關于工控系統安全評估的幾點思考

劉硯峰 李岳棟 倪樂 陶文雯

摘要：作為國家關鍵信息基礎設施的重要組成部分，工業控制系統被廣泛應用于能源、交通、制造等多個行業。其安全運行問題直接影響著生產安全和社會穩定，受到各方關注。安全評估是治理工控系統安全的必要步驟，作者總結了參與的幾次工控安全評估工作，從組織方法、資產收集、測試技術等方面，闡述了工控系統安全評估過程中的一些關鍵環節。并針對這些關鍵環節提出具體對策。

關鍵詞：項目管理;資產收集;端口掃描;流量分析

自2010年伊朗“震網病毒”事件始，越來越頻繁發生的工控系統（ICS）安全問題引發各方關注。不同于互聯網系統，工控系統末梢連接甚至操控著真實的物理世界，一旦遭到攻擊破壞，輕則遲滯生產活動，重則影響社會穩定?？梢哉f，保障工控系統安全運行就是保障生產安全、保障社會穩定。多個行業提出了“要像重視生產安全一樣重視網絡安全”的基本原則，工控系統安全治理工作也正在有序開展中。治理工控系統安全首先要做好安全評估工作，全面了解風險和隱患。筆者有幸參與了幾次工控系統現場安全評估工作，結合現場評估過程，淺談幾點收獲。

一、關于組織評估工作的幾點考慮

隨著工業化與信息化的融合，計算機、信息網絡已經取代了原有的模擬控制系統，成為現代工業控制系統的關鍵組成部分。從這個意義說，工業控制系統是一種網絡信息系統，可參考傳統信息系統安全風險評估的方法進行。應將獲得領導的承諾，包括確定目標和方針，納入管理體系等，作為安全評估工作的前置條件。這樣，可以在評估組織過程中，獲得所需的資源。同時，工業控制系統有一定的特殊性，它與生產活動直接相關。如果將工控安全治理工作看做一個項目，那么安全評估則對應于項目啟動階段的收集需求過程。此時識別干系人，了解他們對項目的影響能力，并平衡他們的要求、需求和期望，對項目成功至關重要[1]。工業控制系統連接著現實設備、支撐著生產活動，從這個角度出發，項目干系人應至少包括生產管理、設備管理、安全管理和信息管理人員等。安全評估應盡可能促使相關方高職位人員參與，這樣既保證了評估過程有一個全面的視角，也可取得各方的關注與支持，為后期持續開展工業控制系統安全治理奠定基礎。可以文件的形式組成評估工作組，進一步提升干系人的參與度。工作組職責可包括但不限于以下幾點：1.建立工作協調機制，統籌隱患治理工作。2.組織安全防護評估，梳理安全隱患，并制定整改計劃，落實整改方案。3.協調工業控制系統安全隱患整改實施，組織隱患治理效果后評估工作。此外，鑒于大多工業控制系統貼近生產現場的特點，系統現場的運行管理者及使用者亦應納入項目干系人管理。評估過程中，可采取召開評估啟動會的方式，通過安全意識和政策形勢宣貫，取得這部分干系人的理解和支持。

二、資產收集的思考

安全評估結果是否全面準確，資產識別是關鍵。特別是工業控制系統，涉及的品牌種類繁多，開發環境多樣。應全面了解資產細節，除了將資產關聯到具體系統以外，還應確保其關聯到現實環境中。因為，不同專業角度對資產安全的關注角度是有差異的，如設備部門關注儀器儀表的準確性、完整性和物理位置安全。而安全管理部門則關注關鍵設備的運行狀態，如重大危險源，他們會選擇安裝多臺監控設備，時刻關注其運行狀態。

另外，不同于傳統信息系統的風險定級標準，工業控制系統安全評估中鑒定的安全風險要首先考慮設備設施的本質安全因素，系統安全運行的最終目標是為安全生產提供保障。一個物理上重大風險點中所涉及設備的低風險隱患等級，可能要高于數據系統中存在高風險。因此，為確保識別風險準確，資產臺賬應能夠滿足多業務角度下的安全管理需求?？煞譃閮x器儀表、通信設備、服務器及視頻監控設備四部分，分別采集各專業關注的設備資產臺賬，通過IP地址、物理位置、所屬組織關聯，建立層層遞歸的資產歸屬關系，形成工業控制系統綜合資產臺賬（圖1），使資產臺賬具有立體感。為不同專業角度提供統一的觀察模型，安全管理人員、設備管理人員可從物理位置出發，結合實際生產中的風險點定級，給出風險定級;生產管理人員，可結合具體其所屬組織具體的生產連續性要求，給出風險級別;信息管理人員可綜合各方風險級別，結合信息系統隱患，確定綜合風險級別。

三、對基礎資料收集的思考

在完善資產臺賬的基礎上，應結合物理的和邏輯的環境，深入理解系統的運行機制，可從三個方面入手：

（一）系統的功能和架構

通用的工業控制系統可分為現場設備層、現場控制層、過程監控層、生產管理層和企業資源層（圖2）。

由圖可知，工業控制系統中不同層級的功能模塊所提供的服務對象不同，企業資源層面向管理者，主要提供數據分析展示服務，數據展示一般以日、周、月為周期。對實時性的要求不是很高。而越底層的功能模塊對數據的實時性要求越高，并且越接近物理環境，其受到損害對現實環境的影響則越大。如現場控制層模塊與過程監控層模塊出現安全故障，造成的損害級別不同，應參照圖2給出的理論模型深入剖析系統功能和各模塊，為后期開展識別風險，提供一個縱向上的觀察視角。

（二）網絡架構

絕大多數企業已將以太網應用在工業控制系統中，取代原來種類繁多的現場總線，使控制系統與管理系統無縫銜接，形成垂直方向的系統集成，同時降低不同廠商設備在水平面上的集成成本[2]。因此在網絡層面，從RTU/PLC到工程師站、上位機，OPC服務到實時數據，大部分系統采用以太網通信。Modbus/TCP、PROFINET、OPC等多種工業以太網協議繼承了傳統以太網核心技術，也使得傳統以太網固有的安全設計缺陷疊加到了工業以太網中。如Modbus/TCP等多種協議缺乏安全屬性，明文傳輸數據，易受到欺騙、洪泛、重放等攻擊威脅[2]。傳統以太網的合理網絡布局，縮小廣播域是抑制攻擊的有效方法。VLAN、防火墻等技術的應用能夠將攻擊的影響限制在一定范圍。而工業控制系統設計時主要考慮系統的可用性，大多沒有實現“橫向分區，縱向分層”的網絡架構，網絡結構的缺陷極有可能引起系統性的安全故障，是影響工業控制系統安全運行的嚴重隱患，一次普通的DOS攻擊就能夠導致整個系統癱瘓。因此對于工業控制系統安全評估，考慮后期安全治理的需要，細致梳理網絡結構是一項重要的工作內容。繪制并提交工業控制系統運行網絡結構圖是體現評估效果的必要因素。工業控制系統的網絡結構圖應該體現具體細節，包括網絡設備、服務器、工程師站、上位機、OPC、實時數據庫等，應盡可能詳細標注。這有助于我們深入理解系統內部的運行過程，提供一個橫向上的觀察視角。

（三）生產工藝流程

生產工藝流程反映了產品的生產過程，而工業控制系統必然建立在一套成熟的生產工藝流程之上。因此，評估中了解生產流程，可以幫助我們從現實生產需要出發，考察系統控制和作用機制。

綜合考量上述三方面，我們可以從一個較高的視角俯視系統全貌，是后續完成安全治理的重要保障。

四、一些應采用的技術測試方法

（一）端口掃描

在評估過程中，應全面收集工業控制系統內部通信端口的開放情況，可使用ScanPort、PortScan等實用工具開展全網掃描，結合系統實際在用通信協議，初步判斷掃描出的端口是否在用。

對于開放的無用端口，現場可進行封閉測試，驗證并記錄端口封閉后對系統的影響。在加固設備安全的同時，為今后的工業控制系統安全策略部署提供數據支撐。表1為工業控制系統內常用協議的端口。

（二）漏洞掃描

評估過程中，應開展操作系統、數據庫及web應用漏洞掃描。由于工業控制系統對穩定性的高要求，為確保持續運行，內部的服務器、工程師站等終端設備很少升級或打補丁修復，積累了大量的安全漏洞。分析近年來發生的重大工控安全事件，多以暴露在外的桌面終端為跳板，通過橫向滲透，進而控制工業控制系統內部關鍵主機，達到攻擊目的。如2021年發生的美國輸油管線勒索病毒事件，有消息稱，其暴露在互聯網上的一臺桌面終端被控制，以此終端為跳板成功實施了勒索攻擊。因此，工業控制系統內大量未修復漏洞的工程師站、上位機、服務器等設備，既是工業控制系統的核心組件，也是整個系統的脆弱點?，F場評估應開展漏洞掃描檢測，識別并記錄操作系統、數據庫等層面的安全隱患，為后期開展治理工作提供支撐資料。

（三）流量分析

評估過程中，應開展流量抓包分析，有助于深入了解系統內部的運行狀態。文獻[3]指出，越來越多的設備和系統直接或間接接入互聯網，打破了工業控制系統原有的封閉性。加之工控協議在安全設計方面普遍存在缺陷和不足，加劇了其面臨的蓄意攻擊安全威脅。結合筆者參與的工業控制系統評估經驗，流量分析中發現的威脅連接大多來自互聯網方向。這不同于我們對于網絡安全的認知，即80%以上的威脅來自網絡內部。筆者認為有兩方面的原因，一是相對于傳統網絡大范圍的互聯互通，終端規模龐大，工業控制系統相對封閉且終端數量有限。加之組織的管理，降低了內部的惡意行為的可能性。二是作為國家關鍵信息基礎設施，其重要作用很容易成為國家和組織間對抗的橋頭堡。因此，流量分析中考慮應相對關注來自互聯網方向的流量?？墒褂肳ireShark（圖3）等抓包工具開展流量分析，這依賴于評估人員的高度專業和豐富的經驗。也可使用專業分析工具，據了解，大多數工控安全廠商均可提供專業的流量分析設備。

五、結束語

本文從評估人員組成、資產收集、評估角度、技術測試等方面總結了幾點收獲。＼隨著信息化與工業化的不斷融合，我們可以借鑒傳統信息安全領域的理論和方法開展評估。但不同傳統信息系統架構相對穩固的特點，工業控制系統與生產高度關聯，隨著生產建設的延伸，工業控制系統必將隨之拓展變化。因此，評估有一定的時效性，筆者認為在完成安全評估后，應盡快啟動安全治理工作，在修復已有隱患的同時，為工業控制系統的進一步發展的奠定安全基礎，避免系統快速擴張產生新的安全隱患。

參? 考? 文? 獻

[1]項目管理知識體系指南（PMBOK指南）（第5版）

[2]馮濤等.工業以太網協議脆弱性與安全防護技術綜述[J].通信學報.2017，11（Z2）：185-196.

[3]方棟梁，等.工業控制系統協議安全綜述[J].計算機研究與發展，2022，59（5）.

作者單位：劉硯峰? ? 李岳棟? ? 倪樂? ? 陶文雯? ? 中國石化華東油氣分公司信息化管理中心

劉硯峰（1976.03-），男，漢族，研究生，高級工程師，研究方向：信息安全。