工业控制系统信息安全建设思路

北京力控华康科技有限公司 李光朋

工业控制系统信息安全建设思路

北京力控华康科技有限公司 李光朋

随着我国两化融合和“互联网+”战略的推进，信息技术在工业企业的生产经营中的应用越来越广泛。在大幅提升了生产效率的同时，一定程度上也增加了企业安全生产管理的难度。由于原本相对独立的工业控制系统越来越多地与企业管理网互联互通，而企业的管理网络本身又是一个开放的网络，这为信息系统的安全威胁向生产系统扩散提供了便利条件。同传统的企业信息系统不同，工业控制系统的信息安全直接影响到生产安全。本文对工业控制领域内所面临的安全威胁进行了分析，并对工控系统信息安全建设的思路进行了探讨。

工业控制系统；DCS；SCADA；信息安全；纵深防御

1 背景

2015年7月14日，延续长达12年之久的伊朗核问题取得突破性进展，伊朗与世界六个主要国家达成协议，同意长期限制其核活动，以换取国际社会逐步解除对该国的多项制裁。这很容易让大家联想到2010年7月著名的“震网病毒”事件：据称是美国和以色列联合研发的Stuxnet病毒攻击了伊朗核设施，导致其铀浓缩工厂五分之一的离心机报废，从而使得“伊朗核计划至少推迟了两年多”。虽然我们不能将伊朗在核问题上的妥协直接归功于“震网病毒”，但毫无疑问，针对核心工业系统的网络攻击已经成为有效打击敌对国家的手段，其效果甚至优于一场战争。

“震网病毒”事件为之前相对沉闷的工业信息安全敲响了警钟，开始让人们关注工业控制系统的安全问题。根据权威的工业安全事件信息库RISI的统计，截至到2011年10月，全球已发生200余起针对工业控制系统的攻击事件。最近几年，诸如Flame、Havex、Dragonfly等专门针对工业控制系统的渗透和攻击层出不穷。可以说，潘多拉的盒子已经被打开，原来相对封闭的工业控制系统再也无法在互联网时代独善其身。

2 工业控制系统的信息安全风险分析

工业控制系统（Industrial Control Systems，ICS）是几种类型控制系统的总称，包括监控和数据采集（SCADA）系统、分布式控制系统（DCS）和其它控制系统如可编程逻辑控制器（PLC）、远程终端（RTU）、智能电子设备（IED）等，以及确保各组件通信的接口技术。工业控制系统普遍应用在电力、石油天然气、自来水和污水处理、化工、交通运输、造纸等行业，是工业基础设施能够正常运作的关键。

最初的工业控制系统采用专门的硬件和软件来运行专有的控制协议，而且由于是孤立的系统，不太容易受到外部的攻击。随着信息技术的发展，通用的计算机、操作系统（如Windows）和网络协议（TCP/IP）在工业控制系统中得到了广泛应用，大大增加了网络安全漏洞和事故出现的可能。另外，工业控制系统也开始与企业管理网络、生产监控网络互联互通，而这些网络本身又具备相当的开放性，甚至存在与互联网的接口，这为信息系统的安全威胁向生产系统扩散提供了便利条件。可以说，传统的IT系统所面临的信息安全风险，在工业控制系统中都是存在的，并且工业控制系统直接同生产设备交互，决定了其安全性还存在自己的特点。总体来说，工业控制系统的信息安全风险主要来自于以下几个方面：

（1）通用IT资产的漏洞和脆弱性。在工业控制系统中，通用IT技术得到了广泛的应用，比如标准的商用操作系统、中间件和各种通用软件、以太网以及TCP/IP协议等等。因此，通用信息系统的风险在工业控制系统中是普遍存在的。另外，由于工业控制系统只能接受很短的计划停机时间，往往发现了漏洞，也没有机会去对系统进行升级或安装补丁，这就导致了其漏洞和脆弱性的严重程度远大于一般的IT系统。

（2）来自网络互联的攻击和渗透。现在的工业控制系统已经不是一个安全孤岛，而是同ERP、MES系统有着广泛的交互。这使得从工业控制系统之外，甚至是互联网上发动攻击成为可能。互联网上广泛存在的DDoS攻击、病毒和木马、网络嗅探和渗透等威胁，对日益开放的工业控制系统来说是一个巨大的威胁。

（3）工业控制协议本身的安全缺陷。工业控制系统中存在比较多的工业控制协议如Modbus、OPC、PROFIBUS/PROFINET、DNP3、IEC 60870-5-101/104等。绝大多数工控协议在设计之初，仅关注效率、实时性和可靠性以满足工业生产的需求，而忽视了安全性的需求，缺少诸如认证、授权和加密等安全机制，这使得工业控制协议更容易遭受第三者的窃听及欺骗性攻击。

（4）来自第三方运维人员的风险。即使是在传统的IT领域，第三方运维也产生了大量的安全风险，在工业控制系统内，这个问题就更严重了。工业控制系统内的第三方运维体系本身更复杂，包括IT设备运维、自动化设备运维、生产设备运维等；另外，工业企业针对运维行为，通常也缺乏足够的安全管理措施，比如身份认证、移动介质管控、运维行为审计等，这造成了目前工业控制系统中运维安全难以管控，出现问题难以追溯的局面。著名的“震网病毒”就是利用了自动化厂商的服务人员引入的。

除了上述风险，由于工业控制网络很难接受长时间的停机，又导致了传统的IT安全技术措施和管理措施很难落地。可以说工业控制系统所面临的信息安全风险比传统IT系统更复杂、更多样、更严峻，防护能力又更加薄弱甚至缺失，这使得工业控制系统的安全防护已经成为工业企业“两化融合”建设中的短板。

工业控制系统的信息安全不仅可能造成信息的丢失，还可能造成生产故障、人员损害及设备损坏，其直接财产的损失是巨大的，甚至有可能引起环境问题和社会问题。也因此，工业控制系统的安全也引起了国家的高度重视，并在政策、标准、技术、方案等方面展开了积极应对。2011年，工业和信息化部发布了《关于加强工业控制系统信息安全管理的通知》，要求在关系国计民生的重点领域内，加强对工业控制系统信息安全的管理。2012年6月28号国务院《关于大力推进信息化发展和切实保障信息安全的若干意见（国发[2012]23号）》中明确要求：保障工业控制系统安全；重点保障可能危及生命和公共财产安全的工业控制系统。

3 工业控制系统信息安全建设思路

根据上述分析，笔者认为在工业企业推进安全规划和安全建设时，既要借鉴通用IT系统信息安全保障的做法，又要充分考虑到工业控制系统的特点。在安全规划阶段，首先应建立信息安全风险评估机制，对工业控制系统的安全风险进行系统、全面分析；在安全方案设计阶段，可以借鉴传统IT系统安全分区和纵深防御的成熟做法，选择适合工业控制系统的安全技术和产品；但不论在哪个阶段，都要充分考虑工业控制系统的特殊性，坚持功能安全和信息安全相结合的原则，保障生产任务的不间断运行。总结来说，就是“风险评估先行，安全分区奠基；功能安全结合，纵深防御完善”，下面进行详细阐述。

3.1 风险评估先行

孙子兵法云：“知己知彼，百战不殆”。在了解对手有哪些手段之前，更重要的是要对自己的情况，尤其是弱点了然于胸。在信息安全建设的过程中，了解自己弱点的过程，就是针对信息资产的脆弱性及风险进行评估。所谓的风险评估（Risk Assessment） ，就是量化测评某一事件或事物带来的影响或损失的可能程度。从信息安全的角度来讲，风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。信息安全风险评估是组织确定信息安全需求的重要途径。

风险评估各要素的关系如图1所示。方框部分的内容为风险评估的基本要素，椭圆形部分的内容是与这些要素相关的属性，也是风险评估要素的一部分。企业的业务战略是依赖于企业的资产去完成的，资产的价值越高，所面临的风险就越大；而风险是由于威胁而产生的，威胁则是利用了脆弱性，脆弱性越大，企业面临的威胁就越大，从而风险也就越大。风险评估实施的过程，就是对企业资产、脆弱性和威胁进行识别，通过安全措施来对抗威胁，降低风险，从而确保资产的安全和企业业务战略的达成。

图1 风险评估要素关系模型

在工业控制系统中实施信息安全风险评估，跟在IT系统中的做法有区别，而且往往更加复杂，这主要体现在：

（1）工业控制系统的信息安全需求跟传统IT系统有区别。信息安全建设要实现三个目标，即信息的保密性、完整性和可用性。在传统IT系统中，通常将保密性放在首位，完整性次之，而可用性则放在最后。而在工业控制系统中，这三个目标的优先级顺序则正好相反。工业控制系统首先要考虑的是生产实时性和业务连续性，因此对控制系统本身的可用性最为关注，其次才是信息的完整性，保密性的实现通常是放在最后。在对工业控制系统进行风险评估时，相关威胁、风险的权重需要进行适当的调整。

（2）工业控制系统面临的威胁和脆弱性更复杂。正如之前的分析，传统的IT系统所面临的信息安全风险，在工业控制系统中都是存在的；而工业控制系统还存在它独特的风险。利用工业应用程序、工业控制协议和工业控制设备存在的漏洞，结合传统的操作系统漏洞、TCP/IP协议漏洞，攻击者可以构建更加隐蔽的攻击通道，这对风险评估方案的设计提出了极高的要求。

（3）工业控制系统中的风险评估实施环境复杂。工业控制系统内的信息安全风险评估需要考虑工业现场的实际情况，不能影响正常的工业生产。举例来说，传统的IT安全评估中常用的漏洞扫描，就可能会对工业控制系统的正常运行产生影响，因此只能在非常特定的时间进行操作。由于很多评估操作无法在实际环境中进行，甚至可能需要借助仿真环境、实验床环境来模拟进行。

目前用于指导信息安全风险评估的方法较多，大多数评估方法都是“自下而上”的，即从计算基础设施开始，过于强调技术弱点，而很少考虑组织的任务和业务目标的风险。根据工业控制系统的特点，可采用OCTAVE（Operationally Critical Threat, Assert, Vulnerability Evaluation 可操作的关键威胁、资产和薄弱点评估方法）方法来指导工业企业的安全风险评估。OCTAVE是美国卡耐基-梅隆大学软件工程研究所下属的CERT协调中心的研发成果，用以定义一种系统的、组织范围内的评估信息安全风险的方法。OCTAVE方法着眼于组织本身并识别出组织所需要保护的对象，明确它为什么存在风险，然后开发出技术和实践相结合的解决方案。

OCTAVE方法强调组织的参与，分析小组由本组织内部的人员组成，并且领导整个评估活动。分析小组必须由来自不同学科的人员组成，包括来自业务部门和信息技术部门的不同人员。在工业控制系统领域，采用OCTAVE方法的优势在于：

（1）熟悉工业生产工艺流程、自动化技术和信息技术的人员协同工作，有利于风险评估工作的开展，并制定出符合工业控制系统实际情况的安全策略；

（2）调动现场工作人员参与风险评估，更有利于提升大家的信息安全意识和安全生产意识，巩固评估成果。

3.2 安全分区奠基

安全风险评估完成之后，就可以根据评估结果制定工业控制系统的安全解决方案。对业务网络进行安全分区或者安全域划分是常用的信息安全手段，也是企业建立纵深防御安全体系的基础。安全域指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。通俗来说，安全域是指具有相同业务要求和安全要求的IT系统要素的集合。通过网络安全域的划分，可以把复杂的大型网络系统安全问题转化为较小区域的更为单纯的安全保护问题，从而更好地控制网络安全风险，降低系统风险；根据不同安全域的安全等级要求，明确各区域的防护重点，可以将有限的安全设备投人到最需要保护的资产，提高安全设备利用率。

如图2所示，IEC 62443系列标准是由IEC/TC65/WG10与ISA 99共同制定的适用于工业自动化和控制领域的权威安全标准，其中IEC 62443-3在防护策略中引入了区域和管道的方法，这实际上就是安全域的划分：通过横向分区，纵向分域，对控制系统的各个子系统进行分段管理，区域之间的通信靠专用管道执行，通过对管道的管理来阻挡区域之间的非法通信，保护网络区域和其中的设备。

图2 IEC62443中的安全分区和管道通信

在国内的工业控制领域，基于安全域理念的防护体系也已经很成熟，这其中典型代表就是电力二次系统的安全防护体系。原电监会颁布的《电力二次系统安全防护规定》中提出，电力二次系统安全防护工作应该坚持安全分区、专网专用、横向隔离、纵向认证的原则，保障电力监控系统和电力调度数据网络的安全，如图3所示。

在安全域划分中，常用的安全技术包括防火墙、UTM、网闸等，但这些通用的安全技术无法针对工业控制协议进行深度检测，比如对Modbus、OPC、DNP3等协议字段级别的识别和防护。在工业控制系统中，还需采用支持工业控制协议的专用安全产品来弥补通用安全技术的不足，实现对网络边界的完全保护。

作为国内最早推出专业工控安全产品和安全服务的厂商，力控华康的工业防火墙和工业网络安全防护网关是目前比较成熟的工业控制网络边界防护产品，在钢铁冶金、石油化工、电力、市政等领域有着广泛的应用。

图3 电力二次系统的安全分区防护

力控华康HC-ISG工业防火墙是国内首款专门应用于工业控制安全领域的自主知识产权的防火墙产品，能有效针对SCADA、DCS、PLC、RTU提供安全保护。HC-ISG支持对常见工业控制协议的识别、过滤和深度防御，可以对工业协议内部的指令、寄存器等信息进行检查，防止应用层协议被篡改或破坏，保证工业协议通讯的可控性和准确性。

力控华康PSL工业网络安全防护网关是一款安全隔离产品，用于解决工业控制系统接入信息网络时的安全问题。PSL安全防护网关采用“2+1”的安全隔离技术架构，阻断网络间直接的TCP/IP连接，通过专有协议实现对OPC、Modbus等工业控制协议的封装和安全的数据传输。

3.3 功能安全结合

工业控制领域的安全可分为三类，即功能安全（Function Safety）、物理安全（Physical Safety）和信息安全（Information Security）。所谓的功能安全，是指工业控制系统中的控制器、执行器出现失效或故障时，系统仍能保持安全条件或进入到一种安全状态，紧急停车防止事故发生。功能安全系统包括安全仪表系统（SIS）、工业控制软件的功能安全部分等（对于确保功能安全的系统，我们在下文统称为“安全执行系统”）。物理安全是减少由于点击、着火、辐射、机械危险、化学危险等因素造成的危害。这三方面的安全不是孤立而是相辅相成的，物理安全出现问题会影响到信息安全，信息安全出现问题也会影响到功能安全。

由于工业控制系统的特殊性，黑客攻击的最终目标往往并不是窃取信息，而是对生产过程进行破坏，甚至制造恶性事故。这种情况下，“安全执行系统”是否能够正常运行就成为确保不发生事故的最后一道防线。“震网病毒”就是典型的在破坏了信息安全之后又破坏功能安全的案例。“震网病毒”在侵入伊朗的铀浓缩工厂后，最主要的动作是控制离心机的转速，通过提高其转速而达到破坏离心机的效果。但是在离心机的转速不正常的情况下，控制系统的“安全执行系统”就会起作用，强制停止离心机的运转，这样伊朗的技术人员就能够迅速的发现异常。只有“安全执行系统”也被破坏或屏蔽，“震网病毒”才能够随意控制离心机的转速，达到大面积破坏的目的。“震网病毒”成功控制了伊朗工厂的“安全执行系统”，通过发送伪造的传感器数据来掩盖其攻击行为，使得破坏可以不被发现地持续进行。

国际电工协会制定的IEC61508标准：《电气、电子、可编程电子安全系统的功能安全》规范了满足安全相关系统功能安全的基本要求和规则，在IEC61508基础之上，IEC又制订了一系列的标准，其中IEC61511《过程工业安全仪表系统的功能安全》是关于过程工业系统功能安全的主要国际标准，可用于实际工作中功能安全相关操作的指引。

“安全执行系统”是确保工业控制系统安全的重要一环。同工业控制系统一样，现在的“安全执行系统”也离不开信息技术，例如出于安全监控等目的，安全仪表系统经常通过TCP/IP协议同其他系统连接，增加了被攻击的风险。信息安全和功能安全相结合，一方面指综合采用信息安全措施和功能安全措施来确保工业控制系统的安全，另一方面，也要采用信息安全措施来保护功能安全的“安全执行系统”。在工业控制系统内实施信息安全风险评估，不仅要评估控制系统的安全风险，还要评估“安全执行系统”的安全风险，识别信息安全风险可能对功能安全带来的影响；在工业控制系统内实施信息安全策略，不仅要保护控制系统本身，还要保护控制系统的“安全执行系统”，否则“行百里者半九十”，容易出现安全短板。

3.4 纵深防御完善

在IT系统的信息安全保障体系中，纵深防御是比较常见的一种安全保护模型。纵深防御是指综合利用安全分区、边界保护、威胁检测、安全审计等多种安全手段，层层制定安全防护策略，确保核心业务系统的信息安全。

工业控制系统很早就借鉴了IT系统信息安全建设的思路。早在2009年，美国国土安全部发布了《利用纵深防御策略提升工业控制系统的网络安全性》指导文件，用于指导美国国内重要基础设施和流程工业企业的工业控制系统安全实践。图4是采用纵深防御体系的工业控制系统的网络结构。在这份指导性文件中，将工业企业的网络划分为不同的保护区域，并将控制系统中对外提供服务的设施进一步划分出不同的DMZ区。对DMZ区的所有访问，利用IT防火墙和PLC/现场级工业防火墙来提供足够强度的安全防护，不允许绕过防火墙进行操作；并进一步通过部署入侵检测系统（IDS）、安全事件管理（SIEM）来提供对网络威胁的识别和告警，以弥补单纯防护手段的不足。

图4 采用了纵深防御体系的工业控制系统（美国国土安全部）

2010年“震网病毒”事件之后，工业控制系统的安全性问题开始为大众所关注，各大控制系统厂商、工控安全厂商也纷纷推出了自己的安全解决方案。比如西门子提出的基于纵深防御理念的工业控制系统保护模型，通过部署多层次的、具有不同针对性的安全措施，来确保关键的工业自动化控制过程与应用的安全；同时，其针对整个工业信息安全的防护体系也分为工厂安全、工厂IT安全和访问控制多个层级，层层保护，纵深加强。

在纵深防御的理念已经成为业界主流的情况下，对“纵深”的不同理解成为防护是否有效的关键。在笔者看来，在工业控制系统内真正有效的纵深防御体系应该具备以下特点：

（1）对“症”下药而非生搬硬套。工业控制系统的使用场景有别于传统IT系统，不能将传统IT安全的一套照搬过来。比如在边界防护中，需要考虑工业控制系统对实时性的要求，选择有足够性能支撑的防火墙。而在使用IDS来进行威胁侦测时，如果使用人员不具备对安全事件的分析和识别能力，那么IDS频繁的事件上报将会是一种灾难。必须针对工业控制系统的使用环境，调整并优化安全策略，使各种安全技术能够真正有效地发挥作用。

（2）防护、检测技术和响应手段相结合。针对工业控制系统中的攻击一般都是高级可持续性威胁（APT），潜伏周期长，攻击手段复杂。针对这种类型的威胁和攻击，采用单纯的防御措施是远远不够的，经典安全理论中的防护技术（Protection）、检测技术（Detection）和响应手段（Response）缺一不可。防护技术（比如防火墙）提供一定时间的安全缓冲，而通过检测手段和响应措施，可以弥补防护技术的不足。典型的检测手段包括：漏洞扫描和修补、入侵检测、日志分析、网络行为审计、安全事件管理等。

（3）需要建立安全管理策略和规范。安全是“三分技术、七分管理”，一个完整的纵深防御体系，不能缺少安全管理和规范的内容。相关统计数据显示，只有20%的数据破坏是公司外部威胁导致，而80%的安全威胁是来自公司内部的，其中包括操作失误、故意破坏和知识缺乏等。针对这样的问题，企业内部信息安全通报和响应机制的建立、针对员工安全意识的培训、制定工控系统安全操作规范等，都是行之有效的措施。

4 总结

随着以太网和互联网技术在工业系统中的应用越来越广泛，工业控制系统所面临的信息安全风险也越来越突出。信息安全保障体系的设计是一项庞大的系统工程，尤其是考虑到在工业控制系统中应用时需要面对方方面面的问题。本文在分析工业控制系统安全风险及现有解决方案的基础上，提出了“风险评估先行，安全分区奠基；功能安全结合，纵深防御完善”的工控信息安全建设思路。目前该思路已经在一些项目中得到应用，并取得了良好的效果。

[1] IEC 62443 Industrial communication networks - Network and system security (DRAFT)[S].

[2] IEC 61508 Functional safety of electrical/electronic/programmable electronic safety - related systems[S].

[3] IEC 61511 Functional safety - safety instrumented systems for the process industry sector[S].

[4] 彭瑜. 过程工业控制系统及其软件的功能安全[J]. 自动化博览, 2010, 27(12).

[5] Recommended Practice: Improving Industrial Control Systems Cybersecurity with Defense - In - Depth Strategies[M]. Department of Homeland Security, U. S., 2009.

[6] 卢祈. 安全无止境 - 解析工控系统中的功能安全与信息安全[J]. 中国仪器仪表, 2013(2): 29 - 32.

李光朋（1979-），男，汉族，山东潍坊人，硕士。现就职于北京力控华康科技有限公司，任市场部经理，主要从事工业控制系统信息安全的研究和推广工作。