首鋼總公司 繆明軍 王福生 丁可

《冶金自動(dòng)化控制系統(tǒng)信息安全問(wèn)題探討》（節(jié)選）

首鋼總公司 繆明軍 王福生 丁可

《工業(yè)控制系統(tǒng)信息安全》?？糠謨?nèi)容節(jié)選

2.2 按照縱深防御的理念，逐步建立基于工控信息全生命周期的安全管控體系

縱深防御就是通過(guò)設(shè)置多層重疊的安全防護(hù)系統(tǒng)而構(gòu)成多道防線，使得即使某一防線失效也能被其它防線彌補(bǔ)或糾正。它包括將工控設(shè)備在網(wǎng)絡(luò)上與其它不必要相聯(lián)的系統(tǒng)斷開(kāi)，維護(hù)防火墻的完整性，建立安全策略與流程，進(jìn)行網(wǎng)絡(luò)分區(qū)與（控制單元間的）邊界防護(hù)，建立安全的單元間通信，惡意軟件的檢測(cè)與防護(hù)，訪問(wèn)控制與賬號(hào)管理，記錄設(shè)備訪問(wèn)日志，并進(jìn)行必要的審計(jì)等內(nèi)容?？v深防御策略的目標(biāo)有兩個(gè)：一是即使在某一點(diǎn)發(fā)生網(wǎng)絡(luò)安全事故，也能保證裝置或工廠的正常安全穩(wěn)定運(yùn)行；工廠操作人員能夠及時(shí)準(zhǔn)確地確認(rèn)故障點(diǎn)，并排除問(wèn)題。為實(shí)現(xiàn)這一目標(biāo)，應(yīng)從自動(dòng)化控制系統(tǒng)安全體系架構(gòu)設(shè)計(jì)、自動(dòng)化控制系統(tǒng)的供應(yīng)鏈安全、自動(dòng)化控制系統(tǒng)上線前的安全檢查、自動(dòng)化控制系統(tǒng)的安全運(yùn)維與管理等方面進(jìn)行綜合、全面考慮，逐步建立基于工控信息全生命周期的安全管控體系。

（1）自動(dòng)化控制系統(tǒng)安全體系架構(gòu)設(shè)計(jì)應(yīng)把信息安全融入到自動(dòng)化控制系統(tǒng)的整體設(shè)計(jì)之中，在對(duì)冶金自動(dòng)化控制系統(tǒng)安全需求進(jìn)行系統(tǒng)分析，制定相應(yīng)的安全規(guī)劃；對(duì)工控系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，切合實(shí)際地識(shí)別出該系統(tǒng)的安全脆弱性，面臨的安全威脅，以及風(fēng)險(xiǎn)的來(lái)源的基礎(chǔ)上，借助于產(chǎn)品安全、安全操作指南以及專業(yè)的工業(yè)安全服務(wù)，建立、部署層次化的多重安全措施，如通過(guò)防火墻、隔離網(wǎng)閘等網(wǎng)關(guān)類安全設(shè)備實(shí)現(xiàn)自動(dòng)控制系統(tǒng)與其它信息系統(tǒng)間的有效隔離，并通過(guò)系統(tǒng)準(zhǔn)入機(jī)制，確保系統(tǒng)訪問(wèn)者的可信身份及使用設(shè)備的安全性等。

（2）自動(dòng)化控制系統(tǒng)的供應(yīng)鏈安全

應(yīng)將自動(dòng)化控制系統(tǒng)的供應(yīng)鏈安全作為工業(yè)控制系統(tǒng)信息安全防護(hù)體系的組成部分，以防工業(yè)控制系統(tǒng)及其組件遭受因供應(yīng)鏈安全所造成的威脅。目前國(guó)內(nèi)主要的冶金企業(yè)鋼廠都無(wú)一例外地安裝使用了西門(mén)子、羅克韋爾自動(dòng)化、ABB、TEMIC（東芝三菱）、Yaskawa（日本安川）等公司生產(chǎn)的自動(dòng)化控制系統(tǒng)及組件，一旦環(huán)境發(fā)生變化，自動(dòng)化備件的采購(gòu)及現(xiàn)場(chǎng)工控系統(tǒng)的維護(hù)就有可能受到嚴(yán)重威脅。此外，部分規(guī)模較小的供應(yīng)商對(duì)產(chǎn)品存在的缺陷和安全認(rèn)識(shí)不足，對(duì)出現(xiàn)的安全問(wèn)題不能做到快速響應(yīng)。因此在對(duì)工控系統(tǒng)及組件進(jìn)行采購(gòu)時(shí)，要充分考慮政治因素，并在采購(gòu)合同中對(duì)系統(tǒng)的預(yù)期運(yùn)行環(huán)境、系統(tǒng)的安全性能、安全保障等提出明確的要求。

（3）自動(dòng)化控制系統(tǒng)上線前的安全檢查

自動(dòng)化控制系統(tǒng)、系統(tǒng)組件或設(shè)備在上線運(yùn)行前，應(yīng)使用專門(mén)的工具（或通過(guò)第三方測(cè)評(píng)機(jī)構(gòu)）對(duì)其中可能存在的安全隱患進(jìn)行相應(yīng)的安全檢測(cè)（包括但不限于漏洞掃描、配置核查、無(wú)線網(wǎng)絡(luò)的安全評(píng)估以及后門(mén)探測(cè)等），期望通過(guò)上線前安全檢測(cè)能夠及時(shí)發(fā)現(xiàn)潛在的安全隱患，進(jìn)而通過(guò)系統(tǒng)加固、優(yōu)化安全配置及安全防護(hù)策略等手段盡可能避免因自動(dòng)化控制系統(tǒng)自身的缺陷所帶來(lái)的安全威脅。從工業(yè)控制系統(tǒng)上線前的安全檢查開(kāi)始，把信息安全融入到正常的驗(yàn)收體系中，除了功能性安全驗(yàn)收外，信息安全驗(yàn)收也要作為工業(yè)控制系統(tǒng)（系統(tǒng)組件或設(shè)備）能否正常上線的一個(gè)重要評(píng)估依據(jù)。

（4）自動(dòng)化控制系統(tǒng)日常運(yùn)行及維護(hù)管理

在冶金自動(dòng)化控制系統(tǒng)的日常運(yùn)行階段，應(yīng)建立相應(yīng)的人員安全管理制度及安全意識(shí)培訓(xùn)機(jī)制，明確系統(tǒng)操作、管理人員的職責(zé)及授權(quán)，建立相關(guān)人員的操作行為監(jiān)管及審計(jì)機(jī)制，通過(guò)制度、管理和技術(shù)手段來(lái)規(guī)范系統(tǒng)相關(guān)人員的系統(tǒng)操作行為。

對(duì)在線運(yùn)行的自動(dòng)化控制系統(tǒng)，要制定明確的邊界控制及系統(tǒng)防護(hù)策略，嚴(yán)格管理所有可能的自動(dòng)化系統(tǒng)訪問(wèn)入口（如工控系統(tǒng)網(wǎng)絡(luò)禁止與公共網(wǎng)絡(luò)連接，如若必須連接時(shí)，要逐一進(jìn)行登記，采取設(shè)置防火墻、單向隔離等措施加以防護(hù)；禁止在工業(yè)控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)以及便攜式計(jì)算機(jī)；封閉或拆除終端設(shè)備外接端口等）；要求終端設(shè)備（含服務(wù)器、計(jì)算機(jī)、打印機(jī)、掃描儀等）必須安裝正版操作系統(tǒng)及系統(tǒng)軟件，安裝必要的防病毒軟件；建立控制服務(wù)器等工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備安全配置管理，對(duì)重點(diǎn)崗位的計(jì)算機(jī)系統(tǒng)必須設(shè)置使用權(quán)限及專人使用的保護(hù)機(jī)制，禁止非專業(yè)人員操作系統(tǒng)和不明軟件進(jìn)入系統(tǒng)；崗位重點(diǎn)計(jì)算機(jī)系統(tǒng)用戶必須定期與不定期地進(jìn)行文件備份工作，重要的數(shù)據(jù)要及時(shí)進(jìn)行備份，對(duì)于存放重要數(shù)據(jù)和程序的存儲(chǔ)介質(zhì)，要求將數(shù)據(jù)和程序分別存放，要貼有寫(xiě)保護(hù)簽，以防數(shù)據(jù)和程序被破壞或感染病毒；建立工業(yè)控制系統(tǒng)信息安全檢查、安全測(cè)評(píng)檢查和漏洞發(fā)布制度，盡早發(fā)現(xiàn)系統(tǒng)存在的潛在安全風(fēng)險(xiǎn)，通過(guò)調(diào)整安全防護(hù)策略及安全整改實(shí)現(xiàn)對(duì)自動(dòng)化控制系統(tǒng)防護(hù)能力的提升。