隨著(zhù)我國工業(yè)化和信息化的深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，并以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )連接；在工業(yè)控制系統愈發(fā)智能的同時(shí)，其網(wǎng)絡(luò )也變得更加透明、開(kāi)放、互聯(lián)。病毒、木馬等威脅開(kāi)始向工業(yè)控制系統擴散，信息安全問(wèn)題日益突出。工業(yè)控制系統信息安全是多行業(yè)、多領(lǐng)域和多學(xué)科融合的新興領(lǐng)域，我國關(guān)于工業(yè)控制系統信息安全研究仍然處于起步發(fā)展階段。

    1　工業(yè)控制系統（ICS）簡(jiǎn)介

    工業(yè)控制系統（Industrial Control Systems，ICS）是由各種自動(dòng)化組件和對實(shí)時(shí)數據進(jìn)行采集、監測的過(guò)程控制組件，共同構成的對工業(yè)生產(chǎn)過(guò)程實(shí)現檢測、控制、優(yōu)化、調度、管理和決策的生產(chǎn)流程管控系統，用以實(shí)現增加產(chǎn)量、提高質(zhì)量、降低消耗等目的。ICS包括數據采集與監控系統（Supervisory Control And Data Acquisition，SCADA）、分布式控制系統（Distributed Control Systems，DCS）、可編程邏輯控制器（Programmable Logic Controller，PLC）以及其他控制系統等，目前已廣泛應用于電力、水力、鋼鐵、石化、醫藥、食品以及汽車(chē)、航天等工業(yè)領(lǐng)域，成為國家關(guān)鍵基礎設施的重要組成部分，是這些基礎設施運行的“中樞”和“大腦”。

    2　ICS信息安全典型案例

    最為著(zhù)名的I C S 信息安全案例就是“ 震網(wǎng)（Stuxnet）”病毒襲擊事件?！罢鹁W(wǎng)”病毒于2010年6月首次被檢測出來(lái)，是第一個(gè)專(zhuān)門(mén)定向攻擊真實(shí)世界中基礎設施的“蠕蟲(chóng)”病毒，比如核電站、水壩、國家電網(wǎng)等。2011年2月，伊朗突然宣布暫時(shí)推遲首座核電站——布什爾核電站的使用，原因就是核設施遭到“震網(wǎng)”病毒攻擊，病毒侵入了西門(mén)子公司為核電站設計的工業(yè)控制軟件，并奪取了一系列核心生產(chǎn)設備的關(guān)鍵控制權，1/5的離心機報廢?！罢鹁W(wǎng)”病毒使用了4個(gè)未公開(kāi)漏洞、1個(gè)Windows Rootkit、一個(gè)可編程邏輯控制器（PLC）Rootkit、防病毒免殺技術(shù)、P2P更新，從可信認證中心（Certificate Authority，CA）竊取證書(shū)，并不斷演變進(jìn)化；該病毒是通過(guò)移動(dòng)存儲設備進(jìn)入到同其他網(wǎng)絡(luò )物理隔離的計算機中，自動(dòng)查找西門(mén)子的SIMATIC WinCC工控系統軟件，使用PLC Rootkit修改控制系統參數并隱藏PLC變動(dòng)，從而對真實(shí)物理設備和系統造成物理?yè)p害?！罢鹁W(wǎng)”病毒的出現和傳播，威脅的不僅是自動(dòng)化系統的安全，而且使自動(dòng)化系統的安全性上升到國家安全的高度。

    ICS信息安全事件數量逐年大幅上升，據來(lái)源于美國國土安全部的工業(yè)控制系統網(wǎng)絡(luò )應急響應小組ICSCERT）
的數據表明，如圖1所示，自2010年起，重大ICS信息安全事件呈爆炸式增長(cháng)，由2010年的39起增加到2013年的256起。

圖1 ICS-CERT歷年的ICS信息安全事件統計（按財年）

    3　產(chǎn)生ICS信息安全問(wèn)題的原因

    對ICS的信息安全攻擊是對傳統IT攻擊的一種自然發(fā)展。近十年來(lái)，隨著(zhù)信息技術(shù)的迅猛發(fā)展，ICS網(wǎng)絡(luò )和企業(yè)管理網(wǎng)絡(luò )的聯(lián)系越來(lái)越緊密，信息化在我們企業(yè)中的應用取得了飛速發(fā)展，互聯(lián)網(wǎng)、物聯(lián)網(wǎng)技術(shù)的出現，使得工業(yè)控制網(wǎng)絡(luò )中大量采用通用TCP/IP技術(shù)。此外，傳統工業(yè)控制系統采用專(zhuān)用的硬件、軟件和通信協(xié)議，設計上基本沒(méi)有考慮互聯(lián)互通所必須考慮的通信安全問(wèn)題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護功能都很弱，甚至幾乎沒(méi)有隔離功能，因此在ICS開(kāi)放的同時(shí)，也減弱了控制系統與外界的隔離，ICS的安全隱患問(wèn)題日益嚴峻。系統中任何一點(diǎn)受到攻擊都有可能導致整個(gè)系統的癱瘓。在當前ICS標準化和互聯(lián)互通的趨勢下，采用信息安全攻擊對攻擊者來(lái)說(shuō)更便宜、風(fēng)險更低、不受地理限制，并且更容易復制和操作，因而導致了ICS信息安全問(wèn)題近些年來(lái)頻頻發(fā)生。ICS系統安全問(wèn)題嚴峻的主要原因有以下幾點(diǎn)：

    （1）管理缺失

    沒(méi)有足夠健全的安全政策、管理制度，人員安全意識缺乏。由于ICS不像互聯(lián)網(wǎng)或與傳統企業(yè)IT網(wǎng)絡(luò )那樣備受黑客的關(guān)注，在2010年“震網(wǎng)”事件發(fā)生之前，很少有黑客攻擊工業(yè)控制網(wǎng)絡(luò )的事件發(fā)生；ICS在設計時(shí)多考慮系統的可用性，普遍對安全性問(wèn)題考慮不足，更不用提制定完善的ICS安全政策、管理制度以及對人員的安全意識培養了，天長(cháng)日久造成人員的信息安全意識淡薄。其中，人員安全意識薄弱、缺乏定期安全培訓是造成ICS信息安全風(fēng)險的一個(gè)重要因素，特別是重要崗位人員容易淪為外部威脅入侵的跳板。

    （2）網(wǎng)絡(luò )設計不完善，深度保護不夠

    相較于傳統的網(wǎng)絡(luò )與信息系統，大多數的ICS在開(kāi)發(fā)設計時(shí)，需要兼顧應用環(huán)境、控制管理等多方面因素，首要考慮效率和實(shí)時(shí)特性。因此，ICS普遍缺乏有效的工業(yè)信息安全防御及數據通信保密措施。ICS早期和企業(yè)管理系統是隔離的，但近年來(lái)為了實(shí)現實(shí)時(shí)的數據采集與生產(chǎn)控制，滿(mǎn)足“兩化融合”的需求以及管理的方便，通過(guò)邏輯隔離的方式，使ICS和企業(yè)管理系統可以直接進(jìn)行通信，而企業(yè)管理系統一般直接連接Internet。在這種情況下，ICS接入的范圍不僅擴展到了企業(yè)網(wǎng)，而且面臨著(zhù)來(lái)自Internet的威脅。

    （3）ICS的自身特點(diǎn)所致

    ICS的設計開(kāi)發(fā)之初并未將系統防護、數據保密等安全指標納入其中。兩化融合和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來(lái)越廣泛地應用在工業(yè)控制網(wǎng)絡(luò )中，隨之而來(lái)的通信協(xié)議漏洞問(wèn)題也日益突出。而且ICS網(wǎng)絡(luò )與企業(yè)網(wǎng)絡(luò )連接，防護措施的薄弱（如TCP/1P協(xié)議缺陷、工業(yè)應用漏洞等）導致攻擊者很容易通過(guò)企業(yè)網(wǎng)絡(luò )間接入侵ICS。

    （4）ICS設備的通用性

    在ICS中多采用通用協(xié)議、通用軟件、通用硬件，這些通用設備的漏洞給系統的信息安全帶來(lái)極大隱患。

    通信網(wǎng)絡(luò )是ICS中連接監測層與控制層的紐帶，目前ICS多采用IEC 61158中提供的20種工業(yè)現場(chǎng)總線(xiàn)標準，例如Modbus系列、Profibus系列等。如利用這些通用協(xié)議的缺陷、漏洞即可入侵ICS，獲得控制器的控制權，進(jìn)而破壞整個(gè)系統。

    組態(tài)軟件作為ICS監控層的軟件平臺和開(kāi)發(fā)環(huán)境，針對不同的控制器設備，其應用具有一定的通用性。目
前使用比較廣泛的有WinCC、InTouch、iFix等?！罢鹁W(wǎng)”病毒即利用了西門(mén)子WinCC的漏洞。

    通用控制器硬件設備主要采用西門(mén)子、羅克韋爾自動(dòng)化、施耐德電氣等公司產(chǎn)品，因此這些通用控制器所具有的漏洞極易成為惡意攻擊的突破口。如施耐德電氣Quantum以太網(wǎng)模塊漏洞可以使任何人全方位地訪(fǎng)問(wèn)設備的硬編碼密碼。

    4　ICS信息安全問(wèn)題的應對措施

    要提高整個(gè)ICS的信息安全，必須從技術(shù)和管理兩個(gè)方面來(lái)綜合解決問(wèn)題。一般采用的關(guān)鍵技術(shù)為信息安
全風(fēng)險評估，具體實(shí)施采用縱深防御體系。

    4.1　ICS信息安全風(fēng)險評估

    ICS信息安全風(fēng)險評估屬于風(fēng)險評估范疇，因此它在風(fēng)險概念、風(fēng)險評估的基本流程方面基本繼承了通用信息安全風(fēng)險評估中的相關(guān)內容；但另一方面，ICS是工業(yè)領(lǐng)域的生產(chǎn)運行系統，在生產(chǎn)運行系統中執行傳統IT信息安全技術(shù)測試（如漏洞掃描、滲透測試）可能會(huì )對生產(chǎn)運行系統造成損害甚至引發(fā)安全事故，因此在風(fēng)險評估實(shí)施指南方面的工作都要具體指出ICS風(fēng)險評估實(shí)施的特點(diǎn)。

    安全風(fēng)險評估最為常用的是定性和定量風(fēng)險評估技術(shù)方法。定性風(fēng)險評估技術(shù)方法是在確定風(fēng)險時(shí)采用高、中、低等定性分級方法，定量風(fēng)險評估技術(shù)方法是使用數值定量計算的評估技術(shù)和方法。

    在風(fēng)險評估中，確定風(fēng)險總的來(lái)說(shuō)就是回答三個(gè)問(wèn)題：什么會(huì )出錯？出錯的可能性有多大？后果會(huì )是什么？定性風(fēng)險評估方法主要是憑借評估者和專(zhuān)家的經(jīng)驗、直覺(jué)來(lái)主觀(guān)判斷，對這些問(wèn)題給出高、中、低等定性分析與判斷，定性方法通常操作簡(jiǎn)單、直觀(guān)、容易掌握。但其評價(jià)結果通常很大程度依賴(lài)于評估者和專(zhuān)家的經(jīng)驗，更具主觀(guān)性，對負面事件發(fā)生的可能性和后果不能給出量化結果。定量風(fēng)險評估技術(shù)方法也稱(chēng)概率風(fēng)險評估，它主要是對負面事件的可能性用概率或頻率表達，并給出后果的數字化值，從而得出風(fēng)險的量化值。概率風(fēng)險評估包括故障樹(shù)分析、攻擊樹(shù)分析、事件樹(shù)分析、漏洞樹(shù)分析、失效模式和影響分析、失效模式影響和關(guān)鍵性分析、因果分析等方法，以及一些基于這些方法的擴展或組合等。定量風(fēng)險評估技術(shù)和方法能從數量上說(shuō)明評估對象的危險程度、精確描述系統的危險性，因此它也是當前ICS信息安全風(fēng)險評估的主要研究方向。

    ICS信息安全研究，采用樹(shù)、圖等圖形化方式，能夠更加可視化、結構化地進(jìn)行定性/定量（特別是定量方法）風(fēng)險評估研究，這是當前ICS風(fēng)險評估研究和實(shí)踐的兩個(gè)熱點(diǎn)。根據具體方法不同，樹(shù)、圖等圖形化方法可以從攻擊者、防御者和中立第三方等不同用戶(hù)視角可視化、結構化地展示ICS的攻擊路徑、系統漏洞、防御措施和消控措施等，還可以進(jìn)一步進(jìn)行定性或定量風(fēng)險分析和評價(jià)。最為人熟知的圖形化風(fēng)險建模和分析方法是攻擊樹(shù)（Attack trees）方法，它是一種基于攻擊的、形式化分析系統和子系統安全風(fēng)險的方法。攻擊樹(shù)已經(jīng)在各種不同ICS風(fēng)險評估工作中得以應用，例如美國專(zhuān)家使用攻擊樹(shù)對SCADA系統進(jìn)行了漏洞分析和測試，其實(shí)驗結果表明，攻擊樹(shù)方法極大改進(jìn)了研究人員發(fā)現SCADA系統新漏洞利用和危害評估的能力。

    4.2　ICS信息安全縱深防御體系

    ICS環(huán)境和傳統IT環(huán)境之間存在著(zhù)一些關(guān)鍵性的不同之處，如高實(shí)時(shí)性、高可用性、有限的資源、專(zhuān)用的協(xié)議、較長(cháng)的生命周期等。正是由于這些不同，導致了ICS信息安全問(wèn)題的復雜性，僅依賴(lài)于單一的安全技術(shù)和解決方案，簡(jiǎn)單地將IT信息安全技術(shù)配置到ICS中并不是高效可行的解決方案，必須綜合多種安全技術(shù)，分層分域地部署各種安全防護措施，才能提升系統的整體防御能力。國際行業(yè)標準ANSI/ISA-99明確提出目前工業(yè)控制領(lǐng)域普遍認可的安全防御措施要求：將具有相同功能和安全要求的控制設備劃分到同一區域，區域之間執行管道通信，通過(guò)控制區域間管道中的通信內容來(lái)確保ICS信息安全，也就是要建立縱深防御體系。

    建立縱深防御體系有兩個(gè)主要目的：

    （1）即使在某一點(diǎn)發(fā)生信息安全事故，也能保證網(wǎng)絡(luò )的其他區域正常安全穩定運行。該防護目標在于當工業(yè)網(wǎng)絡(luò )的某個(gè)局部存在病毒感染或其它不安全因素時(shí)，不會(huì )向其它設備或網(wǎng)絡(luò )擴散。

    （2）維護人員能夠及時(shí)準確地確認故障點(diǎn)，并排除問(wèn)題。能夠及時(shí)發(fā)現網(wǎng)絡(luò )中存在的信息安全問(wèn)題并準確找到故障點(diǎn)，是維護控制系統信息安全的前提。

    一般來(lái)說(shuō)，工業(yè)系統網(wǎng)絡(luò )從總體結構上可分為三個(gè)層次：企業(yè)管理層、數采信息層和控制層。企業(yè)管理層主要是辦公自動(dòng)化系統，一般使用通用以太網(wǎng)通訊，可以從數采信息層提取有關(guān)生產(chǎn)數據用于制定綜合管理決策；數采信息層主要是從控制層獲取數據，完成各種控制、運行參數的監測、報警和趨勢分析等功能?？刂茖迂撠烝/D轉換、數字濾波、溫度壓力補償、PID控制、數據采集等各種功能。系統的每一個(gè)安全漏洞都會(huì )導致不同的后果，所以將它們單獨隔離防護十分必要。

    將企業(yè)系統結構劃分成不同的區域可以幫助企業(yè)有效地建立“縱深防御”體系。結合ICS的信息安全需要，可以將ICS網(wǎng)絡(luò )劃分為以下不同的安全區域：企業(yè)IT網(wǎng)絡(luò )區域、過(guò)程信息/歷史數據區域、管理/HMI區域、DCS/PLC控制區域和第三方控制系統區域（如安全儀表系統SIS），如圖2所示。

圖2 工業(yè)系統網(wǎng)絡(luò )安全區域劃分

    針對企業(yè)流程的特點(diǎn)，同時(shí)結合ICS的網(wǎng)絡(luò )結構，基于縱深防御體系，工業(yè)控制網(wǎng)絡(luò )需要以下五個(gè)層面的安全防護，如圖3中A、B、C、D、E所示。

圖3 工業(yè)控制系統信息安全的縱深防御

    （1）企業(yè)管理層和數采信息層之間的安全防護

    這里是IT信息系統與工業(yè)信息系統的分界線(xiàn)，其重要程度不言而喻，所以采取了常規IT防火墻加上入侵檢測系統（Intrusion Detection System，IDS）的雙重防護措施。防火墻是第一道防線(xiàn)，串接在網(wǎng)絡(luò )中，只允許兩個(gè)網(wǎng)絡(luò )之間合法的數據交換，阻擋企業(yè)管理層對數采信息層的未經(jīng)授權的非法訪(fǎng)問(wèn)，同時(shí)也防止管理層網(wǎng)絡(luò )的病毒擴散到數采信息網(wǎng)絡(luò )。IDS置于數采信息層的網(wǎng)絡(luò )交換機上，主動(dòng)收集、分析網(wǎng)內的數據是否有異常，以防止內部攻擊的發(fā)生。

    （2）數采信息層和控制層之間的安全防護
 
    數采信息層與控制層之間要交互大量的設備機組生產(chǎn)數據及工藝參數數據，要求較高的通訊帶寬，對此部位的信息安全防護使用常規的IT防火墻。加入防火墻，一方面提升了網(wǎng)絡(luò )的區域劃分，另一方面保證只有被允許的流量才能通過(guò)防火墻。

    （3）關(guān)鍵控制器的安全防護

    控制器通常使用工業(yè)專(zhuān)用通訊協(xié)議，使用傳統的IT防火墻進(jìn)行防護時(shí)，不得不開(kāi)放大規模范圍內的端口號。在這種情況下，防火墻提供的安全保障被降至最低。因此，在控制器的前端應安裝專(zhuān)業(yè)的工業(yè)防火墻，才能夠解決該類(lèi)安全防護問(wèn)題。工業(yè)防火墻一方面是對工業(yè)專(zhuān)用通訊協(xié)議的支持，目前主要通過(guò)規則更新的方式進(jìn)行兼容；另一方面，由于ICS對實(shí)時(shí)性要求較高，傳統基于包過(guò)濾和應用層網(wǎng)關(guān)的IT防火墻技術(shù)無(wú)法滿(mǎn)足實(shí)時(shí)性要求，而工業(yè)防火墻采用了類(lèi)似深度報文檢測（Deep Packet Inspection，DPI）的技術(shù)，它對封裝在TCP/IP協(xié)議負載內的信息進(jìn)行檢測，然后進(jìn)行識別、分類(lèi)，對連接的狀態(tài)進(jìn)行動(dòng)態(tài)維護和分析，一旦發(fā)現異常的流量或連接，就動(dòng)態(tài)生成過(guò)濾規則，在提高準確率的同時(shí)，也降低了工作負載。

    （4）隔離工程師站，保護APC先控站

    考慮到工程師站和APC先控站在項目實(shí)施階段通常需要接入第三方設備（U盤(pán)、筆記本電腦等），而且是在整個(gè)控制系統試運行的情況下實(shí)施，受到病毒入侵和攻擊的概率很大，存在較高的信息安全隱患。在工程師站和APC先控站前端增加IT防火墻，可以將工程師站和APC先控站單獨隔離，防止病毒擴散，保證網(wǎng)絡(luò )安全。

    （5）與第三方控制系統之間的安全防護

    使用工業(yè)防火墻將SIS安全儀表系統等第三方控制系統和網(wǎng)絡(luò )進(jìn)行隔離，主要是為了確保兩個(gè)區域之間數據交換的安全，管控通訊數據，保證只有合法可信的、經(jīng)過(guò)授權的訪(fǎng)問(wèn)和通訊才能通過(guò)網(wǎng)絡(luò )通信管道。

    5　結語(yǔ)

    隨著(zhù)工業(yè)化和信息化的深度融合以及網(wǎng)絡(luò )技術(shù)的不斷進(jìn)步，ICS信息安全的重要性與其普遍存在的安全防護措施不足的矛盾日漸突出，加強ICS信息安全工作無(wú)疑是一項非常艱巨的任務(wù)。在參考IT信息安全業(yè)內的最佳實(shí)踐基礎上，結合ICS自身的特點(diǎn)，從技術(shù)和管理上雙管齊下，才能切實(shí)提升運維部門(mén)的管理效率和服務(wù)技能，有效降低ICS所面臨的信息安全問(wèn)題。


參考文獻：

[1] Eric D.Knapp. 工業(yè)網(wǎng)絡(luò )安全——智能電網(wǎng)，SCADA和其他工業(yè)控制系統等關(guān)鍵基礎設施的網(wǎng)絡(luò )安全[M]. 國防工業(yè)出版社, 2014.

[2] 蔡皖東. 工業(yè)控制系統安全等級保護方案與應用[M]. 國防工業(yè)出版社, 2015.

[3] 向宏, 傅鸝, 詹榜華. 信息安全測評與風(fēng)險評估[M]. 電子工業(yè)出版社, 2014.

[4] 彭勇, 江常青, 謝豐, 戴忠華, 熊琦, 高洋. 工業(yè)控制系統信息安全研究進(jìn)展[J]. 清華大學(xué)學(xué)報（自然科學(xué)版）, 2012, (52)10: 1396 - 1408.

[5] 劉威, 李冬, 孫波. 工業(yè)控制系統安全分析[J]. 信息網(wǎng)絡(luò )安全, 2012, (8): 41 - 43.


作者簡(jiǎn)介

李云峰（1977-），男，內蒙古赤峰人，工程師，碩士學(xué)位，現就職于北京首鋼冷軋薄板有限公司，主要從事冷軋薄板工業(yè)生產(chǎn)信息化技術(shù)管理工作。

暢通（1976-），男，工程師，碩士學(xué)位，現就職于北京首鋼冷軋薄板有限公司，主要負責信息化項目、維護、安全管理工作。