摘要：隨著工業(yè)信息化進程的快速推進，信息、網(wǎng)絡(luò)技術(shù)在工業(yè)控制領(lǐng)域得到了廣泛 的應(yīng)用。工業(yè)控制系統(tǒng)逐漸打破了以往的封閉性，這使得工業(yè)控制系統(tǒng)也必將面臨黑客入 侵等傳統(tǒng)的信息安全威脅。本文分析了工業(yè)控制系統(tǒng)面臨的安全威脅，以及現(xiàn)有工業(yè)控制 領(lǐng)域安全工作的進展，然后提出了我們應(yīng)對工業(yè)控制系統(tǒng)安全問題的解決思路，從根本上發(fā)現(xiàn)并解決工業(yè)控制系統(tǒng)安全問題。

   關(guān)鍵詞：工業(yè)控制系統(tǒng)；漏洞

    一 . 工業(yè)控制系統(tǒng)安全威脅 

    隨著工業(yè)信息化進程的快速推進，信息、網(wǎng)絡(luò)以及物聯(lián)網(wǎng)技術(shù) 在智能電網(wǎng)、智能交通、工業(yè)生產(chǎn)系統(tǒng)等工業(yè)控制領(lǐng)域得到了廣泛的應(yīng)用，極大地提高了企業(yè)的綜合效益。為實現(xiàn)系統(tǒng)間的協(xié)同和信息分享，工業(yè)控制系統(tǒng)也逐漸打破了以往的封閉性，采用標(biāo)準(zhǔn)、通用的通信協(xié)議及硬軟件系統(tǒng)，甚至有些工業(yè)控制系統(tǒng)也能以某些方式連接到互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)中。

    這使得工業(yè)控制系統(tǒng)也必將面臨病毒、木馬、黑客入侵、拒絕 服務(wù)等傳統(tǒng)的信息安全威脅，而且由于工業(yè)控制系統(tǒng)多被應(yīng)用在電力、交通、石油化工、核工業(yè)等國家重要行業(yè)中，其安全事故造成 的社會影響和經(jīng)濟損失會更為嚴(yán)重。出于政治、軍事、經(jīng)濟、信仰 等諸多目的，敵對的國家、勢力以及恐怖犯罪分子都可能把工業(yè)控 制系統(tǒng)作為達(dá)成其目的的攻擊目標(biāo)。

    根據(jù) ICS-CERT（US-CERT 下屬的專門負(fù)責(zé)工業(yè)控制系統(tǒng)的 應(yīng)急響應(yīng)小組）的統(tǒng)計，自 2011 年以來，工業(yè)控制系統(tǒng)相關(guān)安全事件數(shù)量大幅度上升。雖然針對工業(yè)控制系統(tǒng)的安全事件與互聯(lián)網(wǎng)上的攻擊事件相比，數(shù)量少得多，但由于工業(yè)控制系統(tǒng)對于國計民生 的重要性，每一次事件都會帶來巨大的影響和危害。


                                                       

    二 . 現(xiàn)有工業(yè)控制領(lǐng)域安全工作進展

    工業(yè)控制系統(tǒng)脆弱的安全狀況以及日益嚴(yán)重的攻擊威脅，已經(jīng)引起了國家的高度重視，甚至提升到“國家安全戰(zhàn)略”的高度，并在 政策、標(biāo)準(zhǔn)、技術(shù)、方案等方面展開了積極應(yīng)對。在明確重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理要求的同時，國家主管部門在政策和科研層面上也在積極部署工業(yè)控制系統(tǒng)的安全保障工作。

    自 2013 年以來，工業(yè)控制系統(tǒng)的安全 問題在國內(nèi)許多信息安全相關(guān)的技術(shù)大會上 作為重要的研討議題頻繁出現(xiàn)，已成為工業(yè) 控制系統(tǒng)相關(guān)的各行業(yè)以及信息安全領(lǐng)域的 研究機構(gòu)、廠商所關(guān)注的熱點方向之一。同 時，國家在政策制訂、技術(shù)標(biāo)準(zhǔn)研制、科研 基金支持、促進行業(yè)內(nèi)合作等方面也在逐步 加大推動的力度。其中很多廠商在工業(yè)控制 領(lǐng)域安全工作進展也十分明顯。

    2.1 工業(yè)控制系統(tǒng)制造商

    隨著工業(yè)控制系統(tǒng)安全問題越來越受關(guān) 注，各個工業(yè)控制系統(tǒng)制造商也將工業(yè)控制 系統(tǒng)安全工作納入其工作范疇之中。在研發(fā) 制造階段，很多制造商引入安全評估機制， 對其生產(chǎn)的工業(yè)控制設(shè)備進行安全評估。目 前以西門子、施耐德、羅克韋爾等為主的國 際大型工業(yè)控制系統(tǒng)制造商都已經(jīng)在積極的 進行工業(yè)控制系統(tǒng)安全研究。

    以西門子為例，西門子中國研究院成立 了信息安全部，專門針對工業(yè)控制系統(tǒng)進行安全研究工作。西門子提出了縱深防御的安全理念，將工廠安全、網(wǎng)絡(luò)信息安全、系統(tǒng)完整性統(tǒng)一考慮，形成解決方案。


                                                 
                                                                                 圖 1 西門子工業(yè)信息安全體系

    但是可以看到，西門子的工業(yè)信息安全雖然宣稱貫穿自動化系統(tǒng)所有層級，但主要針對 的是西門子自身的設(shè)備產(chǎn)品，給出了基于訪問控制、密碼保護在內(nèi)的信息安全解決方案。

    施耐德、羅克韋爾的情況與西門子比較類似，均提出了針對自身產(chǎn)品的工業(yè)控制系統(tǒng)信 息安全解決方案。

    從總體上看，先進的工業(yè)控制系統(tǒng)制造商都能夠提出自己的工業(yè)控制系統(tǒng)信息安全解決 方案。但是這些制造商做這項工作也有其不足之處 ：各個廠商需要在 IT 安全領(lǐng)域與各種傳 統(tǒng) IT 安全廠商合作才可以實現(xiàn)其信息安全解決方案。而更為關(guān)鍵的 OT 安全領(lǐng)域，這些制 造商僅能夠針對自身產(chǎn)品提供解決方案，無法提供跨廠商的 OT 安全解決方案。

    2.2 工業(yè)控制安全供應(yīng)商

    目前也有很多重點在工業(yè)控制安全開展工作的廠商，這些廠商主要為工業(yè)控制系統(tǒng)用戶 提供通用的工業(yè)控制安全產(chǎn)品或服務(wù)。

    提供工業(yè)控制產(chǎn)品的典型廠商如海天煒業(yè)、力控華康等廠商。這些工業(yè)控制安全供應(yīng)商一般在工業(yè)控制領(lǐng)域都有技術(shù)積累，因此能夠快速推出工業(yè)控制安全設(shè)備。但由于這些廠商在信息安全領(lǐng)域的積累不足，所以推出的 安全設(shè)備主要為訪問控制類產(chǎn)品，如工控防火墻、工控隔離網(wǎng)關(guān)等。

                                                

                                                                                  圖 2 Tofino 工業(yè)防火墻

    三 . 工業(yè)控制系統(tǒng)安全治理的治本之道

    3.1 工業(yè)控制系統(tǒng)面臨更加苛刻的安全性要求

    在工業(yè)控制系統(tǒng)中，無論是一次系統(tǒng)還是二次系統(tǒng)，以及間隔 層還是過程層，業(yè)務(wù)的連續(xù)性、健康性是至關(guān)重要的，尤其是石化、 電力、交通、核工業(yè)、水利等行業(yè)。而工業(yè)控制系統(tǒng)由于其長期封閉、 獨立的特性，造成了在安全方面建設(shè)的欠缺，不具備更多的容錯處理， 比如異常指令的處理，不具備較大壓力的處理，比如快速數(shù)據(jù)傳輸、 訪問等。在 Gartner 報告中，總結(jié)了工業(yè)控制系統(tǒng)安全性相比 IT 環(huán) 境的一些區(qū)別性特性 ：

    • 工業(yè)控制系統(tǒng)安全問題將直接對物理環(huán)境造成影響，有可能導(dǎo) 致死亡、受傷、環(huán)境破壞和大規(guī)模關(guān)鍵業(yè)務(wù)中斷等。

    • 工業(yè)控制系統(tǒng)安全相比 IT 安全有更廣泛的威脅向量，包括安全限制和特有網(wǎng)絡(luò)協(xié)議的支持。

    • 工業(yè)控制系統(tǒng)安全涉及的系統(tǒng)廠商多，測試和開發(fā)環(huán)境多種多樣。

    • 一些工業(yè)控制系統(tǒng)安全環(huán)境面臨預(yù)算限制，這是與那些需要嚴(yán)格監(jiān)管的 IT 不同之處。

    • 在傳統(tǒng)的安全性和可用性作為主要安全特性的 IT 行業(yè)，工業(yè) 控制系統(tǒng)行業(yè)還會關(guān)注對產(chǎn)品質(zhì)量的協(xié)調(diào)影響，運營資產(chǎn)和下游后 果的安全問題。

    3.2 把成熟的 IT 風(fēng)險評估技術(shù)移植到工業(yè)控制系統(tǒng)環(huán)境中

    在面對與 IT 系統(tǒng)不一樣的安全性要求的工業(yè)控制系統(tǒng)時，如何 把成熟的 IT 風(fēng)險評估技術(shù)移植到工業(yè)控制系統(tǒng)中，成為必須解決的 問題。對這些挑戰(zhàn)進行小結(jié)的話，可以歸納為兩個方面 ：一個是如 何覆蓋多樣的工業(yè)控制系統(tǒng) ；一個是如何在評估時保障業(yè)務(wù)的連續(xù) 性和健康性。以下從這兩個方面分別進行探討。

    3.2.1 覆蓋多樣的工業(yè)控制系統(tǒng) 在安全風(fēng)險評估時，不僅需要對在工業(yè)控制系統(tǒng)中使用的傳統(tǒng)
IT 設(shè)備 / 系統(tǒng)，比如操作系統(tǒng)、交換機、路由器、弱口令、FTP 服 務(wù)器、Web 服務(wù)器等，進行安全 評估，還需要覆蓋工業(yè)控制系統(tǒng) 中所特有的設(shè)備 / 系統(tǒng)，比如 SCADA、DCS、PLC、現(xiàn)場總線等； 同時，不僅要覆蓋對漏洞的評估，還需要對一些關(guān)鍵系統(tǒng)的配置 進行安全性評估 ；在工控協(xié)議的支持上，需要對主流的 Modbus、 P r o f i n e t、 I E C 6 0 8 7 0 - 5 -10 4、 I E C 6 0 8 7 0 - 5 -1、 I E C 6 18 5 0、DNP3 等主 流的工控 協(xié)議 進行覆 蓋， 其覆蓋范圍可參見圖 3。


                                                     

                                                                                         圖 3 工控系統(tǒng)評估范圍

    但是，根據(jù) HIS 最近的研究報告“2013 全球工業(yè)以太網(wǎng)和現(xiàn)場總線技術(shù)”中的調(diào)查 顯示， 從 2011 年到 2016 年， 雖 然 新 增加 網(wǎng)絡(luò)節(jié)點的總數(shù) 量將會 增加超 過 30%，但 是現(xiàn)場總線和以太網(wǎng)產(chǎn)品的混合產(chǎn)品數(shù)量將 會 基 本 維 持 不 變， 從 23% 到 26% 僅僅 增加 3 個百分點。 由于技 術(shù)更 新 的成 本、 難度，老式工業(yè)總線很難都 替 換 成支持以太 網(wǎng)的新式總線。因此，需要有一種有效地手 段，可以對基于老式總線工業(yè)控制系統(tǒng)進行 漏洞掃描。 我們的解決 思 路 是， 使用一種 有效的基于總線轉(zhuǎn)換技術(shù)的漏洞掃描技術(shù)， 也就是說通過對老式總線的接入方式的轉(zhuǎn) 換，例如 RS485 轉(zhuǎn)換成以太網(wǎng)，使得采用 標(biāo) 準(zhǔn)工控總線協(xié)議的工業(yè)控制系統(tǒng)， 例如PROFIBUS-DP、MODBUS 等，可以通過以太網(wǎng)的方式進行漏洞掃描。這種技術(shù)可以有效地把基于以太網(wǎng)的成熟漏洞掃描技術(shù)引進到老式的工業(yè)控制系統(tǒng)中，實現(xiàn)更全面的安全風(fēng)險 評估。轉(zhuǎn)換思路可如圖 4 所示。


                                                 

                                                                              圖 4 工業(yè)控制系統(tǒng)總線轉(zhuǎn)換技術(shù)

    3.2.2 在評估時保障業(yè)務(wù)的連續(xù)性和健康性

    在面對安全性要求更高的工業(yè)控制系統(tǒng)，需要在掃描時更加安全、可靠，而工業(yè)控制系 統(tǒng)由于長期封閉建設(shè)的原因，設(shè)備 / 系統(tǒng)相比 IT 系統(tǒng)更加的脆弱。因此需要采用“零影響” 的掃描技術(shù)以保障設(shè)備的零影響。在解決思路上，如果能把安全掃描融入到正常的業(yè)務(wù)中， 也就是說掃描行為與正常的業(yè)務(wù)行為保持一致性，將很好地解決這個問題。同時，通過在 IT 系統(tǒng)中多年積累的安全掃描經(jīng)驗，能夠更好地保障業(yè)務(wù)的連續(xù)性和健康性。

    3.3 如何進行成熟的安全風(fēng)險評估
   
    結(jié)合漏洞的生命周期以及漏洞管理流程，可從以下三個方面進行成熟的安全風(fēng)險評估 ：

    3.3.1 可視化的工控風(fēng)險展示

    風(fēng)險“可視化”是進行風(fēng)險管控必不可少的特 性。科 學(xué)的風(fēng) 險發(fā)現(xiàn)、風(fēng) 險跟蹤 技術(shù)可以很好地提高整體風(fēng)險控制的水平，可為企業(yè)帶來更高的效率， 有的甚至可以提高效果。

   我們根據(jù)多年的經(jīng)驗積累，采用了更具 實效性的儀表盤技術(shù)，從不同的角度展示設(shè) 備風(fēng)險及趨勢。

    • 包含資產(chǎn)整體的風(fēng)險值、資產(chǎn)分析趨 勢圖。

    • 包含主機風(fēng)險等級分布、資產(chǎn)風(fēng)險分 布趨勢。

    • 能夠可視化的顯示當(dāng)前資產(chǎn)的風(fēng)險值 及過去一段時間的變化趨勢。

    3.3.2 基于工控資產(chǎn)的漏洞跟蹤 工控系統(tǒng)一般規(guī)模大，資產(chǎn)數(shù)量、漏洞數(shù)量、脆弱性問題也很多，匯總成大量的風(fēng) 險數(shù)據(jù)，會使安全管理人員疲于應(yīng)付，又不 能保證對重要資產(chǎn)的及時修補。

    因此漏洞跟蹤是需要盡量收集工控系統(tǒng) 環(huán)境信息，建立起工控資產(chǎn)關(guān)系列表，系統(tǒng) 基于資產(chǎn)信息進行脆弱性掃描和分析報告 ； 需要從風(fēng)險發(fā)生區(qū)域、類型、嚴(yán)重程度進行不同維度的分類分析報告，用戶可以全局掌握安全風(fēng)險，關(guān)注重點區(qū)域、重點資產(chǎn)，對 嚴(yán)重問題優(yōu)先修補。對于需要定位工控資產(chǎn) 安全脆弱性的安全維護人員，通過直接點擊 儀表盤風(fēng)險數(shù)據(jù)，可以逐級定位風(fēng)險，直至 定位到具體主機具體漏洞 ；同時需要提供了強大的搜索功能，可以根據(jù)資產(chǎn)范圍、風(fēng)險程度等條件搜索定位風(fēng)險。

    3.3.3 完善的工控漏洞管理流程 安全管理不只是技術(shù)，更重要的是通過流程制度對安全脆弱性風(fēng)險進行控制，很多 公司制定了安全流程制度，但仍然有安全事 故發(fā)生，人員對流程制度的執(zhí)行起到關(guān)鍵作 用，如何融入管理流程，并促進流程的執(zhí)行是安全脆弱性管理產(chǎn)品需要解決的問題。


                                                    

                                                                                               圖 5 工控漏洞管理流程 

    安全管理流程制度一般包括預(yù)警、檢測、分析管理、修補、審計等幾個環(huán)節(jié)，結(jié)合安全流程中的預(yù)警、檢測、分析管理、審計環(huán)節(jié)， 并通過事件告警督促安全管理人員進行風(fēng)險修補。

    四 . 總結(jié)

    工業(yè)控制系統(tǒng)安全是近一兩年來備受各 方關(guān)注的一個新興安全技術(shù)領(lǐng)域。工業(yè)控制 系統(tǒng)制造商、傳統(tǒng)安全廠商和工控安全廠商 都在這一領(lǐng)域投入力量展開研究，希望能夠 給工業(yè)控制系統(tǒng)用戶提供一個有效的安全解 決方案。

    目前各類通用工業(yè)控制系統(tǒng)安全問題解 決思路還是從外圍的訪問控制入手，本文給 出一個從工業(yè)控制系統(tǒng)漏洞管理入手的解決 思路，希望能夠從根本上更好地解決工業(yè)控 制系統(tǒng)安全問題。我們也在依照這個思路開 展研發(fā)工作，目前已經(jīng)基本完成了工控漏洞 掃描系統(tǒng)的研發(fā)工作，并且在一些工控環(huán)境 進行驗證工作。希望在不久之后，更具針對 性、更有效的工控漏洞掃描系統(tǒng)將會更好地 在工業(yè)控制系統(tǒng)安全領(lǐng)域發(fā)揮作用。