浅谈工业控制系统安全体系建设

◆傅 钰



浅谈工业控制系统安全体系建设

◆傅 钰

(江苏国保信息系统测评中心有限公司 江苏 215006)

工业控制系统广泛用于冶金、电力、石油石化、先进制造等工业生产领域，以及航空、铁路、公路、轨道交通等公共服务领域，是国家关键生产和基础设施运行的中枢神经。近几年针对工业控制系统的攻击事件成上升趋势，部分工业控制网络的安全防护仍然存在诸多薄弱环节，工业控制系统直接危及到国家基础设施的安全，安全防护刻不容缓。本文从工业控制系统的系统架构、安全形势、安全风险以及安全防护体系建设方面展开讨论。

工业控制系统；安全体系；风险分析

1 工业控制系统架构

工业控制系统是通过计算机、网络通信、自动化控制技术进行工业生产和控制的系统。工业控制系统一般常用于电力、燃气、轨道交通、石油石化、烟草等行业。

工业生产型企业的网络按网络用途可以分为办公网和生产网。

办公网主要用于企业用户日常业务办公的网络，从整体网络架构上可以理解为企业管理层，通常包括门户网站、ERP、数据库服务器，电子邮件系统等，部分企业的办公网由于需要与外部单位进行沟通和业务往来，一般都设置互联网出口。

生产网是企业用于工业生产和控制的网络，生产网络包含多个网络层，网络架构可以进一步划分成MES层、过程监控层、现场控制层和现场设备层。MES层通常包括仓储管理、计划排产、历史数据库等系统；过程监控层通常包括操作员站、工程师站、监控服务器、实时数据库和接口服务器；现场控制层通常包括DCS（分散控制系统）和PLC（可编程逻辑控制器）系统；现场设备层通常包括各种环境探测器、动力控制设备等。

2 工业控制系统安全形势

工业控制系统作为重要的关键基础实施，近几年攻击事件不断，恶意组织通过精心策划和预谋，利用了多种方式组合渗透到工业控制网络内部对工业控制系统发起攻击和破坏，典型的攻击事件如下：

2010年10月伊朗核电站遭遇"震网"（Stuxnet）病毒攻击，控制离心机运行，引发大面积设备故障，进而导致影响整个工业生产正常运行，带来巨大的社会影响和经济损失。

2015年12月乌克兰电力系统遭受攻击，感染了恶意代码BlackEnergy（黑色能量），攻击者入侵了监控管理系统SCADA下达断电指令，导致了多个区域数小时的停电事故。

2017年5月全球爆发勒索病毒，除了在传统计算机系统大肆传播以外还向工业控制系统进行渗透，它们利用PLC系统自身的漏洞，采取横向或纵向渗透的方式对PLC进行攻击，锁定设备合法用户，对PLC中的程序代码进行修改，发送勒索邮件，并触发更严重的安全威胁。

针对工业控制系统严峻的安全形势，近几年国家对工业信息安全高度重视。 2016年10月工信部下发了《工业控制系统信息安全防护指南》对工业控制系统安全防护提出了指导意见；2017年6月1日，网络安全法发布，其中要求对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施实行重点保护，并提出相关保护要求和措施；2017年12月，工信部发布《工业控制系统信息安全行动计划（2018-2020年）》提出建成全国在线监测网络，应急资源库，仿真测试、信息共享、信息通报平台（一网一库三平台），态势感知、安全防护、应急处置能力显著提升的目标。

3 工业控制系统安全现状与风险分析

工业生产型企业通常对传统网络的信息安全采取了一定的安全防护措施，但对工业控制系统信息安全缺乏足够的重视，安全防护和管理能力不足，这就导致了工业控制网络仍然存在较大的安全漏洞和风险。存在的安全风险主要包括如下几个方面：

3.1 物理安全风险

物理安全主要是指存放信息系统和重要设备的物理场所（通常包括信息系统中心机房、重要设备的控制站、指挥中心等）的物理安全防护。缺乏有效的物理安全防护手段，非授权或恶意攻击人员将可以随意进出或非授权触碰访问重要设备，可能导致社会工程或物理邻近攻击。

3.2 网络安全风险

网络方面存在的主要问题是企业网络区域划分不合理，未划分明确清晰的安全域，安全域与安全域之间为采取边界隔离措施，最明显的就是生产网直接与办公网连接。办公网由于业务往来需要与互联网连接，这就导致了可能从互联网出口引入更多的安全威胁，办公网引入的安全威胁将进一步传播渗透到生产网，进而对工业控制网络进行攻击和破坏。许多企业出于安全考虑虽然将办公网络和生产网络采取物理隔离措施，但并不代表网络就绝对安全可靠，震网病毒就是通过企业员工的移动存储介质在私人电脑与工业控制网络工作站之间进行摆渡从而实现对工业控制系统的攻击。

3.3 主机安全风险

主机的安全风险主要包括病毒、木马和蠕虫的攻击，以及通过移动外设引入的威胁。在大部分的用户场景中已使用杀毒软件进行安全防护。但是杀毒软件主要还是针对已知的病毒和威胁进行防御，对于精心设计的攻击病毒或木马无法有效进行防御。部分用户为了传递资料方便，开启了工控网络的工程师站电脑的USB接口，导致移动存储介质混用，从其他网络引入威胁到工控网络，导致攻击事件发生。

3.4 管理安全风险

管理方面主要存在的问题是未成立安全管理机构或机构设置不完善，未设置专人负责日常安全管理工作，总体安全方针、安全策略、安全管理制度、操作规程不健全或执行不到位，未加强信息安全意识和技能培训，未定期开展应急演练等，这些问题都导致恶意份子利用管理疏漏对企业内部进行渗透和攻击。

4 工业控制系统安全防护设计

4.1 安全域划分

安全域是统一放置具有相同功能用途类别或安全级别的设备的区域，根据前文中所介绍的工控网络区域，可以网络区域为基础单位划分安全域，根据实际安全风险评估的情况，可在各安全域中进一步细化成若干个安全子域，增强安全访问控制的力度。建议办公网划分成一个安全域，MES层划分成一个安全域，过程监控层划分成一个安全域，现场控制层和现场设备层划分成一个安全域或各自独立划分安全域。

4.2 边界防护设计

基于已经划分的安全域在各安全域边界部署工业控制防火墙设备，工业控制防火墙与我们通常接触的传统防火墙有一定的区别，除了支持常规的网络攻击防护和网络访问控制功能外，还能够广泛支持常用工业设备的控制协议，对工控协议进行深度解析，并且当异常攻击流量经过该防火墙时，能够进行阻断和告警。在实际部署时根据安全防护的强度进行调整，当对安全保护级别要求较高时，可在SCADA服务器前端以及各DCS和PLC系统前端分部部署工业控制防火墙系统，此种部署方式能够进一步对内部网络的恶意攻击进行防御。

4.3 漏洞发掘和安全监测

通过部署漏洞扫描系统定期对工业控制系统设备进行安全漏洞扫描和风险评估，及时修复安全漏洞，也可聘请专业的信息安全公司以服务的方式进行提供。同时部署异常流量监测系统对网络中的异常流量进行监测，专职安全人员对监测数据进行分析和研判，及时发现异常攻击行为，将攻击源头从网络中断开，避免攻击影响进一步扩大，针对攻击行为进一步采取安全防护和加固措施。

4.4 主机安全防护

在各工业控制系统控制终端上部署白名单软件，只允许工业生产所需运行的程序运行，其他软件全部禁止运行，进一步加强主机系统的安全性，同时通过移动存储介质控制功能防止恶意代码运行和传播。

4.5 安全管理中心

部署安全管理中心对各安全设备进行统一安全管理，通过一个平台可以集中管理所有安全防护或监测系统，集中收集各安全系统的日志，并进行汇总、关联分析和展示，实现安全可控、可管和可视化。

4.6 信息安全管理

成立信息安全管理机构并设置专职的安全管理人员负责工业控制系统日常的安全管理工作，建立健全各项安全管理制度和操作规程，加强日常安全运维管理工作，制定网络安全应急预案并定期进行演练，提升网络安全事件的应急处置和系统功能恢复能力。

5 结语

信息技术不断在发展，网络安全威胁也在不断发生变化，没有网络安全就没有国家安全。随着国家深化制造业与互联网融合发展的重大举措的实施，工业控制系统信息安全防护任重而道远，作为一名信息安全从业人员，将以维护国家基础设施安全为己任，为国家信息安全事业贡献一份力量。

[1]肖建荣.工业控制系统信息安全[M].电子工业出版社， 2015.

[2]姚羽，祝烈煌，武传坤.工业控制网络安全技术与实践.机械工业出版社，2017.