1　工業(yè)控制系統信息安全威脅

隨著(zhù)工業(yè)信息化進(jìn)程的快速推進(jìn)，信息、網(wǎng)絡(luò )以及物聯(lián)網(wǎng)技術(shù)在智能電網(wǎng)、智能交通、工業(yè)生產(chǎn)系統等工業(yè)控制領(lǐng)域得到了廣泛的應用，極大地提高了企業(yè)的綜合效益。為實(shí)現系統間的協(xié)同和信息分享，工業(yè)控制系統也逐漸打破了以往的封閉性：采用標準、通用的通信協(xié)議及硬軟件系統，甚至有些工業(yè)控制系統以某些方式連接到互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )中。

這使得工業(yè)控制系統也必將面臨病毒、木馬、黑客入侵、拒絕服務(wù)等傳統的信息安全威脅，而且由于工業(yè)控制系統多被應用在電力、交通、石油化工、核工業(yè)等國家重要的行業(yè)中，其安全事故造成的社會(huì )影響和經(jīng)濟損失會(huì )更為嚴重。出于政治、軍事、經(jīng)濟、信仰等諸多目的，敵對的國家、勢力以及恐怖犯罪分子都可能把工業(yè)控制系統作為達成其目的的攻擊目標。

根據ICS-CERT（US-CERT下屬的專(zhuān)門(mén)負責工業(yè)控制系統的應急響應小組）的統計，自2011年以來(lái)，工業(yè)控制系統相關(guān)信息安全事件數量大幅度上升，如圖1所示。雖然針對工業(yè)控制系統的信息安全事件與互聯(lián)網(wǎng)上的攻擊事件相比，數量少得多，但由于工業(yè)控制系統對于國計民生的重要性，每一次事件都會(huì )帶來(lái)巨大的影響和危害。

圖1　ICS-CERT統計的工控信息安全事件（按財年）

2　現有工業(yè)控制領(lǐng)域信息安全工作進(jìn)展

工業(yè)控制系統脆弱的安全狀況以及日益嚴重的攻擊威脅，已經(jīng)引起了國家的高度重視， 甚至提升到“國家安全戰略”的高度，并在政策、標準、技術(shù)、方案等方面展開(kāi)了積極應對。在明確重點(diǎn)領(lǐng)域工業(yè)控制系統信息安全管理要求的同時(shí)，國家主管部門(mén)在政策和科研層面上也在積極部署工業(yè)控制系統的信息安全保障工作。

自2013年以來(lái)，工業(yè)控制系統的信息安全問(wèn)題在國內許多信息安全相關(guān)的技術(shù)大會(huì )上作為重要的研討議題頻繁出現，已成為工業(yè)控制系統相關(guān)的各行業(yè)以及信息安全領(lǐng)域的研究機構、廠(chǎng)商所關(guān)注的熱點(diǎn)方向之一。同時(shí)，國家在政策制定、技術(shù)標準研制、科研基金支持、促進(jìn)行業(yè)內合作等方面也在逐步加大推動(dòng)的力度。其中很多廠(chǎng)商在工業(yè)控制信息安全領(lǐng)域工作進(jìn)展十分明顯。

2.1　工業(yè)控制系統制造商

隨著(zhù)工業(yè)控制系統信息安全問(wèn)題越來(lái)越受關(guān)注，各個(gè)工業(yè)控制系統制造商也將工業(yè)控制系統信息安全工作納入其工作范疇之中。在研發(fā)制造階段，很多制造商引入信息安全評估機制，對其生產(chǎn)的工業(yè)控制設備進(jìn)行信息安全評估。目前以西門(mén)子、施耐德電氣、羅克韋爾自動(dòng)化等為主的國際大型工業(yè)控制系統制造商都已經(jīng)在積極進(jìn)行工業(yè)控制系統信息安全研究。

以西門(mén)子為例，西門(mén)子中國研究院成立了信息安全部，專(zhuān)門(mén)針對工業(yè)控制系統進(jìn)行信息安全研究工作，并提出了縱深防御的安全理念，將工廠(chǎng)安全、網(wǎng)絡(luò )信息安全、系統完整性統一考慮，形成解決方案[2]，如圖2所示。
可以看到，西門(mén)子主要針對的是其自身的設備產(chǎn)品，給出了基于訪(fǎng)問(wèn)控制、密碼保護在內的信息安全解決方案。
施耐德電氣、羅克韋爾自動(dòng)化的情況與西門(mén)子比較類(lèi)似，均提出了針對自身產(chǎn)品的工業(yè)控制系統信息安全解決方案。

從總體上看，先進(jìn)的工業(yè)控制系統制造商都能夠提出自己的工業(yè)控制系統信息安全解決方案。但是這些制造商做這項工作也有其不足之處：各個(gè)廠(chǎng)商需要在IT安全領(lǐng)域與各種傳統IT安全廠(chǎng)商合作才可以實(shí)現其信息安全解決方案。而更為關(guān)鍵的OT（操作技術(shù)）安全領(lǐng)域，這些制造商僅能夠針對自身產(chǎn)品提供解決方案，無(wú)法提供跨廠(chǎng)商的OT安全解決方案。

2.2　工業(yè)控制信息安全供應商

目前也有很多重點(diǎn)在工業(yè)控制信息安全開(kāi)展工作的廠(chǎng)商，這些廠(chǎng)商主要為工業(yè)控制系統用戶(hù)提供通用的工業(yè)控制信息安全產(chǎn)品或服務(wù)，如海天煒業(yè)、力控華康等廠(chǎng)商。這些工業(yè)控制信息安全供應商一般在工業(yè)控制領(lǐng)域都有技術(shù)積累，因此能夠快速推出工業(yè)控制信息安全設備。但由于這些廠(chǎng)商在信息安全領(lǐng)域的積累不足，所以推出的安全設備主要為訪(fǎng)問(wèn)控制類(lèi)產(chǎn)品，如工控防火墻、工控隔離網(wǎng)關(guān)等。

3　工業(yè)控制系統信息安全治理的治本之道

3.1　工業(yè)控制系統面臨更加苛刻的安全性要求

在工業(yè)控制系統中，無(wú)論是一次系統還是二次系統，以及間隔層還是過(guò)程層，業(yè)務(wù)的連續性、健康性是至關(guān)重要的。而工業(yè)控制系統由于其長(cháng)期封閉、獨立的特性，造成了在信息安全方面建設的欠缺，不具備更多的容錯處理，比如異常指令的處理；不具備較大壓力的處理，比如快速數據傳輸、訪(fǎng)問(wèn)等。在Gartner報告中 [4]，總結了工業(yè)控制系統安全性相比IT環(huán)境的一些區別性特性：

圖2　西門(mén)子工業(yè)信息安全體系

·工業(yè)控制系統安全問(wèn)題將直接對物理環(huán)境造成影響，有可能導致死亡、受傷、環(huán)境破壞和大規模關(guān)鍵業(yè)務(wù)中斷等；

·工業(yè)控制系統安全相比IT安全有更廣泛的威脅向量，包括安全限制和特有網(wǎng)絡(luò )協(xié)議的支持；

·工業(yè)控制系統安全涉及的系統廠(chǎng)商多，測試和開(kāi)發(fā)環(huán)境多種多樣；

·一些工業(yè)控制系統安全環(huán)境面臨預算限制，這是與那些需要嚴格監管的IT的不同之處；

·在傳統的安全性和可用性作為主要安全特性的IT行業(yè)，工業(yè)控制系統行業(yè)還會(huì )關(guān)注對產(chǎn)品質(zhì)量的協(xié)調影響，運營(yíng)資產(chǎn)和下游后果的安全問(wèn)題。

3.2　把成熟的 IT風(fēng)險評估技術(shù)移植到工業(yè)控制系統環(huán)境中

在面對與IT系統不一樣的安全性要求的工業(yè)控制系統時(shí)，如何把成熟的IT風(fēng)險評估技術(shù)移植到工業(yè)控制系統中成為必須要解決的問(wèn)題。對這些挑戰進(jìn)行小結的話(huà)，可以歸納為三個(gè)方面：一是如何覆蓋多樣的工業(yè)控制系統；二是如何在評估時(shí)保障業(yè)務(wù)的連續性和健康性；三是如何進(jìn)行成熟的安全風(fēng)險評估。以下將從這三個(gè)方面分別進(jìn)行探討。

3.2.1　覆蓋多樣的工業(yè)控制系統

在安全風(fēng)險評估時(shí)，不僅需要對在工業(yè)控制系統中使用的傳統IT設備/系統，比如操作系統、交換機、路由器、弱口令、FTP服務(wù)器、Web服務(wù)器等進(jìn)行安全評估，還需要覆蓋工業(yè)控制系統中所特有的設備/系統，比如SCADA、DCS、PLC、現場(chǎng)總線(xiàn)等；同時(shí)，不僅要覆蓋對漏洞的評估，還需要對一些關(guān)鍵系統的配置進(jìn)行安全性評估；在工控協(xié)議的支持上，需要對主流的Modbus、Profinet、IEC60870-5-104、IEC60870-5-1、IEC61850、DNP3等主流的工控協(xié)議，其覆蓋范圍可參見(jiàn)圖3。

圖3　工控系統評估范圍

但是，根據IHS最近的研究報告“2013全球工業(yè)以太網(wǎng)和現場(chǎng)總線(xiàn)技術(shù)”[5]中的調查顯示，從2011年到2016年，雖然新增加網(wǎng)絡(luò )節點(diǎn)的總數量將會(huì )超過(guò)30%，但是現場(chǎng)總線(xiàn)和以太網(wǎng)產(chǎn)品的混合產(chǎn)品數量將會(huì )基本維持不變，從23%到26%僅僅增加3個(gè)百分點(diǎn)。由于技術(shù)更新的成本、難度，老式工業(yè)總線(xiàn)很難都替換成支持以太網(wǎng)的新式總線(xiàn)。因此，需要一種有效地手段，可以對基于老式總線(xiàn)工業(yè)控制系統進(jìn)行漏洞掃描。綠盟科技的解決思路是，使用一種有效的基于總線(xiàn)轉換技術(shù)的漏洞掃描技術(shù)，也就是說(shuō)通過(guò)對老式總線(xiàn)的接入方式的轉換，例如RS485轉換成以太網(wǎng)，使得采用標準工控總線(xiàn)協(xié)議的工業(yè)控制系統，例如Profibus-DP、Modbus等，可以通過(guò)以太網(wǎng)的方式進(jìn)行漏洞掃描。這種技術(shù)可以有效地把基于以太網(wǎng)的成熟漏洞掃描技術(shù)引進(jìn)到老式的工業(yè)控制系統中，實(shí)現更全面的安全風(fēng)險評估。轉換思路如圖4所示。

圖4　工業(yè)控制系統總線(xiàn)轉換技術(shù)

3.2.2　在評估時(shí)保障業(yè)務(wù)的連續性和健康性

面對安全性要求更高的工業(yè)控制系統，需要在掃描時(shí)更加安全、可靠，而工業(yè)控制系統由于長(cháng)期封閉建設的原因，設備/系統相比IT系統更加的脆弱。因此需要采用“零影響”的掃描技術(shù)以保障設備的零影響。在解決思路上，如果能把安全掃描融入到正常的業(yè)務(wù)中，也就是說(shuō)掃描行為與正常的業(yè)務(wù)行為保持一致性，將很好地解決這個(gè)問(wèn)題。同時(shí)，通過(guò)在IT系統中多年積累的安全掃描經(jīng)驗，能夠更好地保障業(yè)務(wù)的連續性和健康性。

3.3　如何進(jìn)行成熟的安全風(fēng)險評估

結合漏洞的生命周期以及漏洞管理流程，可從以下三個(gè)方面進(jìn)行成熟的安全風(fēng)險評估：

3.3.1　可視化的工控風(fēng)險展示

風(fēng)險“可視化”是進(jìn)行風(fēng)險管控必不可少的特性?？茖W(xué)的風(fēng)險發(fā)現、風(fēng)險跟蹤技術(shù)可以很好地提高整體風(fēng)險控制水平，可為企業(yè)帶來(lái)更高效率，有的甚至可以達到更好的效果。

綠盟科技根據多年的經(jīng)驗積累，采用了更具實(shí)效性的儀表盤(pán)技術(shù)，從不同的角度展示設備風(fēng)險及趨勢。

·包含資產(chǎn)整體的風(fēng)險值、資產(chǎn)分析趨勢圖；

·包含主機風(fēng)險等級分布、資產(chǎn)風(fēng)險分布趨勢；

·能夠可視化的顯示當前資產(chǎn)的風(fēng)險值及過(guò)去一段時(shí)間的變化趨勢。

3.3.2　基于工控資產(chǎn)的漏洞跟蹤

工控系統一般規模大，資產(chǎn)數量、漏洞數量、脆弱性問(wèn)題也很多，匯總成大量的風(fēng)險數據，會(huì )使安全管理人員疲于應付，又不能保證對重要資產(chǎn)的及時(shí)修補。

因此在漏洞跟蹤時(shí)需要盡量收集工控系統環(huán)境信息，建立起工控資產(chǎn)關(guān)系列表，系統基于資產(chǎn)信息進(jìn)行脆弱性?huà)呙韬头治鰣蟾?；需要從風(fēng)險發(fā)生區域、類(lèi)型、嚴重程度進(jìn)行不同維度的分類(lèi)分析報告，用戶(hù)可以全局掌握安全風(fēng)險，關(guān)注重點(diǎn)區域、重點(diǎn)資產(chǎn)，對嚴重問(wèn)題優(yōu)先修補。對于需要定位工控資產(chǎn)安全脆弱性的安全維護人員，通過(guò)直接點(diǎn)擊儀表盤(pán)風(fēng)險數據，可以逐級定位風(fēng)險，直至定位到具體主機具體漏洞；同時(shí)需要提供強大的搜索功能，可以根據資產(chǎn)范圍、風(fēng)險程度等條件搜索定位風(fēng)險。

圖5　工控漏洞管理流程

3.3.3　完善的工控漏洞管理流程

安全管理不只是技術(shù)，更重要的是通過(guò)流程制度對安全脆弱性風(fēng)險進(jìn)行控制，很多公司制定了安全流程制度，但仍然有安全事故發(fā)生，人員對流程制度的執行起到關(guān)鍵作用，如何融入管理流程，并促進(jìn)流程的執行是安全脆弱性管理產(chǎn)品需要解決的問(wèn)題。

安全管理流程制度一般包括預警、檢測、分析管理、修補、審計等幾個(gè)環(huán)節，結合安全流程中的預警、檢測、分析管理、審計環(huán)節，并通過(guò)事件告警督促安全管理人員進(jìn)行風(fēng)險修補。

4　結語(yǔ)

工業(yè)控制系統信息安全是近一兩年來(lái)備受各方關(guān)注的一個(gè)新興安全技術(shù)領(lǐng)域。工業(yè)控制系統制造商、傳統信息安全廠(chǎng)商和工控信息安全廠(chǎng)商都在這一領(lǐng)域投入力量展開(kāi)研究，希望能夠給工業(yè)控制系統用戶(hù)提供一個(gè)有效的信息安全解決方案。

目前各類(lèi)通用工業(yè)控制系統信息安全問(wèn)題解決思路還是從外圍的訪(fǎng)問(wèn)控制入手，本文給出一個(gè)從工業(yè)控制系統漏洞管理入手的解決思路，希望能夠從根本上更好地解決工業(yè)控制系統信息安全問(wèn)題。綠盟科技也在依照這個(gè)思路開(kāi)展研發(fā)工作，目前已經(jīng)基本完成了工控漏洞掃描系統的研發(fā)工作，并且在一些工控環(huán)境進(jìn)行驗證工作。希望在不久之后，更具針對性、更有效的工控漏洞掃描系統將會(huì )更好的在工業(yè)控制系統信息安全領(lǐng)域發(fā)揮作用。

作者簡(jiǎn)介

張旭（1983-），男，北京人，現任北京神州綠盟科技有限公司風(fēng)險與合規產(chǎn)品線(xiàn)推廣經(jīng)理，具有多年安全運維、風(fēng)險管理工作經(jīng)驗。

向智（1978-），男，湖南邵陽(yáng)人，現任北京神州綠盟科技有限公司風(fēng)險與合規產(chǎn)品線(xiàn)產(chǎn)品經(jīng)理，具有十年以上網(wǎng)絡(luò )安全行業(yè)的產(chǎn)品規劃、研究、開(kāi)發(fā)和市場(chǎng)營(yíng)銷(xiāo)管理工作經(jīng)驗，在漏洞掃描、漏洞分析、協(xié)議分析、網(wǎng)絡(luò )攻擊檢測、威脅防護技術(shù)、網(wǎng)絡(luò )審計、防火墻領(lǐng)域有較多積累，對各種互聯(lián)網(wǎng)協(xié)議、工控系統協(xié)議、終端安全有深入了解。

參考文獻

[1]李鴻培,忽朝儉,王曉鵬.2014工業(yè)控制系統的安全研究與實(shí)踐[Z].綠盟科技，2014.

[2]工業(yè)信息安全貫穿自動(dòng)化系統所有層級. http://www.industry.siemens.com.cn/topics/cn/zh/industrial-security/Pages/default.aspx.

[3]Tofino工業(yè)防火墻. http://www.mosesceo.com/html/guard/product/tsa.htm.

[4]Market Share Analysis: Communications Service Provider Operational Technology, Worldwide, 2013. http://www.gartner.com/technology/reprints.do?id=1-1KL5RP7&ct=130919&st=sb.

[5]The World Market for Industrial Ethernet and Fieldbus Technologies. http://www.ihs.com/info/sc/a/ethernet-fieldbus-technologies.aspx.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第一輯）》