工業(yè)控制系統(tǒng)安全現(xiàn)狀及應(yīng)對策略

◆徐偉 孔堅(jiān) 毛慶梅 黃東華

工業(yè)控制系統(tǒng)安全現(xiàn)狀及應(yīng)對策略

◆徐偉1孔堅(jiān)2毛慶梅2黃東華3

（1.中國科技大學(xué) 安徽 230001；2.北京奇安信科技集團(tuán)股份有限公司 北京 100000；3.北京雙湃智安科技有限公司 北京 100000）

工業(yè)控制系統(tǒng)具有重要的作用，近年來，其信息安全問題受到人們的廣泛關(guān)注。本文分析了工業(yè)控制系統(tǒng)的安全現(xiàn)狀，指出了聯(lián)網(wǎng)工控設(shè)備持續(xù)增加、公開漏洞數(shù)量持續(xù)增加和安全事件頻發(fā)等問題，并提出了部署基本安全防護(hù)措施和多方配合構(gòu)建多級聯(lián)動機(jī)制的安全策略建議。

工業(yè)控制系統(tǒng)；信息安全；策略建議

工業(yè)控制系統(tǒng)（ICS）是指用于操作、控制、輔助自動化工業(yè)生產(chǎn)過程的設(shè)備、系統(tǒng)、網(wǎng)絡(luò)以及控制器的集合，包括數(shù)據(jù)監(jiān)控與采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、智能終端、人機(jī)交互接口（HMI）等系統(tǒng)。工業(yè)控制系統(tǒng)關(guān)系著工廠生產(chǎn)、電網(wǎng)、能源、水處理等國家關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)行，在國民經(jīng)濟(jì)中具有作用。

近年來，在工業(yè)企業(yè)轉(zhuǎn)型升級、工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)等技術(shù)浪潮的推動下，工業(yè)控制系統(tǒng)的對外連接性日益增加，在提高效率、促進(jìn)創(chuàng)新的同時(shí)，也顯著增加了工業(yè)控制系統(tǒng)所面臨的網(wǎng)絡(luò)安全威脅。

工業(yè)控制系統(tǒng)原本是為封閉環(huán)境設(shè)計(jì)的，一般采用專用的通信協(xié)議，與其他網(wǎng)絡(luò)物理隔離，即使是與企業(yè)的內(nèi)部信息網(wǎng)絡(luò)也一般也不直接連接，因此在設(shè)計(jì)過程中主要考慮了可靠性和物理安全問題，對于網(wǎng)絡(luò)安全問題考慮相對較少，許多工業(yè)控制協(xié)議缺乏基本的加密和認(rèn)證措施，工業(yè)主機(jī)一般部署陳舊的操作系統(tǒng)且不安裝殺毒軟件，安全防護(hù)措施匱乏。

與傳統(tǒng)的信息系統(tǒng)不同，工業(yè)控制系統(tǒng)是網(wǎng)絡(luò)空間和物理空間的重要紐帶，一旦發(fā)生網(wǎng)絡(luò)安全事件，不僅會造成信息的損壞和丟失，還可能會造成人員生命健康損害、環(huán)境破壞等物理世界的實(shí)際損害，因此會造成更嚴(yán)重的經(jīng)濟(jì)損失和社會影響。類似的安全事件已經(jīng)很多，2010年震網(wǎng)病毒襲擊伊朗核原料加工廠，造成1000多臺離心機(jī)損壞[1]；2015年底，烏克蘭電網(wǎng)網(wǎng)絡(luò)攻擊事件造成烏克蘭大面積停電[2]；2019年發(fā)生的委內(nèi)瑞拉停電事件據(jù)說也與網(wǎng)絡(luò)攻擊有關(guān)，大規(guī)模停電事件加劇了委內(nèi)瑞拉的政局動蕩。

因此，分析目前的工業(yè)控制系統(tǒng)安全狀態(tài)，并有針對性地提出加強(qiáng)工業(yè)控制系統(tǒng)安全的策略和建議，具有重要的理論和現(xiàn)實(shí)意義。本文將從工業(yè)控制系統(tǒng)安全狀態(tài)分析和安全對策建議兩個(gè)方面展開討論。

1 工業(yè)控制系統(tǒng)安全現(xiàn)狀與趨勢

1.1 工業(yè)控制系統(tǒng)安全現(xiàn)狀與趨勢

將工業(yè)控制系統(tǒng)直接暴露在互聯(lián)網(wǎng)上存在較大的安全隱患，但由于業(yè)務(wù)需求，仍有很多此類設(shè)備和系統(tǒng)直接暴露在互聯(lián)網(wǎng)上，這存在一定的信息安全隱患，因此，排查清楚哪些工業(yè)控制系統(tǒng)相關(guān)設(shè)備連接互聯(lián)網(wǎng)，其數(shù)量呈現(xiàn)怎樣的變化趨勢是一個(gè)比較現(xiàn)實(shí)的問題。

互聯(lián)網(wǎng)范圍內(nèi)的掃描是了解ICS暴露情況的有效手段，目前國內(nèi)外都已經(jīng)出現(xiàn)了多個(gè)這樣的掃描平臺。這些掃描平臺一般會對互聯(lián)網(wǎng)地址空間內(nèi)的所有ip地址進(jìn)行枚舉和掃描，以確定互聯(lián)網(wǎng)上存在哪些活躍的設(shè)備和應(yīng)用。國外的掃描平臺主要有Censys和Shodan。Censys是美國密歇根大學(xué)開發(fā)的一個(gè)掃描平臺，其掃描范圍包括5個(gè)常用的ICS協(xié)議，該掃描平臺不僅公開分享其掃描源代碼，還公布了其2015年到2018年間的所有掃描結(jié)果的原始數(shù)據(jù)（2018年以后該公司改為商業(yè)化運(yùn)營，不再公布其掃描結(jié)果的原始數(shù)據(jù)）。Shodan是一個(gè)商業(yè)化的掃描平臺，致力于開展物聯(lián)網(wǎng)設(shè)備的掃描，其掃描范圍也包括一些ICS協(xié)議。國內(nèi)此類的掃描平臺主要有東北大學(xué)的“諦聽”和知道創(chuàng)宇公司的“鐘馗之眼”掃描平臺。

為了研究全球范圍內(nèi)聯(lián)網(wǎng)ICS設(shè)備數(shù)量的變化趨勢和分布情況，我們以Censys公布的2015年到2017年底的掃描數(shù)據(jù)為依據(jù)，對該平臺掃描范圍內(nèi)的5種常用的工控協(xié)議：Modbus、S7、DNP3、BACNet和Tridium Fox協(xié)議的聯(lián)網(wǎng)設(shè)備數(shù)量進(jìn)行了分析，分析發(fā)現(xiàn)，使用這五種協(xié)議的ICS聯(lián)網(wǎng)設(shè)備數(shù)據(jù)呈現(xiàn)逐年增加的趨勢，如圖1所示，這5種協(xié)議暴露設(shè)備總數(shù)從61736 上升到67942，增?幅度達(dá)11.48%[3]。

圖1 全球聯(lián)網(wǎng)工控設(shè)備的數(shù)量變化趨勢

圖2 中國聯(lián)網(wǎng)工控設(shè)備的數(shù)量變化趨勢

由于工業(yè)化進(jìn)程的快速推進(jìn)，我國聯(lián)網(wǎng)工控設(shè)備的數(shù)量也呈現(xiàn)逐年增加的趨勢，且增長率高于全球平均水平。從圖2可以看出，我國使用此 5種工控協(xié)議的聯(lián)網(wǎng)設(shè)備數(shù)量也呈現(xiàn)逐年增加的趨勢。

1.2 工業(yè)控制系統(tǒng)相關(guān)公開漏洞持續(xù)增加

近年來，隨著技術(shù)的發(fā)展，工業(yè)控制系統(tǒng)相關(guān)軟硬件功能日益豐富，對外連接也逐漸增加，對傳統(tǒng)的IT系統(tǒng)的通信協(xié)議、操作系統(tǒng)和基礎(chǔ)組件的依賴性也逐漸提高，工業(yè)控制系統(tǒng)相關(guān)的公開漏洞逐漸增加。國內(nèi)外的相關(guān)漏洞信息平臺也都開始關(guān)注工控系統(tǒng)的漏洞，且多個(gè)相關(guān)公開平臺都顯示工控系統(tǒng)相關(guān)的公開安全漏洞數(shù)量近年來呈現(xiàn)逐年增加的趨勢。

國家信息安全漏洞共享平臺（China National Vulnerability Database，簡稱CNVD）對于工控系統(tǒng)的漏洞非常重視，在其公布的漏洞列表中專門設(shè)立了“工控系統(tǒng)”這一分支，公布相關(guān)的漏洞信息。圖3是CNVD公布的工控系統(tǒng)漏洞數(shù)據(jù)，從圖中可以看出，每年公開漏洞數(shù)量雖有波動，但整體呈現(xiàn)增加的趨勢（統(tǒng)計(jì)日期：2020年11月7日）[4]。

圖3 CNVD公布的工控系統(tǒng)漏洞數(shù)量

美國國土安全部網(wǎng)絡(luò)安全與關(guān)鍵基礎(chǔ)設(shè)施安全局（Cybersecurity & Infrastructure Security Agency，簡稱CISA）下設(shè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（The Industrial Control Systems Cyber Emergency Response Team，簡稱ICS-CERT）專門負(fù)責(zé)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全事務(wù)，ICS-CERT定期公布ICS的安全漏洞（統(tǒng)計(jì)日期：2020年11月7日），圖2展示的是ICS-CERT于2010年到2018年公布的漏洞建議的數(shù)量，可以看出，ICS-CERT公開的漏洞數(shù)量也呈現(xiàn)逐年增多的趨勢[5]。

圖4 ICS-CERT公布的ICS安全漏洞數(shù)量

1.3 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事件頻發(fā)

工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全事件主要有兩個(gè)來源，分別是針對性網(wǎng)絡(luò)攻擊和非針對性網(wǎng)絡(luò)安全威脅，針對性網(wǎng)絡(luò)攻擊主要來有組織的網(wǎng)絡(luò)黑客或心懷不滿的內(nèi)部工作人員，以造成企業(yè)經(jīng)濟(jì)損失、獲取經(jīng)濟(jì)利益或造成負(fù)面影響為目的；非針對性網(wǎng)絡(luò)攻擊主要是工業(yè)控制系統(tǒng)感染病毒、木馬、勒索軟件、挖礦軟件等通用的、非指向性的惡意軟件，可能會造成通信中斷、處理速度下降、控制過程中斷、數(shù)據(jù)加密丟失、生產(chǎn)故障或停產(chǎn)等。

工業(yè)控制系統(tǒng)相關(guān)的網(wǎng)絡(luò)安全事件也呈現(xiàn)持續(xù)高發(fā)的趨勢，美國ICS-CERT在其2010年到2016年的年度報(bào)告中，公布了其年度內(nèi)收到的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事件報(bào)告數(shù)量，在2017年以后的年度報(bào)告中不再公布此項(xiàng)數(shù)據(jù)，從圖中可以看出，ICS-CERT收到的ICS安全事件報(bào)告數(shù)量呈現(xiàn)逐年增加的趨勢[6]。

圖5 ICS-CERT報(bào)告的ICS安全事件數(shù)量

發(fā)生在工業(yè)領(lǐng)域的網(wǎng)絡(luò)安全事件與傳統(tǒng)的IT系統(tǒng)安全事件具有顯著的差異。傳統(tǒng)的IT系統(tǒng)安全事件一般會造成數(shù)據(jù)的丟失或損壞，進(jìn)而造成一定的經(jīng)濟(jì)損失。而工業(yè)企業(yè)和工業(yè)控制系統(tǒng)的安全事件則會直接造成物理損害，這些物理損害包括停工停產(chǎn)、設(shè)備損壞、人員傷亡和環(huán)境破壞，這些物理損害還會直接造成巨額經(jīng)濟(jì)損失，甚至可能會對人民生活、國家安全和社會穩(wěn)定造成負(fù)面影響，因此，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事件的損失更大、影響更深遠(yuǎn)。下面我們就列舉一些具有代表性的安全事件供大家參考。

（1）2000年，澳大利亞昆士蘭新建的馬盧奇污水處理廠控制系統(tǒng)，受到控制系統(tǒng)供應(yīng)商前員工的網(wǎng)絡(luò)攻擊，造成100多萬升未經(jīng)處理的污水直接排放到附近的河流和水系中。

（2）2008年，波蘭一名14歲的學(xué)生通過改裝的電視遙控器入侵了當(dāng)?shù)氐挠熊夒娷嚳刂葡到y(tǒng)，導(dǎo)致四輛有軌電車脫軌并緊急停車，事故共造成12人受傷。

（3）2010年，震網(wǎng)病毒在全球大規(guī)模擴(kuò)散，感染了伊朗布什爾核工廠的控制系統(tǒng)，導(dǎo)致1000余臺離心機(jī)遭到不可修復(fù)的破壞。

（4）2015年底，烏克蘭電網(wǎng)遭受網(wǎng)絡(luò)攻擊，導(dǎo)致首都基輔以及烏西部地區(qū)約140萬（225000戶）居民遭遇了一次長達(dá)數(shù)小時(shí)的大規(guī)模停電。

（5）2017年5月12日晚開始，WannaCry勒索病毒席卷全球，至少150個(gè)國家、30萬名用戶感染，部分工業(yè)企業(yè)也感染這種病毒，此次事件造成的經(jīng)濟(jì)損失高達(dá)80億美元。

（6）2018年8月3日，全球芯片代工龍頭企業(yè)臺積電感染勒索軟件，造成大面積停產(chǎn)，造成了高達(dá)19億元的經(jīng)濟(jì)損失。

（7）2019年，委內(nèi)瑞拉政局動蕩期間，其古水里電站控制系統(tǒng)遭受網(wǎng)絡(luò)攻擊，導(dǎo)致多次發(fā)生大規(guī)模停電。

2 加強(qiáng)工業(yè)控制系統(tǒng)安全策略

對于不同來源的工業(yè)控制系統(tǒng)安全威脅，需要有不同的處置方式，總體來說就是“補(bǔ)齊短板、多級聯(lián)動”，對于非針對性的安全威脅，只要補(bǔ)齊工業(yè)控制系統(tǒng)的安全防護(hù)中的“短板”，構(gòu)建基本的安全防護(hù)措施，就可以有效緩解；對于有組織的針對性網(wǎng)絡(luò)攻擊，則需要借鑒在新冠肺炎疫情防控過程中采用的“聯(lián)防聯(lián)控”思路，構(gòu)建“多級聯(lián)動”安全監(jiān)測體系才能有效應(yīng)對。

2.1 企業(yè)部署基本的安全防護(hù)措施

工業(yè)企業(yè)只要部署基本的安全防護(hù)措施，構(gòu)建基本安全管理流程，就可以有效防止大部分的病毒蠕蟲感染和非針對性安全威脅，雖然這些基本防護(hù)措施無法有效應(yīng)對針對性網(wǎng)絡(luò)攻擊，但也可以大大增加其攻擊成本。

（1）終端安全方面，在條件允許的工作站中部署具有病毒防護(hù)、補(bǔ)丁修復(fù)等功能的終端安全防護(hù)組件，在條件不允許的工作站中部署采用應(yīng)用程序白名單機(jī)制的終端安全防護(hù)組件，防止病毒木馬的感染和運(yùn)行。

（2）網(wǎng)絡(luò)安全方面，在工業(yè)控制系統(tǒng)的入口、不同網(wǎng)絡(luò)之間的關(guān)鍵節(jié)點(diǎn)部署防火墻、入侵檢測系統(tǒng)、入侵防護(hù)系統(tǒng)或安全監(jiān)測系統(tǒng)。

（3）安全管理方面，構(gòu)建企業(yè)級安全運(yùn)營中心，將企業(yè)的IT網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)的安全數(shù)據(jù)集中起來，進(jìn)行集中統(tǒng)一管理并開展比對分析。

2.2 多方配合構(gòu)建多級聯(lián)動機(jī)制

對于有組織的針對性網(wǎng)絡(luò)攻擊，也稱為高級持續(xù)威脅（簡稱APT），很難做到萬無一失，只能在攻防博弈的動態(tài)平衡中盡量獲得優(yōu)勢，通過高效的攻擊檢測技術(shù)和應(yīng)急響應(yīng)機(jī)制盡可能降低網(wǎng)絡(luò)攻擊造成的損失，也就是說無法做到“絕對的安全”。國外有一種說法叫作“世界上只有兩種公司，已經(jīng)被網(wǎng)絡(luò)攻擊的公司和不知道被網(wǎng)絡(luò)攻擊的公司?！绷?xí)近平主席在419講話中也強(qiáng)調(diào)要樹立動態(tài)的、相對的安全觀。單純依靠企業(yè)的基本的安全防護(hù)措施無法有效應(yīng)對有組織的針對性網(wǎng)絡(luò)攻擊，而工業(yè)控制系統(tǒng)與國家關(guān)鍵基礎(chǔ)設(shè)施密切相關(guān)，關(guān)系著國家安全和社會穩(wěn)定，需要國家相關(guān)部門、行業(yè)組織、供應(yīng)商、網(wǎng)絡(luò)信息安全企業(yè)和工業(yè)企業(yè)協(xié)同配合，共同維護(hù)其安全穩(wěn)定運(yùn)行。

不同參與方應(yīng)當(dāng)按照下圖所示的方式開展信息交流與協(xié)同配合：

（1）工業(yè)企業(yè)在其IT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)中部署基本安全防護(hù)組件，在重要網(wǎng)絡(luò)節(jié)點(diǎn)部署防火墻和流量監(jiān)測設(shè)備，并在企業(yè)內(nèi)部構(gòu)建企業(yè)安全運(yùn)營中心集中進(jìn)行安全數(shù)據(jù)的采集和分析對比，將關(guān)鍵安全信息上報(bào)給上級政府態(tài)勢感知平臺。

（2）工控系統(tǒng)集成商或原廠需要在提供相關(guān)產(chǎn)品或集成服務(wù)時(shí)構(gòu)建相對應(yīng)的應(yīng)急響應(yīng)機(jī)制與方案，并對企業(yè)提供安全服務(wù)。

（3）網(wǎng)絡(luò)信息安全企業(yè)廣泛收集威脅并積累威脅情報(bào)，為工業(yè)企業(yè)、工控系統(tǒng)集成商或原廠、政府機(jī)構(gòu)提供實(shí)時(shí)威脅情報(bào)和風(fēng)險(xiǎn)事件通報(bào)，并為工業(yè)企業(yè)、系統(tǒng)集成商和原廠提供安全產(chǎn)品、服務(wù)和解決方案。

（4）政府監(jiān)管機(jī)構(gòu)建立安全態(tài)勢感知系統(tǒng)，通過主動網(wǎng)絡(luò)掃描探測并收集企業(yè)安全運(yùn)營中心上報(bào)的安全監(jiān)測數(shù)據(jù)，對區(qū)域內(nèi)的工業(yè)企業(yè)信息安全狀態(tài)和發(fā)展趨勢進(jìn)行動態(tài)監(jiān)控，政府監(jiān)管機(jī)構(gòu)可以根據(jù)其職能劃分構(gòu)建國家級、省級和地區(qū)級等多個(gè)層級安全態(tài)勢感知系統(tǒng)，形成上下聯(lián)動、協(xié)同配合、信息共享的機(jī)制。

圖5 多級聯(lián)動的安全機(jī)制

在網(wǎng)絡(luò)安全事件的檢測方面，一個(gè)企業(yè)發(fā)現(xiàn)某個(gè)攻擊特征，通過多級聯(lián)動機(jī)制上報(bào)給企業(yè)總部的安全運(yùn)營中心及上級政府監(jiān)管機(jī)構(gòu)態(tài)勢感知系統(tǒng)，再通過信息共享機(jī)制在整個(gè)體系內(nèi)實(shí)現(xiàn)信息通報(bào)和數(shù)據(jù)共享，攻擊者在其他企業(yè)使用同樣攻擊手段再次發(fā)動攻擊時(shí)，就會被安全防護(hù)系統(tǒng)自動檢測出來，并可以根據(jù)攻擊特征的相似性定位攻擊發(fā)起者，這將大大增加網(wǎng)絡(luò)攻擊的檢測效率。

在網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方面，這種多級聯(lián)動的機(jī)制將會促進(jìn)參與各方的協(xié)同配合，優(yōu)化資源配置，促進(jìn)應(yīng)急響應(yīng)團(tuán)隊(duì)的經(jīng)驗(yàn)積累，提高其針對性和專業(yè)性，減少處置恢復(fù)時(shí)間，進(jìn)而有效降低安全事件造成的后果和影響，有效提高應(yīng)急響應(yīng)、事件恢復(fù)、調(diào)查取證的工作效率，降低網(wǎng)絡(luò)攻擊所造成的損失。

3 結(jié)束語

本文首先對工業(yè)控制系統(tǒng)的安全狀態(tài)進(jìn)行了分析，發(fā)現(xiàn)存在聯(lián)網(wǎng)工控設(shè)備數(shù)量持續(xù)增加、工控系統(tǒng)相關(guān)公開漏洞數(shù)量持續(xù)增加、工控系統(tǒng)網(wǎng)絡(luò)安全事件頻發(fā)的情況，通過對安全事件的案例分析發(fā)現(xiàn)，網(wǎng)絡(luò)安全事件所造成的損失嚴(yán)重，工控系統(tǒng)安全形勢不容樂觀。通過分析，發(fā)現(xiàn)工控系統(tǒng)相關(guān)安全事件主要來源于針對性的網(wǎng)絡(luò)攻擊和非針對性安全威脅兩個(gè)方面，本文提出了“補(bǔ)齊短板，多級聯(lián)動”的安全防護(hù)建議，通過在工業(yè)企業(yè)內(nèi)部構(gòu)建基本安全防護(hù)措施與構(gòu)建多級聯(lián)動的安全監(jiān)測體系的方式，可以有效緩解當(dāng)前的嚴(yán)峻安全形勢，提高工控系統(tǒng)網(wǎng)絡(luò)安全水平。

[1]Langner R. Stuxnet：Dissecting a cyberwarfare weapon[J]. Ieee Secur Priv （0.902），2011，9（3）：49-51.

[2]Liang G，Weller S R，Zhao J，et al. The 2015 ukraine blackout：Implications for false data injection attacks[J].Ieee T Power Syst（3.342），2017，32（4）：3317-3318.

[3]Xu W，Tao Y，Guan X. The Landscape of IndustrialControl Systems （ICS） Devices on the Internet[C]. 2018 International Conference on Cyber Situational Awareness，Data Analytics and Assessment （Cyber SA），2018：1-8.

[4]CNVD. 工業(yè)系統(tǒng)行業(yè)漏洞[EB/OL]. https://ics.cnvd.org.cn.

[5]ICS-CERT. ICS-CERT Advisories[EB/OL]. https://us-cert.cisa.gov/ics/advisories.

[6]ICS-CERT. Other Reports[EB/OL]. https://us-cert.cisa.gov/ics/Other-Reports.

2020年工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展工程