系統信息安全培訓。企業需為員工提供專業工控系統安全培訓，宣傳貫徹工業信息安全理念，提升相關人員專業技術技能。工業信息安全不僅要通過技術來解決，更應從各級管理層到工廠工人灌輸工業安全的意識。工業信息安全是一個持續執行的流程，需要在整個工廠的生命周期內考慮，必須采用適當的組織與系統的技術措施實現，并定期回顧和升級。

5 結束語

當下，冶金行業工控信息安全防護意識正逐漸提高，照搬國外或其他行業工控系統安全標準在冶金行業并不適用。憑借寶鋼現有基礎設施規模和先進性及工業信息安全的相關項目在寶鋼的實驗性實施，寶鋼應義不容辭地承擔引領冶金行業工控網絡安全的技術創新和標準制定的任務。工控網絡安全防護理念的進步也將不只停留在技術人員的研究中，而是切切實實為行業應用所接受，最終突破傳統信息安全理念，真正為冶金行業產業升級保駕護航。

[1] 國家質量監督檢驗檢疫總局,國家標準化管理委員會.GB/T 30976-2014 工業控制系統信息安全[S].2014.

[2] NIST.Special Publication 800-82 Guide to industrial control systems (ICS) security[S].2015.

[3] 國家質量監督檢驗檢疫總局,國家標準化管理委員會. GB/T 22239-2008 信息系統安全等級保護基本要求[S].2008.

[4] 國家質量監督檢驗檢疫總局,國家標準化管理委員會.GB/T 22240-2008 信息系統安全保護等級定級指南[S].2008.

Analysis of Information Security of Industrial Control Systems in Metallurgical Industry

The developing status of information security of industrial control system (ICS) in metallurgical industry is introduced, the information security threats that the industrial control systems in metallurgical industry are facing currently and the security issues that users concern about are analyzed. On the basis of existing security technologies and solutions, the intelligent three-dimensional defense system which is suitable for metallurgical industry is proposed, and the detail strategy of this system and test cases are presented. Finally the construction situation and the direction of technology research in future of the ICS Information Security Laboratory of Baosight Software are introduced.

Metallurgical industry Industrial control system Industrialization and informatization Information security Intelligent three-dimensional defense system

2015-08-20。

許海峰(1974-)，男,1992年畢業于復旦大學計算機科學專業，獲學士學位，高級工程師；主要從事工業控制系統集成及工控網絡安全方面的研究。

TH86;TP27

A

10.16086/j.cnki.issn1000-0380.201509001