工业控制系统信息安全防护的研究

詹乃松+乔振亚

摘 要：工业制造行业因设备使用寿命长、设备稳定性高、控制系统牵涉面广，工业控制系统存在着版本升级缓慢，安全防护技术落后，无法兼容新型操作系统等问题。传统的工业隔离网已无法适应新形势下的企业生产管理需求。了解、掌握攻击技术路线，主动防御；建立健全安全保障体系，全方位防护；敦促工业控制系统安全技术架构升级，才能够引领工业生产及制造行业安全平稳地进入“互联网+”时代。

关键词：工业控制系统；设备风险；安全保障框架；入侵检测

中图分类号： TP39 文献标识码：A

The Research on Information Security Protection of Industrial Control System

Zhan Nai-song， Qiao Zhen-ya

（Hydrochina Huadong Engineering Corporation Limited， Zhejiang Hangzhou 311122）

Abstract： Due to long equipment usage time， high equipment stability and wide cover range of control system in manufacturing industry， industrial control system faces slow version upgrade， lag in safety protection technology， incompatibility with new operation system. The traditional industrial isolation network is unable to adapt to the production management demands of enterprises under the new situation. We should understand and master technical line of attack and defend actively， establish and improve the security assurance system and defend comprehensively， urge and push the technology architecture upgrade of the industrial control system security protection. Only in this way can we lead industrial production and manufacturing industry into “Internet Plus” era.

Key words： Control System of Industry； Equipment Risk； Industrial Security Assurance Framework； Intrusion Detection

1 引言

我国政府在2016年年初提出了生产制造模式的变革，推动产业结构明显提升。随着网络和信息技术在各个传统行业中的广泛应用，使得生产过程变得更加智能化及可视化。近几年，物联网、工业网、智慧城市、智慧交通等逐渐进入人们的工作和生活，都是建立在网络互联的基础之上。

在智慧工厂、智慧生产的背景下，工业控制系统与传统网络之间、工业控制系统之间的网络互联已经成为趋势。网络互联可以提高生产力和创新力，减少能源及资源消耗，加快产业模式转型升级，但是网络互联也会带来一些问题，网络安全就是最重要的问题。

传统工业控制系统设计时都是在一张独立的控制网里面，没有过多地考虑与外部的连接及数据交互，所以一般只考虑功能的实现，并没有考虑到安全防护方面的问题。网络互联使工业控制系统直接暴露在互联网上，这必将给工控网里面的重要生产系统、基础设施等带来巨大的安全风险。从近几年网络攻击的发展趋势来看，目前工业控制系统面临的网络攻击，已成为最严重的国家安全挑战之一。

2 工业控制系统安全需求的變化

网络钓鱼仍然是经常使用的攻击方法，因为它相对易于执行和有效。通过弱身份验证技术所发生的入侵仍处于一个比较高的比例，网络扫描和SQL注入的尝试也保持较高的比例。作为资产所有者应确保网络防御措施能够应对这些流行的入侵技术。

随着两化融合的进一步发展，工业控制系统越来越多地使用通用的协议、通用硬件和通用软件。同时，由于前期架构设计或管理不完善的原因，工业控制系统的边界越来越模糊，很多工业控制系统多多少少与互联网有单个或多个通道，这将给工业控制系统带来极大的风险，攻击者从因特网，通过管理信息大区和生产控制大区的不安全连接，便可以轻松到达工业控制网络，从而发动攻击。

此外，工业控制系统常用的ModBus等协议，在设计之初主要考虑了工业控制系统的可用性和实时性，并没有从保密性等方面进行考虑，因此这些工业控制协议缺少加密和认证等环节，这将造成工业控制系统内部的信息很容易被窃取，并且窃取的信息未经加密，攻击者可以直接获得其中的信息。此外，缺少认证环节，也导致下位机存在“有命令就执行”的风险，攻击者无需伪装身份，可以以任意IP、MAC、账户进行组态[1]，这将给工业控制系统带来极大的风险和隐患。

3 工业控制系统安全技术

原先封闭、孤立的工业控制系统在网络互联的背景下，正逐渐转化为开放互联的系统，控制网络与传统信息网络相连推动了生产的自动化，可以实现用户不用去生产现场，通过远程维护与Internet连接就可以控制生产系统。网络互联给工业生产带来的技术进步、生产率提高的同时，也面临着越来越严重的安全威胁。endprint

3.1 攻击技术路线

近年来，工业安全事件正在呈快速增长的趋势，且这些事件多分布在能源、关键制造业、市政、交通等涉及国计民生的关键基础行业。这与关键基础行业对于现实社会的重要性及其工控系统的自动化、信息化程度较高有着紧密的关系[2]。

根据CVE公开漏洞库整理的工业控制系统漏洞设计的工控系统的分布如图1所示。

如图1所示，SCADA、PLC工业交换机的漏洞在工控漏洞中占据前三位，它們也是最容易被攻击者利用发动攻击的主要工业控制系统。

由于工业控制系统协议缺少加密和认证的机制，因此信息泄露占工业控制系统脆弱点第一位，其次由于工业控制系统本身具有较高的脆弱性、缓冲区溢出、安全绕过、拒绝服务等攻击，也是攻击者常用的攻击手段，这些攻击低则可以直接对相关工业控制系统进行流量攻击使其瘫痪，如果攻击者使用的手段较为巧妙，则可以通过这些攻击取得相关工控系统的最高权限进行组态。同时，像远程执行等操作有的是因为相关系统本身的脆弱性导致，但是也有很大一部分是由于相关管理人员安全意识淡薄，没有主动意识到相关的安全威胁，而导致的安全基线较低[3]。

通过对大量工业控制系统信息安全事件的分析，我们发现大多数的工业控制系统信息安全事件影响范围和危害程度较大，且在此类事件中显露出来的攻击思路和攻击视野在一段时间内会带来示范效应。结合传统IT系统的攻击演变过程，总结出工业控制系统的攻击路线图，如图2所示。

攻击目标演变：攻击目标往往针对关键基础设施和重要单位。

攻击者水平：攻击代码愈加专业化，个人很难开展，黑客组织（竞争对手、工业间谍、政治打击）已成为当前工控系统的主要攻击发起者。

攻击时间演变：攻击事件持续时间很长，甚至长达数年。

攻击态度演变：攻击者逐步变为极具耐心，不断尝试，通过长期的潜伏，收集目标系统的信息，一步一步获取目标系统的权限。

攻击手段演变：由破坏通信过程，引起上位机与下位机通信中断，到通过控制上位机恶意下装引起控制器运行逻辑问题，引起上位机和下位机整体逻辑异常，或者通过提前预制恶意软件达到对控制系统进行攻击的目的。

攻击范围扩大：攻击者关注的范围由基础设施扩大到油化、冶金、制造业、智能部件、物联网等范围。

从工控系统安全技术的发展看，目前工控系统的安全防护主要以边界防护为主。从工业控制系统安全事件看，单纯的边界安全防护技术已经不能够解决工业控制系统所面临的安全问题，工控安全防护技术已经向深度防护的方向发展，从工控系统的生命周期的角度来考虑工业控制系统的安全。近些年，在工控安全领域关于工控安全漏洞的挖掘、漏洞扫描、工控安全审计、工业蜜罐（蜜罐场）、未知威胁及APT攻击检测、态势感知、综合预警等相关技术开始涌现出来，以此来提升工业控制系统所面临的安全威胁[4]。原来传统的信息安全企业、高校及研究机构也在已经开展针对工业控制系统的安全研究，但是从整个产业的发展看，由于工控系统与传统信息网络的差距，工业控制系统安全与工业控制技术要完美融合还有一段距离。

3.2 总体工业安全保障框架

对于工业控制系统的安全防护，光靠利用设备去做防护是远远不够的。应从技术、管理和运行三个维度来保障工业控制系统安全。三个维度中主要包含工控网络边界防护、安全深度防护、安全运行和安全管理要求等几个方面，融合了技术、管理和运行的要求来保障工业控制系统的安全。同时，结合工业控制系统运行阶段的特点，针对工业控制系统的安全建设应从上线前的安全检测、安全能力防护、安全运行三个阶段，覆盖工业控制系统运行周期的安全保障。

3.2.1 技术方面

3.2.1.1 访问控制

针对工业控制系统的访问控制可以参照等级保护中相关级别的访问控制内容，同时又要充分考虑到工业控制系统中的时机情况去设置。

工业控制系统的访问控制可以使用基于角色的访问控制模型，基本思想是将权限分配给一定的角色，用户所获得权限取决于用户所获得的角色。这是因为在很多实际环境中，用户并不是可以访问的目标系统的所有者，访问控制应该基于用户的职务角色，而不是基于用户在哪个组，即访问控制是由每个用户在生产系统中所扮演的角色来确定的。相关的角色拥有不同对工业控制系统的访问，修改权限，并做好权限最小化的工作[5]。

3.2.1.2 审计

审计是一项记录的独立的审核和检查，也是访问系统控制的适当性的动作，用于确认同意建立的政策和操作性过程，也用于推荐控制、政策或者过程中的必要的改变。审计日志也提供安全防卫来反映，例如审查失败或者审查日志能力已负荷。审查数据应该防止被修改并且被设计为具有无可替代的能力[6]。

在传统的IT系统中，用于审查的最初基础已经被记录保存。在ICS环境中，使用适当的工具需要从与ICS、主要产品和设备的安全隐患相似的IT专业获取可扩展的知识。安装在ICS中的很多过程控制设备已经被安装多年，并且不具有提供文中所阐述审查记录的能力。因此，这些用于审查系统和网络活动的调制解调器工具的适应性，依赖于ICS中组成部分的能力。但是，如果相关的工控交换机支持端口镜像，则应该采用第三方的审计设备对ICS系统的操作进行审计。

一般来说，为了应对固定端口进行协议识别的缺陷，系统应用识别引擎采用DPI和DFI两种技术， 可以结合应用的行为和特征实现对应用的识别，而不依赖于端口或协议。因为在工控系统中，很多系统采用的私有协议，或一些小厂家的设备，这些系统可能采用动态端口，所以针对固定端口的入侵检测是无法实现高效的检测[7]。

审计装置应使用DPI技术，即深度包检测。在进行分析报文头的基础上，结合不同的应用协议特征值综合判断所属的应用。DFI，即深度流检测，它是基于一种流量行为的应用识别技术。DPI技术可以比较准确地识别出具体的应用，而DFI技术由于采用流量模型方式，可以识别出DPI技术无法识别的流量。endprint

同时，为了有效地对规约的指令进行识别，审计装置应集成规约识别模板，能够对不同的指令在应用场景中的不同进行有效选取，针对不同厂家的控制设备，制定相应的模板。通过深度解析后，与定义模板进行匹配，发现相应的工控设备类型，通过内置策略对记录相关的操作行为中的异常行为进行告警。

3.2.1.3 纵深防御

不同于传统IT网络采用IPS、WAF等串聯安全防护设备。为了保证工业控制网络业务的连续性，大部分工业控制网络中建议不要使用串联的安全设备，而是采用工控入侵检测类的旁路监测设备对威胁进行第一时间的告警。不采用工控IPS的原因还有误报率，工控环境中如果组态命令被IPS误报而丢弃，可能会导致较大的安全事故[8]。

在发生相关的入侵事件后，工控入侵检测可以第一时间进行告警，告警内容包括被入侵的资产IP、攻击源、攻击时间点、攻击类型等。相关的告警信息会反馈给工业控制系统管理员，然后由管理员来进行判断，是否为真的攻击或是误报，这也对管理员的信息安全水平提出了相应的要求。

3.2.1.4 上位机管控

在大部分工控系统中，上位机是整个系统重要的脆弱性短板之一。主要的原因为大部分上位机底层还是运行的Windows系统或者Linux系统，且这些系统版本一般来说都较为陈旧，厂商处于降低后期维护成本的目的，一般不会对底层系统进行升级或打补丁的操作，所以即使攻击者并没有很多工控系统的入侵经验，也可以利用上位机本身系统的脆弱性进行攻击和渗透，所以要从整个上位机来进行安全方面的考虑。

现阶段，一般来说针对上位机的安全措施主要有几点：首先对上位机的底层系统进行加固和基线水平的提高；其次就是使用各类上位机管控软件，该类上位机管控软件采用进程白名单机制，对白名单内的进程进行放过，对于白名单之外的进程全部杀停。采用此种机制的原因主要是上位机的功能和安装的软件一般来说都较为单一，使用白名单机制不管对于使用者还是软件维护者来说工作量都可以最小化，并且只要上位机软件不更新，相关的管控软件和白名单列表便不需要更新，明显地降低了工控系统管理者的运维量和在升级过程中带来的风险[8]。

3.2.2 运行

3.2.2.1 事件响应

事件响应方案是预先通过演练确定一套动作或者应对的文档，目的是限制事件结果发生来保护组织的信息系统。一个事件被发现，则会使用响应方案迅速对攻击和响应选择的风险进行评估。例如，一个可能的响应选择是在受到攻击时进行断网。但是，这会导致对于相关业务造成影响，因此需要在事前提前做好响应的应急响应措施，相关受到攻击的工业控制系统及时进行隔离、恢复，短时间无法实现的可以切换到手动操作。

3.2.2.2 安全培训

对于ICS环境，必须包括控制系统特别信息安全意识和用于特别的ICS申请培训。此外，一个组织必须认证、归档和培训所有具有明显ICS角色和责任的人员。意识和培训必须涵盖被控制的物理进程和ICS。

安全意识是一个ICS事件防护的重要部分，特别在社会工程威胁来临时显得尤为重要。社会工程是一项用于操作个人进入的个人信息，例如密码，这项信息能够被用于包括其它的安全系统。

完成一项ICS安全项目可能会导致在个人连接计算机项目、应用和计算机桌面本身的方式上发生变化。组织者应该设计有效的培训项目和交流手段来帮助员工理解为什么需要新的访问和控制方式、降低风险的方法以及如果控制方法不被落实对于组织产生的影响。培训项目能够提高相关人员的安全意识，让他们在今后的生产活动中去积极落实相关安全管理制度，提升工业控制系统安全性。

4 结束语

虽然工业控制系统为了保障业务的稳定运行，也具备了一定的安全功能，但是这些功能更多是防止误操作对工业控制系统的影响，在应对外部攻击所导致功能失效的时候起到一定的作用。但是，随着工业网络互联及信息化的加深，必然将导致工业控制系统受攻击的也会增多，结合实际的操作规程要求、实际功能安全属性、基于业务流程的行为分析，形成信息安全技术手段与业务行为分析的相互融合技术，才能在工业控制系统信息安全领域实现真正的突破。

参考文献

[1] NIST SP800-82.

[2] 电力监控系统安全防护规定[].国家发改委，2014.

[3] 夏春明.工业控制系统信息安全现状及发展趋势[J].信息安全与技术，2013.

[4] 信息安全技术安全可控信息系统电力系统安全指标体系[J].中国电科院，2012.

[5] 张帅.工业控制系统安全风险分析[J].信息安全与通信保密，2012.

[6] 魏钦志.工业网络控制系统的安全与管理[J].测控技术，2013.

[7] 张帅.工业控制系统安全现状与风险分析——ICS工业控制系统安全风险分析之一[J].计算机安全，2012.

[8] 孙易安.工业控制系统安全网络防护研究[J].信息安全研究，2017.endprint