工業(yè)控制系統(tǒng)信息安全防護(hù)體系規(guī)劃研究

Research on the Planning of Information Security Protection

for Industrial Control System

魏可承　李　斌　易偉文　焉　鶴

(廣東中煙工業(yè)有限責(zé)任公司，廣東 廣州　 510610)

工業(yè)控制系統(tǒng)信息安全防護(hù)體系規(guī)劃研究

Research on the Planning of Information Security Protection

for Industrial Control System

魏可承李斌易偉文焉鶴

(廣東中煙工業(yè)有限責(zé)任公司，廣東 廣州 510610)

摘要：對煙草工業(yè)企業(yè)工控系統(tǒng)的實(shí)際應(yīng)用進(jìn)行了研究。基于工業(yè)控制系統(tǒng)信息安全的特點(diǎn)和風(fēng)險分析，指出開展信息安全建設(shè)的迫切性，提出適合工業(yè)控制系統(tǒng)信息安全防護(hù)體系的整體規(guī)劃。從制度建設(shè)、邊界防護(hù)安全、組網(wǎng)安全、主機(jī)安全、數(shù)據(jù)安全、物理安全、應(yīng)急機(jī)制、安全檢查和風(fēng)險評估等方面，對信息安全防護(hù)體系規(guī)劃的內(nèi)容進(jìn)行研究和探討。

關(guān)鍵詞：工業(yè)控制系統(tǒng)信息安全風(fēng)險分析體系規(guī)劃邊界防護(hù)卷煙工業(yè)

Abstract：The practical application of industrial control systems in tobacco industrial enterprises is researched. Based on the features of information security of industrial control system and risk analysis, the urgency for carrying out the construction of information security is pointed out. The overall planning of protection system of information security suitable for industrial control system is proposed. The contents of information security protection system planning are researched and investigated from various aspects, including institutional construction, boundary protection safety, networking security, host computer security, physical security, emergency response mechanism, security inspection, and risk assessment, etc.

Keywords：Industrial control systemInformation securityRisk analysisSystem planningBoundary protectionCigarette industry

0引言

數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等工業(yè)控制系統(tǒng)廣泛運(yùn)用于工業(yè)領(lǐng)域，用于控制生產(chǎn)設(shè)備的運(yùn)行。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞，將對工業(yè)生產(chǎn)運(yùn)行和國家經(jīng)濟(jì)安全造成重大隱患[1]。截至2011年底，有記錄的工控系統(tǒng)攻擊超過13萬次，造成重大影響或經(jīng)濟(jì)損失超過50億美金的接近400次。

2011年11月25日，工信部召開地方信息安全工作會議，強(qiáng)調(diào)落實(shí)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號)，要求切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理，保障工業(yè)生產(chǎn)運(yùn)行安全、國家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全。

1工業(yè)信息安全概念

信息安全是指信息系統(tǒng)(包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。信息安全的基本屬性表現(xiàn)在完整性、保密性、可用性、不可否認(rèn)性、可控性[2]。

典型工控系統(tǒng)的四層架構(gòu)如圖1所示。

圖1　工控系統(tǒng)典型網(wǎng)絡(luò)結(jié)構(gòu)

L4層是企業(yè)經(jīng)營管理協(xié)同層，既負(fù)責(zé)企業(yè)內(nèi)部運(yùn)營與管控，又是工業(yè)企業(yè)與上下游企業(yè)業(yè)務(wù)協(xié)同、滿足行業(yè)管控要求的集成平臺。L3層是生產(chǎn)執(zhí)行層，負(fù)責(zé)生產(chǎn)制造執(zhí)行過程的管理，核心為MES生產(chǎn)指揮系統(tǒng)，進(jìn)行生產(chǎn)計(jì)劃調(diào)度和訂單下發(fā)，實(shí)現(xiàn)物料、設(shè)備、人員等工廠生產(chǎn)資源的統(tǒng)一指揮。L2層是工業(yè)控制層，以段控PLC、現(xiàn)場總線以及工業(yè)以太環(huán)網(wǎng)等組成集散控制系統(tǒng)，實(shí)現(xiàn)對生產(chǎn)過程的實(shí)時控制。L1層為底層設(shè)備執(zhí)行層，以基本的自動化控制系統(tǒng)及I/O設(shè)備、現(xiàn)場儀表為主，實(shí)現(xiàn)對設(shè)備機(jī)臺功能的控制。

國際電工委員會IEC/TC65/WG1與ISA99于2007年成立聯(lián)合工作組，開始共同制定IEC 62443系列標(biāo)準(zhǔn)《工業(yè)過程測量控制和自動化-網(wǎng)絡(luò)與系統(tǒng)信息安全》，優(yōu)化工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)體系。該系列標(biāo)準(zhǔn)對通用、信息安全程序、系統(tǒng)技術(shù)要求和部件技術(shù)要求4個方面做出了規(guī)范[3]。IEC 62443標(biāo)準(zhǔn)中針對工控系統(tǒng)信息安全的定義是:①保護(hù)系統(tǒng)所采取的措施;②由建立和維護(hù)系統(tǒng)的措施所得到的系統(tǒng)狀態(tài);③能夠避免對系統(tǒng)資源的非授權(quán)訪問和意外的變更破壞或損失;④基于計(jì)算機(jī)系統(tǒng)的能力，能夠保證授權(quán)人員和系統(tǒng)的合法操作權(quán)限，避免非授權(quán)人員和系統(tǒng)修改軟件及其數(shù)據(jù)或訪問系統(tǒng)功能;⑤防止對工控系統(tǒng)非法有害的入侵，或者對其正常操作的干擾[4]。

2工業(yè)控制系統(tǒng)信息安全特點(diǎn)

傳統(tǒng)的IT領(lǐng)域信息安全有3個主要目標(biāo)，即實(shí)現(xiàn)保密性、完整性和可用性。工業(yè)控制系統(tǒng)體系結(jié)構(gòu)與傳統(tǒng)IT全然不同，一方面高度集中的縱向多層機(jī)構(gòu)使得脆弱性高度集中，另一方面信息安全事件能直接導(dǎo)致物理上的有形損失或傷害。因此，傳統(tǒng)的IT網(wǎng)絡(luò)安全概念幾乎不適合工業(yè)控制系統(tǒng)對信息安全的特殊要求，即使是短暫的網(wǎng)絡(luò)崩潰都足以導(dǎo)致產(chǎn)品損耗、生產(chǎn)中斷和對人及機(jī)器產(chǎn)生致命的危險。工業(yè)控制系統(tǒng)信息安全最優(yōu)先考慮的是系統(tǒng)可用性，其次是數(shù)據(jù)傳輸?shù)膶?shí)時性，然后是完整性，最后才是保密性。

下面以煙草企業(yè)為例，介紹車間級生產(chǎn)管控一體化的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)及其信息安全特點(diǎn)。車間工控系統(tǒng)采用雙網(wǎng)絡(luò)形式，生產(chǎn)執(zhí)行層的9臺服務(wù)器通過2臺核心交換機(jī)與車間現(xiàn)場交換機(jī)組成光纖環(huán)網(wǎng)構(gòu)成工控系統(tǒng)主網(wǎng)絡(luò)。工業(yè)控制層主要是由生產(chǎn)段控PLC將生產(chǎn)主控工藝段的設(shè)備進(jìn)行聯(lián)網(wǎng)和數(shù)據(jù)通信，同時作為工業(yè)控制系統(tǒng)的操作接入接口，完成對生產(chǎn)線的集中控制、生產(chǎn)監(jiān)視及過程工藝記錄等操作。設(shè)備執(zhí)行層主要由PLC電控柜、分布式I/O站、智能儀表以及獨(dú)立單機(jī)設(shè)備等組成，通信方式有Profibus、Profinet、Modbus等。工控系統(tǒng)拓?fù)淙鐖D2所示。

圖2　某卷煙廠典型工控系統(tǒng)拓?fù)鋱D

① 工控系統(tǒng)的封閉性強(qiáng)。作為企業(yè)管理網(wǎng)內(nèi)的一個業(yè)務(wù)子系統(tǒng)，工控系統(tǒng)涉及關(guān)鍵領(lǐng)域和企業(yè)運(yùn)營的大量敏感數(shù)據(jù)，只能做適度有限的開放。

② 工控系統(tǒng)對可用性和實(shí)時性要求高。工業(yè)控制系統(tǒng)要求必須保證持續(xù)的可用性及穩(wěn)定的系統(tǒng)訪問、系統(tǒng)性能、專用工業(yè)控制系統(tǒng)安全保護(hù)技術(shù)，以及全生命周期的安全支持[3]。同時,對實(shí)時響應(yīng)時間要求大多在 1 ms內(nèi)完成。

③ 工業(yè)通信協(xié)議和通用TCP/IP協(xié)議的共存。工控系統(tǒng)存在兩種不同類型的協(xié)議，即TCP/IP協(xié)議和工控通信協(xié)議。

④ 工控系統(tǒng)的安全與管理網(wǎng)的安全互為依存。工業(yè)化和信息化的深度融合，伴隨企業(yè)管理需求的日益增加，管理網(wǎng)與工控網(wǎng)之間的數(shù)據(jù)互連變得越來越開放和常態(tài)化，也使得工控系統(tǒng)的安全與管理網(wǎng)的安全互為依存。

⑤ 工控系統(tǒng)長周期內(nèi)保持結(jié)構(gòu)固定。工業(yè)控制系統(tǒng)與設(shè)備和生產(chǎn)密不可分，除非影響到正常的企業(yè)生產(chǎn)，否則長周期內(nèi)常態(tài)穩(wěn)定的工控系統(tǒng)將不會進(jìn)行輕易調(diào)整，如何有效應(yīng)對不斷涌現(xiàn)的信息安全事件也面臨挑戰(zhàn)。

3工業(yè)控制系統(tǒng)信息安全風(fēng)險分析

基于工業(yè)控制系統(tǒng)與傳統(tǒng)IT領(lǐng)域相比所呈現(xiàn)的特殊性和獨(dú)特性，工業(yè)信息安全面臨以下風(fēng)險。

① 攻擊手段及入侵途徑的多變性。對工控系統(tǒng)的入侵越來越智能化，例如Flame病毒，偽裝方法高明，智能化程度完美[5]。同時互聯(lián)網(wǎng)的病毒和攻擊、遠(yuǎn)程撥號攻擊、現(xiàn)場維護(hù)設(shè)備及手持終端的病毒等都展現(xiàn)了入侵途徑的多樣性。

② 工控系統(tǒng)受攻擊的后果嚴(yán)重。工控系統(tǒng)是國家重要的基礎(chǔ)設(shè)施，其安全會影響到生命安全、重大財(cái)產(chǎn)損失以及產(chǎn)生環(huán)境問題，導(dǎo)致物理世界中的重大災(zāi)難。

③ 管理制度的缺漏。工控系統(tǒng)缺乏完整有效的安全策略與管理流程，缺乏針對性的管理制度，相關(guān)部門和崗位的職責(zé)不明確，缺少應(yīng)急響應(yīng)機(jī)制，安全風(fēng)險評估和檢查從未開展。這些都將導(dǎo)致管理上的安全隱患。

④ 工業(yè)通信協(xié)議的安全漏洞。所有廣泛使用的工控協(xié)議都基本演化或擴(kuò)展為在通用計(jì)算機(jī)和通用操作系統(tǒng)上實(shí)現(xiàn)，TCP/IP 協(xié)議自身存在的安全問題不可避免地會影響到運(yùn)行于其上的應(yīng)用層工控協(xié)議。例如OPC Classic 協(xié)議(OPC DA、OPC HAD 和OPC A&E)是基于微軟的DCOM 協(xié)議。DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認(rèn)識之前設(shè)計(jì)的，極易受到攻擊，并且OPC通信采用不固定的端口號，導(dǎo)致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性[6]。同時，西門子、AB等工業(yè)通信協(xié)議不斷暴露的安全漏洞[7]，也日益引起企業(yè)的關(guān)注。

⑤ 終端安全防護(hù)薄弱。大多數(shù)終端設(shè)備、工作站及HMI都是基于Windows操作系統(tǒng)平臺的，大量存在各種系統(tǒng)安全漏洞。為避免殺毒軟件與功能軟件在使用上產(chǎn)生沖突，并且需要經(jīng)常更新病毒庫，殺毒軟件不適合工業(yè)控制環(huán)境。工控應(yīng)用軟件的多樣性很難形成統(tǒng)一的防護(hù)規(guī)范和標(biāo)準(zhǔn)，從而引發(fā)大量的安全問題。傳統(tǒng)IT領(lǐng)域的軟件補(bǔ)丁方式和系統(tǒng)更新頻率對于控制系統(tǒng)不再適用[8]。

⑥ 移動存儲介質(zhì)及外部計(jì)算機(jī)接入的安全風(fēng)險。私有計(jì)算機(jī)接入和移動存儲介質(zhì)在公用互聯(lián)網(wǎng)與工控系統(tǒng)間的交叉接入，通常沒有開展相關(guān)安全認(rèn)證及安全防護(hù)措施，極易帶來病毒、木馬、蠕蟲感染與擴(kuò)散的風(fēng)險。

⑦ 關(guān)鍵服務(wù)器及核心網(wǎng)絡(luò)設(shè)備容錯性差。工業(yè)控制系統(tǒng)關(guān)鍵服務(wù)器、路由及交換機(jī)等核心網(wǎng)絡(luò)設(shè)備一般只做單機(jī)配置，一旦發(fā)生故障，整個工控系統(tǒng)的業(yè)務(wù)和通信將會停止運(yùn)轉(zhuǎn)，導(dǎo)致生產(chǎn)中斷。

⑧ 無隔離的網(wǎng)絡(luò)子系統(tǒng)架構(gòu)。在工業(yè)生產(chǎn)現(xiàn)場，大多數(shù)工業(yè)網(wǎng)絡(luò)子系統(tǒng)之間沒有進(jìn)行有效的安全隔離，從而極易造成安全故障通過網(wǎng)絡(luò)迅速蔓延，形成網(wǎng)絡(luò)風(fēng)暴。

4工業(yè)控制系統(tǒng)信息安全防護(hù)體系的規(guī)劃

在《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》的指引下，結(jié)合《信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T 22239-2008)，對現(xiàn)有的工控系統(tǒng)信息安全做有效規(guī)劃和進(jìn)一步加固，不僅需要關(guān)注傳統(tǒng)領(lǐng)域的網(wǎng)絡(luò)安全和連接安全，還應(yīng)著重考慮數(shù)據(jù)安全的問題。同時，在管理、應(yīng)急處置以及相關(guān)的安全檢查和風(fēng)險評估上也應(yīng)完善相關(guān)的制度和流程，建立全面有效的立體防護(hù)體系。

① 安全管理制度和培訓(xùn)。建立相應(yīng)的管理流程，明確工作職責(zé)，落實(shí)安全責(zé)任。針對企業(yè)設(shè)備技術(shù)人員和信息人員開展工控信息安全培訓(xùn)，培養(yǎng)多技能復(fù)合型人才，從而強(qiáng)化企業(yè)技術(shù)人員的安全防范意識，達(dá)到提高技術(shù)水平和管理水平的目的。

② 邊界防護(hù)安全。網(wǎng)絡(luò)邊界分為以下三種，一是工控網(wǎng)與管理網(wǎng)的邊界，二是工控網(wǎng)內(nèi)部不同安全分區(qū)之間的邊界，三是外部設(shè)備接入邊界。對管理網(wǎng)和工控網(wǎng)的邊界采用不同強(qiáng)度的安全連接產(chǎn)品實(shí)施有效地安全隔離。例如防病毒網(wǎng)關(guān)和防火墻，進(jìn)行數(shù)據(jù)交換時，應(yīng)對數(shù)據(jù)交換源的身份進(jìn)行鑒別，只開啟必要的數(shù)據(jù)交換通路，采用信息擺渡技術(shù)對工控網(wǎng)與管理網(wǎng)進(jìn)行安全互聯(lián)。對工控網(wǎng)內(nèi)部不同層級的網(wǎng)域，在具有以太網(wǎng)接口的I/O設(shè)備和控制器上部署工業(yè)防火墻或安全路由器，同時可應(yīng)用白名單過濾機(jī)制，在工控網(wǎng)內(nèi)部不同層域之間進(jìn)行動態(tài)通信行為判斷，避免因設(shè)備聯(lián)網(wǎng)而形成的干擾、病毒攻擊和廣播風(fēng)暴。對外部設(shè)備接入的邊界，要采取必要的有效防范措施，保證接入設(shè)備的安全可靠，對接入操作進(jìn)行審計(jì)，以保障作業(yè)過程的安全。

③ 組網(wǎng)管理安全。遵守區(qū)域(層級)管理的原則，以功能或能承受的風(fēng)險等級為基線，采用虛擬局域網(wǎng)VLAN技術(shù)，劃分不同的網(wǎng)絡(luò)區(qū)域(層級)，保證連接的可靠性及安全性。組網(wǎng)時要同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全防護(hù)措施，切斷工控網(wǎng)與公共網(wǎng)絡(luò)之間的所有不必要連接，在物理層面上實(shí)現(xiàn)與外網(wǎng)的安全隔離。核心網(wǎng)絡(luò)設(shè)備采用冗余配置，在發(fā)生網(wǎng)絡(luò)故障時自動切換設(shè)備運(yùn)行，保障生產(chǎn)和業(yè)務(wù)的連續(xù)性。

④ 設(shè)備主機(jī)系統(tǒng)安全。設(shè)備主機(jī)系統(tǒng)應(yīng)嚴(yán)格賬戶和口令管理。關(guān)注設(shè)備終端的操作系統(tǒng)補(bǔ)丁及殺毒軟件病毒庫更新，關(guān)鍵工業(yè)控制系統(tǒng)軟件升級、補(bǔ)丁安裝前應(yīng)進(jìn)行安全評估和驗(yàn)證。針對工控系統(tǒng)的操作開啟日志審計(jì)功能，對日常操作維護(hù)進(jìn)行記錄和檢查。

⑤ 數(shù)據(jù)安全。針對生產(chǎn)重要敏感數(shù)據(jù)采取訪問權(quán)限控制等措施加以保護(hù)。加強(qiáng)數(shù)據(jù)恢復(fù)與備份，保證在工業(yè)控制網(wǎng)絡(luò)發(fā)生災(zāi)難或故障時能及時對數(shù)據(jù)進(jìn)行正確、完整的恢復(fù)。

⑥ 物理環(huán)境安全。生產(chǎn)網(wǎng)絡(luò)中央控制室的機(jī)房環(huán)境應(yīng)按照信息系統(tǒng)安全等級保護(hù)的要求，在電力供應(yīng)、溫濕度控制、消防、監(jiān)控、震動、噪聲、防雷等方面進(jìn)行完備和滿足。

⑦ 應(yīng)急管理。建立規(guī)范的工控系統(tǒng)安全應(yīng)急響應(yīng)機(jī)制，制定應(yīng)急預(yù)案，明確臨機(jī)處置權(quán)限。建設(shè)工控網(wǎng)應(yīng)急技術(shù)支撐隊(duì)伍，定期進(jìn)行應(yīng)急演練及應(yīng)急預(yù)案培訓(xùn)。

⑧ 安全檢查與風(fēng)險評估。組織開展信息安全檢查，定期對工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備進(jìn)行安全測評，檢測系統(tǒng)存在的安全漏洞，排查安全隱患，并依此對工控系統(tǒng)做進(jìn)一步的補(bǔ)強(qiáng)與加固。

5結(jié)束語

本文以煙草企業(yè)工業(yè)控制系統(tǒng)架構(gòu)為例，重點(diǎn)分析工業(yè)控制系統(tǒng)信息安全的定義、特點(diǎn)和存在的風(fēng)險，并提出工控系統(tǒng)信息安全防護(hù)體系的整體規(guī)劃。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和通信的開放，企業(yè)信息網(wǎng)絡(luò)的深入應(yīng)用與日漸增多的交互使用，信息安全的問題愈發(fā)突出。通過重點(diǎn)針對工業(yè)企業(yè)的信息安全弱點(diǎn)，對工控系統(tǒng)信息安全架構(gòu)進(jìn)行整體規(guī)劃和部署。從制度、設(shè)備、技術(shù)、應(yīng)急、風(fēng)險評估等環(huán)節(jié)入手，并結(jié)合企業(yè)實(shí)際，做出準(zhǔn)確的判斷，持續(xù)加固完善，才能切實(shí)保障企業(yè)生產(chǎn)的正常運(yùn)轉(zhuǎn)。

參考文獻(xiàn)

[1] 工信部信息安全協(xié)調(diào)司.工信部協(xié)[2011]451號 關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知[EB/OL].[2011-10-27].http://www.miit.gov.cn/n11293472/n11293832/n12843926/n13917012/14294613.html.

[2] 牛少彰，崔寶江，李劍.信息安全概論[M].2版.北京：郵電大學(xué)出版社，2007.

[3] 歐陽勁松，丁露.IEC 62443工控網(wǎng)絡(luò)與系統(tǒng)信息安全標(biāo)準(zhǔn)綜述[J].信息技術(shù)與標(biāo)準(zhǔn)化，2012(3) :24-27.

[4] TC/SC65.IEC/TS 62443-1-1 Edition1.0 Industrial communication networks-Network and system security-Part 1-1:Terminology，concepts and models[S].Geneva:IEC，2009.

[5] 于立業(yè)，薛向榮，張?jiān)瀑F，等.工業(yè)控制系統(tǒng)信息安全解決方案[J].冶金自動化，2013(1):5-11.

[6] 李青.淺談萊鋼能源管控中心工業(yè)網(wǎng)絡(luò)安全問題及解決方案[J].信息技術(shù)與信息化，2013(2):43-44.

[7] 高國輝.西門子被曝工業(yè)系統(tǒng)漏洞 或影響多數(shù)工業(yè)化國家[N].南方日報(bào)，2011-6-8.

[8] 楊建軍，唐一鴻.工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)化[J].信息技術(shù)與標(biāo)準(zhǔn)化，2012(3)：20-23.------------------------------------------------------------------------------------------------

中圖分類號：TP273

文獻(xiàn)標(biāo)志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201502013

修改稿收到日期：2014-07-24。

第一作者魏可承(1978-)，男，2008年畢業(yè)于華南理工大學(xué)模式識別與智能系統(tǒng)專業(yè)，獲碩士學(xué)位，工程師；主要從事煙草設(shè)備管理、工業(yè)控制、自動化系統(tǒng)、圖像處理方面的研究。