工業(yè)控制系統(tǒng)信息安全研究綜述

區(qū)和堅

(中國科學技術部高技術研究發(fā)展中心，北京 100044)

工業(yè)控制系統(tǒng)信息安全研究綜述

區(qū)和堅

(中國科學技術部高技術研究發(fā)展中心，北京 100044)

隨著IT領域操作系統(tǒng)、開放協(xié)議和通信技術的引入，工業(yè)控制系統(tǒng)的脆弱性逐漸暴露，工業(yè)控制系統(tǒng)信息安全防護問題迫在眉睫。與傳統(tǒng)IT系統(tǒng)相比，工業(yè)控制系統(tǒng)在軟硬件資源、通信協(xié)議和安全目標等方面存在顯著不同，因此，單一措施和技術不可能實現(xiàn)工業(yè)控制系統(tǒng)信息安全這一目標，應采用縱深防御理念、按照不同層次分區(qū)的方法，來構建信息安全防護體系，實現(xiàn)多重防護。常用的工業(yè)控制系統(tǒng)信息安全防護設備和技術包括工業(yè)防火墻、入侵檢測/防御、安全審計等。然而，目前仍缺乏量化的信息安全防護評測標準，且尚未建立權威的評估、評測、檢定機構，不能對工業(yè)控制系統(tǒng)脆弱性和信息安全等級進行有效評估。此外，在智能制造新形勢下，更應從智能工廠/數(shù)字化車間的總體設計、系統(tǒng)開發(fā)、運維管理、測試評估等方面，建立全生命周期的信息安全與功能安全一體化方案。

工業(yè)控制系統(tǒng)； 信息安全； 安全防護； 縱深防御； 工業(yè)防火墻； 入侵檢測/防御； 主動防御； 安全審計

0 引言

工業(yè)控制系統(tǒng)是SCADA、DCS、PLC等多種類型控制系統(tǒng)的總稱，被廣泛應用于核設施、電子、航空航天、汽車、冶金、石油化工、電力、先進制造等國家關鍵基礎設施之中。隨著自動化和信息化的深度融合，現(xiàn)代工業(yè)控制系統(tǒng)越來越依賴IT領域的操作系統(tǒng)、開放協(xié)議和通信技術[1]，這些技術將它們本身存在的脆弱性引入到工業(yè)控制系統(tǒng)中。現(xiàn)在，信息安全問題已被證實可突破防火墻而直接進入生產過程，損壞設備、阻礙生產甚至引發(fā)重大安全事故。因此，工業(yè)控制系統(tǒng)的信息安全目前是學術界和工業(yè)界比較熱門的研究領域。

本文分析了工業(yè)控制系統(tǒng)安全獨特性，介紹了工業(yè)控制系統(tǒng)常見的攻擊手段以及安全風險評估、防護技術的研究現(xiàn)狀，并展望了未來研究方向。

1 工業(yè)控制系統(tǒng)與IT系統(tǒng)的區(qū)別

工業(yè)控制系統(tǒng)與傳統(tǒng)的IT系統(tǒng)有很多不同，包括不同的軟硬件資源、通信協(xié)議等。工業(yè)控制系統(tǒng)與IT系統(tǒng)的綜合比較如表1所示。

表1 工業(yè)控制系統(tǒng)與IT系統(tǒng)的比較

2 工業(yè)控制系統(tǒng)安全獨特性

鑒于工業(yè)控制系統(tǒng)與IT系統(tǒng)的區(qū)別，二者對于信息安全需求和防護手段相應具有很大區(qū)別，主要表現(xiàn)在以下幾方面。

①安全目標。

工業(yè)控制系統(tǒng)以可用性、完整性、保密性為主要目標，其中生產的連續(xù)性尤其重要；而IT系統(tǒng)以保密性、完整性、可用性為主要目標，信息保護作為最重要的目標。

②安全威脅。

工業(yè)控制系統(tǒng)的安全威脅一般是利用Windows系統(tǒng)、工業(yè)軟件系統(tǒng)(如SCADA、MES系統(tǒng))以及開放的標準工業(yè)通信協(xié)議(OPC/OPC UA協(xié)議)的多個漏洞進行攻擊；此外，專用的工業(yè)以太網(wǎng)通信協(xié)議(如PROFINET、Ethernet/IP、Modbus TCP等)在設計時并未考慮信息安全防護，具有安全漏洞[2]。而IT系統(tǒng)的安全威脅主要來源于Windows操作系統(tǒng)、TCP/IP網(wǎng)絡協(xié)議、商用辦公軟件、應用軟件。

在通信要求上，工業(yè)控制系統(tǒng)的通信一般分為循環(huán)通信和非循環(huán)通信，不使用流量通信方式，而IT系統(tǒng)則要求采用高流量通信方式。工業(yè)控制系統(tǒng)的攻擊方法一般采用目的性強、有組織的高級持續(xù)性攻擊[3]；而IT系統(tǒng)常見的攻擊方法包括拒絕服務、病毒、惡意代碼、非授權訪問、欺騙等，當然也有一些組織采用高級持續(xù)性威脅的攻擊模式攻擊重要信息系統(tǒng)。

③安全需求。

工業(yè)控制系統(tǒng)首先是保護現(xiàn)場系統(tǒng)(如PLC、DCS等)，保護生產連續(xù)性，其次是保護中央服務器等資產；而IT系統(tǒng)首先保護IT資產的操作以及在這些資產中存儲或傳輸?shù)男畔ⅲ醒敕掌餍枰啾Ｗo。同時在時間關鍵相互作用方面，工業(yè)控制系統(tǒng)對人員和其他緊急事件的響應是至關重要的，應嚴格控制對(industrial control system,ICS)系統(tǒng)的訪問，但不應阻礙或干擾人機交互；而IT系統(tǒng)很少有關鍵緊急事件，可通過對信息安全要求的程度來限制訪問控制。在非預期后果方面，工業(yè)控制系統(tǒng)安全工具必須進行測試，以確保其不會危及工業(yè)控制系統(tǒng)的正常運作；而IT系統(tǒng)已經(jīng)有成熟的信息安全解決方案。

④安全防護。

安全防護可以分為系統(tǒng)安全、網(wǎng)絡安全和數(shù)據(jù)安全。

在系統(tǒng)安全方面，工業(yè)控制系統(tǒng)關注工控系統(tǒng)及設備專用操作系統(tǒng)的漏洞、配置缺陷等問題，當前系統(tǒng)維護能力不足，系統(tǒng)補丁和安全機制升級困難，殺毒軟件不能隨時升級病毒庫，且存在誤殺導致工控軟件不能正常運行。IT系統(tǒng)關注通用操作系統(tǒng)的漏洞、配置缺陷及資源非授權訪問等問題，系統(tǒng)級防護能力較強、安全手段豐富[4]。

在網(wǎng)絡安全方面，工業(yè)控制系統(tǒng)關注專有通信協(xié)議或通信規(guī)約的安全性、實時性以及安全的傳輸能力，而且通常更強調實時性和可用性，對安全性考慮不足，一般與互聯(lián)網(wǎng)物理隔離。IT系統(tǒng)主要關注TCP/IP協(xié)議簇的數(shù)據(jù)傳輸安全、拒絕服務、應用層安全等，對數(shù)據(jù)傳輸?shù)膶崟r性要求不高，安全技術、產品、方案相對成熟，安全防護能力強，一般不要求與互聯(lián)網(wǎng)物理隔離。

在數(shù)據(jù)安全方面，工業(yè)控制系統(tǒng)重點關注工控系統(tǒng)設備的狀態(tài)、控制命令等信息在傳輸、處理及存儲中的安全性。IT系統(tǒng)對服務器中存儲數(shù)據(jù)的安全存儲及授權使用有著較高的要求。鑒于工業(yè)控制系統(tǒng)與IT系統(tǒng)的顯著不同，IT領域信息安全防護技術并不適合工業(yè)控制系統(tǒng)信息安全防護。因此，在考慮工業(yè)控制系統(tǒng)信息安全時，除了要了解IT領域知識外，還應熟悉工業(yè)控制系統(tǒng)本身的特點與功能。

3 工業(yè)控制系統(tǒng)信息安全技術

3.1 縱深防御

工業(yè)控制系統(tǒng)的信息安全目標包括系統(tǒng)可用性、系統(tǒng)完整性和系統(tǒng)機密性。針對工業(yè)控制系統(tǒng)不同的攻擊類型，使用單一的措施和技術不可能達到工業(yè)控制系統(tǒng)信息安全的目標，因此IEC 62443《工業(yè)通信網(wǎng)絡網(wǎng)絡與系統(tǒng)安全》系列[5]標準中強調采用縱深防御的理念來構建工業(yè)控制系統(tǒng)信息安全防護體系。縱深防御是指按照從外到內的層次進行分區(qū)，以實現(xiàn)多重信息安全防護，每個分區(qū)的保護邊界構成了額外的防御線，因此每個分區(qū)都受到額外的保護和“深度防御”。基于區(qū)域劃分的縱深防御框圖如圖1所示。從外到內分為外網(wǎng)、內網(wǎng)、工業(yè)控制網(wǎng)絡和自動化/現(xiàn)場控制網(wǎng)絡。對從外網(wǎng)到內網(wǎng)攻擊路徑的附加保護是否成功，不僅取決于邊界防御，還取決于檢測和應對措施。

圖1 基于區(qū)域劃分的縱深防御框圖

圖1所示的工業(yè)控制系統(tǒng)采用了以下信息安全縱深防御措施。

①來自于Internet的威脅已被攔截在組織外部網(wǎng)絡的邊界。

②工業(yè)控制系統(tǒng)的安全策略認為這種組織外部網(wǎng)絡是不可信的，仍需要在工業(yè)控制網(wǎng)絡邊界處攔截威脅。

③在工業(yè)控制網(wǎng)絡中，任何一個子網(wǎng)區(qū)域被它邊界上的專用安全網(wǎng)關保護。

④設備由一些安全功能保護，如圖1所示的設備周圍的虛線框。

⑤想要使攻擊不被攔截在工業(yè)控制邊界，攻擊者必須攻克各設備和服務器的后續(xù)措施以及關鍵自動化和現(xiàn)場控制網(wǎng)絡的邊界。

除了在工業(yè)控制系統(tǒng)中安裝必要的信息安全防護設備外，從管理角度，還應實現(xiàn)以下安全策略措施。

(1)完整性管理包括以下要求：①病毒和惡意軟件防護；②軟件和固件的升級和補丁；③備份；④文件和文件系統(tǒng)的完整性；⑤硬件、操作系統(tǒng)和應用程序加固。

(2)對主機、設備、介質和信息的邏輯訪問安全管理。①建立不同級別的用戶標志和用戶權限，例如賬戶和權利；②加密技術。

(3)對受保護的主機、設備和介質所處空間、機柜、機箱進行物理訪問的安全管理，主要包括建立不同級別的用戶標志和用戶權限，如密碼和其他訪問控制。

(4)另外還應關注異常管理、日志和監(jiān)視、應急響應三項內容。

通過多種方法并結合適當?shù)募夹g措施，才能確保工業(yè)控制系統(tǒng)在所有情況下受到保護，以抵擋攻擊或者降低安全事件帶來的影響。

3.2 工業(yè)控制系統(tǒng)安全防護技術

常用的工業(yè)控制系統(tǒng)信息安全防護技術包括工業(yè)防火墻、入侵檢測/防御、主動防御、安全審計等。

3.2.1 工業(yè)防火墻技術

對于工業(yè)控制系統(tǒng)的外部和內部入侵，傳統(tǒng)IT防火墻對于工業(yè)控制系統(tǒng)中使用的專業(yè)協(xié)議的防護是無能為力的。因為很多工業(yè)協(xié)議是TCP/IP協(xié)議之上的應用層協(xié)議，因此在工業(yè)控制系統(tǒng)中的安全防護中需要使用工業(yè)防火墻技術。首先，工業(yè)防火墻是一個工業(yè)產品，其可靠性和穩(wěn)定性必須保證，否則談不上安全防護，還會給原有的工業(yè)控制系統(tǒng)帶來風險點；其次，工業(yè)防火墻必須支持工業(yè)協(xié)議的深度解析功能，如支持對Modbus TCP、OPC、OPC UA、PROFINET等工業(yè)協(xié)議的深度解析，支持異常報文過濾、阻斷、報警、審計等各類功能。不僅如此，工業(yè)防火墻還可以結合實際的工藝信息進行更深層的防護，如根據(jù)實際設備配置參數(shù)的合理范圍，監(jiān)控和分析實際的配置指令，進行報警和阻斷等。

3.2.2 入侵檢測/防御技術

入侵檢測/防御系統(tǒng)，是在檢測風險和攻擊行為(包括已知和未知攻擊)的基礎上，根據(jù)規(guī)則有效地阻斷攻擊的硬件或軟件系統(tǒng)。

根據(jù)需要，工業(yè)控制系統(tǒng)信息安全防護一般會在系統(tǒng)邊界處布置入侵檢測/防御系統(tǒng)，但是考慮到工業(yè)控制系統(tǒng)存在關鍵功能不可中斷的要求(如緊急關停、功能安全相關的操作)，因此實際使用中多以入侵檢測功能為主。當檢測出異常時，只進行報警處理，不進行阻斷，以防止可能對工業(yè)控制系統(tǒng)關鍵功能的影響。當使用工業(yè)控制系統(tǒng)入侵防御系統(tǒng)時，應根據(jù)不同的攻擊類型進行不同的防御。當邊界處的防御系統(tǒng)故障時，應保證工業(yè)控制系統(tǒng)原有功能的正常執(zhí)行。

3.2.3 主動防御技術

由于工業(yè)控制系統(tǒng)的特殊性，其使用的操作系統(tǒng)、專用軟件等模塊和系統(tǒng)很少會及時更新補丁，因此工業(yè)控制系統(tǒng)存在很大的脆弱性。基于防火墻、入侵檢測以及殺毒軟件的現(xiàn)有網(wǎng)絡安全技術屬于片面的、靜態(tài)的被動防御，缺乏對攻擊的主動防御能力。

目前，在工業(yè)控制系統(tǒng)中，基于特定操作系統(tǒng)的可信技術也得到了應用。其原理是首先建立可信白名單，對于白名單之外的任何進程和程序一律禁止運行，對于U盤等移動介質引起的病毒傳播帶來的危害有很大的防御作用。考慮到該技術是基于操作系統(tǒng)之上的安全防護，對于操作系統(tǒng)的深層漏洞還是無能為力。

另一方面，采用可信技術構建工業(yè)控制系統(tǒng)的安全可信鏈，可以確保工業(yè)控制系統(tǒng)從底層驅動到操作系統(tǒng)、應用程序等各個層次的完整性。同時也可以使用基于網(wǎng)絡安全測評的主動安全防御技術。該技術能夠幫助用戶預先識別網(wǎng)絡系統(tǒng)脆弱性及其潛在的安全威脅，根據(jù)安全需求來選取符合最優(yōu)成本效應的主動安全防御措施和策略，從而提前避免危險事件的發(fā)生[6-7]。

3.2.4 安全審計技術

在工業(yè)控制系統(tǒng)信息安全實踐方面，安全審計活動相對較多。考慮到在役系統(tǒng)的可靠安全生產,審計過程很少使用技術手段進行在線測試分析。

如根據(jù)GB/T 30976.1-2014《工業(yè)控制系統(tǒng)信息安全第1部分：評估規(guī)范》[7]標準,針對工業(yè)生產現(xiàn)場,采用訪談、文件核查、啟發(fā)式會議等方式，結合工業(yè)控制系統(tǒng)本身存在的有助于安全審計的日志信息，如設備報警記錄、運行狀態(tài)、性能監(jiān)測數(shù)據(jù)(如關鍵設備網(wǎng)絡負載、CPU負載)、生產產能等信息，綜合審計可能存在的風險和脆弱點，提出安全加固建議。根據(jù)實際情況，在技術無法實現(xiàn)或不宜實現(xiàn)時，采用補償機制，通過管理方法、物理安全等手段，提高工業(yè)控制系統(tǒng)信息安全能力。

為了更真實地監(jiān)測工業(yè)現(xiàn)場的信息安全實際狀況，特別是在網(wǎng)絡安全監(jiān)測方面，采用被動監(jiān)聽的方式(如通過連接交換機鏡像端口)，對所有獲取的網(wǎng)絡數(shù)據(jù)進行分析。一方面，通過實際的網(wǎng)絡拓撲、設備網(wǎng)絡負載、整體網(wǎng)絡帶寬等信息與實際的監(jiān)測信息進行對比分析；另一方面，通過工業(yè)協(xié)議報文深度解析與實際工藝相結合進行異常的惡意行為分析，就可以發(fā)現(xiàn)某些參數(shù)配置超限等問題，進而發(fā)現(xiàn)發(fā)出異常報文的源主機。

4 研究展望

未來我國在工業(yè)控制系統(tǒng)安全技術的發(fā)展可集中在以下幾個方面。

①進一步完善我國工業(yè)控制系統(tǒng)信息安全標準體系。我國已在典型工業(yè)控制系統(tǒng)(如DCS、PLC)的信息安全基礎標準方面進行了大量工作，但是針對特定領域、行業(yè)如離散制造、石化、冶金等相關標準仍需進一步加強。目前的標準更多地關注定性的要求，量化的相關防護、評測等標準仍然缺失。

②在當前智能制造新形勢下，安全問題不斷增長與惡化，對工業(yè)控制系統(tǒng)的功能、信息、設備等安全提出了更高要求，在考慮信息安全的同時，也要考慮功能安全與信息安全的融合問題[8-9]。應從智能工廠/數(shù)字化車間的總體設計、系統(tǒng)開發(fā)、運維管理、測試評估等方面，建立全生命周期的信息安全與功能安全一體化方案。

③目前尚未建立國家級或權威的工業(yè)控制系統(tǒng)信息安全評估、評測、檢定機構，因此不能對工業(yè)控制系統(tǒng)進行有效的脆弱性和信息安全等級評估。

④與IT技術相比，工業(yè)控制系統(tǒng)脆弱性更差，并且由于采用大量開源性技術而更易受到攻擊。所以應在借鑒國際標準，如IE C62443/ISA99和NIST-SP 800的基礎上，依據(jù)我國的工業(yè)控制系統(tǒng)相關信息安全標準，如GB/T 30976.1-2014《工業(yè)控制系統(tǒng)信息安全第1部分：評估指南》，有效實施信息安全防御工作。

5 結束語

工業(yè)控制系統(tǒng)信息安全事件有可能導致大量人員傷亡、環(huán)境災難，甚至影響國家安全，2017年6月1日實施的《中華人民共和國網(wǎng)絡安全法》明確要求保護國家關鍵基礎設施信息安全。鑒于工業(yè)控制系統(tǒng)信息安全的特殊性和復雜性，為提高防護能力，需要企業(yè)用戶、工業(yè)控制系統(tǒng)制造商、工藝專家、信息安全專家等各方面的力量優(yōu)勢互補、群策群力；同時，工業(yè)控制系統(tǒng)信息安全事件的應急預案也應得到合理的重視。

[1] STOUFFER K. Guide to industrial control systems security[R]. NIST Special Publication,2008: 82.

[2] 陳莊,黃勇,鄒航.工業(yè)控制系統(tǒng)信息安全審計系統(tǒng)分析與設計[J]. 計算機科學,2013(S1):340-343.

[3] 馮偉. 我國工業(yè)控制系統(tǒng)面臨的信息安全挑戰(zhàn)及措施建議[J]. 信息安全與技術,2013(2):19-22.

[4] 王昱鑌,陳思,程楠. 工業(yè)控制系統(tǒng)信息安全防護研究[J]. 信息網(wǎng)絡安全,2016(9):35-39.

[5] IEC 62443《工業(yè)通信網(wǎng)絡網(wǎng)絡與系統(tǒng)安全》系列標準[S].2013.

[6] 邵誠,鐘梁高. 一種基于可信計算的工業(yè)控制系統(tǒng)信息安全解決方案[J]. 信息與控制,2015(5):628-633.

[7] 鐘梁高. 基于可信計算的工業(yè)控制系統(tǒng)信息安全解決方案研究[D].大連：大連理工大學,2015.

[8] GB/T 30976.1-2014《工業(yè)控制系統(tǒng)信息安全第1部分：評估規(guī)范》[S].2014.

[9] 趙艷領，劉丹. 功能安全和信息安全協(xié)調基本要求淺析[J]. 中國儀器儀表,2015(12):48-50.

Overview of Research on the Information Security of Industrial Control System

OU Hejian
(High Technology Research and Development Center,Ministry of Science and Technology，Beijing 100044,China)

With the introduction of IT operating systems,open protocols and communication technologies,the vulnerability of industrial control system is gradually exposed,so the security protection problem of industrial control system has became imminent. Compared with traditional IT system,industrial control system is significantly different in hardware and software resources,communication protocols and security goals. Therefore,it is impossible to achieve the security goals of industrial control system with single measurement and technology. It shall adopt the concept of defense in depth,divide different layers,to build the security protection architecture and implement multiple protections. The common security protection devices and technologies include industrial firewall,intrusion detection/defense,active defense,security audit,etc. However,there is neither quantitative security protection evaluation standard nor the evaluation or assessment authority available now,so it is impossible to evaluate effectively the vulnerability of industrial control system as well as the security protection levels. In addition,under the new situation of intelligent manufacturing,it shall be considered from the points of overall design,system development,operation and maintenance,testing and assessment,to create a coordinating security and functional safety solution of the whole life cycle.

Industrial control system; Information security; Security protection; Defense in depth; Industrial firewall; Intrusion detection/defense; Active defense; Security audit

區(qū)和堅(1960—)，男，碩士，高級工程師，主要從事先進制造和自動化技術領域國家科技項目的研究和管理工作。 E-mail:ohj@htrdc.com。

TH165；TP273

A

10.16086/j.cnki.issn1000-0380.201707002

修改稿收到日期：2017-05-05