1　工業(yè)控制系統信息安全產(chǎn)生的背景工業(yè)控制系統在發(fā)展的過(guò)程中，經(jīng)歷了三個(gè)方面的演進(jìn)。

    第一方面的演進(jìn)，即工業(yè)控制系統技術(shù)由專(zhuān)用性向通用性演進(jìn)：工控系統伴隨著(zhù)IT技術(shù)的發(fā)展而發(fā)展，且大量采用IT通用軟硬件，如PC、操作系統、數據庫系統、以太網(wǎng)、TCP/IP協(xié)議等；

    第二方面的演進(jìn)，即工業(yè)控制系統由封閉性向開(kāi)放性演進(jìn)：互聯(lián)網(wǎng)、物聯(lián)網(wǎng)技術(shù)的發(fā)展，工業(yè)化與信息化工業(yè)控制系統信息安全理念與方法論的深度融合，使工控系統不再是一個(gè)獨立的系統，由封閉性向開(kāi)放性演進(jìn)。

    第三方面的演進(jìn)，即工業(yè)控制系統由硬系統向軟系統演進(jìn)：工業(yè)控制系統由機械化、電氣化、電子化、軟件智能化方向不斷演進(jìn)。即工業(yè)控制系統不斷地由硬系統向軟系統演進(jìn)。

    總之，工業(yè)控制系統在不斷的發(fā)展過(guò)程中，打破了專(zhuān)用性、封閉性、硬系統，不斷向信息化、智能化方向演進(jìn)。由此把信息系統的安全問(wèn)題延伸到了工業(yè)控制系統當中，并且由于客體的重要性和脆弱性，使得信息系統安全問(wèn)題在工業(yè)控制系統中進(jìn)一步放大。

    啟明星辰作為國內資深的信息系統安全公司，具有先進(jìn)的信息系統安全理念和最佳的安全實(shí)踐。啟明星辰從2010著(zhù)手研究工業(yè)控制系統信息安全問(wèn)題，定位了“工業(yè)控制系統安全是IT系統安全的延伸，但又具有自身顯著(zhù)的特點(diǎn)”論點(diǎn)，提出了工業(yè)控制系統信息安全“四化”理念和整體解決方案，力求為國家工業(yè)控制系統信息安全做出自己的貢獻。

    2　工業(yè)控制系統面臨的風(fēng)險

    工業(yè)控制系統技術(shù)上和管理上的脆弱性，加上來(lái)自于不同威脅源帶來(lái)的威脅，給工業(yè)控制系統從不同途徑帶來(lái)了不同的風(fēng)險。

    2.1　工業(yè)控制系統技術(shù)上的脆弱性

    首先，工業(yè)控制系統從機械化、電氣化、電子化、軟件智能化逐步發(fā)展而來(lái)，在設計的過(guò)程中專(zhuān)注于系統的可用性問(wèn)題，對工業(yè)控制系統的安全性考慮不足，給現代智能化工業(yè)控制系統安全性帶來(lái)了先天不足。其次，考慮到工業(yè)控制系統兼容性的問(wèn)題，工業(yè)控制系統也無(wú)法及時(shí)安裝系統補丁，無(wú)法有效使用殺毒軟件。再次，工控系統的信息安全防護落后于IT系統，使得IT系統的安全問(wèn)題延伸到工控系統，并得以放大。最后，隨著(zhù)工業(yè)以太網(wǎng)技術(shù)的發(fā)展，實(shí)現了以太網(wǎng)從管理網(wǎng)到生產(chǎn)網(wǎng)一網(wǎng)到底，使入侵行為在邏輯上暢通無(wú)阻，把脆弱的工控系統暴露無(wú)遺。

    總之，工業(yè)控制系統先天信息安全技術(shù)措施的不足，和后天信息安全技術(shù)措施的滯后，導致工控系統相當脆弱。

    2.2　工業(yè)控制系統管理上的脆弱性

    工業(yè)控制系統信息安全不僅是一個(gè)技術(shù)問(wèn)題，更是一個(gè)管理問(wèn)題，需要完善的工業(yè)控制系統信息安全政策、標準、制度和安全意識來(lái)支撐。IT系統經(jīng)過(guò)多年的發(fā)展，已經(jīng)具備完善的安全管理體系。工業(yè)控制系統管理可以借鑒IT系統信息安全管理體系，結合自身的特點(diǎn)，建立工業(yè)控制系統信息安全管理體系。

    工控系統的信息安全管理，與IT安全管理有許多不同，易用性是工控系統信息安全管理考慮的第一要素。相對信息系統用戶(hù)來(lái)說(shuō)，工控系統用戶(hù)信息安全意識更加薄弱。急需通過(guò)多種途徑，如培訓、制度、績(jì)效考核等來(lái)提升工控系統用戶(hù)的信息安全意識。

    2.3　工業(yè)控制系統的威脅源

    工業(yè)控制系統面臨的威脅多種多樣，但可以根據其屬性，劃分為內部威脅、外部威脅、可用性威脅，由于可用性在工業(yè)控制系統中的重要性，所以把可用性威脅也作為一種重要的威脅。從表1可以看出，內部威脅是工控系統面臨的主要威脅。當然，因不同的行業(yè)、不同的生產(chǎn)企業(yè)，威脅源造成的風(fēng)險等級會(huì )有比較大的差異。

    2.4　工業(yè)控制系統風(fēng)險引入的途徑

    工業(yè)控制系統風(fēng)險引入的途徑，大致可以分為以下幾種：（1）來(lái)自互聯(lián)網(wǎng)入侵者的攻擊，這種攻擊如果對工業(yè)控制系統造成影響，對于攻擊者來(lái)說(shuō)，后果很?chē)乐?，一般攻擊者對工業(yè)控制系統的惡意攻擊慎之又慎；（2）來(lái)自企業(yè)內部有意或無(wú)意的攻擊；（3）遠程網(wǎng)絡(luò )劫持攻擊；（4）現場(chǎng)操作人員誤操作或惡意操作；（5）現場(chǎng)運維人員帶來(lái)的風(fēng)險；（6）遠程運維人員帶來(lái)的風(fēng)險。如圖1所示。
 

    3　工業(yè)控制系統信息安全理念

    工業(yè)控制系統信息安全屬于信息系統安全與自動(dòng)化控制系統的交叉學(xué)科，既是信息系統安全的延伸，又具有自身顯著(zhù)的特點(diǎn)。因此，我們基于信息系統安全理念和最佳實(shí)踐，結合工業(yè)控制系統的特點(diǎn)，提出工業(yè)控制系統“四化”信息安全理念。

    3.1　工控系統信息安全理念之—“白名單化”所謂“白名單”，就是加注了標識的進(jìn)程、服務(wù)、網(wǎng)絡(luò )訪(fǎng)問(wèn)行為以及設備等。對于工業(yè)控制系統中的PC、服務(wù)器的進(jìn)程、服務(wù)的“白名單”可以通過(guò)工控終端安全管理系統和手動(dòng)優(yōu)化加固來(lái)進(jìn)行；對工業(yè)控制系統訪(fǎng)問(wèn)控制“白名單”，可以通過(guò)防火墻、工業(yè)交換機、工業(yè)防火墻等進(jìn)行通信白名單打造；對于工業(yè)控制系統資產(chǎn)“白名單”可以通過(guò)資產(chǎn)管理系統來(lái)識別非法設備進(jìn)入工控系統。

    總之，通過(guò)為工業(yè)控制系統打造“白名單”，使工業(yè)控制系統實(shí)現系統的可信、網(wǎng)絡(luò )的可信。
 

    圖1　工業(yè)控制系統風(fēng)險引入途徑

    3.2　工控系統信息安全理念之——層次化

    工業(yè)控制系統中不僅存在工控協(xié)議、OPC協(xié)議、網(wǎng)絡(luò )通信協(xié)議，而且存在著(zhù)多種功能層次，如生產(chǎn)過(guò)程層、生產(chǎn)監控層、經(jīng)營(yíng)管理層。因此，依據工控系統的功能特點(diǎn)，我們提出了“三層結構，二層防護”的方案，在實(shí)現的過(guò)程中進(jìn)一步細化為“分層、分域、分等級”。

    第一層的隔離防護，是經(jīng)營(yíng)管理層與生產(chǎn)監控層的隔離防護。第一層隔離防護主要完成訪(fǎng)問(wèn)控制、惡意代碼過(guò)濾、身份鑒別以及入侵檢測與審計。

    第二層的隔離防護，是生產(chǎn)監控層與生產(chǎn)過(guò)程層之間的隔離防護。第二層防護主要完成工業(yè)協(xié)議及其指令的白名單過(guò)濾，以及工控系統異常行為檢測與審計。

    3.3　工控系統信息安全理念之——邊緣化

    從工控系統演變過(guò)程可以看到，工控系統最初是獨立的自動(dòng)控制系統，但隨著(zhù)信息化的發(fā)展，以及智能控制的要求，不斷地引入IT技術(shù)、互聯(lián)網(wǎng)技術(shù)，從而使工控系統智能化程度越來(lái)越高，這樣提高了工業(yè)生產(chǎn)效率，同時(shí)也引入了工業(yè)控制系統信息安全問(wèn)題。因此解決生產(chǎn)過(guò)程層周邊的信息化安全，即進(jìn)行“邊緣化”，那么工業(yè)控制系統的生產(chǎn)過(guò)程層也相對安全了。

    因此，工控系統信息安全，需要加強設備控制層以上監控層、業(yè)務(wù)管理層信息安全，如：SCADA、MES、ERP安全。設備控制層安全大部分由功能安全來(lái)保證。

    3.4　工控系統信息安全理念之——透明化

    工業(yè)控制系統信息安全主要的特點(diǎn)是要保證工控系統的“可用性”，因此，針對工控系統采取的任何安全措施，都在不影響工控系統“可用性”的前提下進(jìn)行，也就是說(shuō)工控系統采取的安全措施必須是“透明化”的。

    工控系統信息安全采取的技術(shù)措施、管理措施，不能夠降低系統使用者的易用性，安全措施對使用者來(lái)說(shuō)是透明的。

    工控系統信息安全解決方案，不能夠降低系統的可用性，盡可能避免系統的延時(shí)（如果有延時(shí)，必須在可接受的范圍之內）。

    4　工控系統信息安全方法論

    基于工控系統信息安全防護理念，從四個(gè)維度，提出工業(yè)控制系統信息安全解決方法論。如圖2所示。

    4.1　工控系統安全防護

    工控系統安全防護的前提是進(jìn)行分層、分域。一般來(lái)說(shuō)，我們把工控系統進(jìn)行縱向分層，橫向分域，如圖4所示。層與層之間依據其不同屬性，采取不同的防護措施；依據域的不同屬性，采取不同的防護措施。
 

圖2　工業(yè)控制系統“四化”信息安全理念

圖3　工業(yè)控制系統縱向分層、橫向分域

    4.2　工控系統安全加固

    工控系統在“分層分域”的基礎上，需要依據區域的不同屬性，賦予不同的等級加固。例如，可以對生產(chǎn)管理區域、生產(chǎn)服務(wù)器區域、經(jīng)驗管理區域、管理服務(wù)器區域、MES服務(wù)器區域進(jìn)行加固，甚至可以對生產(chǎn)過(guò)程層的PLC進(jìn)行加固。

    4.3　工控系統安全監控

    針對工控系統的監控，需要進(jìn)行以下三個(gè)方面的監控，即可用性監控、工控系統網(wǎng)絡(luò )行為監控、工控系統指令監控。

    （1）工控系統可用性監控

    工控系統可用性監控主要是監控工業(yè)交換機、操作員站、工程師站、應用服務(wù)器、數據庫、PLC的CPU、MEM、磁盤(pán)、端口流量的狀態(tài)。如圖4所示。
 

圖4　工控系統可用性監控對象

    （2）工控系統網(wǎng)絡(luò )行為監控

    工控系統網(wǎng)絡(luò )行為監控，如圖5所示，主要對異常行為、運維行為、惡意行為、異常流量、生產(chǎn)控制行為進(jìn)行監控，以保障工控系統穩定、持續運行。
 

圖5　工控系統網(wǎng)絡(luò )行為監控

    （3）工控系統指令監控

    工控系統指令監控主要依據生產(chǎn)工藝，結合專(zhuān)家經(jīng)驗，對工控系統指令和參數建立防危系統，以防止違規指令和超限參數的使用。如圖6所示。
 

圖6　工控系統指令監控

    4.4　工控系統安全運維

    工控系統安全運維分為兩個(gè)方面，一個(gè)方面是對工控系統現場(chǎng)運行維護管理，另一個(gè)方面是對工控系統動(dòng)態(tài)監控與靜態(tài)防護的運行維護管理。

    （1）工控系統現場(chǎng)運維管理

    工控系統現場(chǎng)運維是工控系統風(fēng)險引入的主要途徑之一，現場(chǎng)運維人員很容易把病毒、木馬引入脆弱的工控系統，同時(shí)，現場(chǎng)運維人員對工控系統數據的上傳下載管理，都處于無(wú)防護、無(wú)監控狀態(tài)。因此，要保障工控系統安全，必須加強對工控系統現場(chǎng)運維人員的管理。

    （2）工控系統現場(chǎng)動(dòng)態(tài)監控與靜態(tài)防護的運維管理（如圖7所示）

    通過(guò)安全加固和安全防護的對工控系統的靜態(tài)防護，通過(guò)指令監控、可用性監控、安全事件監控，實(shí)現了對工控系統的動(dòng)態(tài)監控，靜態(tài)防護與動(dòng)態(tài)防護的有機結合，需要通過(guò)運維管理制度、運維管理流程、運維管理人員才能夠完成，使工控系統安全保障成為一個(gè)有機的整體。
 

圖7 工控系統現場(chǎng)動(dòng)態(tài)監控與靜態(tài)防護的運維管理

    5　結語(yǔ)

    隨著(zhù)全世界范圍內各領(lǐng)域工業(yè)控制系統信息安全事故越發(fā)頻繁的發(fā)生，人們對工業(yè)控制系統信息安全更加關(guān)注，工業(yè)控制系統信息安全問(wèn)題亟待解決。本文通過(guò)對工業(yè)控制系統信息安全需求的切實(shí)分析，提出了符合工業(yè)控制系統的“四化”安全理念，并基于“四化”理念，從安全加固、安全防護、安全監控、安全運維四個(gè)維度提出了工控系統信息安全方法論。

    作者簡(jiǎn)介

    張曄（1973-），男，本科，現就職于啟明星辰集團公司，主要研究方向為工業(yè)控制系統信息安全。發(fā)明了工業(yè)控制系統現場(chǎng)運維審計與管理系統，填補了國內該產(chǎn)品的空白；發(fā)明了動(dòng)態(tài)安全保障體系模型和等級保護技術(shù)架構模型；在國內首次提出了工控系統信息安全的“四化”理念。

    摘自 工業(yè)控制系統信息安全專(zhuān)刊