曾幾何時，信息安全與工業控制系統這個“獨立王國”還扯不上關系，但2010年的“Stuxnet”病毒事件讓人們恍然大悟：原來“獨立王國”也有淪陷的時候。于是國家和企業都重視起來，紛紛采取行動，當然，IT 安全從業者也在行動。

本文主要從工控系統信息安全實踐和實踐中的問題兩個方面來談談筆者關于在工控安全實踐方面的積累和感受。

1　工控系統信息安全實踐

1.1　工控信息安全標準

感謝標準相關制定機構以及參與制定的專家們，正是有了這些信息安全標準的制定，信息安全工作才有了方向。雖然工控信息安全標準編制工作國內起步較晚，不過目前也有一些標準可以參考，如：等級保護基本要求、GB/T 30976……使企業開展信息安全工作有“法”可依，有據可查。下面簡單介紹等級保護基本要求和GB/T30976兩個標準。

（1）等級保護基本要求

等級保護基本要求是我國開展信息安全工作的最重要標準之一，從技術和管理兩個方面對信息系統的安全保護能力提出要求。其應用范圍較廣，適用于信息系統管理組織，信息系統產品廠商，信息系統集成商，信息安全咨詢服務企業，第三方信息安全測評機構等。

（2）信息安全標準GB/T30976

GB/T30976標準是新發布的專門針對工控系統的信息安全標準。該標準包括兩部分，第一部分從管理、技術能力兩個方面對工業控制系統風險的評估、分級進行了規范，也就是提要求。該標準同等級保護基本要求相似，只是側重點有所不同。第二部分對工業控制系統的信息安全驗收過程進行了規范。其分級如表1所示。

表1 信息安全標準 GB/T30976分級

1.2　等級保護在工控系統實踐關注點

和利時作為國內工控行業領軍企業，也是較早關注工控系統信息安全的企業之一。在之前對工控系統整體信息安全方面的研發實踐中主要參考等級保護基本要求。現階段在工控系統實踐中進行等級保護重點關注以下七個方面：工控網絡結構、安全隔離、病毒防護、安全審計、身份鑒別、設備自身防護、邊界完整性。下面就每個方面做簡單介紹。

1.2.1　工控網絡結構

圖1 工控網絡結構

在等級保護基本要求里，其中有一條是對信息系統安全區域劃分的要求。跟據等級保護基本要求的特點，以及工控系統的特點，我們可以從縱向和橫向兩個維度對工控系統網絡進行結構的劃分，劃分的方式可以根據控制系統的情況、環境的不同而不同，不能一概而論。總的原則是縱向分層，橫向分區。

例如DCS系統，從縱向來說，可以劃分為現場控制層、過程監控層、監督控制層三個層面。如圖1所示。

在縱向劃分的基礎上，在每個層面可以橫向再劃分成安全區。例如，在現場控制層中，可以根據不同生產線、不同工藝流程進行劃分。

在過程監控層中，主要包括現場的操作終端、服務器和工程師站。對于一些大型的DCS系統，可以先按照生產線、生產工藝流程劃分成大的域，然后在每個生產線域內再進行劃分成為服務器區、操作終端區、工程師站等。

1.2.2　安全隔離安全隔離主要涉及到隔離設備和隔離位置。

（1）主要隔離設備：工控防火墻

工控防火墻一些特點：

·對工控協議支持，如對OPC、ModBus等協議的支持。

·滿足工業環境的要求，如電磁干擾、抗震、防塵、絕緣、溫/濕度等。

·針對私有協議進行二次開發，現在的工業控制系統很多使用自己的私有協議，需要進行二次開發才能使用。不進行二次開發也就只能進行端口過濾，意義不是很大。

（2）隔離位置

選擇什么位置進行隔離，基本可以參考傳統信息安全的相關原則，主要基于三個原則：在不同網絡邊界之間；不同安全區域邊界之間以及在控制器前隔離。

工控系統信息安全與傳統信息安全的不同就是在控制器前部署工控防火墻。基于兩個方面的原因：一是限制訪問控制。控制器不是所有終端設備都能訪問的，也沒必要允許任何設備都可以訪問，需要限制有權限的設備才能訪問。二是泛洪攻擊。雖然目前控制器的處理能力有所提高，但是想比于普通個人電腦，其處理能力還有很大差距，面對廣播風暴之類的大量數據包控制器基本還是無能為力。而目前工控系統維護方面碰到的最頭疼的問題之一就是廣播風暴的問題。工控防火墻部署在控制器之前，可以阻擋大量非法廣播包對控制器的影響，減輕控制器的處理負荷，從而保護控制器不受數據包泛洪等的影響。

1.2.3　病毒防護

在工控系統病毒防護中，目前國內同行形成的一種共識就是采用軟件白名單方式，是因為：

（1）不需要頻繁升級病毒庫；

（2）不對進程進行查殺，刪除；

（3）只允許在白名單范圍內的程序運行；

（4）工控系統安裝的程序比較單一、穩定，適合白名單方式的運行機制環境。

1.2.4　安全審計

安全審計包括日志審計和流量監控。網絡設備、主機系統的日志收集，審計與傳統信息安全一樣，用同樣的方法、方式就能滿足工控系統安全審計。唯一的區別是對工控軟件的日志集中收集問題，需要解決兩個問題：

（1）集中日志收集的支持；

（2）審計系統對工控軟件日志內容，格式的支持（日志字段、警告級別，可能與傳統信息安全日志不太一樣），需要同工控廠商二次開發。

1.2.5　身份鑒別

（1）措施在工控軟件系統方面，身份鑒別采取的措施是：

·雙因子鑒別。等保基本要求三級里明確規定，對系統管理用戶需要進行雙因子身份鑒別，在工控系統中，工程師賬戶，值班長賬戶，網絡設備管理員等重要賬戶需要進行雙因子鑒別；雙因子可以是口令+證書、動態口令等方式。

·單因子鑒別。如操作員賬戶，用口令就可以了，口令的復雜度需要強一些。

（2）鑒別時機

工控系統中的鑒別時機，在以下三種情況下需要進行身份鑒別：

·登陸工控系統時；

·進行工程下裝時；

·重要參數修改時（如發電機轉速等）。

1.2.6　設備自身防護

設備自身防護包括三個方面：主機加固、網絡設備加固和工控系統自身的防護。

（1）主機操作系統加固

Windows系統使用普遍，使其經常成為被攻擊的對象。對Windows的加固主要涉及：

·關閉多余服務；

·安裝系統補丁；

·刪除多余系統組件；

·開啟Windows系統自帶防火墻等。

（2）網絡設備加固

·關閉不需要的服務，如關閉HTTP/TELNET等；

·限制遠程管理地址；

·使用加密方式進行遠程管理；

·口令滿足復雜度等。

（3）工控系統自身的安全防護

采用合適的軟件開發模式，減少軟件漏洞。最基本的安全措施包括啟用身份鑒別、加強口令復雜度、用戶權限控制、日志記錄等。

1.2.7　邊界完整性

邊界完整性包括非授權設備的接入，外部數據輸入，無線網絡的使用。

（1）非授權設備接入：主要在網絡層面，關閉交換機閑置端口，對端口地址進行綁定等方式。

（2）外部數據輸入（如升級包等）：進行U盤、光盤等移動介質的管理。使用數據轉運系統，所有輸入數據，先存放在Linux系統安裝的文件服務器中，并進行病毒查殺，工控系統內部終端設備在數據轉運系統中讀取數據，這樣能夠避免U盤帶有病毒，并且可以在兩個不同的系統之間起到保護數據的作用。

（3）無線網絡的使用：在DCS系統中基本用不到，而在SCADA系統中經常能用到，如油氣田等邊遠地區，多使用無線信號傳輸數據，需要考慮到無線信號的安全問題。安全措施主要是對無線信號加密，接入設備的認證等，無線網絡和有線網絡之間使用工控防火墻或網閘進行完全隔離。

2　實踐中出現的問題

在進行工控安全的實踐過程中，主要發現了兩個方面的問題：一體化和工控安全產品本身的問題。

（1）一體化

這里的一體化，簡單來說，是指工控廠商和信息安全廠商的深度合作，這方面目前還比較欠缺。傳統的信息安全，安全廠商可能繞開軟件系統廠商，直接面對用戶。而對于工控系統，用戶雖然使用控制系統多年，但很多用戶仍然不了解控制系統內部具體通信機制等情況。因此安全廠商需要與工控廠商深度合作，開發適用于工控系統的安全解決方案，經過深入測試，由工控廠商和信息安全廠商聯合向客戶推廣更容易被接受。

（2）工控安全產品

在測試過程中，一些安全產品或多或少地發現了一些問題。

·可靠性

一些產品不滿足，如溫度、濕度、抗震等工業環境要求，設備自身功能不全，設備運行不穩定等。

·可用性

目前工控安全產品不像傳統信息安全產品有多年的使用經驗，工控安全產品缺少廣泛的試用，有些產品甚至剛開發出來。

（本文整理自“ 2015第四屆工業控制系統信息安全峰會”第三站的報告）

作者簡介

劉太洪（1978-），男，四川綿陽人，高級安全評估工程師，碩士，現就職于北京和利時系統工程有限公司。主要研究方向為工業控制系統信息安全，從事工業控制系統信息安全研究工作，并先后完成了和利時DCS系統的安全測評、目前市面上主流工業防火墻功能測試等工作。

摘自《工業控制系統信息安全專刊（第二輯）》