劉硯峰 李岳棟 倪樂(lè) 陶文雯

摘要：作為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分，工業(yè)控制系統(tǒng)被廣泛應(yīng)用于能源、交通、制造等多個(gè)行業(yè)。其安全運(yùn)行問(wèn)題直接影響著生產(chǎn)安全和社會(huì)穩(wěn)定，受到各方關(guān)注。安全評(píng)估是治理工控系統(tǒng)安全的必要步驟，作者總結(jié)了參與的幾次工控安全評(píng)估工作，從組織方法、資產(chǎn)收集、測(cè)試技術(shù)等方面，闡述了工控系統(tǒng)安全評(píng)估過(guò)程中的一些關(guān)鍵環(huán)節(jié)。并針對(duì)這些關(guān)鍵環(huán)節(jié)提出具體對(duì)策。

關(guān)鍵詞：項(xiàng)目管理;資產(chǎn)收集;端口掃描;流量分析

自2010年伊朗“震網(wǎng)病毒”事件始，越來(lái)越頻繁發(fā)生的工控系統(tǒng)（ICS）安全問(wèn)題引發(fā)各方關(guān)注。不同于互聯(lián)網(wǎng)系統(tǒng)，工控系統(tǒng)末梢連接甚至操控著真實(shí)的物理世界，一旦遭到攻擊破壞，輕則遲滯生產(chǎn)活動(dòng)，重則影響社會(huì)穩(wěn)定?？梢哉f(shuō)，保障工控系統(tǒng)安全運(yùn)行就是保障生產(chǎn)安全、保障社會(huì)穩(wěn)定。多個(gè)行業(yè)提出了“要像重視生產(chǎn)安全一樣重視網(wǎng)絡(luò)安全”的基本原則，工控系統(tǒng)安全治理工作也正在有序開(kāi)展中。治理工控系統(tǒng)安全首先要做好安全評(píng)估工作，全面了解風(fēng)險(xiǎn)和隱患。筆者有幸參與了幾次工控系統(tǒng)現(xiàn)場(chǎng)安全評(píng)估工作，結(jié)合現(xiàn)場(chǎng)評(píng)估過(guò)程，淺談幾點(diǎn)收獲。

一、關(guān)于組織評(píng)估工作的幾點(diǎn)考慮

隨著工業(yè)化與信息化的融合，計(jì)算機(jī)、信息網(wǎng)絡(luò)已經(jīng)取代了原有的模擬控制系統(tǒng)，成為現(xiàn)代工業(yè)控制系統(tǒng)的關(guān)鍵組成部分。從這個(gè)意義說(shuō)，工業(yè)控制系統(tǒng)是一種網(wǎng)絡(luò)信息系統(tǒng)，可參考傳統(tǒng)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的方法進(jìn)行。應(yīng)將獲得領(lǐng)導(dǎo)的承諾，包括確定目標(biāo)和方針，納入管理體系等，作為安全評(píng)估工作的前置條件。這樣，可以在評(píng)估組織過(guò)程中，獲得所需的資源。同時(shí)，工業(yè)控制系統(tǒng)有一定的特殊性，它與生產(chǎn)活動(dòng)直接相關(guān)。如果將工控安全治理工作看做一個(gè)項(xiàng)目，那么安全評(píng)估則對(duì)應(yīng)于項(xiàng)目啟動(dòng)階段的收集需求過(guò)程。此時(shí)識(shí)別干系人，了解他們對(duì)項(xiàng)目的影響能力，并平衡他們的要求、需求和期望，對(duì)項(xiàng)目成功至關(guān)重要[1]。工業(yè)控制系統(tǒng)連接著現(xiàn)實(shí)設(shè)備、支撐著生產(chǎn)活動(dòng)，從這個(gè)角度出發(fā)，項(xiàng)目干系人應(yīng)至少包括生產(chǎn)管理、設(shè)備管理、安全管理和信息管理人員等。安全評(píng)估應(yīng)盡可能促使相關(guān)方高職位人員參與，這樣既保證了評(píng)估過(guò)程有一個(gè)全面的視角，也可取得各方的關(guān)注與支持，為后期持續(xù)開(kāi)展工業(yè)控制系統(tǒng)安全治理奠定基礎(chǔ)?？梢晕募男问浇M成評(píng)估工作組，進(jìn)一步提升干系人的參與度。工作組職責(zé)可包括但不限于以下幾點(diǎn)：1.建立工作協(xié)調(diào)機(jī)制，統(tǒng)籌隱患治理工作。2.組織安全防護(hù)評(píng)估，梳理安全隱患，并制定整改計(jì)劃，落實(shí)整改方案。3.協(xié)調(diào)工業(yè)控制系統(tǒng)安全隱患整改實(shí)施，組織隱患治理效果后評(píng)估工作。此外，鑒于大多工業(yè)控制系統(tǒng)貼近生產(chǎn)現(xiàn)場(chǎng)的特點(diǎn)，系統(tǒng)現(xiàn)場(chǎng)的運(yùn)行管理者及使用者亦應(yīng)納入項(xiàng)目干系人管理。評(píng)估過(guò)程中，可采取召開(kāi)評(píng)估啟動(dòng)會(huì)的方式，通過(guò)安全意識(shí)和政策形勢(shì)宣貫，取得這部分干系人的理解和支持。

二、資產(chǎn)收集的思考

安全評(píng)估結(jié)果是否全面準(zhǔn)確，資產(chǎn)識(shí)別是關(guān)鍵。特別是工業(yè)控制系統(tǒng)，涉及的品牌種類繁多，開(kāi)發(fā)環(huán)境多樣。應(yīng)全面了解資產(chǎn)細(xì)節(jié)，除了將資產(chǎn)關(guān)聯(lián)到具體系統(tǒng)以外，還應(yīng)確保其關(guān)聯(lián)到現(xiàn)實(shí)環(huán)境中。因?yàn)?，不同專業(yè)角度對(duì)資產(chǎn)安全的關(guān)注角度是有差異的，如設(shè)備部門(mén)關(guān)注儀器儀表的準(zhǔn)確性、完整性和物理位置安全。而安全管理部門(mén)則關(guān)注關(guān)鍵設(shè)備的運(yùn)行狀態(tài)，如重大危險(xiǎn)源，他們會(huì)選擇安裝多臺(tái)監(jiān)控設(shè)備，時(shí)刻關(guān)注其運(yùn)行狀態(tài)。

另外，不同于傳統(tǒng)信息系統(tǒng)的風(fēng)險(xiǎn)定級(jí)標(biāo)準(zhǔn)，工業(yè)控制系統(tǒng)安全評(píng)估中鑒定的安全風(fēng)險(xiǎn)要首先考慮設(shè)備設(shè)施的本質(zhì)安全因素，系統(tǒng)安全運(yùn)行的最終目標(biāo)是為安全生產(chǎn)提供保障。一個(gè)物理上重大風(fēng)險(xiǎn)點(diǎn)中所涉及設(shè)備的低風(fēng)險(xiǎn)隱患等級(jí)，可能要高于數(shù)據(jù)系統(tǒng)中存在高風(fēng)險(xiǎn)。因此，為確保識(shí)別風(fēng)險(xiǎn)準(zhǔn)確，資產(chǎn)臺(tái)賬應(yīng)能夠滿足多業(yè)務(wù)角度下的安全管理需求?？煞譃閮x器儀表、通信設(shè)備、服務(wù)器及視頻監(jiān)控設(shè)備四部分，分別采集各專業(yè)關(guān)注的設(shè)備資產(chǎn)臺(tái)賬，通過(guò)IP地址、物理位置、所屬組織關(guān)聯(lián)，建立層層遞歸的資產(chǎn)歸屬關(guān)系，形成工業(yè)控制系統(tǒng)綜合資產(chǎn)臺(tái)賬（圖1），使資產(chǎn)臺(tái)賬具有立體感。為不同專業(yè)角度提供統(tǒng)一的觀察模型，安全管理人員、設(shè)備管理人員可從物理位置出發(fā)，結(jié)合實(shí)際生產(chǎn)中的風(fēng)險(xiǎn)點(diǎn)定級(jí)，給出風(fēng)險(xiǎn)定級(jí);生產(chǎn)管理人員，可結(jié)合具體其所屬組織具體的生產(chǎn)連續(xù)性要求，給出風(fēng)險(xiǎn)級(jí)別;信息管理人員可綜合各方風(fēng)險(xiǎn)級(jí)別，結(jié)合信息系統(tǒng)隱患，確定綜合風(fēng)險(xiǎn)級(jí)別。

三、對(duì)基礎(chǔ)資料收集的思考

在完善資產(chǎn)臺(tái)賬的基礎(chǔ)上，應(yīng)結(jié)合物理的和邏輯的環(huán)境，深入理解系統(tǒng)的運(yùn)行機(jī)制，可從三個(gè)方面入手：

（一）系統(tǒng)的功能和架構(gòu)

通用的工業(yè)控制系統(tǒng)可分為現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、過(guò)程監(jiān)控層、生產(chǎn)管理層和企業(yè)資源層（圖2）。

由圖可知，工業(yè)控制系統(tǒng)中不同層級(jí)的功能模塊所提供的服務(wù)對(duì)象不同，企業(yè)資源層面向管理者，主要提供數(shù)據(jù)分析展示服務(wù)，數(shù)據(jù)展示一般以日、周、月為周期。對(duì)實(shí)時(shí)性的要求不是很高。而越底層的功能模塊對(duì)數(shù)據(jù)的實(shí)時(shí)性要求越高，并且越接近物理環(huán)境，其受到損害對(duì)現(xiàn)實(shí)環(huán)境的影響則越大。如現(xiàn)場(chǎng)控制層模塊與過(guò)程監(jiān)控層模塊出現(xiàn)安全故障，造成的損害級(jí)別不同，應(yīng)參照?qǐng)D2給出的理論模型深入剖析系統(tǒng)功能和各模塊，為后期開(kāi)展識(shí)別風(fēng)險(xiǎn)，提供一個(gè)縱向上的觀察視角。

（二）網(wǎng)絡(luò)架構(gòu)

絕大多數(shù)企業(yè)已將以太網(wǎng)應(yīng)用在工業(yè)控制系統(tǒng)中，取代原來(lái)種類繁多的現(xiàn)場(chǎng)總線，使控制系統(tǒng)與管理系統(tǒng)無(wú)縫銜接，形成垂直方向的系統(tǒng)集成，同時(shí)降低不同廠商設(shè)備在水平面上的集成成本[2]。因此在網(wǎng)絡(luò)層面，從RTU/PLC到工程師站、上位機(jī)，OPC服務(wù)到實(shí)時(shí)數(shù)據(jù)，大部分系統(tǒng)采用以太網(wǎng)通信。Modbus/TCP、PROFINET、OPC等多種工業(yè)以太網(wǎng)協(xié)議繼承了傳統(tǒng)以太網(wǎng)核心技術(shù)，也使得傳統(tǒng)以太網(wǎng)固有的安全設(shè)計(jì)缺陷疊加到了工業(yè)以太網(wǎng)中。如Modbus/TCP等多種協(xié)議缺乏安全屬性，明文傳輸數(shù)據(jù)，易受到欺騙、洪泛、重放等攻擊威脅[2]。傳統(tǒng)以太網(wǎng)的合理網(wǎng)絡(luò)布局，縮小廣播域是抑制攻擊的有效方法。VLAN、防火墻等技術(shù)的應(yīng)用能夠?qū)⒐舻挠绊懴拗圃谝欢ǚ秶?。而工業(yè)控制系統(tǒng)設(shè)計(jì)時(shí)主要考慮系統(tǒng)的可用性，大多沒(méi)有實(shí)現(xiàn)“橫向分區(qū)，縱向分層”的網(wǎng)絡(luò)架構(gòu)，網(wǎng)絡(luò)結(jié)構(gòu)的缺陷極有可能引起系統(tǒng)性的安全故障，是影響工業(yè)控制系統(tǒng)安全運(yùn)行的嚴(yán)重隱患，一次普通的DOS攻擊就能夠?qū)е抡麄€(gè)系統(tǒng)癱瘓。因此對(duì)于工業(yè)控制系統(tǒng)安全評(píng)估，考慮后期安全治理的需要，細(xì)致梳理網(wǎng)絡(luò)結(jié)構(gòu)是一項(xiàng)重要的工作內(nèi)容。繪制并提交工業(yè)控制系統(tǒng)運(yùn)行網(wǎng)絡(luò)結(jié)構(gòu)圖是體現(xiàn)評(píng)估效果的必要因素。工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)圖應(yīng)該體現(xiàn)具體細(xì)節(jié)，包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、工程師站、上位機(jī)、OPC、實(shí)時(shí)數(shù)據(jù)庫(kù)等，應(yīng)盡可能詳細(xì)標(biāo)注。這有助于我們深入理解系統(tǒng)內(nèi)部的運(yùn)行過(guò)程，提供一個(gè)橫向上的觀察視角。

（三）生產(chǎn)工藝流程

生產(chǎn)工藝流程反映了產(chǎn)品的生產(chǎn)過(guò)程，而工業(yè)控制系統(tǒng)必然建立在一套成熟的生產(chǎn)工藝流程之上。因此，評(píng)估中了解生產(chǎn)流程，可以幫助我們從現(xiàn)實(shí)生產(chǎn)需要出發(fā)，考察系統(tǒng)控制和作用機(jī)制。

綜合考量上述三方面，我們可以從一個(gè)較高的視角俯視系統(tǒng)全貌，是后續(xù)完成安全治理的重要保障。

四、一些應(yīng)采用的技術(shù)測(cè)試方法

（一）端口掃描

在評(píng)估過(guò)程中，應(yīng)全面收集工業(yè)控制系統(tǒng)內(nèi)部通信端口的開(kāi)放情況，可使用ScanPort、PortScan等實(shí)用工具開(kāi)展全網(wǎng)掃描，結(jié)合系統(tǒng)實(shí)際在用通信協(xié)議，初步判斷掃描出的端口是否在用。

對(duì)于開(kāi)放的無(wú)用端口，現(xiàn)場(chǎng)可進(jìn)行封閉測(cè)試，驗(yàn)證并記錄端口封閉后對(duì)系統(tǒng)的影響。在加固設(shè)備安全的同時(shí)，為今后的工業(yè)控制系統(tǒng)安全策略部署提供數(shù)據(jù)支撐。表1為工業(yè)控制系統(tǒng)內(nèi)常用協(xié)議的端口。

（二）漏洞掃描

評(píng)估過(guò)程中，應(yīng)開(kāi)展操作系統(tǒng)、數(shù)據(jù)庫(kù)及web應(yīng)用漏洞掃描。由于工業(yè)控制系統(tǒng)對(duì)穩(wěn)定性的高要求，為確保持續(xù)運(yùn)行，內(nèi)部的服務(wù)器、工程師站等終端設(shè)備很少升級(jí)或打補(bǔ)丁修復(fù)，積累了大量的安全漏洞。分析近年來(lái)發(fā)生的重大工控安全事件，多以暴露在外的桌面終端為跳板，通過(guò)橫向滲透，進(jìn)而控制工業(yè)控制系統(tǒng)內(nèi)部關(guān)鍵主機(jī)，達(dá)到攻擊目的。如2021年發(fā)生的美國(guó)輸油管線勒索病毒事件，有消息稱，其暴露在互聯(lián)網(wǎng)上的一臺(tái)桌面終端被控制，以此終端為跳板成功實(shí)施了勒索攻擊。因此，工業(yè)控制系統(tǒng)內(nèi)大量未修復(fù)漏洞的工程師站、上位機(jī)、服務(wù)器等設(shè)備，既是工業(yè)控制系統(tǒng)的核心組件，也是整個(gè)系統(tǒng)的脆弱點(diǎn)。現(xiàn)場(chǎng)評(píng)估應(yīng)開(kāi)展漏洞掃描檢測(cè)，識(shí)別并記錄操作系統(tǒng)、數(shù)據(jù)庫(kù)等層面的安全隱患，為后期開(kāi)展治理工作提供支撐資料。

（三）流量分析

評(píng)估過(guò)程中，應(yīng)開(kāi)展流量抓包分析，有助于深入了解系統(tǒng)內(nèi)部的運(yùn)行狀態(tài)。文獻(xiàn)[3]指出，越來(lái)越多的設(shè)備和系統(tǒng)直接或間接接入互聯(lián)網(wǎng)，打破了工業(yè)控制系統(tǒng)原有的封閉性。加之工控協(xié)議在安全設(shè)計(jì)方面普遍存在缺陷和不足，加劇了其面臨的蓄意攻擊安全威脅。結(jié)合筆者參與的工業(yè)控制系統(tǒng)評(píng)估經(jīng)驗(yàn)，流量分析中發(fā)現(xiàn)的威脅連接大多來(lái)自互聯(lián)網(wǎng)方向。這不同于我們對(duì)于網(wǎng)絡(luò)安全的認(rèn)知，即80%以上的威脅來(lái)自網(wǎng)絡(luò)內(nèi)部。筆者認(rèn)為有兩方面的原因，一是相對(duì)于傳統(tǒng)網(wǎng)絡(luò)大范圍的互聯(lián)互通，終端規(guī)模龐大，工業(yè)控制系統(tǒng)相對(duì)封閉且終端數(shù)量有限。加之組織的管理，降低了內(nèi)部的惡意行為的可能性。二是作為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施，其重要作用很容易成為國(guó)家和組織間對(duì)抗的橋頭堡。因此，流量分析中考慮應(yīng)相對(duì)關(guān)注來(lái)自互聯(lián)網(wǎng)方向的流量?？墒褂肳ireShark（圖3）等抓包工具開(kāi)展流量分析，這依賴于評(píng)估人員的高度專業(yè)和豐富的經(jīng)驗(yàn)。也可使用專業(yè)分析工具，據(jù)了解，大多數(shù)工控安全廠商均可提供專業(yè)的流量分析設(shè)備。

五、結(jié)束語(yǔ)

本文從評(píng)估人員組成、資產(chǎn)收集、評(píng)估角度、技術(shù)測(cè)試等方面總結(jié)了幾點(diǎn)收獲。＼隨著信息化與工業(yè)化的不斷融合，我們可以借鑒傳統(tǒng)信息安全領(lǐng)域的理論和方法開(kāi)展評(píng)估。但不同傳統(tǒng)信息系統(tǒng)架構(gòu)相對(duì)穩(wěn)固的特點(diǎn)，工業(yè)控制系統(tǒng)與生產(chǎn)高度關(guān)聯(lián)，隨著生產(chǎn)建設(shè)的延伸，工業(yè)控制系統(tǒng)必將隨之拓展變化。因此，評(píng)估有一定的時(shí)效性，筆者認(rèn)為在完成安全評(píng)估后，應(yīng)盡快啟動(dòng)安全治理工作，在修復(fù)已有隱患的同時(shí)，為工業(yè)控制系統(tǒng)的進(jìn)一步發(fā)展的奠定安全基礎(chǔ)，避免系統(tǒng)快速擴(kuò)張產(chǎn)生新的安全隱患。

參? 考? 文? 獻(xiàn)

[1]項(xiàng)目管理知識(shí)體系指南（PMBOK指南）（第5版）

[2]馮濤等.工業(yè)以太網(wǎng)協(xié)議脆弱性與安全防護(hù)技術(shù)綜述[J].通信學(xué)報(bào).2017，11（Z2）：185-196.

[3]方棟梁，等.工業(yè)控制系統(tǒng)協(xié)議安全綜述[J].計(jì)算機(jī)研究與發(fā)展，2022，59（5）.

作者單位：劉硯峰? ? 李岳棟? ? 倪樂(lè)? ? 陶文雯? ? 中國(guó)石化華東油氣分公司信息化管理中心

劉硯峰（1976.03-），男，漢族，研究生，高級(jí)工程師，研究方向：信息安全。