工業控制系統信息安全研究綜述

魏 祺

（華北電力大學 控制與計算機工程學院，北京 102206）

0 引 言

隨著工業化和信息化的飛速發展，互聯網技術越來越多地應用于工業化生產。工業控制系統（Industrial Control Systems，ICS）已經成為電力、水利、石油化工、冶金、航空航天及交通運輸等行業的基石，其中大部分涉及國計民生的關鍵基礎設施（如鐵路運輸、城市軌道交通、供排水等）都依靠工業控制系統實現自動化作業。為了適應當前工業控制領域的要求，提高工廠和企業管理的效率，過去物理隔離的工業控制系統正在越來越多地通過各種方式與互聯網等公共網絡連接。現在，工業控制系統正趨于使用通用的操作系統、通信協議、硬件和軟件、網絡互聯和無線設備等新興技術的發展，拓寬其發展空間，同時帶來了信息安全方面的問題。

1 工業控制系統安全現狀

根據工業安全事件信息庫（Repository of Industrial Security Incidents，RISI）的統計，截止2011年10月，全球已經發生的針對工業控制系統的重大攻擊事件的數量超過200起。2015年以來，我國每年發生的工業領域信息安全事件接近300起。典型的工業控制系統入侵事件出現在能源、電力、水利、交通運輸以及制造等行業。以下是各行業典型的工業控制系統入侵事件[1]。

2010年6月，伊朗Bushehr核電站遭受震網（Stuxnet）超級病毒攻擊，大量生產核燃料使用的離心機遭到破壞，病毒的復雜程度超出人們的想象，已經嚴重威脅其核反應堆的安全運營，伊朗被迫推遲其核計劃。

2014年12月，德國一家鋼鐵廠遭受高級持續性威脅（APT）網絡攻擊，攻擊者的行為導致該鋼鐵廠工業控制系統的控制組件和整個生產線被迫停止運轉，造成重大破壞。

2015年6月，波蘭航空公司的地面操作系統遭遇黑客攻擊，黑客通過網絡攻擊侵入了地面操作系統中的航班出港系統。該攻擊導致長達5 h的系統癱瘓，至少10個班次的航班被取消，1 400多名乘客滯留機場。

工業控制系統信息安全的威脅主要來自敵對因素、偶然因素、系統因素以及環境和自然因素。敵對因素主要是來自內部或外部的個體、專門組織或政府，通常采用包括黑客攻擊、數據操縱、間諜、病毒、蠕蟲、木馬和僵尸網絡等進行攻擊。偶然因素主要是來自內部或外部的專業人員、運行維護人員或管理員。由于技術水平的局限性和經驗的不足，這些人員可能會出現各種意想不到的操作失誤。系統因素主要是來自系統設備、安裝環境和運行軟件，如部件老化、資源不足或其他情況，造成系統設備故障、安裝環境失控及軟件故障。環境和自然因素主要是來自自然或人為災害、非正常的自然事件（如太陽黑子、臺風等）和基礎設施破壞。

2 工業控制系統安全獨特性

2.1 工業控制系統與IT系統的區別

工業控制系統與傳統IT（信息技術）系統之間的區別是工業控制系統信息安全研究的基礎和前提。從信息安全目標這一根本原則來看，傳統的CIA（機密性、完整性和可用性）優先級順序已不再適用于工業控制系統。工業控制系統的安全目標優先級順序正好與之相反，即遵循AIC（可用性、完整性、機密性）順序[2]。

2.2 工業控制系統安全獨特性的表現

2.2.1 安全威脅

工業控制系統的安全威脅一般是利用Windows操作系統、工業軟件系統以及開放的標準工業通信協議的多個漏洞進行攻擊。此外，專用的工業以太網通信協議在設計時并未考慮信息安全防護，存在安全漏洞。而IT系統的安全威脅主要來源于操作系統漏洞、TCP/IP協議、應用軟件漏洞以及病毒等[3]。

2.2.2 安全防護

工業控制系統關注工控系統和設備專用操作系統的漏洞、專用通信協議的實時性和安全性以及安全的傳輸能力。而IT系統關注通用操作系統的漏洞、TCP/IP協議簇的數據傳輸安全及資源非授權訪問等問題，安全防護能力較強。

2.3 工業控制系統安全防護體系

針對工業控制系統不同的攻擊類型，IEC 62443工控網絡與系統信息安全系列標準推薦采用縱深防御的理念來構建工業控制系統信息安全防護體系。縱深防御是指根據不同的安全需求把工業控制系統從外到內劃分為不同分區，不同的分區實施不同的安全策略，每個分區的邊界構成了防御線，因此每個分區連續的防御措施實現了深度防御，進而實現多層次的安全防護[4]。

3 工業控制系統常見安全防護技術

常見的工業控制系統信息安全防護技術包括以下幾種。

3.1 入侵檢測技術

在工業控制環境下，入侵檢測是針對工業控制系統的各個關鍵節點進行數據收集，提取反映系統行為的數據特征，然后根據設計的識別技術和檢測算法對入侵行為數據進行識別，以發現其中可能的攻擊行為的技術。

3.2 漏洞掃描與漏洞挖掘技術

漏洞掃描技術需要基于完整的工業控制網絡安全漏洞庫，依靠高效的漏洞掃描引擎和檢測規則的自動匹配技術，掃描工業控制網絡中的關鍵設備和軟件，檢測是否存在已知漏洞。漏洞挖掘技術主要分為靜態分析漏洞挖掘方法和動態分析漏洞挖掘方法[5]。靜態分析漏洞挖掘方法是指在程序非運行狀態下進行漏洞掃描的技術，包括靜態代碼審計、逆向分析和二進制補丁比對等方法。動態分析漏洞挖掘方法是指在程序運行狀態下進行漏洞掃描的技術，包括格式分析、黑盒測試等。

3.3 訪問控制技術

訪問控制技術的目標是限制對工業控制系統內部任何受保護資源的訪問，防止對任何資源進行未授權訪問。訪問控制技術的主要內容包括訪問控制策略、訪問控制模型和訪問控制框架。

3.4 工業防火墻技術

傳統的IT防火墻對防護工業控制系統的外部和內部入侵束手無策。在工業控制系統中，安全防護中需要使用工業防火墻技術。工業控制系統防火墻技術與IT防火墻技術相比，具有以下三個特點：（1）具備狀態檢測和訪問控制的功能；（2）對于工業控制協議（如Modbus TCP、OPC等）的支持能力；（3）能夠滿足工業控制系統高可靠性和實時性的要求。

3.5 態勢感知技術

態勢感知技術通過主動探測IP網絡空間，在檢索在線工業控制系統、關鍵信息基礎設施以及物聯網設備的同時，獲得設備詳細的系統信息、地理分布和安全隱患，是對區域內工業控制和物聯網設備進行在線監控、威脅量化評級、網絡安全態勢分析和安全預警的有效技術手段。

3.6 安全審計與安全加固技術

安全審計技術是指高效采集工業控制網絡中的數據，對工業控制網絡中的行為和流量進行實時審計，分析不合規的工業控制網絡數據并生成審計記錄。安全審計技術與工業控制網絡中的其他安全設備和措施如工業防火墻、入侵檢測技術等進行實時配合，有效保障工業控制系統的整體網絡安全。安全加固技術是對工業控制系統中的主機、系統及設備的脆弱性進行分析并修補，強調針對主機、系統和設備的加強級別的安全保護。