工业控制系统网络安全产品研究分析

　　摘 要：工业控制系统（ICS）的设计多以高可用性、高控制性、高实时性为目标，完整性和保密性优先级次之。随着工业化和信息化的发展，工业控制系统安全性也面临很大的威胁。为了提高工业控制系统的安全，借助工业控制系统专业信息安全产品进行加固是主要措施之一。本文主要介绍了工业控制系统信息安全产品的特点、分类、厂商类型，并结合2017-2018年的销售许可检测数据进行统计分析。

　　关键词：工业控制系统；工业控制系统信息安全产品；信息安全

　　Abstract： Industrial control systems （ICS） are designed with high availability， high control， and high real-time design， followed by integrity and confidentiality. With the development of industrialization and information technology， the safety of industrial control systems is facing a great threat. In order to improve the safety of the industrial control system， reinforcement by means of industrial information security products is one of the main measures. This paper mainly introduces the characteristics， classification， manufacturer type of industrial control information security products， and combines the sales license test data of 2017-2018 in the last two years for statistical analysis.

　　Key words： ICS； ICS information security products； information security

　　1 引言

　　工业控制系统（Industrial Control Systems，ICS）是指由计算机与工业过程控制部件组成的自动控制系统，由控制器、传感器、传送器、执行器和输入输出接口等部分组成。这些组成部分通过工业通信线路，按照一定的通信协议进行连接，形成一个具有自动控制能力的工业生产制造或加工系统。

　　工业控制系统的子系统或功能组件包括但不限于分布式控制系统（DCS）、数据采集与监视控制（SCADA）系統、可编程逻辑控制器（PLC）、远程终端（RTU）、智能电子设备（IED）等相关信息系统，目前已广泛应用于电力、水力、石化、医药、以及汽车、航天等工业领域，是国家关键基础设施的重要组成部分。

　　现代的工业控制系统网络，很多依靠于商业信息技术和Internet领域的操作系统、开放协议和通信技术，这些技术已被证明存在着脆弱性。通过将工业控制系统连接到互联网或其他公共网络，工业控制系统脆弱性就暴露给潜在的攻击者。常见的脆弱性漏洞包括极易受到攻击的DCOM协议、应用软件的多样性以及工业控制现场中几乎从不更新Windows操作系统补丁的工程师站以及操作员站等。

　　工业控制系统信息安全问题的日益凸显促使我国各职能部门出台了相应的政策和要求，指导和引领工控系统信息安全领域的技术和应用的进步。2012年及2013年国家发改委组织的年度国家信息安全专项中扶持的领域均包括工业控制领域，支持的产品包括工控防火墙、面向现场的工业控制安全网关、安全RTU等。通过部署工业控制系统信息安全产品（如工业控制防火墙、工业控制审计、工业控制安全管理品台、工业控制隔离、主机白名单等）对系统进行加固，来保障工业控制系统的安全。

　　2 工业控制系统信息安全

　　2.1 工业控制系统信息安全特点

　　工业控制系统信息安全是针对工业控制系统的信息保护而言的，其信息安全基本需求主要包括三个特点。

　　（1）可用性：对于工业控制系统，可用性优先级最高。工业控制系统的过程一般是连续的，在运行过程中不能接受意外的中断。许多的工业控制系统为了保证生产运行的连续性，不允许随便停止和启动。对于采用典型的信息技术策略中重启一个组件、服务等通常在工业控制系统中是不能接受的。

　　（2）完整性：工业控制系统完整性指数据未被授权篡改，系统未被非法操纵，按照既定的目标运行，其优先级次之。

　　（3）保密性：对于工业控制系统，保密性优先级最低。但是，工业控制系统也需配置必要的授权访问，保护信息系统不被未授权访问，防止信息盗取事件的的发生。

　　2.2 工业控制系统与信息技术系统区别

　　前面提到工业控制系统的信息安全需求主要包括三个方面。而在信息技术系统中，通常认为保密性的优先级最高，完整性次之，可用性最低。此外，工业控制系统与信息技术系统在系统结构及应用上也有很大的区别。如表1所示，总结了工业控制系统与信息技术系统主要差异。

　　由于工业控制系统和信息技术系统之间的结构、业务和风险的差异，产生了在应用网络安全和业务战略时增长的复杂性需求。一个由控制工程师、控制系统运营商和信息技术安全专业人员构成的跨职能团队，应当紧密合作以理解安装、操作与维护与控制系统相关的安全解决方案时可能产生的影响。工作于工业控制系统的信息技术专业人员在部署之前需要了解信息安全技术的可靠性影响。

　　3 工业控制信息安全产品

　　3.1 工业控制信息安全产品的需求与特点

　　如前所述，工业控制网络与信息技术网络存在的较大的差别：信息技术网络基本都是开放互联，设备及软件更新频繁，使用周期一般在5年左右，通信均采用通用的规范，吞吐量等性能要求高，对信息安全的需求是保密性优先；其次是完整性和可用性，工业控制系统相对封闭，对可靠性要求非常高，使用周期在15～20年左右，通信协议五花八门，通常每个厂商会自己开发一套协议，系统及内部通信相对稳定，对延时要求高，若遭受破坏时，通常后果非常严重，其对信息安全需求首先保障可用性，然后才是完整性和保密性。

　　因此，相对传统的信息技术信息安全产品，工业控制信息安全产品有其自身技术特点。

　　（1）对产品自身的可靠性要求较高。特别是串接在系统中的设备，不能因为安全产品出现故障而影响整个系统的运行。

　　（2）对部署在现场的设备，要求低延时，并具有良好的环境适应性（电磁兼容、温湿度等）。

　　（3）广泛采用白名单技术，即确定为正常行为之外的操作或通讯均认为是异常。

　　（4）行业性较强。不同行业的工控系统也存在着较大的差异，工业控制信息安全产品也具有较强的行业性，如电力网闸、纵向加密装置等仅应用于电力系统。

　　3.2 工业控制信息安全产品分类

　　从产品的保护对象、防护功能来看，工业控制信息安全产品主要分为三类。

　　（1）边界防护类

　　这类产品通常以串接的方式工作，部署在工业控制以太网与企业管理网络之间、工厂的不同区域之间、控制层与现场设备层之间。通过一定的访问控制策略，对工业控制系统边界、工业控制系统内部区域边界进行保护。工业控制防火墙、工业控制隔离产品均属于边界防护类。由于这类产品是串接方式部署，同时具有阻断的功能，产品的稳定可靠、功能安全要求较高，产品的异常将会对工业控制系统的正常运行带来直接影响。

　　（2）审计监控类

　　这类产品通过镜像接口分析网络流量，或者通过代理及设备的通用接口进行探测等方式工作，及时发现网络流量或设备的异常情况并告警，通常不会主动去阻断通信。该产品主要包括工业控制审计产品、工业控制入侵检测产品、工业控制漏洞扫描及挖掘产品、工业控制安全管理平台等。这类产品自身的故障不会直接影响工业控制系统的正常运行，也更容易让用户接受。

　　（3）主机防护类

　　工业控制系统部署有一定数量的主机设备，如工程师站、操作员站等。这些设备往往是工业控制系统的风险点，病毒的入侵、人为的误操作等威胁主要都是通过主机设备进入工控系统。因此，有必要对这些主机进行一定的防护。主机防护产品主要为白名单产品，通过在主机上安装代理程序，限制只有可信的程序、进程才允许运行，防止恶意程序的侵入。

　　3.3 工业控制信息安全产品的统计分析

　　根据公安部32號令，我国对信息安全专用产品（包括工业控制信息安全产品）实行销售许可制度， 由授权的检测机构，依据相应的国家标准、公共安全行业标准、授权检测机构的检验规范等进行检测，并进行安全性测试。满足标准要求并通过安全性测试的产品，则由公安部网络安全保卫局颁发计算机信息系统安全产品销售许可证。

　　目前，正式实施的工业控制信息安全产品标准较少，除工业控制系统安全管理平台和工业控制系统IDS等几乎没有其他的正式针对性标准发布。针对此现状，主要采用的处理方式：一是依据对应的IT信息安全产品标准，增加工控安全补充要求，删减部分对工控系统不适用的条款，如工控防火墙；二是依据IT信息安全产品标准，增加工业控制协议支持要求，而不对具体条款做调整，如工业控制审计、工业控制隔离产品；三是完全依据IT信息安全产品标准，如电力的纵向加密装置，依据VPN产品标准；四是由于标准总是滞后于产品的发展，检测机构起草针对性的检验规范，如文件加载控制产品（主机白名单产品）。

　　本文基于计算机信息系统安全专用产品销售许可服务平台2017-2018年的销售许可检测数据情况进行统计分析。

　　由于销售许可检测周期为2年，因此最近2年的数据基本可以反映市场的总体情况。如图1所示是工业控制系统信息安全产品2年（2017-2018年）的检测情况。

　　从图1中可以得出：

　　（1）2017-2018年市场上产品总数约为264款；

　　（2）2017-2018年产品数量增幅61.38%；

　　（3）2017-2018年产品不合格率分别为7.92%、4.29%，有一定减少；

　　（4）2017-2018年占信息安全产品比例分别为8.23%、10.93%，有一定提高。

　　如表2和图2所示是进一步针对每一类型工业控制信息安全产品市场检测量的年度统计分析。

　　从图2中可以得出：

　　（1）工业控制防火墙、工业控制隔离、工业控制审计、工业控制安管平台、主机白名单及电力纵向加密装置（VPN）占据了绝大比例；

　　（2）其他产品（主要包括工业控制主机防护装置、工业控制IDS、工业控制扫描等），数量相对较少。

　　4 工业控制信息安全产品厂商

　　工业控制信息安全产品厂商在工业控制安全领域有着重要的地位和作用，也不仅是简单提供工业控制信息安全产品，通常会提供信息安全评估服务，依此来推动产品的销售。在产品部署方面，通常用户单位会以信息安全改造、新建系统的信息安全集成方式，由厂商来提供统一的安全服务。

　　4.1 工业控制信息安全产品厂商类型

　　由于工业控制安全有着巨大的市场需求，特别是在以后工业控制等级保护推进的情况下，工业控制安全市场将还会有跨越的发展。基于当前的市场需求以及良好的市场潜力，近年来出现了一批工业控制信息安全产品厂商，主要来自四个方面。

　　（1）原来从事工业控制相关工作，现在开始涉足工业控制信息安全，如和利时、浙大中控、南瑞等。这类厂商以工业控制设备（PLC、DCS等）提供商为主，他们一方面把信息安全技术融合到工业控制设备中，另外一方面也开发工控安全专用产品，可以对已有系统提供加固措施，也能为新建系统提供集成安全解决方案。这类厂商对工业控制有着深入理解，其安全产品架构上往往会参考工业控制设备的一些实现和要求，与自家的工业控制设备兼容度高。

　　（2）原来从事传统信息安全的企業，现在也开始做工业控制安全产品，如绿盟、启明星辰、安恒、蓝盾、360等。这类厂商对信息安全非常了解，但是对工业控制的一些需求了解有限，主要通过引进工业控制领域人才，共同完成产品的研发。工业控制系统运营单位，也会有传统信息技术的信息安全需求，与这些厂商有着一定的合作，在有工业控制安全需求时，这类厂商就能顺势介入。目前，国内绝大部分大型的传统信息安全企业都有涉足工业控制安全，有些已经推出了成熟的产品，有些还在做前期的技术储备。

　　（3）也有少量公司，原来就主要从事工业控制信息安全方面工作，主要针对电力行业，电力行业工业控制安全市场起步早、需求占比大，早在2005年，原电监会就提出了电力二次系统安全防护要求，因此也有些公司从事安全相关工作，如珠海鸿瑞、天地和兴等。这些厂商原来专注于本行业，现在也在努力向其他行业拓展。

　　（4）新成立的公司（2010年之后），专注于工业控制安全，由于看好工业控制安全市场，也有些新成立，主要面向工业控制安全的公司，如威努特、网藤等。

　　从统计数据来看，绝大部分厂商仅提供单款工业控制信息安全产品。部分综合型的厂商，提供的产品类型相对比较全面，甚至有些无法及时提供某些产品的时候，会OEM其他厂商的产品，主要是为了能够提供工业控制系统整体的信息安全解决方案。

　　4.2 工业控制信息安全产品厂商数量及分布

　　基于2017-2018年送检的工控产品厂商的数据统计，工控信息安全产品厂商绝大部分为国内厂商，目前涉及的国外厂商极少，具体约占比如图3所示。

　　从图3中可以看出，检测厂商绝大多数为北京企业，约占比63%；其次是长三角（江浙沪）以及其他地域（包括山东、广州、湖南、福建、黑龙江等）。

　　5 结束语

　　目前对工业控制系统进行安全防护，主要采用的是控制器以上的安全产品，比如工业控制防火墙、工业控制IDS等；采用应用层协议主要包括Modbus TCP、OPC等。对于控制器以下层面的产品，以及控制系统所支持的协议的广泛性是进一步研究的重点。结合信息系统安全技术以及工业控制系统自身特点，建立工业控制系统安全管理体系和防护体系，加强针对工业控制系统的等级保护工作和相关防护技术的研发，以保障我国工业控制系统的安全运行。

　　参考文献

　　[1] 姚羽，祝烈煌，武传坤.工业控制网络安全技术与实践[J].北京：机械工业出版社，2018.

　　[2] 张帅.工业控制系统安全风险分析[J].信息安全与通信保密， 2012（3）：15-19.

　　[3] 邹春明，郑志千，刘智勇.电力二次安全防护技术在工业控制系统中的应用[J].电网技术，2013.

　　[4] 夏春明，刘涛，王华忠，吴清.工业控制系统信息安全现状及发展趋势[J].信息安全与技术，2013（2）：13-18.

　　[5] 田原.工业控制系统信息安全浅析[J].自动化博览工业控制系统信息安全专刊，2014（11）：68-70.

　　[6] 蔡皖东.工业控制系统安全等级保护方案与应用[M].国防工业出版社，2015.

　　[7] 肖建荣.工业控制系统信息安全[M].北京：电子工业出版社，2015.

康天娇 邹春明