楊偉 周權(quán)

摘 要：進(jìn)入21世紀(jì)，隨著兩化融合的不斷深入，網(wǎng)絡(luò)和信息技術(shù)被廣泛應(yīng)用于工業(yè)控制系統(tǒng)，打破了系統(tǒng)相對(duì)封閉的運(yùn)行環(huán)境，使木馬病毒、信息泄漏和篡改等一系列網(wǎng)絡(luò)安全問(wèn)題出現(xiàn)在工業(yè)控制領(lǐng)域。論文結(jié)合工業(yè)控制系統(tǒng)安全現(xiàn)狀，在總結(jié)系統(tǒng)所面臨的安全威脅的基礎(chǔ)上，提出構(gòu)建多層級(jí)縱深防御體系，從“邊界-內(nèi)部-核心”構(gòu)建全方位、多層次的防御體系，通過(guò)運(yùn)用多種安全技術(shù)和建立健全安全規(guī)范來(lái)保障工控系統(tǒng)安全。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；網(wǎng)絡(luò)安全；縱深防御體系

中圖分類號(hào)：TP393；TN918 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： Entering the 21st century， with the deepening of the integration of the two industries， network and information technology are widely used in industrial control system， destroying the relatively closed operating environment of the system， and causing a series of network security problems such as Trojan virus， information leakage and tampering， appear in the field of industrial control. Based on the security status of industrial control system， this paper proposes to build a multi-level defense system based on the security threats faced by the system and build a comprehensive and multi-level defense system from the “boundary-internal-core”. Safety technology and the establishment of sound safety regulations to ensure the safety of industrial control systems.

Key words： industrial control system； network security； defense system in depth

1 引言

工業(yè)控制系統(tǒng)（Industrial Control System，ICS）是運(yùn)用信息技術(shù)、通信技術(shù)和自動(dòng)化技術(shù)等一系列尖端科技，達(dá)到工業(yè)生產(chǎn)過(guò)程中生產(chǎn)管理自動(dòng)化應(yīng)用的系統(tǒng)總稱，主要用來(lái)控制工業(yè)基礎(chǔ)設(shè)施的自動(dòng)運(yùn)行、進(jìn)程調(diào)度和信息交互，是現(xiàn)代工業(yè)基礎(chǔ)設(shè)施的核心。它被廣泛應(yīng)用在鐵路航空、水力電力、化工冶金等國(guó)計(jì)民生領(lǐng)域，與國(guó)家安全、社會(huì)穩(wěn)定和人民幸福密切相關(guān)。近年來(lái)，工業(yè)控制系統(tǒng)安全事故頻發(fā)，造成了無(wú)法估量的損失，引起了各國(guó)政府和人民的高度重視，各國(guó)相繼制定了一系列安全政策和標(biāo)準(zhǔn)。在這樣的大環(huán)境下，工控系統(tǒng)安全成為科研工作者的研究熱點(diǎn)。

“工業(yè)4.0”時(shí)代的到來(lái)和兩化融合的推進(jìn)，使工業(yè)生產(chǎn)和電子信息技術(shù)在各個(gè)層面上高度融合，你中有我，我中有你。這種迅速的融合，促進(jìn)了工業(yè)的高速發(fā)展，也帶來(lái)了越來(lái)越多的網(wǎng)絡(luò)安全問(wèn)題。2010年全球ICS突發(fā)“震網(wǎng)”（Stuxnet）病毒，滲透伊朗核設(shè)施，對(duì)布什爾核電站造成嚴(yán)重影響；2014年，悄然來(lái)臨“Havex”破壞力更為強(qiáng)大，惡意木馬程序利用漏洞感染不同工業(yè)領(lǐng)域SCADA系統(tǒng)和工控軟件，控制國(guó)家基礎(chǔ)設(shè)施，比如禁用水電大壩、使核電站過(guò)載；2015年，烏克蘭大范圍斷電事件，又一次給世界拉響了工控安全的警鐘；2017年5月，勒索病毒“Wannacry”向工業(yè)控制系統(tǒng)滲透，惡意修改系統(tǒng)程序代碼，發(fā)送勒索郵件，給工業(yè)控制系統(tǒng)造成嚴(yán)重的安全威脅。

我國(guó)政府高度重視工業(yè)控制系統(tǒng)安全。2016年10月，工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，指導(dǎo)工業(yè)控制系統(tǒng)安全防護(hù)工作；《網(wǎng)絡(luò)安全法》于2017年6月1日正式施行，提出對(duì)國(guó)家重要工業(yè)基礎(chǔ)設(shè)施進(jìn)行重點(diǎn)防護(hù)。種種跡象表明，確保工業(yè)控制系統(tǒng)安全已經(jīng)刻不容緩。

2 工業(yè)控制系統(tǒng)的主要安全風(fēng)險(xiǎn)

工業(yè)控制系統(tǒng)包括數(shù)據(jù)監(jiān)控和采集系統(tǒng) （SCADA）、分布式控制系統(tǒng)（DCS）和可編程邏輯控制器（PLC）以及一些小型控制系統(tǒng)。SCADA是工業(yè)控制系統(tǒng)的基礎(chǔ)和核心中樞，負(fù)責(zé)對(duì)遠(yuǎn)距離生產(chǎn)運(yùn)行設(shè)備進(jìn)行即時(shí)準(zhǔn)確的監(jiān)視和控制，包括數(shù)據(jù)的采集、分析處理以及設(shè)備的控制測(cè)量、參數(shù)調(diào)節(jié)和進(jìn)程調(diào)度，以保障系統(tǒng)穩(wěn)定高效運(yùn)作；DCS是先進(jìn)合理的過(guò)程控制系統(tǒng)，其特點(diǎn)可簡(jiǎn)單概括為“分散控制、 集中管理”，可滿足各種過(guò)程控制要求，以其安全可靠、控制穩(wěn)定、功能齊全、便于維護(hù)的優(yōu)點(diǎn)應(yīng)用于工業(yè)控制領(lǐng)域；PLC是可進(jìn)行獨(dú)立運(yùn)算的機(jī)械設(shè)備，可以進(jìn)行信息收集、運(yùn)算以及分析。

由于SCADA、DCS和PLC系統(tǒng)的結(jié)構(gòu)各不相同，控制過(guò)程也互有優(yōu)劣，網(wǎng)絡(luò)黑客利用系統(tǒng)的缺點(diǎn)和漏洞進(jìn)行特定攻擊，所以我們必須查漏補(bǔ)缺，根據(jù)系統(tǒng)特點(diǎn)，結(jié)合網(wǎng)絡(luò)安全專業(yè)知識(shí)，合理分析，找到有效應(yīng)對(duì)措施，才能提高工業(yè)控制系統(tǒng)的安全水平。

ICS 控制過(guò)程主要包括受控過(guò)程、人機(jī)交互界面和遠(yuǎn)程診斷和維護(hù)三大模塊。受控過(guò)程模塊用來(lái)控制邏輯運(yùn)算，人機(jī)交互界面模塊執(zhí)行信息傳遞命令，遠(yuǎn)程診斷和維護(hù)模塊負(fù)責(zé)保障ICS的穩(wěn)定持續(xù)高效運(yùn)行。

由于早期科技水平的局限性，工業(yè)控制系統(tǒng)是一個(gè)運(yùn)行在相對(duì)獨(dú)立的網(wǎng)絡(luò)環(huán)境中的封閉系統(tǒng)，擁有專門的軟硬件和專屬的網(wǎng)絡(luò)通訊協(xié)議，只考慮系統(tǒng)的可用性，對(duì)系統(tǒng)安全性重視不足。隨著工業(yè)化和信息化的快速發(fā)展，ICS為了提高自身的兼容性，逐漸集成通用IT解決方案，且采用開放的通信協(xié)議（如TCP/IP協(xié)議），打破了本身的獨(dú)立環(huán)境，在大網(wǎng)絡(luò)環(huán)境下，一系列安全問(wèn)題逐漸暴露了出來(lái)，為了合理有效地部署ICS安全防護(hù)體系，設(shè)計(jì)安全可靠的防護(hù)措施，需要了解目前ICS所面臨的風(fēng)險(xiǎn)和挑戰(zhàn)。

（1）系統(tǒng)漏洞和木馬病毒

系統(tǒng)終端和硬件設(shè)備如PLC、RTU（遠(yuǎn)程測(cè)控終端）等可能存在系統(tǒng)漏洞，非法入侵者利用漏洞，對(duì)工控系統(tǒng)發(fā)送控制命令，導(dǎo)致系統(tǒng)正常運(yùn)行被破壞，數(shù)據(jù)丟失或泄露，嚴(yán)重的可能導(dǎo)致系統(tǒng)癱瘓。

網(wǎng)絡(luò)黑客通過(guò)非法手段向工業(yè)控制系統(tǒng)植入木馬病毒，威脅系統(tǒng)安全，盡管企業(yè)會(huì)安裝安全軟件，但由于木馬病毒的精心設(shè)計(jì)和其未知性，安全軟件的作用十分有限。

（2）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

工業(yè)企業(yè)的網(wǎng)絡(luò)主要分為辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)，辦公網(wǎng)絡(luò)是企業(yè)工作人員處理業(yè)務(wù)的網(wǎng)絡(luò)，由于業(yè)務(wù)網(wǎng)絡(luò)需要連接互聯(lián)網(wǎng)，生產(chǎn)網(wǎng)絡(luò)是企業(yè)從事工業(yè)生產(chǎn)控制的網(wǎng)絡(luò)，通常為了安全考慮需要隔離外網(wǎng)。

在智能化大環(huán)境下，工業(yè)控制系統(tǒng)逐漸走向智能化、現(xiàn)代化，在運(yùn)用這些先進(jìn)技術(shù)的同時(shí)，工業(yè)控制網(wǎng)絡(luò)由神秘走向了透明化和公開化，攻擊者的攻擊手段也越來(lái)越多樣化，拒絕服務(wù)攻擊（DoS）、去同步攻擊、完整性攻擊、數(shù)據(jù)注入攻擊、中間人攻擊、重放攻擊等，網(wǎng)絡(luò)通信保障機(jī)制不完善、管理制度不健全、監(jiān)控與應(yīng)急響應(yīng)機(jī)制缺失也是工業(yè)控制系統(tǒng)所面臨的網(wǎng)絡(luò)安全問(wèn)題。

另外，許多企業(yè)網(wǎng)絡(luò)區(qū)域劃分不明確，辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)相連接，導(dǎo)致大量來(lái)自互聯(lián)網(wǎng)的威脅通過(guò)辦公網(wǎng)絡(luò)滲透到生產(chǎn)網(wǎng)絡(luò)，攻擊和破壞工業(yè)控制系統(tǒng)網(wǎng)絡(luò)，雖然一些企業(yè)實(shí)現(xiàn)了辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)的物理隔離，但這并不能保障工業(yè)控制網(wǎng)絡(luò)的絕對(duì)安全，企業(yè)員工的移動(dòng)存儲(chǔ)設(shè)備，企業(yè)公共WiFi等都可能帶來(lái)安全隱患。

（3）安全平臺(tái)風(fēng)險(xiǎn)

在當(dāng)前網(wǎng)絡(luò)環(huán)境下，絕對(duì)對(duì)外隔離網(wǎng)絡(luò)已無(wú)法實(shí)現(xiàn)，通常工業(yè)網(wǎng)絡(luò)通過(guò)部署防火墻來(lái)達(dá)到對(duì)外隔離的目的，然而傳統(tǒng)的IT防火墻容易被攻擊和突破，很難真正保證其安全性。專有工控平臺(tái)和軟硬件設(shè)備缺少密鑰控制和身份認(rèn)證，工控協(xié)議不完善，缺少健全的行業(yè)管理規(guī)范也是導(dǎo)致工控平臺(tái)存在安全風(fēng)險(xiǎn)的因素。

（4）其他風(fēng)險(xiǎn)

系統(tǒng)與系統(tǒng)之間以及系統(tǒng)與外部設(shè)備之間數(shù)據(jù)交換時(shí)，缺乏安全有效的保密協(xié)議保障數(shù)據(jù)的完整性、真實(shí)性和可用性；系統(tǒng)賬號(hào)和密碼不能集中管理，無(wú)法主動(dòng)識(shí)別非授權(quán)訪問(wèn)；對(duì)操作員缺乏有效監(jiān)管手段，不能對(duì)其業(yè)務(wù)操作進(jìn)行有效記錄，因此不僅要提高業(yè)務(wù)員的業(yè)務(wù)水平還要對(duì)他們進(jìn)行安全知識(shí)普及和安全技能培訓(xùn)。

3 多層級(jí)縱深防御系統(tǒng)

在當(dāng)今科技日新月異，系統(tǒng)越來(lái)越復(fù)雜多樣的大背景下，工業(yè)控制系統(tǒng)安全具有一定復(fù)雜性，要提高ICS整體安全性，需要合理運(yùn)用多種安全和防御措施，有層次的建立安全防御體系，提升工業(yè)控制系統(tǒng)的整體安全性。

3.1 邊界防御系統(tǒng)

根據(jù)工業(yè)控制系統(tǒng)功能和特點(diǎn)，在ICS邊界上建立可靠的“邊界防御系統(tǒng)”，將安全需求相同的設(shè)備進(jìn)行同區(qū)域劃分，同一區(qū)塊利用安全設(shè)備（如工控防火墻）進(jìn)行防御，并且利用物理或邏輯方法將工業(yè)控制網(wǎng)絡(luò)同其他網(wǎng)絡(luò)隔離，在工控系統(tǒng)的邊緣建立安全防線，合理且有目的性地進(jìn)行防護(hù)，保障其安全性能。

與傳統(tǒng)防火墻相比較，工業(yè)控制系統(tǒng)防火墻應(yīng)該具備幾個(gè)特點(diǎn)。

（1） 狀態(tài)檢測(cè)能力、狀態(tài)分析功能，能預(yù)警和報(bào)告系統(tǒng)的不良狀態(tài)。

（2） 支持工業(yè)控制協(xié)議。

（3） 符合工業(yè)控制系統(tǒng)即時(shí)響應(yīng)的要求。減少甚至隔離內(nèi)部核心控制系統(tǒng)與外部網(wǎng)絡(luò)的信息交流，局域網(wǎng)內(nèi)部也要確保授權(quán)訪問(wèn)控制系統(tǒng)，加強(qiáng)各區(qū)域的訪問(wèn)控制權(quán)限，各區(qū)域使用合適的網(wǎng)絡(luò)安全設(shè)備進(jìn)行防護(hù)。

在系統(tǒng)控制中心之間建立專用數(shù)據(jù)網(wǎng)絡(luò)并實(shí)現(xiàn)與外網(wǎng)的隔離。搭建區(qū)域虛擬專用網(wǎng)絡(luò)進(jìn)行加密通訊，虛擬專網(wǎng)之間相互邏輯隔離；根據(jù)數(shù)據(jù)的保密級(jí)別要求，在數(shù)據(jù)傳輸時(shí)選擇不同強(qiáng)度的加密算法，確保信息不泄露不丟失；最后通訊時(shí)應(yīng)對(duì)雙方進(jìn)行身份認(rèn)證，保障通訊的安全。對(duì)于安全級(jí)別要求較高的系統(tǒng)進(jìn)行部署時(shí)，可以在工業(yè)控制系統(tǒng)設(shè)備前端分部部署安全設(shè)備，這種部署可以有效防御內(nèi)部惡意網(wǎng)絡(luò)攻擊。

3.2 內(nèi)部防御系統(tǒng)

ICS需要建立全面的“內(nèi)部防御系統(tǒng)”，包括入侵檢測(cè)系統(tǒng)和安全態(tài)勢(shì)感知系統(tǒng)等安全產(chǎn)品，及時(shí)檢測(cè)和感知攻擊行為。

主要包括五項(xiàng)內(nèi)容。

（1）采用白名單機(jī)制對(duì)所有的行為進(jìn)行管控，通過(guò)管理平臺(tái)對(duì)進(jìn)入系統(tǒng)的行為的判斷和處理。

（2）在設(shè)備終端利用靶場(chǎng)、爬蟲和數(shù)據(jù)挖掘等技術(shù)，對(duì)數(shù)據(jù)流量、會(huì)話記錄、指令傳輸進(jìn)行收集整理與數(shù)據(jù)分析。

（3）對(duì)終端計(jì)算機(jī)、移動(dòng)存儲(chǔ)介質(zhì)、重要數(shù)據(jù)傳輸?shù)陌踩雷o(hù)措施。

（4）控制系統(tǒng)中密碼技術(shù)的使用情況及其安全策略配置情況。

（5）控制系統(tǒng)用戶間數(shù)據(jù)和安全訪問(wèn)情況，在多用戶共享的系統(tǒng)中建立用戶的身份管理和訪問(wèn)控制的措施及有效性。

3.3 核心防御系統(tǒng)

為工控系統(tǒng)建立安全性高、實(shí)時(shí)響應(yīng)、抗干擾能力強(qiáng)的“核心防御系統(tǒng)”，主要提高系統(tǒng)容災(zāi)性能，保障數(shù)據(jù)完整性、保密性、可用性和備份系統(tǒng)和關(guān)鍵數(shù)據(jù)資料，保證即使突破“邊界防御系統(tǒng)”和“內(nèi)部防御系統(tǒng)”，進(jìn)入到ICS的核心中樞，系統(tǒng)依然能夠保護(hù)核心數(shù)據(jù)和物理設(shè)備的安全，不至于發(fā)生重要信息泄露和重大財(cái)產(chǎn)損失事故。

核心防御系統(tǒng)的具體要求：可以檢測(cè)工控系統(tǒng)業(yè)務(wù)數(shù)據(jù)、能夠及時(shí)發(fā)現(xiàn)在傳輸過(guò)程中被破壞的系統(tǒng)和業(yè)務(wù)數(shù)據(jù)， 且能夠及時(shí)對(duì)被破壞的數(shù)據(jù)進(jìn)行恢復(fù)；使用加密方案對(duì)重要數(shù)據(jù)進(jìn)行存儲(chǔ)和保密傳輸；每天按規(guī)定對(duì)數(shù)據(jù)進(jìn)行備份，且保障備份數(shù)據(jù)安全性和可用性。

最后，要落實(shí)責(zé)任，強(qiáng)化技能。落實(shí)責(zé)任，強(qiáng)化技能是保障工控系統(tǒng)安全金鑰匙。建立健全企業(yè)安全管理規(guī)范，明晰相關(guān)部門的權(quán)責(zé)，追責(zé)到人；完善安全管理制度，確保工控系統(tǒng)安全；落實(shí)安全培訓(xùn)，對(duì)工作人員普及網(wǎng)絡(luò)安全知識(shí)、了解相關(guān)法律法規(guī)、進(jìn)行專業(yè)技能培訓(xùn)，強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，提升專業(yè)技術(shù)水平。

4 結(jié)束語(yǔ)

工業(yè)控制系統(tǒng)是國(guó)家重要基礎(chǔ)設(shè)施的組成部分，其安全性與國(guó)計(jì)民生息息相關(guān)，隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，其安全情況日趨嚴(yán)峻，急需構(gòu)建完善的防護(hù)體系來(lái)保障其安全性。本文結(jié)合工業(yè)控制系統(tǒng)的安全現(xiàn)狀，總結(jié)了工業(yè)控制系統(tǒng)所面臨的安全威脅，提出構(gòu)建多層級(jí)縱深防御系統(tǒng)來(lái)保障工業(yè)控制系統(tǒng)安全。

參考文獻(xiàn)

[1] 李鴻培，忽朝儉，王曉鵬.2014工業(yè)控制系統(tǒng)的安全研究與實(shí)踐[J].計(jì)算機(jī)安全2014 （5）： 36-59.

[2] 李玉敏.工業(yè)控制網(wǎng)絡(luò)信息安全的防護(hù)措施與應(yīng)用[J].中國(guó)儀器儀表，2012 （11）：59-64.

[3] 高志新.工業(yè)控制系統(tǒng)信息安全事件分析及對(duì)安全防護(hù)的啟示[A].信息網(wǎng)絡(luò)安全 2016增刊[C]， 2016 .

[4] 王松，孫海銘.工業(yè)控制系統(tǒng)安全隱患和防護(hù)分析[J].中國(guó)新通信，2018（01）.

[5] 孫易安，井柯，汪義舟. 工業(yè)控制系統(tǒng)安全網(wǎng)絡(luò)防護(hù)研究[J].信息安全研究，2017（02）.

[6] 聞躍軍.分散控制系統(tǒng)DCS在電氣系統(tǒng)控制中的T用[J].今日科苑，2008（10）：202-203.

[7] 賴英旭，劉增輝，蔡曉田，楊凱翔. 工業(yè)控制系統(tǒng)入侵檢測(cè)研究綜述[J].通信學(xué)報(bào)，2017（02）.

[8] 傅鈺. 淺談工業(yè)控制系統(tǒng)安全體系建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（07）.

[9] 張軍軍.工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估[J].電子技術(shù)與軟件工程，2017（20）.

[10] 迫在眉睫的工控系統(tǒng)安全防護(hù)[J].信息安全與通信保密，2014（06）.

[11] 楊安，孫利民，王小山，石志強(qiáng).工業(yè)控制系統(tǒng)入侵檢測(cè)技術(shù)綜述[J].計(jì)算機(jī)研究與發(fā)展，2016（09）.

[12] 陶耀東，賈新桐.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知框架研究[J].信息技術(shù)與網(wǎng)絡(luò)安全，2018（05）.