工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的思考

當(dāng)前，工業(yè)控制系統(tǒng)與物聯(lián)網(wǎng)、互聯(lián)網(wǎng)呈現(xiàn)出深度融合的態(tài)勢，這既大幅提升了工業(yè)控制系統(tǒng)的智能化、信息化程度，也引發(fā)了一系列新的安全挑戰(zhàn)。針對工控系統(tǒng)的各類新型攻擊技術(shù)和手段層出不窮，對國家安全、經(jīng)濟(jì)發(fā)展和社會穩(wěn)定等產(chǎn)生了嚴(yán)重影響，引起了世界各國政府的高度重視。例如，震網(wǎng)病毒、火焰病毒、BlackEnergy等病毒已具有明確靶向攻擊特征。在全球信息化背景下，網(wǎng)絡(luò)空間政治化、軍事化、經(jīng)濟(jì)化進(jìn)程明顯加快，網(wǎng)絡(luò)空間已成為國際戰(zhàn)略競爭的新制高點(diǎn)、經(jīng)濟(jì)發(fā)展的新支撐、國家主權(quán)的新疆域和軍事斗爭的新戰(zhàn)場。

2003年，Slammer蠕蟲感染美國Davis-Besse核電廠的安全監(jiān)測系統(tǒng)；2010年，震網(wǎng)病毒感染伊朗核設(shè)施，伊朗核計(jì)劃受阻；2012年，火焰病毒入侵中東地區(qū)的“網(wǎng)絡(luò)戰(zhàn)武器”；2015年，BlackEnergy惡意代碼變種攻擊烏克蘭電力系統(tǒng)，造成烏克蘭大規(guī)模停電；2018年4月，CISO交換機(jī)遠(yuǎn)程代碼執(zhí)行漏洞，黑客利用該漏洞對俄羅斯和伊朗的基礎(chǔ)設(shè)施進(jìn)行了攻擊，全球受影響設(shè)備約20萬臺；2018年8月4日，臺積電電腦系統(tǒng)遭到電腦病毒攻擊，造成竹科晶圓12廠、中科晶圓15廠、南科晶圓14廠等主要廠區(qū)的機(jī)臺停線。

眾多工控安全事件表明，工控系統(tǒng)攻擊威脅呈有組織、大規(guī)模、高隱蔽、強(qiáng)持續(xù)的趨勢，具有國家、組織背景的攻擊行為不斷增加；攻擊技術(shù)層出不窮，攻擊方法花樣翻新，國家安全、經(jīng)濟(jì)發(fā)展、社會穩(wěn)定面臨巨大威脅。

目前，我國工控系統(tǒng)的安全也現(xiàn)狀不容樂觀，諸多問題依然存在。一是隱患難以根除。我國工業(yè)控制系統(tǒng)設(shè)備存有漏洞后門的問題嚴(yán)重，硬件漏洞修復(fù)成本高、難度大，我國關(guān)鍵基礎(chǔ)設(shè)施工控系統(tǒng)的安全隱患難以根除。二是安全難以深入。受某些廠家工控系統(tǒng)“一站到底式”控制模式的制約，工控系統(tǒng)的安全檢測、監(jiān)測、控制與防范等難以深入。三是國產(chǎn)化率較低。我國工業(yè)控制系統(tǒng)的自主研制與國產(chǎn)化應(yīng)用起步較晚，自主可控的工控系統(tǒng)高端產(chǎn)品國產(chǎn)化率較低。四是技術(shù)體系滯后。工控系統(tǒng)重大共性關(guān)鍵安全技術(shù)尚需突破，適應(yīng)我國工控安全需要的安全標(biāo)準(zhǔn)和技術(shù)體系等相對滯后，我國關(guān)鍵基礎(chǔ)設(shè)施受制于人、技不如人的現(xiàn)狀仍未改善。隨著我國互聯(lián)網(wǎng)普及和工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)、數(shù)字化工程等新技術(shù)、新業(yè)務(wù)的快速發(fā)展與應(yīng)用，我國在工業(yè)控制系統(tǒng)方面面臨的安全問題日益復(fù)雜。與此同時(shí)，敲詐勒索病毒、設(shè)備后門漏洞、分布式拒絕服務(wù)攻擊、網(wǎng)絡(luò)攻擊“武器庫”泄露、APT攻擊等安全事件層出不窮，使得工業(yè)控制系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅與風(fēng)險(xiǎn)不斷加大，給網(wǎng)絡(luò)空間安全造成嚴(yán)重的潛在安全威脅，對我國工控系統(tǒng)安全不斷提出新的挑戰(zhàn)。

一、工控系統(tǒng)網(wǎng)絡(luò)安全威脅分析

工控網(wǎng)絡(luò)安全高危漏洞層出不窮。當(dāng)前，工控安全漏洞類型呈現(xiàn)出多樣化特征，對于業(yè)務(wù)連續(xù)性、實(shí)時(shí)性要求高的工控系統(tǒng)，無論是利用這些漏洞造成業(yè)務(wù)中斷、獲得控制權(quán)限還是竊取敏感生產(chǎn)數(shù)據(jù)，都將對工控系統(tǒng)造成極大的安全威脅。同時(shí)，由于工控漏洞的修復(fù)進(jìn)度較為遲緩，全球新增的工控漏洞數(shù)量顯著高于修復(fù)漏洞數(shù)量。究其原因，一方面在于供應(yīng)商漏洞修復(fù)工作的優(yōu)先級別較低，還要受到軟件開發(fā)迭代周期的限制；另一方面在于工業(yè)企業(yè)出于維持業(yè)務(wù)連續(xù)性的考慮，及時(shí)更新和安裝補(bǔ)丁的積極性不高。

工控安全漏洞呈逐年增加態(tài)勢。根據(jù)美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組（ICS-CERT）統(tǒng)計(jì)報(bào)告，2015年漏洞總數(shù)為486個，2016年漏洞總數(shù)為492個。近年來，所收錄的安全漏洞數(shù)量也持續(xù)走高。2018年1月至2018年5月，根據(jù)我國國家信息安全漏洞共享平臺（CNVD）統(tǒng)計(jì)，信息安全漏洞總數(shù)達(dá)6730個，工業(yè)控制系統(tǒng)漏洞總數(shù)為190個，主要分布在能源、制造、商業(yè)設(shè)施、水務(wù)、市政等重點(diǎn)領(lǐng)域，涉及20多個工業(yè)相關(guān)產(chǎn)品。

暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)及設(shè)備有增無減。工業(yè)與IT的高度融合，信息技術(shù)（IT）和操作技術(shù)（OT）一體化迅速發(fā)展，越來越多的工業(yè)控制系統(tǒng)采用通用硬件和通用軟件，并與企業(yè)網(wǎng)中運(yùn)行的管理信息系統(tǒng)（如MES、ERP）之間實(shí)現(xiàn)了互聯(lián)、互通、互操作，甚至可以通過互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等直接或間接地訪問，這就導(dǎo)致了從研發(fā)端、管理端、消費(fèi)端、生產(chǎn)端等任意一端都有可能實(shí)現(xiàn)對工控系統(tǒng)的網(wǎng)絡(luò)攻擊或病毒傳播，給工業(yè)控制系統(tǒng)（ICS）、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA） 等工業(yè)設(shè)施帶來了更大的攻擊面。工業(yè)控制系統(tǒng)涉及我國電力、水利、冶金、石油化工、核能、交通運(yùn)輸、制藥以及大型制造行業(yè)，尤其是能源行業(yè)，一旦遭受攻擊會帶來巨大的損失。與傳統(tǒng)IT系統(tǒng)相比較，II/OT一體化的安全問題把安全威脅從虛擬世界帶到現(xiàn)實(shí)世界，可能會對人的生命安全和社會的安全穩(wěn)定造成重大影響。截至2018年5月，國內(nèi)范圍內(nèi)，暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)設(shè)備數(shù)量達(dá)97625個，其中能源行業(yè)暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)設(shè)備數(shù)量達(dá)19341個。2018年暴露在互聯(lián)網(wǎng)上的工控資產(chǎn)涉及多家知名廠商的產(chǎn)品和應(yīng)用。

工控系統(tǒng)網(wǎng)絡(luò)攻擊難度逐漸降低。隨著越來越多的工控系統(tǒng)暴露在互聯(lián)網(wǎng)上，工控系統(tǒng)日益成為“眾矢之的”，黑客有目的地探測并鎖定攻擊目標(biāo)變得更加容易。加上針對工控系統(tǒng)的漏洞挖掘和發(fā)布與日俱增，大量工控系統(tǒng)安全漏洞、攻擊方法可以通過互聯(lián)網(wǎng)等多種公開或半公開渠道擴(kuò)散，極易被黑客等不法分子獲取利用。如今，對工控系統(tǒng)的入侵攻擊已不再神秘，進(jìn)一步加劇了工控系統(tǒng)的安全風(fēng)險(xiǎn)。一方面，大量工控系統(tǒng)軟硬件設(shè)備漏洞及利用方式可通過公開或半公開的渠道獲得；另一方面，諸多黑客大會、開源論壇和白帽社區(qū)公開大量工控系統(tǒng)入侵案例細(xì)節(jié)。例如，2017年舉辦的亞洲黑帽大會上，研究人員展示了世界上第一款可以在可編程邏輯控制器（PLC）之間進(jìn)行傳播的蠕蟲病毒，發(fā)布了技術(shù)思路和概念驗(yàn)證程序；一些白帽子技術(shù)社區(qū)上也曾發(fā)表相當(dāng)多SCADA系統(tǒng)風(fēng)險(xiǎn)案例，詳細(xì)描述了SCADA系統(tǒng)的漏洞細(xì)節(jié)和利用方式；眾多開發(fā)者社區(qū)發(fā)布的工控系統(tǒng)安全事件技術(shù)分析報(bào)告不斷增多，其中許多技術(shù)分析報(bào)告給出了網(wǎng)絡(luò)攻擊步驟、詳細(xì)攻擊代碼甚至攻擊工具等詳細(xì)信息，易被黑客獲取、復(fù)現(xiàn)以實(shí)施網(wǎng)絡(luò)攻擊。

此外，某些網(wǎng)絡(luò)武器庫遭泄露埋下重大工業(yè)信息安全隱患。維基解密、影子經(jīng)紀(jì)人等黑客組織公開披露了大批網(wǎng)絡(luò)攻擊工具和安全漏洞，與木馬病毒相結(jié)合，可被用于入侵感染工控系統(tǒng)，引發(fā)高頻次、大規(guī)模的網(wǎng)絡(luò)攻擊，造成嚴(yán)重后果。例如，震驚全球的WannaCry勒索病毒就利用了黑客組織“影子經(jīng)紀(jì)人”披露的美國國安局的“永恒之藍(lán)”漏洞進(jìn)行傳播，給工控系統(tǒng)造成巨大危害。截至2017年9月8日，維基解密已經(jīng)泄露23批美國中央情報(bào)局（CIA）Vault7文件，這些文件中包含了大量網(wǎng)絡(luò)攻擊工具，可被直接或修改后用來對工控系統(tǒng)發(fā)動網(wǎng)絡(luò)攻擊，潛在的安全隱患極大。

工控系統(tǒng)自身安全不足。一是工業(yè)設(shè)備資產(chǎn)的可視性嚴(yán)重不足。工業(yè)設(shè)備資產(chǎn)可視性不足嚴(yán)重阻礙了安全策略的實(shí)施。要在工業(yè)互聯(lián)網(wǎng)安全的保護(hù)中取勝，“知己”是重要前提。許多工業(yè)協(xié)議、設(shè)備、系統(tǒng)在設(shè)計(jì)之初并沒有考慮到在復(fù)雜網(wǎng)絡(luò)環(huán)境中的安全性，而且這些系統(tǒng)的生命周期長、升級維護(hù)少也是巨大的安全隱患。二是很多工控設(shè)備缺乏安全設(shè)計(jì)。在各類機(jī)床數(shù)控系統(tǒng)、PLC、運(yùn)動控制器等所使用的控制協(xié)議、控制平臺、控制軟件等方面，在設(shè)計(jì)之初未考慮完整性、身份校驗(yàn)等安全需求，存在身份鑒別、訪問控制不嚴(yán)格、配置維護(hù)不足、弱加密算法等安全隱患。三是設(shè)備聯(lián)網(wǎng)機(jī)制缺乏安全保障。工業(yè)控制系統(tǒng)中的設(shè)備與網(wǎng)絡(luò)相連，工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)連接，企業(yè)內(nèi)部網(wǎng)絡(luò)又與外面的云平臺、第三方等進(jìn)行網(wǎng)絡(luò)連接，由此產(chǎn)生了網(wǎng)絡(luò)數(shù)據(jù)傳輸安全、網(wǎng)絡(luò)傳輸鏈路中軟硬件設(shè)備安全、網(wǎng)絡(luò)防護(hù)邊界安全等安全需求。四是生產(chǎn)數(shù)據(jù)面臨丟失、泄露、篡改等安全威脅。智能制造工廠內(nèi)部生產(chǎn)管理數(shù)據(jù)、生產(chǎn)操作數(shù)據(jù)以及工廠外部數(shù)據(jù)等各類數(shù)據(jù)，不管是通過大數(shù)據(jù)平臺存儲、還是分布在用戶、生產(chǎn)終端、設(shè)計(jì)服務(wù)器等多種設(shè)備上，都將面臨數(shù)據(jù)丟失、泄露、被篡改等安全威脅。

二、工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)

由于工控系統(tǒng)具有特殊性，相比傳統(tǒng)信息系統(tǒng)具有5個方面的特性需求：一是可靠性需求，工控系統(tǒng)的可靠穩(wěn)定運(yùn)行是確保工業(yè)生產(chǎn)安全的基礎(chǔ)；二是實(shí)時(shí)性需求，工控系統(tǒng)從過程數(shù)據(jù)的實(shí)時(shí)采集、傳輸?shù)娇刂浦噶畹南逻_(dá)執(zhí)行，周期短，實(shí)時(shí)性要求較高；三是安全性需求，工業(yè)控制系統(tǒng)大量采用計(jì)算機(jī)及通信技術(shù)，在保障生產(chǎn)過程安全的同時(shí)，還需要能夠抵御網(wǎng)絡(luò)安全威脅；四是分布性需求，工控系統(tǒng)具有實(shí)時(shí)閉環(huán)控制的特性，采集、傳輸、控制等業(yè)務(wù)模塊采用地理或空間位置上的分散布置方式，生產(chǎn)過程的實(shí)時(shí)性越高分布性越強(qiáng)；五是系統(tǒng)性需求，工控系統(tǒng)在時(shí)間上應(yīng)具有時(shí)變性和連續(xù)性，在空間上具有分布參數(shù)和分布處理的特性，在技術(shù)上涉及技術(shù)領(lǐng)域和設(shè)備系統(tǒng)較多，在管理上涉及業(yè)務(wù)部門和層級較多，對系統(tǒng)性要求很高。

因此，實(shí)現(xiàn)工控系統(tǒng)的網(wǎng)絡(luò)安全，應(yīng)重點(diǎn)進(jìn)行6個方面的安全防護(hù)：一是建立體系、不斷發(fā)展。要逐步建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系，主要包括基礎(chǔ)設(shè)施安全、體系結(jié)構(gòu)安全、系統(tǒng)本體安全、可信安全免疫、安全應(yīng)急措施、全面安全管理等，形成多維柵格狀架構(gòu)，并隨著技術(shù)進(jìn)步而不斷動態(tài)發(fā)展完善。二是分區(qū)分級、保護(hù)重點(diǎn)。根據(jù)工業(yè)控制系統(tǒng)的業(yè)務(wù)特性和業(yè)務(wù)模塊的重要程度，遵循國家網(wǎng)絡(luò)安全等級保護(hù)的要求，準(zhǔn)確劃分安全等級，合理劃分安全區(qū)域，重點(diǎn)保護(hù)生產(chǎn)控制系統(tǒng)核心業(yè)務(wù)的安全。三是網(wǎng)絡(luò)專用、多道防線。工業(yè)控制系統(tǒng)應(yīng)采用專用的局域網(wǎng)絡(luò)（LAN）和廣域網(wǎng)絡(luò)（WAN），與外部因特網(wǎng)和企業(yè)管理信息網(wǎng)絡(luò)之間進(jìn)行物理層面的安全隔離，在與本級其他業(yè)務(wù)系統(tǒng)相連的橫向邊界，以及上下級工業(yè)控制系統(tǒng)相連的縱向邊界，應(yīng)部署高強(qiáng)度的網(wǎng)絡(luò)安全防護(hù)設(shè)施，并對數(shù)據(jù)通信的七層協(xié)議采用相應(yīng)安全措施，形成多道立體安全防線。四是全面融入安全生產(chǎn)。應(yīng)將安全防護(hù)技術(shù)融入工業(yè)控制系統(tǒng)的采集、傳輸、控制等各個環(huán)節(jié)各業(yè)務(wù)模塊，融入工業(yè)控制系統(tǒng)的設(shè)計(jì)研發(fā)和運(yùn)行維護(hù)；應(yīng)將網(wǎng)絡(luò)安全管理融入企業(yè)安全生產(chǎn)管理體系，對全體人員、全部設(shè)備、全生命周期進(jìn)行全方位的安全管理。五是管控風(fēng)險(xiǎn)、保障安全。工業(yè)控制系統(tǒng)安全直接影響生產(chǎn)過程安全，關(guān)乎國家安全和社會穩(wěn)定，應(yīng)全面加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控，保障工業(yè)控制系統(tǒng)安全，確保工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行。六是堅(jiān)持“同步規(guī)劃、同步建設(shè)、同步使用”原則。工業(yè)控制系統(tǒng)的建設(shè)應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。

（原載于《保密科學(xué)技術(shù)》雜志2018年11月刊）