工業控制系統網絡安全現狀及解決方案

伍錦榮

(中國石油化工股份有限公司 廣州分公司，廣東 廣州 510726)

工業控制系統網絡安全現狀及解決方案

伍錦榮

(中國石油化工股份有限公司 廣州分公司，廣東 廣州 510726)

工業控制系統廣泛應用于工業生產的各個領域且起著重要的作用,工業控制系統網絡的信息化和通用化使系統面臨前所未有的威脅。通過對當前工業控制系統網絡安全的現狀分析，總結工業控制系統的網絡安全特點，對工業控制系統網絡的安全策略展開研究，給出當前工業控制系統網絡安全的具體解決方案。

工業控制系統 信息化 網絡安全 解決方案

自從2010年伊朗布什爾核電站的“震網病毒”事件影響后，工業控制系統的網絡安全問題開始成為網絡安全領域的焦點。工業控制系統從發展的開始就著眼于系統的可靠性和可用性，隨著應用和相關技術的不斷發展，工業控制系統越來越多地采用通用的計算機硬件和軟件技術及以信息技術(IT)為基礎的通用通信協議。同時，工業控制系統通過各種數據采集網絡與生產執行系統(MES)等管理系統網絡相聯。工業控制系統已從原來封閉的“信息孤島”逐步發展成為互聯互通的系統，網絡安全面臨著巨大的威脅。由于工業控制系統已被廣泛應用于社會生產的各個領域，特別是能源、石化、冶金、水利、交通等關乎國家安全和國計民生的行業，當系統受到病毒、木馬感染或網絡攻擊而發生事故時所產生的經濟、環境和社會影響都是十分巨大的。因此，必須按照有關法規和規范，結合工業控制系統網絡安全的特點，加快研究和實施行之有效的防范措施和解決方案，切實保障生產安全。

1 工業控制系統網絡安全現狀

工業控制系統通常是指分散控制系統(DCS)、數據采集與監控系統(SCADA)、可編程控制器系統(PLC)、工業控制計算機系統(IPC)、機組控制系統(CCS)、安全儀表系統(SIS)、先進控制(APC)等控制系統[1]。由于應用領域、行業規范、使用習慣以及工控系統廠商等眾多不同，工業控制系統呈現出多樣化和復雜化的特點。同時，IT化和網絡互聯的快速發展，使得工控系統網絡安全的形勢更趨嚴峻。當前，工業控制系統網絡的威脅來源主要有： 系統存在的高危漏洞、工業網絡病毒、關鍵設備的“后門”、高級持續性威脅(APT)以及無線技術應用的風險等。

1.1 安全設計缺失

工業控制系統被攻擊的行為出現較大增長是近十年的事情，對于大量的存量工業控制系統，存在網絡安全設計嚴重缺失的問題。制造廠商在設計時主要考慮的是工業控制系統的可靠性與可用性，容易忽略控制系統本身的安全性，系統沒有有效的安全防護策略或方法，普遍存在網絡架構“無縱深”、系統應用“無防護”和“無監測”的狀態。系統的應用平臺、控制器的固件程序、通用的通信協議以及操作管理界面軟件(HMI)等都存在各種漏洞或缺陷，使得系統對網絡的安全防護嚴重不足，容易感染網絡病毒、木馬等，甚至被利用和攻擊。公開的統計數據表明,2010年后新發現的工業控制系統漏洞呈快速增長的趨勢。石化行業常用的國外工業控制系統,如西門子(Siemens)、研華(Advantech)、施耐德(Schneider)、羅克韋爾自動化(Rockwell Automation)產品漏洞數量占前4名,國產工業控制系統的漏洞問題也開始引起注意。

1.2 工業控制系統網絡安全規范尚未完善

企業在應用工業控制系統時缺乏明確的安全設計、測試和驗收標準，而且工業控制系統的安全測估體系也不夠健全。缺少專業的工業控制系統網絡安全檢測機構，對不同行業、不同應用、不同軟件固件版本等的工業控制系統缺乏有說服力的檢測和評測依據。

當前，國家已加緊制定相關的標準，結合國際的標準體系,如IEC 62443《工業過程測量、控制和自動化網絡與系統信息安全》和ISO/IEC 27000《信息安全管理系統》等，制定了GB/T 30976—2014《工控系統信息安全》標準。針對不同行業工業控制系統差異大的特點，部分行業如電力、核電等也在制定具有行業特點的安全標準、規范或規定，中石化在2011年制定了《中國石化信息系統安全管理辦法》，并在2015年作了修訂。這些標準、規定或辦法對實際的工業控制系統運行、維護有一定的幫助，但指導性和可操作性仍然明顯不足。

1.3 缺少對工業控制系統網絡有效的隔離方案和設備

由于工業控制系統網絡的多樣性和復雜性，針對具體的應用，如不同的操作系統和應用軟件版本、控制器和通信接口卡固件版本等，缺乏第三方的加固、網絡隔離設備。同時，對加固、網絡隔離設備的適用性也缺乏有效的評估、驗證依據。對出現的一些工業控制系統的安全加固、網絡隔離設備，也由于病毒、木馬和網絡攻擊的隱蔽性和不確定性而缺乏適用性以及穩定性的測試、考驗和經驗，使用效果難以評定而推廣應用緩慢。

1.4 安全管理意識不夠

許多企業對工業控制系統網絡安全的意識薄弱，還沒有建立全生命周期安全管理的理念，特別是在建設、運行和維護過程中缺乏安全管理意識，沒有制訂合理的工業控制系統安全防護方案和管理制度，缺乏對設計、維護和操作人員在網絡安全方面的安全意識培訓，容易出現隨意和違規操作等問題，給工業控制系統的安全埋下安全隱患。典型的現象有： 隨意增加系統的通信接口或互聯；應用工業控制系統時忽視加固措施和防護技術手段；沒有防止“后門”的意識；對高級持續性威脅缺乏認識；隨意刪減系統安全加固環節；通信協議缺乏安全審計和權限校驗；使用簡單、默認的用戶名和密碼；沒有限制移動介質的使用；系統維護過程中沒有安全方面的監管；操作系統和應用軟件不做必要的補丁升級和漏洞修復；遠程訪問缺乏限制和防護手段；機房、控制室等重點場所管理監管混亂等。

2 工業控制系統網絡安全解決方案

2.1 安全特點

雖然工業控制系統采用大量IT技術，但與傳統的IT系統相比，工業控制系統網絡安全有自身的特點。主要有：

1) 系統功能、網絡架構和應用軟件相對固定。由于被控對象的功能、應用范圍和規模等相對固定，系統建成投用后不會輕易或頻繁變動。

2) 可靠性和可用性高。工業控制系統的生命周期長，通常達到15 a及以上，大多采用連續運行的工作模式，即每天24 h連續運行3～5 a，期間不允許因系統本身的問題引起停工。出現故障后恢復時間要求短。

3) 系統功能失效或發生故障時損失大、影響大，甚至引發重大安全事故。

4) 控制器層及以下仍較多使用私有協議，系統運行環境相對落后等。

2.2 安全策略

隨著工業控制系統IT化和通用化的不斷發展以及各種病毒、木馬和網絡攻擊技術的快速演變，加上工業控制系統網絡安全特點和重要性，使得工業控制系統面臨前所未有的網絡安全威脅，單一的防護技術，如防火墻、病毒查殺等已難以有效地全面保護工業控制系統的安全[2-4]。因此，工業控制系統網絡安全應按全生命周期進行管理，在防護規范和有關規定的指導下，從防護技術和安全管理上進行綜合研究，在設計、運行維護管理、異常監測、變更管理等各個方面，制訂完善的、可操作的防護對策和實施方案，既要按照IT系統的要求保障數據安全、內容安全，更要對工業控制系統進行安全風險評估，通過對系統漏洞的檢測，并采取有效的加固、防護措施，確保系統的網絡安全以保障系統的可靠運行。

1) 安全策略的發展。工業控制系統的安全防護策略在不斷發展之中，先后經歷了隔離、建立縱深防御體系、系統“免疫”機制和國家層面的攻防戰略研究等過程。

a) 隔離是最早使用的方法，指采取防火墻、網關、網閘等設備實現隔離并進行防護，屬于被動防御策略。隔離措施無法全面防御現代的高級持續性威脅。

b) 建立縱深防御體系是在隔離的基礎上，建立隔離區和入侵防護系統(IPS)，并配置有效的安全策略和事件響應機制等，是當前主要的網絡防護策略，有主動防御的能力。

c) 系統“免疫”機制是指在工業控制系統內部，通過硬件和軟件實現可定制的、可靠的持續性的防御策略。目前只有個別工控系統廠商提供相關的產品和方案。

d) 國家層面的攻防戰略研究是指在國家層面上，全面注重攻擊技術的研究、實驗和突破，建立攻防演示實驗室，以攻擊技術的提高，帶動防御技術的提高，以提高攻擊威懾力來換取系統安全性的策略。

2) 企業安全策略[5-7]。工業控制系統網絡安全解決方案目前主要是結合系統各層次的網絡安全需求，建立結合工業控制系統網絡安全特點的縱深防護架構。工業控制系統網絡通常分為五層，即從下到上分別為現場設備層、控制層、過程監控管理層、MES層和企業管理層。石化行業典型的系統網絡安全防護架構如圖1所示。除DCS，SIS一體化系統外，其他SIS、專用控制系統應通過RS-485，RS-422接口與Modbus協議，或通過硬接線與控制系統相連。SIS不應與MES或數據采集系統直接相連[8]。其核心是：

a) 縱向層與層之間進行隔離，橫向通過把工業控制系統網絡按照控制區域、裝置、單元功能等要求劃分，在相互隔離的區域內獨立進行隔離，共同防御來自網絡的病毒感染和網絡攻擊。

b) 加強過程監控設備防護，控制移動介質的使用來防止內部病毒、木馬通過移動介質侵入系統。

c) 建立安全監測系統實現主動的入侵安全監控，及時發現、報警、攔截和終止入侵。同時，采用“白名單”和“黑名單”結合、深度包檢測(DPI)、監測審計的方法，識別工控系統網絡中存在的非法操作、異常事件、外部攻擊等，并對其進行記錄、報警和阻斷[9]。

圖1 石化行業典型的系統網絡安全防護架構示意

2.3 解決方案

1) 應用工業防火墻和智能保護設備。應用防火墻和智能保護設備是目前IT網絡邊界防護和終端防護的常用方法。工業防火墻除了包括傳統防火墻的訪問控制、地址轉換、應用代理、流量控制等功能外，還能對TCP/IP等協議進行安全過濾，對工業控制系統應用層的主要協議如OPC，Modbus TCP，IEC 60870-5-104，IEC 61850 MMS，DNP3等進行深度解釋，實現對控制指令識別、操作地址和參數的提取等。智能保護設備是布置在各個終端節點上的網絡保護設備，防御來自外部、內部其他區域及終端的威脅。在企業管理層、MES層、過程監控管理層之間分別部署工業防火墻和智能保護設備，可以有效地保障系統的安全性和可靠性。

2) 過程監控設備防護。過程監控設備是指工業控制系統中使用的計算機，包括工程師站、操作站、歷史站、數采站和服務器等，也稱為工控主機。由于過程監控設備直接與控制器相連，因而過程監控設備的防護十分關鍵。防護的主要目的就是防止病毒、木馬通過過程監控設備侵入系統，措施有： 操作系統和應用軟件最小化安裝，減少不必要的應用；應用基于“白名單”和“黑名單”相結合的防護技術，在系統穩定運行后通過規則匹配、機器學習算法等方法獲取合法的“白名單”，有效發現病毒和網絡攻擊的異常情況；限制端口的使用，使用USB端口管控工具控制外部移動存儲設備的準入和應用，并對所有接入的移動存儲設備生成日志記錄；安裝系統允許的殺毒軟件，并定期升級病毒庫以保障病毒查殺的有效性；對操作系統軟件和應用軟件的補丁有效管理，使補丁修復及時、嚴密和風險可控。

3) 控制移動介質使用。移動介質包括U盤、移動硬盤、光盤、存儲卡等，體積小、容量大、使用便捷，在系統維護、數據備份等方面使用廣泛。控制移動介質的使用，就是對移動介質進行有效管控，防止病毒感染和傳播，防止惡意代碼通過移動介質實現擺渡滲透、潛伏并利用系統漏洞實現攻擊。

4) 部署工業控制系統安全監測系統。在工業控制網絡系統上部署主動的、智能的入侵防護系統，以旁路方式接入，通過數據流鏡像，主動采集工業控制系統的網絡數據進行分析，實時查找網絡的異常情況和攻擊線索，監測網絡的通信狀況，及時發現網絡攻擊和病毒的異常傳播，攔截所有可疑的數據包，終止入侵，保護系統不受攻擊。

5) 完善管理措施。完善有效的工業控制系統網絡安全管理措施是實現安全防護的關鍵。要建立相應的組織機構負責系統網絡的安全防護工作，制訂安全方針，明確職責，按照國家法規和有關規定對工業控制系統實行全生命周期管理，持續開展工業控制系統網絡安全風險評估，落實系統安全項目、系統安全升級等技術方案，采取切實可行的綜合防控措施，確保工業控制系統的安全穩定運行。同時，不斷總結有效防護經驗，全面培訓相關技術人員，制訂應急預案并進行演練，不斷提升安全防御水平。

3 結束語

工業控制系統網絡安全問題是當前工控安全領域的焦點，要結合IT技術和工業控制系統的特點，加快安全標準和規范的制定，按工業控制系統網絡安全的全生命管理來完善相關的管理制度和防護措施，提高工業控制系統網絡安全意識和防護水平，不斷解決工業控制系統網絡存在的問題，保障系統的安全運行和生產安全。結合工控系統的運行情況和應用維護經驗，有以下建議：

1) 建立管理機構并充分發揮其組織和實施協調作用，針對安全標準規范的滯后性和安全威脅的快速演變，加快完善具有行業特點、可操作性強的管理制度和規定并實施。

2) 對新建工控系統，要按新標準同時建設、同時部署、同時投用網絡隔離設備。對存量系統，應在安全風險評估的基礎上，根據系統的信息安全等級制定防護措施，并實現對應的防護要求。

3) 網絡隔離設備的應用、操作系統和應用軟件升級、固件程序漏洞補丁升級和病毒庫更新等必須經過嚴格的測試、驗證后才能實施。所有的加固措施和監測手段都不能影響系統的實時性和穩定性。

4) 結合行業系統網絡安全的特點和應用經驗，總結經過實踐證明的網絡隔離設備、解決方案進行推廣，進一步保障工業控制系統網絡和生產運行的安全。

[1] 中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 30976—2014 工業控制信息安全 第1部分： 評估規范[S].北京： 中國標準出版社，2014.

[2] 歐陽勁松，丁露.IEC 62443 工控網絡與系統信息安全標準綜述[J]. 信息技術與標準化，2012(03)： 26-29.

[3] 朱世順，黃益彬，朱應飛，等．工業控制系統信息安全防護關鍵技術研究[J]．電力信息與通信技術，2013(11)： 106-109.

[4] 張同光.信息安全技術實用教程[M].3版.北京： 電子工業出版社，2017.

[5] 張波．西門子縱深防御DCS信息安全方案在青島煉化項目的應用[J]．自動化博覽，2015(02)： 42-45.

[6] 陳紹望，羅琪，陸曉鵬．海洋石油平臺工業控制系統信息安全現狀及策略[J].自動化與儀器儀表，2015(05)： 4-5.

[7] 梁瀟，高昆侖，徐志博，等．美國電力行業信息安全工作現狀與特點分析[J]．電網技術，2011，35(12)： 221-228.

[8] 中華人民共和國住房和城鄉建設部，中華人民共和國國家質量監督檢驗檢疫總局.GB/T 50770—2013 石油化工安全儀表系統設計規范[S].北京： 中國計劃出版社，2013.

[9] 中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 30976—2014 工業控制信息安全 第2部分： 驗收規范[S].北京： 中國標準出版社，2014.

Current Situation and Solutions of Industrial Control System’s Network Security

Wu Jinrong

(Sinopec Guangzhou Company, Guangzhou, 510726, China)

s： Industrial control system(ICS) is now widely used in various fields of industrial manufacture. It plays an important role. The informatization and generalization of ICS network make it encounters unprecedented threats.Through discussion on current situation of ICS’s network security, the characteristics of ICS’s network security are summarized.The network security strategies of ICS are studied. Specific solutions for current ICS’s network security are provided.

industrial control system; informatization; network security; solutions

伍錦榮(1964—)，男，1995年畢業于廣東工業大學工業自動化專業，獲工學碩士學位，現就職于中國石化廣州分公司儀控中心，從事儀表自動化專業技術管理工作，任高級主任工程師。

TP 273

B

1007-7324(2017)04-0001-04

稿件收到日期： 2017-03-20，修改稿收到日期： 2017-06-06。