工业控制系统安全现状及安全策略分析

【 摘 要 】 “两化”融合的推进和以太网技术在工业控制系统中的广泛应用，使得工业控制系统及SCADA 系统等不再与外界隔离，引发了一系列病毒和木马攻击工业控制系统攻击事件，直接影响到公共基础设施的安全，为工业生产运行和国家经济安全带来重大的安全隐患，本文将从工业控制的角度，分析工业控制系统安全的特殊性，并针对工业控制系统安全提出相应的防护策略。

【 关键词 】 工业控制系统；基础设施安全；安全隔离网关；边界防护

1 引言

“两化”融合的推进和以太网技术在工业控制系统中的大量应用，引发的病毒和木马对工业控制系统的攻击事件频发，直接影响公共基础设施的安全，其造成的损失可能非常巨大，甚至不可估量。而在工业控制系统中，工控网络管理和维护存在着特殊性，不同设备厂家使用不同的通信协议/规约，不同的行业对系统网络层次设计要求也各不相同，直接导致商用IT网络的安全技术无法适应工业控制系统。

2 国内工控安全现状

2.1 信息化建设的趋势

过去10年间，世界范围内的过程控制系统（DCS/PLC/PCS/RTU等）及SCADA系统广泛采用信息技术，Windows、Ethernet、现场总线技术、OPC 等技术的应用使工业设备接口越来越开放，企业信息化让控制系统及SCADA系统等不再与外界隔离。但是，越来越多的案例表明，来自商业网络、因特网、移动U盘、维修人员笔记本电脑接入以及其它因素导致的网络安全问题正逐渐在控制系统及SCADA系统中扩散，直接影响了工业稳定生产及人身安全，对基础设备造成破坏。

2.2 以太网及协议的普及

目前，市场上具有以太网接口和TCP/IP协议的工控设备很多。以太网技术的高速发展及它的80%的市场占有率和现场总线的明显缺陷，促使工控领域的各大厂商纷纷研发出适合自己工控产品且兼容性强的工业以太网。其中，应用较为广泛的工业以太网之一是德国西门子公司研发的PROFINET工业以太网。

施耐德电气公司推出了一系列完整、以TCP/IP 以太网为基础、对用户高度友好的服务，专门用于工业控制领域。自1979 年以来， Modbus 就已成为工业领域串行链路协议方面的事实标准。它已经在数以百万计的自动化设备中作为通信协议得到了应用。Modbus 已经得到了国际标准IEC 61158 的认可，同时也成为了“中国国家标准”。通过Modbus 消息可以在TCP/IP 以太网和互联网上交换自动化数据，以及其它各种应用（ 文件交换、网页、电子邮件等等）。

如今，在同一个网络上，无需任何接口就可以有机地融合信息技术与自动化已成为现实。

2.3 国产化程度

随着工业控制系统、网络、协议的不断发展和升级，不同厂商对于以太网技术也在加速推广，而国内80%以上的控制系统由国外品牌和厂商所占据，核心的技术和元件均掌握在他人手里，这给国内的工业网络安全形势，造成了极大的威胁和隐患。

目前，在国内工控领域应用比较多的是通用网闸产品和工业安全隔离网关产品，用于工控企业控制网和办公网的物理隔离和边界防护。由于国内重要控制系统有超过80%的系统都使用的是国外产品和技术，这些技术和产品的漏洞不可控，将给控制系统留下巨大的安全隐患。而国内通用IT网络与工业控制网络存在巨大差异，通用IT的安全解决方案无法真正满足工控领域的需求，工业控制系统的安全威胁，一触即发。

2.4 软、硬件的漏洞

国家信息安全漏洞共享平台（China National Vulnerability Database，简称CNVD），在2011年CNVD收录了100余个对我国影响广泛的工业控制系统软件安全漏洞，较2010年大幅增长近10倍，涉及西门子、北京三维力控和北京亚控等国内外知名工业控制系统制造商的产品。相关企业虽然积极配合CNCERT处理了安全漏洞，但这些漏洞可能被黑客或恶意软件利用。

由于早期的工业控制都是相对独立的网络环境，在产品设计和网络部署时，只考虑了功能性和稳定性，对安全没有考虑。经过测试，很多支持以太网的控制器都存在比较严重的漏洞和安全隐患。

2.5 病毒攻击的发展

国外典型工业控制系统入侵事件。

* 2007 年，攻击者入侵加拿大的一个水利SCADA 控制系统，通过安装恶意软件破坏了用于取水调度的控制计算机。

* 2008 年，攻击者入侵波兰某城市的地铁系统，通过电视遥控器改变轨道扳道器，导致4 节车厢脱轨。

* 2010 年，“网络超级武器”Stuxnet 病毒通过针对性的入侵ICS 系统，严重威胁到伊朗布什尔核电站核反应堆的安全运营。

* 2011 年，黑客通过入侵数据采集与监控系统SCADA，使得美国伊利诺伊州城市供水系统的供水泵遭到破坏。

* 2011年，Stuxnet 变种 Duqu， 有关“Duqu”病毒的消息是在10月出现的。 “Duqu”病毒似乎专为收集数据而来，其目的是使未来发动网络袭击变得更加容易。这种新病毒的目的不是破坏工业控制系统，而是获得远距离的进入能力。

* 2012年，肆虐中东的计算机病毒“火焰”日前现身美国网络空间，甚至攻破了微软公司的安全系统。

3 工控安全与通用IT安全的区别

3.1 协议区别

比如OPC，因为其基于DCOM技术，在进行数据通讯时，为了响应请求，操作系统就会为开放从1024到5000动态端口使用，所以IT部门在使用普通商用防火墙时根本没有任何意义。对于一般防火墙更无法进行剖析，而使OPC客户端可以轻易对OPC服务器数据项进行读写，一旦黑客对客户端电脑取得控制权，控制系统就面临很大风险。

黑客可以很轻松的获得系统所开放的端口，获取/伪装管理员身份，对系统进行恶意破坏，影响企业的正常生产运营。

3.2 成本及影响对照（如图1所示）

4 工控安全防御方法建议

4.1 白名单机制

白名单主动防御技术是通过提前计划好的协议规则来限制网络数据的交换，在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法，从根源上节制未知恶意软件的运行和传播。

“白名单”安全机制是一种安全管理规范，不仅应用于防火墙软件的设置规则，也是在实际管理中要遵循的原则，例如在对设备和计算机进行实际操作时，需要使用指定的笔记本、U盘等，管理人员只信任可识别的身份，未经授权的行为将被拒绝。

4.2 物理隔离

网络物理隔离类技术诞生较早，最初是用来解决网络与非网络之间的安全数据交换问题。后来，网络物理隔离由于其高安全性，开始被广泛应用于政府、军队、电力、铁道、金融、银行、证券、保险、税务、海关、民航、社保等多个行业部门，其主要功能支持：文件数据交换、http访问、www服务、ftp访问、收发电子邮件、关系数据库同步以及TCP/UDP定制等。

在工业控制领域，网络物理隔离也开始得到应用和推广。通常采用“2+1”的三模块架构，内置双主机系统，隔离单元通过总线技术建立安全通道以安全地实现快速数据交换。网络物理隔离提供的应用专门针对控制网络的安全防护，因此它只提供控制网络常用通信功能如OPC、Modbus等，而不提供通用互联网功能，因此更适合于控制网络与办公网络，以及控制网络各独立子系统之间的隔离。其主要特点有几种：

* 独立的运算单元和存储单元，各自运行独立的操作系统和应用系统；

* 安全隔离区采用私有加密的数据交互技术，数据交换不依靠TCP/IP协议；

* 工业通信协议，OPC/MODBUS/60870-5-104/等；

* 与信息层上传数据时，可实现断线缓存、续传；

* 实时数据交换，延时时间小于1ms；

* 访问控制；

* 身份认证；

* 安全审计与日志管理。

4.3 工业协议深度解析

商用防火墙是根据办公网络安全要求设计的一种防火墙，它可以对办公网络中传输使用的大部分通用网络协议（如http、ftp等）进行完全包过滤，能给办公网络提供有效的保护。但是，对于工业网络上使用的工业通信协议（如Modbus、OPC等应用层协议）的网络包，商用防火墙只能做网络层和传输层的浅层包过滤，它无法对网络包中应用层数据进行深层检查，因此，商用防火墙有一定的局限性，无法满足工业网络的要求。因此，自动化行业内迫切需要一款专用于工业网络的工业防火墙，可以针对工业通信协议进行有效的过滤检查，以保证工业控制系统的运行安全。

4.4 漏洞扫描

工信部在“451”号文以后，开展了全国各地的工控系统安全调研活动，对文中所涉及到的各行业发放了调查问卷。在实际工作中，我们了解到，各地工信部、委和央企信息中心在落实工作的过程中，缺少对工控系统的了解和培训，不敢轻易对工控系统进行调查、检测等操作。因此针对工控领域的第三方的权限设备和技术，将有效解决该问题。

4.5 云管理服务平台

构建满足工业控制系统的全厂级风险识别模型，除了需要细化工业控制系统的风险因素，还需要建立基于工业控制系统的安全管理域，实施分等级的基线建设，兼顾包括终端与链路、威胁与异常、安全与可用性等综合因素的功能考虑。

安全管理私有云服务平台的建立要求包括：

* 方便地对整个系统里所有安全设备模块、控制器和工作站，进行部署、监控和管理；

* 规则辅助生成，指导用户方便快捷地从权限、授权管理报告中，创建防火墙的规则；

* 自动阻止并报告任何与系统流量不匹配的规则；

* 接收、处理和记录由安全模块所上传的报警信息；

* 全网流量收集识别能力；

* 基于白名单的终端应用控制能力；

* 实时ICS 协议与内容识别能力；

* 异常行为的仿真能力；

* 可视化配置、组态；

* 安全事件搜索、跟踪和预处理能力。

5 结束语

随着以太网技术在工业控制网络的应用，以及国家对“两化”整合的继续推进，未来的工业控制系统将会融合更多的先进的信息安全技术，如可信计算、云安全等，信息安全成为关系政治稳定、经济发展的重要因素，本文介绍了在工业控制系统安全中采用的技术手段和策略，与此同时，还需不断加强对工业控制领域的整体安全部署，完善和提供整体的安全解决方案。

参考文献

[1] DRAFT Guide to Industrial Control Systems （ICS） Security.

[2] 王聪.工业网络安全（Security）.来源：e-works， 2012-3-8.

[3] 工业以太网在实际应用中安全对策解决方案.来源： ducuimei.

[4] 施耐德Connexium工业以太网产品目录及参数.

[5] 2011年我国互联网网络安全态势综述 CNVD.

[6] 王孝良，崔保红，李思其.关于工控系统信息安全的思考与建议. 信息网络安全，2012.8.

[7] 刘威，李冬，孙波.工业控制系统安全分析.信息网络安全，2012.8.

[8] 余勇，林为民.工业控制SCADA系统的信息安全防护体系研究.信息网络安全，2012.5.

作者简介：

魏钦志（1982-），男，汉族，黑龙江哈尔滨人，工程师，北京力控华康科技有限公司总经理，主要从事工业自动化、计算机软件、计算机网络和安全方面工作，关注工业控制网络与信息安全以及相关领域的技术和产品研发。