工業控制系統全生命周期網絡安全防護研究

摘 要：工業控制系統一般為4層系統結構，其功能和結構與IT系統不同，IT系統的信息安全防護方案不能完全滿足工業控制系統網絡信息安全防護要求。針對工業控制系統結構，提出了對工業控制系統實施網絡安全分級防護和全生命周期網絡安全防護的方案，重點對工業控制系統5個生命周期階段分別提出了詳細的網絡安全防護措施。

關鍵詞：工業控制系統；網絡安全；分級防護；全生命周期

中圖分類號：TP393" " 文獻標志碼：A" " 文章編號：1671-0797（2024）09-0017-04

DOI：10.19514/j.cnki.cn32-1628/tm.2024.09.004

0" " 引言

工業控制系統是由計算機和工業過程控制部件組成的自動化生產過程控制系統，利用相關的電子電氣、機械、軟件等設備來控制生產相關設備，按照預定的規律運行，以保證生產出合格的產品。目前，工業控制系統被運用到智慧電網、智慧水利、智慧能源、智慧交通等涉及國計民生的重要領域，用于監控工業流程，提升工業領域的智能化水平[1]。

工業控制系統受到網絡入侵攻擊或者破壞將會導致工業生產中斷甚至停工，不僅會造成生產效率下降，還會導致安全生產事故，嚴重的甚至會導致商業機密泄露，給生產企業帶來不可估量的風險，如2010年“震網病毒”（Stuxnet）事件[2]，2015年烏克蘭電網遭受攻擊引發大面積停電事件[3]。工業控制系統的安全更關系到國家的戰略安全，如何保證工業控制系統的安全，已引起國家相關部門的高度重視[4]。

因此，為應對工業控制系統網絡安全風險，必須對工業控制系統進行網絡安全防護研究。

1" " 工業控制系統結構

如圖1所示，工業控制系統一般為4層系統結構。

0層：過程接口層，包括由傳感器、變送器、限位開關、智能儀表以及現場總線系統等組成的測量設備，也包括由電磁閥、氣動開關閥、調節閥、泵、風機等組成的執行器設備。主要功能為工藝過程參數測量、控制指令執行。

1層：自動控制和保護層，包括控制機柜、服務器、信號采集模塊、信號輸出模塊、控制處理器模塊、網絡通信模塊、信號隔離模塊、信號分配模塊、電源模塊等設備。主要功能為工藝過程參數測量處理和計算、控制聯鎖邏輯執行、控制指令處理和控制輸出等。

2層：操作和信息管理層，包括操作員站、工程師站、大屏幕等設備。主要功能是為操作人員監督工廠運行狀態提供操作信息顯示和設備狀態顯示，并為操作人員提供設備控制操作接口。

3層：全廠技術管理層，包括生產調度系統、應急指揮管理系統。主要功能為生產執行管理、生產計劃管理、應急事故管理等。

從圖1可以看出，工業控制系統的功能和結構與IT系統不同。另外，工業控制系統的安全性并不遵循IT系統信息安全三要素（機密性、完整性和可用性），對工業控制系統而言可用性至關重要，其次才考慮機密性[5]，這種不同造成了IT系統的信息安全防護方案不能完全滿足工業控制系統網絡信息安全防護要求。

2" " 工業控制系統安全等級劃分

對工業控制系統進行安全等級劃分是實施網絡安全防護的前提。工業控制系統安全等級劃分一般應依據控制系統的結構、各部分實現的功能的重要程度、責任主體、系統邊界、受到安全威脅后對責任主體和公眾造成的損害程度進行劃分。

根據圖1中工業控制系統結構，0層、1層和2層在工業生產中完成相對獨立的功能，應獨立劃分安全等級。根據執行功能的重要程度，對于執行安全保護和安全重要功能的系統劃分為高的安全等級，對于執行常規的生產過程控制功能的系統劃分為低的安全等級。3層作為生產技術管理層，應獨立劃分安全等級。

安全等級的劃分還應考慮工業控制系統受到破壞后對責任主體造成的損害和對公眾造成的損害。

工業控制系統應依據安全等級劃分，實行分級防護，不同安全等級的工業控制系統分別實施不同的安全防護措施。

3" " 全生命周期的網絡安全防護

工業控制系統包括軟件和硬件部件，生命周期可分為如下五個階段：需求階段，設計階段，制造、安裝和調試測試階段，運行階段，退役階段。

工業控制系統網絡安全防護應從需求階段到退役階段貫穿整個系統生命周期[6]，并不斷迭代。在不同的階段由不同的責任主體實施網絡安全防護。在需求階段，實施工業控制系統網絡安全防護的責任主體是工業控制系統的設計方、最終業主和相應系統的供貨商。在設計階段，實施網絡安全防護的責任主體是設計方和系統供貨商。在制造、安裝和調試測試階段，實施網絡安全防護的責任主體是設計方、加工制造商、供貨商、安裝和調試方。在運行階段，實施網絡安全防護的責任主體是運營和維護方。在退役階段，實施網絡安全防護的責任主體是業主方和設備拆除方。

3.1" " 需求階段網絡安全防護

本階段的責任主體是工業控制系統的設計方、最終業主和相應系統的供貨商。各個責任主體應建立網絡安全計劃，內容至少應包括組織結構、責任分工、風險和脆弱性識別、網絡安全縱深防御策略以及防護措施的總體說明。網絡安全計劃在需求階段建立，貫穿整個項目生命周期，應定期評估并及時升版，保持網絡安全計劃的有效性。

需求階段要進行風險和脆弱性識別和分析。設計方、最終業主和相應系統的供貨商應確定保護對象，結合外部網絡安全形勢和對象的結構特征，評估保護對象存在的漏洞，分析存在的潛在風險和威脅，針對每一項潛在風險和威脅制定初步的風險應對措施。

需求階段要進行安全等級劃分，對工業控制系統的每一部分確定網絡安全等級，不同的網絡安全等級對應不同的網絡安全防護要求。

在風險分析和安全等級劃分成果的基礎上，確定詳細的網絡安全防護需求。

3.2" " 設計階段網絡安全防護

本階段的責任主體是設計方和系統供貨商。將網絡安全防護需求作為輸入，通過軟件、硬件和系統的手段構建防護措施使保護對象免受網絡安全威脅。防護措施可分為兩大類：行政措施和技術措施。

行政措施通過法規、制度、工作規范等約束網絡安全防護相關人員的行為，從而減少風險的發生。

技術措施包括加固措施和防范措施。加固措施消除保護對象自身的漏洞，關閉不必要的功能和接口，提高對網絡安全威脅的抵御能力。防范措施通過風險識別和隔離，盡早探知風險并采取措施，同時采用隔離手段減少保護對象暴露在風險威脅環境下的概率。

主要的防護措施有：

1）提供安全的物理環境：為安裝工業控制系統設備的廠房提供所要求的適宜的溫度、濕度和能源供應。防火、防盜、防自然災害，防止非授權人員隨意進入。

2）提供安全的通信網絡：對工業控制系統進行分區域控制。特別是大型工業控制系統，應根據功能和責任主體劃分不同的安全域，不同的安全域之間設置隔離設備，限制網絡安全風險威脅的擴散范圍。隔離工業控制系統與其他系統之間的網絡，如圖2所示，對于與工業控制系統之間有雙向數據交換的其他第三方系統采用防火墻等隔離設備隔離；對于3層生產技術管理系統采用單向的隔離設備，使數據只能由工業控制系統向3層傳輸。另外，采用訪問控制措施，限制非授權的網絡和設備接入工業控制系統的通信網絡。

3）提供安全的計算環境：采用身份鑒別防止非授權人員和系統的訪問。采用防病毒措施和入侵檢測，防范惡意代碼。設計數據備份和恢復系統，在工業控制系統受到破壞后能迅速恢復運行。

4）加強安全建設管理：工業控制系統由眾多復雜部件構成，應加強對工業控制系統供貨商和分包商的管理，選擇規范的、有資質的分包商。規范供應鏈的管理，避免采購有設計缺陷和漏洞的設備。

5）采用縱深防御措施：設計多重防御手段，使重要的關鍵工業控制系統設備處于防御屏障的核心。

工業控制系統網絡安全防護對工業控制系統來說是非功能需求，往往與功能需求存在沖突。因此，在設計階段應予以重點考慮和關注，進行綜合權衡和協調。

3.3" " 制造、安裝和調試測試階段網絡安全防護

制造、安裝和調試測試由專業人員完成，工作人員只有獲得授權才能進入廠房進行設備作業，不同的人員應分區域授權作業。

制造和安裝需要確保工業控制系統和設備按照預先的設計進行加工、制造和集成，避免不經意間引入額外的缺陷。調試測試通過具體的驗證手段核實最終交付的系統能夠防御所預期的網絡安全風險，達到預期的網絡安全等級，具備了預期的網絡安全防護能力。

3.4" " 運行階段網絡安全防護

本階段的責任主體是運營和維護方。進入運行階段后，工業控制系統具備了所設計預期的網絡安全防護能力。通過行政手段和技術手段限制了非授權人員的訪問控制，但維護人員仍需關注網絡安全防護威脅。

在運行階段，系統的維護人員應定期對工業控制系統進行巡視和檢測，檢查系統的非授權訪問情況和遭受的網絡攻擊和破壞。運行階段周期長，隨著新的網絡安全威脅的出現以及未被發現的漏洞的暴露，當初設計的網絡安全防御措施可能不能防御新的風險，因此，需要基于當前的網絡安全形勢和新暴露的漏洞缺陷進行風險分析、識別和評估，并對工業控制系統面臨的網絡安全風險采取補救措施。

3.5" " 退役階段網絡安全防護

本階段的責任主體是業主方和設備拆除方。網絡安全防護與安裝階段相同，退役作業工作人員只有獲得授權才能進入廠房進行設備作業，不同的人員應分區域授權作業。

退役作業完成后應清除其他在運行系統與退役系統之間的訪問控制接口和授權，同時清除退役系統中的運行數據和敏感數據。另外，需對在運行系統進行風險分析、識別和評估，并決定是否對在運行系統采取補救措施。

4" " 結束語

本文分析了典型工業控制系統結構，指出了傳統IT系統的信息安全防護方案不能完全滿足工業控制系統網絡信息安全防護要求的原因，簡要說明了工業控制系統安全等級劃分的方法和劃分依據，并從工業控制系統全生命周期的角度出發，對于每一個生命周期階段，分別提出了網絡安全防護方案。

[參考文獻]

[1] 左卓君.基于單分類器的工業控制系統入侵檢測方法[D].西安：西安電子科技大學，2020.

[2] LANGNER R.Stuxnet：Dissecting a Cyberwarfare Weapon[J].IEEE Security amp; Privacy，2011，9（3）：49-51.

[3] SUN H，ZHANG N N，LIU Y Y.Evaluation of Competi-tiveness of Black Energy Industry Cluster in Xinjiang Based on AHP[J].Soft Seience，2011（10）：12-16.

[4] 王文宇，劉玉紅.工控系統安全威脅分析及防護研究[J].信息安全與通信保密，2012（2）：33-35.

[5] 殷天野.工業控制系統入侵威脅與攻擊模型研究[D].上海：上海交通大學，2017.

[6] 朱琳，陸明.信息系統建設者視角下生命周期安全管理研究[J].信息安全研究，2020，6（12）：1139-1144.

收稿日期：2024-01-04

作者簡介：丁長富（1977—），男，河南南陽人，高級工程師，研究方向：自動化控制系統設計和儀表設計。