工業(yè)控制系統(tǒng)：打破“信息孤島”，還需安全先行

何志鵬

在工業(yè)生產(chǎn)環(huán)節(jié)，過(guò)程生產(chǎn)連續(xù)不可間斷的高可靠性，要求控制網(wǎng)絡(luò)具備更高的安全性。

工業(yè)控制系統(tǒng)（Industrial Control Systems， ICS），是由各種自動(dòng)化控制組件和實(shí)時(shí)數(shù)據(jù)采集、監(jiān)測(cè)的過(guò)程控制組件共同構(gòu)成。其組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠(yuǎn)程終端（RTU）、智能電子設(shè)備（IED），以及確保各組件通信的接口技術(shù)。廣泛運(yùn)用于石油、石化、冶金、電力、燃?xì)?、煤礦、煙草以及市政等領(lǐng)域，用于控制關(guān)鍵生產(chǎn)設(shè)備的運(yùn)行。

一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞，將對(duì)工業(yè)生產(chǎn)運(yùn)行和國(guó)家經(jīng)濟(jì)安全造成重大隱患。在一般信息化系統(tǒng)里可以存在安全漏洞，不斷有新的補(bǔ)丁出現(xiàn)，計(jì)算機(jī)可能會(huì)死機(jī)、暫停，而這些如果發(fā)生在控制網(wǎng)絡(luò)里，帶來(lái)的危險(xiǎn)和影響幾乎是不可想象的。

獨(dú)特的工業(yè)控制系統(tǒng)安全

工業(yè)控制系統(tǒng)與傳統(tǒng)的信息系統(tǒng)安全存在一些差別。在制定工業(yè)控制系統(tǒng)的安全方案時(shí)，無(wú)法回避工業(yè)控制系統(tǒng)的一系列特殊性要求：性能要求方面工業(yè)控制系統(tǒng)相對(duì)一般信息系統(tǒng)要求實(shí)時(shí)性要求較高，吞吐量通常不會(huì)過(guò)大，無(wú)法接受相對(duì)較高的延遲及抖動(dòng)；可用性方面來(lái)講，類似重新啟動(dòng)這樣的響應(yīng)通常是無(wú)法接受的。一般都要求冗余系統(tǒng)，斷電操作要提前若干天來(lái)進(jìn)行計(jì)劃。針對(duì)可用性一般需要通過(guò)高可用性測(cè)試后的系統(tǒng)才會(huì)上線運(yùn)行；風(fēng)險(xiǎn)管控方面，最需要保護(hù)的不再是數(shù)據(jù)安全而是人身安全以及生成過(guò)程。對(duì)于機(jī)器故障和停機(jī)是無(wú)法接受的風(fēng)險(xiǎn)；工業(yè)控制系統(tǒng)的操作系統(tǒng)種類較多或?qū)Ｓ?，通常沒(méi)有內(nèi)在的信息安全能力。要對(duì)系統(tǒng)進(jìn)行修改需要非常謹(jǐn)慎；工業(yè)控制協(xié)同存在較多的專用協(xié)議，并且這些協(xié)議運(yùn)行在更加復(fù)雜的網(wǎng)絡(luò)環(huán)境之下。

為滿足可用性而犧牲安全，是目前工業(yè)控制系統(tǒng)存在的主要現(xiàn)狀，沒(méi)有切實(shí)可行的安全策略與管理流程也給工業(yè)控制系統(tǒng)的信息安全帶來(lái)了一定的威脅。主要表現(xiàn)在對(duì)系統(tǒng)的設(shè)計(jì)本事就缺發(fā)整體架構(gòu)、沒(méi)有配套的安全策略和流程、缺乏專業(yè)的安全培訓(xùn)。

病毒的泛濫是目前信息安全的首要問(wèn)題。我國(guó)的信息化系統(tǒng)，長(zhǎng)期面臨大規(guī)模的病毒爆發(fā)的考驗(yàn)。目前全球已發(fā)現(xiàn)數(shù)萬(wàn)種病毒，并且還在以每天數(shù)十余種的速度增長(zhǎng)。除了傳統(tǒng)意義上的具有自我復(fù)制能力但必須寄生在其它實(shí)用程序中的病毒外，各種新型的惡意代碼也層出不窮，如陷阱門(mén)、邏輯炸彈、特洛伊木馬、蠕蟲(chóng)、Zombie等。新型的惡意代碼具有更強(qiáng)的傳播能力和破壞性。例如蠕蟲(chóng)，從廣義定義來(lái)說(shuō)也是一種病毒，但和傳統(tǒng)病毒相比最大不同在于自我復(fù)制過(guò)程。隨著工業(yè)信息系統(tǒng)的互聯(lián)互通病毒或惡意代碼的傳播將成為最主要的安全威脅。

由于Windows平臺(tái)的技術(shù)架構(gòu)現(xiàn)廣泛應(yīng)用于控制系統(tǒng)的工程師站。而在工業(yè)控制系統(tǒng)中，工程師站是實(shí)現(xiàn)與上層應(yīng)用通信的主要網(wǎng)絡(luò)結(jié)點(diǎn)，因此其操作系統(tǒng)的漏洞就成為了整個(gè)控制網(wǎng)絡(luò)信息安全中的一個(gè)定時(shí)炸彈。

隨著TCP（UDP）/IP協(xié)議被控制網(wǎng)絡(luò)普遍采用，網(wǎng)絡(luò)通信協(xié)議漏洞問(wèn)題變得越來(lái)越突出。TCP/IP協(xié)議簇最初設(shè)計(jì)的應(yīng)用環(huán)境是美國(guó)國(guó)防系統(tǒng)的內(nèi)部網(wǎng)絡(luò)，這一網(wǎng)絡(luò)是互相信任的，因此它原本只考慮互通互聯(lián)和資源共享的問(wèn)題，并未考慮也無(wú)法兼容解決來(lái)自網(wǎng)絡(luò)中和網(wǎng)際間的大量安全問(wèn)題。當(dāng)其推廣到社會(huì)的應(yīng)用環(huán)境后，安全問(wèn)題發(fā)生了。所以說(shuō)，TCP/IP在先天上就存在著致命的安全漏洞。

工業(yè)控制系統(tǒng)安全策略

應(yīng)用系統(tǒng)軟件應(yīng)當(dāng)使用白名單技術(shù)，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行。對(duì)各類軟件進(jìn)行充分的離線測(cè)試，確保其最小范圍的開(kāi)放應(yīng)用端口。

日常完善工業(yè)控制系統(tǒng)中各類設(shè)備的的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進(jìn)行配置審計(jì)。對(duì)配置變更需要進(jìn)行影響分析，進(jìn)行配置變更前需要進(jìn)行安全測(cè)試。密切關(guān)注重大工控安全漏洞及其補(bǔ)丁發(fā)布，及時(shí)采取補(bǔ)丁升級(jí)措施。在補(bǔ)丁安裝前，需對(duì)補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證。

通過(guò)工業(yè)防火墻、網(wǎng)閘等防護(hù)設(shè)備對(duì)工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進(jìn)行邏輯隔離安全防護(hù)。

對(duì)重要工程師站、數(shù)據(jù)庫(kù)、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問(wèn)控制、視頻監(jiān)控、專人值守等物理安全防護(hù)措施。拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無(wú)線等接口。若確需使用，通過(guò)主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問(wèn)控制。

在工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問(wèn)、工業(yè)云平臺(tái)訪問(wèn)等過(guò)程中使用身份認(rèn)證管理。對(duì)于關(guān)鍵設(shè)備、系統(tǒng)和平臺(tái)的訪問(wèn)采用多因素認(rèn)證。合理分類設(shè)置賬戶權(quán)限，以最小特權(quán)原則分配賬戶權(quán)限。強(qiáng)化工業(yè)控制設(shè)備、SCADA軟件、工業(yè)通信設(shè)備等的登錄賬戶及密碼，避免使用默認(rèn)口令或弱口令，定期更新口令。加強(qiáng)對(duì)身份認(rèn)證證書(shū)信息保護(hù)力度，禁止在不同系統(tǒng)和網(wǎng)絡(luò)環(huán)境下共享。

嚴(yán)格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開(kāi)通HTTP、FTP、Telnet等高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)。確需遠(yuǎn)程訪問(wèn)的，采用數(shù)據(jù)單向訪問(wèn)控制等策略進(jìn)行安全加固，對(duì)訪問(wèn)時(shí)限進(jìn)行控制，并采用加標(biāo)鎖定策略。確需遠(yuǎn)程維護(hù)的，采用虛擬專用網(wǎng)絡(luò)（VPN）等遠(yuǎn)程接入方式進(jìn)行保留工業(yè)控制系統(tǒng)的相關(guān)訪問(wèn)日志，并對(duì)操作過(guò)程進(jìn)行安全審計(jì)。

在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備，及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為。在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測(cè)功能的防護(hù)設(shè)備，限制違法操作。

制定工控安全事件應(yīng)急響應(yīng)預(yù)案，當(dāng)遭受安全威脅導(dǎo)致工業(yè)控制系統(tǒng)出現(xiàn)異?；蚬收蠒r(shí)，應(yīng)立即采取緊急防護(hù)措施，防止事態(tài)擴(kuò)大，定期對(duì)工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進(jìn)行演練，必要時(shí)對(duì)應(yīng)急響應(yīng)預(yù)案進(jìn)行修訂。

對(duì)靜態(tài)存儲(chǔ)和動(dòng)態(tài)傳輸過(guò)程中的數(shù)據(jù)應(yīng)當(dāng)進(jìn)行保護(hù)，根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)數(shù)據(jù)信息進(jìn)行分級(jí)分類管理。對(duì)于關(guān)鍵業(yè)務(wù)數(shù)據(jù)應(yīng)當(dāng)定期備份，對(duì)測(cè)試數(shù)據(jù)進(jìn)行保護(hù)。endprint