許光濘

(中國電子科技集團公司 第三十二研究所，上海 201808)

隨著計算機和網絡技術以及物聯(lián)網的快速發(fā)展，在工業(yè)化和信息化“兩化”融合的行業(yè)發(fā)展需求下，工控網絡與辦公網絡的互聯(lián)互通是一個必然趨勢。工業(yè)控制系統(tǒng)正快速地從封閉、孤立的系統(tǒng)走向互聯(lián)，包括與傳統(tǒng)IT系統(tǒng)互聯(lián)，工業(yè)控制系統(tǒng)產品越來越多地采用通用協(xié)議、通用硬件和通用軟件，廣泛地采用以太網作為網絡基礎設施。工業(yè)生產企業(yè)為了提高生產效率、管理效率，大力推進工業(yè)控制系統(tǒng)自身的集成化、集中化管理，使得工業(yè)控制網絡與辦公網、互聯(lián)網也存在千絲萬縷的聯(lián)系。

工業(yè)控制系統(tǒng)與其他網絡系統(tǒng)的互聯(lián)互通，拓展了工業(yè)控制的發(fā)展空間，同時也帶來了工業(yè)控制系統(tǒng)的信息安全等問題。工業(yè)控制系統(tǒng)在建設之初時主要考慮的是各自系統(tǒng)的可用性，而系統(tǒng)之間互聯(lián)互通的安全風險和防護建設考慮的不多。工業(yè)控制系統(tǒng)的安全關系到各工業(yè)行業(yè)的生產安全。如何保證開放性越來越廣的生產控制網絡的安全性，是目前擺在用戶及行業(yè)自動化制造商面前的難題。

1 工業(yè)控制系統(tǒng)信息安全的內涵

1.1 工業(yè)控制系統(tǒng)信息安全的定義

IEC 62443針對工業(yè)控制系統(tǒng)信息安全的定義[1]是： 保護系統(tǒng)所采取的措施；能夠免于對系統(tǒng)資源的非授權訪問和非授權或意外的變更、破壞或者損失；基于計算機系統(tǒng)的能力，能夠保證非授權人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)也無法訪問系統(tǒng)功能，卻保證授權人員和系統(tǒng)不被阻止；防止對工業(yè)控制系統(tǒng)的非法或有害入侵，或者干擾其正確和計劃的操作。

1.2 工業(yè)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)的不同

最初的工業(yè)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)并無相似之處，但隨著工業(yè)控制系統(tǒng)與其他系統(tǒng)的互聯(lián)互通，廣泛的使用低成本的互聯(lián)網協(xié)議設備取代專有的解決方案，它們已經開始類似于IT系統(tǒng)了。但是，工業(yè)控制系統(tǒng)是工業(yè)領域的生產運行系統(tǒng)，而IT系統(tǒng)通常是信息化領域的管理運行系統(tǒng)，從信息安全目標這一根本原則來看，傳統(tǒng)的CIA原則(機密性、完整性和可用性)已不再適用于工業(yè)控制系統(tǒng)，工業(yè)控制系統(tǒng)的安全目標應遵循AIC(可用性、完整性、機密性)等原則[2]。工業(yè)控制系統(tǒng)與IT系統(tǒng)的綜合比較見表1所列[3]。

表1 工業(yè)控制系統(tǒng)與IT系統(tǒng)的比較

續(xù)表1

2 工業(yè)控制系統(tǒng)的安全現(xiàn)狀及安全事件

2.1 工業(yè)控制系統(tǒng)的安全現(xiàn)狀

工業(yè)控制系統(tǒng)安全不是“老系統(tǒng)碰上新問題”，而是傳統(tǒng)信息安全問題在工業(yè)控制領域的延伸。早期的工業(yè)控制系統(tǒng)信息安全問題主要發(fā)生在上位機系統(tǒng)、工程師站、管理員或操作員站，因為這些設備的使用環(huán)境與傳統(tǒng)IT系統(tǒng)幾乎沒有差別，使用通用的硬件平臺和通用的操作系統(tǒng)，非常容易感染病毒，遭受黑客的攻擊。隨著“兩化”融合加快，工業(yè)控制系統(tǒng)面臨比傳統(tǒng) IT 系統(tǒng)更為嚴峻的內外部威脅： 非法外部組織的潛在攻擊威脅；個人移動電腦、智能移動終端、U盤等設備的不受控接入；內部人員的誤操作和惡意操作行為等。在智能制造時代，隨著接入信息系統(tǒng)的增加，工業(yè)控制系統(tǒng)的安全問題體現(xiàn)得更加突出。工業(yè)控制系統(tǒng)的安全問題主要體現(xiàn)在以下幾個方面：

1)工業(yè)控制系統(tǒng)涉及的范圍廣泛，安全工作量呈現(xiàn)指數(shù)型上升。以往傳統(tǒng)的信息安全大多數(shù)集中在傳輸層、數(shù)據(jù)交換層以及數(shù)據(jù)應用層等技術層面，而工業(yè)控制系統(tǒng)安全除了涉及上層的管理層，還包括系統(tǒng)監(jiān)控層、數(shù)據(jù)交換傳輸層、設備現(xiàn)場過程控制層，工控安全更側重于工業(yè)過程控制層。隨著工業(yè)控制系統(tǒng)范圍的擴大以及監(jiān)控重心的轉移導致了安全復雜性的指數(shù)級上升[4]。

2)傳統(tǒng)的安全手段使用受限。由于工業(yè)控制系統(tǒng)的安全目標與傳統(tǒng)IT系統(tǒng)的目標不同，導致一些原來對IT系統(tǒng)非常有效的安全手段在工業(yè)控制系統(tǒng)中并不適用，需要開發(fā)新的技術體系來應對日益復雜的安全挑戰(zhàn)。例如對系統(tǒng)進行安全掃描，由于很多工業(yè)控制系統(tǒng)的網絡協(xié)議對時延非常敏感，如果硬掃描，則可能會導致整個網絡癱瘓，限制了安全掃描在工業(yè)控制系統(tǒng)中的應用。

3)針對工業(yè)控制系統(tǒng)的攻擊更加具有針對性和目的性，攻擊的目標由系統(tǒng)的管理層設備變?yōu)楝F(xiàn)場控制層設備?！罢鹁W”病毒是世界上首個專門針對工業(yè)控制系統(tǒng)的病毒，打破了人們一直認為的“病毒不會感染現(xiàn)場控制設備”的理念，打破了“PLC與RTU不是運行在現(xiàn)代的操作系統(tǒng)之上，沒有漏洞”的誤區(qū)。

4)工業(yè)控制信息應用系統(tǒng)幾乎是傳統(tǒng)IT信息系統(tǒng)的拷貝，工業(yè)控制系統(tǒng)大量采用IT通用軟硬件，如PC服務器和終端產品、操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，但安全防護遠遠落后于傳統(tǒng)IT系統(tǒng)的安全防護。由于工業(yè)控制系統(tǒng)兼容性的問題，系統(tǒng)補丁和殺毒軟件的安全措施不到位，還是以隔離為主要防護手段。

2.2 工業(yè)控制系統(tǒng)的重大安全事件

近年來，各個工業(yè)行業(yè)的工業(yè)控制系統(tǒng)信息安全事故頻發(fā)，對企業(yè)生產運營、企業(yè)名譽甚至對社會和國家層面都造成了重大影響。工業(yè)控制系統(tǒng)的重大網絡安全事件見表2所列。

表2 重大工業(yè)網絡安全事件

3 工業(yè)控制系統(tǒng)模型

根據(jù)ANSI/ISA-99： 2007[5-7]標準、GB/T 20720—2019《企業(yè)控制系統(tǒng)集成》、IEC62264整理出的工業(yè)控制系統(tǒng)分層參考模型如圖1所示。

圖1 工業(yè)控制系統(tǒng)分層參考模型示意

在工業(yè)控制系統(tǒng)參考模型中，現(xiàn)場執(zhí)行層是實際的物理過程，屬于物理空間，包括各種不同類型的生產設施，典型設備包括直接連接到過程和過程設備的傳感器和執(zhí)行器等。由于該層的物理空間過程對實時性、完整性等要求導致工業(yè)控制系統(tǒng)特有的特點和安全需求。

現(xiàn)場控制層，主要包括： 分散型控制系統(tǒng)(DCS)，安全儀表系統(tǒng)(SIS)，可編程控制器(PLC)以及其他控制設備等，控制各種類型的機械或生產過程的控制設備，同時實現(xiàn)工廠控制系統(tǒng)中報警和安全聯(lián)鎖功能?，F(xiàn)場控制層和現(xiàn)場執(zhí)行層是典型的實時系統(tǒng)。

生產監(jiān)控層，是以計算機為基礎的生產過程控制與調度自動化系統(tǒng)，由數(shù)據(jù)采集與監(jiān)控系統(tǒng)、實時數(shù)據(jù)庫和服務器組成，實現(xiàn)人機交互、組態(tài)軟件、實時數(shù)據(jù)管理以及各類控制任務的規(guī)劃與監(jiān)控，它是弱實時系統(tǒng)。

運行管理層，主要包括： 企業(yè)資源計劃系統(tǒng)、供應鏈管理和客戶關系管理系統(tǒng)、制造執(zhí)行系統(tǒng)等,它是非實時的通用系統(tǒng)，負責管理生產所需最終產品的工作流，包括運行/系統(tǒng)管理、具體生產調度管理、可靠性保障等。

規(guī)劃決策層，包括企業(yè)組織機構管理工業(yè)生產所需業(yè)務相關活動的功能。企業(yè)規(guī)劃決策系統(tǒng)屬于傳統(tǒng)IT管理系統(tǒng)的范疇，系統(tǒng)中使用的都是傳統(tǒng)的IT技術、設備等，在當前工業(yè)領域中企業(yè)管理系統(tǒng)等企業(yè)系統(tǒng)同工業(yè)控制系統(tǒng)之間的連接和聯(lián)系越來越多。

4 工業(yè)控制系統(tǒng)信息安全防護體系

4.1 工業(yè)控制系統(tǒng)網絡安全防護理念

國內外的工控網絡安全防護理念經歷了以下幾個階段過程：

1)強調隔離。在物理隔離的理念基礎上強調隔離。一般使用網關、網閘、單向隔離等設備來實現(xiàn)，把被保護的對象與其他設備或系統(tǒng)隔離。但是被隔離系統(tǒng)在面對現(xiàn)代高端持續(xù)性的攻擊APT(advanced persistent threat)中，單純使用隔離技術就顯得力不從心了。

2)縱深防御體系[8]。工業(yè)控制系統(tǒng)是一個復雜的系統(tǒng)，僅依賴于單一的安全技術和解決方案無法滿足其信息安全需求，必須綜合使用多種安全技術來提升系統(tǒng)的整體防御能力?；诖四康?，美國國土安全部DHS提出了工業(yè)控制系統(tǒng)“縱深防御”戰(zhàn)略，將工業(yè)控制網絡劃分為不同的安全區(qū)[9]，部署防火墻、入侵檢測等多種安全措施，形成整體防護能力?！翱v深防御”體系得到了傳統(tǒng)信息安全廠商的大力推崇，但是在實現(xiàn)過程中，大多數(shù)項目演變?yōu)樾畔踩a品的簡單堆砌，并不能完全適應工業(yè)網絡安全的特點。

3)由工業(yè)控制系統(tǒng)內部建立的主動防御體系。該體系主要被工控廠商所推崇，通過基礎硬件創(chuàng)新來實現(xiàn)，針對工業(yè)控制網絡的特點，基于數(shù)字證書的身份認證、融合可信計算技術的工業(yè)控制器等一系列信息安全主動防護能力來構建工業(yè)信息安全的主動防御體系[10]。結合功能安全與信息安全的冗余容錯與可信增強開發(fā)，對控制裝備與軟件平臺可信增強、軟硬件多變體生成、運行時動態(tài)實現(xiàn)、基于指令序列的設備狀態(tài)檢測、層次化工控威脅態(tài)勢感知融合以及近年來出現(xiàn)的擬態(tài)安全防御，都是屬于工業(yè)控制系統(tǒng)網絡安全主動防御的范疇。

4)以攻為守的國家戰(zhàn)略支持。以美國、以色列為代表，在國家層面注重攻擊技術的研究、實驗、突破和攻防演示實驗的建設，以攻擊技術的提高，帶動防御技術的提高，以攻擊威懾力換取安全性。中國也制定了一系列的安全法規(guī)和制度來保障重大工業(yè)控制系統(tǒng)的安全，對工業(yè)控制系統(tǒng)的網絡安全進行監(jiān)管，大力推進依法治網。

4.2 工業(yè)控制系統(tǒng)安全防護技術

從整個工業(yè)控制系統(tǒng)架構上看，工業(yè)控制系統(tǒng)的網絡體系包括服務器、終端、前端的實時操作系統(tǒng)，同樣涉及物理層、網絡層、主機層、應用層等傳統(tǒng)信息安全問題。為保證工業(yè)控制系統(tǒng)安全穩(wěn)定運行，工業(yè)控制系統(tǒng)的安全防護必須達到通信可控、區(qū)域隔離、報警追蹤這三個目標。工業(yè)控制系統(tǒng)中的各種安全防護技術都是圍繞這三個目標來實現(xiàn)的。

4.2.1 工業(yè)控制系統(tǒng)防火墻技術

防火墻是基于訪問控制技術，它可以保障不同安全區(qū)域之間進行安全通信，通過設置訪問控制規(guī)則，管理和控制出入不同安全區(qū)域的信息流，保障資源在合法范圍內得以有效使用和管理。根據(jù)所建立的“區(qū)域”與“管道”模型，工業(yè)防火墻一般部署在關鍵數(shù)據(jù)通路上，對不同“區(qū)域”之間的數(shù)據(jù)流進行訪問控制，對工業(yè)通信協(xié)議進行深度過濾檢查，對違反安全規(guī)則的網絡行為進行實時報警，并且將異常事件上傳至異常事件數(shù)據(jù)庫。工業(yè)防火墻的工作原理如圖2所示。

圖2 工業(yè)防火墻工作原理示意

工業(yè)防火墻中一般用到的規(guī)則是“白名單”規(guī)則，即可以設置允許規(guī)則，只有符合該規(guī)則的數(shù)據(jù)流才能通過，其他的任何數(shù)據(jù)流都可以被過濾掉，這樣就保障了資源的合法使用。通過工業(yè)防火墻可以劃分控制系統(tǒng)安全區(qū)域，對安全區(qū)域進行隔離保護，保護合法用戶訪問網絡資源。此外，工業(yè)防火墻還支持控制協(xié)議深度解析功能，支持異常報文過濾、阻斷、報警、審計等各類功能。如解析Modbus，DNP3等應用層異常數(shù)據(jù)流量，動態(tài)追蹤OPC端口，保護關鍵寄存器和操作，還可以根據(jù)實際設備配置參數(shù)的合理范圍，監(jiān)控和分析實際的配置指令，進行報警和阻斷等。

4.2.2 入侵檢測/防御技術

工業(yè)控制系統(tǒng)信息安全防護一般會在系統(tǒng)邊界處布置入侵檢測/防御系統(tǒng)，它是在檢測風險和攻擊行為(包括已知和未知攻擊)的基礎上，根據(jù)規(guī)則有效地阻斷攻擊的硬件或軟件系統(tǒng)。一般利用包過濾、狀態(tài)包檢測和實時入侵檢測等手段來發(fā)現(xiàn)工業(yè)控制系統(tǒng)的網絡流量是否正常，應用于工業(yè)控制領域的入侵檢測技術隨著信息技術的發(fā)展而不斷發(fā)展?，F(xiàn)在的入侵檢測除了能實現(xiàn)拒絕服務、命令注入、響應注入等檢測[11]外，還能實現(xiàn)角色管理、遠程管理等功能[12]，除了傳統(tǒng)的入侵檢測技術外，還融合了大數(shù)據(jù)分析方法[13]和機器學習模型[14]。

4.2.3準入控制技術

準入控制技術主要針對工業(yè)控制系統(tǒng)中工程師站、操作員站等終端，服務器等設備采取相關的準入控制。準入控制包括設備準入、應用軟件準入、用戶識別及用戶權限管理等。在實際操作設備和計算機時，需要使用指定的筆記本、U盤等，管理人員只信任可識別的身份[15]，未經授權的行為將被拒絕。只有可信任的設備，才允許接入控制網絡；只有可信任的命令，才能在網絡上傳輸；只有可信任的軟件，才能在終端或服務器上執(zhí)行；對沒有安裝殺毒軟件的終端或服務器禁止接入控制網絡。

4.2.4主動防御技術

工業(yè)控制系統(tǒng)中的工業(yè)防火墻技術、入侵檢測技術等，都屬于靜態(tài)的被動防御技術，在一定程度上滿足了對外部網絡威脅的抵御需求，但針對未知的威脅和來自于內部的威脅卻難以發(fā)揮作用。為解決信息安全防護在工業(yè)控制系統(tǒng)中存在的問題，一些學者和廠商提出了主動防御理念，出現(xiàn)了“改變游戲規(guī)則”的網絡安全防御技術、移動目標防御(MTD)等，提出了控制裝備內建安全、擬態(tài)防御、自重構可信賴、可信計算等創(chuàng)新性的主動防御技術，例如采用可信計算和數(shù)字證書體系作為主動防護的基礎[10]，解決設備固件更新階段的合法性和完整性度量，進一步賦予工業(yè)控制系統(tǒng)控制層的核心防護能力。

4.2.5安全審計

在對工業(yè)協(xié)議報文深度解析的基礎上，結合實際的工藝和設備的安全配置參數(shù)，監(jiān)測工業(yè)控制系統(tǒng)的異常行為，可以發(fā)現(xiàn)某些參數(shù)超限、命令執(zhí)行方式異常等問題，產生報警信號，提醒操作人員采取適當?shù)拇胧┙鉀Q異常。此外還可以記錄各種用戶的操作日志以及軟件的運行日志數(shù)據(jù)，當發(fā)生異常時，提供分析異常的依據(jù)。

4.2.6自主可控技術

目前國內工業(yè)控制系統(tǒng)中大量核心設備依然依賴進口，不能實現(xiàn)自主可控，需要重點構建從安全芯片、安全嵌入式操作系統(tǒng)、嵌入式安全計算平臺，到控制設備的自主可控關鍵產品，融合功能安全與信息安全，實現(xiàn)實時性、可靠性、安全性的統(tǒng)一。工業(yè)企業(yè)在有條件的情況下盡量采用自主工業(yè)控制系統(tǒng)和設備；在條件暫不具備的情況下，盡量在應用層實現(xiàn)安全加固，提升安全免疫能力。

4.3 工業(yè)控制系統(tǒng)安全防護體系結構

工業(yè)控制系統(tǒng)的信息安全不是傳統(tǒng)信息系統(tǒng)的信息安全疊加，必須結合工業(yè)控制系統(tǒng)自身的特點，在被動防御機制和縱深防護機制的基礎上，構建多層防御體系，融入主動防御技術。工業(yè)控制系統(tǒng)信息安全多層防護體系結構如圖3所示。

圖3 工控系統(tǒng)信息安全多層防護體系結構示意

工業(yè)控制系統(tǒng)的信息安全多層防護體系結構是在工業(yè)控制系統(tǒng)模型的基礎上構建的，縱向分層，橫向分域?？v向分成現(xiàn)場執(zhí)行層、現(xiàn)場控制層、生產監(jiān)控層、運行管理層和規(guī)劃決策層，橫向按不同的車間、不同的生產線進行邏輯隔離，分成不同的安全域。不同層和不同域之間由工業(yè)防火墻來實現(xiàn)安全隔離防護。在各層之間的邊界上，實施鏈路加密、入侵檢測和威脅評估，收集各類異常信息，異常信息匯總到安全監(jiān)測中心，實現(xiàn)安全監(jiān)測審計。

針對控制設備主要實現(xiàn)設備的自主可控、設備的準入控制、構建軟硬件的可信計算、設備安全加固、介質安全管理等。在生產監(jiān)控層和現(xiàn)場控制層主要關注控制器、存儲、操作系統(tǒng)內核、基本安全算法與協(xié)議等基礎軟硬件的完整可信[16]、自主可控，基于國產密碼算法和技術進行安全可信平臺建設。針對工業(yè)控制系統(tǒng)中使用的IT設備和軟件，部署實施傳統(tǒng)IT系統(tǒng)的信息安全手段。

5 結束語

“震網”病毒事件為全球工業(yè)控制系統(tǒng)安全問題敲響了警鐘，促使國家和社會逐漸重視工業(yè)控制系統(tǒng)的信息安全問題。工業(yè)控制系統(tǒng)作為能源、制造、軍工等國家命脈行業(yè)的重要基礎設施，在信息攻防戰(zhàn)的陰影下針對工業(yè)控制系統(tǒng)的攻擊事件層出不窮，對企業(yè)生產運營、企業(yè)名譽甚至對社會和國家層面都造成了重大影響。本文主要研究了工業(yè)控制系統(tǒng)的信息安全內涵，闡述了工業(yè)控制系統(tǒng)的安全現(xiàn)狀，分析了工業(yè)控制系統(tǒng)信息安全防護技術，在被動防御機制和縱深防護機制的基礎上，構建多層防御體系，融入主動防御技術，提出了工業(yè)控制系統(tǒng)信息安全多層防護體系結構。工業(yè)控制系統(tǒng)的信息安全不是傳統(tǒng)信息安全的漏洞掃描、打補丁、防病毒等安全手段的疊加，需要結合生產安全、功能安全、信息安全等多方面要求統(tǒng)籌開展工業(yè)控制系統(tǒng)安全防護，提升工業(yè)控制系統(tǒng)用戶安全意識。