工业控制系统信息安全因素及防护策略的探索

张红金，蹇彪，李继安，崔艳娜，黄智

（1.工业和信息化部电子第五研究所，广东 广州 510610；2.安徽赛宝工业技术研究院有限公司，安徽 合肥 230000）

0 引言

随着网络信息时代的到来，我国工业模式发生了翻天覆地的变化，彻底地打破了 “信息孤岛”模式，企业全面联网，生产数据轻松地实现了汇总分析，不但提高了生产效率，还达到了节能减排的目的。信息化给工业带来的有利变化是显而易见的，但随之而来的网络安全问题却日益严重，并带来了一系列的损失[1]。

随着工业4.0、两化深度融合、 “互联网+”“中国制造2025”和 “智能制造”等战略目标的提出，工业化和信息化的融合发展不断深入，工业控制系统 （ICS:Industrial Control System）面临的各类安全问题和风险愈发凸显，同时我们要充分地认识到加强ICS信息安全的重要性和紧迫性[2]。我国政府高度重视ICS的信息安全，国务院与工业和信息化部相继下发了许多关于工业控制信息安全方面的通知文件，例如: 《关于加强工业控制系统信息安全管理的通知》 （工信部协 〔2011〕451号）、国务院 《关于大力推进信息化发展和保障信息安全的若干意见》 （国发 ［2012］23号）、2016年10月19日工业和信息化部发布的 《工业控制系统信息安全防护指南》、2017年6月15日工业和信息化部发布的 《工业控制系统信息安全事件应急管理工作指南》和2017年8月11日工业和信息化部发

布的 《工业控制系统信息安全防护能力评估工作管理办法》等。

工业信息安全是网络强国战略的重要组成部分，是保障国家总体安全的重要内容，是推进 “互联网+”行动计划和实施制造强国战略的基础条件，特别是近年来，随着国家对 “两化”整合的深度推进，ICS的信息安全已经上升到国家的战略安全层面。

1 工业控制系统的主要类型及基本体系架构

ICS是对工业生产过程安全 （Safety）、网络安全 （Securitiy）和可靠运行产生作用和影响的人员、硬件和软件的集合[3]。常见的ICS有监控与数据采集（SCADA:Supervisory Control And Data Acquisition）系统、分布式控制系统 （DCS:Distributed Control System）、能源管理系统 （EMS:Energy Management System）、自动化系统 （AS:Automatic System）、安全仪表系统 （SIS:Safety Instrumented System）和其他一些小型控制系统装置，如可编程逻辑控制器 （PLC）等[4]。

不同的企业，其ICS的体系架构也不尽相同，但一般来说，各个企业的ICS所囊括的基本体系架构都大同小异[5]，基本的体系架构如图1所示。

图1 ICS的体系架构

2 工业控制系统信息安全现状

随着科学技术的发展，ICS目前已广泛地应用于核实施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通和民航，以及城市供水供气供热等工业领域[6]，成为了国家关键基础设施的重要组成部分，充当着国家关键基础设施的 “大脑”和 “中枢神经”角色。

2010年以来重大ICS信息安全事件如下所示。

2010年， “震网”病毒感染了全球超过45 000个网络，并造成伊朗核电站推迟发电。此次事件让全球都开始意识到，ICS已经成为了黑客攻击的目标。

2011年11月21日，美国伊利诺伊州城市供水SCADA系统遭黑客入侵，导致一个向数千户家庭供水的水泵被毁。

2011年， “Duqu”病毒袭击中东能源行业。

2012年5月28日， “Flame”病毒感染中东能源行业。

2013年10月，以色列北部城市Haifa的全国路网遭到了网络攻击，引发了该城市的主干路上的大规模的交通拥堵。

2014年6月，Havex恶意软件入侵欧美能源控制系统，Havex病毒席卷了欧美1 000多家能源控制系统，对关键信息基础设施造成了重大的破坏。

2015年12月23日， “Black Energy”攻击导致乌克兰电网系统瘫痪，引发持续3 h的大面积停电事故，数百户家庭供电被迫中断。

2016年1月25日，以色列电力局遭受大规模网络攻击，迫使以色列官员不得不中止电力系统中大量计算机的正常运行。

2016年5月，首例可在PLC之间传播的蠕虫病毒被测试证实，该蠕虫病毒无需借助PC或其他系统，即可在PLC之间进行传播，进而使被感染PLC拒绝服务、停止工作等。同时，这种蠕虫攻击还可以被PLC产生的电波频率和振幅所掩盖，使得人们很难发现它的存在。

2016年10月，网络攻击导致美国东岸各大网站瘫痪，美国最主要的DNS服务商Dyn遭遇大规模的分布式拒绝服务 （DDoS）攻击，导致美国东海岸 Twitter、 Spotify、 Netflix、 AirBnb、 CNN 和华尔街日报等数百家网站无法访问。

从ICS自身来看，随着信息技术的发展，现代ICS正在逐渐地使用通用的TCP/IP标准协议、通用的操作系统，同业务系统等其他信息系统的连接也越来越多，ICS固有的安全漏洞和攻击面日益增加[7]。据不完全统计，近年来发生的ICS安全事件主要以恶意入侵、攻击为主，针对ICS的攻击主要威胁其物理安全、功能安全和系统信息安全，以达到直接破坏控制器、通信设备的目的，除对ICS的直接恶意攻击外，对于ICS的破坏主要来自于对ICS的非法入侵，篡改工业参数指令或入侵系统破坏生产设备和生产工艺、获取商业信息、工业数据等也是近年来入侵ICS的常见现象。ICS往往缺乏或根本不具备防护能力，与此同时ICS每次出现安全事件都会给相关企业造成重大的经济损失，甚至直接威胁到国家的战略安全[8]。

3 我国工业控制系统信息安全问题产生的因素

由于ICS普遍缺乏有效的工业安全防御和数据通信保密措施，特别是随着信息化的推动和工业化进程的加速，越来越多的计算机和网络技术应用于ICS中，工业控制网与公共网的连接给企业带来了诸多的便利，但同时也减弱了控制系统与外界的隔离。通过对相关工控事件案例进行分析，发现导致ICS的安全隐患问题日益严峻的因素主要有以下4个方面。

3.1 信息化建设的发展因素

过程控制系统 （DCS/PLC/PCS/RTU等）和SCADA系统广泛地采用现代信息技术，Windows、Ethernet、现场总线技术和OPC等技术在工业设备中的应用导致设备接口越来越开放，使过程控制系统和SCADA系统等不再与外界隔离；另外，来自局域网、因特网、移动U盘、维修人员便携式电脑接入和其他因素导致的网络安全问题正在逐渐地在过程控制系统和SCADA系统中扩散，直接影响了工业生产的稳定性，对工业控制设备产生了威胁。

3.2 工业控制系统缺陷容易被攻击的因素

ICS的设计开发并未将系统防护、数据保密等安全指标纳入其中， 再者工业控制网络中大量采用TCP/IP技术，而且ICS网络与企业网络连接，以太网技术的高速发展及其80%的市场占有率，防护措施的薄弱 （如TCP/IP协议缺陷、工业应用漏洞和现场总线缺陷）导致攻击者很容易通过企业网络间接入侵ICS。

3.3 国产化程度因素

随着ICS、网络和协议的不断发展和升级，不同的厂商对以太网技术也在加速推广，而国内重要控制系统有超过80%的系统都使用的是国外的产品和技术，核心的技术和元件均掌握在他人手里，这给国内的工业网络造成了巨大的安全隐患。

3.4 软、硬件的漏洞因素

目前所使用的ICS绝大部分是多年前开发的，由于早期的工业控制都是相对独立的网络环境，在产品设计和网络部署时，只考虑了功能性和稳定性，但是忽略了系统对网络安全措施的需要。当前互联网的技术已进入ICS的设计中，这一变化使ICS开始面临各种威胁，ICS中的各种通用协议、应用软件和硬件也暴露出了一些比较严重的漏洞和安全隐患，只要利用这些漏洞和隐患即可入侵ICS，获得控制器和执行器的控制权，进而破坏整个系统。

国家信息安全漏洞共享平台 （CNVD:China National Vulnerability Database）统计了2000年1月份—2017年8月份ICS行业厂商漏洞数量及其占比 （如图2所示）和ICS行业中高危、中危与低危漏洞等级占比 （如图3所示），这些漏洞统计数据再一次给我们敲响了警钟。而我国控制器设备则主要采用西门子 （SIEMENS）、研华 （Advantech）和施耐德 （Schneider）等公司的产品，因此这些控制器所具有的漏洞极易成为恶意攻击的突破口。

图2 ICS业厂商漏洞数量

图3 ICS行业漏洞危险等级

4 工业控制系统信息安全防护策略

通过对ICS的特点和系统安全现状的分析，可以看出ICS不仅面临着大多数传统的信息系统所面临的安全问题，而且也存在自身独特的安全需求。因此，提高整个ICS的物理安全、功能安全和信息安全必须从技术和管理两个角度入手，双重考虑[9]。

现以某有色金属集团控股有限公司 （以下简称有色集团）为例，阐述ICS信息安全防护的有效策略。该有色集团涉及的业务主要为有色金属、化工和装备制造这3部分。

4.1 管理方面防护策略

4.1.1 成立工业控制系统信息安全协调小组

工业企业应在疏理工控安全管理要素的基础上，成立由有色集团总裁为组长、分管生产安全的副总裁为副组长、各分公司总经理为主要组员的ICS信息安全协调小组，如图4所示。协调小组制定了集团的工控安全总体目标，确定了集团工控安全工作责任，负责重大工控安全事件的处置，负责组织实施ICS全生命周期的安全防护体系的建设和管理。

图4 工控安全协调小组的组织架构示意图

4.1.2 加大宣传教育、加强培训

有色集团协调小组制订了宣传教育方案、宣传资料、培训计划和培训教材，内容覆盖了网络安全意识、教育、基本技能培训、专业技术和技能培训，注重全员网络安全宣传教育和培训，提高网络安全意识，增强网络安全基本防护技能。每月月末开展工控安全管理人员和技术人员网络安全专业、技能培训，每季季末对工控安全管理人员和技术人员进行考核，考核不合格者直接调岗。

4.1.3落实工控安全责任制

有色集团协调小组以管理制度的形式明确了信息中心、生产管理处和设备管理处的具体职责，指定了每个部门ICS安全的主要责任人。从ICS应用安全的需求入手来细化管理制度，明确地确定专门负责应用安全、网络安全、物理安全、主机安全、数据安全、系统运维和系统建设等人员的相关责任，并指定主要责任人。

4.2 技术方面的防护策略

有色集团采用的是一种基于ERP、MES和PCS3层架构的管控一体化ICS体系架构，而运行MES的信息网络必须要实现与控制网络之间的数据交换才能获取低层生产的实时数据，这样产生工控安全问题的可能性还是比较高，尤其是控制网络的安全是关系到有色集团整个生产系统的 “绝对”安全的基石。

4.2.1 物理隔离

有色集团的网络物理隔离采用 “2+1”的3模块架构，内置双主机系统，隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。网络物理隔离提供的应用专门针对控制网络的安全防护，采用的是OPC通讯规范，只提供控制网络常用通信功能，严禁提供通用互联网功能，如此一来，便能够更适合有色集团控制网络与办公网络，以及控制网络各独立子系统之间的隔离。其主要优势表现为:

a）独立的运算单元和存储单元， 各自运行独立的操作系统和应用系统；

b）安全隔离区采用私有加密的数据交互技术，数据交换不依靠TCP/IP协议；

c）与信息层上传数据时，可实现断线缓存、续传；

d）实时数据交换，延时时间小于1 ms。

4.2.2 防火墙技术

商用防火墙是目前网络边界上最常用的一种防护设备。其提供的主要功能包括访问控制、地址转换、应用代理、带宽和流量控制、事件审核和警报等。商用防火墙诞生于传统的信息网络环境下，虽然经过了多年的发展和完善，但其应用环境还是局限于企业信息网络，它对工业网络环境还有诸多的不适应。

国际市场上已经出现了的一些专门用于保护工业网络安全的产品，这些产品的生产商宣称他们的产品可以对工业网络中的控制设备或控制系统起到安全保护的作用，但近几年连续爆出的工控安全事件却一次次地给我们敲响了警钟，让我们对这些产品的安全性产生了质疑。我国工业网络正在迅速地普及过程中，工业网络越来越多地接入到了互联网中，仅依靠国外技术和产品来保护我们的工业网络安全是不够的，基于此，有色集团选择了具有自主产权的HC-ISG国产工业防火墙，该产品能够针对工业通讯协议进行深度过滤，将每个工业协议作为一个独立的深度过滤模块，以插件的方式按需加载到系统中，最大限度地满足了工业现场的各种安全防护要求。

4.2.3 白名单技术

有色集团工控安全系统在控制过程中采用的是白名单主动防御技术，该技术通过提前计划好的协议规则来限制网络数据的交换，在控制网到信息网之间进行动态行为判断。通过对约定协议的特征进行分析和端口限制的方法，从根源上节制未知恶意软件的运行和传播。

白名单技术的优势比较明显，主要表现为:

a）能够抵御 “零日”漏洞攻击和其他有针对性的攻击，在默认情况下，任何未经批准的软件、工具和进程都不能在端点上运行；

b）提供报警，可以检测到恶意程序或文件并给出警示，让安全人员立即采取行动；

c）保持系统以最佳性能运行，提高工作效率；

d）对正在运行的应用、工具和进程，可提供对系统的全面可视性，如果相同的、未经授权的程序试图在多个端点运行，该数据可用于追踪攻击者的路径；

e）能够帮助抵御高级内存注入攻击，该技术可以验证内存中运行的所有经批准的进程并确保这些进程在运行时没有被修改，从而抵御高级内存漏洞被利用的风险。

4.2.4 虚拟专用网络

有色集团工控安全系统在数据传输过程中采用虚拟专用网络 （VPN:Virtual Private Network）技术对数据进行加密，搭建该虚拟专用网络产品均采用加密及身份验证等安全技术，从根本上保证了连接的可靠性和传输数据的安全和保密性；利用ISP的设施和服务，完全掌握着网络的控制权。在具体执行的过程中，工控安全负责工作人员主要通过鉴别，控制访问到受信网络；在未受信网络上，维护受信数据的完整性；记录的信息用于传输监视、分析和入侵保护。

在VPN技术安全协议方面，采用的是互联网安全协议IPsec，在工业控制环境中可进行安全访问，最大程度地限制控制系统计算机主机和控制器的连接和访问，从而保证了安全性。

4.2.5 安全审计

有色集团委托专家组对当前的ICS进行安全风险评估，专家组在充分地了解了工业控制系统的网络结构、漏洞等具体情况后，整个系统的风险被评定为中危。针对专家组所给出的评定结论，协调小组采取了一系列增强措施，主要包括以下3个方面。

a）从技术和管理角度制定相关的制度和管理办法，内容涵盖防火墙升级、操作系统和数据库等；加强对系统访问的权限管理，硬性要求应定时地对安全系统进行补丁。

b）对系统各个组件的功能进行严格的管理，包括禁用控制器或其他关键设备上的对外接口、修补已知的系统漏洞，确保将配置选项设定为最安全的设置。

c）对控制系统的管理人员和维修维护人员进行安全意识培训，制定相关的培训计划，确保员工熟悉并遵守制定的相关规程制度。

5 结束语

以太网技术在工业控制网络中广泛的应用，使得现代工业网络取得了突飞猛进的发展，但同时也为企业的网络安全工作带来了严峻的考验。信息化前进的步伐是要与安全管理的提高相辅相成的，我们在加大信息安全管理的同时，必须要加强工控设备安全的建设。随着我国工业化和信息化的深度融合以及物联网的快速发展，未来的ICS将会融合更多的先进的信息安全技术，如云计算、云安全等，必须持续加强对工业控制领域的整体安全部署，完善和提供整体的安全解决方案[10]。为此，我们必须将工业信息安全摆上战略位置，提高思想重视程度，推进落实各项工作，为国家的工业生产运行提供安全的环境，为两化深度融合提供安全的保障。