工業控制系統：打破“信息孤島”，還需安全先行

何志鵬

在工業生產環節，過程生產連續不可間斷的高可靠性，要求控制網絡具備更高的安全性。

工業控制系統（Industrial Control Systems， ICS），是由各種自動化控制組件和實時數據采集、監測的過程控制組件共同構成。其組件包括數據采集與監控系統（SCADA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED），以及確保各組件通信的接口技術。廣泛運用于石油、石化、冶金、電力、燃氣、煤礦、煙草以及市政等領域，用于控制關鍵生產設備的運行。

一旦工業控制系統信息安全出現漏洞，將對工業生產運行和國家經濟安全造成重大隱患。在一般信息化系統里可以存在安全漏洞，不斷有新的補丁出現，計算機可能會死機、暫停，而這些如果發生在控制網絡里，帶來的危險和影響幾乎是不可想象的。

獨特的工業控制系統安全

工業控制系統與傳統的信息系統安全存在一些差別。在制定工業控制系統的安全方案時，無法回避工業控制系統的一系列特殊性要求：性能要求方面工業控制系統相對一般信息系統要求實時性要求較高，吞吐量通常不會過大，無法接受相對較高的延遲及抖動；可用性方面來講，類似重新啟動這樣的響應通常是無法接受的。一般都要求冗余系統，斷電操作要提前若干天來進行計劃。針對可用性一般需要通過高可用性測試后的系統才會上線運行；風險管控方面，最需要保護的不再是數據安全而是人身安全以及生成過程。對于機器故障和停機是無法接受的風險；工業控制系統的操作系統種類較多或專用，通常沒有內在的信息安全能力。要對系統進行修改需要非常謹慎；工業控制協同存在較多的專用協議，并且這些協議運行在更加復雜的網絡環境之下。

為滿足可用性而犧牲安全，是目前工業控制系統存在的主要現狀，沒有切實可行的安全策略與管理流程也給工業控制系統的信息安全帶來了一定的威脅。主要表現在對系統的設計本事就缺發整體架構、沒有配套的安全策略和流程、缺乏專業的安全培訓。

病毒的泛濫是目前信息安全的首要問題。我國的信息化系統，長期面臨大規模的病毒爆發的考驗。目前全球已發現數萬種病毒，并且還在以每天數十余種的速度增長。除了傳統意義上的具有自我復制能力但必須寄生在其它實用程序中的病毒外，各種新型的惡意代碼也層出不窮，如陷阱門、邏輯炸彈、特洛伊木馬、蠕蟲、Zombie等。新型的惡意代碼具有更強的傳播能力和破壞性。例如蠕蟲，從廣義定義來說也是一種病毒，但和傳統病毒相比最大不同在于自我復制過程。隨著工業信息系統的互聯互通病毒或惡意代碼的傳播將成為最主要的安全威脅。

由于Windows平臺的技術架構現廣泛應用于控制系統的工程師站。而在工業控制系統中，工程師站是實現與上層應用通信的主要網絡結點，因此其操作系統的漏洞就成為了整個控制網絡信息安全中的一個定時炸彈。

隨著TCP（UDP）/IP協議被控制網絡普遍采用，網絡通信協議漏洞問題變得越來越突出。TCP/IP協議簇最初設計的應用環境是美國國防系統的內部網絡，這一網絡是互相信任的，因此它原本只考慮互通互聯和資源共享的問題，并未考慮也無法兼容解決來自網絡中和網際間的大量安全問題。當其推廣到社會的應用環境后，安全問題發生了。所以說，TCP/IP在先天上就存在著致命的安全漏洞。

工業控制系統安全策略

應用系統軟件應當使用白名單技術，只允許經過工業企業自身授權和安全評估的軟件運行。對各類軟件進行充分的離線測試，確保其最小范圍的開放應用端口。

日常完善工業控制系統中各類設備的的安全配置，建立工業控制系統配置清單，定期進行配置審計。對配置變更需要進行影響分析，進行配置變更前需要進行安全測試。密切關注重大工控安全漏洞及其補丁發布，及時采取補丁升級措施。在補丁安裝前，需對補丁進行嚴格的安全評估和測試驗證。

通過工業防火墻、網閘等防護設備對工業控制網絡安全區域之間進行邏輯隔離安全防護。

對重要工程師站、數據庫、服務器等核心工業控制軟硬件所在區域采取訪問控制、視頻監控、專人值守等物理安全防護措施。拆除或封閉工業主機上不必要的USB、光驅、無線等接口。若確需使用，通過主機外設安全管理技術手段實施嚴格訪問控制。

在工業主機登錄、應用服務資源訪問、工業云平臺訪問等過程中使用身份認證管理。對于關鍵設備、系統和平臺的訪問采用多因素認證。合理分類設置賬戶權限，以最小特權原則分配賬戶權限。強化工業控制設備、SCADA軟件、工業通信設備等的登錄賬戶及密碼，避免使用默認口令或弱口令，定期更新口令。加強對身份認證證書信息保護力度，禁止在不同系統和網絡環境下共享。

嚴格禁止工業控制系統面向互聯網開通HTTP、FTP、Telnet等高風險通用網絡服務。確需遠程訪問的，采用數據單向訪問控制等策略進行安全加固，對訪問時限進行控制，并采用加標鎖定策略。確需遠程維護的，采用虛擬專用網絡（VPN）等遠程接入方式進行保留工業控制系統的相關訪問日志，并對操作過程進行安全審計。

在工業控制網絡部署網絡安全監測設備，及時發現、報告并處理網絡攻擊或異常行為。在重要工業控制設備前端部署具備工業協議深度包檢測功能的防護設備，限制違法操作。

制定工控安全事件應急響應預案，當遭受安全威脅導致工業控制系統出現異常或故障時，應立即采取緊急防護措施，防止事態擴大，定期對工業控制系統的應急響應預案進行演練，必要時對應急響應預案進行修訂。

對靜態存儲和動態傳輸過程中的數據應當進行保護，根據風險評估結果對數據信息進行分級分類管理。對于關鍵業務數據應當定期備份，對測試數據進行保護。endprint