汽車工控系統(tǒng)信息安全管理

引言： 關(guān)于工業(yè)控制系統(tǒng)信息安全防護(hù)的指南，從11個方面對企業(yè)在工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維、評估的信息安全建設(shè)方面提供了操作依據(jù)。本文圍繞其中幾個方面來探討汽車行業(yè)的工控系統(tǒng)的信息安全建設(shè)。

在2016年11月份，國家相關(guān)部門發(fā)布了關(guān)于工業(yè)控制系統(tǒng)信息安全防護(hù)的指南，從11個方面對企業(yè)在工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維、評估的信息安全建設(shè)方面提供了操作依據(jù)。

筆者認(rèn)為該指南是對2011年所發(fā)布的關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的進(jìn)一步細(xì)化，將原來的6個要求進(jìn)行了細(xì)分：安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)、物理和環(huán)境安全防護(hù)、身份認(rèn)證、遠(yuǎn)程訪問安全、安全監(jiān)測和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實(shí)責(zé)任。下面筆者將圍繞其中的幾個方面來探討一下汽車行業(yè)的工業(yè)控制系統(tǒng)的信息安全建設(shè)。

信息安全工作無論是傳統(tǒng)IT領(lǐng)域還是工業(yè)控制領(lǐng)域，領(lǐng)導(dǎo)的重視永遠(yuǎn)是第一位的。即上述11個方面的落實(shí)責(zé)任：通過建立工控安全管理機(jī)制、成立信息安全協(xié)調(diào)小組等方式，明確工控安全管理責(zé)任人，落實(shí)工控安全責(zé)任制，部署工控安全防護(hù)措施。這是一個從上而下的工作。在建立工控安全管理機(jī)制之前，首先需要改變領(lǐng)導(dǎo)的觀念，以國家規(guī)范標(biāo)準(zhǔn)、通知、指南等為契機(jī)，從滿足合規(guī)性需求出發(fā)，結(jié)合汽車生產(chǎn)實(shí)際業(yè)務(wù)，分析當(dāng)前業(yè)務(wù)風(fēng)險(xiǎn)為主，向高層領(lǐng)導(dǎo)提供決策依據(jù)，引起高層領(lǐng)導(dǎo)足夠的重視。

在引起領(lǐng)導(dǎo)的重視和支持后，便可以開始搭建工控系統(tǒng)信息安全管理組織架構(gòu)和建立相應(yīng)的制度，務(wù)必明確責(zé)任。責(zé)任的明確便于后續(xù)措施的落地，否則就變成了紙上談兵。汽車行業(yè)不同于其他行業(yè)，工控系統(tǒng)一般用在生產(chǎn)車間，比如沖壓車間、車身車間、涂裝車間、總裝車間以及檢測線等。這些車間的工業(yè)控制系統(tǒng)的建設(shè)和維護(hù)又可能分屬兩個不同的部門管理，加上公司的信息化管理，對于工業(yè)系統(tǒng)來說屬于三方共管，如果責(zé)任不明確就會造成“三個和尚沒水喝”的現(xiàn)象。

在責(zé)任明確之后，便可以進(jìn)行現(xiàn)狀調(diào)研和風(fēng)險(xiǎn)分析。工業(yè)控制系統(tǒng)的信息安全問題已經(jīng)打破了人們普遍存在的“病毒很少能對工業(yè)控制系統(tǒng)造成危害”的意識。而由于諸多原因，目前工業(yè)控制性的安全防護(hù)措施與意識還相對薄弱。

工業(yè)控制系統(tǒng)因?yàn)闅v史上相對封閉的使用環(huán)境，工業(yè)控制系統(tǒng)在設(shè)計(jì)時多重視系統(tǒng)的功能實(shí)現(xiàn)，對安全的關(guān)注相對較少。不像傳統(tǒng)IT信息系統(tǒng)軟件設(shè)計(jì)時有嚴(yán)格的安全軟件開發(fā)規(guī)范及安全測試流程，這必然造成工業(yè)控制系統(tǒng)不可避免地會有較多的安全缺陷。即工業(yè)控制系統(tǒng)面臨的漏洞可能要比傳統(tǒng)的信息系統(tǒng)還要多。漏洞的風(fēng)險(xiǎn)較高。

“兩化融合”后，工業(yè)信息化、自動化領(lǐng)域的條件和要求也發(fā)生了深刻的變化，實(shí)時的生產(chǎn)控制、數(shù)據(jù)采集、指令發(fā)布、信息通信成為一種普遍需求。原有的物理隔離狀態(tài)已經(jīng)不能適應(yīng)新常態(tài)，不光是企業(yè)的辦公網(wǎng)、管理網(wǎng)以及其他業(yè)務(wù)網(wǎng)要實(shí)現(xiàn)工業(yè)控制系統(tǒng)互聯(lián)互通，就連Internet存在的各種安全威脅也成了本來就防御疏松的工控系統(tǒng)所不得不面對的嚴(yán)峻挑戰(zhàn)。各單位為實(shí)現(xiàn)管控一體化、綜合自動化的要求已催生了工控系統(tǒng)從物理隔離向邏輯隔離的保護(hù)模式的重大改變，導(dǎo)致生產(chǎn)控制系統(tǒng)不再是一個獨(dú)立運(yùn)行的系統(tǒng)。為滿足新的發(fā)展目標(biāo)，工業(yè)生產(chǎn)進(jìn)一步向信息化要效益。逐步催生工業(yè)控制系統(tǒng)向工業(yè)以太網(wǎng)結(jié)構(gòu)發(fā)展，而網(wǎng)絡(luò)的效能越凸顯，開放性就越來越強(qiáng)。大量的PC服務(wù)器和終端產(chǎn)品、通用的操作系統(tǒng)和數(shù)據(jù)庫也融入工業(yè)控制系統(tǒng)，很容易遭到來自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬、黑客的攻擊。

而工業(yè)控制系統(tǒng)管理人員安全意識淡薄，汽車生產(chǎn)車間一般由生技部門、生管部門負(fù)責(zé)，管理人員本身對信息安全就不夠重視，處于維護(hù)方便，設(shè)備維修時外聯(lián)的非授權(quán)筆記本、有意或無意插接的“帶病”移動硬盤等將給工控系統(tǒng)帶來極大的安全隱患，使得病毒與惡意代碼在工控系統(tǒng)中可以肆意橫行。而出于工控軟件和操作系統(tǒng)補(bǔ)丁、殺毒軟件兼容性考慮，對工控系統(tǒng)未進(jìn)行補(bǔ)丁修復(fù)和殺毒軟件安裝的情況又導(dǎo)致這一風(fēng)險(xiǎn)危害雪上加霜。

另一方面，由于安全意識缺乏，許多工業(yè)控制系統(tǒng)未對各系統(tǒng)組件進(jìn)行運(yùn)行狀態(tài)監(jiān)控，也未對使用者的日常操作行為加裝監(jiān)控和響應(yīng)技術(shù)手段，致使工業(yè)控制系統(tǒng)中的服務(wù)器、控制終端、網(wǎng)絡(luò)設(shè)備出現(xiàn)故障、使用人員的操作失誤和有意的危險(xiǎn)操作等問題未被及時發(fā)現(xiàn)，導(dǎo)致延遲響應(yīng)或影響正常運(yùn)行。

工業(yè)控制系統(tǒng)安全和傳統(tǒng)的信息安全不同，傳統(tǒng)的信息安全領(lǐng)域，通常認(rèn)為保密性優(yōu)先級最高，完整性次之，可用性最低；而在考慮工業(yè)控制系統(tǒng)時，則需要首先考慮系統(tǒng)的可用性，其次是完整性，最后才是保密性。

在初步分析了工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)后，接下來便是建立工業(yè)控制系統(tǒng)信息安全的防護(hù)體系。對照指南要求，查缺補(bǔ)漏。對于能即刻改進(jìn)的進(jìn)行立即優(yōu)化，比如物理和環(huán)境安全防護(hù)：拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無線等接口。若確需使用，通過主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問控制。對于筆者單位來說，工業(yè)控制系統(tǒng)信息安全技術(shù)防護(hù)體系比較薄弱，信息安全防護(hù)系統(tǒng)幾乎沒有，在工業(yè)網(wǎng)邊界，防火墻都為傳統(tǒng)的防火墻。基于此，筆者詳細(xì)調(diào)研了國內(nèi)的工控信息安全防護(hù)體系方案，針對汽車行業(yè)進(jìn)行了大致的分析，有不對的地方請批評指正。

圖1 工業(yè)控制系統(tǒng)架構(gòu)示意圖

目前國內(nèi)在工業(yè)控制系統(tǒng)信息安全技術(shù)防護(hù)方面大致分四個方向：工業(yè)防火墻、工業(yè)網(wǎng)監(jiān)測告警、工業(yè)網(wǎng)漏洞發(fā)現(xiàn)和工業(yè)網(wǎng)計(jì)算機(jī)（工控機(jī)等）端點(diǎn)防護(hù)。其中在汽車行業(yè)工控系統(tǒng)大多為國外系統(tǒng)，比如西門子、杜爾、ABB等，在漏洞發(fā)現(xiàn)和漏洞修復(fù)上對外依賴性較強(qiáng)，而修復(fù)漏洞對生產(chǎn)線造成的影響也不好估計(jì)，若因修復(fù)漏洞導(dǎo)致功能的可用性出現(xiàn)問題帶來的風(fēng)險(xiǎn)更大。而汽車行業(yè)工控系統(tǒng)的離線測試環(huán)境部署成本又較高，因此對于工業(yè)網(wǎng)漏洞發(fā)現(xiàn)和修復(fù)方面，從實(shí)施的角度建議放到最后考慮。即主要考慮工業(yè)防火墻、工業(yè)網(wǎng)監(jiān)測告警和工業(yè)網(wǎng)計(jì)算機(jī)端點(diǎn)防護(hù)上。

工控系統(tǒng)架構(gòu)大致都分為管理層、生產(chǎn)調(diào)度層和過程控制層，汽車行業(yè)也是如此，如圖1所示。

在圖中，將生產(chǎn)調(diào)度層和過程控制層劃分為工業(yè)網(wǎng)，將管理層劃歸到辦公網(wǎng)。在辦公網(wǎng)之間和工業(yè)網(wǎng)之間部署工業(yè)網(wǎng)防火墻，進(jìn)行邏輯隔離，并進(jìn)行嚴(yán)格的IP端口控制。

在工業(yè)網(wǎng)內(nèi)部署工業(yè)網(wǎng)監(jiān)測和告警系統(tǒng)，對四大車間的網(wǎng)絡(luò)匯聚部署監(jiān)控探頭，收集工業(yè)網(wǎng)內(nèi)數(shù)據(jù)到監(jiān)控中心，通過建立現(xiàn)有資產(chǎn)白名單和協(xié)議分析，發(fā)現(xiàn)工業(yè)網(wǎng)內(nèi)出現(xiàn)的可疑IP和設(shè)備，并制定告警規(guī)則，對大量發(fā)包、違規(guī)外聯(lián)等現(xiàn)象進(jìn)行及時發(fā)現(xiàn)和處理。

而對于工業(yè)網(wǎng)內(nèi)的工程師站、操作員站等計(jì)算機(jī)在實(shí)施工業(yè)網(wǎng)端點(diǎn)防護(hù)系統(tǒng)。工業(yè)網(wǎng)端點(diǎn)防護(hù)系統(tǒng)和傳統(tǒng)的殺毒軟件不同，工業(yè)網(wǎng)端點(diǎn)防護(hù)系統(tǒng)基于白名單或者可信進(jìn)程原理，沒有病毒木馬庫，在實(shí)施中需要學(xué)習(xí)和記錄正常情況下工程師站和操作員站的計(jì)算機(jī)進(jìn)程和其他特征，然后進(jìn)行封存，對于封存后所有的異常進(jìn)程或者行為進(jìn)行攔截和阻斷。

最后，工業(yè)控制系統(tǒng)的信息安全中最重要的因素還是人。技術(shù)措施的落地還是靠人的執(zhí)行力去推動，只要我們從意識上重視起來，無論是工業(yè)網(wǎng)還是辦公網(wǎng)，信息安全管理都能順利執(zhí)行，生產(chǎn)業(yè)務(wù)才能得到安全保障。以上為筆者的一點(diǎn)看法，不足之處請多多指正。