工業控制系統邁向開放你想好如何進行安全防範了嗎？

最新 02-06

至頂網報道

作者：陳廣成

隨著國際國內工業互聯網、工業4.0、中國製造2025戰略的提出，信息技術（IT, Information Technology）和操作技術(OT, Operational Technology)一體化已成為必然趨勢。在這種趨勢下，工業自動化控制系統正逐漸從封閉、孤立的系統轉化為開放互聯的系統，工業自動化生產開始在所有網路層次上橫向與垂直集成。

然而隨著工控系統的開放性與日俱增，系統安全漏洞和缺陷更容易被病毒所利用，工業控制系統又涉及電力、水利、冶金、石油化工、核能、交通運輸、製藥以及大型製造行業，一旦遭受攻擊會帶來巨大的損失。事實上，對於電力、水利、能源、製造業等領域的工業控制系統的入侵事件，在此之前就已經層出不窮。

例如，2008年的波蘭Lodz的城鐵系統被惡意攻擊，導致4節車廂脫離正常軌道；2010年，「震網」病毒攻擊伊朗核設施；2016年，烏克蘭電網遭遇黑客攻擊，造成大範圍停電等等。

工業控制系統安全國家地方聯合工程實驗室與360威脅情報中心製圖

根據美國工業控制系統網路緊急響應小組（ICS-CERT）最新統計報告，2016年美國關鍵基礎設施存在492個安全漏洞，相關漏洞涉及供水、能源和石油行業等關鍵基礎設施。

工業控制系統安全國家地方聯合工程實驗室與360威脅情報中心製圖

自2000年1月截止到2017年12月，根據我國國家信息安全漏洞共享平台（CNVD）統計，所有的信息安全漏洞總數為101734個，其中工業控制系統漏洞總數為1437個。2017年CNVD統計的新增信息安全漏洞4798個，工控系統新增漏洞數351個，均比去年同期有顯著增長。

工業信息安全問題總結

和IT信息系統不一樣，工業控制系統安全有自身的獨特性，例如惡意代碼不敢殺、不能殺。基於工控軟體與殺毒軟體的兼容性，在操作站（HMI）上通常不安裝殺毒軟體，即使是有防病毒產品，其基於病毒庫查殺的機制在工控領域使用也有局限性，主要是網路的隔離性和保證系統的穩定性要求導致病毒庫對新病毒的處理總是滯後的，這樣，工控系統每年都會大規模地爆發病毒，特別是新病毒。

除了來自外部攻擊外，另一方面是來自工業系統自身安全建設的不足。例如很多工控設備缺乏安全設計，主要來自各類機床數控系統、PLC、運動控制器等所使用的控制協議、控制平台、控制軟體等方面，其在設計之初可能未考慮完整性、身份校驗等安全需求，存在輸入驗證，許可、授權與訪問控制不嚴格，不當身份驗證，配置維護不足，憑證管理不嚴，加密演算法過時等安全挑戰。例如：國產數控系統所採用的操作系統可能是基於某一版本Linux進行裁剪的，所使用的內核、文件系統、對外提供服務、一旦穩定均不再修改，可能持續使用多年，有的甚至超過十年，而這些內核、文件系統、服務多年所爆出的漏洞並未得到更新，安全隱患長期保留。

總結起來看，工業網路主要面臨以下安全問題：

1．工業網路安全威脅級別越來越高，漏洞類型多種多樣

通過2017年ICS-CERT和CNVD安全漏洞平台統計新增漏洞數據發現，工業控制系統信息安全事件大幅提高，高危漏洞比重增多，攻擊破壞力不斷增強，對關鍵基礎設施的安全防護存在重大威脅。

2．網路結構快速變化，目前工控技術存在隱患

1) 工業控制系統規模急速膨脹，工控系統極少升級，易受病毒攻擊感染；

2) 系統普遍缺乏監測手段，無法感染未知設備；在執行伺服器操作時，缺乏系統審計；

3) 在執行關鍵操作時，缺乏日誌記錄；工控設備存在諸多漏洞，RTU/PLC安全隱患突出；

4) 在工控系統中，開放對外介面會帶來安全隱患；網路結構快速變化，原有IP數據網信息安全技術遠遠不能滿足工業控制系統的安全要求。

3．網路邊界不夠清晰，局部安全問題易擴散到整個系統

在工業控制系統中，對網路內各個組成部分的安全需求缺乏統一規劃，沒有對核心業務系統的訪問進行很好的控制；各接入系統之間沒有進行明確的訪問控制，網路之間彼此可以互相訪問，邊界入手易，系統內入手難。

4．工控安全標準有待完善，安全企業重視不足

根據2017漏洞統計結果來看，漏洞種類和數量上都有顯著增多。此外，工控信息安全企業積極性不高，控制器廠商之間相互觀望，對於工控安全建設關注度不夠，一旦有攻擊者攻擊工控系統，難以做到安全防護。

工業信息安全防範與展望

毫無疑問，工業控制系統安全是國家關鍵信息基礎設施安全的重要組成部分。為促進工控網路安全健康發展，工業控制系統安全國家地方聯合工程實驗室（由國家發展與改革委員會批准授牌成立，由360企業安全集團承建的對外開放的工業控制安全技術方面的公共研究平台）提出如下建議：

1．建立網路安全滑動標尺動態安全模型

該標尺模型共包含五大類別，分別為架構安全（Architecture）、被動防禦（Passive Defense）、積極防禦（Action Defense）、威脅情報（Intelligence）和進攻反制（Offense）。這五大類別之間具有連續性關係，並有效展示了防禦逐步提升的理念。

架構安全：在系統規劃、建立和維護的過程中充分考慮安全防護；

被動防禦：在無人員介入的情況下，附加在系統架構之上可提供持續的威脅防禦或威脅洞察力的系統，如：工業安全網關/防火牆、工業主機防護、工業審計等；

積極防禦：分析人員對處於所防禦網路內的威脅進行監控、響應、學習（經驗）和應用知識（理解）的過程；

威脅情報：收集數據、將數據利用轉換為信息，並將信息生產加工為評估結果以填補已知知識缺口的過程；

進攻反制：在友好網路之外對攻擊者採取的直接行動（按照國內網路安全法要求，對於企業來說主要是通過法律手段對攻擊者進行反擊）。通過以上幾個層面的疊加演進，最終才能夠實現進攻反制，維護工業互聯網的整體安全。

2．從安全運營的角度，建立企業的工業安全運營中心

在IT和OT一體化推進發展中，IT技術在OT領域大量使用，IT所面對的風險也跟隨進入了OT網路，因此工業企業對這兩個應用角度都要識別風險的切入點，列舉相關的風險，並且要進行一體化的規劃。

工業安全運營中心（IISOC）基於威脅情報和本地大數據技術對工控系統通信數據和安全日誌進行快速、自動化的關聯分析，及時發現工控系統異常和針對工控系統的威脅，通過可視化的技術將這些威脅和異常的總體安全態勢展現給用戶，通過對告警和響應的自動化發布、跟蹤、管理，實現安全風險的閉環管理。威脅情報、威脅檢測、深度包解析、工業大數據關聯分析、可視化展現、閉環響應實現以工業安全運營為中心的一體化防護體系。安全運營目的是解決越來越多的安全產品部署在網路中形成的「安全防禦孤島」問題。

3．組建IT&OT融合的安全管理團隊

組建IT&OT融合的信息安全管理團隊，對整個工業控制系統進行安全運營。對安全管理團隊進行必要的指導，根據具體場景建立合適的安全策略管理和響應恢復機制，及時應對安全威脅。企業要想成功部署工業網路安全項目，需重視同時掌握信息技術（IT）和操作技術（OT）的人才，有的放矢。訂購安全服務和威脅情報，定期對安全管理團隊進行培訓，建立IT、OT的安全統一規劃，使得安全管理團隊成員盡量利用統一標準進行安全事件的處理。

4．在技術層面提高防護能力

終端層面：針對CNC等老舊設備，部署輕量級白名單（系統進程）的防護措施；針對性能好的生產設備，部署統一的終端殺毒軟體，如360天擎；移動介質，例如U盤，進行統一管控（主機防護）。

網路層面：橫向分區、縱向分層，將辦公網、工控網、生產網有效劃分；網路邊界處部署安全網關，最小許可權原則：只開放必要埠，進行精細化訪問管控。

監控層面：摸清資產家底，集中統一管理，並精心維護；部署工業安全運營中心，對公司網路安全狀況進行持續監測與可視化展現。

可恢復性（備份層面）：針對CNC等老舊設備，定期請工控廠商進行系統備份；針對性能好的辦公和生產電腦，定期自行進行系統和數據備份。

-END-

至頂網

一個談新技術和新商業模式的信息服務平台，致力於記錄和推動數字化創新，服務CIO、CTO等技術和商業的決策者、從業者。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！