1　工业控制系统信息安全威胁

随着工业信息化进程的快速推进，信息、网络以及物联网技术在智能电网、智能交通、工业生产系统等工业控制领域得到了广泛的应用，极大地提高了企业的综合效益。为实现系统间的协同和信息分享，工业控制系统也逐渐打破了以往的封闭性：采用标准、通用的通信协议及硬软件系统，甚至有些工业控制系统以某些方式连接到互联网等公共网络中。

这使得工业控制系统也必将面临病毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁，而且由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要的行业中，其安全事故造成的社会影响和经济损失会更为严重。出于政治、军事、经济、信仰等诸多目的，敌对的国家、势力以及恐怖犯罪分子都可能把工业控制系统作为达成其目的的攻击目标。

根据ICS-CERT（US-CERT下属的专门负责工业控制系统的应急响应小组）的统计，自2011年以来，工业控制系统相关信息安全事件数量大幅度上升，如图1所示。虽然针对工业控制系统的信息安全事件与互联网上的攻击事件相比，数量少得多，但由于工业控制系统对于国计民生的重要性，每一次事件都会带来巨大的影响和危害。

图1　ICS-CERT统计的工控信息安全事件（按财年）

2　现有工业控制领域信息安全工作进展

工业控制系统脆弱的安全状况以及日益严重的攻击威胁，已经引起了国家的高度重视， 甚至提升到“国家安全战略”的高度，并在政策、标准、技术、方案等方面展开了积极应对。在明确重点领域工业控制系统信息安全管理要求的同时，国家主管部门在政策和科研层面上也在积极部署工业控制系统的信息安全保障工作。

自2013年以来，工业控制系统的信息安全问题在国内许多信息安全相关的技术大会上作为重要的研讨议题频繁出现，已成为工业控制系统相关的各行业以及信息安全领域的研究机构、厂商所关注的热点方向之一。同时，国家在政策制定、技术标准研制、科研基金支持、促进行业内合作等方面也在逐步加大推动的力度。其中很多厂商在工业控制信息安全领域工作进展十分明显。

2.1　工业控制系统制造商

随着工业控制系统信息安全问题越来越受关注，各个工业控制系统制造商也将工业控制系统信息安全工作纳入其工作范畴之中。在研发制造阶段，很多制造商引入信息安全评估机制，对其生产的工业控制设备进行信息安全评估。目前以西门子、施耐德电气、罗克韦尔自动化等为主的国际大型工业控制系统制造商都已经在积极进行工业控制系统信息安全研究。

以西门子为例，西门子中国研究院成立了信息安全部，专门针对工业控制系统进行信息安全研究工作，并提出了纵深防御的安全理念，将工厂安全、网络信息安全、系统完整性统一考虑，形成解决方案[2]，如图2所示。
可以看到，西门子主要针对的是其自身的设备产品，给出了基于访问控制、密码保护在内的信息安全解决方案。
施耐德电气、罗克韦尔自动化的情况与西门子比较类似，均提出了针对自身产品的工业控制系统信息安全解决方案。

从总体上看，先进的工业控制系统制造商都能够提出自己的工业控制系统信息安全解决方案。但是这些制造商做这项工作也有其不足之处：各个厂商需要在IT安全领域与各种传统IT安全厂商合作才可以实现其信息安全解决方案。而更为关键的OT（操作技术）安全领域，这些制造商仅能够针对自身产品提供解决方案，无法提供跨厂商的OT安全解决方案。

2.2　工业控制信息安全供应商

目前也有很多重点在工业控制信息安全开展工作的厂商，这些厂商主要为工业控制系统用户提供通用的工业控制信息安全产品或服务，如海天炜业、力控华康等厂商。这些工业控制信息安全供应商一般在工业控制领域都有技术积累，因此能够快速推出工业控制信息安全设备。但由于这些厂商在信息安全领域的积累不足，所以推出的安全设备主要为访问控制类产品，如工控防火墙、工控隔离网关等。

3　工业控制系统信息安全治理的治本之道

3.1　工业控制系统面临更加苛刻的安全性要求

在工业控制系统中，无论是一次系统还是二次系统，以及间隔层还是过程层，业务的连续性、健康性是至关重要的。而工业控制系统由于其长期封闭、独立的特性，造成了在信息安全方面建设的欠缺，不具备更多的容错处理，比如异常指令的处理；不具备较大压力的处理，比如快速数据传输、访问等。在Gartner报告中 [4]，总结了工业控制系统安全性相比IT环境的一些区别性特性：

图2　西门子工业信息安全体系

·工业控制系统安全问题将直接对物理环境造成影响，有可能导致死亡、受伤、环境破坏和大规模关键业务中断等；

·工业控制系统安全相比IT安全有更广泛的威胁向量，包括安全限制和特有网络协议的支持；

·工业控制系统安全涉及的系统厂商多，测试和开发环境多种多样；

·一些工业控制系统安全环境面临预算限制，这是与那些需要严格监管的IT的不同之处；

·在传统的安全性和可用性作为主要安全特性的IT行业，工业控制系统行业还会关注对产品质量的协调影响，运营资产和下游后果的安全问题。

3.2　把成熟的 IT风险评估技术移植到工业控制系统环境中

在面对与IT系统不一样的安全性要求的工业控制系统时，如何把成熟的IT风险评估技术移植到工业控制系统中成为必须要解决的问题。对这些挑战进行小结的话，可以归纳为三个方面：一是如何覆盖多样的工业控制系统；二是如何在评估时保障业务的连续性和健康性；三是如何进行成熟的安全风险评估。以下将从这三个方面分别进行探讨。

3.2.1　覆盖多样的工业控制系统

在安全风险评估时，不仅需要对在工业控制系统中使用的传统IT设备/系统，比如操作系统、交换机、路由器、弱口令、FTP服务器、Web服务器等进行安全评估，还需要覆盖工业控制系统中所特有的设备/系统，比如SCADA、DCS、PLC、现场总线等；同时，不仅要覆盖对漏洞的评估，还需要对一些关键系统的配置进行安全性评估；在工控协议的支持上，需要对主流的Modbus、Profinet、IEC60870-5-104、IEC60870-5-1、IEC61850、DNP3等主流的工控协议，其覆盖范围可参见图3。

图3　工控系统评估范围

但是，根据IHS最近的研究报告“2013全球工业以太网和现场总线技术”[5]中的调查显示，从2011年到2016年，虽然新增加网络节点的总数量将会超过30%，但是现场总线和以太网产品的混合产品数量将会基本维持不变，从23%到26%仅仅增加3个百分点。由于技术更新的成本、难度，老式工业总线很难都替换成支持以太网的新式总线。因此，需要一种有效地手段，可以对基于老式总线工业控制系统进行漏洞扫描。绿盟科技的解决思路是，使用一种有效的基于总线转换技术的漏洞扫描技术，也就是说通过对老式总线的接入方式的转换，例如RS485转换成以太网，使得采用标准工控总线协议的工业控制系统，例如Profibus-DP、Modbus等，可以通过以太网的方式进行漏洞扫描。这种技术可以有效地把基于以太网的成熟漏洞扫描技术引进到老式的工业控制系统中，实现更全面的安全风险评估。转换思路如图4所示。

图4　工业控制系统总线转换技术

3.2.2　在评估时保障业务的连续性和健康性

面对安全性要求更高的工业控制系统，需要在扫描时更加安全、可靠，而工业控制系统由于长期封闭建设的原因，设备/系统相比IT系统更加的脆弱。因此需要采用“零影响”的扫描技术以保障设备的零影响。在解决思路上，如果能把安全扫描融入到正常的业务中，也就是说扫描行为与正常的业务行为保持一致性，将很好地解决这个问题。同时，通过在IT系统中多年积累的安全扫描经验，能够更好地保障业务的连续性和健康性。

3.3　如何进行成熟的安全风险评估

结合漏洞的生命周期以及漏洞管理流程，可从以下三个方面进行成熟的安全风险评估：

3.3.1　可视化的工控风险展示

风险“可视化”是进行风险管控必不可少的特性。科学的风险发现、风险跟踪技术可以很好地提高整体风险控制水平，可为企业带来更高效率，有的甚至可以达到更好的效果。

绿盟科技根据多年的经验积累，采用了更具实效性的仪表盘技术，从不同的角度展示设备风险及趋势。

·包含资产整体的风险值、资产分析趋势图；

·包含主机风险等级分布、资产风险分布趋势；

·能够可视化的显示当前资产的风险值及过去一段时间的变化趋势。

3.3.2　基于工控资产的漏洞跟踪

工控系统一般规模大，资产数量、漏洞数量、脆弱性问题也很多，汇总成大量的风险数据，会使安全管理人员疲于应付，又不能保证对重要资产的及时修补。

因此在漏洞跟踪时需要尽量收集工控系统环境信息，建立起工控资产关系列表，系统基于资产信息进行脆弱性扫描和分析报告；需要从风险发生区域、类型、严重程度进行不同维度的分类分析报告，用户可以全局掌握安全风险，关注重点区域、重点资产，对严重问题优先修补。对于需要定位工控资产安全脆弱性的安全维护人员，通过直接点击仪表盘风险数据，可以逐级定位风险，直至定位到具体主机具体漏洞；同时需要提供强大的搜索功能，可以根据资产范围、风险程度等条件搜索定位风险。

图5　工控漏洞管理流程

3.3.3　完善的工控漏洞管理流程

安全管理不只是技术，更重要的是通过流程制度对安全脆弱性风险进行控制，很多公司制定了安全流程制度，但仍然有安全事故发生，人员对流程制度的执行起到关键作用，如何融入管理流程，并促进流程的执行是安全脆弱性管理产品需要解决的问题。

安全管理流程制度一般包括预警、检测、分析管理、修补、审计等几个环节，结合安全流程中的预警、检测、分析管理、审计环节，并通过事件告警督促安全管理人员进行风险修补。

4　结语

工业控制系统信息安全是近一两年来备受各方关注的一个新兴安全技术领域。工业控制系统制造商、传统信息安全厂商和工控信息安全厂商都在这一领域投入力量展开研究，希望能够给工业控制系统用户提供一个有效的信息安全解决方案。

目前各类通用工业控制系统信息安全问题解决思路还是从外围的访问控制入手，本文给出一个从工业控制系统漏洞管理入手的解决思路，希望能够从根本上更好地解决工业控制系统信息安全问题。绿盟科技也在依照这个思路开展研发工作，目前已经基本完成了工控漏洞扫描系统的研发工作，并且在一些工控环境进行验证工作。希望在不久之后，更具针对性、更有效的工控漏洞扫描系统将会更好的在工业控制系统信息安全领域发挥作用。

作者简介

张旭（1983-），男，北京人，现任北京神州绿盟科技有限公司风险与合规产品线推广经理，具有多年安全运维、风险管理工作经验。

向智（1978-），男，湖南邵阳人，现任北京神州绿盟科技有限公司风险与合规产品线产品经理，具有十年以上网络安全行业的产品规划、研究、开发和市场营销管理工作经验，在漏洞扫描、漏洞分析、协议分析、网络攻击检测、威胁防护技术、网络审计、防火墙领域有较多积累，对各种互联网协议、工控系统协议、终端安全有深入了解。

参考文献

[1]李鸿培,忽朝俭,王晓鹏.2014工业控制系统的安全研究与实践[Z].绿盟科技，2014.

[2]工业信息安全贯穿自动化系统所有层级. http://www.industry.siemens.com.cn/topics/cn/zh/industrial-security/Pages/default.aspx.

[3]Tofino工业防火墙. http://www.mosesceo.com/html/guard/product/tsa.htm.

[4]Market Share Analysis: Communications Service Provider Operational Technology, Worldwide, 2013. http://www.gartner.com/technology/reprints.do?id=1-1KL5RP7&ct=130919&st=sb.

[5]The World Market for Industrial Ethernet and Fieldbus Technologies. http://www.ihs.com/info/sc/a/ethernet-fieldbus-technologies.aspx.

摘自《工业控制系统信息安全专刊（第一辑）》