1　工控系統安全現狀

1.1　工控系統現狀

目前，各類(lèi)信息安全均面臨著(zhù)廣泛的威脅，而工控系統尤為突出，主要是因為工業(yè)控制領(lǐng)域信息安全的先天不足：

（1）工控設備（如PLC、DCS等）以及工控協(xié)議本身普遍在設計之初就較少考慮信息安全方面的問(wèn)題。工控設備主要關(guān)注的是功能安全，系統的穩定性及可靠性方面；互聯(lián)網(wǎng)通常都通過(guò)加密、身份認證等方式來(lái)保證協(xié)議傳輸的安全性，如SSH、HTTPS協(xié)議。而工控協(xié)議基本都是采用明文方式傳輸，并且缺少身份認證的支持，這在傳統IT領(lǐng)域是絕對無(wú)法接受的。

（2）工控系統在建設之初較少考慮信息安全問(wèn)題。較早建立的工控系統很少有與外網(wǎng)進(jìn)行信息交互的需求，因此主要采用物理隔離的方式部署，即使存在一些問(wèn)題，也沒(méi)有暴露出來(lái)。

（3）隨著(zhù)互聯(lián)網(wǎng)的發(fā)展，“兩化融合”、“互聯(lián)網(wǎng)+”、“工業(yè)4.0”等概念的推進(jìn)，工控系統與互聯(lián)網(wǎng)的信息交互變得十分必要且頻繁，這就把系統中隱藏的風(fēng)險、漏洞暴露出來(lái)，同時(shí)也會(huì )引入新的風(fēng)險。

基于上述原因，當前工控系統信息安全形勢嚴峻。根據監測數據顯示，我國很多重要控制系統都暴露在互聯(lián)網(wǎng)上，涉及市政供水供熱、能源、水利等關(guān)鍵基礎設施領(lǐng)域，一旦被攻擊，后果將非常嚴重。

1.2　工控系統安全防護現狀

由于工控領(lǐng)域缺乏信息安全基礎，面臨諸多風(fēng)險，為提高工控系統的安全，借助工控系統專(zhuān)業(yè)信息安全產(chǎn)品進(jìn)行加固是主要措施之一。從國家層面也在鼓勵適用于工業(yè)控制系統的信息安全產(chǎn)品的發(fā)展，2012年及2013年國家發(fā)改委組織的年度國家信息安全專(zhuān)項中扶持的領(lǐng)域均包括工業(yè)控制領(lǐng)域。因此，近年工控信息安全產(chǎn)品得到了快速的發(fā)展。

雖然有一定的國家層面的支持，但目前工控信息安全產(chǎn)業(yè)鏈發(fā)展還相對遲緩，主要由于用戶(hù)需求不是很明確，缺少?lài)艺叩膹娏ν苿?dòng)，如工控系統的等級保護。

若要工控系統信息安全有質(zhì)的發(fā)展，需要開(kāi)發(fā)安全型的PLC、DCS及安全的工控協(xié)議，并制定工控信息安全產(chǎn)品、工控系統設備安全及工控系統安全的系列標準體系，來(lái)引領(lǐng)工控信息安全的健康發(fā)展。

2　工控信息安全產(chǎn)品及標準情況

2.1　工控信息安全專(zhuān)用產(chǎn)品

2.1.1　典型工控信息安全產(chǎn)品介紹

近年來(lái)公安部計算機信息系統安全產(chǎn)品質(zhì)量監督檢驗中心（以下簡(jiǎn)稱(chēng)“檢測中心”）對工控信息安全專(zhuān)用產(chǎn)品的檢測情況如表1所示。在2013年之前，工控信息安全專(zhuān)用產(chǎn)品還相當少，從2014年開(kāi)始有較大發(fā)展，并處于快速發(fā)展期。

表1 工控信息安全專(zhuān)用產(chǎn)品檢測數量情況

從表1中看出，目前工控信息安全產(chǎn)品較多的有兩類(lèi)：

第一類(lèi)為隔離類(lèi)產(chǎn)品，主要部署在工控系統中控制網(wǎng)與管理網(wǎng)之間。包括協(xié)議隔離產(chǎn)品，采用雙機架構，兩機之間不使用傳統的TCP/IP進(jìn)行通信，而是對協(xié)議進(jìn)行剝離，僅將原始數據以私有協(xié)議（非TCP/IP）格式進(jìn)行傳輸。其次還有網(wǎng)閘，除了做協(xié)議剝離，兩機中間還有一個(gè)擺渡模塊，使得內外網(wǎng)之間在同一時(shí)間是不聯(lián)通的，比較典型的是OPC網(wǎng)閘，主要還是傳輸監測數據，傳輸控制命令的網(wǎng)閘還相當少。另外還有單向導入設備，主要采用單向光纖、VGA視頻信號等方式從物理上保證傳輸的單向性，其缺點(diǎn)是不能保證傳輸數據的完整性，但對于將控制網(wǎng)中的監測數據傳輸到企業(yè)辦公網(wǎng)還是可行的?？傮w來(lái)說(shuō)，由于隔離類(lèi)產(chǎn)品采用雙機架構，中間私有協(xié)議通信，即使外端機被攻擊者控制，也無(wú)法侵入內端機，其安全性要高于防火墻設備。

第二類(lèi)為工控防火墻，根據防護的需要，在工控系統中部署的位置存在多種情況，通常用于各層級之間、各區域之間的訪(fǎng)問(wèn)控制，也可能部署在單個(gè)或一組控制器前方提供保護。工控防火墻采用單機架構，主要對基于TCP/IP工業(yè)控制協(xié)議進(jìn)行防護。通過(guò)鏈路層、網(wǎng)絡(luò )層、傳輸層及應用層的過(guò)濾規則分別實(shí)現對MAC地址、IP地址、傳輸協(xié)議（TCP、UDP）和端口，以及工控協(xié)議的控制命令和參數的訪(fǎng)問(wèn)控制。工控防火墻從形態(tài)來(lái)說(shuō)主要分兩種，一類(lèi)是在傳統IT防火墻的基礎上增加工控防護功能模塊，對工控協(xié)議做深度檢查及過(guò)濾。還有一類(lèi)工控防火墻是參考多芬諾工業(yè)防火墻的模式來(lái)實(shí)現的。

其它的工控信息安全產(chǎn)品目前相對較少，主要包括工控審計、工控漏洞掃描、工控主機防護等產(chǎn)品。此外還有2013年發(fā)改委專(zhuān)項支持的10款工控網(wǎng)關(guān)產(chǎn)品。

2.1.2　工控信息安全產(chǎn)品分類(lèi)

從產(chǎn)品的保護對象、防護功能來(lái)看，工控信息安全產(chǎn)品主要分為以下幾類(lèi)：

（1）邊界防護類(lèi)

這類(lèi)產(chǎn)品通常以串接方式工作，部署在工控以太網(wǎng)與企業(yè)管理網(wǎng)絡(luò )之間、工廠(chǎng)的不同區域之間，或者控制層與現場(chǎng)設備層之間。通過(guò)一定的訪(fǎng)問(wèn)控制策略，對工控系統邊界、工控系統內部區域邊界進(jìn)行保護。工控防火墻、工控隔離產(chǎn)品均屬于邊界防護類(lèi)。由于這類(lèi)產(chǎn)品以串接方式部署，同時(shí)具有阻斷功能，產(chǎn)品的穩定可靠、功能安全要求較高，產(chǎn)品的異常將會(huì )對工控系統的正常運行帶來(lái)直接影響。

（2）審計監控類(lèi)

這類(lèi)產(chǎn)品通過(guò)鏡像接口分析網(wǎng)絡(luò )流量，或者通過(guò)代理及設備的通用接口進(jìn)行探測等方式工作，及時(shí)發(fā)現網(wǎng)絡(luò )流量或設備的異常情況并告警，通常不會(huì )主動(dòng)去阻斷通信。主要包括工控審計產(chǎn)品、工控入侵檢測產(chǎn)品、工控漏洞掃描及挖掘產(chǎn)品、工控安全管理平臺等。這類(lèi)產(chǎn)品自身的故障不會(huì )直接影響工控系統的正常運行，也更容易讓用戶(hù)接受。

（3）主機防護類(lèi)

工控系統中會(huì )部署一定數量的主機設備，如工程師站、操作員站等。這些設備往往是工控系統的風(fēng)險點(diǎn)，病毒的入侵、人為的誤操作等威脅主要都是通過(guò)主機設備進(jìn)入工控系統。因此，這些主機有必要進(jìn)行一定的防護。目前主要有兩種針對主機設備的防護產(chǎn)品：一種為鎧甲式防護產(chǎn)品，通過(guò)接管主機設備的鼠標/鍵盤(pán)輸入、USB等外圍接口來(lái)保證主機的安全；另一種就是白名單產(chǎn)品，通過(guò)在主機上安裝代理程序，限制只有可信的程序、進(jìn)程才允許運行，防止惡意程序的侵入。

2.1.3　工控信息安全產(chǎn)品的發(fā)展

IT領(lǐng)域的信息安全產(chǎn)品已經(jīng)非常豐富，在工控信息安全防護方面是可以借鑒的。很多產(chǎn)品經(jīng)過(guò)適當的改進(jìn)，增加工控防護的相關(guān)功能，提高其穩定性和可靠性，就能夠應用于工控系統。目前市面上較多產(chǎn)品均是基于這個(gè)思路來(lái)實(shí)現的。但從用戶(hù)的角度來(lái)看，部署信息安全產(chǎn)品，提高系統安全防護的同時(shí)，特別是針對帶阻斷防護功能的產(chǎn)品，也引入了潛在的風(fēng)險點(diǎn)。因此，在工控系統內部部署訪(fǎng)問(wèn)控制類(lèi)產(chǎn)品，對用戶(hù)來(lái)說(shuō)還需要一定的時(shí)間來(lái)接受。而審計監控類(lèi)、主機防護類(lèi)產(chǎn)品相對潛在風(fēng)險要小很多，將是工控信息安全產(chǎn)品的一個(gè)快速發(fā)展方向。

2.2　工控系統信息安全產(chǎn)品技術(shù)標準

我國對信息安全產(chǎn)品（當然也包括工控信息安全產(chǎn)品）實(shí)現銷(xiāo)售許可制度，只有通過(guò)檢測中心依據相應的國家標準、公共安全行業(yè)標準檢測合格之后，才允許在國內銷(xiāo)售，國家標準和行業(yè)標準不能覆蓋的時(shí)候，檢測中心也會(huì )制訂相應的檢驗規范、檢測條件作為檢驗依據。因此，對工控信息安全產(chǎn)品來(lái)說(shuō)，制訂相應的標準非常重要。由于工控信息安全近年才受到關(guān)注，并且標準的制定周期也比較長(cháng)，目前，有大批標準尚處于編制過(guò)程中。

（1）邊界防護類(lèi)產(chǎn)品標準

• 《信息安全技術(shù) 工業(yè)控制系統專(zhuān)用防火墻技術(shù)要求》，國標在編。

• 《信息安全技術(shù) 工業(yè)控制網(wǎng)絡(luò )安全隔離與信息交換系統安全技術(shù)要求》，國標在編。包括邏輯隔離、網(wǎng)閘。

• 《信息安全技術(shù) 工業(yè)控制系統邊界安全專(zhuān)用網(wǎng)關(guān)產(chǎn)品安全技術(shù)要求》，行標在編，該標準基于發(fā)改委信息安全專(zhuān)項提出。

（2）審計監控類(lèi)產(chǎn)品標準

• 《信息安全技術(shù) 工業(yè)控制系統網(wǎng)絡(luò )審計產(chǎn)品安全技術(shù)要求》，國標在編。

• 《信息安全技術(shù) 工業(yè)控制安全管理平臺安全技術(shù)要求》，行標在編。

• 《信息安全技術(shù) 工業(yè)控制系統入侵檢測產(chǎn)品安全技術(shù)要求》，行標在編。

（3）主機防護類(lèi)產(chǎn)品檢測條件

由于標準的申報與編制需要一定的周期，市場(chǎng)出現了某些安全防護產(chǎn)品，檢測中心則針對此類(lèi)產(chǎn)品編制檢測條件，并經(jīng)專(zhuān)家團評審通過(guò)后，檢驗中心按檢測條件來(lái)檢測這些產(chǎn)品。包括：

• ICS主機安全防護與審計監控產(chǎn)品安全檢測條件；

• 文件加載執行控制產(chǎn)品安全檢測條件。

（4）其它類(lèi)產(chǎn)品標準

• 《信息安全技術(shù) 工業(yè)控制系統軟件脆弱性?huà)呙璁a(chǎn)品安全技術(shù)要求》，行標在編。

• 《信息安全技術(shù) 安全采集遠程終端單元（RTU）安全技術(shù)要求》，行標在編。

標準的制定，既要具備適應性，能夠滿(mǎn)足用戶(hù)的需求，與當前的技術(shù)水平相符，又要具備一定的前瞻性，能夠指導和引領(lǐng)該類(lèi)產(chǎn)品的發(fā)展。而目前工控信息安全還處于起步發(fā)展階段，這將使得工控信息安全產(chǎn)品標準的制定難度頗大，主要表現在：

（1）工控信息安全標準既涉及工業(yè)控制，又涉及信息安全，究竟歸口哪個(gè)標委會(huì )需要考慮？是TC260（全國信息安全標準化技術(shù)委員會(huì )），還是TC124（全國工業(yè)過(guò)程測量控制和自動(dòng)化標準化技術(shù)委員會(huì )）。如《工業(yè)控制系統信息安全》GB/T30976-2014就同時(shí)歸口兩個(gè)標委會(huì )。就算不管歸口問(wèn)題，標準的評審過(guò)程中應該需要有這兩方面的專(zhuān)家參與。

（2）不同行業(yè)和環(huán)境的需求差別大，如電力、石化行業(yè)，標準制定的通用性難度非常大，如果全部按最嚴格標準要求，勢必增加企業(yè)成本。

（3）工控協(xié)議種類(lèi)繁多，實(shí)現架構差異大。這導致很難提出一套各種協(xié)議都能支持的技術(shù)要求。

（4）當前產(chǎn)品種類(lèi)與數量有限，用戶(hù)的需求也不是很明確。而在編制過(guò)程中，首先就需要廣泛調研用戶(hù)需求、產(chǎn)品現狀。這也會(huì )給工控信息安全相關(guān)標準的編制帶來(lái)困難。

3　工控信息安全產(chǎn)品測評及主要問(wèn)題

信息安全產(chǎn)品的第三方檢測是非常有必要的，一是確認產(chǎn)品與相關(guān)標準的符合性，二是在檢測的過(guò)程中能夠發(fā)現產(chǎn)品的一些潛在缺陷。完善、全面、合理的第三方檢測還能增強用戶(hù)使用該類(lèi)產(chǎn)品的信心。對于信息安全產(chǎn)品，我國強制的第三方檢測主要為檢測中心的銷(xiāo)售許可檢測。

由于目前相應的工控信息安全產(chǎn)品的國家標準、公共安全行業(yè)標準均未發(fā)布，而這類(lèi)產(chǎn)品的銷(xiāo)售許可檢測需要依據一定的標準或者規范。工控系統與傳統的IT系統有著(zhù)較大差別，直接采用IT系統的相關(guān)標準肯定是不合適的。因此，目前主要采取的方式是，主要依據相應的IT標準，除去部分明確不適用的條款，并增加部分工控系統的技術(shù)要求，以這種方式作為過(guò)渡。下面以工控防火墻為例來(lái)加以說(shuō)明。

3.1　工控防火墻測試

3.1.1　測評依據

（1）主要依據傳統IT檢測標準《信息安全技術(shù) 防火墻技術(shù)要求和測試評價(jià)方法》GB/T 20281-2006來(lái)執行，除去明確不適用的條款，包括：

• 深度包檢測：此要求是針對用于互聯(lián)網(wǎng)的通用協(xié)議（HTTP、SMTP等），在工業(yè)控制網(wǎng)絡(luò )一般不會(huì )用到，作為不適用項。

• NAT（地址轉換）：傳統防火墻必需的功能，通過(guò)地址轉換隱藏真實(shí)的IP，并盡量少占用有限的IP地址資源，在工控系統中為可選要求，部署在控制系統下層時(shí)通常以透明模式部署。

• 動(dòng)態(tài)端口開(kāi)放：是針對FTP和Oracle數據庫常見(jiàn)的互聯(lián)網(wǎng)協(xié)議，要求支持動(dòng)態(tài)端口開(kāi)放，在工控系統中不會(huì )用到。

• 抗滲透：部分針對HTTP、郵件等協(xié)議的要求，作為不適用項。

• 性能要求：不做強制要求，工控系統中流量通常都比較小，產(chǎn)品的吞吐性能一般不會(huì )成為瓶頸，但部分系統中對設備帶來(lái)的延時(shí)要求非常高。

（2）在國標的基礎上，增加工業(yè)控制系統安全需求的部分要求。

• 基于白名單的訪(fǎng)問(wèn)控制策略，包括網(wǎng)絡(luò )層及應用層的白名單。網(wǎng)絡(luò )層的白名單是，規則允許的MAC、IP、端口才能通過(guò)。應用層的白名單是，允許執行的控制命令能通過(guò)，其它的默認禁止。

• 工業(yè)控制協(xié)議過(guò)濾，這是工控防火墻最核心的功能。首先需要對協(xié)議格式進(jìn)行檢查，阻止不符合協(xié)議規約的訪(fǎng)問(wèn)請求；其次需要對請求的內容進(jìn)行檢查，如讀寫(xiě)操作、操作的地址范圍，以及操作值。

• 支持OPC協(xié)議的動(dòng)態(tài)端口開(kāi)放。該協(xié)議在工控系統中廣泛使用，其特點(diǎn)是不采用固定端口通信，而是在會(huì )話(huà)建立時(shí)協(xié)商一對動(dòng)態(tài)端口。

• 多工作模式。在工控系統中把一個(gè)設備加進(jìn)去，如果誤阻斷的話(huà)，后果非常嚴重。因此需要具備驗證模式，試運行一段時(shí)間，只報警不阻斷，來(lái)檢查規則的合理性。

• 具有高可靠性。

3.1.2　典型的功能要求項測試——工業(yè)控制協(xié)議過(guò)濾

（1）實(shí)現技術(shù)

• 分析應用層數據，對協(xié)議格式進(jìn)行檢查。阻斷不符合協(xié)議規約的請求，這種請求可能為攻擊行為，并可能對控制器帶來(lái)不可預見(jiàn)的后果。

• 獲取協(xié)議中各所需參數，如功能碼、操作對象地址、操作值等，將其與設定的訪(fǎng)問(wèn)控制規則進(jìn)行比對。放行規則允許的通訊，否則就阻斷。

（2）測評方法

• 協(xié)議格式檢查，采用專(zhuān)用定制測試工具來(lái)檢測。正常協(xié)議的訪(fǎng)問(wèn)可以通過(guò)真實(shí)設備或者模擬軟件來(lái)實(shí)現，而不符合協(xié)議規約的異常請求（非標準功能碼、異常長(cháng)度、超越限值等）就需要定制開(kāi)發(fā)的工具來(lái)實(shí)現。

• 被測設備配置允許某項工控協(xié)議。

• 從客戶(hù)端發(fā)起符合協(xié)議規約的所有請求，如最典型的MODBUS TCP/IP協(xié)議，通過(guò)服務(wù)端接收到的數據包進(jìn)行判斷，檢測防火墻是否有誤阻斷。

• 采用類(lèi)似模糊測試技術(shù)，發(fā)起不符合協(xié)議規約的混雜請求，把數據長(cháng)度不對或字段不對的請求混合正常請求，通過(guò)服務(wù)器接收數據進(jìn)行判斷，檢測防火墻能否將符合規約的數據通過(guò)，不符合規約的數據阻斷，并生成統計報表。

• 協(xié)議參數檢查，通過(guò)真實(shí)工控設備或得到廣泛認可的模擬軟件，手工檢測即可。

（4）預期結果

符合協(xié)議規約、規則允許的請求可以通過(guò)防火墻，不會(huì )被誤阻斷；不符合協(xié)議規約或沒(méi)有規則允許的請求將被阻止。

3.1.3　測試的難點(diǎn)

對產(chǎn)品的測試深度往往是無(wú)止境的，需要兼顧投入與產(chǎn)出。對工控信息安全產(chǎn)品，部分測試投入是很大的，但又是必須的。如：

對協(xié)議格式的檢查，部分產(chǎn)品可能僅針對協(xié)議的幾個(gè)重要字段進(jìn)行檢查，而未做到全覆蓋。在測試時(shí)，需要遍歷協(xié)議的各種異常，測試用例將非常龐大，且非常耗時(shí)。

另外，產(chǎn)品的穩定性、可靠性測試也是測試的難點(diǎn)。不僅包括硬件層面，還包括軟件層面。對于廠(chǎng)商來(lái)說(shuō)，還能夠通過(guò)將大量的設備放置在特定的惡劣環(huán)境中長(cháng)時(shí)間運行，來(lái)檢查設備的故障率。對于第三方測試，就難以操作了。

3.2　檢測過(guò)程中常見(jiàn)的問(wèn)題

（1）防護功能不足（工控防火墻）

• 協(xié)議格式檢查的不全面，僅針對部分字段進(jìn)行檢查。

• 部分產(chǎn)品控制的深度不夠?？刂屏６扔蓽\到深依次是功能碼級別、地址級別、控制值范圍。產(chǎn)品可能僅控制到功能碼級別，不能控制到地址和控制值這個(gè)深度。

（2）產(chǎn)品自身安全不足

• 產(chǎn)品自身存在安全漏洞，包括支撐系統、管理界面。目前很多產(chǎn)品采用B/S方式管理，管理界面存在注入、認證繞過(guò)的漏洞。

• 身份鑒別措施、配置信息保護、安全審計方面不足。

（3）安全保障措施不足

• 開(kāi)發(fā)安全方面：研發(fā)的物理環(huán)境沒(méi)有明確隔離、開(kāi)發(fā)主機及服務(wù)器缺乏足夠的安全保護措施、研發(fā)網(wǎng)絡(luò )與互聯(lián)網(wǎng)未采取嚴格的隔離措施等。

• 交付方面：主要缺少交付過(guò)程的安全措施。如果此過(guò)程中被惡意植入后門(mén)、感染病毒，威脅也很大。

• 配置管理方面：配置庫權限控制不夠嚴格；配置管理計劃與實(shí)際管理不符等。

（文章整理自鄒春明在“2015第四屆工業(yè)控制系統信息安全峰會(huì )”第二站上的報告）

作者簡(jiǎn)介

鄒春明（1979-），男，湖南衡陽(yáng)人，高級測評師，碩士，現就職于公安部第三研究所、公安部計算機信息系統安全產(chǎn)品質(zhì)量監督檢驗中心，主要研究方向為信息安全。

摘自《自動(dòng)化博覽》2016年4月刊