摘要：隨著(zhù)工業(yè)信息化進(jìn)程的快速推進(jìn)，信息、網(wǎng)絡(luò )技術(shù)在工業(yè)控制領(lǐng)域得到了廣泛的應用。工業(yè)控制系統逐漸打破了以往的封閉性，這使得工業(yè)控制系統必將面臨黑客入侵等傳統的信息安全威脅。本文分析了工業(yè)控制系統面臨的信息安全威脅，以及現有工業(yè)控制領(lǐng)域信息安全工作的進(jìn)展，提出了綠盟科技應對工業(yè)控制系統信息安全問(wèn)題的解決思路，從根本上發(fā)現并解決工業(yè)控制系統信息安全問(wèn)題。

    關(guān)鍵詞：工業(yè)控制系統；漏洞

    Abstract: With the rapid development of industrial informatization, the information and network technology has been widely adopted in the industrial control area. The isolation of the industrial control system (ICS) has gradually been broken down, which incurs information security threats for the traditional industrial control system, such as hacker intrusions. This paper analyzes the security threats to the industrial control system as well as the progress of the current industrial control system security. And this paper also puts forward NSFOCUS's solutions to the ICS security
issues in order to detect and eliminate the threats from the root.

    Key words: Industrial control system; Vulnerability 

    1　工業(yè)控制系統信息安全威脅

    隨著(zhù)工業(yè)信息化進(jìn)程的快速推進(jìn)，信息、網(wǎng)絡(luò )以及物聯(lián)網(wǎng)技術(shù)在智能電網(wǎng)、智能交通、工業(yè)生產(chǎn)系統等工業(yè)控制領(lǐng)域得到了廣泛的應用，極大地提高了企業(yè)的綜合效益。為實(shí)現系統間的協(xié)同和信息分享，工業(yè)控制系統也逐漸打破了以往的封閉性：采用標準、通用的通信協(xié)議及硬軟件系統，甚至有些工業(yè)控制系統以某些方式連接到互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )中。

    這使得工業(yè)控制系統也必將面臨病毒、木馬、黑客入侵、拒絕服務(wù)等傳統的信息安全威脅，而且由于工業(yè)控制系統多被應用在電力、交通、石油化工、核工業(yè)等國家重要的行業(yè)中，其安全事故造成的社會(huì )影響和經(jīng)濟損失會(huì )更為嚴重。出于政治、軍事、經(jīng)濟、信仰等諸多目的，敵對的國家、勢力以及恐怖犯罪分子都可能把工業(yè)控制系統作為達成其目的的攻擊目標。

    根據ICS-CERT（US-CERT下屬的專(zhuān)門(mén)負責工業(yè)控制系統的應急響應小組）的統計，自2011年以來(lái)，工業(yè)控制系統相關(guān)信息安全事件數量大幅度上升，如圖1所示。雖然針對工業(yè)控制系統的信息安全事件與互聯(lián)網(wǎng)上的攻擊事件相比，數量少得多，但由于工業(yè)控制系統對于國計民生的重要性，每一次事件都會(huì )帶來(lái)巨大的影響和危害。
 

    2　現有工業(yè)控制領(lǐng)域信息安全工作進(jìn)展

   工業(yè)控制系統脆弱的安全狀況以及日益嚴重的攻擊威脅，已經(jīng)引起了國家的高度重視， 甚至提升到“國家安全戰略”的高度，并在政策、標準、技術(shù)、方案等方面展開(kāi)了積極應對。在明確重點(diǎn)領(lǐng)域工業(yè)控制系統信息安全管理要求的同時(shí)，國家主管部門(mén)在政策和科研層面上也在積極部署工業(yè)控制系統的信息安全保障工作。

    自2013年以來(lái)，工業(yè)控制系統的信息安全問(wèn)題在國內許多信息安全相關(guān)的技術(shù)大會(huì )上作為重要的研討議題頻繁出現，已成為工業(yè)控制系統相關(guān)的各行業(yè)以及信息安全領(lǐng)域的研究機構、廠(chǎng)商所關(guān)注的熱點(diǎn)方向之一。同時(shí)，國家在政策制定、技術(shù)標準研制、科研基金支持、促進(jìn)行業(yè)內合作等方面也在逐步加大推動(dòng)的力度。其中很多廠(chǎng)商在工業(yè)控制信息安全領(lǐng)域工作進(jìn)展十分明顯。

    2.1　工業(yè)控制系統制造商

    隨著(zhù)工業(yè)控制系統信息安全問(wèn)題越來(lái)越受關(guān)注，各個(gè)工業(yè)控制系統制造商也將工業(yè)控制系統信息安全工作納入其工作范疇之中。在研發(fā)制造階段，很多制造商引入信息安全評估機制，對其生產(chǎn)的工業(yè)控制設備進(jìn)行信息安全評估。目前以西門(mén)子、施耐德電氣、羅克韋爾自動(dòng)化等為主的國際大型工業(yè)控制系統制造商都已經(jīng)在積極進(jìn)行工業(yè)控制系統信息安全研究。

    以西門(mén)子為例，西門(mén)子中國研究院成立了信息安全部，專(zhuān)門(mén)針對工業(yè)控制系統進(jìn)行信息安全研究工作，并提出了縱深防御的安全理念，將工廠(chǎng)安全、網(wǎng)絡(luò )信息安全、系統完整性統一考慮，形成解決方案[2]，如圖2所示。
 

    可以看到，西門(mén)子主要針對的是其自身的設備產(chǎn)品，給出了基于訪(fǎng)問(wèn)控制、密碼保護在內的信息安全解決方案。

    施耐德電氣、羅克韋爾自動(dòng)化的情況與西門(mén)子比較類(lèi)似，均提出了針對自身產(chǎn)品的工業(yè)控制系統信息安全解決方案。

    從總體上看，先進(jìn)的工業(yè)控制系統制造商都能夠提出自己的工業(yè)控制系統信息安全解決方案。但是這些制造商做這項工作也有其不足之處：各個(gè)廠(chǎng)商需要在IT安全領(lǐng)域與各種傳統IT安全廠(chǎng)商合作才可以實(shí)現其信息安全解決方案。而更為關(guān)鍵的OT（操作技術(shù)）安全領(lǐng)域，這些制造商僅能夠針對自身產(chǎn)品提供解決方案，無(wú)法提供跨廠(chǎng)商的OT安全解決方案。

    2.2　工業(yè)控制信息安全供應商

    目前也有很多重點(diǎn)在工業(yè)控制信息安全開(kāi)展工作的廠(chǎng)商，這些廠(chǎng)商主要為工業(yè)控制系統用戶(hù)提供通用的工業(yè)控制信息安全產(chǎn)品或服務(wù)，如海天煒業(yè)、力控華康等廠(chǎng)商。這些工業(yè)控制信息安全供應商一般在工業(yè)控制領(lǐng)域都有技術(shù)積累，因此能夠快速推出工業(yè)控制信息安全設備。但由于這些廠(chǎng)商在信息安全領(lǐng)域的積累不足，所以推出的安全設備主要為訪(fǎng)問(wèn)控制類(lèi)產(chǎn)品，如工控防火墻、工控隔離網(wǎng)關(guān)等。

    3　工業(yè)控制系統信息安全治理的治本之道

    3.1　工業(yè)控制系統面臨更加苛刻的安全性要求

    在工業(yè)控制系統中，無(wú)論是一次系統還是二次系統，以及間隔層還是過(guò)程層，業(yè)務(wù)的連續性、健康性是至關(guān)重要的。而工業(yè)控制系統由于其長(cháng)期封閉、獨立的特性，造成了在信息安全方面建設的欠缺，不具備更多的容錯處理，比如異常指令的處理；不具備較大壓力的處理，比如快速數據傳輸、訪(fǎng)問(wèn)等。在Gartner報告中[4]，總結了工業(yè)控制系統安全性相比IT環(huán)境的一些區別性特性：

    ·工業(yè)控制系統安全問(wèn)題將直接對物理環(huán)境造成影響，有可能導致死亡、受傷、環(huán)境破壞和大規模關(guān)鍵業(yè)務(wù)中斷等；

    ·工業(yè)控制系統安全相比IT安全有更廣泛的威脅向量，包括安全限制和特有網(wǎng)絡(luò )協(xié)議的支持；

    ·工業(yè)控制系統安全涉及的系統廠(chǎng)商多，測試和開(kāi)發(fā)環(huán)境多種多樣；

    ·一些工業(yè)控制系統安全環(huán)境面臨預算限制，這是與那些需要嚴格監管的IT的不同之處；

    ·在傳統的安全性和可用性作為主要安全特性的IT行業(yè)，工業(yè)控制系統行業(yè)還會(huì )關(guān)注對產(chǎn)品質(zhì)量的協(xié)調影響，運營(yíng)資產(chǎn)和下游后果的安全問(wèn)題。

    3.2　把成熟的IT風(fēng)險評估技術(shù)移植到工業(yè)控制系統環(huán)境中

    在面對與IT系統不一樣的安全性要求的工業(yè)控制系統時(shí)，如何把成熟的IT風(fēng)險評估技術(shù)移植到工業(yè)控制系統中成為必須要解決的問(wèn)題。對這些挑戰進(jìn)行小結的話(huà)，可以歸納為三個(gè)方面：一是如何覆蓋多樣的工業(yè)控制系統；二是如何在評估時(shí)保障業(yè)務(wù)的連續性和健康性；三是如何進(jìn)行成熟的安全風(fēng)險評估。以下將從這三個(gè)方面分別進(jìn)行探討。

    3.2.1　覆蓋多樣的工業(yè)控制系統

    在安全風(fēng)險評估時(shí)，不僅需要對在工業(yè)控制系統中使用的傳統IT設備/系統，比如操作系統、交換機、路由器、弱口令、FTP服務(wù)器、Web服務(wù)器等進(jìn)行安全評估，還需要覆蓋工業(yè)控制系統中所特有的設備/系統，比如SCADA、DCS、PLC、現場(chǎng)總線(xiàn)等；同時(shí)，不僅要覆蓋對漏洞的評估，還需要對一些關(guān)鍵系統的配置進(jìn)行安全性評估；在工控協(xié)議的支持上，需要對主流的Modbus、Profinet、IEC60870-5-104、IEC60870-5-1、IEC61850、DNP3等主流的工控協(xié)議，其覆蓋范圍可參見(jiàn)圖3。
 

    但是，根據IHS最近的研究報告“2013全球工業(yè)以太網(wǎng)和現場(chǎng)總線(xiàn)技術(shù)”[5]中的調查顯示，從2011年到2016年，雖然新增加網(wǎng)絡(luò )節點(diǎn)的總數量將會(huì )超過(guò)30%，但是現場(chǎng)總線(xiàn)和以太網(wǎng)產(chǎn)品的混合產(chǎn)品數量將會(huì )基本維持不變，從23%到26%僅僅增加3個(gè)百分點(diǎn)。由于技術(shù)更新的成本、難度，老式工業(yè)總線(xiàn)很難都替換成支持以太網(wǎng)的新式總線(xiàn)。因此，需要一種有效地手段，可以對基于老式總線(xiàn)工業(yè)控制系統進(jìn)行漏洞掃描。綠盟科技的解決思路是，使用一種有效的基于總線(xiàn)轉換技術(shù)的漏洞掃描技術(shù)，也就是說(shuō)通過(guò)對老式總線(xiàn)的接入方式的轉換，例如RS485轉換成以太網(wǎng)，使得采用標準工控總線(xiàn)協(xié)議的工業(yè)控制系統，例如Profibus-DP、Modbus等，可以通過(guò)以太網(wǎng)的方式進(jìn)行漏洞掃描。這種技術(shù)可以有效地把基于以太網(wǎng)的成熟漏洞掃描技術(shù)引進(jìn)到老式的工業(yè)控制系統中，實(shí)現更全面的安全風(fēng)險評估。轉換思路如圖4所示。
 

    3.2.2　在評估時(shí)保障業(yè)務(wù)的連續性和健康性

    面對安全性要求更高的工業(yè)控制系統，需要在掃描時(shí)更加安全、可靠，而工業(yè)控制系統由于長(cháng)期封閉建設的原因，設備/系統相比IT系統更加的脆弱。因此需要采用“零影響”的掃描技術(shù)以保障設備的零影響。在解決思路上，如果能把安全掃描融入到正常的業(yè)務(wù)中，也就是說(shuō)掃描行為與正常的業(yè)務(wù)行為保持一致性，將很好地解決這個(gè)問(wèn)題。同時(shí)，通過(guò)在IT系統中多年積累的安全掃描經(jīng)驗，能夠更好地保障業(yè)務(wù)的連續性和健康性。

    3.3　如何進(jìn)行成熟的安全風(fēng)險評估

    結合漏洞的生命周期以及漏洞管理流程，可從以下三個(gè)方面進(jìn)行成熟的安全風(fēng)險評估：

    3.3.1　可視化的工控風(fēng)險展示

     風(fēng)險“可視化”是進(jìn)行風(fēng)險管控必不可少的特性?？茖W(xué)的風(fēng)險發(fā)現、風(fēng)險跟蹤技術(shù)可以很好地提高整體風(fēng)險控制水平，可為企業(yè)帶來(lái)更高效率，有的甚至可以達到更好的效果。

    綠盟科技根據多年的經(jīng)驗積累，采用了更具實(shí)效性的儀表盤(pán)技術(shù)，從不同的角度展示設備風(fēng)險及趨勢。

    ·包含資產(chǎn)整體的風(fēng)險值、資產(chǎn)分析趨勢圖；

    ·包含主機風(fēng)險等級分布、資產(chǎn)風(fēng)險分布趨勢；

    ·能夠可視化的顯示當前資產(chǎn)的風(fēng)險值及過(guò)去一段時(shí)間的變化趨勢。

    3.3.2　基于工控資產(chǎn)的漏洞跟蹤

    工控系統一般規模大，資產(chǎn)數量、漏洞數量、脆弱性問(wèn)題也很多，匯總成大量的風(fēng)險數據，會(huì )使安全管理人員疲于應付，又不能保證對重要資產(chǎn)的及時(shí)修補。

    因此在漏洞跟蹤時(shí)需要盡量收集工控系統環(huán)境信息，建立起工控資產(chǎn)關(guān)系列表，系統基于資產(chǎn)信息進(jìn)行脆弱性?huà)呙韬头治鰣蟾?；需要從風(fēng)險發(fā)生區域、類(lèi)型、嚴重程度進(jìn)行不同維度的分類(lèi)分析報告，用戶(hù)可以全局掌握安全風(fēng)險，關(guān)注重點(diǎn)區域、重點(diǎn)資產(chǎn)，對嚴重問(wèn)題優(yōu)先修補。對于需要定位工控資產(chǎn)安全脆弱性的安全維護人員，通過(guò)直接點(diǎn)擊儀表盤(pán)風(fēng)險數據，可以逐級定位風(fēng)險，直至定位到具體主機具體漏洞；同時(shí)需要提供強大的搜索功能，可以根據資產(chǎn)范圍、風(fēng)險程度等條件搜索定位風(fēng)險。
 

    3.3.3　完善的工控漏洞管理流程

    安全管理不只是技術(shù)，更重要的是通過(guò)流程制度對安全脆弱性風(fēng)險進(jìn)行控制，很多公司制定了安全流程制度，但仍然有安全事故發(fā)生，人員對流程制度的執行起到關(guān)鍵作用，如何融入管理流程，并促進(jìn)流程的執行是安全脆弱性管理產(chǎn)品需要解決的問(wèn)題。

    安全管理流程制度一般包括預警、檢測、分析管理、修補、審計等幾個(gè)環(huán)節，結合安全流程中的預警、檢測、分析管理、審計環(huán)節，并通過(guò)事件告警督促安全管理人員進(jìn)行風(fēng)險修補。

    4　結語(yǔ)

    工業(yè)控制系統信息安全是近一兩年來(lái)備受各方關(guān)注的一個(gè)新興安全技術(shù)領(lǐng)域。工業(yè)控制系統制造商、傳統信息安全廠(chǎng)商和工控信息安全廠(chǎng)商都在這一領(lǐng)域投入力量展開(kāi)研究，希望能夠給工業(yè)控制系統用戶(hù)提供一個(gè)有效的信息安全解決方案。

    目前各類(lèi)通用工業(yè)控制系統信息安全問(wèn)題解決思路還是從外圍的訪(fǎng)問(wèn)控制入手，本文給出一個(gè)從工業(yè)控制系統漏洞管理入手的解決思路，希望能夠從根本上更好地解決工業(yè)控制系統信息安全問(wèn)題。綠盟科技也在依照這個(gè)思路開(kāi)展研發(fā)工作，目前已經(jīng)基本完成了工控漏洞掃描系統的研發(fā)工作，并且在一些工控環(huán)境進(jìn)行驗證工作。希望在不久之后，更具針對性、更有效的工控漏洞掃描系統將會(huì )更好的在工業(yè)控制系統信息安全領(lǐng)域發(fā)揮作用。

    參考文獻

    [1] 李鴻培, 忽朝儉, 王曉鵬. 2014工業(yè)控制系統的安全研究與實(shí)踐[Z].綠盟科技，2014.

    [2] 工業(yè)信息安全貫穿自動(dòng)化系統所有層級. http://www.industry.siemens.com.cn/topics/cn/zh/industrial-security/Pages/default.aspx.

    [3] Tofino工業(yè)防火墻. http://www.mosesceo.com/html/guard/product/tsa.htm.

    [4] Market Share Analysis: Communications Service Provider Operational Technology, Worldwide, 2013. http://www.gartner.com/technology/reprints.do?id=1-1KL5RP7&ct=130919&st=sb.

    [5] The World Market for Industrial Ethernet and Fieldbus Technologies. http://www.ihs.com/info/sc/a/ethernet-fieldbus-technologies.aspx.

    
    作者簡(jiǎn)介

    張旭（1983-），男，北京人，現任北京神州綠盟科技有限公司風(fēng)險與合規產(chǎn)品線(xiàn)推廣經(jīng)理，具有多年安全運維、風(fēng)險管理工作經(jīng)驗。

    向智（1978-），男，湖南邵陽(yáng)人，現任北京神州綠盟科技有限公司風(fēng)險與合規產(chǎn)品線(xiàn)產(chǎn)品經(jīng)理，具有十年以上網(wǎng)絡(luò )安全行業(yè)的產(chǎn)品規劃、研究、開(kāi)發(fā)和市場(chǎng)營(yíng)銷(xiāo)管理工作經(jīng)驗，在漏洞掃描、漏洞分析、協(xié)議分析、網(wǎng)絡(luò )攻擊檢測、威脅防護技術(shù)、網(wǎng)絡(luò )審計、防火墻領(lǐng)域有較多積累，對各種互聯(lián)網(wǎng)協(xié)議、工控系統協(xié)議、終端安全有深入了解。