南京華盾電力信息安全測評有限公司 張五一 李圣泉

能源行業(yè)工控系統(tǒng)信息安全分析與防護

南京華盾電力信息安全測評有限公司 張五一 李圣泉

工控系統(tǒng)已廣泛的應(yīng)用于電力、煤炭、石油、天然氣等能源行業(yè)的各個領(lǐng)域。在推動該領(lǐng)域技術(shù)進步的同時也面臨著日益嚴(yán)重的信息安全問題。能源行業(yè)工控系統(tǒng)信息安全事關(guān)我國國家經(jīng)濟安全和人民生命財產(chǎn)安全，工控系統(tǒng)的信息安全已引起業(yè)界高度的關(guān)注。2011年9月，工業(yè)和信息化部專門發(fā)文《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，要求加強國家重點領(lǐng)域主要工業(yè)基礎(chǔ)設(shè)施控制系統(tǒng)的安全保護工作，強調(diào)加強工業(yè)信息安全的重要性和緊迫性。工業(yè)和信息化部發(fā)布的《信息安全產(chǎn)業(yè)“十二五”發(fā)展規(guī)劃》中，已將“工控系統(tǒng)安全技術(shù)”作為“十二五”發(fā)展重點，并將“工控系統(tǒng)安全技術(shù)”列入“信息安全關(guān)鍵技術(shù)”加以扶持和重點建設(shè)。因此，能源行業(yè)作為我國國民經(jīng)濟發(fā)展中最重要的基礎(chǔ)產(chǎn)業(yè)，其工控系統(tǒng)信息安全工作將成為當(dāng)前乃至今后很長一段時間內(nèi)的重中之重。為此，密切關(guān)注國內(nèi)外工控系統(tǒng)信息安全發(fā)展態(tài)勢，結(jié)合能源行業(yè)工控系統(tǒng)安全防護及等級保護要求，充分了解能源行業(yè)工控系統(tǒng)信息安全現(xiàn)狀，深刻分析安全風(fēng)險產(chǎn)生的原因及帶來的影響，建立有針對性的安全防護措施，為能源行業(yè)工控系統(tǒng)安全穩(wěn)定運行保駕護航。

能源行業(yè)工控系統(tǒng)信息安全形勢及現(xiàn)狀分析

1.工控系統(tǒng)的基本概念

工控系統(tǒng)(Industrial Control Systems,ICS)是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集、檢測的過程控制組件，共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA，supervisory control and data acquisition）、分布式控制系統(tǒng)（distributed control systems，DCS），可編程邏輯控制器（programmable logic controller，PLC）、遠程終端（Remote Terminal Unit，RTU）、智能電子設(shè)備（Intelligent Electronic Device ，IED）以及確保各組件通信的接口技術(shù)。工控系統(tǒng)利用工業(yè)控制自動化技術(shù)對傳統(tǒng)工業(yè)進行改造，實現(xiàn)工業(yè)控制自動化的三個主要層次：基礎(chǔ)自動化、過程自動化和管理自動化。

2.能源行業(yè)工控系統(tǒng)信息安全形勢

能源行業(yè)是國民經(jīng)濟發(fā)展中最重要的基礎(chǔ)產(chǎn)業(yè)，也是國家的支柱性產(chǎn)業(yè)，主要包括電力、煤炭、石油、天然氣等。其基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)已成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，能源行業(yè)工控系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工控系統(tǒng)擴散，工控系統(tǒng)信息安全問題日益突出。尤其是2010年震驚全球的“震網(wǎng)”病毒事件之后，相繼出現(xiàn)“毒區(qū)”、“火焰”等超級病毒，能源行業(yè)首當(dāng)其沖成為他們攻擊的目標(biāo)。

能源行業(yè)工控系統(tǒng)的安全分析

1.工控系統(tǒng)安全風(fēng)險產(chǎn)生的原因分析

工控系統(tǒng)風(fēng)險產(chǎn)生的原因主要有：

（1）工控系統(tǒng)自身存在的風(fēng)險。例如，操作系統(tǒng)的安全漏洞，殺毒軟件安裝、升級、更新，U盤、光盤等移動存儲介質(zhì)的使用導(dǎo)致的病毒傳播、設(shè)備維修或組態(tài)變更時筆記本電腦的隨意接入，工控系統(tǒng)被有意或無意的控制，工控系統(tǒng)終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備故障沒有及時發(fā)現(xiàn)而響應(yīng)延遲等等問題。

（2）工控系統(tǒng)采用通用軟硬件帶來的風(fēng)險

使用Microsoft Windows和Unix-like等開放式系統(tǒng)以及TCP/IP等標(biāo)準(zhǔn)化技術(shù)和OPC等開放的協(xié)議標(biāo)準(zhǔn)雖具有經(jīng)濟性和技術(shù)優(yōu)勢，但也增加了工控系統(tǒng)的網(wǎng)絡(luò)事件的脆弱性。在工控系統(tǒng)中，大量使用了工業(yè)以太環(huán)網(wǎng)和OPC通信協(xié)議進行工控系統(tǒng)的集成，大量使用了PC服務(wù)器和終端產(chǎn)品，以及通用的操作系統(tǒng)和數(shù)據(jù)庫，很容易遭到來自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬、黑客的攻擊。

2.工控系統(tǒng)的威脅分析

工控系統(tǒng)面臨的威脅是多樣化的：首先，敵對政府、恐怖組織、商業(yè)間諜、內(nèi)部不法人員、外部非法入侵者等對系統(tǒng)虎視眈眈。國家關(guān)鍵基礎(chǔ)設(shè)施所依賴的很多重要信息系統(tǒng)從技術(shù)特征上講是工控系統(tǒng)而不是傳統(tǒng)上我們熟悉的TCP/IP網(wǎng)絡(luò)，其安全是國家經(jīng)濟穩(wěn)定運行的關(guān)鍵，是信息戰(zhàn)中敵方的重要攻擊目標(biāo)，一旦受到攻擊，后果極其嚴(yán)重。其次，系統(tǒng)復(fù)雜性、人為事故、操作失誤、設(shè)備故障和自然災(zāi)害等也會對工控系統(tǒng)造成破壞。在現(xiàn)代計算機和網(wǎng)絡(luò)技術(shù)融合進工控系統(tǒng)后，傳統(tǒng)TCP/IP網(wǎng)絡(luò)上常見的安全問題已經(jīng)紛紛轉(zhuǎn)移出現(xiàn)在工控系統(tǒng)之上。例如，如果不采取措施控制用戶隨意安裝、運行各類應(yīng)用軟件，訪問各類網(wǎng)站信息，就會影響工作效率、浪費系統(tǒng)資源，而且還是病毒木馬蠕蟲等惡意代碼進入系統(tǒng)的主要原因和途徑。

3.工控系統(tǒng)的漏洞分析

工控系統(tǒng)的漏洞大致可劃分成策略與程序類、平臺和網(wǎng)絡(luò)類等。這些漏洞具體來說可能存在于物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各個方面。根據(jù)參考相關(guān)國際標(biāo)準(zhǔn)，給出以下工控系統(tǒng)的漏洞分類與描述。

（1）安全策略與管理流程：工控系統(tǒng)的安全意識欠缺和缺少培訓(xùn)，缺少安全策略、架構(gòu)與設(shè)計；缺少規(guī)范的安全流程、設(shè)備安全部署實施指南，缺少針對性的工控系統(tǒng)配置變更指南、業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計劃；安全審計機制的缺失等。

（2）工控系統(tǒng)平臺方面

1)平臺硬件：關(guān)鍵系統(tǒng)沒有物理防護，無線與電磁干擾，缺乏電源、關(guān)鍵組件的備份，缺少環(huán)境控制，未授權(quán)人員訪問物理設(shè)備，不安全的遠程訪問組件，雙網(wǎng)卡連接多個網(wǎng)絡(luò)，安全變更測試準(zhǔn)備不充分等。

2)平臺軟件：軟件OPC通信依賴于RPC和DCOM或不安全的工控系統(tǒng)協(xié)議，沒有定義或定義不清或非法的輸入處理不當(dāng)，軟件已安裝的功能未開啟，啟用多余的服務(wù)，采用明文方式，采用易獲取其關(guān)鍵信息資料的軟件、緩沖區(qū)溢出、拒絕服務(wù)攻擊，缺少入侵檢測與防護，缺乏有效的認(rèn)證、鑒別與訪問控制機制，缺乏安全日志維護和安全事件的檢測。

3)平臺配置：對已知的系統(tǒng)與應(yīng)用補丁缺少維護和測試，已知的系統(tǒng)與軟件漏洞未提供相應(yīng)的補丁，采用相關(guān)的默認(rèn)配置，關(guān)鍵配置信息未備份，數(shù)據(jù)存儲在沒有受安全保護的移動介質(zhì)中，缺少必要的口令策略、口令缺失、口令泄露、口令易猜解，使用不規(guī)范、不充分的訪問控制規(guī)則。

4)惡意代碼：缺少防惡意代碼的程序，防惡意代碼程序未及時升級更新，惡意防護程序存在兼容性問題。

（3）工控系統(tǒng)網(wǎng)絡(luò)方面

1)網(wǎng)絡(luò)結(jié)構(gòu)：工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)設(shè)計不合理，未進行VLAN的劃分、利用網(wǎng)橋連接兩個網(wǎng)絡(luò)等，未能有效防止廣播風(fēng)暴等。

2)網(wǎng)絡(luò)硬件：網(wǎng)絡(luò)設(shè)備物理安全防護缺乏或不充分，物理端口缺少防護，環(huán)境控制缺失，非相關(guān)人員訪問設(shè)備、連接網(wǎng)絡(luò)，缺少關(guān)鍵設(shè)施的容錯、冗余、備份。

3)網(wǎng)絡(luò)配置：網(wǎng)絡(luò)安全設(shè)備配置不當(dāng)，關(guān)鍵設(shè)備配置信息沒有存儲或備份，網(wǎng)絡(luò)安全架構(gòu)設(shè)計有缺陷，設(shè)備口令不經(jīng)常更換。

4)網(wǎng)絡(luò)邊界：安全邊界缺失，邊界防護設(shè)備缺少或配置不當(dāng)，缺少對流量的管控。

5)網(wǎng)絡(luò)通信：采用明文傳輸?shù)膮f(xié)議，缺少對數(shù)據(jù)、設(shè)備、用戶、實體等的規(guī)范的認(rèn)證機制，通信完整性檢查缺失。

6)網(wǎng)絡(luò)監(jiān)控與日志：工控系統(tǒng)網(wǎng)絡(luò)缺少安全監(jiān)控審計，網(wǎng)絡(luò)設(shè)備的日志記錄不充分。

7)無線連接：缺少對無線AP與客戶端間的數(shù)據(jù)保護或認(rèn)證不充分。

能源行業(yè)工控系統(tǒng)安全防護

1.工控系統(tǒng)安全防護相關(guān)標(biāo)準(zhǔn)和規(guī)范

為了規(guī)范和指導(dǎo)工控系統(tǒng)的安全防護，國內(nèi)外相關(guān)機構(gòu)和組織先后出臺了工控系統(tǒng)安全標(biāo)準(zhǔn)和規(guī)范。美國標(biāo)準(zhǔn)計算研究所（NIST）制定的《工業(yè)控制系統(tǒng)安全指南》（NIST SP 800-82）（Guide to Industrial Control Systems（ICS）Security），該指南概述了工控系統(tǒng)和典型的系統(tǒng)拓撲結(jié)構(gòu)，指出了對于這些系統(tǒng)的典型威脅和脆弱點所在，為消減相關(guān)風(fēng)險提供了建議性的安全對策。我國國家標(biāo)準(zhǔn)化委員會于2011年1月，發(fā)布《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》，制定了工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估的規(guī)范。2011年9月29日，工信部發(fā)布《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部【2011】451號）?！锻ㄖ芬?，加強重點領(lǐng)域工控系統(tǒng)關(guān)鍵設(shè)備的信息安全測評工作，建立工控系統(tǒng)信息安全檢查制度，建立信息安全漏洞信息發(fā)布制度，落實連接管理、組網(wǎng)管理、配置管理、設(shè)備選擇與升級管理、數(shù)據(jù)管理和應(yīng)急管理等管理要求。2012年，國務(wù)院發(fā)布《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)〔2012〕23號），要求確保能源、交通等涉及國計民生的重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)安全，保障電力、水力、石油石化、油氣管網(wǎng)等重要領(lǐng)域工控系統(tǒng)安全。

目前，國內(nèi)在編的工控系統(tǒng)相關(guān)標(biāo)準(zhǔn)有《工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》、《工業(yè)控制系統(tǒng)安全管理基本要求》、《工業(yè)控制系統(tǒng)安全檢查指南》、《工業(yè)控制系統(tǒng)測控終端安全要求》、《工業(yè)控制系統(tǒng)安全防護技術(shù)要求和測試評價方法》、《工業(yè)控制系統(tǒng)安全分級指南》、《工業(yè)控制系統(tǒng)信息安全評估規(guī)范》、《工業(yè)控制系統(tǒng)信息安全驗收規(guī)范》、《工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全 第1-1部分：術(shù)語、概念和模型》、《工業(yè)過程測量和控制安全 第 3 部分 ：網(wǎng)絡(luò)和系統(tǒng)信息安全》、《工業(yè)通信網(wǎng)絡(luò) 網(wǎng)絡(luò)和系統(tǒng)安全 第3-1部分：工業(yè)自動化和控制系統(tǒng)信息安全技術(shù)》等。這些標(biāo)準(zhǔn)的發(fā)布和實施，將為我國能源行業(yè)工控系統(tǒng)信息安全提供有力的技術(shù)支撐。

2 工控系統(tǒng)安全防護措施要求

根據(jù)國家《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）標(biāo)準(zhǔn)及各行業(yè)標(biāo)準(zhǔn)和相關(guān)規(guī)定，結(jié)合單位、企業(yè)所處的實際情況開展工控系統(tǒng)的安全防護。例如電力行業(yè)，需要根據(jù)等級保護及電力二次系統(tǒng)防護遵循的“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”原則等要求和規(guī)范開展電力行業(yè)的工控系統(tǒng)安全防護措施建設(shè)。國際標(biāo)準(zhǔn)ANSI/ISA-99也指出目前工業(yè)控制領(lǐng)域普遍認(rèn)可的安全防御措施要求包括：區(qū)域劃分、管道建立、通信管控。

區(qū)域劃分：即將具有相同功能和安全要求的控制設(shè)備劃分到同一區(qū)域，達到安全等級分區(qū)的目標(biāo)。

管道建立：即區(qū)域之間執(zhí)行管道通信，便于控制。

通信控制：通過控制區(qū)域間管道中的通信管理控制來實現(xiàn)設(shè)備保護，使數(shù)據(jù)通信可控。

另外，在對工控系統(tǒng)進行安全防護體系建設(shè)時可參考IEC 62443工業(yè)通信網(wǎng)絡(luò)信息安全系列標(biāo)準(zhǔn)。

電力行業(yè)于2004年發(fā)布《電力二次系統(tǒng)安全防護規(guī)定》（電監(jiān)會5號令），2007年發(fā)布《電力行業(yè)信息系統(tǒng)安全等級保護定級工作指導(dǎo)意見》，2012年發(fā)布《電力行業(yè)信息系統(tǒng)安全等級保護基本要求》、2014年發(fā)布《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（發(fā)改委14號令）等一系列行業(yè)政策規(guī)范性文件，并在貫徹落實中培養(yǎng)了一批專業(yè)的信息安全支撐隊伍，積累了豐富的信息安全保障經(jīng)驗，提升了信息安全服務(wù)能力和水平。

3 工控系統(tǒng)安全防護的思考和建議

能源行業(yè)工控系統(tǒng)作為國家經(jīng)濟命脈的重要基礎(chǔ)設(shè)施，其信息安全問題已迫在眉睫。為此，從技術(shù)及管理等方面提出如下思考和建議:

技術(shù)方面：

1）實現(xiàn)工控系統(tǒng)安全域的劃分與隔離, 嚴(yán)格控制移動存儲介質(zhì)和無線通信網(wǎng)絡(luò)的接入, 及時更新經(jīng)測試過的安全補丁和增強安全策略的配置，升級各種防護設(shè)備的規(guī)則。

2）對網(wǎng)絡(luò)拓撲結(jié)構(gòu)進行深入研究和分析，及時發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計上的薄弱環(huán)節(jié)和設(shè)備功能缺陷，并采取必要的結(jié)構(gòu)調(diào)整和技術(shù)改進措施。

3）針對工控系統(tǒng)投產(chǎn)已久，網(wǎng)絡(luò)設(shè)備老化問題，建議根據(jù)設(shè)備的使用年限、技術(shù)參數(shù)、性能指標(biāo)等相關(guān)標(biāo)準(zhǔn)進行定期檢測，排查安全隱患，做到提前預(yù)防，避免設(shè)備老化引發(fā)信息安全事件。

4）加強主要網(wǎng)絡(luò)設(shè)備的日志監(jiān)控管理，盡可能采用第三方日志審計系統(tǒng)進行集中監(jiān)控，并對日志記錄進行長期保存和定期分析，發(fā)現(xiàn)異常后能夠及時報警。

管理方面：

1）圍繞工控系統(tǒng)的生命周期從源頭抓起，做到系統(tǒng)設(shè)計時提前規(guī)劃，系統(tǒng)上線前、變更后按時檢測，系統(tǒng)運行后定期測評，系統(tǒng)測評后及時整改，確保把安全隱患消除在萌芽狀態(tài)。

2）以等級保護工作為抓手，以工控設(shè)備安全檢測為切入點，開展工控設(shè)備的摸底調(diào)查，全面掌握設(shè)備的運行狀況，并根據(jù)國內(nèi)外工控系統(tǒng)發(fā)生的安全事件進行威脅和脆弱性分析，建立工控設(shè)備漏洞庫。通過等級測評、風(fēng)險評估、安全檢測等手段，及時發(fā)現(xiàn)存在的安全隱患和薄弱環(huán)節(jié)，針對突出問題，要根據(jù)難易程度制定整改優(yōu)先級，逐一解決；針對技術(shù)難題，要求加強技術(shù)攻關(guān)，逐步解決；針對共性問題，要采取集中解決。

3）加強日常運維管理、人員培訓(xùn)管理和人才隊伍建設(shè)。針對不同類型的網(wǎng)絡(luò)設(shè)備制定相應(yīng)的運維標(biāo)準(zhǔn)和規(guī)范；定期組織信息安全方面的知識培訓(xùn)，提高信息安全意識，提升運維服務(wù)技能；并設(shè)立專門崗位，明確職責(zé)，責(zé)任到人。

4）加強應(yīng)急預(yù)案管理，對特定的安全事件（如安全風(fēng)險不可控、成本高等）制定具體的應(yīng)急預(yù)案和處置方案，并加強日常培訓(xùn)和演練。及時開展信息安全專項檢查行動，定期進行應(yīng)急演練，檢驗指揮協(xié)調(diào)機制和保障能力。

5）加強第三方外包服務(wù)管理，建立變更管理制度，以制度規(guī)范行為，明確安全責(zé)任。在系統(tǒng)發(fā)生重要變更時，制定相應(yīng)的變更方案，建立變更的管控流程，并對變更影響進行分析，記錄變更的實施過程。

總之，工控系統(tǒng)信息安全不是一個單純的技術(shù)問題，而是涉及到技術(shù)、管理、流程、人員意識等各方面的系統(tǒng)工程，需要組建包括控制工程師、工控設(shè)備供應(yīng)商、系統(tǒng)集成商、信息安全專家等成員的工控系統(tǒng)信息安全隊伍。結(jié)合工控系統(tǒng)自身的體系結(jié)構(gòu)和功能特點，在監(jiān)控級（如：工程師站、操作員站、歷史站等）和網(wǎng)絡(luò)層面可采取現(xiàn)有等級保護的相關(guān)標(biāo)準(zhǔn)和規(guī)范開展等級測評；在控制級，應(yīng)加強對Modbus、OPC等通信協(xié)議的使用管理，對其用戶身份進行鑒別和認(rèn)證；在現(xiàn)場級，應(yīng)實現(xiàn)對設(shè)備、控制元件的準(zhǔn)入檢測，加快建立工控設(shè)備的檢測標(biāo)準(zhǔn)和規(guī)范；在管理上，應(yīng)建立完善的工控系統(tǒng)安全運維方案、策略和計劃，加強日常安全培訓(xùn)，嚴(yán)控處理流程，防止內(nèi)部攻擊，實現(xiàn)終端安全防護，操作使用安全，針對現(xiàn)階段難以解決的技術(shù)問題應(yīng)通過管理手段進行彌補，切實提高工控系統(tǒng)的安全防護能力。工控系統(tǒng)信息安全是一個動態(tài)過程，需要在整個工業(yè)基礎(chǔ)設(shè)施生命周期的各個階段中持續(xù)實施，不斷完善改進。