工業控制系統信息安全淺析

權京濤 郎偉

隨著科技發展，工業控制系統信息安全問題逐漸顯現，本文就工業控制系統定義，工業控制系統與傳統IT系統的區別及工業進行了闡述，最后對工業控制系統信息安全常見問題及防護技術進行了介紹。

工業控制系統相關基本概念

工業控制系統是由各種自動化控制組件以及對實時數據進行采集、監測的過程控制組件，共同構成的確保工業基礎設施自動化運行、過程控制與監控的業務流程管控系統。常見的工業控制系統包括數據采集與監控系統、分布式控制系統、可編程控制器、能源管理系統和安全儀表系統等。

工業控制系統存在的主要安全問題

1.核心技術受制于人

當前我國重要關鍵設備和基礎軟件絕大多數采用國外產品，操作系統、數據庫、服務器、數據存儲設備、網絡設備等高度依賴國外產品和技術，其中96%的操作系統、94%的數據庫、83%的服務器、86%的數據存儲設備以及59%的網絡設備均為國外品牌。從重要的工業控制系統來看，53%的SCADA系統、54%的DCS系統、99%的大型PLC、92%的中型PLC、81%的小型PLC以及74%的組態軟件均為國外產品。

2.防護水平相對落后

工業控制系統設計之初就處于與外網隔離狀態，因此并未考慮信息安全問題，隨著工業互聯趨勢逐步發展，使原本脆弱的工業控制系統要同時面臨來自內外網的更為復雜的安全風險。國家工業信息安全發展研究中心數據顯示我國工控企業存在一些普遍的安全問題，比如：安全漏洞、缺乏有效的安全配置策略、外網邊界容易被突破、內網邊界訪問控制缺失、安全防護設備缺失、工控設備普遍開啟遠程訪問、工控設備弱口令及默認密碼未修改等問題。

3.網絡攻擊風險持續加劇

近年來，工控系統已成為網絡攻擊的重要目標，比如伊朗“震網”病毒、烏克蘭電網被黑以及美國遭受DDOS攻擊導致大面積斷網等事件頻發。具不完全統計，2017年，近40個國家對我國工業控制系統進行了網絡攻擊，數量達到112 509次，這些攻擊主要來自美國等發達國家。

4.工業控制安全管理機制尚需完善

2016年10月，工業和信息化部印發《工業控制系統信息安全防護指南》（以下簡稱《指南》），指導工業企業開展工控安全防護工作。

目前，我國工控安全管理工作中仍存在不少問題，主要包括：各地區、部門、工業企業對工業控制系統安全認識不足導致重視不夠，人員安全意識、風險意識不足，企業工業控制系統安全管理制度不健全，技術防護措施不到位，工控安全專人人員缺乏，安全防護能力和應急處置能力不高等，都威脅工業生產安全。

工業控制系統信息安全常用防護手段

1.網絡安全測試工具

常用的網絡安全測試工具既包括IT領域的測試工具，也包括針對工業控制領域的測試工具，主要包括系統發現命令工具、端口掃描工具以及網絡協議分析工具。

需要注意的是，沒有一個工具可以解決所有漏洞檢測和挖掘問題，通常需要綜合使用各種測試手段，一般來說測試應在離線或非真實運行的狀態下進行。

2漏洞挖掘技術

漏洞挖掘就是要找出軟件對異常情況處理不正確的地方，目前主要手段就是模糊測試。模糊測試，就是構造異常的數據包發送給被測試設備，然后觀察被測試設備對異常數據包的反應。進行漏洞挖掘，就是要找到更多的未知漏洞。相比協議一致性測試和性能測試，漏洞挖掘發送的數據包是除正常數據包以外的無限種可能。

3.白名單技術

白名單是一個列表或者是實體的注冊表，在列表上的實體是可以接受、獲準和認可的，和白名單相反，黑名單是確定被拒絕、不被承認還有排斥的實體列表，常見的白名單有用戶白名單、資產白名單以及應用程序白名單等。白名單技術可以有效抵御“零日”漏洞攻擊和其它有針對性的攻擊，也可以提供程序警報，同時還有利于保持系統以最佳性能運行，從而提高工作效率。

對于正在運行的應用、工具和進程來說，白名單技術可以提供對系統的全面可視性。白名單能夠幫助抵御高級內存注入攻擊。同時，白名單技術也具有一定的局限性，比如授權IP可能會發送非法交易、授權的端口可以轉換非法協議的數據等，因此實際應用中需要結合黑名單技術才能更加完善。