1　引言

工業(yè)安全是個(gè)很大的概念，既包括通常所說(shuō)的功能安全，也包括現在很火的信息安全，但不管是哪個(gè)方面，工業(yè)企業(yè)的生產(chǎn)安全是首要任務(wù)。即使是工業(yè)信息安全，出現最嚴重的后果，也是影響企業(yè)的生產(chǎn)。不管如何表述，工業(yè)信息安全，目前已經(jīng)逐步上升到了和功能安全一樣的高度。學(xué)術(shù)界、科技界，正在不斷探討如何將工業(yè)控制系統的功能安全、信息安全、操作安全相融合。因此，工業(yè)信息安全，已經(jīng)是工業(yè)企業(yè)不可或缺的一個(gè)安全要素。

回顧超過(guò)百年歷史的工業(yè)發(fā)展歷程，其實(shí)就是工業(yè)控制系統的發(fā)展歷史，就是生產(chǎn)安全的歷史，功能安全由此而生。與控制理論和工程化發(fā)展對比，信息化的時(shí)間其實(shí)只有短短的幾十年，而信息化應用在工業(yè)領(lǐng)域，工控信息安全由此而來(lái)。尤其是最近20年，工業(yè)信息安全的歷史有點(diǎn)“黑”。

2　工業(yè)信息安全的“黑”歷史

工業(yè)信息安全，即大家通常所說(shuō)的工控信息安全，最新的解讀將工業(yè)互聯(lián)網(wǎng)安全也包含在內。為何是“黑”歷史？因為工控系統被“黑”的次數越來(lái)越多。

究其原因，主要是工控人依然以功能安全為主線(xiàn)，并未與時(shí)俱進(jìn)地將信息安全的思想融合在工業(yè)安全的大概念里。因此，澳大利亞污水處理廠(chǎng)、美國核電站、波蘭地鐵等因信息安全而產(chǎn)生的事故不斷發(fā)生。直到2007年，美國愛(ài)達荷國家實(shí)驗室搞了一次接近真實(shí)環(huán)境的試驗，證明了通過(guò)網(wǎng)絡(luò )攻擊手段，是可以造成工控系統的物理?yè)p壞，為2010年伊朗震網(wǎng)病毒事件的爆發(fā)埋下了伏筆。

一般提到工業(yè)信息安全是必提震網(wǎng)事件的。在2010年后，針對關(guān)鍵基礎設施的攻擊，包括了大量針對工控系統的攻擊手段和病毒。2015年又一個(gè)標志性事件發(fā)生了——烏克蘭電網(wǎng)停電事件，又是一次被黑，又一次造成了物理?yè)p失，最重要的是，我們通常認為的黑客，已經(jīng)非常熟悉工業(yè)領(lǐng)域的工藝和工作業(yè)務(wù)流程。2017年，“永恒之藍”勒索軟件的出現，以及隨后的各種變種，目標由最初的教育、醫療領(lǐng)域，轉移到了價(jià)值更高的工業(yè)領(lǐng)域，目標直指工業(yè)主機，也打破了工業(yè)環(huán)境中，只要病毒木馬不影響生產(chǎn)，就可以忽略的現象?！皫Р∵\行”的常態(tài)，因勒索軟件所打破。

3 “籬笆”還是那個(gè)“籬笆”

籬笆，是用來(lái)保護院子的一種設施。工控系統的“籬笆”，傳統的方法就是隔離，如物理隔離，以物理鴻溝的方式保護著(zhù)工控系統的安全。即使是信息化深入的當代，隔離的思維，依然是工控系統的主流防護措施。比如能源局36號文，針對電力監控系統安全防護的要求，在管理信息大區和生產(chǎn)控制大區的隔離要求是“接近甚至達到物理隔離水平”。

即使要求等級不夠高的工業(yè)領(lǐng)域，信息安全建設不如電力行業(yè)，基本的邊界隔離要求都是有的。物理隔離、邏輯隔離，多種隔離手段兼顧的要求在工業(yè)的各個(gè)領(lǐng)域中都有所提及。隔離即是安全，是普遍的安全思維定式，保護的效果如何卻無(wú)法得到有效的驗證。甚至個(gè)別企業(yè)認為有個(gè)邊界防護設備就萬(wàn)事大吉，并沒(méi)有考慮這個(gè)“籬笆”是否適用于自己、是否真的起到了保護作用。也就出現了只有透明模式的邊界，內部毫無(wú)安全防護，工控系統運行狀況一目了然的案例出現。

因此，單純的“籬笆”思維，以為隔離即是安全，需要在思想上做出改變。

4　勒索軟件打破了幻想

2017年的“永恒之藍”勒索病毒爆發(fā)，影響面非常廣泛。在應對這起全球性的安全事件過(guò)程中，沒(méi)有特別的進(jìn)行行業(yè)的區分和深度分析。而后的事件，卻發(fā)生了很有意思的變化。勒索病毒的目標，盯上了工業(yè)領(lǐng)域。國內多個(gè)工業(yè)企業(yè)遭受了勒索病毒的攻擊，工業(yè)主機被鎖、藍屏，不斷重啟，嚴重影響了工業(yè)企業(yè)的正常生產(chǎn)。國內某制造企業(yè)，因勒索病毒肆虐，導致近一個(gè)月的停產(chǎn)。而在處理此次安全事件過(guò)程中發(fā)現，邊界設置了防火墻，但該企業(yè)內部是一張大網(wǎng)，辦公、OA、財務(wù)、控制網(wǎng)，都可以互聯(lián)互通，野蠻性擴張，導致安全漏洞百出，信息安全設備除了邊界防護外，一片空白；管理制度形同虛設，移動(dòng)介質(zhì)濫用；除了發(fā)現勒索病毒外，傳統的病毒、木馬竟然有一萬(wàn)多種。在和企業(yè)人員訪(fǎng)談過(guò)程中，控制網(wǎng)有病毒和木馬，已經(jīng)有好多年了，因為沒(méi)有導致停機停產(chǎn)，也沒(méi)做任何安全措施；在處置分析此次安全問(wèn)題過(guò)程中，甚至發(fā)現其用于系統恢復的GHOST文件，也都被植入了病毒和木馬。其實(shí)，這類(lèi)企業(yè)的安全問(wèn)題和事件，是一大批企業(yè)的代表。要不是勒索病毒爆發(fā)，導致了停產(chǎn)，企業(yè)可能仍然不會(huì )真的在意工業(yè)信息安全的建設。

5　工業(yè)信息安全，從保護工業(yè)主機安全開(kāi)始

經(jīng)過(guò)這么多年的工控安全“洗禮”，在很多行業(yè)以及企業(yè)，都做了試點(diǎn)驗證工作，甚至進(jìn)行了成體系的安全規劃及建設。但從美國ICS-CERT、中國CNVD和卡巴斯基工控安全應急響應中心研究報告中顯示，工控漏洞的數量并沒(méi)有因為工控安全建設而減少，反而是逐年增加的趨勢。但我們相信看到的公開(kāi)披露的工控安全漏洞，也只是冰山的一角。

在分析這些公開(kāi)的工控安全漏洞的過(guò)程中，我們發(fā)現以工業(yè)主機運行的軟件和通信協(xié)議漏洞占主流。通過(guò)調查，一個(gè)中級程序員在編寫(xiě)1000行代碼中就會(huì )存在一個(gè)bug，而工業(yè)軟件的漏洞，大部分集中在軟件bug上。當然，發(fā)現工業(yè)主機軟件漏洞持續增加，也有其他的原因存在，包括工業(yè)軟件獲取渠道多、成本低；分析研究工業(yè)軟件漏洞的技術(shù)利用IT軟件漏洞分析的經(jīng)驗、方法和工具；工業(yè)現場(chǎng)主機系統老舊，幾乎不做安全更新，漏洞多、防護差等問(wèn)題。

工業(yè)環(huán)境之前“帶毒運行”是常態(tài)，勒索病毒將使此常態(tài)成為過(guò)去時(shí)。以前的工業(yè)環(huán)境，只要病毒和木馬未威脅到工業(yè)企業(yè)的正常生產(chǎn)，工業(yè)企業(yè)幾乎放任自流，最多因為病毒和木馬導致系統運行緩慢；但勒索病毒的出現，打破了這一情況，比如今年8月的臺積電安全事件，勒索病毒的爆發(fā)，導致了業(yè)務(wù)停擺，直接經(jīng)濟損失近2億美金，毛利率降1%的損失，這還是在有一定安全能力的工業(yè)企業(yè)里發(fā)生的安全事件。其實(shí)國內的工業(yè)企業(yè)也或多或少受到勒索病毒的影響，主要分布在汽車(chē)制造、電子制造、煙草、能源等行業(yè)。高價(jià)值、低保護的工業(yè)主機將成為網(wǎng)絡(luò )犯罪集團理想的勒索攻擊目標。

APT攻擊，已經(jīng)不再僅僅停留在“狼來(lái)了”階段，而是“狼已經(jīng)來(lái)了”。 震網(wǎng)（Stuxnet）、BlackEnergy2、Havex再到烏克蘭停電事件的反復爆發(fā)，以及最近針對沙特石油天然氣工廠(chǎng)攻擊的Triton/TriSYS。Triton攻擊框架能與施耐德公司的Triconex安全儀表系統控制器（SIS）形成通信交互，通過(guò)SIS控制器的重新編程，可導致不可逆轉的關(guān)機操作和設備物理?yè)p害?？梢钥吹?，針對以工控系統為業(yè)務(wù)核心的能源行業(yè)、關(guān)鍵制造業(yè)、水處理行業(yè)等國家關(guān)鍵基礎設施的攻擊一直在持續。APT攻擊就像一把達摩克里斯之劍，高懸在工業(yè)企業(yè)的頭頂，不得不令人擔憂(yōu)面對這些問(wèn)題和挑戰，針對工控系統的主要威脅進(jìn)行了深度研究，研究結果是：信息技術(shù)的發(fā)展，工業(yè)互聯(lián)的需求，工業(yè)主機是IT與OT技術(shù)融合的連接點(diǎn)，是信息世界與物理世界的通道和橋梁，也是成本低廉、效果極佳的攻擊實(shí)施點(diǎn)。做好工業(yè)主機的安全防護和控制，是極為關(guān)鍵的。因此，針對工業(yè)企業(yè)的特點(diǎn)、面臨的三大安全威脅，提出了相應的三大對策：

·馬上行動(dòng)，工業(yè)信息安全從主機防護開(kāi)始；

·開(kāi)放心態(tài)，建立工控漏洞的協(xié)同治理機制；

·協(xié)同聯(lián)動(dòng)，建立工控安全事件協(xié)同應急響應機制。

工業(yè)主機運行環(huán)境是非常特殊的，絕大部分工業(yè)主機安裝部署后，就不會(huì )再進(jìn)行根本性的升級、修改；工業(yè)主機以及軟件的特殊性，以防黑為主的殺毒軟件是很難在工業(yè)環(huán)境中進(jìn)行適配、使用；因此業(yè)內普遍采用“白名單”技術(shù)進(jìn)行工業(yè)主機的安全防護。

在互聯(lián)網(wǎng)安全領(lǐng)域內，正是360首次提出了白名單技術(shù)，基于白名單機制建立起來(lái)的防惡意代碼軟件，也正是360的強項。因此提出了工業(yè)主機一體化安全防護的理念，是以白名單技術(shù)為基礎，集成了資產(chǎn)管理、外設管控、虛擬補丁、準入控制等功能，并集成特定病毒查殺工具、主機加固工具等。其中虛擬補丁技術(shù)是很關(guān)鍵的，在工業(yè)主機不能進(jìn)行補丁更新的情況下，發(fā)現工業(yè)主機漏洞后，可以采用虛擬補丁技術(shù)，結合白名單機制，進(jìn)行有效的漏洞防護，不僅僅是禁止非法軟件啟動(dòng)，甚至可以防止非法軟件入侵主機。比如針對勒索病毒的防護模塊就是基于此類(lèi)技術(shù)建立起來(lái)的，可以有效地防御勒索病毒。

但在工業(yè)主機防護方面，單一的白名單技術(shù)不能做較全面的防護，有些高級的惡意攻擊代碼可以繞過(guò)簡(jiǎn)單的白名單機制。因此，工業(yè)主機防護技術(shù)需要在“白名單”技術(shù)的基礎上，引入“白行為”技術(shù)。

工控系統具備兩個(gè)“有限”：首先是設備運行狀態(tài)是有限的，其次是運行狀態(tài)下的控制指令是有限的。工業(yè)主機防護同樣具備這樣的特點(diǎn)?？刂浦噶畹挠邢?，恰恰證明了工業(yè)主機的操作行為是穩定、可知的，采用大數據技術(shù)很容易建立起穩定的工業(yè)主機“白行為”基線(xiàn)，偏離基線(xiàn)的工業(yè)主機異常行為，也非常容易檢測到。因此，建立基于工業(yè)主機為重要節點(diǎn)的工業(yè)主機操作“白行為”，通過(guò)監測操作行為，擴大可知探測能力、確定已知合法行為、防范未知威脅操作；實(shí)時(shí)監視工控系統的資產(chǎn)、操作等，出現異常，實(shí)時(shí)報警，啟動(dòng)應急處置流程；結合工業(yè)威脅情報進(jìn)行威脅的追蹤溯源，提供更高強度的工業(yè)主機主動(dòng)防御能力。

工控系統的縱深防御策略，在不少工業(yè)企業(yè)內已經(jīng)進(jìn)行了部署。但安全是動(dòng)態(tài)的，縱深防御更多的是靜態(tài)的防御方式，不具備與時(shí)俱進(jìn)的能力。工業(yè)互聯(lián)網(wǎng)時(shí)代，業(yè)務(wù)的不斷發(fā)展、數據量成級數增長(cháng)，以業(yè)務(wù)規則為核心，建立安全基線(xiàn)，動(dòng)態(tài)地實(shí)時(shí)監測工業(yè)互聯(lián)網(wǎng)的信息流及操作指令，以控制指令有限為原則，監測、告警異常行為，從而建立工業(yè)互聯(lián)網(wǎng)的“白行為”知識庫，建立以實(shí)時(shí)監測為基礎的安全運營(yíng)體系。

安全的本質(zhì)：漏洞是源頭、響應是最佳實(shí)踐。因此針對安全事件的應急響應機制的建立，同樣迫在眉睫。安全響應不僅僅只是安全廠(chǎng)商的事情，應該是工業(yè)用戶(hù)、自動(dòng)化廠(chǎng)商、安全廠(chǎng)商聯(lián)動(dòng)，共同解決棘手的安全問(wèn)題，共建一個(gè)良好的安全應急響應機制。

6　總結
綜上所述，工業(yè)信息安全的體系，到目前為止還是在不斷的發(fā)展階段，雖然靜態(tài)的縱深防御策略普遍被業(yè)內人所認可，但安全是動(dòng)態(tài)的、持續的，單純的“扎籬笆”已經(jīng)被證明是嚴重不足的。只有加強工業(yè)主機安全，建立安全基礎，以實(shí)時(shí)監測技術(shù)建立行為基線(xiàn)，以聯(lián)動(dòng)的安全響應為保障，才可有效地解決工業(yè)企業(yè)的工控信息安全的老大難問(wèn)題。

作者簡(jiǎn)介

李　航，男，高級工程師、高級等保測評師，畢業(yè)于山東大學(xué)，碩士?，F任360企業(yè)安全技術(shù)（北京）集團有限公司工業(yè)互聯(lián)網(wǎng)安全事業(yè)部副總經(jīng)理，原工業(yè)控制系統信息安全技術(shù)國家工程實(shí)驗室工業(yè)安全檢測中心主任，從事工控信息安全研究和工作，主要針對工控安全漏洞發(fā)現、驗證，工控系統信息安全防護體系設計與實(shí)施等，參與多個(gè)工控安全國家標準，工業(yè)控制系統信息安全技術(shù)國家工程實(shí)驗室技術(shù)委員會(huì )委員，參與G20峰會(huì )網(wǎng)絡(luò )安全保障工作，被聘為專(zhuān)家組專(zhuān)家成員，曾榮獲部級科技進(jìn)步三等獎。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》