干货 | 工业控制系统信息安全防护体系解决方案探讨

01 引言

工业信息化的快速发展使得网络技术在工业控制领域得到了大量应用，极大提高了企业的效益。为实现系统间的协同和信息共享，工业控制系统(ICS)也逐渐打破了以往的封闭性，逐步采用标准、通用的通信协议及软硬件系统，并逐步趋向于将企业ERP系统与工业控制网进行互联互通，甚至有些ICS也能以某些方式连接到互联网等公共网络中[1-2]。

ICS的信息安全已经引起了国家的重视，甚至提升到了一定的高度，并在政策、标准、技术、方案等方面展开了积极应对。在明确重点领域工业控制系统信息安全管理要求的同时，国家主管部门在科研、产品层面上正在积极部署工业控制系统的信息安全保障工作。

通过对我国一些工业制造企业ICS的调研发现，为保证进口ICS的正常运行，使用者很少或基本不对控制系统上的操作系统及应用系统进行升级[3]。由于目前针对ICS公布的漏洞较少且信息披露相对滞后，无法对ICS漏洞进行0 day响应，导致在面对病毒、木马、黑客入侵等安全威胁时缺少必要的防护手段和应急预案。

“棱镜门”事件表明，APT攻击(高级持续性威胁)通常是政府和商业机构支持的黑客行为，具有攻击技术先进、漏洞信息不对称、长期潜伏、一击致命的特点，已经成为针对ICS的主要攻击方式[4]。由于我国在ICS软、硬件方面短时间内难以达到完全自主可控，需要从系统防护的角度开展ICS信息安全防护工作。这对于在目前国内外信息安全形势下，尽快提高我国工业生产领域ICS的整体安全性，保证工业生产正常运行，保守国家高新技术机密具有重要的政治、军事和经济意义。

本文首先对ICS特点及国外发生的安全事件进行了回顾与分析;之后结合我国工业生产领域，阐述ICS与其他系统如何在隔离环境下进行安全互联互通和数据共享;最后提出面向我国ICS信息安全纵深防御体系建设的3项建议，并对解决方案进行探讨。

02 ICS安全性威胁

平台中心化向网络中心化的转变，使得ICS已不再是信息孤岛。由于ICS自身特点以及在安全防护方面暴露出来的问题[5]，如表1所示。由于工控网使用了专用的硬件、固件和通信协议，且安全防护升级较为缓慢，随着与互联网协议(IP)的结合，网络安全漏洞和事故的可能性大大增加，其系统性的信息安全问题已日益显现出来。

表1 工业控制网与IT网安全性需求对比

2014年ICS-CERT数据指出，ICS攻防双方已把主要精力放在了工业网络管理软件和SCADA/HMI系统(占所有漏洞的56%)。例如，在“震网”事件中，“震网”病毒本身不感染任何生产设备，而是通过篡改控制设备(如上位机)发送的控制指令，导致离心机过载而毁坏。这是由于工控网络的控制设备与生产终端(如数控机床)处于同一安全域，控制信息没有受到监控，一旦控制设备受到攻击，将会威胁整个生产网。类似的案例还有针对欧美电力公司的“能源之熊”病毒;针对美国和加拿大水利系统中SCADA控制系统的Havex病毒等。

由于ICS系统漏洞公布通常较为滞后，且很多都为供应商恶意添加的后门，这给信息安全技术人员防范带来了很大的困难。

2011~2014年，公开出来的漏洞主要威胁ICS设备的生产商。其中，以西门子、施耐德电气等为代表的工业设备在我国先进制造行业内被广泛使用，对其安全防护不容忽视。

03 工控网防护的主要技术路线

目前国内针对ICS的防护手段分为两类技术路线：

(1)参考通用信息系统的信息安全防护体系，采取纵深防御的策略，通过集成搭建网络隔离、身份认证系统、专业的工控防火墙及IDS设备、数控程序内容过滤系统，以及终端防护设备等开展防护。这一防护策略主要是在工控网的协议级别开展的。

(2)对进口工业设备中的固件(应用软件、操作系统)部分进行分析后采取系统加固策略。加固策略可能包括：用户与进程的文件强制访问策略、应用程序强制访问策略、系统安全区域划分等。这一防护策略主要是在工控网的系统级别开展的。

通过分析，研究人员认为，技术路线(2)在国内现有技术水平和工业设备依靠大量引进的现状下，短时间内难以做到工程化应用。理由如下：

●ICS大多数为封闭系统，以逆向分析为基本手段的系统加固方法其工作量和工作难度十分巨大;

●ICS以可靠性和连续性为首要目标，这种方法在无法掌握系统设计文件及相关代码的情况下，势必对系统可靠性造成严重影响;

●ICS千差万别，在某一个系统上的成功加固案例无法简单移植到其他系统上，普适性很差。

因此，在我国工业生产领域无法做到自主的前提下，采取协议级别的防护策略最为可行，且最容易开展工程试点应用。如果要从系统级别防护策略入手开展，最可行的方案是面向我国自主研发的ICS，在其软、硬件的设计阶段就引入安全性策略。

04 ICS安全性防护原则

在我国主要生产设备、操作系统、应用系统无法做到自主可控的背景下，研究人员提出了工控网信息安全纵深防御体系建设的3项指导原则：

(1)在清晰划分安全边界的基础上[1-2]，实现物理/逻辑隔离和访问控制，并需要严格规范人、机操作行为;

(2)实时生产任务是防御重点，在线监控是基本要求;

(3)操作系统和应用软件安全是核心，平台测试是基本保障。

围绕上述3项原则，通过上线前的测试与漏洞分析，实现ICS安全性评估;通过访问控制(身份认证、权限控制)、物理/逻辑隔离、恶意内容拦截实现主动防御;通过行为检测和记录，实现过程监控和事后追踪。

05 ICS信息安全纵深防护体系

研究人员认为需要在保证ICS正常运行的前提下，面对ICS在物理隔离环境下与企业ERP、OA、MES、DNC、MDC系统等之间实现数据共享的需求下，采取边界防护与内部防护统筹实施的技术体系，保证ICS的信息安全[6-7]。

研究人员认为在未来的1~2年内，ICS纵深防御体系 [3]的支撑技术与产品研发方向如下：

(1)通过单向隔离网关，实现企业的各类管理系统对工控设备的在线控制，同时保证设备状态信息可以及时反馈到管理系统;

(2)添加身份认证机制，进行细粒度权限控制，提高保密强度;

(3)对工控网内的控制端进行专门防护，并在控制端与工控终端设备之间，针对专有的控制协议、数据和功能，采取专用的机加工代码检查与过滤技术，并采用专用的入侵检测与安全防护(专用防火墙、杀毒软件)机制;

(4)对于系统固件应通过专业安全性分析工具，结合人工经验进行漏洞分析。具体技术与产品部署思路如图2所示。

图2 ICS信息安全纵深防护体系部署思路

按照AMR组织提出的一个通用的制造企业信息传递环境，企业的信息系统可以分为三层，依次为业务计划层、制造执行层和过程控制层。这三个层次是决策细化下达和执行结果汇总上传的信息沟通模式。

从网络构成来说，业务计划层是企业的办公网，主要涉及企业级应用，如ERP、OA等;制造执行层是监控网络，主要部署DNC、MES、MDC、数据库等;过程控制层部署的是比较典型的控制网络，可细分为工业以太网和工业总线网，这也是最为复杂的网络。

按照通信线路和协议类型划分，企业办公网和工程师工作站通常使用传统的以太网互相链接;工程师工作站和PLC之间的通讯通常使用工业以太网，目前常用的工业以太网协议有：Modbus、TCP/IP、OPC、Profinet、Ethernet/IP、EtherCAT、Powerlink等;PLC与现场控制点、现场仪表等的连接由于目前以太网并不能完全胜任复杂的工控环境，无法保证通信的实时可靠，因此仍然大量使用传统的现场总线网。

根据目前工控信息安全面临的威胁以及可以采取的防护措施来看，与工控安全联系最为紧密的是信息管理层、生产管理层和工业控制层。研究人员提出的ICS信息安全纵深防护体系支撑技术和产品研发主要包括以下几个方面。

(1)基于传统以太网互联的信息管理层和生产管理层之间

●单向隔离网关

基于单向传输通道，通过专用通信协议并制定信息采集、分发策略，实现不同安全边界之间信息资源交换的需求。

●专用防病毒软件

面向生产管理层各终端和服务器上部署的各种应用系统研制专业的防病毒软件，防止控制终端受到攻击并被控制。

●办公网与工控网统一身份认证网关

工控生产网与企业办公网互相隔离，因此不能继承企业办公网中统一的身份认证系统，需要考虑在生产网内部部署统一身份认证网关。管理员可通过离线的方式为生产管理层的用户提供证书及USB-KEY。统一身份认证网关进行证书验证后，用户即可登录。

(2)基于工业以太网互联的生产管理层和工业控制层之间

●数字签名系统

在用户登录ICS后，其所作的任何操作都需要受到监控并承担责任，既要保证控制数据的完整性和正确性(不被破坏和篡改)，也不允许命令发送者在出现问题或事故时进行抵赖(责任认定机制)。具体流程为：用户使用数字签名证书，通过统一身份认证网关登录生产管理层，之后才可以下发控制指令;系统自动调用签名服务器的签名接口对控制指令数据包进行签名;签名数据包下发给位于工业控制层的签名验证模块，当签名验证通过后，工控模块即可向设备发送执行指令。

●工控异常行为监测与审计系统

需要配合统一身份认证系统、数字签名系统和入侵检测系统进行开发，对工控网进行安全审计，及时发现人和网络的异常情况并报警。

●工控终端防护系统

该防护系统作为ICS的最后一道防线，可采用串联监控的方式直接与工控终端(如数控机床)进行连接，可以实时对机加工程序进行分析与拦截，最大限度地保证了工控终端的安全。在控制端与生产设备之间，针对专有的控制协议进行解析，对控制信息(如加工程序)，研制专用安全性检测引擎，用于提升工业控制网络环境中的信息安全保障能力。

06 展望

为把握工业控制系统信息安全技术发展的机遇，我国应该从国家层面，尽快组织攻克并研发自主、可控的ICS信息安全高端技术。通过将信息安全管控方法、支撑技术前移与集中，加强行业ICS信息安全内控能力建设。具体建议：

(1)开展顶层设计、整体规划，建立统一、协调的国家信息安全指挥管理、技术防御和监督管理科技协调机制，形成平战结合、军民融合的ICS信息安全技术支撑体系;

(2)围绕我国ICS信息安全保障整体能力的提高，开展信息安全防护体系、应用安全、环境与行为规范、安全监测与评估、安全柔性工程等核心关键技术研发、支撑平台建设和相关标准制定;

(3)加强ICS信息安全的影响、技术对策与技术手段研究，结合我国ICS的特点，开展其信息安全战略、法规与标准研究，形成包含技术、管理、法规等各层次的系统解决方案;

(4)系统开展ICS风险测评与攻防对抗技术研究，建立国家靶场与模拟仿真平台，形成攻防演练机制，制定相应的技术标准与规范。

作者简介

李宁(1981-)，男，河北石家庄人，高级工程师，博士，现就职于中国航天科技集团公司第七一〇研究所，从事信息安全先进技术与产品研发工作，主要研究方向为嵌入式系统信息安全、工业控制协议安全性分析、嵌入式软件脆弱性分析等研究。近五年从事国防基础科研、863等信息安全类课题近10项。

王潇茵(1982-)，女，吉林四平人，高级工程师，博士，现就职于中国航天科技集团公司第七一〇研究所，从事预先研究工作，主要研究方向为网络信息安全、工业控制系统信息安全、软件安全研究等。近五年从事国防基础科研、国家自然科学基金等信息安全类科研课题近10项。

经小川(1972-)，男，江苏南京人，研究员，硕士生导师，博士，现就职于中国航天科技集团公司第七一〇研究所，从事信息安全先进技术研究，主要研究方向工业控制系统信息安全、嵌入式系统安全性分析等。近五年来从事国防基础科研、863、国家自然科学基金等课题10余项。

摘自《工业控制系统信息安全专刊(第二辑)》

原文来源：工业安全产业联盟