孫士赫

摘要：長(zhǎng)期以來(lái)，工業(yè)控制系統(tǒng)獨(dú)立封閉，存在天然的安全性，因而其網(wǎng)絡(luò)安全隱患被忽視了。隨著工業(yè)信息化的發(fā)展，自 動(dòng)化領(lǐng)域也開(kāi)始大量采用現(xiàn)場(chǎng)總線(xiàn)、工業(yè)以太網(wǎng)以及無(wú)線(xiàn)技術(shù)，控制系統(tǒng)越來(lái)越開(kāi)放，系統(tǒng)互聯(lián)也越來(lái)越多。為工業(yè)生產(chǎn)帶 來(lái)極大推動(dòng)，隨之而來(lái)的，各種威脅和脆弱性也被引入了工業(yè)控制系統(tǒng)。本文主要介紹工控系統(tǒng)網(wǎng)絡(luò)安全主要風(fēng)險(xiǎn)分析和如 何做好工控系統(tǒng)安全防護(hù)工作。

關(guān)鍵詞： 工業(yè)控制系統(tǒng)；漏洞；網(wǎng)絡(luò)安全；安全評(píng)估

中圖分類(lèi)號(hào)：F239.2 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-3178（2018）06-0348-01

1.概述

長(zhǎng)期以來(lái)，工業(yè)控制系統(tǒng)獨(dú)立封閉，存在天然的安全性，因而

其網(wǎng)絡(luò)安全隱患一直被忽視了。隨著“兩化融合”的推進(jìn)，APC、實(shí) 時(shí)數(shù)據(jù)庫(kù)、報(bào)警管理等系統(tǒng)的部署實(shí)施，使得工業(yè)控制系統(tǒng)不再獨(dú) 立；同時(shí)工控系統(tǒng)伴隨著 IT 技術(shù)的發(fā)展而發(fā)展，工業(yè)控制系統(tǒng)技術(shù) 由專(zhuān)用性向通用性演進(jìn)，大量采用 IT 通用軟硬件，如PC、操作系統(tǒng)、 數(shù)據(jù)庫(kù)系統(tǒng)、以太網(wǎng)、TCP/IP 協(xié)議等。隨之而來(lái)的，各種威脅和脆 弱性也被引入了工業(yè)控制系統(tǒng)，互聯(lián)網(wǎng)中的病毒、網(wǎng)絡(luò)黑客等威脅 通過(guò)開(kāi)放的網(wǎng)絡(luò)連接正在向工業(yè)控制系統(tǒng)擴(kuò)散，威脅到煉油化工裝 置的控制運(yùn)行和安全生產(chǎn)，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題日益突出。

2.工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 2.1 平臺(tái)方面的安全漏洞

2.1.1 平臺(tái)配置方面

目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站/操作站都是 Windows 平

臺(tái)的，操作系統(tǒng)安全漏洞被發(fā)現(xiàn)后供應(yīng)商可能沒(méi)有開(kāi)發(fā)出相應(yīng)的補(bǔ) 丁程序，導(dǎo)致操作系統(tǒng)和應(yīng)用軟件補(bǔ)丁程序沒(méi)有及時(shí)安裝；由于工 控系統(tǒng)軟件及操作系統(tǒng)更新的復(fù)雜性、實(shí)時(shí)性、可靠性，導(dǎo)致不能 輕易“打補(bǔ)丁”，補(bǔ)丁程序的更新必須面對(duì)廣泛的回歸測(cè)試，從測(cè)試 到最終發(fā)布之間有較長(zhǎng)的漏洞暴露周期；同時(shí)微軟對(duì)windowXP 停止 技術(shù)支持，而目前工控系統(tǒng)中操作站平臺(tái)以 windowXP居多，存在重 大安全漏洞；使用缺省配置可能會(huì)導(dǎo)致不安全或不必要的端口或服 務(wù)沒(méi)有關(guān)閉；關(guān)鍵配置文件沒(méi)有存儲(chǔ)備份措施。

2.1.2 平臺(tái)軟件和硬件方面

信息安全意識(shí)缺失導(dǎo)致產(chǎn)品/系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)維上嚴(yán)重安

全漏洞，大量工控產(chǎn)品和工控協(xié)議在設(shè)計(jì)上存在安全缺陷：無(wú)身份 認(rèn)證、無(wú)訪(fǎng)問(wèn)控制、無(wú)數(shù)據(jù)加密、無(wú)安全審計(jì)…產(chǎn)品上線(xiàn)前未做信 息安全測(cè)試。工控漏洞多，且很難在生產(chǎn)系統(tǒng)中修補(bǔ)。

用于控制系統(tǒng)的硬件是脆弱的，對(duì)于關(guān)鍵設(shè)備如果沒(méi)有備用電 源，電力不足將關(guān)閉工控系統(tǒng)，并可能產(chǎn)生不安全的情況。環(huán)境控 制的缺失可能會(huì)導(dǎo)致處理器過(guò)熱，有些處理器將關(guān)閉以自我保護(hù)； 有些可能會(huì)繼續(xù)工作，但在輸出功率較小，產(chǎn)生間歇性的錯(cuò)誤；關(guān) 鍵設(shè)備沒(méi)有冗余備份可能導(dǎo)致嚴(yán)重故障的發(fā)生等安全漏洞。

2.1.3 平臺(tái)惡意軟件防護(hù)方面

工業(yè)控制網(wǎng)絡(luò)中，為了各種專(zhuān)用軟件的穩(wěn)定性和兼容性，許多

工控系統(tǒng)操作站通常不會(huì)安裝殺毒軟件，操作系統(tǒng)一旦部署完畢也 基本不再打系統(tǒng)補(bǔ)丁。即使安裝了殺毒軟件，在使用過(guò)程中也有很 大的局限性。防惡意軟件版本或特征碼未更新以及防惡意軟件安裝 前未進(jìn)行廣泛的測(cè)試都可能會(huì)對(duì)工控系統(tǒng)正常運(yùn)轉(zhuǎn)產(chǎn)生影響。

2.2 網(wǎng)絡(luò)方面的安全漏洞

網(wǎng)絡(luò)方面的漏洞可分為網(wǎng)絡(luò)配置漏洞；網(wǎng)絡(luò)硬件漏洞；網(wǎng)絡(luò)邊

界漏洞；網(wǎng)絡(luò)監(jiān)控和記錄漏洞 ；通信中的漏洞；無(wú)線(xiàn)連接中的漏洞 等等。

網(wǎng)絡(luò)基礎(chǔ)架構(gòu)常常根據(jù)業(yè)務(wù)和運(yùn)營(yíng)環(huán)境的變化而發(fā)展變化，但 很少考慮潛在的安全影響的變化。內(nèi)部無(wú)監(jiān)測(cè)，對(duì)網(wǎng)絡(luò)行為“一無(wú) 所知”，不能及時(shí)發(fā)現(xiàn)安全威脅，也無(wú)法取證分析。內(nèi)部未劃分安全 域，無(wú)防護(hù)措施，容易出現(xiàn)“一點(diǎn)突破、全線(xiàn)失守”的情況病毒可 能會(huì)感染全網(wǎng)系統(tǒng)。

2.3 管理方面策略和程序的安全漏洞

管理上，職責(zé)不清晰，人員安全意識(shí)薄弱，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)

安全經(jīng)常屬于“三不管地帶”，未納入生產(chǎn)安全范疇；工業(yè)控制系統(tǒng) 沒(méi)有明確具體、書(shū)面的安全策略或程序文件或安全策略不當(dāng)，追求 可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完 整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來(lái)了一 定的威脅。沒(méi)有正式的工業(yè)控制系統(tǒng)安全培訓(xùn)和安全意識(shí)培養(yǎng)；安 全架構(gòu)和設(shè)計(jì)不足；工業(yè)控制系統(tǒng)設(shè)備操作指南缺失或不足；沒(méi)有 明確的工控系統(tǒng)連續(xù)性計(jì)劃或?yàn)?zāi)難恢復(fù)計(jì)劃；沒(méi)有明確具體的配置 變更管理程序等安全漏洞。

3.工控系統(tǒng)安全防護(hù)策略

在工控安全防護(hù)措施選擇上，既要考慮工控系統(tǒng)的特點(diǎn)，又要

考慮不同行業(yè)系統(tǒng)差異性（網(wǎng)絡(luò)結(jié)構(gòu)、通信協(xié)議等）。新建項(xiàng)目在建 設(shè)初期，項(xiàng)目概算中要增加工控系統(tǒng)的網(wǎng)絡(luò)安全部分資金投入，增 加工控信息安全總體設(shè)計(jì)，“同步規(guī)劃同步建設(shè)”，新系統(tǒng)上線(xiàn)前進(jìn) 行安全測(cè)試和風(fēng)險(xiǎn)評(píng)估。對(duì)于老的工控系統(tǒng)，由于系統(tǒng)陳舊、安全 防護(hù)基本為零并處于生產(chǎn)運(yùn)行狀態(tài)，所以在不影響生產(chǎn)運(yùn)行情況下，

建立一個(gè)基本的安全基線(xiàn)，完善設(shè)備管理制度，有計(jì)劃的進(jìn)行更新 改進(jìn)。

3.1 分區(qū)隔離、分層防御

在工控網(wǎng)內(nèi)部劃分邏輯層次，每一層次進(jìn)一步劃分安全區(qū)域，

不同層次、不同區(qū)域之間限制數(shù)據(jù)流訪(fǎng)問(wèn)，將病毒限制在一個(gè)區(qū)域 內(nèi)，避免全網(wǎng)蔓延。

分區(qū)隔離—將全廠(chǎng)劃分操作區(qū)域、相互獨(dú)立為網(wǎng)絡(luò)隔離基礎(chǔ)。 石油化工自動(dòng)化系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)橫向按生產(chǎn)裝置分成LAN 1到LAN N， 小生產(chǎn)裝置或公用工程共用一個(gè)或幾個(gè) LAN，確保每個(gè)生產(chǎn)裝置獨(dú) 立開(kāi)停車(chē)。

分層防御—采用防火墻、網(wǎng)絡(luò)服務(wù)器進(jìn)行縱深防御，不同位置 能對(duì)抗不同的威脅，但也隱含著不同的風(fēng)險(xiǎn)，同時(shí)對(duì)設(shè)備性能和功 能要求也不同。如 管理網(wǎng)-生產(chǎn)網(wǎng)邊界、生產(chǎn)網(wǎng)-控制網(wǎng)邊界、上位 機(jī)-下位機(jī)PLC 之間。

3.2 管理制度

工控系統(tǒng)安全防護(hù)管理制度亟待完善、落實(shí)。建立健全工控系

統(tǒng)相關(guān)管理制度，建立網(wǎng)絡(luò)安全制度、配備安全人員、培訓(xùn)使用人 員。健全、完善的管理制度是保障工控系統(tǒng)平穩(wěn)運(yùn)行的前提條件， 嚴(yán)格執(zhí)行各項(xiàng)管理制度才能確保工控系統(tǒng)處于安全的工作狀態(tài)。需 要結(jié)合企業(yè)自身特點(diǎn)摸索出行之有效的管理辦法并且狠抓落實(shí)，才 能有效降低工控系統(tǒng)安全風(fēng)險(xiǎn)、減少故障發(fā)生概率、提升日常維護(hù) 質(zhì)量。

3.3 網(wǎng)絡(luò)安全監(jiān)測(cè)

在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備，可以及時(shí)發(fā)現(xiàn)、報(bào)告

并處理網(wǎng)絡(luò)攻擊或異常行為。因?yàn)楣た叵到y(tǒng)特點(diǎn)是通信行為相對(duì)固 定、流量規(guī)律性強(qiáng)、設(shè)備變動(dòng)小，容易建立正常的工控網(wǎng)絡(luò)安全基 線(xiàn)（網(wǎng)絡(luò)白名單），所以很適合于網(wǎng)絡(luò)安全監(jiān)測(cè)。

3.4 網(wǎng)絡(luò)安全評(píng)估

網(wǎng)絡(luò)安全評(píng)估是防災(zāi)減災(zāi)的基本方法，根據(jù)企業(yè)的情況評(píng)估出

預(yù)測(cè)可能風(fēng)險(xiǎn)和可承受的風(fēng)險(xiǎn)，當(dāng)預(yù)測(cè)可能風(fēng)險(xiǎn)高于可承受風(fēng)險(xiǎn)的 情況，采取相應(yīng)的網(wǎng)絡(luò)安全措施，使預(yù)測(cè)可能風(fēng)險(xiǎn)降低到可承受風(fēng) 險(xiǎn)以下。網(wǎng)絡(luò)安全評(píng)估僅僅能起到建立健全網(wǎng)絡(luò)安全體系、促進(jìn)和 完善制度、配置合理的網(wǎng)絡(luò)結(jié)構(gòu)的作用。網(wǎng)絡(luò)安全的根本在于嚴(yán)格 管理、運(yùn)行防范。

4.總結(jié)：隨著“兩化融合”不斷推進(jìn)，工控系統(tǒng)與管理信息系統(tǒng)的聯(lián)系將越來(lái)越緊密，工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)也愈發(fā)重要，在當(dāng)前新形勢(shì) 下，如何對(duì)工控系統(tǒng)進(jìn)行防護(hù)，防止來(lái)自?xún)?nèi)部、外部的安全威脅和 惡意攻擊，是信息安全領(lǐng)域面臨的重大挑戰(zhàn)。工業(yè)控制系統(tǒng)應(yīng)該實(shí)行全壽命周期管理，安全防護(hù)設(shè)施建設(shè)應(yīng) 堅(jiān)持同時(shí)設(shè)計(jì)、同時(shí)施工和同時(shí)投用的原則?？刂葡到y(tǒng)安全工作不 是一勞永逸的工作，是一項(xiàng)持續(xù)性工作，要定期開(kāi)展工業(yè)控制系統(tǒng) 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，制定針對(duì)性的安全防護(hù)策略。注重防護(hù)要求、 方法的科學(xué)性、合理性和可操作性，從管理和技術(shù)兩方面實(shí)現(xiàn)系統(tǒng) 的防護(hù)要求?？偨Y(jié)學(xué)習(xí)有效防護(hù)經(jīng)驗(yàn)，完善整體安全防護(hù)措施，不 斷提升防御水平。

參考文獻(xiàn)

[1]張方舟.計(jì)算機(jī)網(wǎng)絡(luò)與信息安全.哈爾濱工業(yè)大學(xué)出版

社.