工控系統(tǒng)安全防護(hù)問(wèn)題對(duì)策分析

韓建樂(lè) 李輝

摘要：目前，我國(guó)的工業(yè)技術(shù)與信息技術(shù)逐漸的完善并不斷的創(chuàng)新，傳統(tǒng)意義上較為封閉并普遍認(rèn)為安全的工業(yè)控制系統(tǒng)，正暴露在網(wǎng)絡(luò)攻擊、病毒、木馬等傳統(tǒng)網(wǎng)絡(luò)安全威脅下。作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要部分，工控系統(tǒng)一旦受到攻擊容易造成設(shè)備受損、產(chǎn)品質(zhì)量下降等問(wèn)題，影響國(guó)民經(jīng)濟(jì)和社會(huì)穩(wěn)定，甚至危害國(guó)家安全。

關(guān)鍵詞：工控系統(tǒng)；安全防護(hù)；問(wèn)題；對(duì)策

以往病毒攻擊主要力求網(wǎng)絡(luò)影響范圍，攻擊的手段大多以通用軟件的安全漏洞為突破口，而當(dāng)前的許多網(wǎng)絡(luò)攻擊則充滿目的性，特別強(qiáng)調(diào)對(duì)行業(yè)的專用軟件實(shí)施攻擊；另一方面，這些攻擊雖然針對(duì)軟件，但并不一定是利用軟件本身的缺陷，安全是一個(gè)全方位的問(wèn)題，攻擊可能來(lái)自于任何一個(gè)角度。由于工業(yè)控制系統(tǒng)設(shè)備及通信規(guī)約的專有性以及系統(tǒng)的相對(duì)封閉性，從而通常黑客的攻防研究工作多集中在互聯(lián)網(wǎng)或普通IT信息系統(tǒng)上，而很少關(guān)注工業(yè)控制系統(tǒng)。

1工業(yè)控制系統(tǒng)安全防護(hù)問(wèn)題分析

1.1工業(yè)控制系統(tǒng)的技術(shù)隱患

工控系統(tǒng)的技術(shù)隱患主要包括系統(tǒng)操作平臺(tái)、工控系統(tǒng)應(yīng)用軟件、工控系統(tǒng)網(wǎng)絡(luò)協(xié)議三個(gè)部分。第一，系統(tǒng)平臺(tái)。工控系統(tǒng)的操作平臺(tái)本身具有一定的安全漏洞。利用操作系統(tǒng)的漏洞，可能直接影響所部署的工控系統(tǒng)，從而破壞或控制企業(yè)的工控系統(tǒng)。第二，工控應(yīng)用軟件。工控系統(tǒng)的所使用應(yīng)用軟件的程序漏洞的給工控系統(tǒng)帶來(lái)最嚴(yán)重的危害。因?yàn)楣た卦O(shè)備差異性和工控軟件的應(yīng)用行為不同，所以不容易采用同一的防范策略，第三，工控系統(tǒng)網(wǎng)絡(luò)協(xié)議。工控系統(tǒng)所采用的PROFINET、OPC、DNP3、MODBUS、PROFIBUS、IEC-104等網(wǎng)絡(luò)協(xié)議都存在安全漏洞。比如在MicrosoftWindows系統(tǒng)中采用的OPC協(xié)議，除了MicrosoftWindows這個(gè)操作系統(tǒng)的安全漏洞，一般情況下，OPC協(xié)議為了實(shí)現(xiàn)信息交互的便利性，OPC客戶端在獲得數(shù)據(jù)時(shí)會(huì)采取同一個(gè)用戶名和同一個(gè)密碼。

1.2管理和運(yùn)維安全問(wèn)題

（1）未設(shè)立專門(mén)的信息安全崗位，信息安全管理和維護(hù)由業(yè)務(wù)部門(mén)按照自己的理解進(jìn)行管理和維護(hù)，同時(shí)信息安全制度不完善。（2）在日常運(yùn)行維護(hù)過(guò)程中普遍存在諸如介質(zhì)未采用有效的手段進(jìn)行管理和防護(hù)，容易造成病毒入侵和敏感信息泄露的風(fēng)險(xiǎn)。 （3）存在賬號(hào)共享、弱口令、未定期更改密碼的問(wèn)題，例如信號(hào)系統(tǒng)的用戶權(quán)限普遍缺乏定期回顧檢查，容易造成越權(quán)、權(quán)限濫用導(dǎo)致的安全事故。（4）安全防護(hù)應(yīng)急預(yù)案存在事故預(yù)想不全面、內(nèi)容不完整、相關(guān)要求缺乏可操作性等問(wèn)題，缺少演練、培訓(xùn)和更新的相關(guān)內(nèi)容，無(wú)法在真正的事故中及時(shí)響應(yīng)和恢復(fù)系統(tǒng)。

2工業(yè)控制系統(tǒng)安全防護(hù)對(duì)策

2.1技術(shù)防護(hù)機(jī)制

工業(yè)控制系統(tǒng)是運(yùn)用控制理論、計(jì)算機(jī)科學(xué)、儀器儀表燈技術(shù)，對(duì)生產(chǎn)過(guò)程的各種信息采集、分析、處理，并進(jìn)行優(yōu)化控制和合理的調(diào)度、管理，已達(dá)到提高生產(chǎn)效率的一種先進(jìn)的現(xiàn)代工業(yè)系統(tǒng)。工業(yè)控制系統(tǒng)相對(duì)于其他的信息系統(tǒng)來(lái)說(shuō)，它是一套獨(dú)立的網(wǎng)絡(luò)、獨(dú)立的系統(tǒng)，從目前的工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)主要是來(lái)自網(wǎng)絡(luò)的脆弱性、主機(jī)的脆弱性以及缺乏安全的操作規(guī)程和流程。工業(yè)控制系統(tǒng)的安全防護(hù)機(jī)制以建立“縱深防御”策略為主要思想，確保工業(yè)控制系統(tǒng)中即使某一點(diǎn)發(fā)生網(wǎng)絡(luò)安全事故，工業(yè)生產(chǎn)也能正常運(yùn)行。

2.2建立工控安全管控體系

成立信息安全領(lǐng)導(dǎo)、工作小組，完善管理制度建設(shè)，明確責(zé)任分工，信息部門(mén)加強(qiáng)技術(shù)監(jiān)督，工控設(shè)備部門(mén)加強(qiáng)防范意識(shí)，在“兩化”融合趨勢(shì)下，打破傳統(tǒng)專業(yè)分界壁壘，協(xié)同開(kāi)展工作，進(jìn)一步落實(shí)電力監(jiān)控系統(tǒng)安全規(guī)范，嚴(yán)格執(zhí)行外來(lái)人員、外接設(shè)備、外接介質(zhì)管理，加強(qiáng)補(bǔ)丁、防病毒管理，并注重工控與信息安全的復(fù)合型技術(shù)人才培養(yǎng)。建立健全工控系統(tǒng)安全防護(hù)全生命周期管理體系，將信息安全防護(hù)滲透到可研、設(shè)計(jì)、施工、調(diào)試、運(yùn)行等各階段工作中，實(shí)現(xiàn)全方位、全過(guò)程的覆蓋。在工控系統(tǒng)上線運(yùn)行前或機(jī)組檢修期間開(kāi)展以漏洞掃描為主體的系統(tǒng)風(fēng)險(xiǎn)評(píng)估，通過(guò)安全運(yùn)維服務(wù)工具就地對(duì)工控系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描。包括操作系統(tǒng)漏洞掃描、組態(tài)軟件漏洞掃描；機(jī)組主控DCS包含的DPU以及機(jī)組輔控PLC等控制器漏洞掃描。建立健全工控事件應(yīng)急工作機(jī)制，預(yù)防為主、平戰(zhàn)結(jié)合、快速反應(yīng)、科學(xué)處置，加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，開(kāi)展信息報(bào)送和通報(bào)，提高工控安全事件應(yīng)急處置能力。

2.3安全培訓(xùn)

為了將安全隱患減少到最低，不僅需要對(duì)安全管理員進(jìn)行專業(yè)性的安全技術(shù)培訓(xùn)，還需要加強(qiáng)對(duì)所有政府辦公人員的安全知識(shí)的普及，安全管理員培訓(xùn)、考核管理規(guī)范安全管理員水平的高低和責(zé)任心強(qiáng)弱決定了安全防護(hù)具體實(shí)施的是否有效，因此對(duì)安全管理員定期培訓(xùn)并進(jìn)行嚴(yán)格的考核上崗顯得非常重要，主要內(nèi)容包括：培訓(xùn)對(duì)象確定；基于管理員角色定義前提下的技能要求；培訓(xùn)內(nèi)容；培訓(xùn)組織、時(shí)間安排；培訓(xùn)效果考核、評(píng)價(jià)；后續(xù)培訓(xùn)計(jì)劃。普通員工安全基礎(chǔ)知識(shí)培訓(xùn)管理規(guī)范普通員工側(cè)重于基礎(chǔ)知識(shí)和日常安全防范措施的實(shí)踐性培訓(xùn)，主要內(nèi)容包括：基本要求；培訓(xùn)內(nèi)容；培訓(xùn)組織、時(shí)間安排；培訓(xùn)效果考核、評(píng)價(jià)；后續(xù)培訓(xùn)計(jì)劃。

2.4部署工控防火墻

使用工控防火墻將各工控OPC和SIS接口機(jī)之間的鏈接進(jìn)行邏輯隔離，工控防火墻在繼承了傳統(tǒng)防火墻的基礎(chǔ)功能外，結(jié)合工控網(wǎng)絡(luò)特點(diǎn)，可更深層次的防護(hù)工控網(wǎng)絡(luò)中的攻擊。采用透明模式部署，并開(kāi)啟故障旁路功能，不改變?cè)械木W(wǎng)絡(luò)拓?fù)?，確保正常業(yè)務(wù)不受影響；通過(guò)對(duì)工控協(xié)議深度分析，制定相應(yīng)的工控網(wǎng)絡(luò)訪問(wèn)控制策略，有效防止網(wǎng)絡(luò)內(nèi)異常流量通過(guò)，保證網(wǎng)絡(luò)安全。

2.5網(wǎng)絡(luò)安全監(jiān)測(cè)審計(jì)

在生產(chǎn)控制大區(qū)通信層環(huán)網(wǎng)、LCU子網(wǎng)旁路部署監(jiān)測(cè)審計(jì)平臺(tái)，對(duì)網(wǎng)絡(luò)通信流量進(jìn)行有效監(jiān)視和威脅檢測(cè)。對(duì)向工控網(wǎng)進(jìn)行的生產(chǎn)數(shù)據(jù)非法收集、惡意攻擊、數(shù)據(jù)篡改、違規(guī)操作進(jìn)行告警和審計(jì)，為網(wǎng)絡(luò)安全管理人員提供線索依據(jù)和事件還原功能，對(duì)違規(guī)操縱和網(wǎng)絡(luò)攻擊行為可實(shí)時(shí)告警。

2.6集中安全監(jiān)管

安全監(jiān)管平臺(tái)對(duì)部署在整個(gè)工控系統(tǒng)的安全設(shè)備實(shí)現(xiàn)統(tǒng)一化安全監(jiān)管和運(yùn)維。實(shí)時(shí)收集現(xiàn)場(chǎng)安全設(shè)備信息、分析威脅情報(bào)信息，基于安全分析模型，實(shí)現(xiàn)全局的態(tài)勢(shì)安全預(yù)警與策略動(dòng)態(tài)響應(yīng)，實(shí)時(shí)發(fā)送現(xiàn)場(chǎng)的安全告警信息。

3結(jié)語(yǔ)

過(guò)智能保護(hù)終端對(duì)工控系統(tǒng)現(xiàn)地層的關(guān)鍵LCU進(jìn)行安全防護(hù)，對(duì)非法操作進(jìn)行有效攔截；在網(wǎng)絡(luò)邊界部署智能工業(yè)防火墻，抵御來(lái)自外界偽基站接入滲透控制系統(tǒng)的風(fēng)險(xiǎn)；在主控層的工程師站、操作員站、OPC服務(wù)器以及SIS接口機(jī)上部署工控衛(wèi)士，防止誤操作和違規(guī)操作；對(duì)網(wǎng)絡(luò)通信流量進(jìn)行有效監(jiān)視和威脅檢測(cè)，對(duì)違規(guī)操縱和網(wǎng)絡(luò)攻擊行為實(shí)時(shí)告警；最后通過(guò)安全監(jiān)管平臺(tái)，對(duì)部署在整個(gè)工控系統(tǒng)的安全設(shè)備實(shí)現(xiàn)統(tǒng)一化安全監(jiān)管和運(yùn)維。

參考文獻(xiàn)：

[1]徐新國(guó).工控系統(tǒng)信息安全策略探討[J].自動(dòng)化博覽.2017（11）.

[2]張曄.工控系統(tǒng)安全理念及解決方案[J].自動(dòng)化博覽.2017（11）.

（作者單位：德龍鋼鐵有限公司）