工業控制系統信息安全解決方案探究

王 照，羅佳鈺

（中車株洲電力機車有限公司，湖南 株洲 412001）

1 工業控制系統信息安全防護的重要價值

隨著工業互聯網、物聯網發展，工業控制系統信息安全防護更加重要。工業控制系統軟件正在變得愈來愈龐大，無論架構、機制或是代碼的復雜度都在不斷增加。復雜就意味著缺陷（漏洞）不可避免。隨著工業控制系統進入工業互聯網時代，從技術角度而言，網絡空間信息系統基本要素的各個環節在任何時候都可能成為被攻擊的目標和要點。物理上所保證的邏輯連通給網絡攻擊和病毒破壞創造了最為基礎的條件。另外，現有國內工業控制系統大部分組件都從國外進口，未能實現自主可控，存在后門或邏輯炸彈的可能性較大，漏洞數量也比較多。

綜上所述，工業控制系統很容易遭受非法入侵，導致核心生產數據被竊取，威脅工業生產安全。之所以要加強工控系統信息安全防護，是因為有效提升系統運行安全性，以便積極應對攻擊風險，為工業領域的生產活動帶來安全保障[1]。

2 工業控制系統信息安全風險發展趨勢

2.1 攻擊途徑多元化

工業控制系統具備固定的結構，多為系統具備拓撲結構和通信模式固定，但網絡動態簡單，構成元素繁多。工控系統入侵途徑較廣，多數來源于移動介質、現場總線、以太網、因特網甚至錯誤操作，增加了安全防護的難度，容易存在安全防護漏洞。因攻擊途徑呈現出多元化，由于防火墻或者設備配置不當，極有可能造成系統陷入安全風險，如控制網絡數據傳輸受到入侵、惡意傳播虛假信號、操作生產系統等引發安全事故。或者數據傳輸過程中加密等級不夠，數據被攔截或竊聽，工業控制系統生產計劃被監控，威脅生產安全。

2.2 攻擊目標多樣性

以工業控制系統為目標的攻擊多數來源于非法商務競爭、恐怖組織、不法分子等，也可能來源于競爭企業或黑客組織。在化工行業、冶金行業、核電行業等均采取工業控制系統，可能成為攻擊目標。很多工業控制系統雖然被物理隔離，但在管理平臺中儲存了大量工業生產數據，在工作人員訪問管理平臺中帶入病毒程序，易造成數據泄露或者篡改，泄露重要信息，給企業帶來嚴重損失。或者惡意刪除數據資料，企業并未進行數據備份，造成生產數據丟失，嚴重影響企業正常運行。

2.3 攻擊后果嚴重

工業控制系統是諸多行業的重要生產系統，工業控制系統受到威脅和攻擊可能直接使制造業的生產受阻，嚴重影響社會生產。尤其是在各行業生產規模和產能不斷發展的今天，生產流程高度機械化和集成化，一旦發生安全事故，系統很難立即恢復，將給各個企業造成巨大經濟損失，甚至影響社會正常運行，引發嚴重后果。應用工業控制系統密集的行業多為關系到國計民生的支柱行業，對于信息安全要求高，多數采取獨立防御措施，因此安全防護較為集中，若受到非法攻擊將影響正常的生產流程，造成難以估計的后果。

2.4 安全防護困難

在多個行業中新系統和舊系統并行運行，很多舊系統并未考慮到信息安全問題，無法進行升級改造，無法形成一體化安全防護體系。系統使用不同品牌的設備，對于安全防護程序的適用條件不同，安全防護策略需要根據設備情況設置，無法實現統一的安全管理。此外，工業控制系統的接入設備較為分散，影響程度不一，安全管理難度較高，信息安全防護面臨巨大挑戰。很多工業控制設備在出廠時并未設置身份驗證程序，很多身份信息未進行加密處理，極容易被破解，造成外部人員冒充進入系統，或者員工越級訪問操作，增加安全防護的難度。

3 工業控制系統的信息安全解決方案

3.1 主要問題

工業控制系統主要可以分為控制層面和管理層面，控制層面包括DCS控制器、生產設備、通信工具等；監控層面包括數據采集、監控設備等。目前工業控制系統信息安全防護主要面臨以下問題：

3.1.1 對信息安全重視度不高

因很多企業對于安全防護的重視程度不高，并未制定科學合理的安全管理方案，未加強對設計人員安全意識的培養。長此以往將造成安全意識淡薄，只關注實際生產能力，忽略了安全建設，為工業控制系統安全生產埋下了安全隱患。

3.1.2 通信方式落后

工業控制系統包括部分老舊系統，系統通信方式滯后，在串行連接基礎上進行網絡的訪問，在設計時只考慮到通信的有效性，忽略了信息安全性。此外，通信方案未考慮到身份認證和數據保密等方面，存在一定程度的考慮不足，影響通信安全。

3.1.3 管理接入設備松懈工業控制系統對于接入設備的管理相對松懈，對于限定條件不明確的設備直接接入網絡，給工業控制系統帶來病毒風險。缺乏對工業控制系統訪問用戶、設備的安全識別，未能有效防護接入風險。

3.1.4 物聯化水平不斷提高

如今我國信息技術和智能技術快速發展，讓工業生產水平快速提高，給工業企業帶來了巨大的發展空間。工業控制系統物聯化水平越來越高，越來越多自動化設備、智能化設備接入系統，提高系統自動響應程度。同時也面臨著越來越多安全風險，物聯技術的引進也帶入了更多安全風險，提高了信息安全防護的難度。

3.2 主要解決方案

為解決工業控制系統信息安全問題，提出了以下兩種解決方案。

3.2.1 通過技術手段建立工控安全防護體系

遵照等級保護2.0與工信部工業互聯網分類分級的工作要求，著眼未來，以IEC 62443-1-1標準層級為基礎，通過安全防護功能軟件、安全隔離設備以及安全管理平臺，構成主動隔離框架，構建了符合自身的安全防護架構的工控安全防護模型，工控網絡劃分遵照原有生產網絡架構，原則上不同生產區域間禁止非授權訪問。在原有網絡架構基礎上新增DMZ區，作為生產區域的運維管理區，部署安全設備集中管控平臺、脆弱性檢測系統、安全態勢分析系統等與運維操作相關的安全設備，實現安全運維管控。將整個工業控制系統按IEC 62443-1-1標準分為五層，其中，L0為現場設備層、L1為現場控制層、L2為過程監控層、L3為生產管理層、L4為企業資源層。其中L4企業資源層為IT環境，其余均為OT環境。L0層、L1層為工業基礎環境，設備均為工業廠家黑盒設備，無法進行主機層面的安全加固。L1層至L2層之間通過流量進行實時監測；L2層、L3層為工業監測、管理環境，可以通過主機白名單進行主機層面安全管控；同時改兩層為不同區域，可以通過工控防火墻進行安全隔離；L3層、L4層之間為OT網與IT網連接點，可以通過工控網閘進行安全隔離。

在通信網絡安全防護方面，工業控制系統中常見的工業通信協議包括TCP(UDP)/IP、MODBUS、OPC、S7等，而工業通信協議本質是不安全的，因此需要對工業現場協議進行深度檢測，分析協議指令、功能碼等特征，并且應用OPC協議的通信網絡能夠動態適應 OPC的隨機業務端口，從而在傳輸層層面保證通信安全。

在通信傳輸安全防護方面，目前生產網絡未部署具有訪問控制功能的安全模塊，無法對通信網絡協議進行深度過濾，無法保障通信傳輸數據的安全，存在較多安全風險。需增加部署具備訪問控制功能、攻擊防護功能、行為審計功能、流量管理功能的工業級安全防護設備，對工控網絡進行深層級的安全防護。

在區域邊界防護方面，大部分企業工控網絡存在邊界界線模糊不清等問題，理論上來說，只要工控網絡可達的地方，網絡中任意一處安全漏洞引起的安全風險和威脅都可能影響到整個工控網絡，而不能將風險控制在最小范圍內。因此需采用邊界隔離防護技術，合理劃分邊界，進行分區分域安全防護，原則上在每個安全域邊界采取邊界隔離措施，配置不同安全域間的安全策略，明確工控網絡中的不同安全域網絡邊界，對非授權或越權跨越邊界的行為進行阻斷并報警。

3.2.2 建立白名單管理環境

在工控信息安全中，只靠技術無法完全解決工控安全問題，基于工控系統相對固化的特點，威努特創新性地提出了建立工控系統的可信任網絡白環境和工控軟件白名單理念，基于該理念擴展構筑工業控制系統“安全白環境”整體防護，從根源上節制未知惡意行為的發生和傳播，進一步保護工業基礎設施安全。

白名單防御技術是一種通過提前計劃好的協議、規則、策略來控制數據的交換，進行動態行為判斷。通過對約定協議、規則、策略的特征分析判斷進行限制，從根源上節制未知惡意行為的發生和傳播。白名單管理環境不僅可應用于安全防護技術的設置規則，也是在實際管理中要遵循的原則，例如，在對設備和計算機進行實際操作時，需要使用指定的筆記本、U盤；管理人員只信任可識別的身份，未經授權的行為將被拒絕；設備安全檢測明確安全風險等。

白名單安全環境主要包括以下方面。

（1）協議白名單：通過安全防護設備（如工業防火墻、工控終端安全軟件、全流量管控設備等）進行協議識別，阻斷非規則定義的協議進入控制端，只允許規則定義的協議通過，完成過濾非法的工業協議數據，僅允許正常的協議數據通過的目標。

（2）設備白名單：按照國家安全測評標準，配合主管檢測部門，建立工控設備安全檢測機制；利用工控安全檢測裝備（漏洞挖掘設備、漏洞掃描設備）檢測發現設備存在的已知、未知漏洞及后門，全面掌握設備的健壯性和安全性；建立準入白名單，形成設備準入白名單列表，謹慎選用存在漏洞和風險的系統及設備，對已經投入使用的設備進行安全整改，加強設備安全防護。

（3）指令白名單：通過學習識別累積包括不限于建立指令集、操作規程等規則制度，或者采用行為審計設備等方式對現場操作流程及操作指令建立適合現場實際生產情況的指令白名單，阻斷誤操作或惡意操作指令，確保生產產線穩定運行。

（4）主機白名單：通過技術手段對工控操作系統進行加固，掃描建立主機白名單，識別、阻止任何白名單外的程序運行，防范已知未知病毒、木馬、惡意程序運行和傳播及針對0day漏洞攻擊。

（5）軟件白名單：只允許經過授權和安全評估的軟件才能在環境里運行，否則只能在測試環境里測試，安全評估包括不限于漏掃、代碼審計、模擬攻擊測試等。

上述解決方案通過技術手段建立工控安全防護體系投入較大，主要為利用第三方安全防護設備與軟件加強工業控制系統安全，建立白名單管理環境更重視從管理層面加強安全，兩者均具有一定的安全防護效果，而且是互補的防護方案。在實際應用上需要根據行業控制系統的特征和運行情境合理搭配防護方案，以達到最優防護效果。

4 結束語

綜上所述，工業控制系統信息安全防護具有重要價值，但隨著信息技術發展，工業控制系統面臨的信息安全風險逐漸呈現出攻擊途徑多元化、攻擊目標多樣性、攻擊后果嚴重、安全防護困難。我國工業控制系統安全防護仍然面臨著對信息安全重視度不高等問題，現階段主要采取技術手段建立安全防護體系、建立白名單管理環境的解決方案加強安全防護。通過從各層面建立解決方案，形成完善的防護安全體系，初步具備防范一般安全風險的能力。■