聚焦工控安全

来源:中国信息化周报
关键字:工控安全,互联网+,智能制造
发布时间:2016-07-19 10:47

　　从2010年的伊朗“震网”事件到2015年乌克兰电力遭受攻击，工控安全事件频发，防护亟需加强。在“互联网+”、智能制造时代背景下，我国工控安全形势如何？有哪些问题？怎样解决？《中国信息化周报》聚焦工控安全，独家采访多位用户CIO、厂商高层和行业专家，探寻答案。

　　“中国制造2025”战略、两化深度融合和万物互联互通政策带来产业的大规模转型升级，工业控制和基础设施智能化快速发展的同时，也面临着新挑战。工控网络安全领域问题突出，防护亟须加强。工控系统中的“漏洞”就像身体出现疾患，一旦工控系统“漏洞”遭到攻击，产生的破坏性会超出想像。

　　根据乔治亚理工学院发布的网络安全预测报告，2016年网络安全威胁呈现四大趋势，其中工控网安全是焦点问题之一。美国工业控制系统网络应急响应小组（ICS-CERT）最新发布的2015年关键基础设施安全报告显示，2015年美国关键基础设施安全事件比2014年增长了20%之多。

　　工控安全问题对中国的震动其实始于伊朗“震网”事件。当年名为“震网”的蠕虫病毒入侵西门子为伊朗布什尔核电站设计的工业控制软件，意在夺取核电设备的控制权，造成20%的离心机报废，伊朗大约3万个网络终端感染。近年来，在世界范围内的工控安全事件还是屡见报端。

　　在“互联网+”、智能制造的时代背景下，工控安全显得格外重要。我国工控安全形势如何，有哪些问题和难点，该如何解决？《中国信息化周报》聚焦工控安全，通过记者多方采访，探寻答案。

　　赛迪智库网络安全所所长刘权告诉记者，随着工业控制系统和互联网的不断融合，互联网正快速渗透到工业控制系统的各环节，能源、装备制造等重要行业原有相对封闭的系统运行环境逐渐被打破，越来越多的工业控制系统可以通过互联网、移动互联网等直接或间接地访问，不仅大大增加了针对工业控制系统的攻击点、攻击面和信任网络边界，也使得病毒、木马等传统网络安全威胁通过互联网逐渐向工业控制系统扩散，为工控安全保障工作带来了新的挑战。

　　新的工控安全防护需求有哪些？匡恩网络技术总监井柯认为有以下几个方面：第一，工控网络边界防护措施不完善，安全威胁较大。第二，智能工厂核心控制器遍布于生产全环节，一旦发生针对控制器的网络攻击和网络劫持，将导致生产受损。因此，智能工厂核心控制器的网络安全防护有待加强。第三，存储核心加工数据的工控主机、数据服务器的抗攻击、抗非法访问能力有待提高。第四，构筑立体化工控网络安全防御体系，加强安全防护系统的建设；加强安全风险的发现、管理与动态处置能力的建设；加强深度防御，及安全事件的关联分析与安全预警机制的建设，形成安全事件的快速反应、快速处置。

　　刘权则从标准和技术两方面分析了目前工控安全存在的问题：“在标准方面，我国工控系统分类分级、安全评估、第三方机构认定等工控安全基础性标准缺失，工控系统运营企业开展安全防护面临无规可循的窘境。在技术方面，我国网络安全威胁监测、漏洞分析、芯片级硬件安全分析、协议分析等技术能力不足，难以及时发现针对工业控制系统的网络攻击。此外，工业控制系统具有互操作性强、实时性高等天然要求，通用的安全手段和安全策略无法直接移植。大数据等新兴信息技术在工业控制领域的安全理论、防护体系尚不成熟。”

　　“相关的防护技术已经向纵深防护的方向发展，要从工业控制系统的安全生命周期的角度来考虑工业控制系统的安全。”绿盟科技工控安全专家分析道，“要向漏洞的挖掘→漏洞检测→工控审计→工业蜜罐（蜜罐场）→未知威胁检测→态势感知→综合预警的方向发展，综合应用相关技术来应对工业控制系统所面临的安全威胁。”

　　随着采访的深入，记者发现，被采访者都提到工业控制安全的难点就是实现工业控制系统安全与工业控制技术的融合，融合之路任重道远。

　　到底难在什么地方？刘权总结说，一是缺乏具有可操作性、权威性的工控安全防护指导性标准文件，工控系统运营单位难以开展有针对性的安全防护。二是运营单位网络安全防护意识淡薄，相关工控网络安全制度难以有效落实，导致工控安全防护技术难以发挥应有效用。如第三方运维缺乏安全监管、内部移动介质无序使用、信息通信的第三方不安全接入等情况普遍存在。此外，工控系统运营单位出于对系统升级成本和运行稳定性的考虑，也往往不会主动升级工控系统的安全防护手段。

　　用户心声

　　CIO观点：工控系统防御性普遍缺乏

　　森源电气CIO顾总理希望在工控领域有更多更有效的产品及应用出现，在《中国信息化周报》记者问及他对工控安全现状的感受时，他谈到如下四点：第一，工控产品普遍不“安全”，包括国际一线品牌的生产检测装备，其多以实现主体功能为主，软件系统健壮性欠缺。第二，工控安全防御性产品还不够成熟，没有发现效果明显反馈优异的产品出来，市场潜力还很大。第三，企业在工控装备日益增多，工控网络与业务信息系统网络逐步融合的数字化工厂建设阶段，其对工控安全的需求迅速提升，隐患不断增大，在工控装备自身安全性低和第三方工控安全防御性产品普遍不成熟的情况下，通常采用尽量隔离、控制交界的手段。第四，人为的隔离工控网络和办公网络，相当于减少外侵机会。这种措施越来越难以满足日益增长的物联网需求。而控制办公网与工控网的交界点安全，也是一种从入口处防范的措施。由于工控网络的安全等级更高，破坏性更大，所以要慎防病毒从办公网络向工控网络的蔓延。目前工控系统及软件往往比较脆弱，病毒入侵后很容易中招。

　　对于工控安全发展的建议，顾总理说：“我们目前也还是在两网交接处尝试采用更有效的杀毒软件，然后在工控网络内，着力打造一个纯净的网络，无用的东西一概不安装，不相关的人一概不操作，无关的数据一概不进入。希望工控类产品要增加自身的安全性，不要做不堪一击的小白兔；对于工控安全防御类产品，要克服人才困境，多结合企业场景，做出更加适用的产品及方案；对于企业来讲，要提高安全意识，并在采购工控产品时关注系统安全性、在管理上加上管理手段、在投入上重视引进工控安全防御类产品应用。”

　　青岛中集冷藏箱制造有限公司CIO耿峰一直非常关注工控安全的发展。他告诉《中国信息化周报》记者：“过去工控安全不是工业化的重点。随着未来工业自动化程度越来越高，数字化、智能化的逐步推进，工控系统的安全性会逐步受到重视，但是由于工控的封闭性与专业性，其安全管理需求未必会有多高的重视程度。”

　　在谈到信息安全技术手段与业务的有机融合时，耿峰说：“这条路会很长，首先，熟悉工控的人都十分清楚，诸多工控系统其实有超强的封闭性，很多都是单向通信，于是乎其安全性还是具备高等级的；第二，工控系统专业性极强，有着诸多的壁垒，所以外界对它的安全威胁相对于我们平时认知的信息安全要低得多。我觉得从操作（标准作业）与防御方面做会更加实际一些。当下工控系统的确缺乏防御性，甚至没有，这是工控系统本身的特征造成的，长远来看必要的防御手段还是要具备的。”

　　■森源电气CIO 顾总理

　　希望工控类产品要增加自身的安全性，对于工控安全防御类产品，要克服人才困境，多结合企业场景，做出更加适用的产品及方案。

　　■青岛中集冷藏箱制造有限公司CIO 耿峰

　　随着未来工业自动化程度越来越高，数字化、智能化的逐步推进，工控系统的安全性会逐步受到重视。

　　企业论道

　　体系、平台、技术创新成破冰关键

　　“互联网+”在各个领域深度渗透，广泛推进，取得了明显成效，但当所有设备、所有系统互联互通以后，安全问题就至关重要。尤其在“中国制造2025”、“互联网+”新业态下，对工业控制网络提出了更多新的安全防护需求，新需求是推动技术创新的原动力，唯有技术创新才可解工控安全之困局。

　　“4+1”安全防护体系

　　在实现工业控制系统内在安全和体系防护的有机统一方面，匡恩网络创新性地提出“4+1”安全防护体系，即结构安全、本体安全、行为安全、基因安全，以及时间持续性防护。结构安全和行为安全是工控安全体系的主体，是实现工控系统体系防护的关键因素，也是对工业控制系统进行安全改造和加固的切入点；基因安全和本体安全关系到工控安全体系的本质安全，其根本的解决之道是自主可控；持续性防护是建立长效的安全防护机制，在持续对抗中多维度保障工业控制系统及关键基础设施全生命周期的安全。

　　怎样做好工业控制系统安全防护？井柯建议：第一，为工业控制系统网络融入安全基因。主要通过针对工业控制系统安全规划设计、持续的威胁管理、安全运营以及人员培训等方面注入到整个工业控系统生命周期中。第二，推动工业控制系统网络安全开放平台的建设。一方面需要开展针对工业控制系统的产品与安全产品的研发，确保产品的安全、自主、可靠；还有就需要通过信息共享、资金保障、标准、产品等共同营造健康的产业生态环境。第三，推动工业控制系统网络安全与生产安全的融合。

　　三个维度保障工控安全

　　工控领域的企业已经开展了有针对性的研究，原有信息安全企业、研究机构和大学也在逐步开展针对工业控制系统的安全研究。

　　“工业控制系统为了保障业务的稳定运行，也开发了大量的安全功能，通过多点失效保障与表决机制等来保障关键操作，其中更多是防止误操作对工业控制系统的影响，而功能安全所具备的失效保障的措施，在应对潜在的对外部攻击所导致的功能失效方式也起到一定的作用。”绿盟科技专家说，“随着工业控制系统信息化程度的加深，必然将导致工业控制系统受攻击面的增多，融合实际的操作规程要求、融合实际的功能安全属性、基于业务的流程与工艺的行为建模和分析，形成信息安全技术手段与业务有机融合的技术，才能在工控系统安全领域实现真正的突破。”

　　在谈及技术创新时，刘权对《中国信息化周报》记者说：“对于创新的工控安全防护技术产品，政府机构应通过政策引导、防护指南实施、产品试点示范等工作推动创新的工控安全防护技术产品的成果转化，以及和工控企业业务的有机结合。此外，我国诸多重点领域工控系统核心部件及相关基础网络组件、服务平台多被国外产品垄断。大部分工控系统及配套数据库和服务器产品都来自国外，且多由国外厂商直接提供运维服务。只有加强工控基础软硬件研发，在芯片、操作系统、组态软件等领域取得重大突破，才有望实现工控系统信息安全的真正破突。”

　　基于对工控系统安全需求的理解，结合国内工控安全的规范要求及国外相关标准内容，绿盟科技提出从技术、管理和运行三个维度来保障工业控制系统安全。三个保障维度主要包含：网络边界防护、安全纵深防护、安全运行管理和安全管理制度要求等几个方面，融合了技术、管理和运行的要求来保障工业控制系统的安全。绿盟科技工控安全专家对《中国信息化周报》记者说：“结合工业控制系统运行阶段的特点，我们提出三个能力建设，包含从上线前的安全检测、安全能力部署、安全运行三个阶段，覆盖工业控制系统运行周期的安全保障。”

　　实现信息安全风险的动态管理

　　启明星辰集团在2014年4月成立了贯穿前、中、后场的统一协调、有效沟通、直接面向客户需求的工控安全特别任务组，支撑石油炼化、烟草、军工、先进制造、轨道交通、电力、钢铁、石油、煤炭等各行业客户的工控安全需求。

　　据启明星辰集团工控安全负责人李转琴介绍，其工业控制信息安全产品体系以工业控制信息安全管理系统为核心，以旁路检测、串联防护、现场防护三大引擎为支撑，全面实现全网工控设备的统一安全监测和防护，安全风险集中分析和展现。辅助以贯穿工业控制系统需求、设计、建设、运营、废除全生命周期的工控安全风险评估平台，实现信息安全风险的动态管理。

　　李转琴提到，工业控制系统之所以有信息安全问题，主要是因为要将传统的控制网转化为工业以太网，进而快速与上层网络互连并实现统一管理，实现生产决策可视化。接着，她又解释道：“按照工业控制系统典型的五层普度模型，传统管理网信息安全的建设是在上二层，下三层属于工业控制范畴，除特殊协议外和现场设备形态外，结构上仍然与信息网如出一辙。因此传统的信息安全建设经验将为工业控制系统安全提供整体系统性的思路。此外，攻击方法与原有方法有众多相似之处，已成功模拟回放了‘震网’病毒并设计实现了多个攻击场景。”据了解，建设工业控制安全不仅需要熟知信息安全，还要熟悉不同行业的工业控制系统特点，如DCS、SCADA等。所以启明星辰跟诸多国内外自动化厂商、集成厂商进行紧密合作。在2014年投资了一家专注于自动化及工控安全的中京天裕公司，投资公司的工业安全网关、OPC物理隔离网闸、OPC逻辑隔离网闸、协议专用型设备等安全产品能够解析多种工控协议，在风电、冶金、煤矿等有些初步应用，快速弥补了公司在自动化领域的不足。

　　■匡恩网络技术总监井柯

　　“4+1”安全防护体系即结构安全、本体安全、行为安全、基因安全，以及时间持续性防护。它实现工业控制系统内在安全和体系防护的有机统一。

　　行业应用

　　绿盟科技多维度做好多行业安全防护

　　合规性安全建设

　　对于电厂的安全防护，绿盟科技建议从物理安全、网络安全、主机安全、应用和数据安全等多个维度进行考虑。物理安全策略的目的是电力监控系统等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保电力监控系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度。

　　电力监控系统的网络安全主要是指网络信息的完整性、保密性和可用性。主机安全其核心内容包括安全应用交付系统、应用监管系统、操作系统安全增强系统和运维安全管控系统。它的具体功能是保证主机在数据存储和处理的保密性、完整性、可用性，它包括硬件、固件、系统软件的自身安全，以及一系列附加的安全技术和安全管理措施，从而建立一个完整的电力监控系统主机安全保护环境。电力监控系统主机包括各种服务器、操作员站等各种以计算机为主体的设备。应用安全，顾名思义就是保障应用程序使用过程和结果的安全，针对应用程序或工具在使用过程中可能出现的计算、传输数据泄露和失窃隐患，通过其他安全工具或策略消除。

　　此外，绿盟科技重视上线前的安全检测。通过对工控系统的安全性进行分析，发现系统中潜在的安全漏洞，基于发现的安全漏洞与相应的工控设备和系统提供商进行联系，获取相关的漏洞解决方案。漏洞的检测主要从已知漏洞的漏洞扫描来发现系统中潜在的安全隐患。

　　从四个维度做安全防护

　　工业控制系统安全是传统IT系统安全的延伸，在工控系统的安全方法论上可参考信息安全的方法论。但同时工业控制系统又具有自身的特点，在属性上优先考虑可用性，然后考虑完整性和保密性。

　　绿盟科技认为，石油石化行业工业控制系统安全防护应从四个方面考虑。首先，各个工业控制系统的环境是不尽相同的，需要对具体的工业控制系统安全现状进行评估，根据评估结论提出有针对性的抵御安全威胁的防护对策和整改措施，以防范和缓解信息安全风险。其次，需要构建工控系统安全体系架构，对工业控制系统进行纵向分区、横向分层，根据不同作业区域的功能与作用不同，进行不同等级的有针对性的防护，达成安全防护重点突出，使安全防护资源得到合理分配，从而构建工控系统安全防护架构，从根本上建立工业控制系统的安全基础。再次，需要根据前两部的结论有针对性地做具体的安全防护工作。最后是对工业控制系统进行全面监控和审计，构建安全管理平台来对生产网中的链路、网络设备、服务器、存储、负载均衡设备、防火墙、数据库、中间件、业务应用服务等的运行状态和指标参数进行实现实时数据采集和运行状态监控，利用科学、高效的技术手段和已有的成功经验实现对工业控制系统的精细化、及时化、准确化的运维保障和管理。

　　专家点评

　　综合多种技术构建一体化防护体系

　　在刘权看来，我国电力行业的工控网络安全比较完善。他说：“电力行业属于我国最重要的关键基础设施之一，得到国家政府的重点关注。自2006年以来，国家发改委、国家电监会、国家能源局先后发布10余项电力行业工控安全的政策文件。电力行业的工控安全标准相对完善。电力行业工控系统规定信息安全技术手段与业务融合较好，智能电网交互终端技术、智能变电站技术、智能大电网数据采集分析诊断技术等取得突破，其工控系统的国产化程度也要明显高于钢铁、有色、装备制造等传统工业企业。”

　　工控系统运营如何发展？刘权建议，要从企业业务实际出发，重新梳理业务系统，按安全等级划分，实行等级防护。同时，要选择合适的工控安全防护产品和设备，进行针对性的安全防护。传统工业生产模式下，企业工业控制系统往往运行于企业局域网内部，且使用的硬件平台较为特殊，因此工控产品安全性不是生产厂商主要考虑的问题，其产品以实现主体功能为主。工业控制系统具有互操作性强、实时性高等天然要求，传统的工控系统安全防护产品难以完全满足需求。

　　“此外，大数据等新兴技术在工业控制领域的安全理论、防护体系尚不完善，也使得工控安全产品不够成熟，防御效果不好。”刘权说，“由于工控系统的特殊性，工控系统的生命周期普遍在15-20年，因此系统在设计时的安全防护策略难以对许多新出现的病毒进行有效应对；工控系统运营单位出于对系统升级成本和运行稳定性的考虑，也往往选择暂时不升级工控系统的安全防护手段。因此，工控系统及软件比较脆弱，病毒入侵后容易中招。”

　　在刘权看来，互联网和工业控制系统的不断融合，打通了工业生产的各个环节，工业控制系统、信息管理系统、供应链系统等实现了互联、互通、互操作，工业设备、人、信息系统、数据、网络和应用的联系日益紧密，包括产品设计和工艺参数、生产任务排期以及核心财务、用户、运营管理等在内的信息大量汇聚，形成了工业大数据和工业云平台。因此，工控安全防护不能局限于传统工业控制系统的安全防护，工业大数据、工业云平台等也是工控安全防护的重点。网闸、工业防火墙等传统工业信息安全边界防护手段已经不能满足要求，综合运用虚拟化安全技术、云安全技术及大数据分析技术，构建集漏洞挖掘、威胁分析、风险消减为一体的工控安全防护体系，将成为未来工控安全发展的重要方向。防护体系，将成为未来工控安全发展的重要方向。

　　行业应用

　　匡恩网络IAD智能平台为生产保驾护航

　　保障“数字烟草”安全

　　某烟厂认真贯彻落实“数字烟草”的目标，工厂虽然实施了互联互通的组网结构，提高了生产效率，但同时也出现了多次网络安全事故，导致生产网络面临严重安全威胁，具体如：缺乏有效的网络监控和日志审计；网络边界防护措施缺失，生产车间与厂级办公网之间未进行明确的分域分级管理，整个网络区域边界不明确，缺乏必要的网络隔离防护手段；生产车间广泛使用存在大量漏洞及后门的OPC、ProfiNet协议及国外控制系统，存在重大的安全隐患。

　　面对风险，针对现场特殊且严格的工业化应用需求，无法用传统常规性的安全产品和技术来解决问题。经过缜密的调研分析和严格的验证，匡恩网络应用IAD智能保护产品，利用高可靠、低功耗的工业级硬件；通过“人工智能”的“黑名单+白名单”防护机制，结合工业协议的深度解析，实现了边界的隔离控制、协议和设备漏洞的防范。从根本上保证了生产网络的安全与稳定运行，从而给生产安全提供了有力保障。

　　保障轨道交通核心系统安全

　　北京地铁某线是中国首条全自动无人驾驶线路，此批无人驾驶地铁列车将是自动化等级最高的地铁列车。信号系统作为地铁自动化控制运行的核心系统，可能受到内部和外部威胁的风险等级也越高，主要面对的风险如下：信号系统和外部系统互联接口引入的风险可能会威胁到信号系统的正常运行；信号系统内部的风险缺乏有效的管控和监控预警机制。

　　匡恩网络根据信号系统自身的特点，采用区别于传统信息安全的分区分域方式，将匡恩IAD智能防护平台部署在信号系统和外部系统互联边界，采用黑白名单技术实现边界隔离，抵御外部入侵和APT攻击；采用匡恩监测审计平台，对信号系统核心流量进行实时监控，对异常流量和操作及时生成告警；采用匡恩安全监管平台，对安全终端进行统一管理，构建持续性威胁管控机制。

　　保障石化敏感数据传输安全

　　国内某油气田，2015年基本实现油田生产过程自动化、业务管理协同化和全面信息共享，但是生产网核心工控网络系统安全保护不足，出现诸如：操作员站、服务器操作系统和应用不能及时安装安全补丁、应用软件存在普遍漏洞，极易收到攻击和病毒感染；网络边界缺乏隔离防护措施，内部缺乏有效的威胁监测和管理措施，特别是井场采集的敏感数据传输过程中缺乏保护。

　　匡恩网络采用IAD智能保护设备能够识别出数字油田网络（或者无线接入）中由于恶意入侵、系统故障、人员误操作所引起的异常控制行为和非法数据包，及时对其进行告警和阻断，并能为后续的安全威胁排查提供依据。也可以对生产数据和视频（音频）数据进行分流，其中对生产数据使用白名单的方式做深度的协议分析，保证生产数据的可靠性；对视频数据采用直接转发的方式让其通过。

　　数据采集隔离设备通过自己独特的内核技术对来自工业网络中的生产数据和视频数据进行分流，其中对生产数据使用白名单的方式做深度的协议分析，保证生产数据的可靠性；对视频数据采用直接转发的方式让其通过。通过自己高性能的数据流级的深度解析功能对数据进行解析和判断，确保数据的可靠性，通过白名单和黑名单方式保证数据的单向性。这样就解决了原有系统工控信息安全防护措施不足、错位、部分缺失等三方面的问题，为安全风险提供数据支撑。

　　行业应用

　　启明星辰工业防火墙从容应对电力危机

　　2015年12月23日，乌克兰至少三个区域的电力系统遭到网络攻击。本次攻击造成面积停电，电力中断3~6小时，约140万人受到影响。

　　启明星辰经过对病毒样本分析，发现本次攻击过程开始于一个带有恶意宏的XLS文件，黑客通过钓鱼手段将此恶意文件发送给攻击目标，XLS文件运行后启动恶意宏代码执行，宏代码会在临时文件目录下释放文件vba_macro.exe，这便是释放器。他通过释放Black Energy来执行后续操作。

　　据悉，启明星辰工业防火墙团队在设计之初，就对工业现场环境进行了深入调研，密切关注工业化和信息化两化融和中恶意代码通过传统IT网络对工业设备的攻击，并在工业防火墙集成了的更加先进灵活的入侵检测引擎。在应对这次攻击的过程中，通过该引擎可以直接处理base64编码后的数据，对Black Energy上线通讯特征进行监测，并通过丰富的数据提取能力实现快速发现、定位感染主机。用户只需在防火墙中通过加入启明星辰提供的特征，无需定制开发即可防护此类攻击。

　　启明星辰工业防火墙从设计之初就全面研究工业环境下的安全需求。产品除具备工控防火墙的主流功能外，在安全防护方面最大的特点是集成了工业入侵防护引擎，并内置了工业漏洞库。用户可以根据自己的情况选择适用场景进行快速部署。通过该引擎，可以对工业协议和内容进行合规性检查，阻断黑客对工控设备的扫描行为，并对可以对SCADA缓冲区溢出和目录遍历等攻击进行防护。该特征库依托启明星辰ADLab等部门研究成果，可以提供最新最全的工控漏洞特征。

　　李转琴补充说：“启明星辰工业防火墙的入侵防护引擎还是一个开放、可扩展的引擎，通过它我们可以灵活地根据企业内部的特定工控设备或协议实施有针对性的防护策略；用它在用户现场即可快速动态制定防护规则，来深入地检测工控协议内容，而不需要经过长时间的定制开发；利用该检测引擎，结合流量自学习功能，可以对用户私有协议进行快速的学习，并进行流量可视化展现。”