1　概述

在過(guò)去的十幾年間，計算機網(wǎng)絡(luò )技術(shù)越來(lái)越多地應用于工業(yè)控制領(lǐng)域，一些IT網(wǎng)絡(luò )通用協(xié)議一直延伸到工業(yè)控制系統（ICS）的現場(chǎng)層（如基于TCP/IP的工業(yè)以太網(wǎng)），使用戶(hù)可以在企業(yè)辦公網(wǎng)甚至互聯(lián)網(wǎng)上直接對控制現場(chǎng)執行機構進(jìn)行數據實(shí)時(shí)采集與控制，但在方便用戶(hù)的同時(shí)，卻將一直被認為“對威脅免疫”的ICS系統直接暴露在了互聯(lián)網(wǎng)上眾多黑客的視線(xiàn)中，ICS系統設施也正逐漸成為了黑客們從虛擬化的網(wǎng)絡(luò )滲透到現實(shí)實(shí)體的攻擊對象之一。

2011年6月爆發(fā)的“震網(wǎng)”病毒感染了全球45000個(gè)以上的大型網(wǎng)絡(luò )環(huán)境，其中伊朗60%以上個(gè)人電腦被感染^[2]，攻擊者利用這種超級病毒可以篡改工業(yè)基礎設施運行數據，向現場(chǎng)執行機構發(fā)送破壞指令，從而使工業(yè)基礎設施癱瘓。該病毒的出現使得布什爾核電站一再推遲發(fā)電計劃，造成伊朗約20%的離心機因感染病毒而失靈甚至是完全報廢。

工業(yè)信息安全事故報告（RISI）披露更多的事故發(fā)生在電力系統、水利系統、能源系統和運輸系統等涉及到工業(yè)控制的其他領(lǐng)域，但無(wú)一例外的都由網(wǎng)絡(luò )入侵所致，這些事實(shí)表明“震網(wǎng)”事件絕不是個(gè)例，國家經(jīng)濟基礎設施、人民生活保障設施、國防設施正在面臨著(zhù)巨大的威脅。因此，發(fā)生在ICS系統中的攻擊事件和如何避免類(lèi)似事件的再次發(fā)生開(kāi)始得到越來(lái)越多地關(guān)注。近10年來(lái)，許多國家、組織和公司紛紛成立ICS安全機構、啟動(dòng)ICS安全項目、制定ICS安全規范和標準，建立面向ICS系統的安全防護體系已經(jīng)成為國際工業(yè)領(lǐng)域專(zhuān)家們的共識。

本文將通過(guò)介紹現代ICS系統的結構，討論ICS系統自身潛在的風(fēng)險和可能導致入侵的薄弱環(huán)節，分析ICS系統發(fā)生安全事故的影響，并結合國際上現有的安全標準、規范提出應對風(fēng)險的可行措施。

2　ICS體系結構及安全風(fēng)險分析

2.1　ICS體系結構發(fā)展
工業(yè)控制系統是工業(yè)生產(chǎn)基礎設施的關(guān)鍵組成部分，廣泛應用于電力、水利、能源、運輸、化工等工業(yè)領(lǐng)域，是包含了工業(yè)生產(chǎn)中所使用的多種類(lèi)型控制系統的總稱(chēng)，包括監控與數據采集系統（SCADA）、集散控制系統（DCS）以及可編程邏輯控制器（PLC）等。工業(yè)控制系統的主要功能是將操作站發(fā)出的控制指令和數據（如打開(kāi)或關(guān)閉一個(gè)閥門(mén)）推送到控制現場(chǎng)執行機構，同時(shí)采集控制現場(chǎng)的狀態(tài)信息反饋給操作站并通過(guò)數字、圖形等形式展現給操作人員。

自從計算機完全替代模擬控制的控制系統出現，工業(yè)控制系統已歷經(jīng)40多年的發(fā)展，在結構上也由最初的集中控制系統發(fā)展到分散、分層控制系統，最終發(fā)展為目前流行的基于現場(chǎng)總線(xiàn)或以太網(wǎng)的控制系統，而工業(yè)控制系統的每一次變革都與計算機系統的發(fā)展有著(zhù)密切的聯(lián)系。

最初的計算機系統以大型機為主，所有計算和處理任務(wù)都需要匯集到中央主機來(lái)完成，因此產(chǎn)生了集中式的直接數字控制（DDC）系統。到上世紀70年代中期，出現了以微處理器為基礎的分散式控制系統，它以多臺主機共同完成控制，各主機之間通過(guò)數據通信實(shí)現集中管理，因此被稱(chēng)為集散控制系統（DCS），分散化的控制推動(dòng)了控制系統網(wǎng)絡(luò )化的發(fā)展。進(jìn)入上世紀80到90年代以后，由于嵌入式微處理器的出現，現場(chǎng)執行機構朝智能化方向發(fā)展，具備了數字通信的能力，人們便將具有統一通信協(xié)議和接口的智能設備連接起來(lái)，這就是現場(chǎng)總線(xiàn)控制系統（FCS），它的出現預示著(zhù)控制系統正向網(wǎng)絡(luò )化方向演化。

在工業(yè)控制領(lǐng)域還有一類(lèi)特殊的需求，它的控制現場(chǎng)區域分布較為分散，且控制主站與控制對象相距較遠，如城市交通系統、變電站、鐵路運輸系統、輸油和輸氣管道等，這類(lèi)需求促使了監視控制與數據采集（SCADA）系統的產(chǎn)生，它可以通過(guò)遠程方式對現場(chǎng)的運行設備進(jìn)行監視和控制，以實(shí)現數據采集和設備控制功能。SCADA系統主要由三部分組成，主終端單元、通信系統和遠程終端單元。主終端單元系統采用通用計算機處理現場(chǎng)傳輸過(guò)來(lái)的監控數據，使操作人員能夠實(shí)時(shí)地掌控系統的運行狀態(tài)和實(shí)施控制指令。遠程終端單元主要完成數據采集和通信工作，其通常運轉在無(wú)人值守的現場(chǎng)環(huán)境之中，其運行狀態(tài)的正確與否，直接影響控制現場(chǎng)執行機構的運行。通信系統的主要作用是傳輸主終端單元和遠程終端單元通信的指令和數據，可基于光纖及電話(huà)線(xiàn)、GPRS、微波、衛星通信以及3G/4G和互聯(lián)網(wǎng)等方式。

如今企業(yè)構建信息化網(wǎng)絡(luò )日漸成熟，將工業(yè)控制現場(chǎng)執行機構的實(shí)時(shí)狀態(tài)信息納入全方位的信息化管理、使企業(yè)管理決策科學(xué)化是必然的趨勢，信息控制一體化將為實(shí)現企業(yè)綜合自動(dòng)化和企業(yè)信息化創(chuàng )造有利條件。因此，無(wú)論是基于工廠(chǎng)范圍的DCS系統還是基于更廣范圍的SCADA系統^[3]，在結構和組織形式上都趨向于與互聯(lián)網(wǎng)相融合，但在為互聯(lián)網(wǎng)和先進(jìn)的通信技術(shù)應用于工業(yè)控制系統而歡呼雀躍的同時(shí)，在傳統計算機網(wǎng)絡(luò )上遇到的安全問(wèn)題，同樣會(huì )出現在工業(yè)控制系統中，并直接體現在控制系統執行機構能否正常運行上，使工業(yè)現場(chǎng)環(huán)境的物理安全面臨更嚴峻的挑戰。

2.2　ICS系統由封閉走向開(kāi)放

傳統的ICS系統技術(shù)高度專(zhuān)業(yè)、網(wǎng)絡(luò )封閉和協(xié)議私有，與外界從物理上相隔離，很難由外界接入，因此不會(huì )受到入侵的威脅。而現代ICS系統如圖1所示，從結構和網(wǎng)絡(luò )架構上與IT系統越來(lái)越相似，所使用的計算機和網(wǎng)絡(luò )設備都是通用的，接口的統一使ICS系統和IT系統實(shí)現了無(wú)縫對接，ARC [10]報告顯示ICS系統普遍存在直接接入互聯(lián)網(wǎng)的事件，包括系統補丁下載、殺毒軟件病毒庫更新，或者通過(guò)ICS網(wǎng)絡(luò )進(jìn)行如電子郵件收發(fā)等辦公活動(dòng)，ICS系統已經(jīng)不再可能保持其封閉、私有、隔離的特性，因此一些惡意入侵者攻擊可以通過(guò)網(wǎng)絡(luò )侵入到ICS系統，實(shí)施物理破壞。

圖1 現代ICS系統體系結構

同時(shí)，以太網(wǎng)技術(shù)的普及和互聯(lián)網(wǎng)迅猛發(fā)展，越來(lái)越多的控制設備配備了以太網(wǎng)接口，盡管由于歷史原因，各控制系統廠(chǎng)商在通信協(xié)議方面標準不一，但在接口配置方面都預留了以太網(wǎng)接口，伴隨著(zhù)工業(yè)以太網(wǎng)技術(shù)的出現，以太網(wǎng)已經(jīng)延伸到了控制現場(chǎng)執行機構。因此入侵者可以通過(guò)多種方式^[9]侵入ICS系統：

（1）通過(guò)企業(yè)辦公網(wǎng)接入

企業(yè)辦公網(wǎng)與ICS系統間通常部署有防火墻，入侵者通過(guò)反彈、代理、欺騙等手段可以穿透防火墻，最終接入ICS系統。

（2）通過(guò)遠程連接方式接入

一些ICS設備廠(chǎng)商有遠程安裝、維護設備的需求，遠端PC通過(guò)Modem撥號網(wǎng)絡(luò )接入ICS系統，入侵者可以利用弱口令漏洞侵入ICS系統；另一種可能是入侵遠端主機，間接接入ICS系統。

（3）通過(guò)“可信任”的連接接入

一些用戶(hù)為得到控制系統供應商或第三方的遠程服務(wù)支持時(shí)，會(huì )與其建立“可信任通道”，在使用過(guò)程中可能存在未遵循安全策略或第三方廠(chǎng)商缺乏安全管理策略而引入外部入侵。

（4）通過(guò)無(wú)線(xiàn)通信網(wǎng)絡(luò )接入

ICS系統大量使用無(wú)線(xiàn)技術(shù)，允許距離相距較遠的設備節點(diǎn)間以集中管理主機作為中繼進(jìn)行通信，無(wú)線(xiàn)網(wǎng)絡(luò )通信的開(kāi)放性也創(chuàng )造了更多的入侵^[6]和信息竊取的機會(huì )。

（5）通過(guò)其他公共通信設施接入

SCADA系統組成部分之一的通信系統，考慮到架設網(wǎng)絡(luò )的成本，除敏感度極強的系統外，通常都是依靠公共通信設施來(lái)構建的，入侵者可以從一些通信中繼點(diǎn)實(shí)施對主終端單元或遠程終端單元的入侵。

（6）通過(guò)SCADA遠程終端單元接入

一些遠程終端單元部署在較為暴露且無(wú)人值守的環(huán)境中，很可能成為入侵者利用的工具和入侵的入口，入侵者可以直接切入到現場(chǎng)層實(shí)施破壞。

對于不直接與外界相連的封閉ICS系統，雖然可以免于被直接入侵，但仍可能受到通過(guò)可移動(dòng)存儲設備、便攜機、手機等途徑傳播的病毒、木馬等惡意軟件的威脅。通過(guò)惡意軟件攻擊ICS系統較直接入侵具有更大的隱蔽性，使攻擊者的行蹤不被暴露。

2.3　ICS系統潛在風(fēng)險分析

在ICS設計之初，并沒(méi)有加入對安防理念的考慮，ICS系統內部尤其是執行機構沒(méi)有任何安全防護，所以一旦系統被攻克，受到影響的將是工業(yè)實(shí)體設施，而潛伏在控制系統各個(gè)層次中的漏洞隨時(shí)都可能被利用，這些漏洞按照運行平臺分為通用平臺漏洞和專(zhuān)有平臺漏洞以及二者之間的通信網(wǎng)絡(luò )漏洞等^[8]三大類(lèi)。

2.3.1　通用平臺漏洞風(fēng)險

現代ICS系統應用程序、數據庫、人機交互接口都從原來(lái)的專(zhuān)有平臺轉移到了IT通用計算機平臺，操作系統主要是基于Windows和類(lèi)Unix操作系統（較少使用），因此IT通用計算機普遍存在的風(fēng)險也被帶到了ICS中來(lái)。ICS系統由于其獨特的應用性，一些安全風(fēng)險甚至比IT系統更容易出現，具體表現在以下方面：

（1）不升級導致已知漏洞無(wú)法及時(shí)修補

由于這些通用平臺不是專(zhuān)為ICS系統而設計，其不斷的更新可能會(huì )對ICS應用程序產(chǎn)生未知的影響，因此ICS系統廠(chǎng)商通常建議用戶(hù)使用其推薦的軟件版本，用戶(hù)在使用時(shí)也極少進(jìn)行操作系統的升級^[4]，導致漏洞無(wú)法及時(shí)修補而累積漏洞風(fēng)險。

（2）軟件配置策略風(fēng)險

ICS系統應用程序運行通常需要依賴(lài)于第三方提供的軟件、庫、服務(wù)等資源，這些資源在設計時(shí)會(huì )按照安全等級的不同，采用不用的配置策略。ICS系統廠(chǎng)商為了能夠實(shí)現較好的兼容性或僅僅為了方便，有時(shí)會(huì )使用安全級別較低的配置策略，忽視了這些資源本身設計上的安全性考慮，因此會(huì )暴露出更多的安全問(wèn)題。

（3）系統和應用服務(wù)漏洞

ICS系統為了實(shí)現更多的功能、接口等通常需要操作系統提供如Web、數據庫、遠程過(guò)程調用（RPC）等服務(wù)。Windows是目前已知漏洞最多的操作系統，在其漏洞爆發(fā)數量排名前十位的漏洞^[30]中的前四位都是Windows系統服務(wù)漏洞，而其中一些服務(wù)是一般ICS系統應用程序所必須依賴(lài)的，加之對這些服務(wù)的配置也可能存在問(wèn)題，可能會(huì )增添更多的安全風(fēng)險。另外，在配置ICS軟件系統時(shí)，通常只保證了ICS所需的系統服務(wù)的開(kāi)啟狀態(tài)，卻沒(méi)有將不需要的服務(wù)關(guān)閉，導致一些系統默認開(kāi)啟的服務(wù)可能成為入侵的后門(mén)。

2.3.2　專(zhuān)有平臺漏洞風(fēng)險

專(zhuān)有平臺是相對于通用平臺而言不能使用通用PC作為平臺的主機或設備，主要是指控制器和現場(chǎng)智能設備等控制系統執行機構，這些設備采用與PC不同的架構，硬件資源有限，且與現場(chǎng)環(huán)境緊密結合，是ICS系統中最重要也是最易受到攻擊的部分，其存在漏洞將直接暴露給滲透到現場(chǎng)層的入侵者，主要表現在以下方面：

（1）現場(chǎng)設備資源有限，安全防護能力弱，如控制器一般通過(guò)以太網(wǎng)與控制站主機通信，很容易受到基于現場(chǎng)層的拒絕服務(wù)（DoS）等網(wǎng)絡(luò )攻擊，導致負載過(guò)重，通信中斷，直接對現場(chǎng)控制產(chǎn)生影響；

（2）一些現場(chǎng)無(wú)線(xiàn)設備的安全，如無(wú)線(xiàn)傳感器網(wǎng)絡(luò )，一方面是干擾的問(wèn)題^[5]、通信擁塞，一些實(shí)時(shí)性要求較高的無(wú)線(xiàn)網(wǎng)絡(luò )設計很少包含對不可靠通信的容錯以及在通信中斷情況下的本質(zhì)安全問(wèn)題。對于一些無(wú)線(xiàn)網(wǎng)絡(luò )設備的資源比較有限，電池容量也比較有限，一般不會(huì )增加加密等安全措施以節約耗電；另外，對無(wú)線(xiàn)節點(diǎn)的攻擊也可以采用一些不間斷的偽造通信等形式，使無(wú)線(xiàn)節點(diǎn)的電量耗盡，造成其失效；

（3）入侵者可以從遠端PLC網(wǎng)絡(luò )直接接入現場(chǎng)層網(wǎng)絡(luò )或者通過(guò)植入現場(chǎng)層網(wǎng)絡(luò )主機的惡意程序實(shí)施拒絕服務(wù)攻擊、欺騙、通信劫持、偽造、篡改數據等；也可以向PLC、DCS等控制器直接下發(fā)錯誤指令，使其執行錯誤的控制程序甚至故障。

2.3.3　網(wǎng)絡(luò )通信漏洞風(fēng)險

工業(yè)通信網(wǎng)絡(luò )雖然在原理上基本符合一般計算機或者通信系統的通信原理，但也存在一些特殊性：

（1）ICS系統對數據傳輸的實(shí)時(shí)性極其敏感，因此通信網(wǎng)絡(luò )上的任何干擾都可能產(chǎn)生影響，造成間接破壞；

（2）當前的安全防護能力仍停留在LAN/WAN層面上的防護，對現場(chǎng)設備通信的防護幾乎沒(méi)有涉及，特別是與控制現場(chǎng)執行機構直接相關(guān)的Modbus、Profibus等現場(chǎng)總線(xiàn)協(xié)議都沒(méi)有包含安全特性；

（3）由于現場(chǎng)控制設備性能的限制和實(shí)時(shí)性的要求，ICS通信網(wǎng)絡(luò )上數據傳輸通常不加密或采用簡(jiǎn)單的加密算法，很容易破解，存在信息泄露或數據被偽造的風(fēng)險；

（4）缺少防護的網(wǎng)絡(luò )邊界風(fēng)險，網(wǎng)絡(luò )邊界包括一切可能接入ICS系統的主機或網(wǎng)絡(luò )設備，如果不對這些接入設備加以安全性定義和訪(fǎng)問(wèn)權限控制，可能導致攻擊者的直接入侵；

（5）ICS系統各個(gè)廠(chǎng)商產(chǎn)品標準不一，每個(gè)廠(chǎng)商的產(chǎn)品屬于一個(gè)封閉私有系統，其不開(kāi)源的特性本身如同Windows系統一樣存在很多未知漏洞，由于從未經(jīng)受過(guò)網(wǎng)絡(luò )上的安全考驗，這些漏洞不能及時(shí)發(fā)現并修復。

2.4　目前ICS安全防護實(shí)施存在的問(wèn)題

（1）麻痹意識、疏于管理導致安全策略不能有效

實(shí)施ICS系統本身具有網(wǎng)絡(luò )分級管理、身份權限認證或建議安裝第三方安全軟件等基本安全規則，但維護人員通常因為系統從未出現過(guò)問(wèn)題，而回避風(fēng)險的存在，認為系統是安全的，如在安全等級不同區域未加區分地共享工程文件、部分等級地設置用戶(hù)權限或設置弱口令等不規范的配置管理使入侵者很容易趁亂潛入。

在一些通用防火墻的配置上，由于控制系統工程師IT網(wǎng)絡(luò )知識不足，為了保證系統正常運行，將安全策略配置的級別放寬，導致存在除控制系統正常通信通道之外的其他通路，給入侵者留下了可乘之機。

（2）缺乏ICS系統內部安全防范

目前ICS系統安全防護通用的做法是在企業(yè)網(wǎng)和控制系統間添加防火墻或者起到隔離作用的網(wǎng)關(guān)，而防火墻的單設備防御形式不能對ICS系統網(wǎng)絡(luò )內部設備尤其是控制現場(chǎng)執行機構產(chǎn)生任何防護，這道防線(xiàn)一旦攻破或者通過(guò)其他途徑繞過(guò)防火墻，就相當于將ICS系統完全暴露。

從Industrial Security Incident Database^[11]的統計數據可以看出，來(lái)自企業(yè)內部或所謂可信任連接的入侵占據了入侵總數的約80%，一個(gè)FBI的調查也顯示企業(yè)內部員工直接或間接造成安全事故占總數的 71%^[12]，說(shuō)明從企業(yè)內部^[7]爆發(fā)的安全威脅應該得到更多地重視，需要將網(wǎng)絡(luò )邊界系統和網(wǎng)絡(luò )內部的安全防范能力提到同等重要的高度。

（3）現有安全措施無(wú)法有效地構成防護體系

現有的ICS安全防護較為分散，安防設備與策略缺少統一規范、軟件與硬件不能有效配合、ICS系統廠(chǎng)商與安全設備廠(chǎng)商沒(méi)有統一的安全標準接口等，導致通用安全策略無(wú)法制定、實(shí)施。因此需要構建具有通用性、兼容多種工業(yè)協(xié)議、層級間聯(lián)動(dòng)功能、強化內部和邊界安全防護，并能夠在事故發(fā)生后快速組織應急響應的ICS綜合安全體系。

（4）試圖通過(guò)協(xié)議私有化實(shí)現“隱性的安全”

工業(yè)控制系統廠(chǎng)商曾一度認為工業(yè)控制通信協(xié)議如果是私有和專(zhuān)用的，入侵者沒(méi)有足夠的知識和能力實(shí)施入侵，控制系統便實(shí)現了“隱性的安全”，而今一些“感興趣的專(zhuān)家”可以通過(guò)破解、竊取等方式獲取內部技術(shù)資料，使這些系統便直接暴露在威脅之下；而且隨著(zhù)工業(yè)控制技術(shù)的開(kāi)放化和標準化，這類(lèi)安全日益失去了作用，如果不對其進(jìn)行有效地防護，入侵者就可以通過(guò)企業(yè)網(wǎng)絡(luò )和通信系統侵入到工業(yè)控制網(wǎng)絡(luò )。

（5）將IT網(wǎng)絡(luò )安全措施直接應用到ICSIT網(wǎng)絡(luò )具有通用性和統一性，已基本形成了完善的安全防御體系，包括軟硬件相結合的安全策略，從多方面對網(wǎng)絡(luò )內個(gè)人主機或服務(wù)器的數據進(jìn)行保護，而ICS系統的核心是控制現場(chǎng)執行機構和工業(yè)生產(chǎn)過(guò)程，其中存在具有強大破壞力的能量（電力、石油、天然氣等）或物質(zhì)（有毒化工原料、放射性物質(zhì)等），一旦失控就可能造成巨大的財產(chǎn)損失甚至人員傷亡，因此需要安全等級更高的防護；而且ICS系統中各種控制器和執行機構不同于通用計算機，也很難形成通用的設備安全防護手段；另外，IT網(wǎng)絡(luò )的通信協(xié)議是統一標準的TCP/IP協(xié)議族，而ICS系統通信標準各異，有些協(xié)議甚至是私有協(xié)議，因此也無(wú)法統一安防標準。

雖然以太網(wǎng)和TCP/IP技術(shù)應用于工業(yè)領(lǐng)域可以大大節約成本，并且提供了可以與IT網(wǎng)絡(luò )互聯(lián)的接口，但是它的設計理念與工業(yè)的需求是截然不同的^[13]，在硬件、操作系統和應用軟件上都有很大差異，將IT安全策略應用到ICS系統非但不能起到保護作用，還可能影響到ICS系統的正常運作。所以IT網(wǎng)絡(luò )安全防護策略不能直接應用于ICS系統^[14][15][16]，考慮到工業(yè)控制的實(shí)時(shí)性、高可靠性、專(zhuān)有性等特殊需求^[17]，必須開(kāi)發(fā)出專(zhuān)門(mén)針對ICS系統的安全防護解決方案。

3　國外ICS安防發(fā)展現狀

自從上世紀末、本世紀初開(kāi)始，ICS安全問(wèn)題就引起了國際上的廣泛關(guān)注，以美國為代表的政府、組織正在采取積極行動(dòng)，應對ICS系統安全風(fēng)險。

3.1　美國政府機構公布的ICS安全法規及安防項目

（1）美國負責發(fā)展控制系統安全防護的能源部（Department of Energy）能源保證辦公室（Energy Assurance Office）在2003年公布了“改進(jìn)控制系統信息安全的21個(gè)步驟”報告^[18]，供各控制系統運營(yíng)商參考應用，其中貫穿并整合了21個(gè)步驟的核心內容就是“建立一個(gè)嚴謹并持續進(jìn)行的風(fēng)險管理程序”，主要包括認識系統威脅所在、了解所能承受的風(fēng)險范圍、衡量系統風(fēng)險、根據需求分析測試系統、確認風(fēng)險在可接受范圍等。

（2）2010年7月，美國安全局（NSA）正式實(shí)施一個(gè)名為“完美公民”的計劃^[19]，重點(diǎn)基礎設施的控制系統網(wǎng)絡(luò )中部署一系列的傳感器，以監測對經(jīng)營(yíng)如核電站等重點(diǎn)基礎設施的私有企業(yè)和國家機構的網(wǎng)絡(luò )襲擊。如果有公司要求對其受到的網(wǎng)絡(luò )襲擊進(jìn)行調查時(shí)，“完美公民”計劃可以提供相關(guān)監測數據。

（3）隸屬于美國國土安全部（DHS）的計算機應急準備小組（US-CERT）正開(kāi)展著(zhù)一個(gè)“美國控制系統安全項目—Control System Security Program（CSSP）”^[20]，針對所有國家重要基礎中的控制系統，協(xié)調中央和地方政府、系統制造商、使用者進(jìn)行ICS安全方面的合作，提出了“縱深防御策略 （Defense-in-depth）” ^[21]，制定了指導相關(guān)組織建設更安全的ICS系統的標準和參考。

（4）美國商務(wù)部通過(guò)其下的美國標準與技術(shù)研究所（NIST）制定了“工業(yè)控制系統防護概況”、“工業(yè)控制系統IT安全”^[22]等一系列安全防護標準、規范，從ICS系統漏洞、風(fēng)險、評估、防護等多個(gè)方面對安全防護體系都做了詳細敘述。

3.2　ICS安防標準

（1）在ICS安防標準研究方面，國際電工委員會(huì )IEC（International Electronical Commission）與儀器系統與自動(dòng)化協(xié)會(huì )ISA（Instrumentation, Systems and Automation Society）合作，積極研究ICS安防國際標準ANSI/ISA-99 ^[23]。該標準作為建立控制系統安全防護體系的依據，定義了控制系統的安全生命周期模型，包含定義風(fēng)險目標和評估系統、設計和選擇安全對策等項目，提出了區級安全的概念。

（2）IEC 62351^[24]是由國際電工委員會(huì )制定的多重標準，全名是“電力系統管理及關(guān)聯(lián)的信息交換-數據和通信安全性”（Power systems management and associated information exchange – Data andcommunications security），主要包括TCP/IP平臺的安全性規范、TLS加密提供的保密性和完整性、對等通信平臺的安全性、基于角色的訪(fǎng)問(wèn)控制等多方面內容，IEC 62351中所采用的主要安全機制包括數據加密技術(shù)、數字簽名技術(shù)、信息摘要技術(shù)等，當有新的更加安全可靠的技術(shù)和算法出現時(shí)，也將引入到該標準中來(lái)。

（3）德國西門(mén)子針對PCS7/WinCC系統制定了“安全概念白皮書(shū)”^[25]，作為指導西門(mén)子產(chǎn)品的用戶(hù)部署安全工業(yè)網(wǎng)絡(luò )的建議，主要內容包括理解安全概念信息、安全戰略和原則、安全戰略實(shí)施解決方案等，與一些國際標準不同的是，這份白皮書(shū)結合了西門(mén)子ICS產(chǎn)品，提出了具體可行安全實(shí)施方案。

（4）日本橫河電機的控制系統安全標準^[26]，重點(diǎn)規范針對橫河的ICS產(chǎn)品安全對策，可用于保護控制系統免受威脅，降低生產(chǎn)活動(dòng)相關(guān)資產(chǎn)的安全風(fēng)險，標準中的風(fēng)險和措施在廣義的解釋上都引用了行業(yè)通用的安全技術(shù)和標準模型，并通過(guò)其他相關(guān)文件詳細描述了每個(gè)產(chǎn)品安全防護的執行程序。

4　ICS實(shí)施安防可行性及關(guān)鍵策略

ICS系統安全防護策略可以概括為管理制度、業(yè)務(wù)程序和技術(shù)分析及產(chǎn)品三個(gè)層面。

4.1　將ICS安全防護作為戰略發(fā)展

國際現有研究成果為我國工業(yè)控制安全防護提供良好的范例，針對我國工業(yè)控制發(fā)展國情，實(shí)施安全防護策略體系需要從以下幾個(gè)方向著(zhù)手：

（1）轉變ICS系統安全觀(guān)念意識，完善安全策略和流程，加強工控領(lǐng)域人員的安全培訓，提高安全意識和能力；

（2）形成ICS系統安全產(chǎn)業(yè)，從政策上重視，把安全作為一種生產(chǎn)服務(wù)，納入到生產(chǎn)服務(wù)行業(yè)；

（3）制定相應法規、規范，并制定全行業(yè)的安全標準，提升進(jìn)入市場(chǎng)的工控產(chǎn)品和安全產(chǎn)品的安全規格；

（4）制定具體到各個(gè)工業(yè)領(lǐng)域的安全策略。ICS系統在各個(gè)行業(yè)的不同應用，需要分別制定相適應的安全策略，以滿(mǎn)足自身行業(yè)和監管環(huán)境的需求。

4.2　ICS安全防護體系重點(diǎn)內容

（1）物理環(huán)境安全防護^[27]

主要包括物理環(huán)境有形資產(chǎn)不受損壞、誤用或盜竊等，物理環(huán)境邊界的訪(fǎng)問(wèn)控制和監視確保只有授權人員才允許訪(fǎng)問(wèn)控制系統現場(chǎng)設備，從實(shí)體和策略?xún)煞矫姹ＷC物理環(huán)境資產(chǎn)安全。

（2）系統通信安全

系統通信保障包括采取保護控制系統和系統組件之間的通信聯(lián)系，將其與潛在的網(wǎng)絡(luò )攻擊路徑做物理或邏輯上的隔離。

（3）系統的開(kāi)發(fā)與防護

通過(guò)持續改善控制系統設計規格來(lái)提高安全性是最為有效的，不僅包含系統功能上的優(yōu)化策略，整個(gè)系統生命周期的有效維護策略、使用過(guò)程中的配置及可操作性策略等都應在設計時(shí)考慮到其中。

（4）訪(fǎng)問(wèn)控制

訪(fǎng)問(wèn)控制的重點(diǎn)是確保資源只允許被正確識別的適當的人員和設備訪(fǎng)問(wèn)，訪(fǎng)問(wèn)控制的第一步是創(chuàng )建分等級的訪(fǎng)問(wèn)權限的人員和設備訪(fǎng)問(wèn)控制列表，接下來(lái)是實(shí)現安全機制使控制列表生效。

（5）風(fēng)險管理評估

風(fēng)險管理是確保過(guò)程和控制系統安全的技術(shù)手段，重點(diǎn)討論風(fēng)險和系統漏洞的關(guān)鍵環(huán)節。其中重要的一點(diǎn)是識別風(fēng)險和安全措施分類(lèi)，監視控制系統安全防護的執行情況，將風(fēng)險限定在一個(gè)可控制的范圍內。組織實(shí)施風(fēng)險評估程序，將資產(chǎn)劃分成不同安全等級，確定潛在的威脅和漏洞，確保能夠對不同等級的資產(chǎn)實(shí)施充分的防護。

（6）審計與問(wèn)責

定期審計ICS系統必須實(shí)施的安全防護機制，審查和檢驗系統的記錄和活動(dòng)，以確定系統的安全控制措施是否得當，并確保其符合既定的安全策略和程序。

（7）系統安全防護分析技術(shù)

對ICS系統的軟硬件進(jìn)行漏洞辨識與分析，特別要針對控制現場(chǎng)設備的安防分析，包含安全系統漏洞分析、計算機信息系統漏洞分析、軟件需求規格漏洞分析、代碼漏洞分析等。

（8）突發(fā)事件應急響應^[29]

建立突發(fā)事件應急響應團隊，長(cháng)期跟蹤控制現場(chǎng)執行機構運行狀態(tài)及行為，定期發(fā)布狀態(tài)報告；規范突發(fā)事件管理和檢測機制，能從突發(fā)事件中迅速恢復；突發(fā)事件事后分析與預測，數據收集與總結，避免再次發(fā)生類(lèi)似事件；啟動(dòng)數據追蹤機制，持續追蹤ICS系統安全突發(fā)事件，包括攻擊事件和偶然性事件。

4.3　ICS產(chǎn)品安全性保障

（1）開(kāi)發(fā)ICS系統安全防護產(chǎn)品

包括軟硬件等一系列分布式的安全設備集群，開(kāi)發(fā)出擁有自主知識產(chǎn)權的創(chuàng )新性產(chǎn)品，全方位保證ICS系統特別是控制現場(chǎng)的安全；ICS系統安全防護產(chǎn)品在選擇、認證、管制上應按照共同標準的原則，由國家制定統一的行業(yè)認證標準并由專(zhuān)業(yè)機構進(jìn)行認證通過(guò)后，方可進(jìn)入市場(chǎng)。

（2）對ICS系統控制產(chǎn)品本身的安全性加以規范

在ICS系統的開(kāi)發(fā)過(guò)程中加入安全性考慮，增強系統最末端的安全防護，如軟硬件的自我防護與恢復，開(kāi)發(fā)更安全的協(xié)議，測試階段增加安全性測試，集成異常狀態(tài)告警模塊、安全鎖和動(dòng)態(tài)加密等功能。

建立國家級ICS安全評估體系和ICS安全測試與評估實(shí)驗室，針對我國基礎設施安全性要求，建立ICS安全評估標準體系和標準，包括ICS軟、硬件產(chǎn)品安全性評估標準體系，ICS產(chǎn)品供應與采購安全性評估標準體系，ICS維護安全性評估以及ICS安全防護體系評估等。

（3）研究并設計一套主動(dòng)防護技術(shù)方案主動(dòng)防護技術(shù)利用內嵌在網(wǎng)絡(luò )基礎設施的安全組件對終端系統在訪(fǎng)問(wèn)核心網(wǎng)絡(luò )之前進(jìn)行識別和控合ICS系統自身的特點(diǎn)，建立起從人員到設備、從規范制，并觸發(fā)終端系統的可信性評估、評價(jià)機制，該機到產(chǎn)品、從評估到防范、從策略到標準，與控制系統一制可以識別終端系統的軟硬件“指紋”來(lái)確定其使用體化的工業(yè)安全體系，將現代網(wǎng)絡(luò )安全的設計理念融入系統的安全性及漏洞所在，并判斷其是否存在或屬于到控制系統的設計當中，使ICS系統從一個(gè)高危實(shí)體轉威脅，或是傳播威脅的媒介，劃分到具體的威脅類(lèi)別變成為一個(gè)概念上安全的信息化系統，把保護過(guò)程控制后，主動(dòng)對其實(shí)施預定的安全策略。

5　結語(yǔ)

如何提高已建成ICS系統的安全防護能力和如何設計并建立新的安全ICS系統是目前需要面對的兩大挑戰，是需要工業(yè)控制領(lǐng)域、網(wǎng)絡(luò )信息安全領(lǐng)域、計算機技術(shù)領(lǐng)域多方合作，共同完成的使命。ICS系統安全是一個(gè)不斷迭代的過(guò)程，要吸取IT網(wǎng)絡(luò )安全的經(jīng)驗，結合ICS系統自身的特點(diǎn)，建立起從人員到設備、從規范到產(chǎn)品、從評估到防范、從策略到標準，與控制系統一體化的工業(yè)安全體系，將現代網(wǎng)絡(luò )安全的設計理念融入到控制系統的設計當中，使ICS系統從一個(gè)高危實(shí)體轉變成為一個(gè)概念上安全的信息化系統，把保護過(guò)程控制和業(yè)務(wù)通信的網(wǎng)絡(luò )環(huán)境作為一個(gè)戰略性要求，并將對ICS系統的安全防護納入到工業(yè)生產(chǎn)服務(wù)體系中，順應“十三五”規劃經(jīng)濟增長(cháng)方式轉型的要求。

作者簡(jiǎn)介

王　迎（1981-），男，工程師，現就職于浙江國利網(wǎng)安科技有限公司，主要研究方向為工控安全。

許劍新（1984-），男，博士，現就職于浙江國利網(wǎng)安科技有限公司，主要研究方向為工控安全。

參考文獻：

[1] Security Incidents Organization Releases Annual Report on Industrial Control System Malware Incidents [EB/OL]. https://www.prnewswire.com/news-releases/ security-incidents-organization-releases-annual-report-on-industrial-control-system-malware-incidents-117313363. html.

[2] Wikipedia. Stuxnet [EB/OL]. http://en.wikipedia.org /wiki /Stuxnet.

[3] Mariana Hentea. Improving Security for SCADA Control Systems[J]. Interdisciplinary Journal of Information Knowledge & Management, 2008, ( 3 ) : 73 – 86.

[4] Manuel Cheminod, Luca Durante, Adriano Valenzano. Review of Security Issues in Industrial Networks[J]. IEEE Transactions on Industrial Informatics, 2013, 9 ( 1 ) : 277 - 293.

[5] Dzung, Martin Naedele, Thomas P. Von Hoff, Mario Crevatin. Security for Industrial Communication Systems[J]. Proceedings of the IEEE, 2005, 93 ( 6 ) : 1152 – 1177.

[6] Leszczyna, R. Approaching secure industrial control systems[J]. IET Information Security, 2014, 9 ( 1 ) : 81 – 89.

[7] Lawrence A. Gordon, Martin P. Loeb, William Lucyshyn, Robert Richardson. CSI/FBI Computer Crime and Security Survey[R], San Francisco : Computer Security Institute, 2003.

[8] Department of Homeland Security. Common Cyber Security Vulnerabilities Observed in DHS Industrial Control Systems Assessments[Z].

[9] Eric Byres, David Leversage, Nate Kube. Security incidents and trends in SCADA and process industries[J]. THE INDUSTRIAL ETHERNETBOOK, 2007, 406.

[10] Kim, S. J., Cho, D. E., Yeo, S. S. Secure model against APT in m-connected SCADA network[J]. International Journal of Distributed Sensor Networks, 2014.

[11] Eric Byres, David Leversage. The Industrial Security Incident Database[J]. 2006.

[12] T. Stephanou. Assessing and exploiting the internal security of an organization[R], SANS Institute, 2001.

[13] E.J. Byres, J. Lowe. The Myths and Facts behind Cyber Security Risks for Industrial Control Systems[D]. Berlin : VDE Congress, 2004.

[14] Eric J. Byres, P. Eng. Lantzville. Cyber Security And The Pipeline Control System[J], Pipeline & Gas Journal, 2009.

[15] Eric Byres. Why IT Security Doesn't Work on the Plant Floor[M]. British : British Columbia Institute of Technology.

[16] Vollmer, T., Manic, M., Linda, O. Autonomic Intelligent Cyber-Sensor to Support Industrial Control Network Awareness[J]. IEEE Transactions on Industrial Informatics, 2014, 10 ( 2 ) : 1647 - 1658.

[17] K. Stouffer, J. Falco, K. Scarfone. Guide to industrial control systems (ICS) security[R]. U.S. : National Institute of Standards and Technology, 2008.

[18] Office of Energy Assurance. 21 steps to improve cyber security of SCADA networks[R]. U.S. : Dept. of Energy, USA, 2003.

[19] Siobhan Gorman. U.S. Plans Cyber Shield for Utilities, Companies [EB/OL]. http://online.wsj.com/article/SB10001424052748704545004575352983850463108. html, 2010.

[20] Homeland Security. Catalog of Systems Security: Recommendation for Standards Developers [EB/OL]. http://www.us-cert.gov/control_systems/index.htm, 2011.

[21] Kuipers, D., Fabro, M. Control Systems Cyber Security: Defense in Depth Strategies[R]. U.S. : Idaho National Laboratory, 2006.

[22] NIST Industrial Control System Security Activities [EB/OL]. http://www.isd.mel.nist.gov/projects/processcontrol/.

[23] IEC/TS 62443 – 1 – 2008, Industrial communication networks – Network and system security[S].

[24] IEC 62351 – 1 – 2005, Data and Communication Security, Introduction and Overview[S].

[25] Siemens Corporation. Security concept PCS 7 and WinCC - Basic document Whitepaper[Z].

[26] Yokogawa Electric Corporation. Yokogawa Security Standard of System (4th Edition) [Z].

[27] Department of Homeland Security. Catalog of Control Systems Security - Recommendations for Standards Developers[Z].

[28] Oleg Sheyner, Joshua Haines, Somesh Jha. Automated generation and analysis of attack graphs[J]. IEEE Symposium on Security & Privacy, 2002, 273 – 284.

[29] Department of Homeland Security. Recommended Practice: Developing an Industrial Control Systems Cybersecurity Incident Response Capability[Z].

[30] Top 10 Windows 10 Vulnerabilities and How to Fix Them [EB/OL]. https://www.upguard.com/articles/top-10-windows-10-security-vulnerabilities-and-how-to-fix-them.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》