工業(yè)控制系統(tǒng)信息安全研究綜述

魏 祺

（華北電力大學(xué) 控制與計(jì)算機(jī)工程學(xué)院，北京 102206）

0 引 言

隨著工業(yè)化和信息化的飛速發(fā)展，互聯(lián)網(wǎng)技術(shù)越來(lái)越多地應(yīng)用于工業(yè)化生產(chǎn)。工業(yè)控制系統(tǒng)（Industrial Control Systems，ICS）已經(jīng)成為電力、水利、石油化工、冶金、航空航天及交通運(yùn)輸?shù)刃袠I(yè)的基石，其中大部分涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施（如鐵路運(yùn)輸、城市軌道交通、供排水等）都依靠工業(yè)控制系統(tǒng)實(shí)現(xiàn)自動(dòng)化作業(yè)。為了適應(yīng)當(dāng)前工業(yè)控制領(lǐng)域的要求，提高工廠和企業(yè)管理的效率，過(guò)去物理隔離的工業(yè)控制系統(tǒng)正在越來(lái)越多地通過(guò)各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接。現(xiàn)在，工業(yè)控制系統(tǒng)正趨于使用通用的操作系統(tǒng)、通信協(xié)議、硬件和軟件、網(wǎng)絡(luò)互聯(lián)和無(wú)線設(shè)備等新興技術(shù)的發(fā)展，拓寬其發(fā)展空間，同時(shí)帶來(lái)了信息安全方面的問(wèn)題。

1 工業(yè)控制系統(tǒng)安全現(xiàn)狀

根據(jù)工業(yè)安全事件信息庫(kù)（Repository of Industrial Security Incidents，RISI）的統(tǒng)計(jì)，截止2011年10月，全球已經(jīng)發(fā)生的針對(duì)工業(yè)控制系統(tǒng)的重大攻擊事件的數(shù)量超過(guò)200起。2015年以來(lái)，我國(guó)每年發(fā)生的工業(yè)領(lǐng)域信息安全事件接近300起。典型的工業(yè)控制系統(tǒng)入侵事件出現(xiàn)在能源、電力、水利、交通運(yùn)輸以及制造等行業(yè)。以下是各行業(yè)典型的工業(yè)控制系統(tǒng)入侵事件[1]。

2010年6月，伊朗Bushehr核電站遭受震網(wǎng)（Stuxnet）超級(jí)病毒攻擊，大量生產(chǎn)核燃料使用的離心機(jī)遭到破壞，病毒的復(fù)雜程度超出人們的想象，已經(jīng)嚴(yán)重威脅其核反應(yīng)堆的安全運(yùn)營(yíng)，伊朗被迫推遲其核計(jì)劃。

2014年12月，德國(guó)一家鋼鐵廠遭受高級(jí)持續(xù)性威脅（APT）網(wǎng)絡(luò)攻擊，攻擊者的行為導(dǎo)致該鋼鐵廠工業(yè)控制系統(tǒng)的控制組件和整個(gè)生產(chǎn)線被迫停止運(yùn)轉(zhuǎn)，造成重大破壞。

2015年6月，波蘭航空公司的地面操作系統(tǒng)遭遇黑客攻擊，黑客通過(guò)網(wǎng)絡(luò)攻擊侵入了地面操作系統(tǒng)中的航班出港系統(tǒng)。該攻擊導(dǎo)致長(zhǎng)達(dá)5 h的系統(tǒng)癱瘓，至少10個(gè)班次的航班被取消，1 400多名乘客滯留機(jī)場(chǎng)。

工業(yè)控制系統(tǒng)信息安全的威脅主要來(lái)自敵對(duì)因素、偶然因素、系統(tǒng)因素以及環(huán)境和自然因素。敵對(duì)因素主要是來(lái)自內(nèi)部或外部的個(gè)體、專門組織或政府，通常采用包括黑客攻擊、數(shù)據(jù)操縱、間諜、病毒、蠕蟲、木馬和僵尸網(wǎng)絡(luò)等進(jìn)行攻擊。偶然因素主要是來(lái)自內(nèi)部或外部的專業(yè)人員、運(yùn)行維護(hù)人員或管理員。由于技術(shù)水平的局限性和經(jīng)驗(yàn)的不足，這些人員可能會(huì)出現(xiàn)各種意想不到的操作失誤。系統(tǒng)因素主要是來(lái)自系統(tǒng)設(shè)備、安裝環(huán)境和運(yùn)行軟件，如部件老化、資源不足或其他情況，造成系統(tǒng)設(shè)備故障、安裝環(huán)境失控及軟件故障。環(huán)境和自然因素主要是來(lái)自自然或人為災(zāi)害、非正常的自然事件（如太陽(yáng)黑子、臺(tái)風(fēng)等）和基礎(chǔ)設(shè)施破壞。

2 工業(yè)控制系統(tǒng)安全獨(dú)特性

2.1 工業(yè)控制系統(tǒng)與IT系統(tǒng)的區(qū)別

工業(yè)控制系統(tǒng)與傳統(tǒng)IT（信息技術(shù)）系統(tǒng)之間的區(qū)別是工業(yè)控制系統(tǒng)信息安全研究的基礎(chǔ)和前提。從信息安全目標(biāo)這一根本原則來(lái)看，傳統(tǒng)的CIA（機(jī)密性、完整性和可用性）優(yōu)先級(jí)順序已不再適用于工業(yè)控制系統(tǒng)。工業(yè)控制系統(tǒng)的安全目標(biāo)優(yōu)先級(jí)順序正好與之相反，即遵循AIC（可用性、完整性、機(jī)密性）順序[2]。

2.2 工業(yè)控制系統(tǒng)安全獨(dú)特性的表現(xiàn)

2.2.1 安全威脅

工業(yè)控制系統(tǒng)的安全威脅一般是利用Windows操作系統(tǒng)、工業(yè)軟件系統(tǒng)以及開放的標(biāo)準(zhǔn)工業(yè)通信協(xié)議的多個(gè)漏洞進(jìn)行攻擊。此外，專用的工業(yè)以太網(wǎng)通信協(xié)議在設(shè)計(jì)時(shí)并未考慮信息安全防護(hù)，存在安全漏洞。而IT系統(tǒng)的安全威脅主要來(lái)源于操作系統(tǒng)漏洞、TCP/IP協(xié)議、應(yīng)用軟件漏洞以及病毒等[3]。

2.2.2 安全防護(hù)

工業(yè)控制系統(tǒng)關(guān)注工控系統(tǒng)和設(shè)備專用操作系統(tǒng)的漏洞、專用通信協(xié)議的實(shí)時(shí)性和安全性以及安全的傳輸能力。而IT系統(tǒng)關(guān)注通用操作系統(tǒng)的漏洞、TCP/IP協(xié)議簇的數(shù)據(jù)傳輸安全及資源非授權(quán)訪問(wèn)等問(wèn)題，安全防護(hù)能力較強(qiáng)。

2.3 工業(yè)控制系統(tǒng)安全防護(hù)體系

針對(duì)工業(yè)控制系統(tǒng)不同的攻擊類型，IEC 62443工控網(wǎng)絡(luò)與系統(tǒng)信息安全系列標(biāo)準(zhǔn)推薦采用縱深防御的理念來(lái)構(gòu)建工業(yè)控制系統(tǒng)信息安全防護(hù)體系。縱深防御是指根據(jù)不同的安全需求把工業(yè)控制系統(tǒng)從外到內(nèi)劃分為不同分區(qū)，不同的分區(qū)實(shí)施不同的安全策略，每個(gè)分區(qū)的邊界構(gòu)成了防御線，因此每個(gè)分區(qū)連續(xù)的防御措施實(shí)現(xiàn)了深度防御，進(jìn)而實(shí)現(xiàn)多層次的安全防護(hù)[4]。

3 工業(yè)控制系統(tǒng)常見安全防護(hù)技術(shù)

常見的工業(yè)控制系統(tǒng)信息安全防護(hù)技術(shù)包括以下幾種。

3.1 入侵檢測(cè)技術(shù)

在工業(yè)控制環(huán)境下，入侵檢測(cè)是針對(duì)工業(yè)控制系統(tǒng)的各個(gè)關(guān)鍵節(jié)點(diǎn)進(jìn)行數(shù)據(jù)收集，提取反映系統(tǒng)行為的數(shù)據(jù)特征，然后根據(jù)設(shè)計(jì)的識(shí)別技術(shù)和檢測(cè)算法對(duì)入侵行為數(shù)據(jù)進(jìn)行識(shí)別，以發(fā)現(xiàn)其中可能的攻擊行為的技術(shù)。

3.2 漏洞掃描與漏洞挖掘技術(shù)

漏洞掃描技術(shù)需要基于完整的工業(yè)控制網(wǎng)絡(luò)安全漏洞庫(kù)，依靠高效的漏洞掃描引擎和檢測(cè)規(guī)則的自動(dòng)匹配技術(shù)，掃描工業(yè)控制網(wǎng)絡(luò)中的關(guān)鍵設(shè)備和軟件，檢測(cè)是否存在已知漏洞。漏洞挖掘技術(shù)主要分為靜態(tài)分析漏洞挖掘方法和動(dòng)態(tài)分析漏洞挖掘方法[5]。靜態(tài)分析漏洞挖掘方法是指在程序非運(yùn)行狀態(tài)下進(jìn)行漏洞掃描的技術(shù)，包括靜態(tài)代碼審計(jì)、逆向分析和二進(jìn)制補(bǔ)丁比對(duì)等方法。動(dòng)態(tài)分析漏洞挖掘方法是指在程序運(yùn)行狀態(tài)下進(jìn)行漏洞掃描的技術(shù)，包括格式分析、黑盒測(cè)試等。

3.3 訪問(wèn)控制技術(shù)

訪問(wèn)控制技術(shù)的目標(biāo)是限制對(duì)工業(yè)控制系統(tǒng)內(nèi)部任何受保護(hù)資源的訪問(wèn)，防止對(duì)任何資源進(jìn)行未授權(quán)訪問(wèn)。訪問(wèn)控制技術(shù)的主要內(nèi)容包括訪問(wèn)控制策略、訪問(wèn)控制模型和訪問(wèn)控制框架。

3.4 工業(yè)防火墻技術(shù)

傳統(tǒng)的IT防火墻對(duì)防護(hù)工業(yè)控制系統(tǒng)的外部和內(nèi)部入侵束手無(wú)策。在工業(yè)控制系統(tǒng)中，安全防護(hù)中需要使用工業(yè)防火墻技術(shù)。工業(yè)控制系統(tǒng)防火墻技術(shù)與IT防火墻技術(shù)相比，具有以下三個(gè)特點(diǎn)：（1）具備狀態(tài)檢測(cè)和訪問(wèn)控制的功能；（2）對(duì)于工業(yè)控制協(xié)議（如Modbus TCP、OPC等）的支持能力；（3）能夠滿足工業(yè)控制系統(tǒng)高可靠性和實(shí)時(shí)性的要求。

3.5 態(tài)勢(shì)感知技術(shù)

態(tài)勢(shì)感知技術(shù)通過(guò)主動(dòng)探測(cè)IP網(wǎng)絡(luò)空間，在檢索在線工業(yè)控制系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施以及物聯(lián)網(wǎng)設(shè)備的同時(shí)，獲得設(shè)備詳細(xì)的系統(tǒng)信息、地理分布和安全隱患，是對(duì)區(qū)域內(nèi)工業(yè)控制和物聯(lián)網(wǎng)設(shè)備進(jìn)行在線監(jiān)控、威脅量化評(píng)級(jí)、網(wǎng)絡(luò)安全態(tài)勢(shì)分析和安全預(yù)警的有效技術(shù)手段。

3.6 安全審計(jì)與安全加固技術(shù)

安全審計(jì)技術(shù)是指高效采集工業(yè)控制網(wǎng)絡(luò)中的數(shù)據(jù)，對(duì)工業(yè)控制網(wǎng)絡(luò)中的行為和流量進(jìn)行實(shí)時(shí)審計(jì)，分析不合規(guī)的工業(yè)控制網(wǎng)絡(luò)數(shù)據(jù)并生成審計(jì)記錄。安全審計(jì)技術(shù)與工業(yè)控制網(wǎng)絡(luò)中的其他安全設(shè)備和措施如工業(yè)防火墻、入侵檢測(cè)技術(shù)等進(jìn)行實(shí)時(shí)配合，有效保障工業(yè)控制系統(tǒng)的整體網(wǎng)絡(luò)安全。安全加固技術(shù)是對(duì)工業(yè)控制系統(tǒng)中的主機(jī)、系統(tǒng)及設(shè)備的脆弱性進(jìn)行分析并修補(bǔ)，強(qiáng)調(diào)針對(duì)主機(jī)、系統(tǒng)和設(shè)備的加強(qiáng)級(jí)別的安全保護(hù)。