曾幾何時(shí)，信息安全與工業(yè)控制系統這個(gè)“獨立王國”還扯不上關(guān)系，但2010年的“Stuxnet”病毒事件讓人們恍然大悟：原來(lái)“獨立王國”也有淪陷的時(shí)候。于是國家和企業(yè)都重視起來(lái)，紛紛采取行動(dòng)，當然，IT安全從業(yè)者也在行動(dòng)。

    本文主要從工控系統信息安全實(shí)踐和實(shí)踐中的問(wèn)題兩個(gè)方面來(lái)談?wù)劰P者關(guān)于在工控安全實(shí)踐方面的積累和感受。

    1　工控系統信息安全實(shí)踐

    1.1　工控信息安全標準

    感謝標準相關(guān)制定機構以及參與制定的專(zhuān)家們，正是有了這些信息安全標準的制定，信息安全工作才有了方向。雖然工控信息安全標準編制工作國內起步較晚，不過(guò)目前也有一些標準可以參考，如：等級保護基本要求、GB/T 30976……使企業(yè)開(kāi)展信息安全工作有“法”可依，有據可查。下面簡(jiǎn)單介紹等級保護基本要求和GB/T30976兩個(gè)標準。

    （1）等級保護基本要求

    等級保護基本要求是我國開(kāi)展信息安全工作的最重要標準之一，從技術(shù)和管理兩個(gè)方面對信息系統的安全保護能力提出要求。其應用范圍較廣，適用于信息系統管理組織，信息系統產(chǎn)品廠(chǎng)商，信息系統集成商，信息安全咨詢(xún)服務(wù)企業(yè)，第三方信息安全測評機構等。

    （2）信息安全標準GB/T30976

    GB/T30976標準是新發(fā)布的專(zhuān)門(mén)針對工控系統的信息安全標準。該標準包括兩部分，第一部分從管理、技術(shù)能力兩個(gè)方面對工業(yè)控制系統風(fēng)險的評估、分級進(jìn)行了規范，也就是提要求。該標準同等級保護基本要求相似，只是側重點(diǎn)有所不同。第二部分對工業(yè)控制系統的信息安全驗收過(guò)程進(jìn)行了規范。其分級如表1所示。

    1.2　等級保護在工控系統實(shí)踐關(guān)注點(diǎn)

    和利時(shí)作為國內工控行業(yè)領(lǐng)軍企業(yè)，也是較早關(guān)注工控系統信息安全的企業(yè)之一。在之前對工控系統整體信息安全方面的研發(fā)實(shí)踐中主要參考等級保護基本要求?，F階段在工控系統實(shí)踐中進(jìn)行等級保護重點(diǎn)關(guān)注以下七個(gè)方面：工控網(wǎng)絡(luò )結構、安全隔離、病毒防護、安全審計、身份鑒別、設備自身防護、邊界完整性。下面就每個(gè)方面做簡(jiǎn)單介紹。

    1.2.1　工控網(wǎng)絡(luò )結構

    在等級保護基本要求里，其中有一條是對信息系統安全區域劃分的要求。跟據等級保護基本要求的特點(diǎn)，以及工控系統的特點(diǎn)，我們可以從縱向和橫向兩個(gè)維度對工控系統網(wǎng)絡(luò )進(jìn)行結構的劃分，劃分的方式可以根據控制系統的情況、環(huán)境的不同而不同，不能一概而論?？偟脑瓌t是縱向分層，橫向分區。

    例如DCS系統，從縱向來(lái)說(shuō)，可以劃分為現場(chǎng)控制層、過(guò)程監控層、監督控制層三個(gè)層面。如圖1所示。

圖1 工控網(wǎng)絡(luò )結構

    在縱向劃分的基礎上，在每個(gè)層面可以橫向再劃分成安全區。例如，在現場(chǎng)控制層中，可以根據不同生產(chǎn)線(xiàn)、不同工藝流程進(jìn)行劃分。在過(guò)程監控層中，主要包括現場(chǎng)的操作終端、服務(wù)器和工程師站。對于一些大型的DCS系統，可以先按照生產(chǎn)線(xiàn)、生產(chǎn)工藝流程劃分成大的域，然后在每個(gè)生產(chǎn)線(xiàn)域內再進(jìn)行劃分成為服務(wù)器區、操作終端區、工程師站等。

    1.2.2　安全隔離

    安全隔離主要涉及到隔離設備和隔離位置。

    （1）主要隔離設備：工控防火墻

    工控防火墻一些特點(diǎn)：

    ·對工控協(xié)議支持，如對OPC、ModBus等協(xié)議的支持。

    ·滿(mǎn)足工業(yè)環(huán)境的要求，如電磁干擾、抗震、防塵、絕緣、溫/濕度等。

    ·針對私有協(xié)議進(jìn)行二次開(kāi)發(fā)，現在的工業(yè)控制系統很多使用自己的私有協(xié)議，需要進(jìn)行二次開(kāi)發(fā)才能使用。不進(jìn)行二次開(kāi)發(fā)也就只能進(jìn)行端口過(guò)濾，意義不是很大。

    （2）隔離位置

    選擇什么位置進(jìn)行隔離，基本可以參考傳統信息安全的相關(guān)原則，主要基于三個(gè)原則：在不同網(wǎng)絡(luò )邊界之間；不同安全區域邊界之間以及在控制器前隔離。

    工控系統信息安全與傳統信息安全的不同就是在控制器前部署工控防火墻?；趦蓚€(gè)方面的原因：一是限制訪(fǎng)問(wèn)控制?？刂破鞑皇撬薪K端設備都能訪(fǎng)問(wèn)的，也沒(méi)必要允許任何設備都可以訪(fǎng)問(wèn)，需要限制有權限的設備才能訪(fǎng)問(wèn)。二是泛洪攻擊。雖然目前控制器的處理能力有所提高，但是想比于普通個(gè)人電腦，其處理能力還有很大差距，面對廣播風(fēng)暴之類(lèi)的大量數據包控制器基本還是無(wú)能為力。而目前工控系統維護方面碰到的最頭疼的問(wèn)題之一就是廣播風(fēng)暴的問(wèn)題。工控防火墻部署在控制器之前，可以阻擋大量非法廣播包對控制器的影響，減輕控制器的處理負荷，從而保護控制器不受數據包泛洪等的影響。

    1.2.3　病毒防護

    在工控系統病毒防護中，目前國內同行形成的一種共識就是采用軟件白名單方式，是因為：

    （1）不需要頻繁升級病毒庫；

    （2）不對進(jìn)程進(jìn)行查殺，刪除；

    （3）只允許在白名單范圍內的程序運行；

    （4）工控系統安裝的程序比較單一、穩定，適合白名單方式的運行機制環(huán)境。

    1.2.4　安全審計

    安全審計包括日志審計和流量監控。網(wǎng)絡(luò )設備、主機系統的日志收集，審計與傳統信息安全一樣，用同樣的方法、方式就能滿(mǎn)足工控系統安全審計。唯一的區別是對工控軟件的日志集中收集問(wèn)題，需要解決兩個(gè)問(wèn)題：

    （1）集中日志收集的支持；

    （2）審計系統對工控軟件日志內容，格式的支持（日志字段、警告級別，可能與傳統信息安全日志不太一樣），需要同工控廠(chǎng)商二次開(kāi)發(fā)。

    1.2.5　身份鑒別

    （1）措施

    在工控軟件系統方面，身份鑒別采取的措施是：

    ·雙因子鑒別。等?；疽笕壚锩鞔_規定，對系統管理用戶(hù)需要進(jìn)行雙因子身份鑒別，在工控系統中，工程師賬戶(hù)，值班長(cháng)賬戶(hù)，網(wǎng)絡(luò )設備管理員等重要賬戶(hù)需要進(jìn)行雙因子鑒別；雙因子可以是口令+證書(shū)、動(dòng)態(tài)口令等方式。

    ·單因子鑒別。如操作員賬戶(hù)，用口令就可以了，口令的復雜度需要強一些。

    （2）鑒別時(shí)機

    工控系統中的鑒別時(shí)機，在以下三種情況下需要進(jìn)行身份鑒別：

    ·登陸工控系統時(shí)；

    ·進(jìn)行工程下裝時(shí)；

    ·重要參數修改時(shí)（如發(fā)電機轉速等）。

    1.2.6　設備自身防護

    設備自身防護包括三個(gè)方面：主機加固、網(wǎng)絡(luò )設備加固和工控系統自身的防護。

    （1）主機操作系統加固

    Windows系統使用普遍，使其經(jīng)常成為被攻擊的對象。對Windows的加固主要涉及：

    ·關(guān)閉多余服務(wù)；

    ·安裝系統補??；

    ·刪除多余系統組件；

    ·開(kāi)啟Windows系統自帶防火墻等。

    （2）網(wǎng)絡(luò )設備加固

    ·關(guān)閉不需要的服務(wù)，如關(guān)閉HTTP/TELNET等；

    ·限制遠程管理地址；

    ·使用加密方式進(jìn)行遠程管理；

    ·口令滿(mǎn)足復雜度等。

    （3）工控系統自身的安全防護

    采用合適的軟件開(kāi)發(fā)模式，減少軟件漏洞。最基本的安全措施包括啟用身份鑒別、加強口令復雜度、用戶(hù)權限控制、日志記錄等。

    1.2.7　邊界完整性

    邊界完整性包括非授權設備的接入，外部數據輸入，無(wú)線(xiàn)網(wǎng)絡(luò )的使用。

    （1）非授權設備接入：主要在網(wǎng)絡(luò )層面，關(guān)閉交換機閑置端口，對端口地址進(jìn)行綁定等方式。

    （2）外部數據輸入（如升級包等）：進(jìn)行U盤(pán)、光盤(pán)等移動(dòng)介質(zhì)的管理。使用數據轉運系統，所有輸入數據，先存放在Linux系統安裝的文件服務(wù)器中，并進(jìn)行病毒查殺，工控系統內部終端設備在數據轉運系統中讀取數據，這樣能夠避免U盤(pán)帶有病毒，并且可以在兩個(gè)不同的系統之間起到保護數據的作用。

    （3）無(wú)線(xiàn)網(wǎng)絡(luò )的使用：在DCS系統中基本用不到，而在SCADA系統中經(jīng)常能用到，如油氣田等邊遠地區，多使用無(wú)線(xiàn)信號傳輸數據，需要考慮到無(wú)線(xiàn)信號的安全問(wèn)題。安全措施主要是對無(wú)線(xiàn)信號加密，接入設備的認證等，無(wú)線(xiàn)網(wǎng)絡(luò )和有線(xiàn)網(wǎng)絡(luò )之間使用工控防火墻或網(wǎng)閘進(jìn)行完全隔離。

    2　實(shí)踐中出現的問(wèn)題

    在進(jìn)行工控安全的實(shí)踐過(guò)程中，主要發(fā)現了兩個(gè)方面的問(wèn)題：一體化和工控安全產(chǎn)品本身的問(wèn)題。

    （1）一體化

    這里的一體化，簡(jiǎn)單來(lái)說(shuō)，是指工控廠(chǎng)商和信息安全廠(chǎng)商的深度合作，這方面目前還比較欠缺。傳統的信息安全，安全廠(chǎng)商可能繞開(kāi)軟件系統廠(chǎng)商，直接面對用戶(hù)。而對于工控系統，用戶(hù)雖然使用控制系統多年，但很多用戶(hù)仍然不了解控制系統內部具體通信機制等情況。因此安全廠(chǎng)商需要與工控廠(chǎng)商深度合作，開(kāi)發(fā)適用于工控系統的安全解決方案，經(jīng)過(guò)深入測試，由工控廠(chǎng)商和信息安全廠(chǎng)商聯(lián)合向客戶(hù)推廣更容易被接受。

    （2）工控安全產(chǎn)品

    在測試過(guò)程中，一些安全產(chǎn)品或多或少地發(fā)現了一些問(wèn)題。

    ·可靠性一些產(chǎn)品不滿(mǎn)足，如溫度、濕度、抗震等工業(yè)環(huán)境要求，設備自身功能不全，設備運行不穩定等。

    ·可用性目前工控安全產(chǎn)品不像傳統信息安全產(chǎn)品有多年的使用經(jīng)驗，工控安全產(chǎn)品缺少廣泛的試用，有些產(chǎn)品甚至剛開(kāi)發(fā)出來(lái)。

    （本文整理自“2015第四屆工業(yè)控制系統信息安全峰會(huì )”第三站的報告）


作者簡(jiǎn)介

劉太洪（1978-），男，四川綿陽(yáng)人，高級安全評估工程師，碩士，現就職于北京和利時(shí)系統工程有限公司。主要研究方向為工業(yè)控制系統信息安全，從事工業(yè)控制系統信息安全研究工作，并先后完成了和利時(shí)DCS系統的安全測評、目前市面上主流工業(yè)防火墻功能測試等工作。