工业控制系统：打破“信息孤岛”，还需安全先行

　　在工业生产环节，过程生产连续不可间断的高可靠性，要求控制网络具备更高的安全性。

　　工业控制系统（Industrial Control Systems， ICS），是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统（SCADA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）、远程终端（RTU）、智能电子设备（IED），以及确保各组件通信的接口技术。广泛运用于石油、石化、冶金、电力、燃气、煤矿、烟草以及市政等领域，用于控制关键生产设备的运行。

　　一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。在一般信息化系统里可以存在安全漏洞，不断有新的补丁出现，计算机可能会死机、暂停，而这些如果发生在控制网络里，带来的危险和影响几乎是不可想象的。

　　独特的工业控制系统安全

　　工业控制系统与传统的信息系统安全存在一些差别。在制定工业控制系统的安全方案时，无法回避工业控制系统的一系列特殊性要求：性能要求方面工业控制系统相对一般信息系统要求实时性要求较高，吞吐量通常不会过大，无法接受相对较高的延迟及抖动；可用性方面来讲，类似重新启动这样的响应通常是无法接受的。一般都要求冗余系统，断电操作要提前若干天来进行计划。针对可用性一般需要通过高可用性测试后的系统才会上线运行；风险管控方面，最需要保护的不再是数据安全而是人身安全以及生成过程。对于机器故障和停机是无法接受的风险；工业控制系统的操作系统种类较多或专用，通常没有内在的信息安全能力。要对系统进行修改需要非常谨慎；工业控制协同存在较多的专用协议，并且这些协议运行在更加复杂的网络环境之下。

　　为满足可用性而牺牲安全，是目前工业控制系统存在的主要现状，没有切实可行的安全策略与管理流程也给工业控制系统的信息安全带来了一定的威胁。主要表现在对系统的设计本事就缺发整体架构、没有配套的安全策略和流程、缺乏专业的安全培训。

　　病毒的泛滥是目前信息安全的首要问题。我国的信息化系统，长期面临大规模的病毒爆发的考验。目前全球已发现数万种病毒，并且还在以每天数十余种的速度增长。除了传统意义上的具有自我复制能力但必须寄生在其它实用程序中的病毒外，各种新型的恶意代码也层出不穷，如陷阱门、逻辑炸弹、特洛伊木马、蠕虫、Zombie等。新型的恶意代码具有更强的传播能力和破坏性。例如蠕虫，从广义定义来说也是一种病毒，但和传统病毒相比最大不同在于自我复制过程。随着工业信息系统的互联互通病毒或恶意代码的传播将成为最主要的安全威胁。

　　由于Windows平台的技术架构现广泛应用于控制系统的工程师站。而在工业控制系统中，工程师站是实现与上层应用通信的主要网络结点，因此其操作系统的漏洞就成为了整个控制网络信息安全中的一个定时炸弹。

　　随着TCP（UDP）/IP协议被控制网络普遍采用，网络通信协议漏洞问题变得越来越突出。TCP/IP协议簇最初设计的应用环境是美国国防系统的内部网络，这一网络是互相信任的，因此它原本只考虑互通互联和资源共享的问题，并未考虑也无法兼容解决来自网络中和网际间的大量安全问题。当其推广到社会的应用环境后，安全问题发生了。所以说，TCP/IP在先天上就存在着致命的安全漏洞。

　　工业控制系统安全策略

　　应用系统软件应当使用白名单技术，只允许经过工业企业自身授权和安全评估的软件运行。对各类软件进行充分的离线测试，确保其最小范围的开放应用端口。

　　日常完善工业控制系统中各类设备的的安全配置，建立工业控制系统配置清单，定期进行配置审计。对配置变更需要进行影响分析，进行配置变更前需要进行安全测试。密切关注重大工控安全漏洞及其补丁发布，及时采取补丁升级措施。在补丁安装前，需对补丁进行严格的安全评估和测试验证。

　　通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。

　　对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用，通过主机外设安全管理技术手段实施严格访问控制。

　　在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。合理分类设置账户权限，以最小特权原则分配账户权限。强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码，避免使用默认口令或弱口令，定期更新口令。加强对身份认证证书信息保护力度，禁止在不同系统和网络环境下共享。

　　严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。确需远程访问的，采用数据单向访问控制等策略进行安全加固，对访问时限进行控制，并采用加标锁定策略。确需远程维护的，采用虚拟专用网络（VPN）等远程接入方式进行保留工业控制系统的相关访问日志，并对操作过程进行安全审计。

　　在工业控制网络部署网络安全监测设备，及时发现、报告并处理网络攻击或异常行为。在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作。

　　制定工控安全事件应急响应预案，当遭受安全威胁导致工业控制系统出现异常或故障时，应立即采取紧急防护措施，防止事态扩大，定期对工业控制系统的应急响应预案进行演练，必要时对应急响应预案进行修订。

　　对静态存储和动态传输过程中的数据应当进行保护，根据风险评估结果对数据信息进行分级分类管理。对于关键业务数据应当定期备份，对测试数据进行保护。

　　成都安美勤信息技术股份有限公司 何志鹏