久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

1　概述

在過去的十幾年間，計算機網(wǎng)絡(luò)技術(shù)越來越多地應(yīng)用于工業(yè)控制領(lǐng)域，一些IT網(wǎng)絡(luò)通用協(xié)議一直延伸到工業(yè)控制系統(tǒng)（ICS）的現(xiàn)場層（如基于TCP/IP的工業(yè)以太網(wǎng)），使用戶可以在企業(yè)辦公網(wǎng)甚至互聯(lián)網(wǎng)上直接對控制現(xiàn)場執(zhí)行機構(gòu)進行數(shù)據(jù)實時采集與控制，但在方便用戶的同時，卻將一直被認為“對威脅免疫”的ICS系統(tǒng)直接暴露在了互聯(lián)網(wǎng)上眾多黑客的視線中，ICS系統(tǒng)設(shè)施也正逐漸成為了黑客們從虛擬化的網(wǎng)絡(luò)滲透到現(xiàn)實實體的攻擊對象之一。

2011年6月爆發(fā)的“震網(wǎng)”病毒感染了全球45000個以上的大型網(wǎng)絡(luò)環(huán)境，其中伊朗60%以上個人電腦被感染^[2]，攻擊者利用這種超級病毒可以篡改工業(yè)基礎(chǔ)設(shè)施運行數(shù)據(jù)，向現(xiàn)場執(zhí)行機構(gòu)發(fā)送破壞指令，從而使工業(yè)基礎(chǔ)設(shè)施癱瘓。該病毒的出現(xiàn)使得布什爾核電站一再推遲發(fā)電計劃，造成伊朗約20%的離心機因感染病毒而失靈甚至是完全報廢。

工業(yè)信息安全事故報告（RISI）披露更多的事故發(fā)生在電力系統(tǒng)、水利系統(tǒng)、能源系統(tǒng)和運輸系統(tǒng)等涉及到工業(yè)控制的其他領(lǐng)域，但無一例外的都由網(wǎng)絡(luò)入侵所致，這些事實表明“震網(wǎng)”事件絕不是個例，國家經(jīng)濟基礎(chǔ)設(shè)施、人民生活保障設(shè)施、國防設(shè)施正在面臨著巨大的威脅。因此，發(fā)生在ICS系統(tǒng)中的攻擊事件和如何避免類似事件的再次發(fā)生開始得到越來越多地關(guān)注。近10年來，許多國家、組織和公司紛紛成立ICS安全機構(gòu)、啟動ICS安全項目、制定ICS安全規(guī)范和標準，建立面向ICS系統(tǒng)的安全防護體系已經(jīng)成為國際工業(yè)領(lǐng)域?qū)＜覀兊墓沧R。

本文將通過介紹現(xiàn)代ICS系統(tǒng)的結(jié)構(gòu)，討論ICS系統(tǒng)自身潛在的風險和可能導致入侵的薄弱環(huán)節(jié)，分析ICS系統(tǒng)發(fā)生安全事故的影響，并結(jié)合國際上現(xiàn)有的安全標準、規(guī)范提出應(yīng)對風險的可行措施。

2　ICS體系結(jié)構(gòu)及安全風險分析

2.1　ICS體系結(jié)構(gòu)發(fā)展
工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)基礎(chǔ)設(shè)施的關(guān)鍵組成部分，廣泛應(yīng)用于電力、水利、能源、運輸、化工等工業(yè)領(lǐng)域，是包含了工業(yè)生產(chǎn)中所使用的多種類型控制系統(tǒng)的總稱，包括監(jiān)控與數(shù)據(jù)采集系統(tǒng)（SCADA）、集散控制系統(tǒng)（DCS）以及可編程邏輯控制器（PLC）等。工業(yè)控制系統(tǒng)的主要功能是將操作站發(fā)出的控制指令和數(shù)據(jù)（如打開或關(guān)閉一個閥門）推送到控制現(xiàn)場執(zhí)行機構(gòu)，同時采集控制現(xiàn)場的狀態(tài)信息反饋給操作站并通過數(shù)字、圖形等形式展現(xiàn)給操作人員。

自從計算機完全替代模擬控制的控制系統(tǒng)出現(xiàn)，工業(yè)控制系統(tǒng)已歷經(jīng)40多年的發(fā)展，在結(jié)構(gòu)上也由最初的集中控制系統(tǒng)發(fā)展到分散、分層控制系統(tǒng)，最終發(fā)展為目前流行的基于現(xiàn)場總線或以太網(wǎng)的控制系統(tǒng)，而工業(yè)控制系統(tǒng)的每一次變革都與計算機系統(tǒng)的發(fā)展有著密切的聯(lián)系。

最初的計算機系統(tǒng)以大型機為主，所有計算和處理任務(wù)都需要匯集到中央主機來完成，因此產(chǎn)生了集中式的直接數(shù)字控制（DDC）系統(tǒng)。到上世紀70年代中期，出現(xiàn)了以微處理器為基礎(chǔ)的分散式控制系統(tǒng)，它以多臺主機共同完成控制，各主機之間通過數(shù)據(jù)通信實現(xiàn)集中管理，因此被稱為集散控制系統(tǒng)（DCS），分散化的控制推動了控制系統(tǒng)網(wǎng)絡(luò)化的發(fā)展。進入上世紀80到90年代以后，由于嵌入式微處理器的出現(xiàn)，現(xiàn)場執(zhí)行機構(gòu)朝智能化方向發(fā)展，具備了數(shù)字通信的能力，人們便將具有統(tǒng)一通信協(xié)議和接口的智能設(shè)備連接起來，這就是現(xiàn)場總線控制系統(tǒng)（FCS），它的出現(xiàn)預(yù)示著控制系統(tǒng)正向網(wǎng)絡(luò)化方向演化。

在工業(yè)控制領(lǐng)域還有一類特殊的需求，它的控制現(xiàn)場區(qū)域分布較為分散，且控制主站與控制對象相距較遠，如城市交通系統(tǒng)、變電站、鐵路運輸系統(tǒng)、輸油和輸氣管道等，這類需求促使了監(jiān)視控制與數(shù)據(jù)采集（SCADA）系統(tǒng)的產(chǎn)生，它可以通過遠程方式對現(xiàn)場的運行設(shè)備進行監(jiān)視和控制，以實現(xiàn)數(shù)據(jù)采集和設(shè)備控制功能。SCADA系統(tǒng)主要由三部分組成，主終端單元、通信系統(tǒng)和遠程終端單元。主終端單元系統(tǒng)采用通用計算機處理現(xiàn)場傳輸過來的監(jiān)控數(shù)據(jù)，使操作人員能夠?qū)崟r地掌控系統(tǒng)的運行狀態(tài)和實施控制指令。遠程終端單元主要完成數(shù)據(jù)采集和通信工作，其通常運轉(zhuǎn)在無人值守的現(xiàn)場環(huán)境之中，其運行狀態(tài)的正確與否，直接影響控制現(xiàn)場執(zhí)行機構(gòu)的運行。通信系統(tǒng)的主要作用是傳輸主終端單元和遠程終端單元通信的指令和數(shù)據(jù)，可基于光纖及電話線、GPRS、微波、衛(wèi)星通信以及3G/4G和互聯(lián)網(wǎng)等方式。

如今企業(yè)構(gòu)建信息化網(wǎng)絡(luò)日漸成熟，將工業(yè)控制現(xiàn)場執(zhí)行機構(gòu)的實時狀態(tài)信息納入全方位的信息化管理、使企業(yè)管理決策科學化是必然的趨勢，信息控制一體化將為實現(xiàn)企業(yè)綜合自動化和企業(yè)信息化創(chuàng)造有利條件。因此，無論是基于工廠范圍的DCS系統(tǒng)還是基于更廣范圍的SCADA系統(tǒng)^[3]，在結(jié)構(gòu)和組織形式上都趨向于與互聯(lián)網(wǎng)相融合，但在為互聯(lián)網(wǎng)和先進的通信技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)而歡呼雀躍的同時，在傳統(tǒng)計算機網(wǎng)絡(luò)上遇到的安全問題，同樣會出現(xiàn)在工業(yè)控制系統(tǒng)中，并直接體現(xiàn)在控制系統(tǒng)執(zhí)行機構(gòu)能否正常運行上，使工業(yè)現(xiàn)場環(huán)境的物理安全面臨更嚴峻的挑戰(zhàn)。

2.2　ICS系統(tǒng)由封閉走向開放

傳統(tǒng)的ICS系統(tǒng)技術(shù)高度專業(yè)、網(wǎng)絡(luò)封閉和協(xié)議私有，與外界從物理上相隔離，很難由外界接入，因此不會受到入侵的威脅。而現(xiàn)代ICS系統(tǒng)如圖1所示，從結(jié)構(gòu)和網(wǎng)絡(luò)架構(gòu)上與IT系統(tǒng)越來越相似，所使用的計算機和網(wǎng)絡(luò)設(shè)備都是通用的，接口的統(tǒng)一使ICS系統(tǒng)和IT系統(tǒng)實現(xiàn)了無縫對接，ARC [10]報告顯示ICS系統(tǒng)普遍存在直接接入互聯(lián)網(wǎng)的事件，包括系統(tǒng)補丁下載、殺毒軟件病毒庫更新，或者通過ICS網(wǎng)絡(luò)進行如電子郵件收發(fā)等辦公活動，ICS系統(tǒng)已經(jīng)不再可能保持其封閉、私有、隔離的特性，因此一些惡意入侵者攻擊可以通過網(wǎng)絡(luò)侵入到ICS系統(tǒng)，實施物理破壞。

圖1 現(xiàn)代ICS系統(tǒng)體系結(jié)構(gòu)

同時，以太網(wǎng)技術(shù)的普及和互聯(lián)網(wǎng)迅猛發(fā)展，越來越多的控制設(shè)備配備了以太網(wǎng)接口，盡管由于歷史原因，各控制系統(tǒng)廠商在通信協(xié)議方面標準不一，但在接口配置方面都預(yù)留了以太網(wǎng)接口，伴隨著工業(yè)以太網(wǎng)技術(shù)的出現(xiàn)，以太網(wǎng)已經(jīng)延伸到了控制現(xiàn)場執(zhí)行機構(gòu)。因此入侵者可以通過多種方式^[9]侵入ICS系統(tǒng)：

（1）通過企業(yè)辦公網(wǎng)接入

企業(yè)辦公網(wǎng)與ICS系統(tǒng)間通常部署有防火墻，入侵者通過反彈、代理、欺騙等手段可以穿透防火墻，最終接入ICS系統(tǒng)。

（2）通過遠程連接方式接入

一些ICS設(shè)備廠商有遠程安裝、維護設(shè)備的需求，遠端PC通過Modem撥號網(wǎng)絡(luò)接入ICS系統(tǒng)，入侵者可以利用弱口令漏洞侵入ICS系統(tǒng)；另一種可能是入侵遠端主機，間接接入ICS系統(tǒng)。

（3）通過“可信任”的連接接入

一些用戶為得到控制系統(tǒng)供應(yīng)商或第三方的遠程服務(wù)支持時，會與其建立“可信任通道”，在使用過程中可能存在未遵循安全策略或第三方廠商缺乏安全管理策略而引入外部入侵。

（4）通過無線通信網(wǎng)絡(luò)接入

ICS系統(tǒng)大量使用無線技術(shù)，允許距離相距較遠的設(shè)備節(jié)點間以集中管理主機作為中繼進行通信，無線網(wǎng)絡(luò)通信的開放性也創(chuàng)造了更多的入侵^[6]和信息竊取的機會。

（5）通過其他公共通信設(shè)施接入

SCADA系統(tǒng)組成部分之一的通信系統(tǒng)，考慮到架設(shè)網(wǎng)絡(luò)的成本，除敏感度極強的系統(tǒng)外，通常都是依靠公共通信設(shè)施來構(gòu)建的，入侵者可以從一些通信中繼點實施對主終端單元或遠程終端單元的入侵。

（6）通過SCADA遠程終端單元接入

一些遠程終端單元部署在較為暴露且無人值守的環(huán)境中，很可能成為入侵者利用的工具和入侵的入口，入侵者可以直接切入到現(xiàn)場層實施破壞。

對于不直接與外界相連的封閉ICS系統(tǒng)，雖然可以免于被直接入侵，但仍可能受到通過可移動存儲設(shè)備、便攜機、手機等途徑傳播的病毒、木馬等惡意軟件的威脅。通過惡意軟件攻擊ICS系統(tǒng)較直接入侵具有更大的隱蔽性，使攻擊者的行蹤不被暴露。

2.3　ICS系統(tǒng)潛在風險分析

在ICS設(shè)計之初，并沒有加入對安防理念的考慮，ICS系統(tǒng)內(nèi)部尤其是執(zhí)行機構(gòu)沒有任何安全防護，所以一旦系統(tǒng)被攻克，受到影響的將是工業(yè)實體設(shè)施，而潛伏在控制系統(tǒng)各個層次中的漏洞隨時都可能被利用，這些漏洞按照運行平臺分為通用平臺漏洞和專有平臺漏洞以及二者之間的通信網(wǎng)絡(luò)漏洞等^[8]三大類。

2.3.1　通用平臺漏洞風險

現(xiàn)代ICS系統(tǒng)應(yīng)用程序、數(shù)據(jù)庫、人機交互接口都從原來的專有平臺轉(zhuǎn)移到了IT通用計算機平臺，操作系統(tǒng)主要是基于Windows和類Unix操作系統(tǒng)（較少使用），因此IT通用計算機普遍存在的風險也被帶到了ICS中來。ICS系統(tǒng)由于其獨特的應(yīng)用性，一些安全風險甚至比IT系統(tǒng)更容易出現(xiàn)，具體表現(xiàn)在以下方面：

（1）不升級導致已知漏洞無法及時修補

由于這些通用平臺不是專為ICS系統(tǒng)而設(shè)計，其不斷的更新可能會對ICS應(yīng)用程序產(chǎn)生未知的影響，因此ICS系統(tǒng)廠商通常建議用戶使用其推薦的軟件版本，用戶在使用時也極少進行操作系統(tǒng)的升級^[4]，導致漏洞無法及時修補而累積漏洞風險。

（2）軟件配置策略風險

ICS系統(tǒng)應(yīng)用程序運行通常需要依賴于第三方提供的軟件、庫、服務(wù)等資源，這些資源在設(shè)計時會按照安全等級的不同，采用不用的配置策略。ICS系統(tǒng)廠商為了能夠?qū)崿F(xiàn)較好的兼容性或僅僅為了方便，有時會使用安全級別較低的配置策略，忽視了這些資源本身設(shè)計上的安全性考慮，因此會暴露出更多的安全問題。

（3）系統(tǒng)和應(yīng)用服務(wù)漏洞

ICS系統(tǒng)為了實現(xiàn)更多的功能、接口等通常需要操作系統(tǒng)提供如Web、數(shù)據(jù)庫、遠程過程調(diào)用（RPC）等服務(wù)。Windows是目前已知漏洞最多的操作系統(tǒng)，在其漏洞爆發(fā)數(shù)量排名前十位的漏洞^[30]中的前四位都是Windows系統(tǒng)服務(wù)漏洞，而其中一些服務(wù)是一般ICS系統(tǒng)應(yīng)用程序所必須依賴的，加之對這些服務(wù)的配置也可能存在問題，可能會增添更多的安全風險。另外，在配置ICS軟件系統(tǒng)時，通常只保證了ICS所需的系統(tǒng)服務(wù)的開啟狀態(tài)，卻沒有將不需要的服務(wù)關(guān)閉，導致一些系統(tǒng)默認開啟的服務(wù)可能成為入侵的后門。

2.3.2　專有平臺漏洞風險

專有平臺是相對于通用平臺而言不能使用通用PC作為平臺的主機或設(shè)備，主要是指控制器和現(xiàn)場智能設(shè)備等控制系統(tǒng)執(zhí)行機構(gòu)，這些設(shè)備采用與PC不同的架構(gòu)，硬件資源有限，且與現(xiàn)場環(huán)境緊密結(jié)合，是ICS系統(tǒng)中最重要也是最易受到攻擊的部分，其存在漏洞將直接暴露給滲透到現(xiàn)場層的入侵者，主要表現(xiàn)在以下方面：

（1）現(xiàn)場設(shè)備資源有限，安全防護能力弱，如控制器一般通過以太網(wǎng)與控制站主機通信，很容易受到基于現(xiàn)場層的拒絕服務(wù)（DoS）等網(wǎng)絡(luò)攻擊，導致負載過重，通信中斷，直接對現(xiàn)場控制產(chǎn)生影響；

（2）一些現(xiàn)場無線設(shè)備的安全，如無線傳感器網(wǎng)絡(luò)，一方面是干擾的問題^[5]、通信擁塞，一些實時性要求較高的無線網(wǎng)絡(luò)設(shè)計很少包含對不可靠通信的容錯以及在通信中斷情況下的本質(zhì)安全問題。對于一些無線網(wǎng)絡(luò)設(shè)備的資源比較有限，電池容量也比較有限，一般不會增加加密等安全措施以節(jié)約耗電；另外，對無線節(jié)點的攻擊也可以采用一些不間斷的偽造通信等形式，使無線節(jié)點的電量耗盡，造成其失效；

（3）入侵者可以從遠端PLC網(wǎng)絡(luò)直接接入現(xiàn)場層網(wǎng)絡(luò)或者通過植入現(xiàn)場層網(wǎng)絡(luò)主機的惡意程序?qū)嵤┚芙^服務(wù)攻擊、欺騙、通信劫持、偽造、篡改數(shù)據(jù)等；也可以向PLC、DCS等控制器直接下發(fā)錯誤指令，使其執(zhí)行錯誤的控制程序甚至故障。

2.3.3　網(wǎng)絡(luò)通信漏洞風險

工業(yè)通信網(wǎng)絡(luò)雖然在原理上基本符合一般計算機或者通信系統(tǒng)的通信原理，但也存在一些特殊性：

（1）ICS系統(tǒng)對數(shù)據(jù)傳輸?shù)膶崟r性極其敏感，因此通信網(wǎng)絡(luò)上的任何干擾都可能產(chǎn)生影響，造成間接破壞；

（2）當前的安全防護能力仍停留在LAN/WAN層面上的防護，對現(xiàn)場設(shè)備通信的防護幾乎沒有涉及，特別是與控制現(xiàn)場執(zhí)行機構(gòu)直接相關(guān)的Modbus、Profibus等現(xiàn)場總線協(xié)議都沒有包含安全特性；

（3）由于現(xiàn)場控制設(shè)備性能的限制和實時性的要求，ICS通信網(wǎng)絡(luò)上數(shù)據(jù)傳輸通常不加密或采用簡單的加密算法，很容易破解，存在信息泄露或數(shù)據(jù)被偽造的風險；

（4）缺少防護的網(wǎng)絡(luò)邊界風險，網(wǎng)絡(luò)邊界包括一切可能接入ICS系統(tǒng)的主機或網(wǎng)絡(luò)設(shè)備，如果不對這些接入設(shè)備加以安全性定義和訪問權(quán)限控制，可能導致攻擊者的直接入侵；

（5）ICS系統(tǒng)各個廠商產(chǎn)品標準不一，每個廠商的產(chǎn)品屬于一個封閉私有系統(tǒng)，其不開源的特性本身如同Windows系統(tǒng)一樣存在很多未知漏洞，由于從未經(jīng)受過網(wǎng)絡(luò)上的安全考驗，這些漏洞不能及時發(fā)現(xiàn)并修復(fù)。

2.4　目前ICS安全防護實施存在的問題

（1）麻痹意識、疏于管理導致安全策略不能有效

實施ICS系統(tǒng)本身具有網(wǎng)絡(luò)分級管理、身份權(quán)限認證或建議安裝第三方安全軟件等基本安全規(guī)則，但維護人員通常因為系統(tǒng)從未出現(xiàn)過問題，而回避風險的存在，認為系統(tǒng)是安全的，如在安全等級不同區(qū)域未加區(qū)分地共享工程文件、部分等級地設(shè)置用戶權(quán)限或設(shè)置弱口令等不規(guī)范的配置管理使入侵者很容易趁亂潛入。

在一些通用防火墻的配置上，由于控制系統(tǒng)工程師IT網(wǎng)絡(luò)知識不足，為了保證系統(tǒng)正常運行，將安全策略配置的級別放寬，導致存在除控制系統(tǒng)正常通信通道之外的其他通路，給入侵者留下了可乘之機。

（2）缺乏ICS系統(tǒng)內(nèi)部安全防范

目前ICS系統(tǒng)安全防護通用的做法是在企業(yè)網(wǎng)和控制系統(tǒng)間添加防火墻或者起到隔離作用的網(wǎng)關(guān)，而防火墻的單設(shè)備防御形式不能對ICS系統(tǒng)網(wǎng)絡(luò)內(nèi)部設(shè)備尤其是控制現(xiàn)場執(zhí)行機構(gòu)產(chǎn)生任何防護，這道防線一旦攻破或者通過其他途徑繞過防火墻，就相當于將ICS系統(tǒng)完全暴露。

從Industrial Security Incident Database^[11]的統(tǒng)計數(shù)據(jù)可以看出，來自企業(yè)內(nèi)部或所謂可信任連接的入侵占據(jù)了入侵總數(shù)的約80%，一個FBI的調(diào)查也顯示企業(yè)內(nèi)部員工直接或間接造成安全事故占總數(shù)的 71%^[12]，說明從企業(yè)內(nèi)部^[7]爆發(fā)的安全威脅應(yīng)該得到更多地重視，需要將網(wǎng)絡(luò)邊界系統(tǒng)和網(wǎng)絡(luò)內(nèi)部的安全防范能力提到同等重要的高度。

（3）現(xiàn)有安全措施無法有效地構(gòu)成防護體系

現(xiàn)有的ICS安全防護較為分散，安防設(shè)備與策略缺少統(tǒng)一規(guī)范、軟件與硬件不能有效配合、ICS系統(tǒng)廠商與安全設(shè)備廠商沒有統(tǒng)一的安全標準接口等，導致通用安全策略無法制定、實施。因此需要構(gòu)建具有通用性、兼容多種工業(yè)協(xié)議、層級間聯(lián)動功能、強化內(nèi)部和邊界安全防護，并能夠在事故發(fā)生后快速組織應(yīng)急響應(yīng)的ICS綜合安全體系。

（4）試圖通過協(xié)議私有化實現(xiàn)“隱性的安全”

工業(yè)控制系統(tǒng)廠商曾一度認為工業(yè)控制通信協(xié)議如果是私有和專用的，入侵者沒有足夠的知識和能力實施入侵，控制系統(tǒng)便實現(xiàn)了“隱性的安全”，而今一些“感興趣的專家”可以通過破解、竊取等方式獲取內(nèi)部技術(shù)資料，使這些系統(tǒng)便直接暴露在威脅之下；而且隨著工業(yè)控制技術(shù)的開放化和標準化，這類安全日益失去了作用，如果不對其進行有效地防護，入侵者就可以通過企業(yè)網(wǎng)絡(luò)和通信系統(tǒng)侵入到工業(yè)控制網(wǎng)絡(luò)。

（5）將IT網(wǎng)絡(luò)安全措施直接應(yīng)用到ICSIT網(wǎng)絡(luò)具有通用性和統(tǒng)一性，已基本形成了完善的安全防御體系，包括軟硬件相結(jié)合的安全策略，從多方面對網(wǎng)絡(luò)內(nèi)個人主機或服務(wù)器的數(shù)據(jù)進行保護，而ICS系統(tǒng)的核心是控制現(xiàn)場執(zhí)行機構(gòu)和工業(yè)生產(chǎn)過程，其中存在具有強大破壞力的能量（電力、石油、天然氣等）或物質(zhì)（有毒化工原料、放射性物質(zhì)等），一旦失控就可能造成巨大的財產(chǎn)損失甚至人員傷亡，因此需要安全等級更高的防護；而且ICS系統(tǒng)中各種控制器和執(zhí)行機構(gòu)不同于通用計算機，也很難形成通用的設(shè)備安全防護手段；另外，IT網(wǎng)絡(luò)的通信協(xié)議是統(tǒng)一標準的TCP/IP協(xié)議族，而ICS系統(tǒng)通信標準各異，有些協(xié)議甚至是私有協(xié)議，因此也無法統(tǒng)一安防標準。

雖然以太網(wǎng)和TCP/IP技術(shù)應(yīng)用于工業(yè)領(lǐng)域可以大大節(jié)約成本，并且提供了可以與IT網(wǎng)絡(luò)互聯(lián)的接口，但是它的設(shè)計理念與工業(yè)的需求是截然不同的^[13]，在硬件、操作系統(tǒng)和應(yīng)用軟件上都有很大差異，將IT安全策略應(yīng)用到ICS系統(tǒng)非但不能起到保護作用，還可能影響到ICS系統(tǒng)的正常運作。所以IT網(wǎng)絡(luò)安全防護策略不能直接應(yīng)用于ICS系統(tǒng)^[14][15][16]，考慮到工業(yè)控制的實時性、高可靠性、專有性等特殊需求^[17]，必須開發(fā)出專門針對ICS系統(tǒng)的安全防護解決方案。

3　國外ICS安防發(fā)展現(xiàn)狀

自從上世紀末、本世紀初開始，ICS安全問題就引起了國際上的廣泛關(guān)注，以美國為代表的政府、組織正在采取積極行動，應(yīng)對ICS系統(tǒng)安全風險。

3.1　美國政府機構(gòu)公布的ICS安全法規(guī)及安防項目

（1）美國負責發(fā)展控制系統(tǒng)安全防護的能源部（Department of Energy）能源保證辦公室（Energy Assurance Office）在2003年公布了“改進控制系統(tǒng)信息安全的21個步驟”報告^[18]，供各控制系統(tǒng)運營商參考應(yīng)用，其中貫穿并整合了21個步驟的核心內(nèi)容就是“建立一個嚴謹并持續(xù)進行的風險管理程序”，主要包括認識系統(tǒng)威脅所在、了解所能承受的風險范圍、衡量系統(tǒng)風險、根據(jù)需求分析測試系統(tǒng)、確認風險在可接受范圍等。

（2）2010年7月，美國安全局（NSA）正式實施一個名為“完美公民”的計劃^[19]，重點基礎(chǔ)設(shè)施的控制系統(tǒng)網(wǎng)絡(luò)中部署一系列的傳感器，以監(jiān)測對經(jīng)營如核電站等重點基礎(chǔ)設(shè)施的私有企業(yè)和國家機構(gòu)的網(wǎng)絡(luò)襲擊。如果有公司要求對其受到的網(wǎng)絡(luò)襲擊進行調(diào)查時，“完美公民”計劃可以提供相關(guān)監(jiān)測數(shù)據(jù)。

（3）隸屬于美國國土安全部（DHS）的計算機應(yīng)急準備小組（US-CERT）正開展著一個“美國控制系統(tǒng)安全項目—Control System Security Program（CSSP）”^[20]，針對所有國家重要基礎(chǔ)中的控制系統(tǒng)，協(xié)調(diào)中央和地方政府、系統(tǒng)制造商、使用者進行ICS安全方面的合作，提出了“縱深防御策略 （Defense-in-depth）” ^[21]，制定了指導相關(guān)組織建設(shè)更安全的ICS系統(tǒng)的標準和參考。

（4）美國商務(wù)部通過其下的美國標準與技術(shù)研究所（NIST）制定了“工業(yè)控制系統(tǒng)防護概況”、“工業(yè)控制系統(tǒng)IT安全”^[22]等一系列安全防護標準、規(guī)范，從ICS系統(tǒng)漏洞、風險、評估、防護等多個方面對安全防護體系都做了詳細敘述。

3.2　ICS安防標準

（1）在ICS安防標準研究方面，國際電工委員會IEC（International Electronical Commission）與儀器系統(tǒng)與自動化協(xié)會ISA（Instrumentation, Systems and Automation Society）合作，積極研究ICS安防國際標準ANSI/ISA-99 ^[23]。該標準作為建立控制系統(tǒng)安全防護體系的依據(jù)，定義了控制系統(tǒng)的安全生命周期模型，包含定義風險目標和評估系統(tǒng)、設(shè)計和選擇安全對策等項目，提出了區(qū)級安全的概念。

（2）IEC 62351^[24]是由國際電工委員會制定的多重標準，全名是“電力系統(tǒng)管理及關(guān)聯(lián)的信息交換-數(shù)據(jù)和通信安全性”（Power systems management and associated information exchange – Data andcommunications security），主要包括TCP/IP平臺的安全性規(guī)范、TLS加密提供的保密性和完整性、對等通信平臺的安全性、基于角色的訪問控制等多方面內(nèi)容，IEC 62351中所采用的主要安全機制包括數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)、信息摘要技術(shù)等，當有新的更加安全可靠的技術(shù)和算法出現(xiàn)時，也將引入到該標準中來。

（3）德國西門子針對PCS7/WinCC系統(tǒng)制定了“安全概念白皮書”^[25]，作為指導西門子產(chǎn)品的用戶部署安全工業(yè)網(wǎng)絡(luò)的建議，主要內(nèi)容包括理解安全概念信息、安全戰(zhàn)略和原則、安全戰(zhàn)略實施解決方案等，與一些國際標準不同的是，這份白皮書結(jié)合了西門子ICS產(chǎn)品，提出了具體可行安全實施方案。

（4）日本橫河電機的控制系統(tǒng)安全標準^[26]，重點規(guī)范針對橫河的ICS產(chǎn)品安全對策，可用于保護控制系統(tǒng)免受威脅，降低生產(chǎn)活動相關(guān)資產(chǎn)的安全風險，標準中的風險和措施在廣義的解釋上都引用了行業(yè)通用的安全技術(shù)和標準模型，并通過其他相關(guān)文件詳細描述了每個產(chǎn)品安全防護的執(zhí)行程序。

4　ICS實施安防可行性及關(guān)鍵策略

ICS系統(tǒng)安全防護策略可以概括為管理制度、業(yè)務(wù)程序和技術(shù)分析及產(chǎn)品三個層面。

4.1　將ICS安全防護作為戰(zhàn)略發(fā)展

國際現(xiàn)有研究成果為我國工業(yè)控制安全防護提供良好的范例，針對我國工業(yè)控制發(fā)展國情，實施安全防護策略體系需要從以下幾個方向著手：

（1）轉(zhuǎn)變ICS系統(tǒng)安全觀念意識，完善安全策略和流程，加強工控領(lǐng)域人員的安全培訓，提高安全意識和能力；

（2）形成ICS系統(tǒng)安全產(chǎn)業(yè)，從政策上重視，把安全作為一種生產(chǎn)服務(wù)，納入到生產(chǎn)服務(wù)行業(yè)；

（3）制定相應(yīng)法規(guī)、規(guī)范，并制定全行業(yè)的安全標準，提升進入市場的工控產(chǎn)品和安全產(chǎn)品的安全規(guī)格；

（4）制定具體到各個工業(yè)領(lǐng)域的安全策略。ICS系統(tǒng)在各個行業(yè)的不同應(yīng)用，需要分別制定相適應(yīng)的安全策略，以滿足自身行業(yè)和監(jiān)管環(huán)境的需求。

4.2　ICS安全防護體系重點內(nèi)容

（1）物理環(huán)境安全防護^[27]

主要包括物理環(huán)境有形資產(chǎn)不受損壞、誤用或盜竊等，物理環(huán)境邊界的訪問控制和監(jiān)視確保只有授權(quán)人員才允許訪問控制系統(tǒng)現(xiàn)場設(shè)備，從實體和策略兩方面保證物理環(huán)境資產(chǎn)安全。

（2）系統(tǒng)通信安全

系統(tǒng)通信保障包括采取保護控制系統(tǒng)和系統(tǒng)組件之間的通信聯(lián)系，將其與潛在的網(wǎng)絡(luò)攻擊路徑做物理或邏輯上的隔離。

（3）系統(tǒng)的開發(fā)與防護

通過持續(xù)改善控制系統(tǒng)設(shè)計規(guī)格來提高安全性是最為有效的，不僅包含系統(tǒng)功能上的優(yōu)化策略，整個系統(tǒng)生命周期的有效維護策略、使用過程中的配置及可操作性策略等都應(yīng)在設(shè)計時考慮到其中。

（4）訪問控制

訪問控制的重點是確保資源只允許被正確識別的適當?shù)娜藛T和設(shè)備訪問，訪問控制的第一步是創(chuàng)建分等級的訪問權(quán)限的人員和設(shè)備訪問控制列表，接下來是實現(xiàn)安全機制使控制列表生效。

（5）風險管理評估

風險管理是確保過程和控制系統(tǒng)安全的技術(shù)手段，重點討論風險和系統(tǒng)漏洞的關(guān)鍵環(huán)節(jié)。其中重要的一點是識別風險和安全措施分類，監(jiān)視控制系統(tǒng)安全防護的執(zhí)行情況，將風險限定在一個可控制的范圍內(nèi)。組織實施風險評估程序，將資產(chǎn)劃分成不同安全等級，確定潛在的威脅和漏洞，確保能夠?qū)Σ煌燃壍馁Y產(chǎn)實施充分的防護。

（6）審計與問責

定期審計ICS系統(tǒng)必須實施的安全防護機制，審查和檢驗系統(tǒng)的記錄和活動，以確定系統(tǒng)的安全控制措施是否得當，并確保其符合既定的安全策略和程序。

（7）系統(tǒng)安全防護分析技術(shù)

對ICS系統(tǒng)的軟硬件進行漏洞辨識與分析，特別要針對控制現(xiàn)場設(shè)備的安防分析，包含安全系統(tǒng)漏洞分析、計算機信息系統(tǒng)漏洞分析、軟件需求規(guī)格漏洞分析、代碼漏洞分析等。

（8）突發(fā)事件應(yīng)急響應(yīng)^[29]

建立突發(fā)事件應(yīng)急響應(yīng)團隊，長期跟蹤控制現(xiàn)場執(zhí)行機構(gòu)運行狀態(tài)及行為，定期發(fā)布狀態(tài)報告；規(guī)范突發(fā)事件管理和檢測機制，能從突發(fā)事件中迅速恢復(fù)；突發(fā)事件事后分析與預(yù)測，數(shù)據(jù)收集與總結(jié)，避免再次發(fā)生類似事件；啟動數(shù)據(jù)追蹤機制，持續(xù)追蹤ICS系統(tǒng)安全突發(fā)事件，包括攻擊事件和偶然性事件。

4.3　ICS產(chǎn)品安全性保障

（1）開發(fā)ICS系統(tǒng)安全防護產(chǎn)品

包括軟硬件等一系列分布式的安全設(shè)備集群，開發(fā)出擁有自主知識產(chǎn)權(quán)的創(chuàng)新性產(chǎn)品，全方位保證ICS系統(tǒng)特別是控制現(xiàn)場的安全；ICS系統(tǒng)安全防護產(chǎn)品在選擇、認證、管制上應(yīng)按照共同標準的原則，由國家制定統(tǒng)一的行業(yè)認證標準并由專業(yè)機構(gòu)進行認證通過后，方可進入市場。

（2）對ICS系統(tǒng)控制產(chǎn)品本身的安全性加以規(guī)范

在ICS系統(tǒng)的開發(fā)過程中加入安全性考慮，增強系統(tǒng)最末端的安全防護，如軟硬件的自我防護與恢復(fù)，開發(fā)更安全的協(xié)議，測試階段增加安全性測試，集成異常狀態(tài)告警模塊、安全鎖和動態(tài)加密等功能。

建立國家級ICS安全評估體系和ICS安全測試與評估實驗室，針對我國基礎(chǔ)設(shè)施安全性要求，建立ICS安全評估標準體系和標準，包括ICS軟、硬件產(chǎn)品安全性評估標準體系，ICS產(chǎn)品供應(yīng)與采購安全性評估標準體系，ICS維護安全性評估以及ICS安全防護體系評估等。

（3）研究并設(shè)計一套主動防護技術(shù)方案主動防護技術(shù)利用內(nèi)嵌在網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全組件對終端系統(tǒng)在訪問核心網(wǎng)絡(luò)之前進行識別和控合ICS系統(tǒng)自身的特點，建立起從人員到設(shè)備、從規(guī)范制，并觸發(fā)終端系統(tǒng)的可信性評估、評價機制，該機到產(chǎn)品、從評估到防范、從策略到標準，與控制系統(tǒng)一制可以識別終端系統(tǒng)的軟硬件“指紋”來確定其使用體化的工業(yè)安全體系，將現(xiàn)代網(wǎng)絡(luò)安全的設(shè)計理念融入系統(tǒng)的安全性及漏洞所在，并判斷其是否存在或?qū)儆诘娇刂葡到y(tǒng)的設(shè)計當中，使ICS系統(tǒng)從一個高危實體轉(zhuǎn)威脅，或是傳播威脅的媒介，劃分到具體的威脅類別變成為一個概念上安全的信息化系統(tǒng)，把保護過程控制后，主動對其實施預(yù)定的安全策略。

5　結(jié)語

如何提高已建成ICS系統(tǒng)的安全防護能力和如何設(shè)計并建立新的安全ICS系統(tǒng)是目前需要面對的兩大挑戰(zhàn)，是需要工業(yè)控制領(lǐng)域、網(wǎng)絡(luò)信息安全領(lǐng)域、計算機技術(shù)領(lǐng)域多方合作，共同完成的使命。ICS系統(tǒng)安全是一個不斷迭代的過程，要吸取IT網(wǎng)絡(luò)安全的經(jīng)驗，結(jié)合ICS系統(tǒng)自身的特點，建立起從人員到設(shè)備、從規(guī)范到產(chǎn)品、從評估到防范、從策略到標準，與控制系統(tǒng)一體化的工業(yè)安全體系，將現(xiàn)代網(wǎng)絡(luò)安全的設(shè)計理念融入到控制系統(tǒng)的設(shè)計當中，使ICS系統(tǒng)從一個高危實體轉(zhuǎn)變成為一個概念上安全的信息化系統(tǒng)，把保護過程控制和業(yè)務(wù)通信的網(wǎng)絡(luò)環(huán)境作為一個戰(zhàn)略性要求，并將對ICS系統(tǒng)的安全防護納入到工業(yè)生產(chǎn)服務(wù)體系中，順應(yīng)“十三五”規(guī)劃經(jīng)濟增長方式轉(zhuǎn)型的要求。

作者簡介

王　迎（1981-），男，工程師，現(xiàn)就職于浙江國利網(wǎng)安科技有限公司，主要研究方向為工控安全。

許劍新（1984-），男，博士，現(xiàn)就職于浙江國利網(wǎng)安科技有限公司，主要研究方向為工控安全。

參考文獻：

[1] Security Incidents Organization Releases Annual Report on Industrial Control System Malware Incidents [EB/OL]. https://www.prnewswire.com/news-releases/ security-incidents-organization-releases-annual-report-on-industrial-control-system-malware-incidents-117313363. html.

[2] Wikipedia. Stuxnet [EB/OL]. http://en.wikipedia.org /wiki /Stuxnet.

[3] Mariana Hentea. Improving Security for SCADA Control Systems[J]. Interdisciplinary Journal of Information Knowledge & Management, 2008, ( 3 ) : 73 – 86.

[4] Manuel Cheminod, Luca Durante, Adriano Valenzano. Review of Security Issues in Industrial Networks[J]. IEEE Transactions on Industrial Informatics, 2013, 9 ( 1 ) : 277 - 293.

[5] Dzung, Martin Naedele, Thomas P. Von Hoff, Mario Crevatin. Security for Industrial Communication Systems[J]. Proceedings of the IEEE, 2005, 93 ( 6 ) : 1152 – 1177.

[6] Leszczyna, R. Approaching secure industrial control systems[J]. IET Information Security, 2014, 9 ( 1 ) : 81 – 89.

[7] Lawrence A. Gordon, Martin P. Loeb, William Lucyshyn, Robert Richardson. CSI/FBI Computer Crime and Security Survey[R], San Francisco : Computer Security Institute, 2003.

[8] Department of Homeland Security. Common Cyber Security Vulnerabilities Observed in DHS Industrial Control Systems Assessments[Z].

[9] Eric Byres, David Leversage, Nate Kube. Security incidents and trends in SCADA and process industries[J]. THE INDUSTRIAL ETHERNETBOOK, 2007, 406.

[10] Kim, S. J., Cho, D. E., Yeo, S. S. Secure model against APT in m-connected SCADA network[J]. International Journal of Distributed Sensor Networks, 2014.

[11] Eric Byres, David Leversage. The Industrial Security Incident Database[J]. 2006.

[12] T. Stephanou. Assessing and exploiting the internal security of an organization[R], SANS Institute, 2001.

[13] E.J. Byres, J. Lowe. The Myths and Facts behind Cyber Security Risks for Industrial Control Systems[D]. Berlin : VDE Congress, 2004.

[14] Eric J. Byres, P. Eng. Lantzville. Cyber Security And The Pipeline Control System[J], Pipeline & Gas Journal, 2009.

[15] Eric Byres. Why IT Security Doesn't Work on the Plant Floor[M]. British : British Columbia Institute of Technology.

[16] Vollmer, T., Manic, M., Linda, O. Autonomic Intelligent Cyber-Sensor to Support Industrial Control Network Awareness[J]. IEEE Transactions on Industrial Informatics, 2014, 10 ( 2 ) : 1647 - 1658.

[17] K. Stouffer, J. Falco, K. Scarfone. Guide to industrial control systems (ICS) security[R]. U.S. : National Institute of Standards and Technology, 2008.

[18] Office of Energy Assurance. 21 steps to improve cyber security of SCADA networks[R]. U.S. : Dept. of Energy, USA, 2003.

[19] Siobhan Gorman. U.S. Plans Cyber Shield for Utilities, Companies [EB/OL]. http://online.wsj.com/article/SB10001424052748704545004575352983850463108. html, 2010.

[20] Homeland Security. Catalog of Systems Security: Recommendation for Standards Developers [EB/OL]. http://www.us-cert.gov/control_systems/index.htm, 2011.

[21] Kuipers, D., Fabro, M. Control Systems Cyber Security: Defense in Depth Strategies[R]. U.S. : Idaho National Laboratory, 2006.

[22] NIST Industrial Control System Security Activities [EB/OL]. http://www.isd.mel.nist.gov/projects/processcontrol/.

[23] IEC/TS 62443 – 1 – 2008, Industrial communication networks – Network and system security[S].

[24] IEC 62351 – 1 – 2005, Data and Communication Security, Introduction and Overview[S].

[25] Siemens Corporation. Security concept PCS 7 and WinCC - Basic document Whitepaper[Z].

[26] Yokogawa Electric Corporation. Yokogawa Security Standard of System (4th Edition) [Z].

[27] Department of Homeland Security. Catalog of Control Systems Security - Recommendations for Standards Developers[Z].

[28] Oleg Sheyner, Joshua Haines, Somesh Jha. Automated generation and analysis of attack graphs[J]. IEEE Symposium on Security & Privacy, 2002, 273 – 284.

[29] Department of Homeland Security. Recommended Practice: Developing an Industrial Control Systems Cybersecurity Incident Response Capability[Z].

[30] Top 10 Windows 10 Vulnerabilities and How to Fix Them [EB/OL]. https://www.upguard.com/articles/top-10-windows-10-security-vulnerabilities-and-how-to-fix-them.

摘自《工業(yè)控制系統(tǒng)信息安全?？ǖ谖遢嫞?/span>