工业控制系统安全分析及解决方案

【 摘 要 】 工业控制系统安全是信息安全领域关注的重点之一，解决工控系统安全问题面临着重大挑战。本文从工控平台、网络、安全策略、管理流程等方面对工业控制系统的安全性进行了分析，并针对工业控制系统的不同层次提出了相应的解决方案。

【 关键词 】 工业控制系统；SCADA；安全防护；解决方案

1 引言

现代工业控制系统（ICS）包括数据采集系统（SCADA），分布式控制系统（DCS），程序逻辑控制（PLC）以及其他控制系统等，目前已应用于电力、水力、石化、医药、食品以及汽车、航天等工业领域，成为国家关键基础设施的重要组成部分，关系到国家的战略安全。为此，《国家信息安全产业“十二五”规划》特别将工业控制系统安全技术作为重点发展的关键技术之一。

与传统基于TCP/IP协议的网络与信息系统的安全相比，我国ICS的安全保护水平明显偏低，长期以来没有得到关注。大多数ICS在开发时，由于传统ICS技术的计算资源有限，在设计时只考虑到效率和实时等特性，并未将安全作为一个主要的指标考虑。随着信息化的推动和工业化进程的加速，越来越多的计算机和网络技术应用于工业控制系统，在为工业生产带来极大推动作用的同时，也带来了ICS的安全问题，如木马、病毒、网络攻击造成信息泄露和控制指令篡改等。工业基础设施中关键ICS系统的安全事件会导致出现：（1）系统性能下降，影响系统可用性；（2）关键控制数据被篡改或丧失；（3）失去控制；（4）严重的经济损失；（5）环境灾难；（6）人员伤亡；（7）破坏基础设施；（8）危及公众安全及国家安全。

据权威工业安全事件信息库RISI（Repository of Security Incidents）的统计，截止2011年10月，全球已发生200余起针对工业控制系统的攻击事件。2001年后，通用开发标准与互联网技术的广泛使用，使得针对ICS系统的攻击行为出现大幅度增长，ICS系统对于信息安全管理的需求变得更加迫切。

典型工业控制系统入侵事件：

（1） 2007年，攻击者入侵加拿大的一个水利SCADA控制系统，通过安装恶意软件破坏了用于取水调度的控制计算机；

（2） 2008年，攻击者入侵波兰某城市的地铁系统，通过电视遥控器改变轨道扳道器，导致4节车厢脱轨；

（3） 2010年，“网络超级武器”Stuxnet病毒通过针对性的入侵ICS系统，严重威胁到伊朗布什尔核电站核反应堆的安全运营；

（4） 2011年，黑客通过入侵数据采集与监控系统SCADA，使得美国伊利诺伊州城市供水系统的供水泵遭到破坏。

2 工业控制系统的安全分析

分析可以发现，造成工业控制系统安全风险加剧的主要原因有两方面。

首先，传统工业控制系统的出现时间要早于互联网，它需要采用专用的硬件、软件和通信协议，设计上基本没有考虑互联互通所必须考虑的通信安全问题。

其次，互联网技术的出现，导致工业控制网络中大量采用通用TCP/IP技术，工业控制系统与各种业务系统的协作成为可能，愈加智能的ICS网络中各种应用、工控设备以及办公用PC系统逐渐形成一张复杂的网络拓扑。另一方面，系统复杂性、人为事故、操作失误、设备故障和自然灾害等也会对ICS造成破坏。在现代计算机和网络技术融合进ICS后，传统ICP/IP网络上常见的安全问题已经纷纷出现在ICS之上。例如用户可以随意安装、运行各类应用软件、访问各类网站信息，这类行为不仅影响工作效率、浪费系统资源，而且还是病毒、木马等恶意代码进入系统的主要原因和途径。以Stuxnet蠕虫为例，其充分利用了伊朗布什尔核电站工控网络中工业PC与控制系统存在的安全漏洞（LIK文件处理漏洞、打印机漏洞、RPC漏洞、WinCC漏洞、S7项目文件漏洞以及Autorun.inf漏洞）。

2.1 安全策略与管理流程的脆弱性

追求可用性而牺牲安全，这是很多工业控制系统存在普遍现象，缺乏完整有效的安全策略与管理流程是当前我国工业控制系统的最大难题，很多已经实施了安全防御措施的ICS网络仍然会因为管理或操作上的失误，造成ICS系统出现潜在的安全短板。例如，工业控制系统中的移动存储介质的使用和不严格的访问控制策略。

作为信息安全管理的重要组成部分，制定满足业务场景需求的安全策略，并依据策略制定管理流程，是确保ICS系统稳定运行的基础。参照NERCCIP、ANSI/ISA-99、IEC62443等国际标准，目前我国安全策略与管理流程的脆弱性表现为：（1）缺乏安全架构与设计；（2）缺乏ICS的安全策略；（3）缺乏ICS安全审计机制；（4）缺乏针对ICS的业务连续性与灾难恢复计划；（5）缺乏针对ICS配置变更管理；（6）缺乏根据安全策略制定的正规、可备案的安全流程（移动存储设备安全使用流程与规章制度、互联网安全访问流程与规章制度）；（7）缺乏ICS的安全培训与意识培养；（8）缺乏人事安全策略与流程（人事招聘、离职安全流程与规章制度、ICS安全培训和意识培养课程）。

2.2 工控平台的脆弱性

由于ICS终端的安全防护技术措施十分薄弱，所以病毒、木马、黑客等攻击行为都利用这些安全弱点，在终端上发生、发起，并通过网络感染或破坏其他系统。事实是所有的入侵攻击都是从终端上发起的，黑客利用被攻击系统的漏洞窃取超级用户权限，肆意进行破坏。注入病毒也是从终端发起的，病毒程序利用操作系统对执行代码不检查一致性弱点，将病毒代码嵌入到执行代码程序，实现病毒传播。更为严重的是对合法的用户没有进行严格的访问控制，可以进行越权访问，造成不安全事故。

目前，多数ICS网络仅通过部署防火墙来保证工业网络与办公网络的相对隔离，各个工业自动化单元之间缺乏可靠的安全通信机制，数据加密效果不佳，工业控制协议的识别能力不理想，加之缺乏行业标准规范与管理制度，工业控制系统的安全防御能力十分有限。例如基于DCOM编程规范的OPC接口几乎不可能使用传统的IT防火墙来确保其安全性，在某企业的SCADA系统应用中，需要开放使用OPC通讯接口，在对DCOM进行配置后，刻毒虫病毒（计算机频繁使用U盘所感染）利用Windows系统的MS08-67漏洞进行传播，造成Windows系统频繁死机。

另一种容易忽略的情况是，由于不同行业的应用场景不同，其对于功能区域的划分和安全防御的要求也各不相同，而对于利用针对性通信协议与应用层协议的漏洞来传播的恶意攻击行为更是无能为力。更为严重的是工业控制系统的补丁管理效果始终无法令人满意，考虑到ICS补丁升级所存在的运行平台与软件版本限制，以及系统可用性与连续性的硬性要求，ICS系统管理员绝不会轻易安装非ICS设备制造商指定的升级补丁。与此同时，工业系统补丁动辄半年的补丁周期，也让攻击者有较多的时间来利用已存在漏洞发起攻击。以Stuxnet蠕虫为例，其恶意代码可能对Siemens的CPU315-2和CPU417进行代码篡改，而Siemens的组态软件（WinCC、Step7、PCS7）对Windows的系统补丁有着严格的兼容性要求，随意的安装补丁可能会导致软件的某些功能异常。

2.3 网络的脆弱性

ICS的网络脆弱性一般来源于软件的漏洞、错误配置或者ICS网络管理的失误。另外，ICS与其他网络互连时缺乏安全边界控制，也是常见的安全隐患。当前ICS网络主要的脆弱性集中体现在几个方面。

（1） 网络配置的脆弱性（有缺陷的网络安全架构、未部署数据流控制、安全设备配置不当、网络设备的配置未存储或备份、口令在传输过程中未加密、网络设备采用永久性的口令、采用的访问控制不充分）。

（2） 网络硬件的脆弱性（网络设备的物理防护不充分、未保护的物理端口、丧失环境控制、非关键人员能够访问设备或网络连接、关键网络缺乏冗余备份）。

（3） 网络边界的脆弱性（未定义安全边界、未部署防火墙或配置不当、用控制网络传输非控制流量、控制相关的服务未部署在控制网络内）。

（4） 网络监控与日志的脆弱性（防火墙、路由器日志记录不充分、ICS网络缺乏安全监控）。

（5） 网络通信的脆弱性（未标识出关键的监控与控制路径、以明文方式采用标准的或文档公开的通信协议、用户、数据与设备的认证是非标准的。

（6） 或不存在、通信缺乏完整性检查。

（7） 无线连接的脆弱性（客户端与AP之间的认证不充分、客户端与AP之间的数据缺乏保护）。

3 工业控制系统的安全解决方案

工业控制系统的安全解决方案必须考虑所有层次的安全防护安全解决方案，必须考虑所有层次的安全防护。

（1） 工厂安全（对未经授权的人员阻止其访问、物理上防止其对关键部件的访问）。

（2） 工厂IT安全（采用防火墙等技术对办公网与自动化控制网络之间的接口进行控制、进一步对自动化控制网络进行分区与隔离、部署反病毒措施，并在软件中采用白名单机制、定义维护与更新的流程）。

（3） 访问控制（对自动化控制设备与网络操作员进行认证、在自动化控制组件中集成访问控制机制）工业场景下的安全解决方案必须考虑所有层次的安全防护。

根据国内ICS及企业管理的现状，建议ICS的信息安全机制的建立从三个方面考虑：1）借鉴国际规范制定适合我国国情的ICS分区分级安全管理及隔离防护机制，制定相关技术标准，鼓励国内相关企业开发符合相关技术标准的专业防火墙、隔离网关等专业产品；2）按ICS系统的应用类型建立工控网络信息安全网络架构规范和组网原则，制定ICS系统网络设备选取及运行管理规范，禁止接入外来不可信存储设备；3）建立市场准入机制并制定相关文件。

目前，国内大型成套设备的ICS系统基本上以国外工控系统为主，甚至有些设备直接是国外全套进口的。国外厂商在ICS系统集成、调试和后续维护上有许多办法和手段以降低工程项目的后期运行维护成本。其中最典型的手段就是设备的远程维护，包括监控、诊断、控制和远程代码升级。这些功能的实施通常是借助外部公共网络平台远程操控。这些功能方便了系统开发建造商，但给我们的大型（包括重点）工业项目的日后运行带来重大隐患。外部攻击者可以通过这些路由控制或改变、介入并控制ICS系统。从信息安全的角度应严格控制国外具有远程外部操作后门的ICS系统与装置进入国内核心工控系统。另外，随着高性能的通用PC平台与工控系统对接，越来越多的工控核心装置采用PC硬件平台和微软操作系统作为系统的核心，这样做的好处是借助PC平台和微软软件系统下的大量高性能软件资源降低开发成本。但这样做的危害是将工控系统置于PC平台中的各种病毒和网络攻击的威胁下。虽然相关企业不断推出各种补丁与升级，但工控系统24小时常年不断的运行模式使得这种间歇式的软件修补与升级显得非常无助。所以选用基于PC硬件平台和微软操作系统的底层ICS装置进入核心工控系统应该予以认真考虑。

参考文献

[1] 王孝良，崔保红，李思其.关于工控系统的安全思考与建议.第27次全国计算机安全学术交流会，2012.08.

[2] 张帅.ICS工业控制系统安全分析.计算机安全，2012.01.

[3] 唐文.工业基础设施信息安全.2011.

[4] 石勇，刘巍伟，刘博.工业控制系统（ICS）的安全研究.网络安全技术与应用，2008.04.

作者简介：

马增良（1963-），男，山东人，研究员，计算机技术与应用专业，主要从事企业自动化与信息化技术研究与应用，负责包括863计划、发改委产业化专项等多项项目；主要研究方向：实时系统、MES、RFID、综合自动化。

向登宁（1979-），男，湖南人，硕士，测试计量技术及仪器专业，主要从事PLC、DCS、MES系统实施和应用工作。