工業(yè)控制系統(tǒng)信息安全

1、工業(yè)控制系統(tǒng)信息安全一、工業(yè)控制系統(tǒng)安全分析工業(yè)控制系統(tǒng)（Industrial Control Systems, ICS），是由各種自動(dòng)化控制組件和實(shí)時(shí)數(shù)據(jù) 采集、監(jiān)測(cè)的過(guò)程控制組件共同構(gòu)成。其組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠(yuǎn)程終端（RTU）、智能電子設(shè)備（IED），以及確 保各組件通信的接口技術(shù)。典型的ICS控制過(guò)程通常由控制回路、HMI、遠(yuǎn)程診斷與維護(hù)工具三部分組件共同完成，控制回路用以控制邏輯運(yùn)算，HMI執(zhí)行信息交互，遠(yuǎn)程診斷與維護(hù)工具確保ICS能夠穩(wěn)定持續(xù)運(yùn)行。1.1工業(yè)控制系統(tǒng)潛在的風(fēng)險(xiǎn)1. 操作系統(tǒng)的安全漏洞問(wèn)題由于

2、考慮到工控軟件與操作系統(tǒng)補(bǔ)丁兼容性的問(wèn)題，系統(tǒng)開(kāi)車(chē)后一般不會(huì)對(duì)Win dows平臺(tái)打補(bǔ)丁，導(dǎo)致系統(tǒng)帶著風(fēng)險(xiǎn)運(yùn)行。2. 殺毒軟件安裝及升級(jí)更新問(wèn)題用于生產(chǎn)控制系統(tǒng)的 Windows操作系統(tǒng)基于工控軟件與殺毒軟件的兼容性的考慮，通 常不安裝殺毒軟件，給病毒與惡意代碼傳染與擴(kuò)散留下了空間。3. 使用U盤(pán)、光盤(pán)導(dǎo)致的病毒傳播問(wèn)題。由于在工控系統(tǒng)中的管理終端一般沒(méi)有技術(shù)措施對(duì)U盤(pán)和光盤(pán)使用進(jìn)行有效的管理，導(dǎo)致外設(shè)的無(wú)序使用而引發(fā)的安全事件時(shí)有發(fā)生。4. 設(shè)備維修時(shí)筆記本電腦的隨便接入問(wèn)題工業(yè)控制系統(tǒng)的管理維護(hù)，沒(méi)有到達(dá)一定安全基線的筆記本電腦接入工業(yè)控制系統(tǒng)，會(huì)對(duì)工業(yè)控制系統(tǒng)的安全造成很大的威脅。5.

3、存在工業(yè)控制系統(tǒng)被有意或無(wú)意控制的風(fēng)險(xiǎn)問(wèn)題如果對(duì)工業(yè)控制系統(tǒng)的操作行為沒(méi)有監(jiān)控和響應(yīng)措施，工業(yè)控制系統(tǒng)中的異常行為或人為行為會(huì)給工業(yè)控制系統(tǒng)帶來(lái)很大的風(fēng)險(xiǎn)。6. 工業(yè)控制系統(tǒng)控制終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備故障沒(méi)有及時(shí)發(fā)現(xiàn)而響應(yīng)延遲的問(wèn)題對(duì)工業(yè)控制系統(tǒng)中IT基礎(chǔ)設(shè)施的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，是工業(yè)工控系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)。1.2兩化融合”給工控系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)工業(yè)控制系統(tǒng)最早和企業(yè)管理系統(tǒng)是隔離的，但近年來(lái)為了實(shí)現(xiàn)實(shí)時(shí)的數(shù)據(jù)采集與生產(chǎn)控制，滿足兩化融合”的需求和管理的方便，通過(guò)邏輯隔離的方式，使工業(yè)控制系統(tǒng)和企業(yè) 管理系統(tǒng)可以直接進(jìn)行通信，而企業(yè)管理系統(tǒng)一般直接連接In ternet，在這種情況下，工業(yè)控制系

4、統(tǒng)接入的范圍不僅擴(kuò)展到了企業(yè)網(wǎng)，而且面臨著來(lái)自In ternet的威脅。同時(shí)，企業(yè)為了實(shí)現(xiàn)管理與控制的一體化，提高企業(yè)信息化合綜合自動(dòng)化水平，實(shí)現(xiàn)生產(chǎn)和管理的高效率、高效益，引入了生產(chǎn)執(zhí)行系統(tǒng) MES ，對(duì)工業(yè)控制系統(tǒng)和管理信息系統(tǒng) 進(jìn)行了集成，管理信息網(wǎng)絡(luò)與生產(chǎn)控制網(wǎng)絡(luò)之間實(shí)現(xiàn)了數(shù)據(jù)交換。導(dǎo)致生產(chǎn)控制系統(tǒng)不再是一個(gè)獨(dú)立運(yùn)行的系統(tǒng)，而要與管理系統(tǒng)甚至互聯(lián)網(wǎng)進(jìn)行互通、互聯(lián)。1.3工控系統(tǒng)采用通用軟硬件帶來(lái)的風(fēng)險(xiǎn)工業(yè)控制系統(tǒng)向工業(yè)以太網(wǎng)結(jié)構(gòu)發(fā)展，開(kāi)放性越來(lái)越強(qiáng)?；赥CP/IP以太網(wǎng)通訊的OPC技術(shù)在該領(lǐng)域得到廣泛應(yīng)用。 在工業(yè)控制系統(tǒng)中，由于工業(yè)系統(tǒng)集成和使用的便利性， 大量使用了工業(yè)以太環(huán)網(wǎng)和

5、 OPC通信協(xié)議進(jìn)行了工業(yè)控制系統(tǒng)的集成 ；同時(shí)，也大量的使用 了 PC服務(wù)器和終端產(chǎn)品， 操作系統(tǒng)和數(shù)據(jù)庫(kù)也大量的使用了通用的系統(tǒng)，很容易遭到來(lái)自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬、黑客的攻擊。-2、MES層與工業(yè)控制層之間的安全防護(hù)通過(guò)在MES層和生產(chǎn)控制層部署工業(yè)防火墻，可以阻止來(lái)自企業(yè)信息層的病毒傳播；阻擋來(lái)自企業(yè)信息層的非法入侵；管控OPC客戶端與服務(wù)器的通訊，實(shí)現(xiàn)以下目標(biāo)：區(qū)域隔離及通信管控：通過(guò)工業(yè)防火墻過(guò)濾 MES層與生產(chǎn)控制層兩個(gè)區(qū)域網(wǎng)絡(luò)間的 通信，那么網(wǎng)絡(luò)故障會(huì)被控制在最初發(fā)生的區(qū)域內(nèi)，而不會(huì)影響到其它部分。實(shí)時(shí)報(bào)警：任何非法的訪問(wèn)，通過(guò)管理平臺(tái)產(chǎn)生實(shí)時(shí)報(bào)警信息，從而使故障問(wèn)題

6、會(huì) 在原始發(fā)生區(qū)域被迅速的發(fā)現(xiàn)和解決。MES層與工業(yè)控制層之間的安全防護(hù)如下圖所示：f sI業(yè)訪哼戚、10條址 Tj為” -11CSI控制蘇 輪玄舍n用 坯VI Jv 赧統(tǒng) 1/為4-Hn s詠挖制斎攏立全髒州、嚴(yán)信、憐IX*'Ik挖 制p ! I切工控系統(tǒng)安全防護(hù)分域安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。在管理層、制造執(zhí)行層、工業(yè)控制層中， 進(jìn)行管理系統(tǒng)安全子域的劃分，制造執(zhí)行安全 子域的劃分、工業(yè)控制安全子域的劃分。安全域的合理劃分，使用每一個(gè)安全域都要明確的邊界，便于對(duì)安全域進(jìn)

7、行安全防護(hù)。對(duì) MES、ICS的安全域劃分如下圖所示：工業(yè)控制系統(tǒng)安全防護(hù)體系架構(gòu)如上圖所示，為了保證各個(gè)生產(chǎn)線的安全，對(duì)各個(gè)生產(chǎn)線進(jìn)行了安全域劃分，同時(shí)在安全域之間進(jìn)行了安全隔離防護(hù)。工控系統(tǒng)安全防護(hù)分等級(jí)根據(jù)安全域在信息系統(tǒng)中的重要程度以及考慮風(fēng)險(xiǎn)威脅、安全需求、安全成本等因素， 將其劃為不同的安全保護(hù)等級(jí)并采取相應(yīng)的安全保護(hù)技術(shù)、管理措施，以保障信息的安全。安全域的等級(jí)劃分要做到每個(gè)安全域的信息資產(chǎn)價(jià)值相近，具有相同或相近的安全等級(jí)、安全環(huán)境、安全策略等。安全域所涉及應(yīng)用和資產(chǎn)的價(jià)值越高，面臨的威脅越大，那么它的安全保護(hù)等級(jí)也就越高。二、工業(yè)控制系統(tǒng)安全防護(hù)設(shè)計(jì)通過(guò)以上對(duì)工業(yè)控制系統(tǒng)安全

8、狀況分析，我們可以看到，工控系統(tǒng)采用通用平臺(tái)， 加大了工控系統(tǒng)面臨的安全風(fēng)險(xiǎn)，而兩化融合”和工控系統(tǒng)自身的缺陷造成的安全風(fēng)險(xiǎn)，主要從兩個(gè)方面進(jìn)行安全防護(hù)。通過(guò)三層架構(gòu)，二層防護(hù)”的體系架構(gòu)，對(duì)工業(yè)企業(yè)信息系統(tǒng)進(jìn)行分層、分域、分等 級(jí)，從而對(duì)工控系統(tǒng)的操作行為進(jìn)行嚴(yán)格的、排他性控制，確保對(duì)工控系統(tǒng)操作的唯一性。通過(guò)工控系統(tǒng)安全管理平臺(tái)，確保HMI、管理機(jī)、控制服務(wù)工控通信設(shè)施安全可信。2.1構(gòu)建 三層架構(gòu)，二層防護(hù)”的安全體系工業(yè)控制系統(tǒng)需要進(jìn)行橫向分層、縱向分域、區(qū)域分等級(jí)進(jìn)行安全防護(hù)，否則管理信息系統(tǒng)、生產(chǎn)執(zhí)行系統(tǒng)、工業(yè)控制系統(tǒng)處于同一網(wǎng)絡(luò)平面，層次不清，你中有我、我中有你。來(lái)自于管理信息系

9、統(tǒng)的入侵或病毒行為很容易對(duì)工控系統(tǒng)造成損害，網(wǎng)絡(luò)風(fēng)暴和拒絕式服務(wù)攻擊很容易消耗系統(tǒng)的資源，使得正常的服務(wù)功能無(wú)法進(jìn)行。工控系統(tǒng)的三層架構(gòu)一般工業(yè)企業(yè)的信息系統(tǒng)，可以劃分為管理層、制造執(zhí)行層、工業(yè)控制層。在管理信層與制造執(zhí)行系統(tǒng)層之間，主要進(jìn)行身份鑒別、訪問(wèn)控制、檢測(cè)審計(jì)、鏈路冗余、內(nèi)容檢測(cè)等 安全防護(hù)；在制造執(zhí)行系統(tǒng)層和工業(yè)控制系統(tǒng)層之間，主要避免管理層直接對(duì)工業(yè)控制層的 訪問(wèn)，保證制造執(zhí)行層對(duì)工業(yè)控制層的操作唯一性。工控系統(tǒng)三層架構(gòu)如下圖所示：工業(yè)拎制茶貌安全防護(hù)體系架構(gòu)I -通過(guò)上圖可以看到，我們把工業(yè)企業(yè)信息系統(tǒng)劃分為三個(gè)層次，分別是計(jì)劃管理層、制造執(zhí)行層、工業(yè)控制層。管理系統(tǒng)是指以ER

10、P為代表的管理信息系統(tǒng)（MIS），其中包含了許多子系統(tǒng)，女口：生產(chǎn) 管理、物質(zhì)管理、財(cái)務(wù)管理、質(zhì)量管理、車(chē)間管理、能源管理、銷(xiāo)售管理、人事管理、設(shè)備 管理、技術(shù)管理、綜合管理等等，管理信息系統(tǒng)融信息服務(wù)、決策支持于一體。制造執(zhí)行系統(tǒng)（MES）處于工業(yè)控制系統(tǒng)與管理系統(tǒng)之間，主要負(fù)責(zé)生產(chǎn)管理和調(diào)度執(zhí)行。通過(guò)MES，管理者可以及時(shí)掌握和了解生產(chǎn)工藝各流程的運(yùn)行狀況和工藝參數(shù)的變化，實(shí) 現(xiàn)對(duì)工藝的過(guò)程監(jiān)視與控制。工業(yè)控制系統(tǒng)是由各種自動(dòng)化控制組件和實(shí)時(shí)數(shù)據(jù)采集、監(jiān)測(cè)的過(guò)程控制組件共同構(gòu)成。主要完成加工作業(yè)、檢測(cè)和操控作業(yè)、作業(yè)管理等功能。工控系統(tǒng)的二層防護(hù)1、管理層與MES層之間的安全防護(hù)管理層與M

11、ES層之間的安全防護(hù)主要是為了避免管理信息系統(tǒng)域和MES（制造執(zhí)行）域之間數(shù)據(jù)交換面臨的各種威脅，具體表現(xiàn)為：避免非授權(quán)訪問(wèn)和濫用（如業(yè)務(wù)操作人員越權(quán)操作其他業(yè)務(wù)系統(tǒng)）；對(duì)操作失誤、篡改數(shù)據(jù)， 抵賴行為的可控制、 可追溯；避免終端違規(guī)操 作；及時(shí)發(fā)現(xiàn)非法入侵行為；過(guò)濾惡意代碼（病毒蠕蟲(chóng)）。也就是說(shuō)，管理層與 MES層之間的安全防護(hù)，保證只有可信、合規(guī)的終端和服務(wù)器才 可以在兩個(gè)區(qū)域之間進(jìn)行安全的數(shù)據(jù)交換，同時(shí)，數(shù)據(jù)交換整個(gè)過(guò)程接受監(jiān)控、審計(jì)。管理層與MES層之間的安全防護(hù)如下圖所示：門(mén)雋J !rJ /11111h>1 iHil111 II11護(hù)122構(gòu)建工業(yè)控制系統(tǒng)安全管理平臺(tái)工業(yè)控制系

12、統(tǒng)和傳統(tǒng)信息系統(tǒng)具有大多數(shù)相同的安全問(wèn)題，但同時(shí)也存在獨(dú)特的安全需求。工業(yè)控制系統(tǒng)最大的安全需求是唯一性和排它性，在某一特定的工業(yè)控制系統(tǒng)中，工業(yè)控制系統(tǒng)只需用唯一的工業(yè)應(yīng)用程序和工業(yè)通信協(xié)議運(yùn)行，其他一概不需要。啟明星辰工業(yè)系統(tǒng)安全管理平臺(tái)為工業(yè)控制系統(tǒng)建立了一個(gè)相對(duì)可信的計(jì)算環(huán)境，對(duì)工控系統(tǒng)管理終端和網(wǎng)絡(luò)通信具有非常強(qiáng)的安全控制功能。工業(yè)控制系統(tǒng)安全管理平臺(tái)有兩部分組成，一部分是工業(yè)控制系統(tǒng)安全管理平臺(tái)，具有終端管理、網(wǎng)絡(luò)管理、行為監(jiān)控功能， 另一部分是終端安全管理客戶端。管理平臺(tái)部分工業(yè)控制系統(tǒng)的安全運(yùn)行，主要需要保障工業(yè)控制系統(tǒng)相關(guān)信息系統(tǒng)基礎(chǔ)設(shè)施的安全，包括工業(yè)以太網(wǎng)網(wǎng)絡(luò)、操作終端、

13、關(guān)系數(shù)據(jù)庫(kù)服務(wù)器、實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器、操作和應(yīng)用系統(tǒng)等各類(lèi)IT資源的安全，從工業(yè)控制系統(tǒng)安全的角度對(duì)工控系統(tǒng)的各類(lèi)IT資源進(jìn)行監(jiān)控（包括設(shè)備監(jiān)控、運(yùn)行監(jiān)控與安全監(jiān)控），實(shí)現(xiàn)對(duì)安全事件的預(yù)警與響應(yīng)，保障工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行。具體而言，工業(yè)控制系統(tǒng)安全管理平臺(tái)功能如下：1. 能夠?qū)?yīng)用服務(wù)器、關(guān)系數(shù)據(jù)庫(kù)服務(wù)器、實(shí)時(shí)數(shù)據(jù)庫(kù)服務(wù)器、工業(yè)以太網(wǎng)設(shè)備運(yùn)行 狀態(tài)進(jìn)行監(jiān)控，例如 CPU、內(nèi)存、端口流量等等。2. 能夠?qū)Σ僮鹘K端外設(shè)、進(jìn)程、桌面進(jìn)行合規(guī)性在線和離線管理。3. 能夠?qū)Ω鲗舆吔鐢?shù)據(jù)交換情況進(jìn)行監(jiān)控。4. 能夠?qū)I(yè)控制系統(tǒng)中的網(wǎng)絡(luò)操作行為進(jìn)行審計(jì)。5. 能夠?qū)I(yè)控制系統(tǒng)日志進(jìn)行關(guān)聯(lián)分析和審計(jì)。

14、6. 能夠?qū)I(yè)控制系統(tǒng)中的異常事件進(jìn)行預(yù)警響應(yīng)。7. 能夠?qū)I(yè)企業(yè)信息系統(tǒng)進(jìn)行虛擬安全域的劃分。222工業(yè)控制系統(tǒng)終端安全管理部分由于工業(yè)控制系統(tǒng)管理終端的安全防護(hù)技術(shù)措施十分薄弱，所以病毒、木馬、黑客等攻擊行為都利用這些安全弱點(diǎn)，在終端上發(fā)生、發(fā)起，并通過(guò)網(wǎng)絡(luò)感染或破壞其他系統(tǒng)。工業(yè)控制系統(tǒng)終端最大特點(diǎn)是應(yīng)用相對(duì)固定，終端主要安裝工業(yè)控制系統(tǒng)程序，所以， 要防范傳統(tǒng)方式的病毒或木馬等惡意軟件，最直接的方式就是利用工業(yè)控制系統(tǒng)對(duì)終端應(yīng)用程序的進(jìn)程進(jìn)行管理。具體而言，工業(yè)控制系統(tǒng)安全管理平臺(tái)終端安全管理部分功能如下：1. 工業(yè)控制系統(tǒng)安全管理平臺(tái)客戶端軟件輕巧精煉，占用資源極少，能夠最大程度

15、保 證工業(yè)控制系統(tǒng)管理終端的穩(wěn)定性。2. 工業(yè)控制系統(tǒng)安全管理平臺(tái)客戶端具有終端準(zhǔn)入控制功能，可以防止沒(méi)有達(dá)到安全 基線的筆記本對(duì)終端進(jìn)行管理。3. 工業(yè)控制系統(tǒng)安全管理平臺(tái)客戶端具有終端安全優(yōu)化與加固功能，能夠?qū)I(yè)控制 系統(tǒng)終端進(jìn)行安全優(yōu)化和加固，使終端安全水平達(dá)到一定的安全基線。4. 工業(yè)控制系統(tǒng)安全管理平臺(tái)客戶端具有外設(shè)管理功能，對(duì)工業(yè)控制系統(tǒng)的外設(shè)進(jìn)行 管理，比如USB接口、光驅(qū)、網(wǎng)卡、串口等。5. 工業(yè)控制系統(tǒng)安全管理平臺(tái)客戶端具有工業(yè)控制系統(tǒng)應(yīng)用程序監(jiān)控功能，對(duì)終端中 的工業(yè)控制系統(tǒng)軟件進(jìn)行監(jiān)控和管理。6. 工業(yè)控制系統(tǒng)安全管理平臺(tái)客戶端具有工業(yè)通信協(xié)議監(jiān)控功能。工業(yè)控制系統(tǒng)終端

16、 通信協(xié)議相對(duì)固定，客戶端能夠?qū)K端通信協(xié)議具有唯一性管理功能。7. 工業(yè)控制系統(tǒng)安全管理平臺(tái)客戶端具有離線管理功能，工業(yè)控制系統(tǒng)終端有一部分 無(wú)法進(jìn)行在線管理，客戶端具有比較強(qiáng)大的離線自管理功能，可以完成對(duì)離線終端的管理。8. 工業(yè)控制系統(tǒng)安全管理平臺(tái)客戶端具有強(qiáng)身份認(rèn)證功能，客戶端具有使用工業(yè)控制系統(tǒng)在線終端和離線終端都具有強(qiáng)身份認(rèn)證功能，從而防止工業(yè)控制系統(tǒng)被有意或無(wú)意被控制的風(fēng)險(xiǎn)。三、總結(jié)國(guó)內(nèi)外發(fā)生了多起由于工控系統(tǒng)安全問(wèn)題而造成的生產(chǎn)安全事故。最鮮活的例子就是 2010年10月發(fā)生在伊朗布什爾核電站的震網(wǎng)”(Stuxnet病毒，為整改工業(yè)生產(chǎn)控制系統(tǒng)安全敲響了警鐘。為此，工信部在2011年10月下發(fā)了 關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知 ”，要 求各級(jí)政府和國(guó)有大型企業(yè)切實(shí)加