工業控制系統網絡安全產品研究分析

康天嬌 鄒春明

摘? ?要：工業控制系統（ICS）的設計多以高可用性、高控制性、高實時性為目標，完整性和保密性優先級次之。隨著工業化和信息化的發展，工業控制系統安全性也面臨很大的威脅。為了提高工業控制系統的安全，借助工業控制系統專業信息安全產品進行加固是主要措施之一。本文主要介紹了工業控制系統信息安全產品的特點、分類、廠商類型，并結合2017-2018年的銷售許可檢測數據進行統計分析。

關鍵詞：工業控制系統;工業控制系統信息安全產品;信息安全

Abstract： Industrial control systems （ICS） are designed with high availability， high control， and high real-time design， followed by integrity and confidentiality. With the development of industrialization and information technology， the safety of industrial control systems is facing a great threat. In order to improve the safety of the industrial control system， reinforcement by means of industrial information security products is one of the main measures. This paper mainly introduces the characteristics， classification， manufacturer type of industrial control information security products， and combines the sales license test data of 2017-2018 in the last two years for statistical analysis.

Key words： ICS; ICS information security products; information security

1 引言

工業控制系統（Industrial Control Systems，ICS）是指由計算機與工業過程控制部件組成的自動控制系統，由控制器、傳感器、傳送器、執行器和輸入輸出接口等部分組成。這些組成部分通過工業通信線路，按照一定的通信協議進行連接，形成一個具有自動控制能力的工業生產制造或加工系統。

工業控制系統的子系統或功能組件包括但不限于分布式控制系統（DCS）、數據采集與監視控制（SCADA）系統、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED）等相關信息系統，目前已廣泛應用于電力、水力、石化、醫藥、以及汽車、航天等工業領域，是國家關鍵基礎設施的重要組成部分。

現代的工業控制系統網絡，很多依靠于商業信息技術和Internet領域的操作系統、開放協議和通信技術，這些技術已被證明存在著脆弱性。通過將工業控制系統連接到互聯網或其他公共網絡，工業控制系統脆弱性就暴露給潛在的攻擊者。常見的脆弱性漏洞包括極易受到攻擊的DCOM協議、應用軟件的多樣性以及工業控制現場中幾乎從不更新Windows操作系統補丁的工程師站以及操作員站等。

工業控制系統信息安全問題的日益凸顯促使我國各職能部門出臺了相應的政策和要求，指導和引領工控系統信息安全領域的技術和應用的進步。2012年及2013年國家發改委組織的年度國家信息安全專項中扶持的領域均包括工業控制領域，支持的產品包括工控防火墻、面向現場的工業控制安全網關、安全RTU等。通過部署工業控制系統信息安全產品（如工業控制防火墻、工業控制審計、工業控制安全管理品臺、工業控制隔離、主機白名單等）對系統進行加固，來保障工業控制系統的安全。

2 工業控制系統信息安全

2.1 工業控制系統信息安全特點

工業控制系統信息安全是針對工業控制系統的信息保護而言的，其信息安全基本需求主要包括三個特點。

（1）可用性：對于工業控制系統，可用性優先級最高。工業控制系統的過程一般是連續的，在運行過程中不能接受意外的中斷。許多的工業控制系統為了保證生產運行的連續性，不允許隨便停止和啟動。對于采用典型的信息技術策略中重啟一個組件、服務等通常在工業控制系統中是不能接受的。

（2）完整性：工業控制系統完整性指數據未被授權篡改，系統未被非法操縱，按照既定的目標運行，其優先級次之。

（3）保密性：對于工業控制系統，保密性優先級最低。但是，工業控制系統也需配置必要的授權訪問，保護信息系統不被未授權訪問，防止信息盜取事件的的發生。

2.2 工業控制系統與信息技術系統區別

前面提到工業控制系統的信息安全需求主要包括三個方面。而在信息技術系統中，通常認為保密性的優先級最高，完整性次之，可用性最低。此外，工業控制系統與信息技術系統在系統結構及應用上也有很大的區別。如表1所示，總結了工業控制系統與信息技術系統主要差異。

由于工業控制系統和信息技術系統之間的結構、業務和風險的差異，產生了在應用網絡安全和業務戰略時增長的復雜性需求。一個由控制工程師、控制系統運營商和信息技術安全專業人員構成的跨職能團隊，應當緊密合作以理解安裝、操作與維護與控制系統相關的安全解決方案時可能產生的影響。工作于工業控制系統的信息技術專業人員在部署之前需要了解信息安全技術的可靠性影響。

3 工業控制信息安全產品

3.1 工業控制信息安全產品的需求與特點

如前所述，工業控制網絡與信息技術網絡存在的較大的差別：信息技術網絡基本都是開放互聯，設備及軟件更新頻繁，使用周期一般在5年左右，通信均采用通用的規范，吞吐量等性能要求高，對信息安全的需求是保密性優先;其次是完整性和可用性，工業控制系統相對封閉，對可靠性要求非常高，使用周期在15～20年左右，通信協議五花八門，通常每個廠商會自己開發一套協議，系統及內部通信相對穩定，對延時要求高，若遭受破壞時，通常后果非常嚴重，其對信息安全需求首先保障可用性，然后才是完整性和保密性。

因此，相對傳統的信息技術信息安全產品，工業控制信息安全產品有其自身技術特點。

（1）對產品自身的可靠性要求較高。特別是串接在系統中的設備，不能因為安全產品出現故障而影響整個系統的運行。

（2）對部署在現場的設備，要求低延時，并具有良好的環境適應性（電磁兼容、溫濕度等）。

（3）廣泛采用白名單技術，即確定為正常行為之外的操作或通訊均認為是異常。

（4）行業性較強。不同行業的工控系統也存在著較大的差異，工業控制信息安全產品也具有較強的行業性，如電力網閘、縱向加密裝置等僅應用于電力系統。

3.2 工業控制信息安全產品分類

從產品的保護對象、防護功能來看，工業控制信息安全產品主要分為三類。

（1）邊界防護類

這類產品通常以串接的方式工作，部署在工業控制以太網與企業管理網絡之間、工廠的不同區域之間、控制層與現場設備層之間。通過一定的訪問控制策略，對工業控制系統邊界、工業控制系統內部區域邊界進行保護。工業控制防火墻、工業控制隔離產品均屬于邊界防護類。由于這類產品是串接方式部署，同時具有阻斷的功能，產品的穩定可靠、功能安全要求較高，產品的異常將會對工業控制系統的正常運行帶來直接影響。

（2）審計監控類

這類產品通過鏡像接口分析網絡流量，或者通過代理及設備的通用接口進行探測等方式工作，及時發現網絡流量或設備的異常情況并告警，通常不會主動去阻斷通信。該產品主要包括工業控制審計產品、工業控制入侵檢測產品、工業控制漏洞掃描及挖掘產品、工業控制安全管理平臺等。這類產品自身的故障不會直接影響工業控制系統的正常運行，也更容易讓用戶接受。

（3）主機防護類

工業控制系統部署有一定數量的主機設備，如工程師站、操作員站等。這些設備往往是工業控制系統的風險點，病毒的入侵、人為的誤操作等威脅主要都是通過主機設備進入工控系統。因此，有必要對這些主機進行一定的防護。主機防護產品主要為白名單產品，通過在主機上安裝代理程序，限制只有可信的程序、進程才允許運行，防止惡意程序的侵入。

3.3 工業控制信息安全產品的統計分析

根據公安部32號令，我國對信息安全專用產品（包括工業控制信息安全產品）實行銷售許可制度， 由授權的檢測機構，依據相應的國家標準、公共安全行業標準、授權檢測機構的檢驗規范等進行檢測，并進行安全性測試。滿足標準要求并通過安全性測試的產品，則由公安部網絡安全保衛局頒發計算機信息系統安全產品銷售許可證。

目前，正式實施的工業控制信息安全產品標準較少，除工業控制系統安全管理平臺和工業控制系統IDS等幾乎沒有其他的正式針對性標準發布。針對此現狀，主要采用的處理方式：一是依據對應的IT信息安全產品標準，增加工控安全補充要求，刪減部分對工控系統不適用的條款，如工控防火墻;二是依據IT信息安全產品標準，增加工業控制協議支持要求，而不對具體條款做調整，如工業控制審計、工業控制隔離產品;三是完全依據IT信息安全產品標準，如電力的縱向加密裝置，依據VPN產品標準;四是由于標準總是滯后于產品的發展，檢測機構起草針對性的檢驗規范，如文件加載控制產品（主機白名單產品）。

本文基于計算機信息系統安全專用產品銷售許可服務平臺2017-2018年的銷售許可檢測數據情況進行統計分析。

由于銷售許可檢測周期為2年，因此最近2年的數據基本可以反映市場的總體情況。如圖1所示是工業控制系統信息安全產品2年（2017-2018年）的檢測情況。

從圖1中可以得出：

（1）2017-2018年市場上產品總數約為264款;

（2）2017-2018年產品數量增幅61.38%;

（3）2017-2018年產品不合格率分別為7.92%、4.29%，有一定減少;

（4）2017-2018年占信息安全產品比例分別為8.23%、10.93%，有一定提高。

如表2和圖2所示是進一步針對每一類型工業控制信息安全產品市場檢測量的年度統計分析。

從圖2中可以得出：

（1）工業控制防火墻、工業控制隔離、工業控制審計、工業控制安管平臺、主機白名單及電力縱向加密裝置（VPN）占據了絕大比例;

（2）其他產品（主要包括工業控制主機防護裝置、工業控制IDS、工業控制掃描等），數量相對較少。

4 工業控制信息安全產品廠商

工業控制信息安全產品廠商在工業控制安全領域有著重要的地位和作用，也不僅是簡單提供工業控制信息安全產品，通常會提供信息安全評估服務，依此來推動產品的銷售。在產品部署方面，通常用戶單位會以信息安全改造、新建系統的信息安全集成方式，由廠商來提供統一的安全服務。

4.1 工業控制信息安全產品廠商類型

由于工業控制安全有著巨大的市場需求，特別是在以后工業控制等級保護推進的情況下，工業控制安全市場將還會有跨越的發展。基于當前的市場需求以及良好的市場潛力，近年來出現了一批工業控制信息安全產品廠商，主要來自四個方面。

（1）原來從事工業控制相關工作，現在開始涉足工業控制信息安全，如和利時、浙大中控、南瑞等。這類廠商以工業控制設備（PLC、DCS等）提供商為主，他們一方面把信息安全技術融合到工業控制設備中，另外一方面也開發工控安全專用產品，可以對已有系統提供加固措施，也能為新建系統提供集成安全解決方案。這類廠商對工業控制有著深入理解，其安全產品架構上往往會參考工業控制設備的一些實現和要求，與自家的工業控制設備兼容度高。

（2）原來從事傳統信息安全的企業，現在也開始做工業控制安全產品，如綠盟、啟明星辰、安恒、藍盾、360等。這類廠商對信息安全非常了解，但是對工業控制的一些需求了解有限，主要通過引進工業控制領域人才，共同完成產品的研發。工業控制系統運營單位，也會有傳統信息技術的信息安全需求，與這些廠商有著一定的合作，在有工業控制安全需求時，這類廠商就能順勢介入。目前，國內絕大部分大型的傳統信息安全企業都有涉足工業控制安全，有些已經推出了成熟的產品，有些還在做前期的技術儲備。

（3）也有少量公司，原來就主要從事工業控制信息安全方面工作，主要針對電力行業，電力行業工業控制安全市場起步早、需求占比大，早在2005年，原電監會就提出了電力二次系統安全防護要求，因此也有些公司從事安全相關工作，如珠海鴻瑞、天地和興等。這些廠商原來專注于本行業，現在也在努力向其他行業拓展。

（4）新成立的公司（2010年之后），專注于工業控制安全，由于看好工業控制安全市場，也有些新成立，主要面向工業控制安全的公司，如威努特、網藤等。

從統計數據來看，絕大部分廠商僅提供單款工業控制信息安全產品。部分綜合型的廠商，提供的產品類型相對比較全面，甚至有些無法及時提供某些產品的時候，會OEM其他廠商的產品，主要是為了能夠提供工業控制系統整體的信息安全解決方案。

4.2 工業控制信息安全產品廠商數量及分布

基于2017-2018年送檢的工控產品廠商的數據統計，工控信息安全產品廠商絕大部分為國內廠商，目前涉及的國外廠商極少，具體約占比如圖3所示。

從圖3中可以看出，檢測廠商絕大多數為北京企業，約占比63%;其次是長三角（江浙滬）以及其他地域（包括山東、廣州、湖南、福建、黑龍江等）。

5? 結束語

目前對工業控制系統進行安全防護，主要采用的是控制器以上的安全產品，比如工業控制防火墻、工業控制IDS等;采用應用層協議主要包括Modbus TCP、OPC等。對于控制器以下層面的產品，以及控制系統所支持的協議的廣泛性是進一步研究的重點。結合信息系統安全技術以及工業控制系統自身特點，建立工業控制系統安全管理體系和防護體系，加強針對工業控制系統的等級保護工作和相關防護技術的研發，以保障我國工業控制系統的安全運行。

參考文獻

[1] 姚羽，祝烈煌，武傳坤.工業控制網絡安全技術與實踐[J].北京：機械工業出版社，2018.

[2] 張帥.工業控制系統安全風險分析[J].信息安全與通信保密， 2012（3）：15-19.

[3] 鄒春明，鄭志千，劉智勇.電力二次安全防護技術在工業控制系統中的應用[J].電網技術，2013.

[4] 夏春明，劉濤，王華忠，吳清.工業控制系統信息安全現狀及發展趨勢[J].信息安全與技術，2013（2）：13-18.

[5] 田原.工業控制系統信息安全淺析[J].自動化博覽工業控制系統信息安全專刊，2014（11）：68-70.

[6] 蔡皖東.工業控制系統安全等級保護方案與應用[M].國防工業出版社，2015.

[7] 肖建榮.工業控制系統信息安全[M].北京：電子工業出版社，2015.