工业信息安全的矛盾与应对浅析

马霄，高彦恺

（天融信科技集团，北京 100193）

0 引言

随着自动化和信息化技术的飞速发展，工业控制系统产品越来越多的采用基于信息技术为基础的通用协议、通用硬件以及软件，并广泛应用于电力、钢铁、水利、化工、制造等行业。同时为适应当前工业控制网络中数据互通的需求，提高生产及运营效率，在物理位置相距较远的场景下，工业控制系统通过各种方式与互联网或其他公共网络连接，病毒、木马等威胁也伴随着信息技术的发展在工业控制环境中大量扩散。由于工业控制系统的产品特性和网络连接特点，工业控制系统在信息技术应用的环境下面临较大威胁，故工业控制系统信息安全受到越来越多的关注。

1 环境差异引发技术重点的差异

从整体上看，工业控制网络与传统IT网络在网络边缘、体系结构和传输内容方面有着主要的不同。

网络边缘不同：工业控制系统在地域分布较传统IT网络广泛，其底层节点普遍为智能化程度较低的传感装置、数据传输装置而非传统IT网络系统底层的通用计算机、小型机等，其在物理安全需求及应用层面存在较大差异。

体系结构不同：工业控制网络纵向集成度较高，主站节点与终端从站节点之间为主从关系，传统IT网络则更趋向于横向扁平的对等关系，两者之间在脆弱节点分布上存在较大差异。

传输内容不同：工业控制网络中传输内容多为工控专有协议，其数据部分通常为寄存器的具体数值。

工控系统信息安全三要素优先级不同：对于工控系统而言，系统的可用性至关重要，因此需要将可用性放在第一位，即可用性、完整性、保密性。此外优先级的变化不仅仅体现在安全要素的排序上，更关键的是在应对工控系统安全问题时思考问题的优先顺序。

从细节中来讲，工业控制环境中对设备的性能要求、生命周期、可用性、操作性、资源限制等均与传统IT环境存在较大差异。

性能：在视频监控流量带外管理的场景下，工业控制系统网络中流量远远小于传统IT网络，但其对于单包数据响应相对要求较高，即要求延迟和抖动都限定在一定水平内，通常现场级通讯超时周期都在1～3秒以内，部分精密控制场景实时性要求更高。

风险管控：对于传统IT环境，更多关注于数据的机密性和完整性；而对于工业控制网络，其对于容错比要求更加严格，控制数据不允许存在超时重发机制，且控制过程不可逆，故工业控制系统网络更多关注于保障生产的可持续性。在信息安全方面，传统IT网络威胁多来自于外部空间，包括漏洞攻击、DDoS攻击、网页篡改等构成其主要风险；工控网络更多关注于网络内部对生产造成的影响，例如误操作、终端恶意代码威胁等。

资源限制：传统IT网络具有足够的资源支持增加的第三方程序，包括应用、安全等层面均可进行支持；工控网络由于其设备生命周期远远大于IT网络，造成计算资源的受限，多数场景下不允许使用第三方解决方案。

变更管理：该方面主要体现在应用升级及补丁管理方面，IT网络中的应用普遍具备良好的兼容性，可自动进行软件更新及补丁更新等，工控网络中兼容性问题普遍存在，当前国内绝大部分应用均在Win7及以上版本操作系统中存在兼容性问题，部分补丁更新也会造成原有计算资源的不足，故在工控网络中变更通常在生产维修期进行，且变更前需要进行彻底的测试和部署增量，从而保证尽可能的降低对生产的影响。

通信：IT网络中通常采用基于TCP/IP标准协议，工控网络中协议通常在供应商间互相不支持，各自存在较多版本专用通信协议，通讯介质种类相对较多，包括以太网、RS485/422/232总线、DP总线、4～20mA硬接线等。

以上仅列举部分工业控制网络与传统IT网络中存在的差异，基于以上差异，工业网络安全的关注点也与IT网络安全存在较大差异。工业控制网络中的安全关注点更多在如何保障生产的持续运行，如何确保控制、运维过程中的有效监控从而减少因误操作引发的生产事故以及如何对控制网络安全事件进行有效的监管及事前防范。防范和抵御攻击者通过恶意行为人为制造生产事故、损害或伤亡成为工业控制系统信息安全的重中之重。

由于控制网络通常不与互联网直接进行联通，且与管理网间参照我国《信息安全技术 网络安全等级保护基本要求》进行单向隔离，故在生产网安全中更多着重于对于生产流程的保障。

2 自动化技术与网络安全的矛盾

传统的自动化技术与信息化技术均为互相独立领域，在“全以太网架构”以及“两化融合”的时代潮流下两个独立的领域出现了大量的交集，在这过程中又存在着大量的矛盾。

下文均为国内某行业技术专家研讨过程中提出的安全与生产的矛盾。

矛盾1：安全防范与生产过程的冲突。传统自动化领域中控制系统具备独立性，其控制器与操作站应用均为同一品牌（例如西门子PLC与WinCC组态软件）或同一自动化厂商实施，在资源管理维度通常对第三方缺乏信任；其次，安全分析通常会有一定的误报率，而工业控制系统容错率较低，故作为控制用户或工艺用户对安全防范手段是否会对生产流程造成新的威胁较为担忧。如何在保证控制系统独立性的前提下进行信息安全保障成为自动化用户关注的核心。

矛盾2：终端安全与应用软件的冲突。在自动化数据通讯网络搭建中，通常会从控制系统工程师站进行数据读取操作，过程中需要安装部分应用插件作为数据通讯的必要组件；且在数据通讯配置过程中，考虑到自动化实施人员对于信息化技术了解程度较低，通常会关闭本机主机防火墙，以保障通讯的建立（例如OPC DCOM配置过程）；同时部分软件工程的变更也需要在工程师站进行必要的数据拷贝，在文件传输过程中不可避免应用到移动存储介质或与第三方设备进行连接，该方式造成控制系统工程师站主机易遭受恶意代码威胁；而工业应用在设计之初几乎未考虑安全性的存在，部分软件调用方式通常会被基于黑名单的杀毒软件视作恶意代码加以隔离或删除，从而造成生产监控过程的异常。站控主机作为控制过程中的主站，在保障生产监控过程正常进行与主机安全处置两个维度存较大的矛盾，从而影响工业控制系统中主机安全策略的执行。在保证终端环境纯净与保证监控组态的可用性上，如何做到共存成为控制用户的基本目标。

矛盾3：安全加固与生产过程的冲突。作为传统工业生产者，保障生产的可持续性成为工作的第一要务，部分工艺生产周期可能长达数月甚至数年，在这过程中爆发的漏洞按照信息安全从业者的维度需要及时进行加固，防止利用漏洞进行攻击；但依照工业生产者的原则，需要保障生产的可持续运行，进行加固需要停产，且加固后与现有系统及应用的兼容性不可确定，故需要在完成生产流程后进行停产加固，两者之间的存在时效性的矛盾。在保障生产的前提下如何进行安全加固成为用户安全建设的目标。

矛盾4：检测维度与安全监控需求的冲突。作为信息安全从业者，检测维度通常仅仅围绕安全事件进行，但该类型检测不能满足保障工业生产过程的实际需求，仅仅依靠针对信息安全的检测不足以保障工业生产的可持续运行，在进行安全检测的过程中需要针对工业生产中的重点节点进行检测，例如节点间通讯等，通过对工业生产整体环境检测来保障工业生产安全。工业信息安全检测维度与保障工业生产的维度存在差异，如何在两者之间寻找平衡点则成为工业信息安全价值的体现。

矛盾5：新技术应用与生产工艺的冲突。自动化领域应用以保证可用性为第一前提，其网元节点在设计之初没有针对IT环境中检测做相应设计，部分IT信息安全中的检测技术，在工业控制系统中易造成工业设备的宕机，从而破坏生产过程。例如主动检测技术在瞬时多并发的同时，访问控制器造成控制器的故障。如何处理必要的安全检测与工业现状的兼容性则成为新技术应用在工业控制系统中的重要问题，在传统安全手段不能满足日新月异的安全需求过程中，新技术的应用，成为工业控制系统信息安全的发展趋势。

3 差异与矛盾中的共通及发展

天融信根据以上差异和矛盾，总结出基于“用户行为基线的安全防护”模型，根据用户生产网中流量、终端等其他节点，以最小化为基本原则，采用以安全防护手段为基础，态势分析为核心，应急响应为技术手段的综合解决方案。

3.1 安全防护

安全防护对象包含网络中的控制设备、管理设备、感知设备等，防护范围覆盖生产网，安全防护中心作为数据探针，将基于各个节点的安全数据、异常数据等上送至态势感知系统，用作安全环境、基线的分析，并执行分析的结果。同时，将生产网网络、应用等运行状态传递至应急响应体系进行统一的运维监控。

3.2 态势分析

态势分析作为生产网安全防护的“大脑”，承担安全信息分析的作用，通过收集安全防护体系中安全设备及监测数据，利用大数据手段，基于用户的安全基线进行安全建模，通过模型间的组合进行流式分析，分析网络中安全威胁及主机、应用脆弱性，后依据分析结果下发策略至安全防护设备、安全审计设备以及应急响应团队执行安全策略的落地，形成基于用户行为的纵向安全防护体系。

3.3 应急响应

应急响应体系包含运行监测中心及应急响应团队以及整体安全管理执行机构。

3.4 监测中心

监测中心主要针对生产各个节点数据进行安全监测，通过对安全数据、生产数据进行分析、比对，判断当前生产运行状态。监测数据通过生产系统及安全防护体系中安全设备进行收集；对异常生产场景进行重点监测，同时将监测数据上送至态势感知体系中大数据分析平台进行分析，确认异常事件则由应急响应团队进行事件调查，故障响应等。

3.5 应急响应团队

应急响应团队承担故障应急响应调查及响应工作，对于确认的异常事件，通过基于生产工艺原理维度进行分析判断，并对异常事件进行及时响应，确保对生产的影响降至最低。异常响应完毕后，将异常整理为流式模型，输入态势分析节点，强化安全分析能力。

3.6 安全管理执行机构

通常由用户方技术负责人作为整体责任人，根据国家标准、行业标准及企业内部现状制定企业信息安全标准及执行方法以及推行。

通过上述三套技术体系进行安全信息的互联互通，构成针对工业控制系统的动态防护体系，根据网络中威胁分布及类型实时更新完善安全防护策略，并辅以行业、控制、工艺专家对生产过程进行纵深监控分析，形成安全闭环生态，在不影响生产独立性的前提下，将安全手段与控制过程进行有机结合，做到工业控制系统安全的技术落地。

4 自上而下的设计与自下而上的建设

“上”和“下”的概念起源于自动化从业者对于网络表达的习惯，依照ISA/IEC62443标准对网络分层进行描述。

自上而下的设计源自对生产网及其流量基线的理解，通过对各个网元节点间数据的内容及指令进行分析，从而在最小化原则的基础上，建立“纯净”的网络环境，对于白名单外的连接、指令、进程等，则交由态势分析进行进一步分析，形成事前防范的能力，通过分析结果调整访问控制及白名单策略。部分无法通过调整策略解决的安全事件则通过应急响应体系完成安全的应急处置，并且在事后将事件流程及解决方案总结输出安全模型交由态势平台，在出现同类型事件后，进行匹配，自动化解决。

自下而上主要体现在安全体系的建设维度，在建设的过程按照控制系统的访问控制、控制过程监控、操作站安全加固、生产网白名单、态势分析平台、主动感知技术、应急响应平台的顺序，即优先保障独立控制系统的安全，从而保证生产过程的可持续运行，其后再对生产网进行监测，两者数据作为态势分析的基础，从而进行态势分析平台的建设；在拥有一定分析能力的基础上再辅以主动感知手段，在检修期进行资产管理、资产健康性管理。最后进行整体联动，并建立应急响应体系，完成安全闭环，打造工业控制系统动态防御体系。

4.1 控制系统访问控制

在访问控制过程中，为保证尽可能小的影响正常生产流程，访问控制节点部署于完整控制系统外侧即ISA/IEC62443标准分级的L2.5层位置，形成对网络的隔离。访问控制手段包括：基于五元组的访问控制、报文的指令码访问控制、以及重点寄存器的访问控制，其作用包括：防止经由其它控制系统的横向访问、防止远端对控制器的写操作（国内工业控制系统控制过程大部分基于本地控制，较少存在远程控制的行为）、对重点数据进行工艺隐私保护。

4.2 控制过程监控

前文提出在安全技术手段中如何保障控制系统的独立性及杜绝对生产过程的影响，成为工业控制系统信息安全技术落地的前提；L1.5层[1]部署访问控制技术手段可以有效完成对控制过程的管控，但此方式破坏原有网络结构，考虑到控制过程容错率几乎为0，此方式较大概率影响控制流程。

通过旁路部署行为审计手段，在对工业控制过程管控方面，部分替代访问控制技术手段功能，在审计粒度层面至报文内容还原，针对部分重点数据写操作内容以及部分重点数据数值进行实时监控，方便在事后追溯过程中针对误操作行为形成一手记录；针对部分通过“合法手段进行非法操作行为”（例如数据在合理区间内短时间周期大幅度变化）依照其变化规律进行判断，根据实际生产环境中数据变化或通过机器学习手段设定数据基线，对非法数据进行审计报警。

4.3 操作站安全加固

前文提出操作站由于其特殊环境，不适用于基于黑名单的安全管控手段，但操作站作为与第三方应用及服务接口，需要针对其计算环境以及输入接口进行有效管控。天融信采用白名单技术，针对操作站计算环境依照最小化原则，对非生产应用进程及服务禁用，对于输入接口根据用户实际生产需求采取禁用或认证管控手段。

4.4 生产网白名单

针对生产网流量环境采用流量审计手段，通过对用户现场调研或通过机器学习技术设定网络行为基线，网络行为基线基于各网元节点主从站通讯，同样依照最小化原则，确保网络流量只包含生产调度必要的通讯，保证网络环境的纯净。

4.5 态势分析平台

态势分析主要作用于分析和统计两个维度：

统计即针对网络的安全事件、未知威胁等信息以时间、资产等维度进行统计；

态势分析的数据源主要基于上文提及安全防护手段的日志及审计记录，经过必要的处理后，作为分析模型的数据源。

在数据的基础上，构建威胁分析模型，即工控目标设备中所存在的脆弱性，威胁源将通过威胁向量而导致威胁事件发生的可能性，以及由此产生的后果和影响。其关系如下图所示：

其后将构建的安全事件映射到相关后果之上，并与生产目标进行比较，从而完成风险模型的构建，其过程如下图所示：

在构建模型的最后阶段，通过威胁情报库数据进行风险验证与量化评分，以确定该场景实际发生风险的可能性及损害程度。结构如下图所示：

最终用户并不需要维护一个完全由松散关联的数据构成的安全模型，通过态势分析平台的构建使得工业控制系统用户拥有针对其控制系统且经过深入的、全面的、可操作的安全模型；使得用户能够更有效进行风险认知与管理。统计、分析结果最终以依照用户习惯的结构进行展示及查询。

通过态势分析平台，形成生产过程与安全现状相结合的动态防护体系。做到基于安全事件及生产需求的安全策略修订，使得安全防护能力贴合生产而又不影响生产控制过程。

4.6 主动感知技术

主动感知技术为态势分析平台数据源的补充，主要基于主动发包技术进行数据收集，其主要包括两部分：

4.7 脆弱性主动感知

考虑到工业控制系统中设备生命周期较长，其服役过程中普遍存在已知漏洞及安全策略配置漏洞（例如超级用户的使用）；脆弱性主动感知技术针对上述环境进行发现及验证。

4.8 资产主动感知

该类型应用主要适用于“一网一库三平台”类监管型环境，即针对监管范围内非法资产进行识别分析，确认网络中资产分布及类型，以及在面对重大安全隐患过程中对监管资产安全隐患的排查。

由于工业控制设备在设计过程中为考虑高并发访问等场景，主动感知技术在工业控制环境中存在因主动感知造成的控制设备不能正常工作，且不能热启动恢复，故主动感知技术只能应用在两种场景：

计划性检测，即在维护期（大修期）进行主动扫描。

违规资产检测，即针对违规外联资产进行识别检测。

5 尚未解决的问题

考虑到工业控制系统的独立性及控制系统厂家间的壁垒，当前尚有较多安全问题需要依靠管理手段进行解决；

例如运维审计手段，在传统IT网络中，资产大部分为B/S管理，采用标准或较为通用管理协议进行运维操作，通过运维审计设备即可对运维操作进行管控及还原。而工业控制系统环境中，其运维多基于其客户端即C/S方式，管理协议均为其自身自有协议，不同于其通讯协议（Modbus/OPC/IEC104等），其管理协议不公开，且不支持第三方进行管理，故无法进行众多控制设备管理协议的整合，无法有效实现运维过程的管控。

类似方面在工控环境中仍有较多场景，其主要原因源自工业控制领域与IT领域的差异，解决的核心在于技术的开源以及技术的积累，这一过程在工控安全领域仍有较长的路要走，需要控制厂商、安全厂商及用户的共同努力才能得以实现。