淺析工業控制系統安全技術發展

張建珍，閆波

山西機電職業技術學院，山西長治，046000

0 引言

隨著新基建及兩化融合戰略的推進，工業互聯網正在形成，傳統工業相對封閉安全的生產環境正在被打破，全要素、全產業鏈、全價值鏈的全面連接[1]，為我國工業技術改革創新提供了重要機遇，但如何保障工業控制系統的安全性也成為決定工業互聯網發展的首要因素。

1 工業控制系統內涵

工業控制系統（ICS）是一個通用術語，它包括多種工業生產中使用的控制系統，包括監控和數據采集系統（SCADA）、分布式控制系統（DCS）和其他較小的控制系統，如可編程邏輯控制器（PLC），現已廣泛應用在工業部門和關鍵基礎設施中[2]。

2 工業控制系統安全控制的內涵

工業控制系統的安全控制包括管理制度、運維管理和技術管理三方面，由16個安全控制族[3]，如管理制度類包含安全評估和授權、系統和服務獲取、規劃、風險評估；運維管理包括人員安全、應急規劃、物理和環境安全、配置管理、系統和信息完整性、介質保護、事件響應、意識和培訓、維護；技術管理包括訪問控制、審計和可核查性、標識和鑒別。從概念上來說，工業控制系統的安全與其他領域的安全是一樣的，工業控制系統的安全控制模式如圖1所示。

工業控制系統安全是一項系統工程，單一的產品和技術不能有效地保護工業控制系統安全，有效的工業控制系統安全戰略，需要采用深度防御及層次化的安全機制，使任一安全機制失效的影響最小化。工業控制系統安全應在組織工業控制系統安全戰略指導下，通過適當組合配置的安全控制予以實現[3]。

3 工業控制系統與傳統IT系統安全的區別

大多數的工業控制系統均在網絡、個人計算機和互聯網普及以前已經開發并使用，設計之初主要用于解決高效、穩定、可靠、安全等工業生產需求。通常情況下，這種系統具有很強的實時通信能力，設備更換操作相對復雜，且系統運行中不能重啟或重啟代價較大，通信協議多樣[4]。雖然這些系統設計時關注了可靠性、可用性和可維護性，但沒有預料到在解決性能和故障統計等問題時的信息安全問題。

傳統觀念中，工業控制系統安全僅意味著物理上專用網絡訪問和系統控制臺功能。工業控制系統在20世紀80年代和90年代與微處理器、個人計算機和網絡技術同步發展，在90年代后期，互聯網技術開始融入工業控制系統的設計中。這些新技術帶來的變化使工業控制系統面臨新的威脅，并極大增加了工業控制系統受到損害的可能性。

隨著低成本互聯網協議設備產品的成熟，工業控制系統開始采用IT解決方案來實現企業連接和遠程訪問等功能，標準計算機、操作系統和網絡協議在工業制作系統中使用的比重不斷加大，工業控制系統越來越像IT 系統。與之前相比，工業控制系統減少了封閉性，也產生了新的安全需求。工業控制系統與傳統IT系統相比存在許多特殊性，包括不同的風險和優先級、不同的性能和可靠性要求等。下面是工業控制系統安全區別于傳統IT系統安全的幾個主要方面：

（1）可用性。大多數工業控制系統要求工作連續性，意外的中斷是不可接受的。部分工業控制系統采用冗余組件，并保持并聯運行，以保證在主組件異常或不可用時系統運行的連續性。因此，使用典型的IT 策略，如重新啟動組件，通常是不可接受的解決方案。

（2）風險管理。在典型的IT系統中，數據機密性和完整性通常是首要關注問題。而工業控制系統首要關注的問題是防止危害生命、公眾健康或信心，監管合規，防止設備、產品或知識產權的損失等。

（3）實時控制。IT系統中，實現訪問控制時不必過多關心數據流的情況。而在工業控制系統中，系統自動響應時間對人機交互的響應要求較高，如在HMI中的身份驗證和授權不得妨礙或干擾工業控制系統的緊急措施，信息流不能中斷。因此，工業控制系統安全控制的運用受到嚴格的實時限制。

（4）通信協議。工業控制系統現場控制和處理器間使用專用協議，如Modbus、CANBus、RS-232、PROFIBUS等，與IT 系統通信協議TCP/IP族完全不同。

（5）生命周期。典型的IT系統允許多樣化的支持方式。而對于工業控制系統，服務支持通常來自單一供應商，可能不存在多樣化的支持方式。IT組件一般只有3~5年的生命周期，而工業控制系統組件的生命周期往往有15~20年，甚至更長。

4 工業控制系統安全現狀

隨著工業控制系統網絡化、系統化、自動化、集成化的不斷提高，其面臨的安全威脅日益增長。企業對工業控制系統安全意識還不夠強，安全制度落實也存在不到位情況[5]，從發生的典型事件看，工業控制系統的安全威脅主要來自自然環境因素和人為操作因素。自然環境因素主要指不可抗因素，人為操作因素既有內部人員誤操作，也有惡意攻擊。常見惡意攻擊如表1。

5 工業控制系統風險評估

為確保工業控制系統安全運行，企業會進行風險評估。工業控制系統風險評估的方法主要有5種：文檔查閱、現場訪談、現場核查、現場測試和模擬仿真測試[8]。

文檔查閱用于確認被評估方的政策及技術方面是否全面且是最新的。評估方通過查閱被評估方的工業控制系統規劃設計方案、網絡拓撲圖、系統安全防護計劃、安全策略、架構、要求、標準作業程序、授權協議、系統互連備忘錄、信息安全事件應急響應計劃等文檔，評估其準確性和完整性，通過文檔查閱，發現被評估方可能導致丟失、不足或不正確執行的安全策略。

現場訪談用于收集客觀事實材料，補充在文檔查閱中未被發現的工業控制系統細節，進一步洞察工業控制系統的開發、集成、供應、使用、管理等過程。

表1 常見惡意攻擊

現場核查指在工業控制系統現場生產環境下進行的核查，如對工業控制系統現場物理環境評估，工業控制系統配置、系統架構和系統日志等評估，對工業控制系統安全管理評估，對已采取的安全措施進行確認。

現場測試包括漏洞掃描、協議分析、設備漏洞挖掘、滲透性測試等，對待評估工業控制系統現場環境上進行安全測試，以更真實反映工業控制系統存在的脆弱性。

對于連續型工業控制系統，由于需要不間斷運行，而風險評估過程中對目標攻擊測試會導致工業控制系統崩潰或進入不可控狀態，因此會使用數字孿生技術建模擬仿真測試環境后進行測試，模擬仿真測試常用方法包括：滲透測試、固件逆向分析、專用嵌入系統分析、源代碼審計、程序的上傳下載漏洞分析、專有協議分析、硬件板卡分析等。常用的檢測工具包括漏洞掃描器、滲透性測試工具、通訊協議數據捕獲工具等。

6 工業控制系統安全技術發展趨勢

兩化融合進程中傳統工業相對封閉的制造環境必然被工業互聯網打破[9]，連入互聯網的工業設備、工業互聯網接入控制、工控設備操作系統、工業app及應用、工業數據、移動介質均存在安全風險。

基于工業控制系統安全風險，目前工控安全技術已從被動防御轉向主動防御發展，主要包括以下三方面。

6.1 安全測評認證

工控設備上線前，進行全方位安全檢測，以檢測產品健壯性，像ISASecure和Achilles就是兩個國際權威的工控安全認證[10]，我國首個獲得國際認證的工控安全設備是北京天地和興的HXSFW。進行工控安全認證，從工業控制第一步，進行安全管控、大數據的工控態勢感知[11]。

6.2 態勢感知監測

著名安全公司安恒信息，開發有基于大數據的工控態勢感知監測預警系統[11]，以工控系統控制現場層的數據為研究對象[12]，主要包括存儲網絡環境的資產、運行狀態、漏洞收集、安全配置、日志、流量信息、情報信息等安全相關的數據[11]，提煉出有效的數據信息，使用K-means等聚類算法實現正常工況模型的建立，并以此作為基準實時檢測系統狀態與正常工況的偏離程度，通過大數據技術分析攻擊者畫像、安全事件數據處置、安全事件關聯、安全態勢報表等，實現安全事件的橫向、縱向關聯的大數據分析，從而達到為企業提供技術支撐，查明安全事件問題根源的目的，避免或減少工業網絡被攻擊造成的生產破壞和設備損毀。在時間維度上對其進行融合計算，得到系統當前態勢，為后續態勢預測階段提供數據基礎。

6.3 工業控制系統等級保護

等級保護2.0為工業控制系統的安全建設、等保測評和安全整改等指明方向[6]。對工業控制系統實施等級保護，是實現工業控制系統安全的重要保證。工業控制系統信息安全等級基于工業控制系統存在的信息安全風險劃分，由工業控制系統資產重要程度、受侵害后潛在影響程度、需抵御的信息安全威脅程度等三個定級要素決定。這三個定級要素既相對獨立，又相互疊加。相對獨立是在一個側面或一定程度上可表示工業控制系統的信息安全等級。相互疊加是指一個工業控制系統的資產重要程度越高，對受侵害后潛在影響程度的考慮會越多，對需抵御的信息安全威脅程度也會更敏感，反之亦然。基于信息安全風險的考慮，對工業控制系統資產重要程度、受侵害后潛在影響程度、需抵御的信息安全威脅程度進行綜合評價，得出工業控制系統信息安全等級。

依據GB/T36324，工業控制系統信息安全等級分四級[7]，分別為第一，四級工業控制系統。第一級工業控制系統信息安全受到破壞后，會對一般領域的工業生產運行造成損害，但不會損害國家安全。第二級工業控制系統信息安全受到破壞后，會對一般領域的工業生產運行造成重大損害，但不會損害國家安全。第三級工業控制系統信息安全受到破壞后，會對重點領域的工業生產運行造成重大損害，會對國家安全造成損害。第四級工業控制系統信息安全受到破壞后，會對關鍵領域的工業生產運行造成重大損害。

四級工業控制系統信息安全保護工作要點。第一級工業控制系統，應具有對系統資產、運行環境、安全風險的基本認識，采取基本的信息安全控制措施，能夠抵御來自個人、擁有少量資源的故意威脅；第二級工業控制系統，應具有對系統資產、運行環境、安全風險比較全面的認識，初步建立風險管理戰略，采取比較全面的信息安全控制措施，及時檢測系統異常和安全事件，可以基本恢復受安全事件影響的工業控制系統運行，能抵御來自有組織的團隊、擁有中等資源的故意威脅；第三級工業控制系統，應具有對系統資產、運行環境、安全風險的全面認識，建立風險管理戰略，實施信息安全治理，采取全面的信息安全控制措施，及時和全面監測系統異常和安全事件，能夠恢復受安全事件影響的工業控制系統運行，能抵御來自敵對組織、有組織的團體擁有中等程度資源的故意威脅；第四級工業控制系統，具有對系統資產、運行環境、安全風險的全面認識，建立全面風險管理戰略，實施信息安全治理，采取全面的信息安全控制措施，連續和全面監測系統異常和安全事件，及時恢復受安全事件影響的工業控制系統運行，能抵御來自敵對組織、擁有豐富資源的故意威脅。

7 結語

工業控制系統正與互聯網進行著深度融合，傳統信息網絡中的各種安全威脅已經逐步延伸至工控網絡中。本文通過分析工業控制系統網絡安全控制模式，對比工業控制系統及傳統IT系統安全差異，梳理出當前存在的主要安全問題，提出工控系統安全技術發展趨勢，對企業工控網絡規劃、安全建設整改等工作都具有重要的參考意義。