建立工业控制系统的安全保障

摘 要：工业控制系统遍布交通、能源、化工、电力、水利等领域，针对工业控制系统的攻击越来越多，直接影响到公共基础设施的安全，本文从工业控制角度出发，分析工业控制系统的安全的特性及其风险，提出建立工业控制系统安全保障的建议。

关键词：数据仓库；风险；安全

中图分类号：TP273

随着我国工业化与信息化融合的发展，信息系统及互联网不断地被引入到工业控制系统中，这打破了工业控制系统原有的较独立封闭的环境。其固有的系统漏洞及脆弱性越来越可能被系统外部攻击者所利用，可能造成严重的安全事件。因此，从分析工业控制系统的风险入手，就如何有效保障工业系统的安全提出建议。

1 工业控制系统介绍

1.1 工业控制系统概念

工业控制系统（Industry Control System）由各种自动化控制组件以及对实时数据进行采集和监测的过程控制组件，共同构成的确保工业技术设施自动化运行、过程控制和监控的业务流程管控系统。

1.2 工业控制系统组成

工业控制系统一般由监控数据采集系统（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）组成。

2 工业控制系统风险

2.1 安全事件

一些公共领域的工业控制系统遭到破坏后，会造成重大的经济损失或者对国家安全造成伤害，以下为一些典型的系统入侵事件。

2012年，两座美国电厂遭USB病毒攻击，感染了每个工厂的工控系统，可被窃取数据。

2011年，黑客人侵数据采集与监控系统，使美国伊利诺伊州城市供水系统的供水泵遭到破坏。

2010年，“网络超级武器”Stuxnet（俗称“震网”）蠕虫病毒通过针对性地侵入ICS系统，严重威胁到伊朗布什尔核电站反应堆的安全。

2008年，一少年攻击了波兰罗兹（LodZ）市的城市铁路系统，用一个电视遥控器改变了轨道扳道器的运行，导致4节车厢脱轨。

2.2 风险分析

工业控制系统面临的风险可分为硬件和软件、网络以及管理等四个方面：

（1）软件风险。1）操作系统的安全漏洞。目前，大多数的工业控制系统采用windows作为其操作系统，一旦系统调试完毕正常运转后，为了保证系统的稳定运行，一般很少主动会对操作系统进行升级或者打补丁，系统漏洞不能被及时修补，导致系统带着风险运行；2）未安装杀毒软件。工业控制系统对可靠性要求很高，未经严格测试的防病毒软件是不能被安装在系统上的。很多工业控制系统基于工业控制软件与杀毒软件的兼容性考虑，一般不安装杀毒软件，难以抵挡恶意代码和病毒的入侵；3）工业控制系统未被正确配置。工业控制系统的配置有严格的要求，不正确的配置会导致重大的系统错误，带来安全隐患。

（2）硬件风险。1）管理终端。未限制U盘、移动硬盘在工业控制系统中的管理终端使用，增加病毒感染的风险。此外，笔记本电脑可以随意接入管理终端，也可能直接对工业控制系统进行篡改或者控制，存在安全风险；2）远程终端。未对工控系统远程现场终端的接触有严格限制，攻击者可从远程终端进入工业控制系统从而实现其攻击目的；3）硬件平台。目前大部分现场控制站使用兼容机，其稳定性和可靠性相对于工控机和服务器较差，且部分控制器未能有效对通讯数据进行严格检查，可能发生宕机，从而造成损失。

（3）网络风险。1）与办公网互联网相通的风险。企业为对工业控制系统和管理信息系统进行了集成，办公网络与生产控制网络之间实现了数据交换，工业控制系统不再是一个独立运行的系统。如果未能在办公网和生产网络之间建立严格的隔离机制，可导致外部攻击者通过进入办公网从而进入到生产网实施对工业控制系统的攻击；2）网络延迟风险。工业控制系统是一种实时类的系统，对实时性有很高的要求，如果工业控制系统控制终端、服务器、网络设备故障没有及时发现而造成响应延迟，将产生工业现场的事故风险。

（4）管理风险。如果对工业控制系统的操作行为没有监控和响应措施，工业控制系统中的异常行为会给工业控制系统带来很大的风险。对工业控制系统中IT基础设施的运行状态进行监控，是工业工控系统稳定运行的基础。

3 工业控制系统安全保障

工业控制系统遍布公共领域和重大生产领域，建立起一套完整的工业控制系统安全保障体系势在必行。针对工业控制系统自身业务特点、自身脆弱性以及所面临的各类网络威胁，我们可以从工业控制系统安全体系架构设计、安全检查、日常运维管理等方面考虑，建立起工业控制系统的安全保障。

3.1 工业控制系统安全体系架构设计

（1）建立安全域。在工业控制系统的整体设计中综合考虑工业控制系统的业务重要性、数据机密性、潜在的威胁及其他各项因素，划分不同的工业控制系统安全域并分别明确信息安全责任人及其职责。不同的安全域可根据域内系统的重要性程度采用不同等级的安全防护策略及相应的安全管理制度。各个安全域之间可通过各种工业防火墙、隔离网闸等实现有效隔离，并制定严格的访问控制策略及操作的监管确保信息交换的安全。

（2）安全防护体系持续优化改进。随着攻击手段的不断发展，安全防护体系也应随时优化。通过定期或者不定期对所使用工业控制系统进行安全风险评估以及持续的在线监控，不断完善安全防护体系，形成基于工业控制系统生命周期的安全防护体系。

3.2 基于风险分析的工业控制系统安全实施

在对工业控制系统进行风险分析的基础上，应对每一类风险设计相应的安全保护措施。其中包括软件、硬件、网络、管理等四个方面。

（1）软件。在确保工业控制系统执行效率的前提下，开启软件产品内置的安全功能；使用加密通讯协议，避免明文传输各类管控信息；减少不必要应用服务或者网络服务的开启；软件的各项配置要有授权，配置变更要严格控制；保存有效的操作系统日志；安装专业的防毒软件；安装入侵检测系统，应对外来威胁。

（2）硬件。关键设备要有冗余，避免单点故障导致系统宕机；关键设备要有充分的物理保护；未授权的人员不能够直接接触硬件设施；未授权的人员不能远程接入到工业控制系统。

（3）网络。工业控制系统所在的生产网要和办公网分离，尽量减少数据交换，并要设置专门的工业防火墙；防火墙的配置要禁止一切不必要的数据传输；关键网络设备要有冗余，避免网络中断造成工业控制系统指令延迟或者丢失。

（4）管理。工业控制操作系统要有完善的系统安全操作规范；对工业控制系统的操作行为有监控或者审计系统，已保障操作行为的可监控性和可追踪性；除一般防火措施外，要建立起针对特殊攻击的安全防护措施（如：APT攻击）。

4 结束语

综上，国内外发生多起攻击工业控制系统从而造成的安全事故，工业控制系统安全作为一个新的、战略性安全领域在各个层面得到重视，使用工控系统的单位应当在风险分析的基础上，建立起适合自己的工业控制系统的防护墙，以保障自身生产安全和公共安全。

参考文献：

[1]Keith Stouffer，Joe Falco Karen Scarfone.Guide to Industrial Control Systems（ICS）.Security，2013，03.

[2]工业控制系统的安全研究和实践[J].绿盟科技，2014.

[3]GB/T26333-2010工业控制网络安全风险评估规范[S].

[4]余勇，林为民.工业控制SCADA系统的信息安全防护体系研究[J].信息网络安全，2012（05）.

[5]王聪.工业网络安全（Security）[OL].e-works，2012.

作者单位：中国海洋石油总公司，北京 100010