1　前言

當前，工業(yè)信息安全威脅呈現不斷增長(cháng)趨勢，隨著(zhù)網(wǎng)絡(luò )信息技術(shù)的飛速發(fā)展、兩化融合的不斷深入，以及工業(yè)4.0時(shí)代的到來(lái)，各行各業(yè)全面面向信息網(wǎng)絡(luò )，在享受信息網(wǎng)絡(luò )帶來(lái)便利的同時(shí)，大規模、高強度的工業(yè)信息安全事件頻頻發(fā)生：2010年伊朗核設施遭受震網(wǎng)病毒攻擊；2015年12月，烏克蘭電廠(chǎng)遭受黑客攻擊，導致大面積居民停電；2018年4月，工業(yè)路由器摩莎EDR-810曝17個(gè)嚴重漏洞……據不完全統計，近年來(lái)每年發(fā)生的工業(yè)信息安全事件均接近300起。

工業(yè)控制系統和設備大量暴露在互聯(lián)網(wǎng)上，也已成為各國工業(yè)信息安全的重要威脅和軟肋。根據國家工業(yè)信息安全發(fā)展研究中心監測，截至2017年12月，全球暴露在互聯(lián)網(wǎng)上的工業(yè)控制設備超過(guò)10萬(wàn)個(gè)。

而國內暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統數量增幅尤其明顯，增速超過(guò)了全球平均水平，其中相當大一部分都存在高危安全漏洞。國內工業(yè)信息安全產(chǎn)業(yè)發(fā)展存在明顯的不足，如產(chǎn)業(yè)生態(tài)尚不健全，仍未形成良性發(fā)展的產(chǎn)業(yè)鏈；核心技術(shù)的積累不夠，仍然處于跟跑狀態(tài)；安全服務(wù)能力亟待提升，安全服務(wù)市場(chǎng)占有率較低等。

針對國內現有工控信息安全市場(chǎng)的不足，工業(yè)和信息化部于2016年10月17日發(fā)布《工業(yè)控制系統信息安全防護指南》，《指南》整體思路借鑒了等級保護的思想，具體提出了十一條三十款要求，貼近實(shí)際工業(yè)企業(yè)真實(shí)情況，務(wù)實(shí)可落地；2017年底印發(fā)《工業(yè)控制系統信息安全行動(dòng)計劃（2018-2020年）》，要求建設“一網(wǎng)一庫三平臺”的國家工業(yè)信息安全技術(shù)保障體系。

工業(yè)控制網(wǎng)絡(luò )安全需要警鐘長(cháng)鳴，立足自主創(chuàng )新，才能擺脫核心技術(shù)產(chǎn)品受制于人的局面，立足自主創(chuàng )新，才能實(shí)現發(fā)展與安全的協(xié)同推進(jìn)。力控華康依托工業(yè)自動(dòng)化和工業(yè)信息化的多年沉淀、積累的實(shí)踐經(jīng)驗，自主創(chuàng )新開(kāi)發(fā)出適用于工業(yè)控制現場(chǎng)的工業(yè)通信網(wǎng)關(guān)pFieldComm系列、工業(yè)安全隔離產(chǎn)品pSafetyLink系列、工業(yè)防火墻HC-ISG系列、安全通信網(wǎng)關(guān)HC-ICG系列、工控安全管理平臺、主機安全衛士、工業(yè)安全審計等產(chǎn)品，并在石油、石化、燃氣、鋼鐵、有色、礦山、電力、煤礦、供水等諸多行業(yè)成功應用，為國內工業(yè)網(wǎng)絡(luò )安全保駕護航。

2　護航工業(yè)控制系統網(wǎng)絡(luò )安全

工業(yè)控制系統網(wǎng)絡(luò )是由工業(yè)自動(dòng)化生產(chǎn)設備，如SCADA、DCS、PLC等各種過(guò)程控制系統組成的網(wǎng)絡(luò )，不同于IT網(wǎng)絡(luò )，工業(yè)控制系統網(wǎng)絡(luò )具有以下特點(diǎn)：

（1）專(zhuān)用通信協(xié)議或規約（OPC、Modbus、DNP3等）；

（2）系統傳輸、處理信息的實(shí)時(shí)性要求高，盡量避免停機、重啟等操作；

（3）系統故障必須及時(shí)響應處理，不可預料的中斷會(huì )造成經(jīng)濟損失或其他危害；

（4）為滿(mǎn)足特定應用場(chǎng)景、任務(wù)單一性以及系統穩定性；為保障生產(chǎn)的連續性，減少可能的風(fēng)險，因此系統或設備很少升級，甚至不升級。

工業(yè)控制系統的核心是工業(yè)軟件，工控系統的作用是其對于生產(chǎn)流程的自動(dòng)化管控，一旦可用性出現問(wèn)題，整個(gè)生產(chǎn)流程將會(huì )受到極大影響，造成不可挽回的損失。在工業(yè)控制領(lǐng)域，可用性作為信息安全建設的首要目標，工業(yè)領(lǐng)域的安全主要分為功能安全、物理安全、信息安全等。工業(yè)控制系統基于專(zhuān)用通信協(xié)議，與生產(chǎn)直接相關(guān)、數據傳輸、處理信息的實(shí)時(shí)性要求高，不能停機和重啟等特點(diǎn)，對功能安全和實(shí)時(shí)性要求較高。

傳統IT信息安全標準的三要素分別為：保密性、完整性和可用性，如工業(yè)領(lǐng)域中門(mén)戶(hù)網(wǎng)站、辦公系統、財務(wù)系統、ERP系統、MES系統等信息化系統。傳統IT信息安全以保密性為首，信息系統允許適度延遲、重啟。因此常規IT信息安全技術(shù)無(wú)法直接用來(lái)有效地解決工業(yè)控制系統網(wǎng)絡(luò )全部安全問(wèn)題。

2.1　防護體系及策略

在工業(yè)網(wǎng)絡(luò )安全護航的過(guò)程中，力控華康積累經(jīng)驗，提出了三大工業(yè)網(wǎng)絡(luò )安全體系、五層防護策略。

三大安全體系包括：

（1）風(fēng)險評估

建立信息安全風(fēng)險評估機制，對工業(yè)控制系統的安全風(fēng)險進(jìn)行系統、全面分析，找到整個(gè)體系的薄弱點(diǎn)根據需求進(jìn)行安全規劃設計。

（2）安全規劃設計

根據評估結果制定工業(yè)控制系統的安全解決方案，可借鑒傳統IT系統安全分區和縱深防御的成熟做法；也要充分考慮工業(yè)控制系統的特殊性，堅持功能安全和信息安全相結合的原則，保障生產(chǎn)任務(wù)的不間斷運行。涵蓋設備安全、控制安全、網(wǎng)絡(luò )安全、數據安全、應用安全等多個(gè)層級的安全防護技術(shù)，最終為用戶(hù)提供可選擇適合工業(yè)控制系統的安全技術(shù)和產(chǎn)品。

（3）安全管理可持續性改進(jìn)

完善安全制度和人員素質(zhì)提升，掌握整個(gè)安全防護體系為使用安全防護技術(shù)去構建縱深防護體系，通過(guò)綜合安全管理持續改進(jìn)，保證整個(gè)體系的良性運轉。

五層防護策略包括：

（1）第一層：信息網(wǎng)絡(luò )及系統防護，主要側重信息系統及互聯(lián)網(wǎng)絡(luò )的安全方面；

（2）第二層：生產(chǎn)控制網(wǎng)絡(luò )防護，主要是監控系統及帶有控制命令的安全防護；

（3）第三層：主機防御加固強化，提升主機系統如SCADA、PLC自身的防病毒/防攻擊能力；

（4）第四層：工業(yè)軟件安全加強，軟件的版本管理和備份管理，密碼定時(shí)更新、軟件補丁更新等；

（5）第五層：制定安全管理制度加強人員培訓。

2.2　安全防護產(chǎn)品

為實(shí)現安全防護的三大體系及五層策略，力控華康依托在工業(yè)自動(dòng)化和工業(yè)信息化方面多年沉淀的實(shí)踐經(jīng)驗，自主創(chuàng )新研發(fā)多款產(chǎn)品。其中如下幾款產(chǎn)品頗具有代表性：

（1）pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)。此款產(chǎn)品可以對工業(yè)協(xié)議進(jìn)行解析，提取其中的數據元素，可以作到針對測點(diǎn)一級的訪(fǎng)問(wèn)控制。如對于OPC標準可以控制到Item（項）一級，對于Modbus協(xié)議可以控制到寄存器。pSafetyLink系列工業(yè)安全隔離網(wǎng)關(guān)可以對測點(diǎn)進(jìn)行可見(jiàn)范圍和讀寫(xiě)權限兩方面的控制。

（2）HC-ISG系列工業(yè)防火墻不但支持傳統防火墻的基礎訪(fǎng)問(wèn)控制功能，還可提供針對工業(yè)協(xié)議的指令級深度檢測，實(shí)現了對Modbus、OPC DA、DNP3等主流工業(yè)協(xié)議和規約的細粒度檢查和過(guò)濾，幫助用戶(hù)防護來(lái)自網(wǎng)絡(luò )的病毒傳播、黑客攻擊等行為，避免其對控制網(wǎng)絡(luò )的影響和對生產(chǎn)流程的破壞，同時(shí)具備Bypass及全透明無(wú)間斷部署功能，保證業(yè)務(wù)的連續性；規則報警功能可以有效對異常操作進(jìn)行處理，避免因未及時(shí)處理造成損失和危害；而且它采用白名單機制，可以較少甚至不用升級，符合工業(yè)現場(chǎng)特點(diǎn)。

（3）pFliedComm系列工業(yè)通訊網(wǎng)關(guān)定位于解決工業(yè)網(wǎng)絡(luò )中協(xié)議、規約復雜多樣，數據通訊接口不暢的問(wèn)題。采用高性能嵌入式硬件平臺，內嵌力控華康自主研發(fā)的工業(yè)數據采集和處理系統，具有多種通信規約庫，可以實(shí)現對不同軟件系統、控制器和現場(chǎng)設備數據的集中采集、預處理、協(xié)議轉換和復用轉發(fā)。

（4）工控安全管理平臺ISC采用B/S結構，可全面監控力控華康自研設備的運行狀態(tài)，采集其安全事件。平臺可對各類(lèi)關(guān)鍵運行指標設置監控閾值，對采集的事件進(jìn)行歸一化處理和關(guān)聯(lián)分析。安全管理平臺還可以針對第三方控制設備做現場(chǎng)控制系統的生產(chǎn)報警管理（基于ISA18.2標準），當出現運行指標異?；虬l(fā)現攻擊行為或違規訪(fǎng)問(wèn)時(shí)，可及時(shí)進(jìn)行多種方式的告警，幫助管理員迅速定位故障點(diǎn)，發(fā)現高危安全事件，及時(shí)采取有效措施，保障用戶(hù)生產(chǎn)業(yè)務(wù)的連續性。

（5）工控安全審計系統是專(zhuān)門(mén)為工業(yè)控制網(wǎng)絡(luò )量身打造的工控網(wǎng)絡(luò )安全產(chǎn)品，它能實(shí)時(shí)監測工控網(wǎng)絡(luò )的狀態(tài)，檢測工控網(wǎng)絡(luò )中入侵行為，也能根據用戶(hù)定義的審計策略，追蹤工控網(wǎng)絡(luò )安全事件，對工控網(wǎng)絡(luò )的數據進(jìn)行留存。

2.3　行業(yè)應用
力控華康護航工業(yè)安全領(lǐng)域這么多年來(lái)，已積累了豐富的經(jīng)驗，并且在各行各業(yè)的產(chǎn)品應用中取得巨大成就。
（1）煉化行業(yè)信息接入MES系統安全防護系統，如圖1所示。

圖1 煉化行業(yè)信息接入MES系統安全防護系統

煉化行業(yè)主要使用DCS作為生產(chǎn)控制系統， DCS普遍使用OPC通信協(xié)議向上級系統傳遞數據，所以OPC通信的安全防護是重中之重，華康根據這一特點(diǎn)，完美接入OPC通訊，在不同安全防護層次增加部署不同的安全防護產(chǎn)品，全面保護工業(yè)數據與上層MES系統間的互通互聯(lián)。

（2）城市燃氣行業(yè)指揮調度系統安全防護系統，如圖2所示。

圖2 城市燃氣行業(yè)指揮調度系統安全防護系統

城市燃氣指揮調度系統可分為門(mén)站（場(chǎng)站）、調度中心（項目公司）、區域公司、集團公司四個(gè)等級。城市燃氣調度中心是城市燃氣 SCADA 系統的核心部分，它監控門(mén)站、中高壓站、中低壓站、大用戶(hù)站等設備的實(shí)時(shí)運行狀況，記錄燃氣管網(wǎng)的運行數據，為區域公司、集團公司提供相關(guān)數據等。為保證數據在不同等級區域間的安全傳輸，力控華康依據多年安全防護經(jīng)驗，在不同等級區間部署相應的安全設備及管理平臺，保障數據在生產(chǎn)傳輸過(guò)程中的安全性。

（3）油氣生產(chǎn)物聯(lián)網(wǎng)安全防護系統，如圖3所示。

圖3 油氣生產(chǎn)物聯(lián)網(wǎng)安全防護系統

油氣生產(chǎn)物聯(lián)網(wǎng)系統一般是由油、氣井、站庫、作業(yè)區、采油廠(chǎng)幾個(gè)部分組成，為了保障數據在傳輸過(guò)程中的安全性，分三個(gè)等級采取防護措施：

·在各站庫與作業(yè)區之間部署安全隔離設備，保護現場(chǎng)數據的安全性；

·在各作業(yè)區與采油廠(chǎng)之間部署安全隔離設備，采用單項導入模式，保護作業(yè)區的數據安全；

·在采油廠(chǎng)與外網(wǎng)接入點(diǎn)部署工業(yè)防火墻，防止一些威脅通過(guò)互聯(lián)網(wǎng)進(jìn)入油氣生產(chǎn)物聯(lián)網(wǎng)系統。

（4）化工行業(yè)安全防護系統，如圖4所示。

通過(guò)在不同區域部署華康安全設備實(shí)現對各生產(chǎn)裝置DCS/PLC控制網(wǎng)絡(luò )的高安全級別的安全防護，徹底避免辦公網(wǎng)絡(luò )對控制網(wǎng)絡(luò )可能產(chǎn)生的干擾。對現有生產(chǎn)過(guò)程不產(chǎn)生影響的前提下，保證現有數據采集功能的實(shí)現。解決某一個(gè)裝置的控制網(wǎng)絡(luò )由于內控不當出現了網(wǎng)絡(luò )安全問(wèn)題后，橫向感染、傳播到其它裝置的控制網(wǎng)絡(luò )提高控制網(wǎng)絡(luò )的內控管理要求，防止由于內控不當，由內部人員通過(guò)U盤(pán)、筆記本電腦等途徑直接從內網(wǎng)造成控制網(wǎng)絡(luò )安全問(wèn)題。

圖4 化工行業(yè)安全防護系統

3　結語(yǔ)

力控華康作為國內較早從事工業(yè)控制系統信息安全技術(shù)研發(fā)的廠(chǎng)商之一，已發(fā)展成為中國領(lǐng)先的工業(yè)控制系統信息安全產(chǎn)品及服務(wù)提供商，參與了包括GB/T 30976在內的多個(gè)信息安全國家標準的制定工作。憑借多年來(lái)在工業(yè)控制領(lǐng)域信息安全方面的優(yōu)良表現，工業(yè)控制系統信息安全產(chǎn)品成功入選“2013年國家信息安全專(zhuān)項及下一代研發(fā)、產(chǎn)業(yè)化和規模商用專(zhuān)項”清單。

作者簡(jiǎn)介

鮑　磊（1986-），男，安徽人，本科，現任北京力控華康科技有限公司產(chǎn)品經(jīng)理，研究方向為工控網(wǎng)絡(luò )安全產(chǎn)品、技術(shù)應用及安全方案。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》