工業控制系統網絡安全防護的思考

當前，工業控制系統與物聯網、互聯網呈現出深度融合的態勢，這既大幅提升了工業控制系統的智能化、信息化程度，也引發了一系列新的安全挑戰。針對工控系統的各類新型攻擊技術和手段層出不窮，對國家安全、經濟發展和社會穩定等產生了嚴重影響，引起了世界各國政府的高度重視。例如，震網病毒、火焰病毒、BlackEnergy等病毒已具有明確靶向攻擊特征。在全球信息化背景下，網絡空間政治化、軍事化、經濟化進程明顯加快，網絡空間已成為國際戰略競爭的新制高點、經濟發展的新支撐、國家主權的新疆域和軍事斗爭的新戰場。

2003年，Slammer蠕蟲感染美國Davis-Besse核電廠的安全監測系統；2010年，震網病毒感染伊朗核設施，伊朗核計劃受阻；2012年，火焰病毒入侵中東地區的“網絡戰武器”；2015年，BlackEnergy惡意代碼變種攻擊烏克蘭電力系統，造成烏克蘭大規模停電；2018年4月，CISO交換機遠程代碼執行漏洞，黑客利用該漏洞對俄羅斯和伊朗的基礎設施進行了攻擊，全球受影響設備約20萬臺；2018年8月4日，臺積電電腦系統遭到電腦病毒攻擊，造成竹科晶圓12廠、中科晶圓15廠、南科晶圓14廠等主要廠區的機臺停線。

眾多工控安全事件表明，工控系統攻擊威脅呈有組織、大規模、高隱蔽、強持續的趨勢，具有國家、組織背景的攻擊行為不斷增加；攻擊技術層出不窮，攻擊方法花樣翻新，國家安全、經濟發展、社會穩定面臨巨大威脅。

目前，我國工控系統的安全也現狀不容樂觀，諸多問題依然存在。一是隱患難以根除。我國工業控制系統設備存有漏洞后門的問題嚴重，硬件漏洞修復成本高、難度大，我國關鍵基礎設施工控系統的安全隱患難以根除。二是安全難以深入。受某些廠家工控系統“一站到底式”控制模式的制約，工控系統的安全檢測、監測、控制與防范等難以深入。三是國產化率較低。我國工業控制系統的自主研制與國產化應用起步較晚，自主可控的工控系統高端產品國產化率較低。四是技術體系滯后。工控系統重大共性關鍵安全技術尚需突破，適應我國工控安全需要的安全標準和技術體系等相對滯后，我國關鍵基礎設施受制于人、技不如人的現狀仍未改善。隨著我國互聯網普及和工業互聯網、大數據、數字化工程等新技術、新業務的快速發展與應用，我國在工業控制系統方面面臨的安全問題日益復雜。與此同時，敲詐勒索病毒、設備后門漏洞、分布式拒絕服務攻擊、網絡攻擊“武器庫”泄露、APT攻擊等安全事件層出不窮，使得工業控制系統面臨的網絡安全威脅與風險不斷加大，給網絡空間安全造成嚴重的潛在安全威脅，對我國工控系統安全不斷提出新的挑戰。

一、工控系統網絡安全威脅分析

工控網絡安全高危漏洞層出不窮。當前，工控安全漏洞類型呈現出多樣化特征，對于業務連續性、實時性要求高的工控系統，無論是利用這些漏洞造成業務中斷、獲得控制權限還是竊取敏感生產數據，都將對工控系統造成極大的安全威脅。同時，由于工控漏洞的修復進度較為遲緩，全球新增的工控漏洞數量顯著高于修復漏洞數量。究其原因，一方面在于供應商漏洞修復工作的優先級別較低，還要受到軟件開發迭代周期的限制；另一方面在于工業企業出于維持業務連續性的考慮，及時更新和安裝補丁的積極性不高。

工控安全漏洞呈逐年增加態勢。根據美國工業控制系統網絡緊急響應小組（ICS-CERT）統計報告，2015年漏洞總數為486個，2016年漏洞總數為492個。近年來，所收錄的安全漏洞數量也持續走高。2018年1月至2018年5月，根據我國國家信息安全漏洞共享平臺（CNVD）統計，信息安全漏洞總數達6730個，工業控制系統漏洞總數為190個，主要分布在能源、制造、商業設施、水務、市政等重點領域，涉及20多個工業相關產品。

暴露在互聯網上的工控系統及設備有增無減。工業與IT的高度融合，信息技術（IT）和操作技術（OT）一體化迅速發展，越來越多的工業控制系統采用通用硬件和通用軟件，并與企業網中運行的管理信息系統（如MES、ERP）之間實現了互聯、互通、互操作，甚至可以通過互聯網、移動互聯網等直接或間接地訪問，這就導致了從研發端、管理端、消費端、生產端等任意一端都有可能實現對工控系統的網絡攻擊或病毒傳播，給工業控制系統（ICS）、數據采集與監視控制系統（SCADA） 等工業設施帶來了更大的攻擊面。工業控制系統涉及我國電力、水利、冶金、石油化工、核能、交通運輸、制藥以及大型制造行業，尤其是能源行業，一旦遭受攻擊會帶來巨大的損失。與傳統IT系統相比較，II/OT一體化的安全問題把安全威脅從虛擬世界帶到現實世界，可能會對人的生命安全和社會的安全穩定造成重大影響。截至2018年5月，國內范圍內，暴露在互聯網上的工業控制系統設備數量達97625個，其中能源行業暴露在互聯網上的工業控制系統設備數量達19341個。2018年暴露在互聯網上的工控資產涉及多家知名廠商的產品和應用。

工控系統網絡攻擊難度逐漸降低。隨著越來越多的工控系統暴露在互聯網上，工控系統日益成為“眾矢之的”，黑客有目的地探測并鎖定攻擊目標變得更加容易。加上針對工控系統的漏洞挖掘和發布與日俱增，大量工控系統安全漏洞、攻擊方法可以通過互聯網等多種公開或半公開渠道擴散，極易被黑客等不法分子獲取利用。如今，對工控系統的入侵攻擊已不再神秘，進一步加劇了工控系統的安全風險。一方面，大量工控系統軟硬件設備漏洞及利用方式可通過公開或半公開的渠道獲得；另一方面，諸多黑客大會、開源論壇和白帽社區公開大量工控系統入侵案例細節。例如，2017年舉辦的亞洲黑帽大會上，研究人員展示了世界上第一款可以在可編程邏輯控制器（PLC）之間進行傳播的蠕蟲病毒，發布了技術思路和概念驗證程序；一些白帽子技術社區上也曾發表相當多SCADA系統風險案例，詳細描述了SCADA系統的漏洞細節和利用方式；眾多開發者社區發布的工控系統安全事件技術分析報告不斷增多，其中許多技術分析報告給出了網絡攻擊步驟、詳細攻擊代碼甚至攻擊工具等詳細信息，易被黑客獲取、復現以實施網絡攻擊。

此外，某些網絡武器庫遭泄露埋下重大工業信息安全隱患。維基解密、影子經紀人等黑客組織公開披露了大批網絡攻擊工具和安全漏洞，與木馬病毒相結合，可被用于入侵感染工控系統，引發高頻次、大規模的網絡攻擊，造成嚴重后果。例如，震驚全球的WannaCry勒索病毒就利用了黑客組織“影子經紀人”披露的美國國安局的“永恒之藍”漏洞進行傳播，給工控系統造成巨大危害。截至2017年9月8日，維基解密已經泄露23批美國中央情報局（CIA）Vault7文件，這些文件中包含了大量網絡攻擊工具，可被直接或修改后用來對工控系統發動網絡攻擊，潛在的安全隱患極大。

工控系統自身安全不足。一是工業設備資產的可視性嚴重不足。工業設備資產可視性不足嚴重阻礙了安全策略的實施。要在工業互聯網安全的保護中取勝，“知己”是重要前提。許多工業協議、設備、系統在設計之初并沒有考慮到在復雜網絡環境中的安全性，而且這些系統的生命周期長、升級維護少也是巨大的安全隱患。二是很多工控設備缺乏安全設計。在各類機床數控系統、PLC、運動控制器等所使用的控制協議、控制平臺、控制軟件等方面，在設計之初未考慮完整性、身份校驗等安全需求，存在身份鑒別、訪問控制不嚴格、配置維護不足、弱加密算法等安全隱患。三是設備聯網機制缺乏安全保障。工業控制系統中的設備與網絡相連，工業網絡與辦公網絡連接，企業內部網絡又與外面的云平臺、第三方等進行網絡連接，由此產生了網絡數據傳輸安全、網絡傳輸鏈路中軟硬件設備安全、網絡防護邊界安全等安全需求。四是生產數據面臨丟失、泄露、篡改等安全威脅。智能制造工廠內部生產管理數據、生產操作數據以及工廠外部數據等各類數據，不管是通過大數據平臺存儲、還是分布在用戶、生產終端、設計服務器等多種設備上，都將面臨數據丟失、泄露、被篡改等安全威脅。

二、工控系統網絡安全防護

由于工控系統具有特殊性，相比傳統信息系統具有5個方面的特性需求：一是可靠性需求，工控系統的可靠穩定運行是確保工業生產安全的基礎；二是實時性需求，工控系統從過程數據的實時采集、傳輸到控制指令的下達執行，周期短，實時性要求較高；三是安全性需求，工業控制系統大量采用計算機及通信技術，在保障生產過程安全的同時，還需要能夠抵御網絡安全威脅；四是分布性需求，工控系統具有實時閉環控制的特性，采集、傳輸、控制等業務模塊采用地理或空間位置上的分散布置方式，生產過程的實時性越高分布性越強；五是系統性需求，工控系統在時間上應具有時變性和連續性，在空間上具有分布參數和分布處理的特性，在技術上涉及技術領域和設備系統較多，在管理上涉及業務部門和層級較多，對系統性要求很高。

因此，實現工控系統的網絡安全，應重點進行6個方面的安全防護：一是建立體系、不斷發展。要逐步建立工業控制系統網絡安全防護體系，主要包括基礎設施安全、體系結構安全、系統本體安全、可信安全免疫、安全應急措施、全面安全管理等，形成多維柵格狀架構，并隨著技術進步而不斷動態發展完善。二是分區分級、保護重點。根據工業控制系統的業務特性和業務模塊的重要程度，遵循國家網絡安全等級保護的要求，準確劃分安全等級，合理劃分安全區域，重點保護生產控制系統核心業務的安全。三是網絡專用、多道防線。工業控制系統應采用專用的局域網絡（LAN）和廣域網絡（WAN），與外部因特網和企業管理信息網絡之間進行物理層面的安全隔離，在與本級其他業務系統相連的橫向邊界，以及上下級工業控制系統相連的縱向邊界，應部署高強度的網絡安全防護設施，并對數據通信的七層協議采用相應安全措施，形成多道立體安全防線。四是全面融入安全生產。應將安全防護技術融入工業控制系統的采集、傳輸、控制等各個環節各業務模塊，融入工業控制系統的設計研發和運行維護；應將網絡安全管理融入企業安全生產管理體系，對全體人員、全部設備、全生命周期進行全方位的安全管理。五是管控風險、保障安全。工業控制系統安全直接影響生產過程安全，關乎國家安全和社會穩定，應全面加強網絡安全風險管控，保障工業控制系統安全，確保工業控制系統安全穩定運行。六是堅持“同步規劃、同步建設、同步使用”原則。工業控制系統的建設應當確保其具有支持業務穩定、持續運行的性能，并保證安全技術措施同步規劃、同步建設、同步使用。

（原載于《保密科學技術》雜志2018年11月刊）