摘要：随着工业信息化进程的快速推进，信息、网络技术在工业控制领域得到了广泛 的应用。工业控制系统逐渐打破了以往的封闭性，这使得工业控制系统也必将面临黑客入 侵等传统的信息安全威胁。本文分析了工业控制系统面临的安全威胁，以及现有工业控制 领域安全工作的进展，然后提出了我们应对工业控制系统安全问题的解决思路，从根本上发现并解决工业控制系统安全问题。

   关键词：工业控制系统；漏洞

    一 . 工业控制系统安全威胁 

    随着工业信息化进程的快速推进，信息、网络以及物联网技术 在智能电网、智能交通、工业生产系统等工业控制领域得到了广泛的应用，极大地提高了企业的综合效益。为实现系统间的协同和信息分享，工业控制系统也逐渐打破了以往的封闭性，采用标准、通用的通信协议及硬软件系统，甚至有些工业控制系统也能以某些方式连接到互联网等公共网络中。

    这使得工业控制系统也必将面临病毒、木马、黑客入侵、拒绝 服务等传统的信息安全威胁，而且由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要行业中，其安全事故造成 的社会影响和经济损失会更为严重。出于政治、军事、经济、信仰 等诸多目的，敌对的国家、势力以及恐怖犯罪分子都可能把工业控 制系统作为达成其目的的攻击目标。

    根据 ICS-CERT（US-CERT 下属的专门负责工业控制系统的 应急响应小组）的统计，自 2011 年以来，工业控制系统相关安全事件数量大幅度上升。虽然针对工业控制系统的安全事件与互联网上的攻击事件相比，数量少得多，但由于工业控制系统对于国计民生 的重要性，每一次事件都会带来巨大的影响和危害。


                                                       

    二 . 现有工业控制领域安全工作进展

    工业控制系统脆弱的安全状况以及日益严重的攻击威胁，已经引起了国家的高度重视，甚至提升到“国家安全战略”的高度，并在 政策、标准、技术、方案等方面展开了积极应对。在明确重点领域工业控制系统信息安全管理要求的同时，国家主管部门在政策和科研层面上也在积极部署工业控制系统的安全保障工作。

    自 2013 年以来，工业控制系统的安全 问题在国内许多信息安全相关的技术大会上 作为重要的研讨议题频繁出现，已成为工业 控制系统相关的各行业以及信息安全领域的 研究机构、厂商所关注的热点方向之一。同 时，国家在政策制订、技术标准研制、科研 基金支持、促进行业内合作等方面也在逐步 加大推动的力度。其中很多厂商在工业控制 领域安全工作进展也十分明显。

    2.1 工业控制系统制造商

    随着工业控制系统安全问题越来越受关 注，各个工业控制系统制造商也将工业控制 系统安全工作纳入其工作范畴之中。在研发 制造阶段，很多制造商引入安全评估机制， 对其生产的工业控制设备进行安全评估。目 前以西门子、施耐德、罗克韦尔等为主的国 际大型工业控制系统制造商都已经在积极的 进行工业控制系统安全研究。

    以西门子为例，西门子中国研究院成立 了信息安全部，专门针对工业控制系统进行安全研究工作。西门子提出了纵深防御的安全理念，将工厂安全、网络信息安全、系统完整性统一考虑，形成解决方案。


                                                 
                                                                                 图 1 西门子工业信息安全体系

    但是可以看到，西门子的工业信息安全虽然宣称贯穿自动化系统所有层级，但主要针对 的是西门子自身的设备产品，给出了基于访问控制、密码保护在内的信息安全解决方案。

    施耐德、罗克韦尔的情况与西门子比较类似，均提出了针对自身产品的工业控制系统信 息安全解决方案。

    从总体上看，先进的工业控制系统制造商都能够提出自己的工业控制系统信息安全解决 方案。但是这些制造商做这项工作也有其不足之处 ：各个厂商需要在 IT 安全领域与各种传 统 IT 安全厂商合作才可以实现其信息安全解决方案。而更为关键的 OT 安全领域，这些制 造商仅能够针对自身产品提供解决方案，无法提供跨厂商的 OT 安全解决方案。

    2.2 工业控制安全供应商

    目前也有很多重点在工业控制安全开展工作的厂商，这些厂商主要为工业控制系统用户 提供通用的工业控制安全产品或服务。

    提供工业控制产品的典型厂商如海天炜业、力控华康等厂商。这些工业控制安全供应商一般在工业控制领域都有技术积累，因此能够快速推出工业控制安全设备。但由于这些厂商在信息安全领域的积累不足，所以推出的 安全设备主要为访问控制类产品，如工控防火墙、工控隔离网关等。

                                                

                                                                                  图 2 Tofino 工业防火墙

    三 . 工业控制系统安全治理的治本之道

    3.1 工业控制系统面临更加苛刻的安全性要求

    在工业控制系统中，无论是一次系统还是二次系统，以及间隔 层还是过程层，业务的连续性、健康性是至关重要的，尤其是石化、 电力、交通、核工业、水利等行业。而工业控制系统由于其长期封闭、 独立的特性，造成了在安全方面建设的欠缺，不具备更多的容错处理， 比如异常指令的处理，不具备较大压力的处理，比如快速数据传输、 访问等。在 Gartner 报告中，总结了工业控制系统安全性相比 IT 环 境的一些区别性特性 ：

    • 工业控制系统安全问题将直接对物理环境造成影响，有可能导 致死亡、受伤、环境破坏和大规模关键业务中断等。

    • 工业控制系统安全相比 IT 安全有更广泛的威胁向量，包括安全限制和特有网络协议的支持。

    • 工业控制系统安全涉及的系统厂商多，测试和开发环境多种多样。

    • 一些工业控制系统安全环境面临预算限制，这是与那些需要严格监管的 IT 不同之处。

    • 在传统的安全性和可用性作为主要安全特性的 IT 行业，工业 控制系统行业还会关注对产品质量的协调影响，运营资产和下游后 果的安全问题。

    3.2 把成熟的 IT 风险评估技术移植到工业控制系统环境中

    在面对与 IT 系统不一样的安全性要求的工业控制系统时，如何 把成熟的 IT 风险评估技术移植到工业控制系统中，成为必须解决的 问题。对这些挑战进行小结的话，可以归纳为两个方面 ：一个是如 何覆盖多样的工业控制系统 ；一个是如何在评估时保障业务的连续 性和健康性。以下从这两个方面分别进行探讨。

    3.2.1 覆盖多样的工业控制系统 在安全风险评估时，不仅需要对在工业控制系统中使用的传统
IT 设备 / 系统，比如操作系统、交换机、路由器、弱口令、FTP 服 务器、Web 服务器等，进行安全 评估，还需要覆盖工业控制系统 中所特有的设备 / 系统，比如 SCADA、DCS、PLC、现场总线等； 同时，不仅要覆盖对漏洞的评估，还需要对一些关键系统的配置 进行安全性评估 ；在工控协议的支持上，需要对主流的 Modbus、 P r o f i n e t、 I E C 6 0 8 7 0 - 5 -10 4、 I E C 6 0 8 7 0 - 5 -1、 I E C 6 18 5 0、DNP3 等主 流的工控 协议 进行覆 盖， 其覆盖范围可参见图 3。


                                                     

                                                                                         图 3 工控系统评估范围

    但是，根据 HIS 最近的研究报告“2013 全球工业以太网和现场总线技术”中的调查 显示， 从 2011 年到 2016 年， 虽 然 新 增加 网络节点的总数 量将会 增加超 过 30%，但 是现场总线和以太网产品的混合产品数量将 会 基 本 维 持 不 变， 从 23% 到 26% 仅仅 增加 3 个百分点。 由于技 术更 新 的成 本、 难度，老式工业总线很难都 替 换 成支持以太 网的新式总线。因此，需要有一种有效地手 段，可以对基于老式总线工业控制系统进行 漏洞扫描。 我们的解决 思 路 是， 使用一种 有效的基于总线转换技术的漏洞扫描技术， 也就是说通过对老式总线的接入方式的转 换，例如 RS485 转换成以太网，使得采用 标 准工控总线协议的工业控制系统， 例如PROFIBUS-DP、MODBUS 等，可以通过以太网的方式进行漏洞扫描。这种技术可以有效地把基于以太网的成熟漏洞扫描技术引进到老式的工业控制系统中，实现更全面的安全风险 评估。转换思路可如图 4 所示。


                                                 

                                                                              图 4 工业控制系统总线转换技术

    3.2.2 在评估时保障业务的连续性和健康性

    在面对安全性要求更高的工业控制系统，需要在扫描时更加安全、可靠，而工业控制系 统由于长期封闭建设的原因，设备 / 系统相比 IT 系统更加的脆弱。因此需要采用“零影响” 的扫描技术以保障设备的零影响。在解决思路上，如果能把安全扫描融入到正常的业务中， 也就是说扫描行为与正常的业务行为保持一致性，将很好地解决这个问题。同时，通过在 IT 系统中多年积累的安全扫描经验，能够更好地保障业务的连续性和健康性。

    3.3 如何进行成熟的安全风险评估
   
    结合漏洞的生命周期以及漏洞管理流程，可从以下三个方面进行成熟的安全风险评估 ：

    3.3.1 可视化的工控风险展示

    风险“可视化”是进行风险管控必不可少的特 性。科 学的风 险发现、风 险跟踪 技术可以很好地提高整体风险控制的水平，可为企业带来更高的效率， 有的甚至可以提高效果。

   我们根据多年的经验积累，采用了更具 实效性的仪表盘技术，从不同的角度展示设 备风险及趋势。

    • 包含资产整体的风险值、资产分析趋 势图。

    • 包含主机风险等级分布、资产风险分 布趋势。

    • 能够可视化的显示当前资产的风险值 及过去一段时间的变化趋势。

    3.3.2 基于工控资产的漏洞跟踪 工控系统一般规模大，资产数量、漏洞数量、脆弱性问题也很多，汇总成大量的风 险数据，会使安全管理人员疲于应付，又不 能保证对重要资产的及时修补。

    因此漏洞跟踪是需要尽量收集工控系统 环境信息，建立起工控资产关系列表，系统 基于资产信息进行脆弱性扫描和分析报告 ； 需要从风险发生区域、类型、严重程度进行不同维度的分类分析报告，用户可以全局掌握安全风险，关注重点区域、重点资产，对 严重问题优先修补。对于需要定位工控资产 安全脆弱性的安全维护人员，通过直接点击 仪表盘风险数据，可以逐级定位风险，直至 定位到具体主机具体漏洞 ；同时需要提供了强大的搜索功能，可以根据资产范围、风险程度等条件搜索定位风险。

    3.3.3 完善的工控漏洞管理流程 安全管理不只是技术，更重要的是通过流程制度对安全脆弱性风险进行控制，很多 公司制定了安全流程制度，但仍然有安全事 故发生，人员对流程制度的执行起到关键作 用，如何融入管理流程，并促进流程的执行是安全脆弱性管理产品需要解决的问题。


                                                    

                                                                                               图 5 工控漏洞管理流程 

    安全管理流程制度一般包括预警、检测、分析管理、修补、审计等几个环节，结合安全流程中的预警、检测、分析管理、审计环节， 并通过事件告警督促安全管理人员进行风险修补。

    四 . 总结

    工业控制系统安全是近一两年来备受各 方关注的一个新兴安全技术领域。工业控制 系统制造商、传统安全厂商和工控安全厂商 都在这一领域投入力量展开研究，希望能够 给工业控制系统用户提供一个有效的安全解 决方案。

    目前各类通用工业控制系统安全问题解 决思路还是从外围的访问控制入手，本文给 出一个从工业控制系统漏洞管理入手的解决 思路，希望能够从根本上更好地解决工业控 制系统安全问题。我们也在依照这个思路开 展研发工作，目前已经基本完成了工控漏洞 扫描系统的研发工作，并且在一些工控环境 进行验证工作。希望在不久之后，更具针对 性、更有效的工控漏洞扫描系统将会更好地 在工业控制系统安全领域发挥作用。