工業控制系統的完整性與運行安全

文/趙國璽

ICS 系統的完整性管理——本文總結了目前ICS 系統面臨的挑戰，闡述了如何利用國際石油企業證明的PAS 獨特的解決方案來強化ICS 系統，以及從成熟的解決方案中獲得的好處。

工業控制系統（Industrial Control Systems， 是SCADA、DCS、PLC、ITCC/CCS、SIS、F&GS、FCS 等系統的統稱，以下簡稱ICS）廣泛應用于鉆井、石油天然氣、煉油、化工、造紙、冶金、食品、制藥以及電力等關系國計民生的核心產業，是現代企業生產控制的大腦中樞，是企業實現自動化生產的基礎，ICS 系統雖然在整個企業的投資中看起來也許微不足道，但 ICS 涉及生產安全風險的事件卻非常之多。

從上世紀90 以來，由ICS 系統被攻擊引起的安全事故就一直存在，有些在業界引起轟動，這促使業界對ICS 系統的安全問題進行嚴肅思考，表1 是幾個典型安全事故的匯總。

表1 典型安全事故的匯總

這些事故為企業帶來嚴重的經濟損失和聲譽損失，為生產安全帶來巨大的破壞，也引起了對ICS 系統（OT：Operational Technology）安全的嚴重關注。但這些事故能不能設法避免呢？

無論何種外部攻擊或內部惡意行為，對ICS 系統的控制最后都是通過改變ICS 系統的程序組態實現，或者直接取得對ICS 系統的操控權。如果我們能夠對這些修改進行識別，用戶的ICS 系統程序被修改（無論是外部攻擊所致、或是病毒感染、員工失誤、亦或是員工/服務商人員惡意修改），就有可能避免這類事故的發生。

圖1 現代企業典型系統架構（ISA99）

ICS 系統運行現狀

隨著工業4.0、IIOT、智能工廠、中國制造2020 以及兩化融合的快速推進，ICS 系統的孤島現象徹底消失，其開放性帶來的風險也與日俱增，圖1 是現代企業最典型的系統架構：

如圖1 所示，現代企業的IT與ICS 系統部分的集成不可避免，而企業由此面臨的安全風險狀況也變得愈加復雜，因此從企業的董事會到生產運營基層部門，ICS系統的運行管理與安全越來越成為現代企業生產安全不可回避的一個重大課題。

Kaspersky（卡巴斯基）在2016 年發布的報告，披露了絕大多數組織的ICS 系統面臨威脅，該研究對188 019 套ICS 系統進行調查，發現91.1%的系統存在漏洞，可以被遠程控制或利用，超過87%的系統具有中等風險漏洞，7%的系統具有嚴重安全漏洞。

而來自ICS-CERT、Kaspersky Lab、IBM-X-Force Research（2016

年）的分析數據表明，ICS 外來威脅占到大約39.2%， 而來自于內部的威脅則占到60%（其中45%屬于惡意行為，15%屬于人工失誤范疇）。

到目前為止，盡管在對OT技術安全方面有了很大的進步，但主要能夠提供的方案還是基于IT 技術的解決方案：

?防火墻；

?網閘；

?漏洞掃描；

?白名單；

?防病毒軟件；

? USB 禁用和其他一些應用禁用策略等。

ICS 系統優點是：典型的周界防護，針對L5-L2 層，如圖1；防止外來攻擊，容易理解容易實施；對已知的攻擊方式有效。

但也存在一些缺點： 對未知的攻擊無法進行預測與防護；對系統本身存在的安全漏洞和缺陷無能為力L2-L0；對內部風險管控無能為力。

網絡安全的特點是，道高一尺、魔高一丈，因此以IT 安全技術為中心的解決方案無法真正解決ICS 系統的管理和安全問題，比如Stuxnet 病毒在造成破壞之前，殺毒軟件的病毒庫根本沒有它的特征進行識別；再比如，很難預測以后黑客會以什么樣的方式和手段進行網絡攻擊；另外，工業過程環境中的漏洞掃描和評估也具備危險性;掃描或連接到敏感設備來收集漏洞數據可能會導致無法接受的生產中斷，給生產帶來損失。

經過幾年的項目實踐，國內ICS 系統除了面臨外部攻擊之外，面臨的最主要問題和風險如下：

? 控 制 系 統 種 類 多（DCS、PLC、SIS、RTDB 以及Intouch 等）、地理分散，管理難度大，人員流失導致導致系統專家超負荷工作；

? ICS 系統本身是否有潛在風險；

? ICS 系統的管理、維護以及運行安全等面臨很大挑戰；

? 控制系統上線后，由于不停的組態變更或增加新的內容（硬件、控制策略等），用戶對當前系統中運行的程序內容認識會越來越有偏離，技術人員往往對此潛在風險束手無策；

?對控制系統的修改無法進行自動記錄與追蹤；

?對非法修改無法進行自動識別和追蹤，沒有有效辦法實現對系統的風險管控；

? 對控制系統的安全漏洞和組態/邏輯缺陷沒有有效的檢測能力；

?缺乏對ICS 系統本身故障的遠程診斷與分析能力；

?大修期間極易產生系統組態修改帶來的風險，缺乏手段跟蹤與識別這些風險；

?不同ICS 系統之間的數據鏈路是否一致，有無可能引起事故的錯誤。

對于上述問題，僅靠基于IT的方案是無法進行解決的，因此ICS 系統的安全需要把基于IT 技術的周界保護技術和基于OT 的本質安全解決方案有機結合起來，才能更好地對ICS 系統的風險進行管控！

為此在現代企業產生了一 個 新 的 職 位： CISO（Chief information security officer），即首席信息安全主官，集合IT 和OT，解決信息安全、控制安全和生產安全問題。

OT 和IT 系統之間的連接正在激增，極大地增加了網絡攻擊的一次攻擊成功的可能性；而且風險不僅僅是確保數據的保密性、完整性和可用性，更重要的是要保護ICS 資產免受網絡攻擊，以保護人員安全、環境以及工廠生產率和盈利能力。CISO 面臨的另外一個挑戰就是，每個企業不同供應商、不同種類以及不同位置的ICS 系統，每個不同的系統運行的是各自不同的專業軟件。

因此通過IT-Centric 解決方案和OT-Centric 解決方案相結合，才是真正解決企業工控系統運行管理與安全的有效途徑，因為基于IT-Centric 解決方案，有很多公司提供且非常成熟，此處不進行展開，本文將對OT-Centric 方案進行討論。

基于OT 的技術方案

完整性是可靠性和安全性的基礎，設備完整性、管道完整性、儲罐完整性以及數據完整性等是企業生產智能化的重要組成部分，但在所有的資產完整性解決方案里面，幾乎看不到對ICS 系統的完整性管理的描述。主要原因是：

? ICS 系統的種類、品牌多 ；

? ICS 系統專業性高 ，私有技術多；

? ICS 系統復雜程度高、特別是系統之間的復雜邏輯和通訊關系 ；

? ICS 系統直接與生產相關，一旦有問題風險更大；

?數字化難度大；

?缺乏有效的工具。

ICS系統的數字化與在役庫存管理

非常簡單的一個道理，如果你想保護你的ICS 系統，首先你要能夠看到你的ICS 系統，清楚地知道ICS 系統的所有資產細節，這是你能夠保護ICS 系統資產的前提；ICS 系統的資產包括ICS 系統的軟件、硬件等，但最核心的是你的控制策略（組態），因為控制策略才是真正驅動生產自動化的核心，事實上，你可以選擇任何ICS 系統實現同樣的控制策略。

以DCS 系統為例，從設計到組態完成、再到現場調試、開車，進入正常生產，小的改動、修正以及回路的增減等一直不斷進行，隨著時間的推移，這將導致裝置工程師對DCS 系統的認知與實際情況產生越來越大的認知偏差甚至錯誤。而這種認知偏差/錯誤將是很大的隱患。而消除工程師對實際ICS 系統的認知偏差，就需要能夠對ICS 系統的在役庫存進行監測，對每個控制器、每個卡件、每個卡件的每個通道、每個接線端子以及每個控制策略的情況了如執掌，比如它們軟硬件版本？在哪個位置？起什么作用？如果它們有問題會帶來什么后果？等等。

要做到能夠具備對ICS 系統的透視能力，首先我們就需要對ICS 系統進行數字化，即把ICS系統原樣不動進行數字化解析（提取ICS系統內存里面運行的數據），如圖2 所示：

把不同品牌、不同種類、不同位置的ICS 系統進行數字化，通過一個統一的單獨的平臺對它們進行監管，不但可以實現ICS系統的動態臺賬管理，還能實現對ICS 系統的風險預測，避免非計劃停車。

上述這些系統的硬件、軟件、版本、相互聯系以及控制策略等都透明可見。對ICS 系統所有的構成都可以分類進行查詢和匯總，對所有的改變都可以自動感知。

ICS系統風險評估

ICS 系統的而數字化，讓我們準確無誤地透視真實的ICS 系統的情況，這位我們對ICS 系統進行風險評估打下基礎。

1.ICS 系統的安全漏洞自動檢查

基于IT 技術的方案的漏洞檢測主要還是對HMI/工作站即L2 層進行漏洞檢測， 但不具備對L1-L0 層的漏洞檢測能力。

ICS 系統的漏洞檢測，不但要包括L2 甚至L3 層的漏洞檢測，還同時能夠對L1-L0 層軟件/設備進行漏洞檢測。

以檢測ICS-CERT 發布的漏洞為例，對檢測到的漏洞同時顯示其CVSS 分值，以便用戶可以直觀地得到當前ICS 系統的危險程度。

因為今天檢測不到的新漏洞，也許會在幾個月后被發現，因此對安全漏洞的檢查必須自動完成，要具備對漏洞庫進行更新的機制。2.ICS 系統的組態缺陷檢測

對當前ICS 系統的組態進行缺陷分析與 匯總，幫助用戶發現丟失的位號、識別相互矛盾的組態數據等，組態缺陷可以根據情況進行定制。

比如，安全邊界沖突就是組態缺陷的一種，如果報警值比聯鎖值還高，則非常容易造成在沒有對報警處理的情況下出現停車，即非計劃停車，而非計劃停車帶來的經濟損失和環境損失往往是巨大的。

在一個幾萬點或十幾萬點的工廠，人工進行這類缺陷的檢查是不可想象的，因此，定義缺陷屬性，對組態進行自動大數據分析，是可以快速發現缺陷問題的真正有效的手段。

3.數據鏈的檢查

現在數字化設計交付已經成為常態，數字化交付之后，工程師進行ICS 端組態、先進控制、HMI 以及MES 需要與ICS 集成并采集數據以及以ICS 系統與MES系統的集成為例。由于MES 與ICS 往往是不同廠家的產品、由不同的團隊分別完成，由不同的團隊進行維護，因此ICS 系統與MES 系統的組態一致性就很容易出現偏差，導致MES 采集數據的不準確。因此需要對系統之間的數據鏈路進行校對，確保一致。如圖4 所示。

圖2 ICS 系統數字化

圖3 典型的OT 資產

組態管理與非法修改的識別與定位

ICS 系統的組態變更主要由如下幾種情況：

?黑客侵入修改；

?靶向病毒感染引起修改（如Suxnet 針對Siemens PLC、Trion/TRISIS 針對Triconex SIS 系統）；

?未經批準的惡意修改；

?經過批準但由于疏忽導致錯誤修改。

其實無論哪種修改，只要我們能夠知道ICS 組態被修改、什么地方被修改以及修改前后的不同之處，那么這種修改就很難對實際產生大的風險。

1.MOC 管理

現在大多數用戶對ICS 系統的變更與修改都有嚴格的規定，主要的問題是如何完善地執行這些規定。線下規則對惡意修改或人工疏忽導致的錯誤修改其實是無能為力的。因此，再好的規則，沒有執行監督也是沒有辦法保證執行效果的。

因此結合用戶的變更規定，將其進行客戶化定制，把之前的線下變更要求提交、審批等變成動態的線上執行，這樣就可以對用戶的變更進行記錄、跟蹤、回溯、匯總以及比較等，幫助用戶識別非法修改、并定位非法修改（無論是黑客所為、病毒所為或未經授權的惡意所為），而對方法修改則可以直接把處理任務分配給相應的工作人員進行處理，并對處理過程進行記錄追蹤，從而完成內部風險管控。

無論是對于點組態的修改、邏輯或程序的修改，還是流程圖的修改等，都應該可以進行識別。

2.基準管理

通過基準管理可以進行閾值設置，即對比較重要的組態內容的變更提供限制，避免變更帶來的風險；閾值設置后，一旦提交的變更值超過閾值，則審批人會自動得到風險提示，以避免進行錯誤的審批。

圖4 保護數據鏈路的正確

跨系統控制關系描述（Control Map）

通常在一個系統中，位號/設備之間的邏輯關系是相對容易弄清楚的，但如果不同系統之間存在邏輯關系或相互引用關系，要搞清楚就不是一件容易的事情了。

比如在SIS 和DCS 系統之間、DCS 和實時數據庫之間、DCS 和APC 系統之間，如何快速描繪它們中的位號之間的相互關系呢？

這就需要對系統之間的通訊協議進行解析，比如OPC通訊，存在著一個位號之間之間的映射表，ModBus 通訊，存在著一個地址映射表，如果對這些進行了正確解析，則它們之間的相互調用關系及數據流向就可以自動描繪出來，如圖5 所示：

這樣，用戶可以非常容易地追蹤跨越從現場儀表到DCS/PLC/SIS/RTDB/APC/MES 等的信號流圖譜，自動生成針對每個對象（位號/設備）的業務樹/邏輯樹，直接和間接關系，幫助用戶快速進行故障處理。同時，可以作為應急預案的輔助設計。

數字化交付，對設計院提供的SPI 數據庫進行解析，生成如圖6 所示的從儀表到端子柜到安全柵柜到DCS 端子接線、到IO 卡通道位號以及到控制器控制算法模塊位號之間的全程關聯關系，而且能夠和現場進行同步變更，這是對ICS 系統從現場到控制室的真正的完整性管理。

圖5 自動生成跨系統控制關系

圖6 全回路數字化

交叉引用追溯

在ICS 系統中，位號、文件（流程圖等）都存在交叉引用的情況，對這些內容進行完全解析與追蹤，可以幫助用戶發現有價值的信息。

比如，搜尋FC1001 這個位號，可以自動顯示與FC1001 相關的流程圖名稱、操作組名稱、報表名稱、相關接線圖名稱、其他系統如實時數據庫等以及文檔文件如儀表規格文件名稱等。而通過這些名稱，用戶就可以直接打開這些文件。比如通過位號就可以查到回路所關聯的儀表與閥門的詳細規格材料、接線圖等。

支持隨時查詢到所有用戶感興趣的內容，使得對特定對象的理解異常容易。

對ICS 系統工作站的管理

現實中，每個工廠的工作站（DCS 工程師站、操作員站、OPC服務器、SIS 系統的HMI 工作站、OPC 服務器等以及PLC 系統的HMI 工作站等）幾百上千臺甚至更多，幾乎沒有哪個工程師能清楚知道：每個工作站安裝軟件的具體信息如操作系統哪個版本？打過什么補丁？工作站安裝了哪些應用等。但工作站作為ICS 系統的重要部分，用戶需要對它們有充分的了解，比如對操作系統和賬戶管理、追蹤和記錄不同賬戶的行為動作等。

我們對Windows 的注冊表等相關信息的解析 ，結合之前Windows 的漏洞庫，就可以自動對工作站是否面臨如勒索病毒感染的風險進行判斷，并把有風險的工作站直接推送給相關管理人員進行風險排除的工作安排，且對其進行記錄與追蹤，大大節約了工作人員的工作量并指明工作內容和方向。

比如，工作站做了USB 禁用策略，一旦有人通過USB 訪問工作站，都會被記錄。

比如，一旦有人安裝了程序、即使做了卸載，依然可以被記錄下合適安裝、合適卸載的全部信息。

對ICS 系統的數據備份和恢復

對ICS 數據自動定期進行備份，以保障數據的有效性和系統恢復的可靠性；保持完整的IT 存貨和OT/ICS 組態數據資產存庫，包括控制策略、I/O 卡件、硬件以及安裝的軟件和任何用戶自定義數據等，這樣一旦系出現崩潰等嚴重問題，這些數據可以幫助用戶進行系統快速恢復。

同時，ICS 系統數據的自動備份可以在線存儲、也可以同時進行離線存儲，萬一受到勒索病毒類侵害，也可以通過備份的系統數據進行系統恢復，避免更大的損失。

總結

ICS 系統的完整性管理是實現ICS 系統本質安全的前提，傳統的基于IT 技術的解決方案是解決ICS 系統周界保護的有效辦法，但無法解決ICS 系統的本質安全問題，因此，利用ICS（DCS/SIS/PLC/ITCC/CCS/FGS/RTDB 等）系統專業知識，即采用基于OT 的解決方案是真正解決ICS 系統完整性管理、運行安全以及遠程維護支持的正確手段！