摘要：隨著(zhù)電氣化、自動(dòng)化、信息化技術(shù)能力發(fā)展，工業(yè)自動(dòng)化技術(shù)和信息化技術(shù)全面融合，工業(yè)控制系統的基礎性、全局性的作用也日益增強，自動(dòng)化與信息化控制系統PLC、DCS、SCADA等全面普及。在面臨不斷發(fā)生的網(wǎng)絡(luò )攻擊事件形勢下，習總書(shū)記提出“沒(méi)有網(wǎng)絡(luò )，就沒(méi)有國家安全”、“網(wǎng)絡(luò )安全與信息化是一體之雙翼”核心思想，開(kāi)啟了我國網(wǎng)絡(luò )安全理念和安全保障理念的進(jìn)步，網(wǎng)絡(luò )安全發(fā)展將面臨前所未有的機遇和挑戰。本文針對控制系統中的終端主機的安全及防護實(shí)踐進(jìn)行概述。

關(guān)鍵詞：工控主機安全；電力工控安全

1　引言

伴隨我國經(jīng)濟的快速發(fā)展，工業(yè)自動(dòng)化控制技術(shù)進(jìn)步日新月異，自動(dòng)化與信息化控制系統PLC、DCS、SCADA等在電力行業(yè)的發(fā)電側已經(jīng)全面普及。發(fā)電行業(yè)隨著(zhù)工業(yè)自動(dòng)化技術(shù)和信息化技術(shù)的高速發(fā)展而全面融合，工業(yè)控制系統的基礎性、全局性在生產(chǎn)經(jīng)營(yíng)中的作用也日益增強，為企業(yè)帶來(lái)管理和提高生產(chǎn)效率的同時(shí)，伴隨而來(lái)的網(wǎng)絡(luò )安全風(fēng)險亦不容忽視。近年來(lái)，國內外發(fā)生“Stuxnet”震網(wǎng)病毒入侵伊朗布什爾核電站、“BalckEnergy”惡意攻擊導致烏克蘭伊萬(wàn)諾-弗蘭科夫斯克地區大面積停電等網(wǎng)絡(luò )攻擊安全事件給全世界敲響了網(wǎng)絡(luò )安全的警鐘。習近平總書(shū)記多次提出網(wǎng)絡(luò )安全的重要性：沒(méi)有網(wǎng)絡(luò )安全，就沒(méi)有國家安全；沒(méi)有信息化，就沒(méi)有現代化。電力行業(yè)的安全生產(chǎn)涉及百姓民生，而保障電力安全生產(chǎn)的重要環(huán)節正是這基礎設施的工業(yè)控制系統，而整個(gè)控制系統的最脆弱、最危險、最不可控、最容易受到攻擊和入侵的正是控制系統的工程師站和操作員站等終端主機。

2　工業(yè)控制系統

工業(yè)控制系統是指由計算機與工業(yè)過(guò)程控制部件組成的自動(dòng)控制系統。工業(yè)控制系統（ICS）主要包括常見(jiàn)的SCADA系統、DCS和其他較小的自動(dòng)控制系統，如PLC，是工業(yè)生產(chǎn)中使用的所有類(lèi)型控制系統的總稱(chēng)。SCADA系統通常作為工業(yè)控制的核心系統，實(shí)現對現場(chǎng)的設備進(jìn)行實(shí)時(shí)監視和控制及設備參數調節、數據采集、數據測量、各類(lèi)反饋信號報警等。DCS分布式控制系統主要應用在流程生產(chǎn)行業(yè)的控制系統，主要實(shí)現對各子系統在運行過(guò)程中的控制功能。PLC廣泛應用于實(shí)現工業(yè)設備的具體操作與工藝控制，其作用主要是從遠程站點(diǎn)獲取數據和接受自動(dòng)化或者操作者命令。例如控制生產(chǎn)設備啟停、監測生產(chǎn)環(huán)境、接收傳感器數據。工業(yè)過(guò)程控制部件對實(shí)時(shí)數據進(jìn)行采集、監測，在計算機的調配下，實(shí)現設備自動(dòng)化運行以及對業(yè)務(wù)流程的管理與監控，其特點(diǎn)主要表現在數據傳送的實(shí)時(shí)性、數據的事件驅動(dòng)及數據源主動(dòng)推送等。隨著(zhù)計算機技術(shù)、通信技術(shù)和控制技術(shù)的發(fā)展，傳統的控制領(lǐng)域正經(jīng)歷著(zhù)一場(chǎng)前所未有的變革，開(kāi)始向網(wǎng)絡(luò )化方向發(fā)展?？刂葡到y的結構從最初的計算機集中控制系統（CCS），到第二代的分散控制系統（DCS），發(fā)展到現在流行的現場(chǎng)總線(xiàn)控制系統（FCS）。伴隨著(zhù)自動(dòng)化程度和控制系統的進(jìn)步發(fā)展，工業(yè)控制系統的管理、控制及操作端的功能越來(lái)越豐富，權限越來(lái)越大。集中、遠程管理在帶來(lái)高效、便捷性的同時(shí)，也帶來(lái)主機管理的多個(gè)安全風(fēng)險性，如何管理好工業(yè)控制系統的“城門(mén)入口”，成為確保工業(yè)控制系統安全穩定生產(chǎn)的重要工作。

3　主機安全要求

等保2.0版本的更迭意味著(zhù)等級保護制度已進(jìn)入全新的時(shí)代，原有的制度已無(wú)法滿(mǎn)足當下工控環(huán)境安全的要求，政策依據工控環(huán)境安全需求而制定，而工控環(huán)境的安全亦需將制度切實(shí)落地，兩者相互依賴(lài)。根據《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》GBT22239-2019和《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護測評要求》GBT28448-2019等系列等保2.0相關(guān)標準對主機安全防護，尤其是工業(yè)控制系統中主機的安全防護提出防護要求。本文對從安全風(fēng)險及可整改性角度進(jìn)行部分闡述。

從控制設備的主機安全總體層面，應否具有身份鑒別、訪(fǎng)問(wèn)控制和安全審計等功能，如不具備上述功能，則核查是否由其上位控制或管理設備實(shí)現同等功能或通過(guò)管理手段控制。

從主機的物理層面應對主機是否關(guān)閉或拆除設備的軟盤(pán)驅動(dòng)、光盤(pán)驅動(dòng)、USB接口、串行口或多余網(wǎng)，保留的軟盤(pán)驅動(dòng)、光盤(pán)驅動(dòng)、USB接口、串行口或多余網(wǎng)口等是否通過(guò)相關(guān)的措施實(shí)施嚴格的監控管理。

從主機的身份鑒別層面，應對登錄的用戶(hù)進(jìn)行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換，應采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶(hù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來(lái)實(shí)現。

從主機的安全策略配置層面，應重命名默認賬戶(hù)，刪除、停用默認賬戶(hù)和多余的、過(guò)期的賬戶(hù)，避免共享賬戶(hù)的存在。應授予管理用戶(hù)所需的最小權限，實(shí)現管理用戶(hù)的權限分離。應由授權主體配置訪(fǎng)問(wèn)控制策略，訪(fǎng)問(wèn)控制策略規定主體對客體的訪(fǎng)問(wèn)規則。并啟用登錄失敗處理功能，啟用安全控制策略限制非法登錄功能，非法登錄達到一定次數后采取特定動(dòng)作，如賬戶(hù)鎖定等。

從主機的安全審計層面，應啟用安全審計功能，審計覆蓋到每個(gè)用戶(hù)，對重要的用戶(hù)行為和重要安全事件進(jìn)行審計。通過(guò)相關(guān)的技術(shù)措施實(shí)施嚴格的監控管理。

從安全建設采購管理方面層面，工業(yè)控制系統重要設備應通過(guò)專(zhuān)業(yè)機構的安全檢測后方可采購使用。

4　主機安全風(fēng)險

經(jīng)過(guò)多年的主機安全防護實(shí)踐發(fā)現，很多高危的風(fēng)險隱患依然存在，由于近幾年來(lái)對網(wǎng)絡(luò )安全的重視，新建工業(yè)控制系統在建設時(shí)，會(huì )將網(wǎng)絡(luò )安全作為重要的一環(huán)進(jìn)行考慮設計，主機多采用Linux操作系統或國產(chǎn)主機及控制系統，風(fēng)險隱患相對較低。但存量的工業(yè)控制系統風(fēng)險隱患尤為明顯，尤其是距今10年左右建設的工業(yè)控制系統，建設時(shí)設計多偏向功能和應用，對主機安全設計較為忽略，多數為工業(yè)主機、商用臺式機，多采用Windows7、XP、2008操作系統，由于受控制系統平臺制約無(wú)法更換主機的操作系統，同時(shí)常見(jiàn)的安全防護軟件在很多存量的工業(yè)控制系統中無(wú)法進(jìn)行很好的應用，主要是管理員或廠(chǎng)家無(wú)法接受在控制主機端安裝安全防護軟件，或部分老舊主機安裝防護軟件后會(huì )嚴重占用系統資源導致影響業(yè)務(wù)應用，所以存在極大的安全隱患。以電力行業(yè)為例，發(fā)現存在很多相似的安全風(fēng)險隱患，如電力監控系統中工程師站、操作員站、歷史站存在不必要的軟盤(pán)驅動(dòng)、光盤(pán)驅動(dòng)、USB接口、串行口、無(wú)線(xiàn)、藍牙等未拆除或關(guān)閉，必要使用端口沒(méi)有采用技術(shù)措施確保安全；電力監控系統中工程師及操作員站無(wú)密碼或弱口令登錄，缺乏技術(shù)手段實(shí)現雙因子認證登錄；電力監控系統中工程師及操作員站存在默認賬戶(hù)及訪(fǎng)客用戶(hù)，未使用合理策略控制安全風(fēng)險；電力監控系統中工程師站、操作員站，終端I/O設備操作權限缺乏技術(shù)管控手段，存在內部惡意人員非授權操作及越權操作的安全威脅；電力監控系統中工程師站或操作員站的系統配置、運行監控、重大操作等行為操作、U口使用、數據交換等操作缺乏行為監管，無(wú)法做到行為審計，無(wú)法實(shí)現過(guò)程追溯；電力監控系統中工程師站、操作員站、歷史站、OPCSERVER主機、工作站、一般都采用Windows系統，由于處于電廠(chǎng)內部的隔離網(wǎng)絡(luò )，存在補丁升級更新不及時(shí)或不能更新、無(wú)補丁可更新的狀況，設備或系統存在來(lái)自操作系統層面的漏洞；在特定工作中如部分系統調試和維護時(shí)，通常需要本地或遠程接入筆記本電腦。而對這些接入的移動(dòng)終端缺乏有效的安全監管。這些常見(jiàn)隱患給工業(yè)控制系統帶來(lái)巨大的安全風(fēng)險。

5　面臨的難題

針對目前比較主流的工業(yè)控制系統工程師站和操作員的設計，多采用Linux操作系統，但是由于早年工業(yè)控制系統在建設設計時(shí)，全行業(yè)對網(wǎng)絡(luò )安全、信息安全要求并不高，針對工業(yè)控制系統的功能和應用更為重視，所以在規劃設計時(shí)對信息安全環(huán)節投入不足，主機多采用當時(shí)流行的工業(yè)主機、商用塔式機、辦公臺式機，操作系統Windows2000、2008、XP、7都較為常見(jiàn)，且很多系統都是破解版、OEM版或是非商業(yè)版本。但是由于工業(yè)控制系統制約無(wú)法輕易更換主機的操作系統，很多早年工業(yè)控制系統的工程師站無(wú)法從Windows下改變Linux操作系統。

主機安全防護技術(shù)經(jīng)過(guò)多年的發(fā)展，出現了安全防護、白名單等多種安全防護解決方案，在新建系統中應用廣泛。但針對于存量的工業(yè)控制系統，在安全管理大區的非控制大區尚有應用，但在生產(chǎn)的控制大區則相對較少，還存在一些問(wèn)題，無(wú)法大面積廣泛采用，主要是由于工業(yè)控制系統特性原因，管理員或廠(chǎng)家認為在工程師站或操作員站的操作系統下安全防護軟件或具有“白名單”功能的防護軟件會(huì )對原有系統產(chǎn)生一定影響業(yè)務(wù)系統的隱患，所以無(wú)法接受在控制主機端安裝安全防護軟件，部分較為陳舊主機存在兼容或安裝防護軟件后會(huì )嚴重占用系統資源導致主機操作系統變慢的問(wèn)題，所以存量工業(yè)控制系統的主機安全成為工業(yè)控制系統中的一大重要難題。

6　實(shí)踐技術(shù)路線(xiàn)

通過(guò)研發(fā)發(fā)現大量的存量工業(yè)控制無(wú)法更換安全操作系統和主機管理，或研發(fā)廠(chǎng)家無(wú)法接受安裝軟件及存在的安全風(fēng)險隱患。同時(shí)根據《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》GBT22239-2019和《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護測評要求》GBT28448-2019等系列制度中，對主機應否具有身份鑒別、訪(fǎng)問(wèn)控制和安全審計等功能，如不具備上述功能，則核查是否由其上位控制或管理設備實(shí)現同等功能或通過(guò)管理手段控制的要求，選擇從工業(yè)控制系統的上位控制或管理設備實(shí)現同等功能或通過(guò)管理手段控制的技術(shù)路線(xiàn)來(lái)實(shí)現工業(yè)控制系統主機的安全防護。

通過(guò)“一對一”部署純硬件式“鎧甲式外掛”防護裝置的方式，不接入原有工業(yè)控制系統網(wǎng)絡(luò )及主機系統，對工業(yè)控制系統實(shí)現人員身份鑒別密碼+智能卡，滿(mǎn)足“雙因子認證”且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來(lái)實(shí)現要求，同時(shí)替代性解決工業(yè)控制系統缺少人員訪(fǎng)問(wèn)控制、雙因子認證、人員權限管理等要求。并且針對USB口管理、數據安全交換提供了在線(xiàn)監測和殺毒等技術(shù)手段管理，滿(mǎn)足對主機用戶(hù)操作、人員行為審計要求。在注重采用技術(shù)手段解決問(wèn)題的同時(shí)，同樣注重產(chǎn)品安全、可靠性，產(chǎn)品通過(guò)了公安部計算機信息系統安全產(chǎn)品質(zhì)量監督檢驗中心和中國電力科學(xué)研究院信息安全實(shí)驗室檢驗，確保了自身安全和對原有工業(yè)控制系統無(wú)影響。

7　實(shí)踐解決的問(wèn)題

此技術(shù)路線(xiàn)和實(shí)踐，通過(guò)理論研究和大量的現場(chǎng)實(shí)踐，獲得了用戶(hù)廣泛的認可，解決了工業(yè)控制系統主機無(wú)法更換，無(wú)法安裝安全防護軟件，缺少人員身份鑒別、訪(fǎng)問(wèn)控制、USB口管理、數據安全交換、操作系統及人員操作行為審計等場(chǎng)景下的工業(yè)控制系統主機安全防護問(wèn)題。

網(wǎng)絡(luò )安全建設亦是日積月累逐漸完善的過(guò)程，工業(yè)控制系統在不斷發(fā)展，隨之而來(lái)安全風(fēng)險不斷增加，所以工控網(wǎng)絡(luò )安全防護工作必將永遠在路上。

作者簡(jiǎn)介

謝云龍（1987-），江蘇人，本科，現就職于北京中電瑞鎧科技有限公司，研究方向為網(wǎng)絡(luò )安全、工業(yè)互聯(lián)網(wǎng)、工控安全、信息化建設。

參考文獻：

[1] 公安部, 國家保密局, 國家密碼管理局, 國務(wù)院信息化工作辦公室.信息安全等級保護管理辦法[Z]. 2007.

[2] GB/T22239-2019, 信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求[S].

[3] GB/T28448-2019, 信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評要求[S].

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第六輯）》