11月12日，待測伊朗彈道導彈收到控制指令后突然爆炸。事故經媒體披露，迅速引發各國政府與安全機構的廣泛關注，對真兇的質疑直指曾攻擊布什爾核電站工業控制系統的Stuxnet 蠕蟲病毒。截至目前，事故真相與細節并未公布，但工業控制系統長期存在的風險隱患卻已是影響國家關鍵基礎設施穩定運行重要因素，甚至威脅到國家安全戰略實施。為此工信部于10 月份發布文件，要求加強國家主要工業領域基礎設施控制系統與SCADA系統的安全保護工作。

　　本文將從IT 領域熟悉的信息安全管理體系的基本理論和潛在威脅的角度，借鑒國際上有關工業控制系統安全保護要求及標準，分析當前我國工業控制系統存在的風險，并提出一套基于ICS 系統的威脅發現與識別模型。

　　一、工業控制系統介紹

　　工業控制系統（Industrial Control Systems, ICS），是由各種自動化控制組件以及對實時數據進行采集、監測的過程控制組件，共同構成的確保工業基礎設施自動化運行、過程控制與監控的業務流程管控系統。其核心組件包括數據采集與監控系統（SCADA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED），以及確保各組件通信的接口技術。

　　目前工業控制系統廣泛的應用于我國電力、水利、污水處理、石油天然氣、化工、交通運輸、制藥以及大型制造行業，其中超過80%的涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業，工業控制系統已是國家安全戰略的重要組成部分。

　　一次典型的ICS 控制過程通常由控制回路、HMI、遠程診斷與維護工具三部分組件共同完成，控制回路用以控制邏輯運算，HMI 執行信息交互，遠程診斷與維護工具確保出現異常的操作時進行診斷和恢復。

圖1：典型的ICS 操作過程

　　SCADA（Supervisory Control And Data Acquisition）數據采集與監控系統，是工業控制系統的重要組件，通過與數據傳輸系統和HMI 交互，SCADA 可以對現場的運行設備進行實時監視和控制，以實現數據采集、設備控制、測量、參數調節以及各類信號報警等各項功能。目前，SCADA 廣泛應用于水利、電力、石油化工、電氣化、鐵路等分布式工業控制系統中。

圖2：SCADA 系統總體布局

　　DCS（Distributed Control Systems）分布式控制系統，廣泛應用于基于流程控制的行業，例如電力、石化等行業分布式作業，實現對各個子系統運行過程的整理管控。

　　PLC（Programmable Logic Controllers）可編程邏輯控制器，用以實現工業設備的具體操作與工藝控制。通常SCADA 或DCS 系統通過調用各PLC 組件來為其分布式業務提供基本的操作控制，例如汽車制造流水線等。

　　二、工業控制系統安全現狀

　　與傳統的信息系統安全需求不同，ICS 系統設計需要兼顧應用場景與控制管理等多方面因素，以優先確保系統的高可用性和業務連續性。在這種設計理念的影響下，缺乏有效的工業安全防御和數據通信保密措施是很多工業控制系統所面臨的通病。

　　據權威工業安全事件信息庫RISI（Repository of Security Incidents）統計，截止2011年10 月，全球已發生200 余起針對工業控制系統的攻擊事件。2001 年后，通用開發標準與互聯網技術的廣泛使用，使得針對ICS 系統的攻擊行為出現大幅度增長，ICS 系統對于信息安全管理的需求變得更加迫切。

圖3：1982-2009 工業系統攻擊事件

　　縱觀我國工業控制系統的整體現狀，西門子、洛克韋爾、IGSS 等國際知名廠商生產的工控設備占據主動地位，由于缺乏核心知識產權和相關行業管理實施標準，在愈發智能開放的ICS 系統架構與參差不齊的網絡運維現實前，存儲于控制系統、數據采集與監控系統、現場總線以及相關聯的ERP、CRM、SCM 系統中的核心數據、控制指令、機密信息隨時可能被攻擊者竊取或篡改破壞。作為一項復雜而繁瑣的系統工程，保障工業系統的信息安全除了需要涉及工業自動化過程中所涉及到的產品、技術、操作系統、網絡架構等因素，企業自身的管理水平更直接決定了ICS 系統的整體運維效果。遺憾的是當前我國網絡運維現實，決定了國內ICS 系統的安全運維效果并不理想，安全風險存在于管理、配置、架構的各個環節。

　　借鑒IT 安全領域ISO27001 信息安全管理體系和風險控制的成功經驗，綜合工業控制網絡特點以及工業環境業務類型、組織職能、位置、資產、技術等客觀因素，對工業控制系統構建ICS 信息安全管理體系，是確保工業控制系統高效穩定運行的理論依據。

　　三、工業控制系統安全風險分析

　　1、風險分析

　　工業控制系統是我國重要基礎設施自動化生產的基礎組件，安全的重要性可見一斑，然而受到核心技術限制、系統結構復雜、缺乏安全與管理標準等諸多因素影響，運行在ICS系統中的數據及操作指令隨時可能遭受來自敵對勢力、商業間諜、網絡犯罪團伙的破壞。根據工信部《關于加強工業控制系統信息安全管理的通知》要求，我國工業控制系統信息安全管理的重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。這些領域中的工業控制系統一旦遭到破壞，不僅會影響產業經濟的持續發展，更會對國家安全造成巨大的損害。

　　典型工業控制系統入侵事件：

　　·2007年，攻擊者入侵加拿大的一個水利SCADA 控制系統，通過安裝惡意軟件破壞了用于取水調度的控制計算機；

　　·2008年，攻擊者入侵波蘭某城市的地鐵系統，通過電視遙控器改變軌道扳道器，導致4 節車廂脫軌；

　　·2010年，“網絡超級武器”Stuxnet 病毒通過針對性的入侵ICS 系統，嚴重威脅到伊朗布什爾核電站核反應堆的安全運營；

　　·2011年，黑客通過入侵數據采集與監控系統SCADA，使得美國伊利諾伊州城市供水系統的供水泵遭到破壞。

　　分析可以發現，造成工業控制系統安全風險加劇的主要原因有兩方面：

　　首先，傳統工業控制系統的出現時間要早于互聯網，它需要采用專用的硬件、軟件和通信協議，設計上以武力安全為主，基本沒有考慮互聯互通所必須考慮的通信安全問題。
　
　　其次，互聯網技術的出現，導致工業控制網絡中大量采用通用TCP/IP 技術，工業控制系統與各種業務系統的協作成為可能，愈加智能的ICS 網絡中各種應用、工控設備以及辦公用PC 系統逐漸形成一張復雜的網絡拓撲。

　　僅基于工控協議識別與控制的安全解決方案在兩方面因素的合力下，已無法滿足新形勢下ICS 網絡運維要求，確保應用層安全是當前ICS系統穩定運營的基本前提。利用工控設備漏洞、TCP/IP 協議缺陷、工業應用漏洞，攻擊者可以針對性的構建更加隱蔽的攻擊通道。以Stuxnet 蠕蟲為例，其充分利用了伊朗布什爾核電站工控網絡中工業PC 與控制系統存在的安全漏洞（LIK 文件處理漏洞、打印機漏洞、RPC 漏洞、WinCC 漏洞、S7 項目文件漏洞以及Autorun.inf 漏洞），為攻擊者入侵提供了七條隱蔽的通道。

圖4：Stuxnet 蠕蟲病毒傳播的七條途徑

　　2、脆弱性分析

　　工業控制系統的安全性和重要性直接影響到國家戰略安全實施，但為兼顧工業應用的場景和執行效率，在追求ICS 系統高可用性和業務連續性的過程中，用戶往往會被動的降低ICS 系統的安全防御需求。識別ICS 存在的風險與安全隱患，實施相應的安全保障策略是確保ICS 系統穩定運行的有效手段。

　　·安全策略與管理流程的脆弱性

　　追求可用性而犧牲安全，這是很多工業控制系統存在普遍現象，缺乏完整有效的安全策略與管理流程是當前我國工業控制系統的最大難題，很多已經實施了安全防御措施的ICS網絡仍然會因為管理或操作上的失誤，造成ICS 系統出現潛在的安全短板。例如，工業控制系統中的移動存儲介質的使用和不嚴格的訪問控制策略。

　　作為信息安全管理的重要組成部分，制定滿足業務場景需求的安全策略，并依據策略制定管理流程，是確保ICS 系統穩定運行的基礎。參照NERC CIP、ANSI/ISA-99、IEC 62443等國際標準，目前我國安全策略與管理流程的脆弱性表現為：

　　·缺乏ICS 的安全策略；
　　·缺乏ICS 的安全培訓與意識培養；
　　·缺乏安全架構與設計
　　·缺乏根據安全策略制定的正規、可備案的安全流程；
　　·缺乏ICS 安全審計機制；
　　·缺乏針對ICS 的業務連續性與災難恢復計劃；
　　·缺乏針對ICS 配置變更管理。

　　※工控平臺的脆弱性

　　隨著TCP/IP 等通用協議與開發標準引入工業控制系統，開放、透明的工業控制系統同樣為物聯網、云計算、移動互聯網等新興技術領域開辟出廣闊的想象空間。理論上絕對的物理隔離網絡正因為需求和業務模式的改變而不再切實可行。

　　目前，多數ICS 網絡僅通過部署防火墻來保證工業網絡與辦公網絡的相對隔離，各個工業自動化單元之間缺乏可靠的安全通信機制，例如基于DCOM 編程規范的OPC 接口幾乎不可能使用傳統的IT 防火墻來確保其安全性。數據加密效果不佳，工業控制協議的識別能力不理想，加之缺乏行業標準規范與管理制度，工業控制系統的安全防御能力十分有限。

　　旨在保護電力生產與交通運輸控制系統安全的國際標準NERC CIP 明確要求，實施安全策略確保資產安全是確保控制系統穩定運行的最基本要求。將具有相同功能和安全要求的控制設備劃分到同一區域，區域之間執行管道通信，通過控制區域間管道中的通信內容是目前工業控制領域普遍被認可的安全防御措施。

　　另一種容易忽略的情況是，由于不同行業的應用場景不同，其對于功能區域的劃分和安全防御的要求也各不相同，而對于利用針對性通信協議與應用層協議的漏洞來傳播的惡意攻擊行為更是無能為力。更為嚴重的是工業控制系統的補丁管理效果始終無法令人滿意，考慮到ICS 補丁升級所存在的運行平臺與軟件版本限制，以及系統可用性與連續性的硬性要求，ICS 系統管理員絕不會輕易安裝非ICS 設備制造商指定的升級補丁。與此同時，工業系統補丁動輒半年的補丁發布周期，也讓攻擊者有較多的時間來利用已存在漏洞發起攻擊。著名的工業自動化與控制設備提供商西門子就曾因漏洞公布不及時而飽受質疑。

　　據金山網絡企業安全事業部統計，2010-2011 年間，已確認的針對工業控制系統攻擊，從攻擊代碼傳播到樣本被檢測確認，傳統的安全防御機制通常需要2 個月左右的時間，而對于例如Stuxnet 或更隱蔽的Duqu 病毒，其潛伏期更是長達半年之久。無論是針對工業系統的攻擊事件，還是更隱蔽且持續威脅的APT 攻擊行為，基于黑名單或單一特征比對的信息安全解決方案都無法有效防御，更不要說利用0day 漏洞的攻擊行為。而IT 領域廣泛采用的主動防御技術，因為其存在較大的誤殺風險，并不適用于工業控制系統的高性能作業。目前，唯有基于白名單機制的安全監測技術是被工業控制系統用戶普遍任何的解決方案。

　　※網絡的脆弱性

　　通用以太網技術的引入讓ICS 變得智能，也讓工業控制網絡愈發透明、開放、互聯，TCP/IP 存在的威脅同樣會在工業網絡中重現。此外，工業控制網絡的專屬控制協議更為攻擊者提供了了解工業控制網絡內部環境的機會。確保工業網絡的安全穩定運營，必須針對ICS 網絡環境進行實時異常行為的“發現、檢測、清除、恢復、審計”一體化的保障機制。當前ICS 網絡主要的脆弱性集中體現為：

　　·邊界安全策略缺失；
　　·系統安全防御機制缺失；
　　·管理制度缺失或不完善；
　　·網絡配置規范缺失；
　　·監控與應急響應制度缺失；
　　·網絡通信保障機制缺失；
　　·無線網絡接入認證機制缺失；
　　·基礎設施可用性保障機制缺失。

　　3、潛在威脅分析

　　作為國家關鍵基礎設施自動化控制的基本組成部分，由于其承載著海量的操作數據，并可以通過篡改邏輯控制器控制指令而實現對目標控制系統的攻擊，針對工業控制網絡的定向攻擊目前正成為敵對勢力和網絡犯罪集團實施滲透攫取利益的重點對象。稍有不慎就有可能對涉及國計民生的重要基礎設施造成損害。可導致ICS 系統遭受破壞的威脅主要有：

　　·控制系統發生拒絕服務；
　　·向控制系統注入惡意代碼；
　　·對可編程控制器進行非法操作；
　　·對無線AP 進行滲透；
　　·工業控制系統存在漏洞；
　　·錯誤的策略配置；
　　·人員及流程控制策略缺失。

　　四、工業控制系統安全管理體系

　　信息化與工業化深度融合的今天，無論是關乎國計民生的電力、石化、水利、鐵路、民航等基礎保障行業，還是逐漸成規模的物聯網、移動互聯網等新型行業，交互已成ICS 系統的重要特性。互聯與交互體驗提升的同時，威脅也在與日俱增。

　　目前我國ICS 系統的信息安全管理仍存在諸多問題，例如，大型制造行業普遍存在因設備使用時間較長，安全防護能力缺失等問題；而在諸如石化電力等重要基礎設施保障行業，又因為應用和新技術的更替，海量的分布式控制組件與業務單元都讓電力控制網絡變得愈發復雜，在可用性面前安全防御機制難免出現疏漏。因此，在參照國際流行標準以及我國工業控制系統所存在的具體安全風險等因素，一種基于終端可用性和安全性兼顧的控制系統安全解決方案被提出，用以從威脅入侵的根源滿足工業控制系統的安全需求。

　　基于終端的工業系統安全防御體系

　　工業網絡中同時存在保障工業系統的工業控制網絡和保障生產經營的辦公網絡，考慮到不同業務終端的安全性與故障容忍程度的不同，對其防御的策略和保障措施應該按照等級進行劃分，實施分層次的縱深防御體系。

　　按照業務職能和安全需求的不同，工業網絡可劃分為以下幾個區域：

　　·滿足辦公終端業務需要的辦公區域；
　　·滿足在線業務需要DMZ 區域；
　　·滿足ICS 管理與監控需要的管理區域；
　　·滿足自動化作業需要的控制區域。

　　針對不同區域間數據通信安全和整體信息化建設要求，實施工業控制網絡安全建設，首先需要針對ICS 網絡管理的關鍵區域實施可靠的邊界安全策略，實現分層級的縱深安全防御策略，抵御各種已知的攻擊威脅。

圖5：工業控制系統邊界防御思想

　　※辦公網絡終端的安全防御

　　辦公網絡相對于工業控制網絡是開放，其安全防御的核心是確保各種辦公業務終端的安全性和可用性，以及基于終端使用者的角色實施訪問控制策略。辦公網絡也是最容易受到攻擊者攻擊并實施進一步定向攻擊的橋頭堡，實施有效的辦公網絡終端安全策略可最大限度的抵御針對ICS 系統的破壞。辦公網絡通用終端安全防御能力建設包括：

　　·病毒、木馬等威脅系統正常運行惡意軟件防御能力；
　　·基于白名單的惡意行為發現與檢測能力；
　　·終端應用控制與審計能力；
　　·基于角色的訪問控制能力；
　　·系統漏洞的檢測與修復能力；
　　·基于系統異常的恢復能力；
　　·外設的管理與控制能力；
　　·基于終端行為與事件的審計能力；
　　·終端安全的應急響應能力。

　　※工業控制網絡終端的安全防御

　　工業控制網絡具有明顯的獨有特性，其安全防御的核心是確保控制系統與監控系統的可用性，以及針對ICS 系統與管理員、ICS 系統內部自動化控制組件間的訪問控制策略。同時需要確保控制系統在發生異常或安全事件時，能夠在不影響系統可用性的情況下，幫助管理員快速定位安全故障點。

　　在確保控制系統可用性的前提下，工業控制網絡終端安全防御能力建設需要做到如下幾個方面：

　　·基于行業最佳實踐標準的合規保證能力；
　　·基于白名單策略的控制終端惡意軟件防御能力；
　　·基于白名單的惡意未知行為發現與檢測能力；
　　·基于ICS 協議的內容監測能力；
　　·基于控制系統的漏洞及威脅防御能力；
　　·基于可用性的最小威脅容忍模型建設能力；
　　·基于事件與行為的審計能力；
　　·基于可用性的系統補丁修復能力；
　　·終端安全的應急響應能。

　　※工業網絡終端安全管控平臺建設

　　充分了解控制終端與業務終端的安全能力建設規范與功能，是構建高性能安全事件審計與管理運維平臺模型的前提，也是實現工業網絡中對分布式控制系統、數據采集系統、監控系統的統一監控、預警和安全響應的基礎平臺。安全管控平臺不僅是實施工業數據采集和監控內容的匯聚中心，基于ICS 安全威脅的知識庫仿真模塊，更可實時對檢測到的異常或未授權訪問進行核查評估，并將風險通過短信、郵件等方式對管理員告警。

　　為確保安管平臺的可用性和時效性，可基于云計算與虛擬化技術對管理平臺進行建設，目前較成熟的私有云安全技術、虛擬終端管理技術、數據災備技術，都可為ICS 系統統一管理提供良性的技術支撐。在客戶端系統資源優化方面，先進的私有云平臺可將信息終端繁重的功能負載遷移到云端執行，為系統的關鍵應用提供寶貴的計算資源，實現工業系統調度與計算資源的最大利用。

　　另一方面，工業系統安全管理體系還應該具備應用行為分析與學習能力，例如對系統性能的異常檢測模型、工業系統協議的內容識別模型、OPC 組件的調用規則模型、以及外設和WIFI 的審計報警模型等。知識庫和各種分析模型的建立離不開對用戶工業控制系統的理解和產業攻擊事件與趨勢的跟蹤分析研究。

　　只有將涉及到工業控制系統各個環境的關鍵運維保障風險點和最基本的運維需求規范化、流程化，才能為ICS 系統實施可行的風險控制基線，實現以用戶為核心的主動威脅防御與運維保障體系。

　　參照NIST 最新發布的《工業系統安全指南》有關ICS 系統縱深防御體系架構的建議，通過引入基于私有云技術的終端安全管理體系，實現客戶端、服務端、探針對工業網絡中關鍵信息終端和關鍵應用的實時分析與審計。

圖6：工業控制系統安全架構

　　一種基于私有云技術的ICS威脅識別模型

　　目前，工業控制系統風險識別模型的實現主要有兩種方式：基于ICS 網絡的協議識別風險模型；基于ICS 系統特征的仿真控制模型。其核心設計思想通常是通過識別ICS 網絡通用及專屬協議內容，并根據其中包含的主從關系、訪問控制、行為特征、傳遞途徑、Exploit方式、命令請求等信息提取非法特征，最后通過加權的方式判斷威脅是否存在。

圖7：傳統的風險識別

　　然而，更具針對性、隱蔽性的APT 攻擊行為的出現，傳統ICS 風險識別模型增加了許多不確定的因素。通過對APT 攻擊事件、工業控制系統管理需求的分析，我們可以清晰的看到，在確保ICS 可用性的前提下，CS 組件的未公開漏洞，受信的合法控制路徑，OPC的調度組件，PLC 的過程控制，網絡架構以及管理制度設計缺陷都加重了不確定的因素。

　　因此構建滿足工業控制系統的風險識別模型，除了需要細化工業控制系統的風險因素，還需要基于工業控制系統的安全管理域的差異，實施分等級的基線建設，兼顧終端與鏈路、威脅與異常、安全與可用性等綜合因素的考慮同樣必不可少。

　　模型建立：

　　·全網流量收集識別能力；
　　·基于白名單的終端應用控制能力；
　　·實時ICS 協議與內容識別能力；
　　·異常行為的仿真能力；
　　·動態基線自適應能力；
　　·可視化運維能力；
　　·安全事件跟蹤研究能力。

圖8：基于私有云的工業系統威脅識別模型

　　五、總結

　　作為國家的重要基礎設施，工業控制系統的的安全性對國家安全、社會利益具有重要的影響，為此工信部10 月印發通知，要求各級政府和國有大型企業切實加強ICS 系統的信息安全管理。而與此同時，國內重要行業ICS 系統還普遍被《信息安全等級保護》定為第3或第4 級，工業信息系統的安全管理體系建設還需兼顧等級保護技術要求。

　　國際方面，各國網絡空間戰略的進一步發展，國與國的防御戰略已經從現實延伸到虛擬世界，網絡空間更是各國未來發展戰略中得必爭之地。自從網絡“超級武器”Stuxnet 蠕蟲的出現，誰也無法保證本國的關鍵基礎設施不會成為下一個攻擊目標。

　　因此，傳統的信息安全管理體系需要重新思考工業安全的重要性和防御策略，針對工業控制系統終端的特殊性以及IT 信息安全的管理需求，構建基于終端的安全管理體系是現階段滿足不同環境信息安全管理需求的重要手段。

圖9：基于終端的信息安全管理體系

　　當然，無論是國家未來發展戰略的要求，還是確保國家重要基礎設施可用性的需要，從管理、流程、架構、設備、技術等多個角度，構建滿足工業控制系統安全管理體系，不斷改進并完善，是確保新時期工業控制系統和國家重要基礎設施安全的最有效手段。 

轉載請注明出處：拓步ERP資訊網http://m.vmgcyvh.cn/

本文標題：ICS工業控制系統安全風險分析

本文網址：http://m.vmgcyvh.cn/html/support/1112153487.html