魏欽志 烽臺科技（北京）有限公司

1　工控系統(tǒng)應(yīng)用與安全風(fēng)險的博弈

工業(yè)控制系統(tǒng)面臨的風(fēng)險，除了產(chǎn)品本身存在的出廠缺陷、軟件更新速度慢、防護(hù)策略缺失等因素外，核心要素還是因為聯(lián)網(wǎng)而引發(fā)的不確定性。但是技術(shù)發(fā)展的趨勢是不可逆的，在面臨新技術(shù)、新應(yīng)用、新模式?jīng)_擊的同時，也接受著信息化、網(wǎng)絡(luò)化、智能化所帶給我們的便利，以及因開放、共享帶來的安全問題。因此，工控網(wǎng)絡(luò)與信息系統(tǒng)作為網(wǎng)絡(luò)安全中的關(guān)鍵信息基礎(chǔ)設(shè)施，信息管理人員必須做好防護(hù)工作，以保障“兩化融合”發(fā)展過程的快速、持續(xù)和穩(wěn)定。

1.1　兩化融合、智能制造的大趨勢

兩化融合的提出背景是人類社會經(jīng)過多年發(fā)展，進(jìn)入了信息文明階段。人類社會文明走過了三個階段，并與之相對應(yīng)產(chǎn)生了三種文明形態(tài)。

第一是農(nóng)業(yè)階段，大家從一萬多年前形成了農(nóng)業(yè)文明；第二是從十七世紀(jì)末開始進(jìn)入了工業(yè)文明階段，與之相對應(yīng)形成了工業(yè)文化。那么從20世紀(jì)50年代開始經(jīng)過第三次浪潮的描述，也就是說世界進(jìn)入了信息化階段。在農(nóng)業(yè)階段解決了人類的生存問題，在工業(yè)階段解決了機(jī)器代替手工，快速提高人類生活品質(zhì)的問題。在信息化階段，通過信息通信技術(shù)實現(xiàn)了社會與經(jīng)濟(jì)的融合，將信息化貫穿了人類生活的方方面面。

工業(yè)化正經(jīng)歷世界經(jīng)濟(jì)的第三次革命，隨著科學(xué)與技術(shù)革命的發(fā)展，其內(nèi)涵也在不斷的發(fā)生變化。工業(yè)化經(jīng)歷了三次的工業(yè)革命的劇變，第一次工業(yè)革命以1775年蒸汽機(jī)發(fā)明為代表的大機(jī)器生產(chǎn)取代手工業(yè)生產(chǎn)，極大提高了生產(chǎn)力。第二次工業(yè)革命，自然科學(xué)開始同技術(shù)生產(chǎn)緊密結(jié)合起來，在提高生產(chǎn)力發(fā)展方面發(fā)揮更為重要的作用。第三次工業(yè)革命，是自動化技術(shù)快速發(fā)展提高了生產(chǎn)力，帶來了全新的研發(fā)設(shè)計、生產(chǎn)制造和經(jīng)營管理過程。在第三次工業(yè)革命有這樣一些代表性的事件：1952年第一臺數(shù)控機(jī)床的出現(xiàn)；1971年微處理芯片的發(fā)明；80年代初計算機(jī)輔助設(shè)計的技術(shù)在產(chǎn)品設(shè)計中的應(yīng)用……那么第三次工業(yè)革命在不同的時期又可以分為數(shù)字化、網(wǎng)絡(luò)化、智能化階段。

1.2　信息產(chǎn)業(yè)發(fā)展與安全行業(yè)監(jiān)管的兩難境地

傳統(tǒng)信息安全與工業(yè)控制信息安全區(qū)別之一是對業(yè)務(wù)的整合能力。傳統(tǒng)信息安全在不同用戶之間所面臨的系統(tǒng)非常類似，而工控系統(tǒng)在不同用戶、不同行業(yè)的應(yīng)用方法存在很大差異，信息安全管理人員需要從企業(yè)生產(chǎn)和業(yè)務(wù)流程的視角，理解風(fēng)險與安全。

作為工業(yè)領(lǐng)域的信息化決策者，首先要保證的一定是生產(chǎn)運(yùn)行的實時性、持續(xù)性和穩(wěn)定性，也就是信息和網(wǎng)絡(luò)系統(tǒng)的功能性和可用性。信息化決策是由企業(yè)最高決策層負(fù)責(zé)的，俗稱信息化工程皆為“一把手”工程，從決策主體的角度，保障了信息化和企業(yè)經(jīng)營發(fā)展的高度一致。

雖然這些信息化、智能化技術(shù)提高了生產(chǎn)力并降低了成本，但它們使關(guān)鍵任務(wù)系統(tǒng)暴露在新的風(fēng)險中，例如工業(yè)關(guān)鍵業(yè)務(wù)系統(tǒng)突然停機(jī)、上位機(jī)誤操作和竊取敏感信息等，這些風(fēng)險直接威脅到工業(yè)用戶的業(yè)務(wù)增長和連續(xù)性。無論是短暫還是長時間的停機(jī)，在工業(yè)制造的操作環(huán)境中是至關(guān)重要的，并且直接影響公司的收入流，造成不可估量的損失。例如，在汽車行業(yè)業(yè)務(wù)的停機(jī)時間成本高達(dá)130萬美元每小時。一旦攻擊者進(jìn)入連續(xù)生產(chǎn)的制造業(yè)工控網(wǎng)絡(luò)，宕機(jī)的風(fēng)險就會增加。惡意攻擊者或可能的競爭對手可以關(guān)閉生產(chǎn)線，甚至破壞昂貴的機(jī)器，造成重大損失。

可當(dāng)信息化系統(tǒng)遇到安全問題的時候，最高負(fù)責(zé)人普遍無法直接做出決策。一方面改善安全狀況需要復(fù)雜的應(yīng)對策略，而安全策略幾乎沒有固定的理論模型，只有依靠官方標(biāo)準(zhǔn)、行業(yè)經(jīng)驗和政策指南等推導(dǎo)出的試探性的方法。另一方面，安全建設(shè)并不會直接產(chǎn)生生產(chǎn)效益，這就要求安全防護(hù)解決方案要具備有效性和及時性。

根據(jù)調(diào)查，在大多數(shù)工業(yè)企業(yè)，對于工業(yè)網(wǎng)絡(luò)中安全的決策者通常為CISO（首席信息安全官）或CSO（首席安全官），他們負(fù)責(zé)整個企業(yè)，包括傳統(tǒng)IT/企業(yè)網(wǎng)絡(luò)/業(yè)務(wù)網(wǎng)絡(luò)和工業(yè)制造/生產(chǎn)/SCADA網(wǎng)絡(luò)的安全。盡管CISO/CSO是決策者，但真正工業(yè)網(wǎng)絡(luò)的完善防護(hù)解決方案，還是需要了解工業(yè)控制或智能制造核心技術(shù)和業(yè)務(wù)流程的工作人員。因此，既保證信息化系統(tǒng)的正常運(yùn)維，又要不損害系統(tǒng)可用性的無擾式管理和維護(hù)方法至關(guān)重要，這對工業(yè)企業(yè)來說幾乎是極其困難的。因此，如何讓企業(yè)信息化的各級參與者，都能夠投入到信息安全的管理決策，是解決工業(yè)企業(yè)信息安全規(guī)則設(shè)計和管理運(yùn)維的有效方法。

圖1 分級需求管理

1.3　態(tài)勢分析與預(yù)警的必要性

隨著信息和網(wǎng)絡(luò)技術(shù)的深入應(yīng)用，決策者開始由發(fā)生了什么、為什么發(fā)生，過渡到將要發(fā)生什么、如何規(guī)避風(fēng)險。現(xiàn)有的傳統(tǒng)IT信息安全解決方案都不適合工業(yè)網(wǎng)絡(luò)。傳統(tǒng)IT信息安全解決方案通常是為某些特定入侵行為或活動而設(shè)計的防御集合，它可能會為工業(yè)現(xiàn)場的流程化生產(chǎn)，增加不必要的管理風(fēng)險，從而危及工業(yè)業(yè)務(wù)本身的連續(xù)性。此外，這些解決方案無法覆蓋復(fù)雜而又缺少公開資料的工業(yè)協(xié)議，因此無法在工業(yè)網(wǎng)絡(luò)中最大限度地發(fā)揮它們的潛力。

對于工控安全的管理，除了需要引入“白名單”管理思想，還需要配合一定的態(tài)勢感知預(yù)警平臺，從而為各級決策部門提供主動風(fēng)險監(jiān)測、被動威脅發(fā)現(xiàn)、威脅情報收集與整合、威脅分析溯源等全方位、一體化態(tài)勢感知服務(wù)。同時這些服務(wù)可以幫助控制工程師和工廠信息化系統(tǒng)管理者保持警覺，匹配預(yù)警等級，提前知曉風(fēng)險，防范事故。

圖2 決策進(jìn)化的三個階段

1.4　監(jiān)管與保障的思考

網(wǎng)絡(luò)信息安全問題不僅關(guān)乎廣大人民群眾工作生活，更與國家安全與國家發(fā)展息息相關(guān)。近些年，根據(jù)互聯(lián)網(wǎng)安全事件事項涉及的領(lǐng)域，國家中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組（以下簡稱網(wǎng)信辦）、工業(yè)和信息化部、公安部等多家主要政府機(jī)構(gòu)協(xié)同擔(dān)負(fù)著互聯(lián)網(wǎng)安全管理職能。

網(wǎng)信辦著眼于國家安全和長遠(yuǎn)發(fā)展，統(tǒng)籌協(xié)調(diào)涉及經(jīng)濟(jì)、政治、文化、社會及軍事等各個領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題，研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策，推動國家網(wǎng)絡(luò)安全和信息化法治建設(shè)，不斷增強(qiáng)安全保障能力。

工信部承擔(dān)著通信網(wǎng)絡(luò)安全及其信息安全管理的責(zé)任，主要從宏觀層面負(fù)責(zé)協(xié)調(diào)、維護(hù)國家層面信息安全，承擔(dān)國家信息安全保障體系的建設(shè)，對政府部門、重點(diǎn)行業(yè)重要信息系統(tǒng)與基礎(chǔ)信息網(wǎng)絡(luò)的安全保障工作進(jìn)行指導(dǎo)監(jiān)督，同時負(fù)責(zé)協(xié)調(diào)網(wǎng)絡(luò)與信息安全重大事件的處理。

公安部承擔(dān)著對計算機(jī)信息系統(tǒng)安全保護(hù)工作進(jìn)行監(jiān)督、檢查、指導(dǎo)；對計算機(jī)信息系統(tǒng)安全進(jìn)行評估與審驗；對計算機(jī)違法犯罪案件依法查處等多項職責(zé)。

而針對工控安全的監(jiān)管責(zé)任還不夠清晰，存在著“九龍治水”的現(xiàn)象，規(guī)模化工業(yè)企業(yè)往往面臨著基礎(chǔ)設(shè)施安全、等保測評和定期檢查評估等同時監(jiān)管的壓力。ARC的一份市場調(diào)研顯示，工業(yè)企業(yè)的首要需求是如何提升生產(chǎn)效率、提高生產(chǎn)利潤，甚至很多工業(yè)企業(yè)才剛剛解決自動化和網(wǎng)絡(luò)化的技術(shù)更新，在信息化方面還處于探索階段。目前我國的工控安全領(lǐng)域發(fā)展與歐美發(fā)達(dá)國家相比尚有一定差距，但我國的市場有其特殊性和不可替代性，若有政府或相關(guān)機(jī)構(gòu)組織站出來對行業(yè)適當(dāng)保障和引導(dǎo)，避免無序發(fā)展，最終以行業(yè)應(yīng)用推動市場發(fā)展，將催生更加龐大完善的市場。

如果政府過度參與，強(qiáng)制企業(yè)采取全方位的防護(hù)，成本會提到很高，對企業(yè)產(chǎn)生較大負(fù)擔(dān)。工信部發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》值得參考，它指出工業(yè)企業(yè)還是首先進(jìn)行風(fēng)險評估，根據(jù)資產(chǎn)的重要程度、安全問題出現(xiàn)的概率、影響程度來采取適當(dāng)措施加以防護(hù)比較權(quán)宜。我們建議：

加強(qiáng)安全意識；

普及安全知識；

持續(xù)關(guān)注風(fēng)險；

逐步推進(jìn)防護(hù)；

推廣應(yīng)用示范。

2 “PDCA”管理與對標(biāo)服務(wù)體系

為使工業(yè)企業(yè)管理人員對關(guān)鍵信息基礎(chǔ)設(shè)施樹立和保持安全意識，在適當(dāng)?shù)臅r間采取適當(dāng)?shù)拇胧约霸陂L期的網(wǎng)絡(luò)安全態(tài)勢中發(fā)現(xiàn)最新風(fēng)險，需要一種持續(xù)的全生命周期管理方法來管理工控網(wǎng)絡(luò)和工控系統(tǒng)，進(jìn)而循序漸進(jìn)地改進(jìn)防護(hù)方案。我們引入了“PDCA”方法和“對標(biāo)”思想來解決以上問題，結(jié)合主動監(jiān)測、可視化交互、被動威脅感知等技術(shù)，讓用戶能夠方便進(jìn)行風(fēng)險管理，在紛繁復(fù)雜的防護(hù)解決方案中做出經(jīng)濟(jì)、適合、實用的決策。

2.1 “PDCA”循序漸進(jìn)體系

PDCA管理循環(huán)，由美國質(zhì)量管理專家戴明提出，又稱戴明環(huán)。它是全面質(zhì)量管理所應(yīng)遵循的科學(xué)程序。PDCA循環(huán)作為全面質(zhì)量管理體系運(yùn)轉(zhuǎn)的基本方法，其實施需要搜集大量數(shù)據(jù)資料，并綜合運(yùn)用各種管理技術(shù)和方法。全面質(zhì)量管理活動的全部過程，就是質(zhì)量計劃的制訂和組織實現(xiàn)的過程，這個過程就是按照PDCA循環(huán)，不停頓地周而復(fù)始地運(yùn)轉(zhuǎn)。

P（計劃 PLAN）：從問題的定義到行動計劃；

D（實施 DO）：實施行動計劃；

C（檢查 CHECK）：評估結(jié)果；

A（處理 ACTION）：標(biāo)準(zhǔn)化和進(jìn)一步推廣。

圖3 PDCA的發(fā)展過程

（1）特點(diǎn)

PDCA循環(huán)，可以使我們的思想方法和工作步驟更加條理化、系統(tǒng)化、圖像化和科學(xué)化。它具有如下特點(diǎn)：

大環(huán)套小環(huán)，小環(huán)保大環(huán)，互相促進(jìn)，推動大循環(huán)；

PDCA循環(huán)是爬樓梯上升式的循環(huán)，每轉(zhuǎn)動一周，質(zhì)量就提高一步；

PDCA循環(huán)是綜合性循環(huán)，4個階段是相對的，它們之間不是完全分開的。

（2）八個步驟

步驟一：分析現(xiàn)狀，找出題目：強(qiáng)調(diào)的是對現(xiàn)狀的把握和發(fā)現(xiàn)題目的意識、能力，發(fā)掘題目是解決題目的第一步，是分析題目的條件。

步驟二：分析產(chǎn)生題目的原因：找準(zhǔn)題目后分析產(chǎn)生題目的原因至關(guān)重要，運(yùn)用頭腦風(fēng)暴法等多種集思廣益的科學(xué)方法，把導(dǎo)致題目產(chǎn)生的所有原因統(tǒng)統(tǒng)找出來。

步驟三：要因確認(rèn)：區(qū)分主因和次因是最有效解決題目的關(guān)鍵。

步驟四：擬定措施、制定計劃（5W1H）即：為什么制定該措施（Why）？達(dá)到什么目標(biāo)（What）？在何處執(zhí)行（Where）？由誰負(fù)責(zé)完成（Who）？什么時間完成（when）？如何完成（How）？措施和計劃是執(zhí)行力的基礎(chǔ)，盡可能使其具有可操性。

步驟五：執(zhí)行措施、執(zhí)行計劃：高效的執(zhí)行力是組織完成目標(biāo)的重要一環(huán)。

步驟六：檢查驗證、評估效果：“下屬只做你檢查的工作，不做你希望的工作”，IBM的前CEO郭士納的這句話將檢查驗證、評估效果的重要性一語道破。

步驟七：標(biāo)準(zhǔn)化，固定成績：標(biāo)準(zhǔn)化是維持企業(yè)治理現(xiàn)狀不下滑，積累、沉淀經(jīng)驗的最好方法，也是企業(yè)治理水平不斷提升的基礎(chǔ)。可以這樣說，標(biāo)準(zhǔn)化是企業(yè)治理系統(tǒng)的動力，沒有標(biāo)準(zhǔn)化，企業(yè)就不會進(jìn)步，甚至下滑。

步驟八：處理遺留題目。所有題目不可能在一個PDCA循環(huán)中全部解決，遺留的題目會自動轉(zhuǎn)進(jìn)下一個PDCA循環(huán)，如此，周而復(fù)始，螺旋上升。

2.2　標(biāo)準(zhǔn)與規(guī)范的選擇

2.2.1工業(yè)控制系統(tǒng)安全控制應(yīng)用指南GB/T32919-2016

安全（security）及其相關(guān)概念間的關(guān)系，如圖4所示。其中的控制是指：應(yīng)用于工業(yè)控制系統(tǒng)中管理、運(yùn)行和技術(shù)上的保護(hù)措施和對策，以保護(hù)工業(yè)控制系統(tǒng)及其信息的保密性、完整性和可用性等。應(yīng)用這些控制的目的是，減少脆弱性或影響，抵御工業(yè)控制系統(tǒng)所面臨的安全威脅，從而緩解工業(yè)控制系統(tǒng)的安全風(fēng)險，以滿足利益相關(guān)者的安全需要。

圖4 安全（SECURITY）及其相關(guān)概念

工業(yè)控制系統(tǒng)安全是一項系統(tǒng)工程，單一的產(chǎn)品和技術(shù)不能有效地保護(hù)工業(yè)控制系統(tǒng)安全，組織應(yīng)在充分挖掘工業(yè)控制系統(tǒng)安全需求的基礎(chǔ)上，制定滿足組織使命和業(yè)務(wù)功能需求的工業(yè)控制系統(tǒng)安全戰(zhàn)略。安全控制基線完善過程如圖5所示。

圖5 安全控制基線完善過程

針對工業(yè)控制系統(tǒng)存在的脆弱性，分析工業(yè)控制系統(tǒng)面臨的威脅和風(fēng)險，評估風(fēng)險發(fā)生的可能性以及風(fēng)險發(fā)生可能造成的影響和危害，制定風(fēng)險處置原則和處置計劃，將工業(yè)控制系統(tǒng)安全風(fēng)險控制在可接受的水平。工業(yè)控制系統(tǒng)安全控制的三個級別，如圖6所示。

圖6 工業(yè)控制系統(tǒng)安全控制的三個級別

2.2.2　工業(yè)控制系統(tǒng)信息安全防護(hù)指南

2016年10月17日《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》正式印發(fā)，為工業(yè)企業(yè)如何開展工業(yè)控制系統(tǒng)信息安全工作提供了可操作性的防護(hù)措施，并可進(jìn)一步提升相關(guān)人員的工業(yè)控制系統(tǒng)信息安全防護(hù)意識，推進(jìn)產(chǎn)業(yè)的整體良性發(fā)展，切實提升國家關(guān)鍵信息基礎(chǔ)設(shè)施控制系統(tǒng)的安全防護(hù)水平。

自從2011年9月《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)[2011]451號）文件發(fā)布之后，國內(nèi)各行各業(yè)對工業(yè)控制系統(tǒng)信息安全的認(rèn)識都達(dá)到了一個新的高度，電力、石化、制造、煙草等多個行業(yè)，陸續(xù)制定了相應(yīng)的指導(dǎo)性文件，來指導(dǎo)相應(yīng)行業(yè)安全檢查與整改活動。451號文填補(bǔ)了國內(nèi)工業(yè)控制系統(tǒng)信息安全的政策空白，由此拉開了行業(yè)發(fā)展的帷幕。

然而，隨著國家信息安全機(jī)構(gòu)職能的調(diào)整，工控安全管理工作在后續(xù)一段時間基本處于暫停狀態(tài)。直到中編辦對工信部在2015年9月16日發(fā)布的新“三定”職責(zé)中明確：“擬定工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與信息安全規(guī)劃、政策、標(biāo)準(zhǔn)并組織實施，加強(qiáng)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全審查”，工控安全相關(guān)工作正式納入工信部的職責(zé)范圍之后，工信部以信息化和軟件服務(wù)司為主管司局，開始加快工控安全的保障工作。2017年5月20日，《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》（國發(fā)〔2016〕28號）文件明確提出:“以提升工業(yè)信息安全監(jiān)測、評估、驗證和應(yīng)急處置等能力為重點(diǎn)，依托現(xiàn)有科研機(jī)構(gòu)，建設(shè)國家工業(yè)信息安全保障中心，為制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展提供安全支撐。” 《指南》共分為11個大項30個條目，涵蓋了安全技術(shù)體系和安全管理體系。

2.3 “對標(biāo)”方法

2.3.1　分值評估法

依據(jù)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》以及本方法中的評估內(nèi)容及方法，明確了具體的評分方式，評價企業(yè)工業(yè)控制系統(tǒng)信息安全的防護(hù)能力的情況，并給出量化的評分標(biāo)準(zhǔn)。本評分標(biāo)準(zhǔn)從11個方面設(shè)置了30個大項，61個小項，129個評分細(xì)項。

（1）評分方法。評估標(biāo)準(zhǔn)滿分為100分，評分采用扣分制，評分細(xì)項的分值作為評分的最小單元。

（2）高風(fēng)險項。高風(fēng)險項共25小項，其分值相對較高。高風(fēng)險項是企業(yè)工控安全防護(hù)中基礎(chǔ)和關(guān)鍵的項，其不滿足要求可能造成較大信息安全風(fēng)險，建議限期整改。

（3）基于證據(jù)的方法。為了保證評估結(jié)果的公正和客觀，評分的判斷須有充分的證據(jù)，證據(jù)包括負(fù)責(zé)人談話、制度文件、運(yùn)行記錄、核查結(jié)果和測試報告等。

圖7 信息的跨平臺交互與共享

2.3.2　與業(yè)務(wù)系統(tǒng)的對應(yīng)融合

在考慮“對標(biāo)”打分項設(shè)計時，針對不同決策層級、復(fù)雜異構(gòu)網(wǎng)絡(luò)等問題，在考慮工控安全需求時，我們需要有針對性的解決方案。根據(jù)企業(yè)信息化普遍存在的“由上至下”的決策流程和“自下至上”的數(shù)據(jù)采集流程特點(diǎn)，我們需要將工控安全整體進(jìn)行細(xì)致化的拆分，再結(jié)合具體企業(yè)的自身特點(diǎn)，根據(jù)各環(huán)節(jié)對生產(chǎn)運(yùn)行影響的危害程度，精準(zhǔn)設(shè)計可實踐、可執(zhí)行的信息安全決策過程。

3　工控安全運(yùn)維實踐

隨著兩化融合的不斷深入，以及物聯(lián)網(wǎng)、云計算和大數(shù)據(jù)等新一代信息技術(shù)的快速發(fā)展，工業(yè)控制系統(tǒng)智能化、網(wǎng)絡(luò)化趨勢日漸明顯，病毒、木馬等威脅向工業(yè)控制系統(tǒng)持續(xù)擴(kuò)散。近年來，工控安全事件頻頻發(fā)生，工控安全漏洞數(shù)量持續(xù)增長，工業(yè)控制系統(tǒng)面臨著日益嚴(yán)峻的安全形勢。國家“十三五”規(guī)劃《綱要》、網(wǎng)絡(luò)強(qiáng)國、《中國制造2025》及“互聯(lián)網(wǎng)+”等一系列戰(zhàn)略部署的推進(jìn)實施，對我國工控安全保障工作提出了更高的要求，迫切需要快速提升工控安全運(yùn)維保障水平和事件應(yīng)急處置能力，更好地支撐經(jīng)濟(jì)社會健康有序發(fā)展，維護(hù)國家安全。

為切實幫助工業(yè)企業(yè)掌握現(xiàn)有網(wǎng)絡(luò)安全風(fēng)險，加強(qiáng)企業(yè)對工控系統(tǒng)網(wǎng)絡(luò)安全工作的規(guī)劃管理和運(yùn)維，形成可行的安全防護(hù)策略，提升企業(yè)工控系統(tǒng)安全管理和技術(shù)防護(hù)水平，依據(jù)《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)〔2012〕23號）、《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)〔2011〕451號）要求，形成如下管理方法，供工業(yè)企業(yè)決策人員參考。

3.1　運(yùn)維方法

運(yùn)維工作需要在最大限度的不影響被檢測單位工控系統(tǒng)正常運(yùn)行的前提下，實施技術(shù)監(jiān)測和檢查，其內(nèi)容包含但不限于如下項目：

3.1.1　網(wǎng)絡(luò)架構(gòu)分析

網(wǎng)絡(luò)架構(gòu)分析是通過對被測試目標(biāo)系統(tǒng)的網(wǎng)絡(luò)拓?fù)洌约熬W(wǎng)絡(luò)層面細(xì)節(jié)架構(gòu)進(jìn)行的安全性評估，該項檢查通過對目標(biāo)系統(tǒng)的網(wǎng)絡(luò)設(shè)備的部署、配置的手動檢查，分析用戶的網(wǎng)絡(luò)邊界是否安全，安全規(guī)則是否設(shè)置合理等。

（1）邊界安全

查閱網(wǎng)絡(luò)拓?fù)鋱D，檢查重要設(shè)備連接情況，現(xiàn)場核查內(nèi)部工控系統(tǒng)的交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，確認(rèn)以上設(shè)備的光纖、網(wǎng)線等物理線路沒有與互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)直接連接，有相應(yīng)的安全隔離措施；

查閱網(wǎng)絡(luò)拓?fù)鋱D，檢查接入互聯(lián)網(wǎng)情況，統(tǒng)計網(wǎng)絡(luò)外聯(lián)的出口個數(shù)，檢查每個出口是否均有相應(yīng)的安全防護(hù)措施（互聯(lián)網(wǎng)接入口指內(nèi)部網(wǎng)絡(luò)與公共互聯(lián)網(wǎng)邊界處的接口，如聯(lián)通、電信等提供的互聯(lián)網(wǎng)接口，不包括內(nèi)部網(wǎng)絡(luò)與其他非公共網(wǎng)絡(luò)連接的接口）；

查閱網(wǎng)絡(luò)拓?fù)鋱D，檢查是否在網(wǎng)絡(luò)邊界部署了防火墻、訪問控制、入侵檢測、安全審計、非法外聯(lián)檢測、惡意代碼防護(hù)等必要的安全設(shè)備。

（2）設(shè)備自身安全

通過手工測試和工具掃描，檢查網(wǎng)絡(luò)設(shè)備自身是否存在弱口令，信息泄漏，命令執(zhí)行等安全隱患。

3.1.2　開機(jī)取證檢查

開機(jī)取證檢查是利用操作系統(tǒng)自帶命令檢查當(dāng)前系統(tǒng)的各種信息，并通過命令返回的信息了解操作系統(tǒng)是否有已存在的安全問題和風(fēng)險，比如檢查系統(tǒng)是否感染了惡意軟件、非法的U盤插拔等問題。該測試方法可以直接在操作系統(tǒng)開機(jī)情況下進(jìn)行本地檢查，不需要安裝任何軟件，不會影響系統(tǒng)的正常運(yùn)行。

系統(tǒng)信息；

網(wǎng)絡(luò)連接；

用戶信息；

隱私信息；

安全信息。

3.1.3　應(yīng)用安全性檢查

應(yīng)用安全性檢查主要是對被測試系統(tǒng)內(nèi)應(yīng)用、功能、業(yè)務(wù)系統(tǒng)進(jìn)行安全性檢查，應(yīng)用安全性檢查主要通過人工測試、遠(yuǎn)程測試方式進(jìn)行，檢查的范圍主要涵蓋主機(jī)系統(tǒng)上運(yùn)行的應(yīng)用及其業(yè)務(wù)系統(tǒng)，諸如Web應(yīng)用系統(tǒng)、數(shù)據(jù)庫、中間件等。

3.1.4　系統(tǒng)安全性檢查

系統(tǒng)安全性檢查是通過遠(yuǎn)程、本機(jī)檢查以及現(xiàn)場調(diào)研的方式檢查主機(jī)操作系統(tǒng)的安全性，在執(zhí)行系統(tǒng)安全性檢查時不會主動對主機(jī)存在的漏洞進(jìn)行驗證的嘗試以及對具有風(fēng)險的漏洞進(jìn)行確認(rèn)操作，僅根據(jù)系統(tǒng)的版本和服務(wù)指紋特征檢查主機(jī)存在的安全漏洞，或通過使用本機(jī)檢查的方式進(jìn)行，系統(tǒng)安全性檢查不需要安裝任何軟件，不會影響系統(tǒng)的正常運(yùn)行，在執(zhí)行遠(yuǎn)程部分的檢查時僅會影響較小的系統(tǒng)性能和網(wǎng)絡(luò)帶寬。

3.1.5　控制系統(tǒng)組件安全性檢查

控制系統(tǒng)組件安全性檢查是通過利用遠(yuǎn)程、本機(jī)檢查以及現(xiàn)場調(diào)研的方式檢查主機(jī)操作系統(tǒng)的安全性，檢查涵蓋的工控系統(tǒng)內(nèi)的應(yīng)用組件包含且不限于如下：

SCADA組態(tài)軟件；

組態(tài)編程軟件；

實時與歷史數(shù)據(jù)庫；

工控通信軟件（IOServer）。

對控制系統(tǒng)組件安全性遠(yuǎn)程檢查通過應(yīng)用指紋特征發(fā)現(xiàn)被檢查對象網(wǎng)絡(luò)中正在運(yùn)行的應(yīng)用組件，利用漏洞指紋特征發(fā)現(xiàn)存在漏洞的應(yīng)用組件版本，進(jìn)行遠(yuǎn)程檢查時不需要安裝任何軟件，不會影響系統(tǒng)的正常運(yùn)行。

3.1.6　控制系統(tǒng)設(shè)備安全性檢查

控制系統(tǒng)設(shè)備安全性檢查會對被檢查工段的工控設(shè)備的運(yùn)行情況、廠商、型號進(jìn)行調(diào)研并結(jié)合工控設(shè)備已存在的安全漏洞、隱患進(jìn)行研判，同時根據(jù)情況還將利用工控脆弱性分析系統(tǒng)或工控系統(tǒng)信息采集與風(fēng)險分析平臺，通過輕量級的工控?zé)o損掃描技術(shù)，以工業(yè)特有通信協(xié)議與工控軟硬件進(jìn)行交互，搜索工控軟硬件的必要信息。系統(tǒng)搜索過程中對工業(yè)控制系統(tǒng)及系統(tǒng)業(yè)務(wù)無干擾，不影響系統(tǒng)本身的正常運(yùn)行。

控制系統(tǒng)設(shè)備安全性檢查的資產(chǎn)類型包含且不限于PLC、控制器、視頻監(jiān)控、DCS、串口服務(wù)器及其它工控通信設(shè)備（通信網(wǎng)關(guān)）等。

3.1.7　工控協(xié)議使用情況檢查

工控協(xié)議從設(shè)計之初一般沒有考慮安全、認(rèn)證、加密等因素，在通信過程中沒有復(fù)雜的認(rèn)證和加密，加上工控協(xié)議的特性是面向命令、面向功能、輪詢應(yīng)答式，攻擊者只需要掌握協(xié)議構(gòu)造方式，并接入到了工控網(wǎng)絡(luò)中，便可以通過協(xié)議對目標(biāo)設(shè)備的任意數(shù)據(jù)進(jìn)行篡改。工控協(xié)議使用情況檢查將對被檢查工段內(nèi)使用的工控通信協(xié)議進(jìn)行風(fēng)險評估，通過調(diào)研的方式了解被檢查工段內(nèi)工控設(shè)備的通信模型，包括使用的工控協(xié)議、傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)類型，根據(jù)情況將利用工控脆弱性分析系統(tǒng)和工控系統(tǒng)信息采集與風(fēng)險分析系統(tǒng)對被檢查的目標(biāo)網(wǎng)絡(luò)內(nèi)所支持的工控協(xié)議的運(yùn)行情況實現(xiàn)指紋發(fā)現(xiàn)。

工控協(xié)議使用情況檢查的協(xié)議類型包含且不限于Modbus、OPC、OPC UA、EtherNet/IP、IEC104、DNP3、IEC61850……

3.2　事件與報警管理

事件與報警管理作為風(fēng)險管理的一部分，通過實時數(shù)據(jù)收集和分析軟件平臺，可持續(xù)監(jiān)測流程控制系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險的跡象。該解決方案可在控制自動化系統(tǒng)上運(yùn)行，并可與安全信息和事件管理系統(tǒng)（SIEM）等企業(yè)安全平臺以及領(lǐng)先網(wǎng)絡(luò)和端點(diǎn)安全產(chǎn)品整合。采用強(qiáng)大的專有算法，可監(jiān)測所有網(wǎng)絡(luò)和系統(tǒng)設(shè)備、探測威脅并識別網(wǎng)絡(luò)上的已知和未知設(shè)備通訊。通過實時預(yù)警和警報可使工業(yè)控制系統(tǒng)的漏洞與威脅及早地傳達(dá)給工廠人員。解決方案提供有關(guān)工業(yè)控制系統(tǒng)中風(fēng)險的可能原因、潛在影響以及推薦措施的專業(yè)指南。

工控信息安全同樣屬于信息安全，安全防護(hù)是一個綜合性的課題，是一套體系。安全防護(hù)的手段固然很多，但是每類工具或防護(hù)設(shè)備都面對某種特定的攻擊，而威脅的來源是不確定的，防護(hù)來自四面八方的攻擊不可能只靠幾個環(huán)節(jié)的防護(hù)就一勞永逸。就像簡單的水桶原理，有些地方再牢固，但是一個明顯的短板也會導(dǎo)致能力的喪失。所以對于安全而言，強(qiáng)大高效的防護(hù)能力首先來自于管理有序、組織嚴(yán)密的防護(hù)體系。

在工控信息網(wǎng)絡(luò)環(huán)境中做整體的安全防護(hù)，勢必要涉及掌握全網(wǎng)的運(yùn)行狀況、安全狀況，處理大量設(shè)備產(chǎn)生的安全數(shù)據(jù)和監(jiān)控信息，通過集中高效的告警機(jī)制快速發(fā)現(xiàn)定位問題，快速地處置安全故障和威脅。解決用戶的主要需求包括：

（1）統(tǒng)一識別和梳理網(wǎng)內(nèi)的各類設(shè)備和網(wǎng)元節(jié)點(diǎn)，集中維護(hù)全網(wǎng)設(shè)備基本信息、運(yùn)行配置信息以及安全信息。

（2）對網(wǎng)絡(luò)中的各類設(shè)備進(jìn)行集中的狀態(tài)及性能監(jiān)控。

（3）工控領(lǐng)域常見的拓?fù)浠蛑庇^呈現(xiàn)的方式表現(xiàn)網(wǎng)絡(luò)環(huán)境及各設(shè)備的運(yùn)行狀態(tài)和安全狀態(tài)。

（4）對工控的業(yè)務(wù)操作流程進(jìn)行梳理，形成各個工業(yè)操作業(yè)務(wù)流的健康性監(jiān)控。

（5）能夠識別工控協(xié)議以及操作指令，并在此基礎(chǔ)上進(jìn)行合規(guī)審計以及異常發(fā)現(xiàn)。

（6）能夠統(tǒng)一收集存儲各類安全信息，并進(jìn)行集中化的呈現(xiàn)，呈現(xiàn)方面應(yīng)用大量可視化技術(shù)，增加數(shù)據(jù)可讀性，最大可能地提升用戶的監(jiān)控效率。

（7）通過統(tǒng)一的策略進(jìn)行全網(wǎng)的威脅分析和安全告警。

（8）強(qiáng)大的關(guān)聯(lián)分析能力對所采集的海量安全信息進(jìn)行綜合分析，發(fā)現(xiàn)更多維度、更深層次的安全威脅和業(yè)務(wù)違規(guī)。

（9）通過系統(tǒng)的手段流程化的對安全故障、隱患、問題進(jìn)行規(guī)范化處置，提升問題解決效率和規(guī)范程度。

4　結(jié)語

基于“PDCA”的工控安全運(yùn)維管理系統(tǒng)是以客戶的業(yè)務(wù)信息系統(tǒng)安全為保障目標(biāo)，從監(jiān)控、審計、風(fēng)險、運(yùn)維四個維度對全網(wǎng)的整體安全進(jìn)行集中化管理與運(yùn)維，為工控用戶在工控環(huán)境下建立起一個可視、可查、可度量與可擴(kuò)展的監(jiān)控體系。借助本系統(tǒng)，用戶可以獲得對全網(wǎng)安全的可視化，并洞悉業(yè)務(wù)信息系統(tǒng)的運(yùn)行狀況與安全狀況；可以對全網(wǎng)的安全事件進(jìn)行綜合分析與審計，識別和定位外部攻擊、內(nèi)部違規(guī)；可以進(jìn)行業(yè)務(wù)系統(tǒng)的安全風(fēng)險度量、安全態(tài)勢度量和安全管理建設(shè)水平度量；可以進(jìn)行持續(xù)的安全巡檢、應(yīng)急響應(yīng)與知識積累，不斷提升安全管理的能力。

（1）全面掌握網(wǎng)絡(luò)中的威脅信息，迅速發(fā)現(xiàn)異常

系統(tǒng)幫助用戶全視角掌握網(wǎng)絡(luò)中全部安全信息，透視網(wǎng)絡(luò)中網(wǎng)絡(luò)狀態(tài)及異常信息，了解業(yè)務(wù)路徑，監(jiān)測業(yè)務(wù)流程的合規(guī)性。并且該系統(tǒng)通過強(qiáng)大的關(guān)聯(lián)分析技術(shù)在多維且海量的信息中洞察威脅行為，包括識別各類性能故障、非法訪問控制、不當(dāng)操作、惡意代碼、攻擊入侵，以及違規(guī)與信息泄露等行為。

（2）日常安全運(yùn)維工作的有力工具

對于工控安全日常安全運(yùn)維而言，核心的工作內(nèi)容就是對各設(shè)備及重要業(yè)務(wù)系統(tǒng)進(jìn)行持續(xù)監(jiān)測，確保網(wǎng)絡(luò)、主機(jī)、應(yīng)用、業(yè)務(wù)、重要信息和人員資產(chǎn)的安全。更具體地說，就是要持續(xù)監(jiān)測并識別針對網(wǎng)絡(luò)、主機(jī)、應(yīng)用、業(yè)務(wù)、重要信息和人員資產(chǎn)性能故障、非法訪問控制、非法或不當(dāng)操作、惡意代碼、攻擊入侵、違規(guī)與信息泄露行為。

系統(tǒng)以時間、空間、特征為基礎(chǔ)，對網(wǎng)絡(luò)流進(jìn)行多維度、細(xì)粒度的分析，并通過形象的圖表曲線幫助客戶實現(xiàn)流分布的可視化。

系統(tǒng)通過提供統(tǒng)一的告警響應(yīng)機(jī)制以及標(biāo)準(zhǔn)OPC接口的方式，為用戶提供了集中的告警發(fā)現(xiàn)平臺，并且對于發(fā)現(xiàn)的告警或故障給予運(yùn)維處置上的支撐，通過標(biāo)準(zhǔn)OPC接口的方式實現(xiàn)快速化、實時化的問題通知，并且可達(dá)到處理過程的跟蹤督促以及事后的追查。

作者簡介

魏欽志，烽臺科技（北京）有限公司聯(lián)合發(fā)起人、董事長，燈塔實驗室執(zhí)行合伙人。工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟副秘書長，計算機(jī)病毒防御技術(shù)國家工程實驗室技術(shù)委員會委員，中國化工學(xué)會青年委員。在智能制造、工業(yè)控制信息化和自動化行業(yè)有十余年工作經(jīng)驗，六年工控安全經(jīng)驗。參與并主導(dǎo)過工業(yè)信息安全產(chǎn)品設(shè)計，被發(fā)改委納入信息安全專項資金的支持計劃。帶領(lǐng)團(tuán)隊參與和推動國內(nèi)主要工控安全標(biāo)準(zhǔn)制訂與應(yīng)用，面向行業(yè)用戶提供評估及保障服務(wù)。

參考文獻(xiàn)：

[1] 童有好. 信息化與工業(yè)化融合的內(nèi)涵、層次和方向[J]. 信息技術(shù)與標(biāo)準(zhǔn)化, 2008,（7）.

[2] 龔炳錚. 推進(jìn)信息化與工業(yè)化融合的思考[J]. 中國信息界, 2010.

[3] 賈紀(jì)磊. 信息化與工業(yè)化融合：新型工業(yè)化融合必經(jīng)之路[J]. 湖北經(jīng)濟(jì)學(xué)院學(xué)報（人文社會科學(xué)版）, 2009, 6（8）.

[4] 李林. 產(chǎn)業(yè)融合：信息化與工業(yè)化融合的基礎(chǔ)及其實踐[M]. 上海經(jīng)濟(jì)研究, 2008, 6.

[5] 信息化和軟件服務(wù)業(yè)司. 工信部 《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》解讀[Z]，2017, 06.

[6] GB/T32919-2016. 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南[S].

摘自《工業(yè)控制系統(tǒng)信息安全》專刊第四輯