工控網絡安全風險分析與應對策略

白 強， 胡博元， 宣中忠， 張建國

（首鋼長治鋼鐵有限公司煉鐵廠， 山西 長治 046000）

0 引言

首鋼長治鋼鐵有限公司（以下簡稱長鋼公司）近期經過工控安全防護能力評估發現，其工控安全措施及防護水平均相對落后，公司的工控安全缺乏有效防護措施。長鋼公司對此進行了深入思考，認識到工控安全防護能力的提升對于企業的穩健運營至關重要。因此，公司決定加大投入，全面提升工控網絡的安全防護水平。

1 工控網絡安全風險分析

傳統IT 系統的安全三要素按CIA 原則排序，即機密性最重要，完整性次之，可用性排在最后。工業控制系統ICS 的安全目標應符合AIC 原則，即可用性排在第一位，完整性次之，機密性排在最后。

1.1 工控系統安全方面

工控系統由于受到資源限制以及未能針對互聯網進行優化等原因，為了確保實時性和可用性，通常缺乏安全性的設計考慮。這種狀況造成了一個結果，那就是無法構建一個能夠有效進行技術研究的體系。考慮到上述局限，長鋼公司決定引入外部安全咨詢團隊，以便利用專業知識進行系統安全的全面評估。同時，公司還準備與安全解決方案供應商建立合作，引入先進的安全技術，如入侵檢測系統（IDS）和入侵防御系統（IPS），提升防護能力。在策略制定方面，長鋼公司計劃制定一套針對安全性升級的短期和長期計劃，這包括立即采用的緊急修補措施，以及逐步實施的系統升級和改造。安全培訓和意識提升也是計劃的一部分。針對所有操作員和維護人員的周期性培訓課程將被開發和執行，以加強他們對于安全最佳實踐的理解和執行。這將涵蓋從密碼管理到對于可疑電子郵件警覺的各個方面。

1.1.1 工控主機安全問題

長鋼公司的工控系統均為windows 系列，由于投入運營時間的不同，版本橫跨多個不同時期的Windows 系統，包括XP、Server 2003、Server 2008、Windows 7 和Windows 10。舊版Windows 系統存在的安全漏洞較多。尤其是Windows XP 等老版本系統已經停止補丁更新，存在較多安全漏洞。大部分操作員站、工程師站等上位機等不具備在線打補丁的條件，基層單位出于維持業務連續性的考慮，重要補丁不能及時修補，不進行病毒查殺。因而工控操作系統存在以下問題：

1）工業控制操作系統普遍落后于當前主流，很少或不使用補丁策略。在工控系統中，補丁程序可能會對工控軟件產生嚴重的干擾。一些補丁需要重新啟動系統，這可能會干擾生產系統的運行。這就導致一些曾經造成嚴重破壞的高危漏洞，比如“永恒之藍”等高危漏洞普遍存在于工控操作系統中。

2）安全防護缺失。由于殺毒軟件可能影響工控軟件的運行，工控主機很少或不使用防病毒更新策略。此外，病毒庫更新需要作業網絡訪問互聯網，因此很少采用。這導致主機系統面臨病毒、木馬等威脅。

3）賬戶權限管理混亂，使用弱密碼或默認密碼的情況較多。

4）缺乏完善信息安全管理規定，移動存儲設備無序使用、操作人員違規安裝非工作必備軟件、誤操作、惡意操作等安全威脅。

1.1.2 工控設備安全問題

長鋼公司工控系統均采用西門子、施耐德等國外大廠商的設備，以上設備都存在較多漏洞。而一個工業項目投入運行后，一般使用周期在5~10 年，因而硬件更新、升級、換代困難。工控設備存在以下安全問題：

1）控制器處理能力弱。通常來講，很多工業控制設備的性能一般，處理能力較弱。遭受“拒絕服務”攻擊很容易造成系統癱瘓。

2）控制漏洞和后門。由于設計和實現上的不足，絕大部分工業控制設備存在不同程度的漏洞；由于人為的因素，部分設備甚至預留后門。

3）關鍵控制設備無防護。由于前期規劃設計不夠全面且重視不足，工業現場普遍缺少對控制設備的安全防護。PLC、DCS 控制器等核心控制設備缺乏安全加固措施，利用設備漏洞進行網絡攻擊的成功率較高。

4）工業協議設計之初缺乏安全性考慮，明文設計、缺乏認證、很容易被黑客利用進行攻擊、破壞。

1.2 工控網絡安全方面

長鋼公司工業網絡結構在設計之初缺少安全考慮，系統內部無法分區域防護，只要入侵某個區域，便可蔓延到整個工控網絡。網絡安全方面面臨的風險如下。

1.2.1 通信協議的脆弱性

多數工業控制協議，是在多年前設計并且都是基于串行連接進行網絡訪問。然而，隨著以太網的普及，通信已逐漸轉向基于IP 協議（通常是TCP 協議）的實現方式。遺憾的是，這些工控協議缺乏必要的安全機制，如保密和驗證，尤其是在消息完整性驗證方面存在明顯的技術缺失。此外，這些協議也沒有引入不可抵賴性的防重放機制，使得攻擊者能夠利用這些安全漏洞對工業控制系統展開攻擊。因此，隨著工業互聯網的發展，亟需對這些傳統工控協議進行安全增強和升級，以應對日益增長的安全威脅。

1）拒絕服務攻擊（Denial of Service，DoS）。拒絕服務攻擊通常采取消耗資源的攻擊模式，消耗控制網絡的處理器資源和帶寬資源。常見的拒絕服務攻擊有：SYN Flood、smurf 攻擊、Ping of Death、Teardrop、Land攻擊、UDP Flood、DDos 等。

2）中間人攻擊（MITM）。缺乏消息認證機制及不安全的通信通道，使攻擊者可以更容易地訪問到生產網絡，從而能夠竊聽，并對通信內容進行惡意篡改和偽造。

3）重放攻擊：攻擊者能夠捕獲并復制合法的工業消息，然后在上下文中重復發送這些消息到從站設備。這種重放攻擊可能導致設備的異常行為，甚至損壞，也可能引發生產過程的混亂或意外關閉，從而對工業控制系統造成嚴重破壞。

4）欺騙攻擊：攻擊者還可能利用工控系統的安全漏洞，向控制操作人員發送虛假的欺騙信息。這些欺騙信息可能篡改或偽造現場設備的狀態數據，這種攻擊方式旨在混淆操作人員的判斷，誘使其執行錯誤的操作，進而對生產過程造成負面影響。

1.2.2 網絡邊界的脆弱性

1.2.2.1 沒有嚴格界定網絡邊界范圍

長鋼公司的工業系統擁有大量用于收集數據和監測運行的傳感器網絡，導致工業互聯網邊界接入點多，安全邊界難以明晰，增加邊界確定和防護難度。如果控制系統網絡沒有嚴格界定清晰的網絡邊界，就不能保證在網絡中正確實施必要的信息安全控制措施。將導致對系統的數據的非法訪問，以及相關的其他問題。

1.2.2.2 缺乏安全防護，易遭網絡攻擊

長鋼公司缺乏防火墻和防病毒軟件的保護，增加了攻擊者入侵的機會，可能受到惡意軟件和病毒的感染。這些惡意代碼可以傳播到工控系統中，破壞或監視系統操作，并導致潛在的災難性后果。

1.2.2.3 網絡流量監視和分析不足：

長鋼公司的工控網絡通常有大量的數據流量，但沒有有足夠的監視和分析工具來檢測異常活動。攻擊者可以利用這一點，而工控系統本身存在許多漏洞，而系統之間的相互連接可能會增加安全風險，使攻擊者有更多的路徑選擇。一旦攻擊者入侵了一個子系統，他們可以利用這個入口滲透到整個生產網絡，造成巨大的損失。

1.3 數據安全方面

1）工業數據由封閉轉向開放，數據安全風險加大。傳統的工業控制系統往往是封閉的，數據只在內部流通，難以被攻擊者竊取或篡改。現在，隨著工業互聯網的發展，越來越多的設備和系統開始與互聯網連接，工業數據變得更加開放，數據安全風險也因此加大。

2）數據流動方向和路徑復雜，數據安全防護難度增加。在工業控制系統中，數據的流動方向和路徑通常是多樣化和復雜的。這使得數據安全防護變得更加困難，攻擊者可以利用這些復雜路徑來繞過安全措施。

3）數據傳輸沒有加密保護措施，通常以明文的形式傳送，這很容易被攻擊者攔截、查看、竊取或篡改這些數據。這種情況嚴重威脅著數據的隱私和完整性，尤其對于包含敏感信息的數據來說，后果可能會非常嚴重。

1.4 平臺安全方面

1）責任主體難以明確。長鋼公司工業互聯網涉及多個不同的參與主體，包括設備制造商、系統集成商和運營商等。因此，在平臺安全方面，確定確切的責任主體變得復雜，這給安全管理和維護帶來了巨大挑戰。

2）安全威脅復雜多樣。工業互聯網面臨著各種各樣的安全威脅，如惡意軟件、網絡釣魚、拒絕服務攻擊等。這些威脅的類型和數量多種多樣，攻擊手段也變得越來越復雜，這給公司平臺安全帶來了巨大挑戰。

3）平臺缺乏安全框架。長鋼公司工業互聯網平臺的安全框架相對薄弱，缺乏完善的安全機制和措施。這導致平臺在應對各種安全威脅時缺乏足夠的防護能力。

2 工控信息網絡安全防護

2.1 安全軟件管理

1）在工業主機上，只允許運行那些經過離線驗證和安全評估的防病毒軟件或白名單應用程序。這些軟件和應用還必須得到工業企業的授權才能運行。離線驗證確保軟件在與互聯網隔離的環境中驗證其完整性和安全性。同時，安全評估包括對軟件源代碼的審查、漏洞研究以及滲透測試等。這種措施確保了只有來自可靠和受信任來源的軟件才能在主機上運行。

2）為了工業控制系統和臨時接入設備的安全，必須實施防病毒和惡意軟件入侵管理機制。這些機制執行病毒查殺等預防措施，確保系統的安全性。

2.2 配置和補丁管理

1）應確保工業控制網絡、工業主機和工業控制設備的安全配置得到妥善管理，并為工業控制系統建立配置清單，定期進行配置審計。

2）在實施重大配置變更前，應制定變更計劃并進行影響分析，確保變更前經過嚴格的安全測試。

3）應時刻關注重大的工控安全漏洞及其補丁發布，及時采取補丁升級措施。在安裝補丁前，還要對補丁進行嚴格的安全評估和測試驗證。

2.3 邊界安全防護

1）應將工業控制系統的開發、測試和生產環境相互分離。

2）使用工業控制網絡邊界防護設備對工業控制網絡與企業網或互聯網之間的邊界進行安全防護，確保沒有防護的工業控制網絡不與互聯網連接。

3）通過工業防火墻、網閘等防護設備，為工業控制網絡安全區域提供邏輯隔離安全防護。

2.4 物理環境安全防護

1）對于重要的工程師站、數據庫、服務器等核心工業控制軟硬件所在區域，應采取訪問控制、視頻監控、人員值守等物理安全防護措施。

2）拆除或封閉工業主機上不必要的接口，如USB、光驅、無線等。如果確實需要使用這些接口，應通過主機外設安全管理技術手段實施嚴格的訪問控制。

2.5 身份認證管理

1）在工業主機的登錄、應用服務資源的訪問以及工業平臺的訪問等過程中，應實施身份認證管理。對于關鍵設備、系統和平臺的訪問，應采用多因素認證方式。

2）應合理地分類設置賬戶權限，按照最小特權原則來分配賬戶權限。

3）加強工業控制設備、SCADA 軟件、工業通信設備等的登錄賬戶及密碼的安全性，避免使用默認口令或弱口令，并定期更新口令。

4）應加大對身份認證證書信息的保護力度，禁止在不同系統和網絡環境下共享這些證書信息。

2.6 進程訪問管理

1）原則上應嚴格禁止工業控制系統面向互聯網開通高風險通用網絡服務，如HTTP、FTP、Telnet 等。

2）如果確實需要進程訪問，應采用數據單向訪問控制等策略進行安全加固，控制訪問時限，并采用加標鎖定策略。

3）對于確實需要的進程維護，應采用虛擬專用網絡（VPN）等安全的進程接入方式進行。

4）應保留工業控制系統的相關訪問日志，并對操作過程進行安全審計，確保系統的安全和可追溯性。

2.7 數據安全管理

1）應對在靜態存儲和動態傳輸過程中的重要工業數據進行保護，并基于風險評估結果對數據信息進行分級分類管理，確保數據的安全性和完整性。

2）對測試數據進行保護。

3 結語

企業網絡安全防護需要一套綜合性的技術與管理措施，企業網絡安全是一項長期且緊迫的任務。通過采用多層次、綜合性的安全防護策略，結合新型的技術手段，企業可以更好地應對不斷演變的網絡威脅，確保敏感數據的保護和業務的持續穩定運行。在未來的發展中，網絡安全將繼續成為企業不可忽視的核心議題。