新環境中的工控系統安全風險及防護技術

引言

工控系統是工業生產的核心中樞，廣泛應用在各大工業行業領域，在網絡化發展的新環境下，工控系統更是關鍵基礎信息設施的中樞神經系統。隨著國家推進工業網際網路建設，傳統工控系統的過程管控、數據採集、程序設計與控制等「孤島式工作模式」被打破，越來越多的工控系統被接入工業網際網路，基於網絡端的操控模式已逐漸代替過去相對孤立的工業控制操作方式，然而傳統工控系統的安全防護設計側重考慮基於相對獨立封閉環境下的防禦方式，缺乏面對工業網際網路網建設新環境下的安全防護方法，傳統工控系統物理隔離安全防護模式顯現出不足，網絡化發展趨勢下的標準通信協議開放和軟硬體系統集成帶來了全新的安全風險，工控系統面臨著各種信息安全攻擊。由於網際網路與工業網際網路的應用場景區別性大，相對成熟的網際網路信息安全防禦技術難以直接應用到工控系統網絡安全領域，基於新環境下工控系統安全防禦體系亟需建立。本文結合新環境下工控系統特點及面臨的安全風險與威脅，重點分析新環境下的工控系統安全防護技術。

1

工控系統特徵

傳統工業控制系統一般處於相對孤立工作的模式下，並且基於 IT 和 OT 技術相對隔離基礎上進行設計，傳統控制過程、控制軟體更側重功能安全，對網絡安全內容涉及較少，基本不具備防範各種網絡攻擊的能力。基於工業網際網路的工業控制系統開始朝向更深層次網絡化、集成化方向發展，區別於傳統工業控制系統的特點與工作模式，新環境下的工業控制系統展現出更多面向網絡IP化、無線化、組網複雜化等帶來的網絡安全風險，如圖1所示，工業網絡的互相融合，使得工業組網越來越靈活複雜，傳統的防護策略面臨攻擊手段動態化的嚴峻挑戰。

圖1 新環境中的工業控制系統網絡結構圖

2

工控系統安全威脅

工業控制系統是工業控制部件與計算機融合的一類特殊工業信息系統，在網絡化發展環境下，工控系統會受到來自網絡的各類系統漏洞攻擊威脅，通常的漏洞類型如下：

3.1工控系統漏洞威脅

目前大多數工控系統都是基於計算機作業系統開發的，這些工控系統側重對併網連續性控制以及對系統功能穩定性的考慮，通常不會高頻次地對系統進行補丁安裝，加之許多大型工業企業的生產任務繁重而忽視了工控系統安全性的提升，很多大型工業現場的生產控制系統沒有經過升級安裝，因此存在巨大的系統漏洞帶來的安全風險威脅。

3.2工業通信協議威脅

傳統工業通信協議的設計沒有考慮面向網絡化環境的安全防禦問題，如Modbus、S7等協議，這些傳統的工業通信協議存在很多漏洞，安全性不高，網絡攻擊者只需要掌握協議構造方式，通過網絡接入就可以對目標設備的任意數據進行篡改。隨著工業網際網路的建設，工控網絡中大量引入了乙太網，工業生產現場中不同網絡和軟體之間多採用TCP/IP或ISO標準進行數據傳輸，通信協議本身存在的漏洞也給聯網的工控系統帶來安全風險威脅。

3.3網絡病毒威脅

由於工控系統安全穩定性功能特點，使得殺毒軟體和一些工控系統存在衝突，因此許多工控系統通常不會安裝殺毒軟體，即使安裝了殺毒軟體，在使用過程中也有很大的局限性，原因在於殺毒軟體病毒庫高頻更新升級的特點與工控系統穩定運行且不經常更新的特點相悖，聯網的工控系統一方面面臨多種多樣來自網絡的病毒威脅，另一方面其病毒庫的防禦功能也存在一定的滯後性。

3.4工控軟硬體漏洞威脅

由於工控軟硬體種類繁多，並且其設計時忽視了聯網帶來的信息安全問題，因此面對工業網際網路連接下的新環境，很難形成統一的防護規範以應對網絡安全風險威脅。加之，當工控軟硬體面向網絡應用時，必須開放其應用埠，由於缺乏面向工業網際網路的工業防火牆設備，傳統的IT防火牆等安全設備很難保障其安全性，從而形成容易遭受網絡攻擊的重要漏洞。

3

工控系統安全防護技術

隨著工業網際網路建設發展，針對聯網的工控系統建立安全有效的防護體系，是解決安全威脅的重要內容，安全防護技術開發應從安全軟體選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測、資產安全、數據安全、供應鏈管理安全等方面入手，形成具體解決方案，以下選取具有代表性的安全防護技術進行分析。

4.1 工業網絡入侵檢測技術

基於工業網際網路的新環境中，工業控制系統面向更多的數據流，工業網絡入侵檢測技術主要是針對工業控制系統的各個關鍵節點開展一定的數據收集、整理和反饋，進而從數據中提取出反映工業控制系統行為的相關數據特徵，在掌握設計識別技術和檢測算法技術的基礎上，對關鍵節點數據進行識別，以此來發現工業控制系統環境可能存在的入侵行為。

4.2 漏洞掃描與漏洞挖掘技術

常規來看，漏洞掃描技術主要是基於完整的工業控制系統及工業控制網絡安全漏洞資料庫，根據高頻漏洞掃描引擎和檢測規則等自動進行匹配，以掃描出企業所用工業控制系統內部關鍵設備、關鍵軟體和關鍵硬體等是否存在已知漏洞的方法。漏洞挖掘技術則可進一步分為靜態分析漏洞挖掘方法和動態分析漏洞挖掘方法兩大類，靜態分析漏洞挖掘方法在工業控制系統程序非運行狀態下對漏洞進行檢測和對比掃描，強化對靜態代碼審計、逆向分析和補丁等的對比研究，動態分析漏洞挖掘技術則是在系統軟體運行的情況下，對工業控制系統進行程序格式、黑盒子測試等針對性的漏洞掃描，以此發現工業控制系統可能存在的信息安全隱患，保障工業控制信息系統運行的安全性。

4.3 基於工業網際網路的訪問控制技術

基於工業網際網路的新網絡環境中，來之網絡端的訪問路徑將被擴大，惡意性和偽身份性訪問行為的風險巨增，面向工業網際網路的訪問控制技術顯得尤為重要。訪問控制技術主要包括對工業控制系統內部相關數據信息的訪問控制策略、訪問控制模型和訪問控制框架等三大部分，企業在開展工業控制系統安全信息防護過程中採用訪問控制技術的主要目的是最大限度地限制對工業控制系統內部任何受企業保護資源的數據訪問，儘可能地防止未授權人員對企業工業控制系統內部任何資源進行不合法訪問與瀏覽。

4.4 新型工業防火牆技術

由於工業網際網路與傳統網際網路應用環境的差異性巨大，傳統IT防火牆技術對進一步保護工業控制系統相關數據信息的內部和外部非法入侵並不適用。在工業控制系統中，企業為保護相關數據信息和資料必須進一步採用工業防火牆技術。新型工業防火牆技術和傳統IT的防火牆技術相比具有更多優勢：一是工業防火牆技術具備對工業控制系統進行動態檢測和實時訪問控制的相關功能；二是針對諸如 OPC 等工業控制協議，工業防火牆技術相關內容具備支持性和兼容性；三是新型工業防火牆技術能最大限度滿足工業控制系統較高的實時性需求和穩定性運行需求。

4.5面向工業網際網路的態勢感知技術

基於工業網際網路的安全態勢感知技術對工業網絡進行實時的安全監測，是新環境下工控系統網絡安全的基礎保障。工業網際網路安全態勢感知通過採集工業網際網路流量、資產、日誌、告警、安全處置數據和第三方數據，利用統計分析和數據挖掘等方法，實時動態分析工業網絡中的網絡行為及用戶行為，識別能引起工業網際網路態勢變化的安全要素，從而展示整個網絡當前安全狀態，並預測未來發展趨勢，以此保護工控系統的安全穩定運行。

結語

隨著工業網際網路的建設發展，工業控制系統面臨著全新環境下的安全風險威脅，本文結合新環境下的工控系統特點，分析基於新環境下的工控系統安全風險威脅及安全防護技術。工業數位化、網絡化、智能化發展將不斷深入，工控系統作為工業生產的中樞神經系統將肩負著更為重要的安全生產使命，工控安全是工業轉型升級發展中首要考慮的問題之一，加強工控系統安全性，建立完善的安全防護體系具有重要意義。

範德昌，張振山/中孚信息（北京）研究院