張紅金，蹇彪，李繼安，崔艷娜，黃智

（1.工業(yè)和信息化部電子第五研究所，廣東 廣州 510610；2.安徽賽寶工業(yè)技術研究院有限公司，安徽 合肥 230000）

0 引言

隨著網(wǎng)絡信息時代的到來，我國工業(yè)模式發(fā)生了翻天覆地的變化，徹底地打破了 “信息孤島”模式，企業(yè)全面聯(lián)網(wǎng)，生產(chǎn)數(shù)據(jù)輕松地實現(xiàn)了匯總分析，不但提高了生產(chǎn)效率，還達到了節(jié)能減排的目的。信息化給工業(yè)帶來的有利變化是顯而易見的，但隨之而來的網(wǎng)絡安全問題卻日益嚴重，并帶來了一系列的損失[1]。

隨著工業(yè)4.0、兩化深度融合、 “互聯(lián)網(wǎng)+”“中國制造2025”和 “智能制造”等戰(zhàn)略目標的提出，工業(yè)化和信息化的融合發(fā)展不斷深入，工業(yè)控制系統(tǒng) （ICS:Industrial Control System）面臨的各類安全問題和風險愈發(fā)凸顯，同時我們要充分地認識到加強ICS信息安全的重要性和緊迫性[2]。我國政府高度重視ICS的信息安全，國務院與工業(yè)和信息化部相繼下發(fā)了許多關于工業(yè)控制信息安全方面的通知文件，例如: 《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》 （工信部協(xié) 〔2011〕451號）、國務院 《關于大力推進信息化發(fā)展和保障信息安全的若干意見》 （國發(fā) ［2012］23號）、2016年10月19日工業(yè)和信息化部發(fā)布的 《工業(yè)控制系統(tǒng)信息安全防護指南》、2017年6月15日工業(yè)和信息化部發(fā)布的 《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》和2017年8月11日工業(yè)和信息化部發(fā)

布的 《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》等。

工業(yè)信息安全是網(wǎng)絡強國戰(zhàn)略的重要組成部分，是保障國家總體安全的重要內(nèi)容，是推進 “互聯(lián)網(wǎng)+”行動計劃和實施制造強國戰(zhàn)略的基礎條件，特別是近年來，隨著國家對 “兩化”整合的深度推進，ICS的信息安全已經(jīng)上升到國家的戰(zhàn)略安全層面。

1 工業(yè)控制系統(tǒng)的主要類型及基本體系架構

ICS是對工業(yè)生產(chǎn)過程安全 （Safety）、網(wǎng)絡安全 （Securitiy）和可靠運行產(chǎn)生作用和影響的人員、硬件和軟件的集合[3]。常見的ICS有監(jiān)控與數(shù)據(jù)采集（SCADA:Supervisory Control And Data Acquisition）系統(tǒng)、分布式控制系統(tǒng) （DCS:Distributed Control System）、能源管理系統(tǒng) （EMS:Energy Management System）、自動化系統(tǒng) （AS:Automatic System）、安全儀表系統(tǒng) （SIS:Safety Instrumented System）和其他一些小型控制系統(tǒng)裝置，如可編程邏輯控制器 （PLC）等[4]。

不同的企業(yè)，其ICS的體系架構也不盡相同，但一般來說，各個企業(yè)的ICS所囊括的基本體系架構都大同小異[5]，基本的體系架構如圖1所示。

圖1 ICS的體系架構

2 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀

隨著科學技術的發(fā)展，ICS目前已廣泛地應用于核實施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通和民航，以及城市供水供氣供熱等工業(yè)領域[6]，成為了國家關鍵基礎設施的重要組成部分，充當著國家關鍵基礎設施的 “大腦”和 “中樞神經(jīng)”角色。

2010年以來重大ICS信息安全事件如下所示。

2010年， “震網(wǎng)”病毒感染了全球超過45 000個網(wǎng)絡，并造成伊朗核電站推遲發(fā)電。此次事件讓全球都開始意識到，ICS已經(jīng)成為了黑客攻擊的目標。

2011年11月21日，美國伊利諾伊州城市供水SCADA系統(tǒng)遭黑客入侵，導致一個向數(shù)千戶家庭供水的水泵被毀。

2011年， “Duqu”病毒襲擊中東能源行業(yè)。

2012年5月28日， “Flame”病毒感染中東能源行業(yè)。

2013年10月，以色列北部城市Haifa的全國路網(wǎng)遭到了網(wǎng)絡攻擊，引發(fā)了該城市的主干路上的大規(guī)模的交通擁堵。

2014年6月，Havex惡意軟件入侵歐美能源控制系統(tǒng)，Havex病毒席卷了歐美1 000多家能源控制系統(tǒng)，對關鍵信息基礎設施造成了重大的破壞。

2015年12月23日， “Black Energy”攻擊導致烏克蘭電網(wǎng)系統(tǒng)癱瘓，引發(fā)持續(xù)3 h的大面積停電事故，數(shù)百戶家庭供電被迫中斷。

2016年1月25日，以色列電力局遭受大規(guī)模網(wǎng)絡攻擊，迫使以色列官員不得不中止電力系統(tǒng)中大量計算機的正常運行。

2016年5月，首例可在PLC之間傳播的蠕蟲病毒被測試證實，該蠕蟲病毒無需借助PC或其他系統(tǒng)，即可在PLC之間進行傳播，進而使被感染PLC拒絕服務、停止工作等。同時，這種蠕蟲攻擊還可以被PLC產(chǎn)生的電波頻率和振幅所掩蓋，使得人們很難發(fā)現(xiàn)它的存在。

2016年10月，網(wǎng)絡攻擊導致美國東岸各大網(wǎng)站癱瘓，美國最主要的DNS服務商Dyn遭遇大規(guī)模的分布式拒絕服務 （DDoS）攻擊，導致美國東海岸 Twitter、 Spotify、 Netflix、 AirBnb、 CNN 和華爾街日報等數(shù)百家網(wǎng)站無法訪問。

從ICS自身來看，隨著信息技術的發(fā)展，現(xiàn)代ICS正在逐漸地使用通用的TCP/IP標準協(xié)議、通用的操作系統(tǒng)，同業(yè)務系統(tǒng)等其他信息系統(tǒng)的連接也越來越多，ICS固有的安全漏洞和攻擊面日益增加[7]。據(jù)不完全統(tǒng)計，近年來發(fā)生的ICS安全事件主要以惡意入侵、攻擊為主，針對ICS的攻擊主要威脅其物理安全、功能安全和系統(tǒng)信息安全，以達到直接破壞控制器、通信設備的目的，除對ICS的直接惡意攻擊外，對于ICS的破壞主要來自于對ICS的非法入侵，篡改工業(yè)參數(shù)指令或入侵系統(tǒng)破壞生產(chǎn)設備和生產(chǎn)工藝、獲取商業(yè)信息、工業(yè)數(shù)據(jù)等也是近年來入侵ICS的常見現(xiàn)象。ICS往往缺乏或根本不具備防護能力，與此同時ICS每次出現(xiàn)安全事件都會給相關企業(yè)造成重大的經(jīng)濟損失，甚至直接威脅到國家的戰(zhàn)略安全[8]。

3 我國工業(yè)控制系統(tǒng)信息安全問題產(chǎn)生的因素

由于ICS普遍缺乏有效的工業(yè)安全防御和數(shù)據(jù)通信保密措施，特別是隨著信息化的推動和工業(yè)化進程的加速，越來越多的計算機和網(wǎng)絡技術應用于ICS中，工業(yè)控制網(wǎng)與公共網(wǎng)的連接給企業(yè)帶來了諸多的便利，但同時也減弱了控制系統(tǒng)與外界的隔離。通過對相關工控事件案例進行分析，發(fā)現(xiàn)導致ICS的安全隱患問題日益嚴峻的因素主要有以下4個方面。

3.1 信息化建設的發(fā)展因素

過程控制系統(tǒng) （DCS/PLC/PCS/RTU等）和SCADA系統(tǒng)廣泛地采用現(xiàn)代信息技術，Windows、Ethernet、現(xiàn)場總線技術和OPC等技術在工業(yè)設備中的應用導致設備接口越來越開放，使過程控制系統(tǒng)和SCADA系統(tǒng)等不再與外界隔離；另外，來自局域網(wǎng)、因特網(wǎng)、移動U盤、維修人員便攜式電腦接入和其他因素導致的網(wǎng)絡安全問題正在逐漸地在過程控制系統(tǒng)和SCADA系統(tǒng)中擴散，直接影響了工業(yè)生產(chǎn)的穩(wěn)定性，對工業(yè)控制設備產(chǎn)生了威脅。

3.2 工業(yè)控制系統(tǒng)缺陷容易被攻擊的因素

ICS的設計開發(fā)并未將系統(tǒng)防護、數(shù)據(jù)保密等安全指標納入其中， 再者工業(yè)控制網(wǎng)絡中大量采用TCP/IP技術，而且ICS網(wǎng)絡與企業(yè)網(wǎng)絡連接，以太網(wǎng)技術的高速發(fā)展及其80%的市場占有率，防護措施的薄弱 （如TCP/IP協(xié)議缺陷、工業(yè)應用漏洞和現(xiàn)場總線缺陷）導致攻擊者很容易通過企業(yè)網(wǎng)絡間接入侵ICS。

3.3 國產(chǎn)化程度因素

隨著ICS、網(wǎng)絡和協(xié)議的不斷發(fā)展和升級，不同的廠商對以太網(wǎng)技術也在加速推廣，而國內(nèi)重要控制系統(tǒng)有超過80%的系統(tǒng)都使用的是國外的產(chǎn)品和技術，核心的技術和元件均掌握在他人手里，這給國內(nèi)的工業(yè)網(wǎng)絡造成了巨大的安全隱患。

3.4 軟、硬件的漏洞因素

目前所使用的ICS絕大部分是多年前開發(fā)的，由于早期的工業(yè)控制都是相對獨立的網(wǎng)絡環(huán)境，在產(chǎn)品設計和網(wǎng)絡部署時，只考慮了功能性和穩(wěn)定性，但是忽略了系統(tǒng)對網(wǎng)絡安全措施的需要。當前互聯(lián)網(wǎng)的技術已進入ICS的設計中，這一變化使ICS開始面臨各種威脅，ICS中的各種通用協(xié)議、應用軟件和硬件也暴露出了一些比較嚴重的漏洞和安全隱患，只要利用這些漏洞和隱患即可入侵ICS，獲得控制器和執(zhí)行器的控制權，進而破壞整個系統(tǒng)。

國家信息安全漏洞共享平臺 （CNVD:China National Vulnerability Database）統(tǒng)計了2000年1月份—2017年8月份ICS行業(yè)廠商漏洞數(shù)量及其占比 （如圖2所示）和ICS行業(yè)中高危、中危與低危漏洞等級占比 （如圖3所示），這些漏洞統(tǒng)計數(shù)據(jù)再一次給我們敲響了警鐘。而我國控制器設備則主要采用西門子 （SIEMENS）、研華 （Advantech）和施耐德 （Schneider）等公司的產(chǎn)品，因此這些控制器所具有的漏洞極易成為惡意攻擊的突破口。

圖2 ICS業(yè)廠商漏洞數(shù)量

圖3 ICS行業(yè)漏洞危險等級

4 工業(yè)控制系統(tǒng)信息安全防護策略

通過對ICS的特點和系統(tǒng)安全現(xiàn)狀的分析，可以看出ICS不僅面臨著大多數(shù)傳統(tǒng)的信息系統(tǒng)所面臨的安全問題，而且也存在自身獨特的安全需求。因此，提高整個ICS的物理安全、功能安全和信息安全必須從技術和管理兩個角度入手，雙重考慮[9]。

現(xiàn)以某有色金屬集團控股有限公司 （以下簡稱有色集團）為例，闡述ICS信息安全防護的有效策略。該有色集團涉及的業(yè)務主要為有色金屬、化工和裝備制造這3部分。

4.1 管理方面防護策略

4.1.1 成立工業(yè)控制系統(tǒng)信息安全協(xié)調(diào)小組

工業(yè)企業(yè)應在疏理工控安全管理要素的基礎上，成立由有色集團總裁為組長、分管生產(chǎn)安全的副總裁為副組長、各分公司總經(jīng)理為主要組員的ICS信息安全協(xié)調(diào)小組，如圖4所示。協(xié)調(diào)小組制定了集團的工控安全總體目標，確定了集團工控安全工作責任，負責重大工控安全事件的處置，負責組織實施ICS全生命周期的安全防護體系的建設和管理。

圖4 工控安全協(xié)調(diào)小組的組織架構示意圖

4.1.2 加大宣傳教育、加強培訓

有色集團協(xié)調(diào)小組制訂了宣傳教育方案、宣傳資料、培訓計劃和培訓教材，內(nèi)容覆蓋了網(wǎng)絡安全意識、教育、基本技能培訓、專業(yè)技術和技能培訓，注重全員網(wǎng)絡安全宣傳教育和培訓，提高網(wǎng)絡安全意識，增強網(wǎng)絡安全基本防護技能。每月月末開展工控安全管理人員和技術人員網(wǎng)絡安全專業(yè)、技能培訓，每季季末對工控安全管理人員和技術人員進行考核，考核不合格者直接調(diào)崗。

4.1.3落實工控安全責任制

有色集團協(xié)調(diào)小組以管理制度的形式明確了信息中心、生產(chǎn)管理處和設備管理處的具體職責，指定了每個部門ICS安全的主要責任人。從ICS應用安全的需求入手來細化管理制度，明確地確定專門負責應用安全、網(wǎng)絡安全、物理安全、主機安全、數(shù)據(jù)安全、系統(tǒng)運維和系統(tǒng)建設等人員的相關責任，并指定主要責任人。

4.2 技術方面的防護策略

有色集團采用的是一種基于ERP、MES和PCS3層架構的管控一體化ICS體系架構，而運行MES的信息網(wǎng)絡必須要實現(xiàn)與控制網(wǎng)絡之間的數(shù)據(jù)交換才能獲取低層生產(chǎn)的實時數(shù)據(jù)，這樣產(chǎn)生工控安全問題的可能性還是比較高，尤其是控制網(wǎng)絡的安全是關系到有色集團整個生產(chǎn)系統(tǒng)的 “絕對”安全的基石。

4.2.1 物理隔離

有色集團的網(wǎng)絡物理隔離采用 “2+1”的3模塊架構，內(nèi)置雙主機系統(tǒng)，隔離單元通過總線技術建立安全通道以安全地實現(xiàn)快速數(shù)據(jù)交換。網(wǎng)絡物理隔離提供的應用專門針對控制網(wǎng)絡的安全防護，采用的是OPC通訊規(guī)范，只提供控制網(wǎng)絡常用通信功能，嚴禁提供通用互聯(lián)網(wǎng)功能，如此一來，便能夠更適合有色集團控制網(wǎng)絡與辦公網(wǎng)絡，以及控制網(wǎng)絡各獨立子系統(tǒng)之間的隔離。其主要優(yōu)勢表現(xiàn)為:

a）獨立的運算單元和存儲單元， 各自運行獨立的操作系統(tǒng)和應用系統(tǒng)；

b）安全隔離區(qū)采用私有加密的數(shù)據(jù)交互技術，數(shù)據(jù)交換不依靠TCP/IP協(xié)議；

c）與信息層上傳數(shù)據(jù)時，可實現(xiàn)斷線緩存、續(xù)傳；

d）實時數(shù)據(jù)交換，延時時間小于1 ms。

4.2.2 防火墻技術

商用防火墻是目前網(wǎng)絡邊界上最常用的一種防護設備。其提供的主要功能包括訪問控制、地址轉(zhuǎn)換、應用代理、帶寬和流量控制、事件審核和警報等。商用防火墻誕生于傳統(tǒng)的信息網(wǎng)絡環(huán)境下，雖然經(jīng)過了多年的發(fā)展和完善，但其應用環(huán)境還是局限于企業(yè)信息網(wǎng)絡，它對工業(yè)網(wǎng)絡環(huán)境還有諸多的不適應。

國際市場上已經(jīng)出現(xiàn)了的一些專門用于保護工業(yè)網(wǎng)絡安全的產(chǎn)品，這些產(chǎn)品的生產(chǎn)商宣稱他們的產(chǎn)品可以對工業(yè)網(wǎng)絡中的控制設備或控制系統(tǒng)起到安全保護的作用，但近幾年連續(xù)爆出的工控安全事件卻一次次地給我們敲響了警鐘，讓我們對這些產(chǎn)品的安全性產(chǎn)生了質(zhì)疑。我國工業(yè)網(wǎng)絡正在迅速地普及過程中，工業(yè)網(wǎng)絡越來越多地接入到了互聯(lián)網(wǎng)中，僅依靠國外技術和產(chǎn)品來保護我們的工業(yè)網(wǎng)絡安全是不夠的，基于此，有色集團選擇了具有自主產(chǎn)權的HC-ISG國產(chǎn)工業(yè)防火墻，該產(chǎn)品能夠針對工業(yè)通訊協(xié)議進行深度過濾，將每個工業(yè)協(xié)議作為一個獨立的深度過濾模塊，以插件的方式按需加載到系統(tǒng)中，最大限度地滿足了工業(yè)現(xiàn)場的各種安全防護要求。

4.2.3 白名單技術

有色集團工控安全系統(tǒng)在控制過程中采用的是白名單主動防御技術，該技術通過提前計劃好的協(xié)議規(guī)則來限制網(wǎng)絡數(shù)據(jù)的交換，在控制網(wǎng)到信息網(wǎng)之間進行動態(tài)行為判斷。通過對約定協(xié)議的特征進行分析和端口限制的方法，從根源上節(jié)制未知惡意軟件的運行和傳播。

白名單技術的優(yōu)勢比較明顯，主要表現(xiàn)為:

a）能夠抵御 “零日”漏洞攻擊和其他有針對性的攻擊，在默認情況下，任何未經(jīng)批準的軟件、工具和進程都不能在端點上運行；

b）提供報警，可以檢測到惡意程序或文件并給出警示，讓安全人員立即采取行動；

c）保持系統(tǒng)以最佳性能運行，提高工作效率；

d）對正在運行的應用、工具和進程，可提供對系統(tǒng)的全面可視性，如果相同的、未經(jīng)授權的程序試圖在多個端點運行，該數(shù)據(jù)可用于追蹤攻擊者的路徑；

e）能夠幫助抵御高級內(nèi)存注入攻擊，該技術可以驗證內(nèi)存中運行的所有經(jīng)批準的進程并確保這些進程在運行時沒有被修改，從而抵御高級內(nèi)存漏洞被利用的風險。

4.2.4 虛擬專用網(wǎng)絡

有色集團工控安全系統(tǒng)在數(shù)據(jù)傳輸過程中采用虛擬專用網(wǎng)絡 （VPN:Virtual Private Network）技術對數(shù)據(jù)進行加密，搭建該虛擬專用網(wǎng)絡產(chǎn)品均采用加密及身份驗證等安全技術，從根本上保證了連接的可靠性和傳輸數(shù)據(jù)的安全和保密性；利用ISP的設施和服務，完全掌握著網(wǎng)絡的控制權。在具體執(zhí)行的過程中，工控安全負責工作人員主要通過鑒別，控制訪問到受信網(wǎng)絡；在未受信網(wǎng)絡上，維護受信數(shù)據(jù)的完整性；記錄的信息用于傳輸監(jiān)視、分析和入侵保護。

在VPN技術安全協(xié)議方面，采用的是互聯(lián)網(wǎng)安全協(xié)議IPsec，在工業(yè)控制環(huán)境中可進行安全訪問，最大程度地限制控制系統(tǒng)計算機主機和控制器的連接和訪問，從而保證了安全性。

4.2.5 安全審計

有色集團委托專家組對當前的ICS進行安全風險評估，專家組在充分地了解了工業(yè)控制系統(tǒng)的網(wǎng)絡結(jié)構、漏洞等具體情況后，整個系統(tǒng)的風險被評定為中危。針對專家組所給出的評定結(jié)論，協(xié)調(diào)小組采取了一系列增強措施，主要包括以下3個方面。

a）從技術和管理角度制定相關的制度和管理辦法，內(nèi)容涵蓋防火墻升級、操作系統(tǒng)和數(shù)據(jù)庫等；加強對系統(tǒng)訪問的權限管理，硬性要求應定時地對安全系統(tǒng)進行補丁。

b）對系統(tǒng)各個組件的功能進行嚴格的管理，包括禁用控制器或其他關鍵設備上的對外接口、修補已知的系統(tǒng)漏洞，確保將配置選項設定為最安全的設置。

c）對控制系統(tǒng)的管理人員和維修維護人員進行安全意識培訓，制定相關的培訓計劃，確保員工熟悉并遵守制定的相關規(guī)程制度。

5 結(jié)束語

以太網(wǎng)技術在工業(yè)控制網(wǎng)絡中廣泛的應用，使得現(xiàn)代工業(yè)網(wǎng)絡取得了突飛猛進的發(fā)展，但同時也為企業(yè)的網(wǎng)絡安全工作帶來了嚴峻的考驗。信息化前進的步伐是要與安全管理的提高相輔相成的，我們在加大信息安全管理的同時，必須要加強工控設備安全的建設。隨著我國工業(yè)化和信息化的深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，未來的ICS將會融合更多的先進的信息安全技術，如云計算、云安全等，必須持續(xù)加強對工業(yè)控制領域的整體安全部署，完善和提供整體的安全解決方案[10]。為此，我們必須將工業(yè)信息安全擺上戰(zhàn)略位置，提高思想重視程度，推進落實各項工作，為國家的工業(yè)生產(chǎn)運行提供安全的環(huán)境，為兩化深度融合提供安全的保障。