久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

曾幾何時(shí)，信息安全與工業(yè)控制系統(tǒng)這個(gè)“獨(dú)立王國(guó)”還扯不上關(guān)系，但2010年的“Stuxnet”病毒事件讓人們恍然大悟：原來“獨(dú)立王國(guó)”也有淪陷的時(shí)候。于是國(guó)家和企業(yè)都重視起來，紛紛采取行動(dòng)，當(dāng)然，IT 安全從業(yè)者也在行動(dòng)。

本文主要從工控系統(tǒng)信息安全實(shí)踐和實(shí)踐中的問題兩個(gè)方面來談?wù)劰P者關(guān)于在工控安全實(shí)踐方面的積累和感受。

1　工控系統(tǒng)信息安全實(shí)踐

1.1　工控信息安全標(biāo)準(zhǔn)

感謝標(biāo)準(zhǔn)相關(guān)制定機(jī)構(gòu)以及參與制定的專家們，正是有了這些信息安全標(biāo)準(zhǔn)的制定，信息安全工作才有了方向。雖然工控信息安全標(biāo)準(zhǔn)編制工作國(guó)內(nèi)起步較晚，不過目前也有一些標(biāo)準(zhǔn)可以參考，如：等級(jí)保護(hù)基本要求、GB/T 30976……使企業(yè)開展信息安全工作有“法”可依，有據(jù)可查。下面簡(jiǎn)單介紹等級(jí)保護(hù)基本要求和GB/T30976兩個(gè)標(biāo)準(zhǔn)。

（1）等級(jí)保護(hù)基本要求

等級(jí)保護(hù)基本要求是我國(guó)開展信息安全工作的最重要標(biāo)準(zhǔn)之一，從技術(shù)和管理兩個(gè)方面對(duì)信息系統(tǒng)的安全保護(hù)能力提出要求。其應(yīng)用范圍較廣，適用于信息系統(tǒng)管理組織，信息系統(tǒng)產(chǎn)品廠商，信息系統(tǒng)集成商，信息安全咨詢服務(wù)企業(yè)，第三方信息安全測(cè)評(píng)機(jī)構(gòu)等。

（2）信息安全標(biāo)準(zhǔn)GB/T30976

GB/T30976標(biāo)準(zhǔn)是新發(fā)布的專門針對(duì)工控系統(tǒng)的信息安全標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)包括兩部分，第一部分從管理、技術(shù)能力兩個(gè)方面對(duì)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)的評(píng)估、分級(jí)進(jìn)行了規(guī)范，也就是提要求。該標(biāo)準(zhǔn)同等級(jí)保護(hù)基本要求相似，只是側(cè)重點(diǎn)有所不同。第二部分對(duì)工業(yè)控制系統(tǒng)的信息安全驗(yàn)收過程進(jìn)行了規(guī)范。其分級(jí)如表1所示。

表1 信息安全標(biāo)準(zhǔn) GB/T30976分級(jí)

1.2　等級(jí)保護(hù)在工控系統(tǒng)實(shí)踐關(guān)注點(diǎn)

和利時(shí)作為國(guó)內(nèi)工控行業(yè)領(lǐng)軍企業(yè)，也是較早關(guān)注工控系統(tǒng)信息安全的企業(yè)之一。在之前對(duì)工控系統(tǒng)整體信息安全方面的研發(fā)實(shí)踐中主要參考等級(jí)保護(hù)基本要求。現(xiàn)階段在工控系統(tǒng)實(shí)踐中進(jìn)行等級(jí)保護(hù)重點(diǎn)關(guān)注以下七個(gè)方面：工控網(wǎng)絡(luò)結(jié)構(gòu)、安全隔離、病毒防護(hù)、安全審計(jì)、身份鑒別、設(shè)備自身防護(hù)、邊界完整性。下面就每個(gè)方面做簡(jiǎn)單介紹。

1.2.1　工控網(wǎng)絡(luò)結(jié)構(gòu)

圖1 工控網(wǎng)絡(luò)結(jié)構(gòu)

在等級(jí)保護(hù)基本要求里，其中有一條是對(duì)信息系統(tǒng)安全區(qū)域劃分的要求。跟據(jù)等級(jí)保護(hù)基本要求的特點(diǎn)，以及工控系統(tǒng)的特點(diǎn)，我們可以從縱向和橫向兩個(gè)維度對(duì)工控系統(tǒng)網(wǎng)絡(luò)進(jìn)行結(jié)構(gòu)的劃分，劃分的方式可以根據(jù)控制系統(tǒng)的情況、環(huán)境的不同而不同，不能一概而論。總的原則是縱向分層，橫向分區(qū)。

例如DCS系統(tǒng)，從縱向來說，可以劃分為現(xiàn)場(chǎng)控制層、過程監(jiān)控層、監(jiān)督控制層三個(gè)層面。如圖1所示。

在縱向劃分的基礎(chǔ)上，在每個(gè)層面可以橫向再劃分成安全區(qū)。例如，在現(xiàn)場(chǎng)控制層中，可以根據(jù)不同生產(chǎn)線、不同工藝流程進(jìn)行劃分。

在過程監(jiān)控層中，主要包括現(xiàn)場(chǎng)的操作終端、服務(wù)器和工程師站。對(duì)于一些大型的DCS系統(tǒng)，可以先按照生產(chǎn)線、生產(chǎn)工藝流程劃分成大的域，然后在每個(gè)生產(chǎn)線域內(nèi)再進(jìn)行劃分成為服務(wù)器區(qū)、操作終端區(qū)、工程師站等。

1.2.2　安全隔離安全隔離主要涉及到隔離設(shè)備和隔離位置。

（1）主要隔離設(shè)備：工控防火墻

工控防火墻一些特點(diǎn)：

·對(duì)工控協(xié)議支持，如對(duì)OPC、ModBus等協(xié)議的支持。

·滿足工業(yè)環(huán)境的要求，如電磁干擾、抗震、防塵、絕緣、溫/濕度等。

·針對(duì)私有協(xié)議進(jìn)行二次開發(fā)，現(xiàn)在的工業(yè)控制系統(tǒng)很多使用自己的私有協(xié)議，需要進(jìn)行二次開發(fā)才能使用。不進(jìn)行二次開發(fā)也就只能進(jìn)行端口過濾，意義不是很大。

（2）隔離位置

選擇什么位置進(jìn)行隔離，基本可以參考傳統(tǒng)信息安全的相關(guān)原則，主要基于三個(gè)原則：在不同網(wǎng)絡(luò)邊界之間；不同安全區(qū)域邊界之間以及在控制器前隔離。

工控系統(tǒng)信息安全與傳統(tǒng)信息安全的不同就是在控制器前部署工控防火墻。基于兩個(gè)方面的原因：一是限制訪問控制。控制器不是所有終端設(shè)備都能訪問的，也沒必要允許任何設(shè)備都可以訪問，需要限制有權(quán)限的設(shè)備才能訪問。二是泛洪攻擊。雖然目前控制器的處理能力有所提高，但是想比于普通個(gè)人電腦，其處理能力還有很大差距，面對(duì)廣播風(fēng)暴之類的大量數(shù)據(jù)包控制器基本還是無能為力。而目前工控系統(tǒng)維護(hù)方面碰到的最頭疼的問題之一就是廣播風(fēng)暴的問題。工控防火墻部署在控制器之前，可以阻擋大量非法廣播包對(duì)控制器的影響，減輕控制器的處理負(fù)荷，從而保護(hù)控制器不受數(shù)據(jù)包泛洪等的影響。

1.2.3　病毒防護(hù)

在工控系統(tǒng)病毒防護(hù)中，目前國(guó)內(nèi)同行形成的一種共識(shí)就是采用軟件白名單方式，是因?yàn)椋?/p>

（1）不需要頻繁升級(jí)病毒庫(kù)；

（2）不對(duì)進(jìn)程進(jìn)行查殺，刪除；

（3）只允許在白名單范圍內(nèi)的程序運(yùn)行；

（4）工控系統(tǒng)安裝的程序比較單一、穩(wěn)定，適合白名單方式的運(yùn)行機(jī)制環(huán)境。

1.2.4　安全審計(jì)

安全審計(jì)包括日志審計(jì)和流量監(jiān)控。網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)的日志收集，審計(jì)與傳統(tǒng)信息安全一樣，用同樣的方法、方式就能滿足工控系統(tǒng)安全審計(jì)。唯一的區(qū)別是對(duì)工控軟件的日志集中收集問題，需要解決兩個(gè)問題：

（1）集中日志收集的支持；

（2）審計(jì)系統(tǒng)對(duì)工控軟件日志內(nèi)容，格式的支持（日志字段、警告級(jí)別，可能與傳統(tǒng)信息安全日志不太一樣），需要同工控廠商二次開發(fā)。

1.2.5　身份鑒別

（1）措施在工控軟件系統(tǒng)方面，身份鑒別采取的措施是：

·雙因子鑒別。等?；疽笕?jí)里明確規(guī)定，對(duì)系統(tǒng)管理用戶需要進(jìn)行雙因子身份鑒別，在工控系統(tǒng)中，工程師賬戶，值班長(zhǎng)賬戶，網(wǎng)絡(luò)設(shè)備管理員等重要賬戶需要進(jìn)行雙因子鑒別；雙因子可以是口令+證書、動(dòng)態(tài)口令等方式。

·單因子鑒別。如操作員賬戶，用口令就可以了，口令的復(fù)雜度需要強(qiáng)一些。

（2）鑒別時(shí)機(jī)

工控系統(tǒng)中的鑒別時(shí)機(jī)，在以下三種情況下需要進(jìn)行身份鑒別：

·登陸工控系統(tǒng)時(shí)；

·進(jìn)行工程下裝時(shí)；

·重要參數(shù)修改時(shí)（如發(fā)電機(jī)轉(zhuǎn)速等）。

1.2.6　設(shè)備自身防護(hù)

設(shè)備自身防護(hù)包括三個(gè)方面：主機(jī)加固、網(wǎng)絡(luò)設(shè)備加固和工控系統(tǒng)自身的防護(hù)。

（1）主機(jī)操作系統(tǒng)加固

Windows系統(tǒng)使用普遍，使其經(jīng)常成為被攻擊的對(duì)象。對(duì)Windows的加固主要涉及：

·關(guān)閉多余服務(wù)；

·安裝系統(tǒng)補(bǔ)?。?/p>

·刪除多余系統(tǒng)組件；

·開啟Windows系統(tǒng)自帶防火墻等。

（2）網(wǎng)絡(luò)設(shè)備加固

·關(guān)閉不需要的服務(wù)，如關(guān)閉HTTP/TELNET等；

·限制遠(yuǎn)程管理地址；

·使用加密方式進(jìn)行遠(yuǎn)程管理；

·口令滿足復(fù)雜度等。

（3）工控系統(tǒng)自身的安全防護(hù)

采用合適的軟件開發(fā)模式，減少軟件漏洞。最基本的安全措施包括啟用身份鑒別、加強(qiáng)口令復(fù)雜度、用戶權(quán)限控制、日志記錄等。

1.2.7　邊界完整性

邊界完整性包括非授權(quán)設(shè)備的接入，外部數(shù)據(jù)輸入，無線網(wǎng)絡(luò)的使用。

（1）非授權(quán)設(shè)備接入：主要在網(wǎng)絡(luò)層面，關(guān)閉交換機(jī)閑置端口，對(duì)端口地址進(jìn)行綁定等方式。

（2）外部數(shù)據(jù)輸入（如升級(jí)包等）：進(jìn)行U盤、光盤等移動(dòng)介質(zhì)的管理。使用數(shù)據(jù)轉(zhuǎn)運(yùn)系統(tǒng)，所有輸入數(shù)據(jù)，先存放在Linux系統(tǒng)安裝的文件服務(wù)器中，并進(jìn)行病毒查殺，工控系統(tǒng)內(nèi)部終端設(shè)備在數(shù)據(jù)轉(zhuǎn)運(yùn)系統(tǒng)中讀取數(shù)據(jù)，這樣能夠避免U盤帶有病毒，并且可以在兩個(gè)不同的系統(tǒng)之間起到保護(hù)數(shù)據(jù)的作用。

（3）無線網(wǎng)絡(luò)的使用：在DCS系統(tǒng)中基本用不到，而在SCADA系統(tǒng)中經(jīng)常能用到，如油氣田等邊遠(yuǎn)地區(qū)，多使用無線信號(hào)傳輸數(shù)據(jù)，需要考慮到無線信號(hào)的安全問題。安全措施主要是對(duì)無線信號(hào)加密，接入設(shè)備的認(rèn)證等，無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)之間使用工控防火墻或網(wǎng)閘進(jìn)行完全隔離。

2　實(shí)踐中出現(xiàn)的問題

在進(jìn)行工控安全的實(shí)踐過程中，主要發(fā)現(xiàn)了兩個(gè)方面的問題：一體化和工控安全產(chǎn)品本身的問題。

（1）一體化

這里的一體化，簡(jiǎn)單來說，是指工控廠商和信息安全廠商的深度合作，這方面目前還比較欠缺。傳統(tǒng)的信息安全，安全廠商可能繞開軟件系統(tǒng)廠商，直接面對(duì)用戶。而對(duì)于工控系統(tǒng)，用戶雖然使用控制系統(tǒng)多年，但很多用戶仍然不了解控制系統(tǒng)內(nèi)部具體通信機(jī)制等情況。因此安全廠商需要與工控廠商深度合作，開發(fā)適用于工控系統(tǒng)的安全解決方案，經(jīng)過深入測(cè)試，由工控廠商和信息安全廠商聯(lián)合向客戶推廣更容易被接受。

（2）工控安全產(chǎn)品

在測(cè)試過程中，一些安全產(chǎn)品或多或少地發(fā)現(xiàn)了一些問題。

·可靠性

一些產(chǎn)品不滿足，如溫度、濕度、抗震等工業(yè)環(huán)境要求，設(shè)備自身功能不全，設(shè)備運(yùn)行不穩(wěn)定等。

·可用性

目前工控安全產(chǎn)品不像傳統(tǒng)信息安全產(chǎn)品有多年的使用經(jīng)驗(yàn)，工控安全產(chǎn)品缺少?gòu)V泛的試用，有些產(chǎn)品甚至剛開發(fā)出來。

（本文整理自“ 2015第四屆工業(yè)控制系統(tǒng)信息安全峰會(huì)”第三站的報(bào)告）

作者簡(jiǎn)介

劉太洪（1978-），男，四川綿陽人，高級(jí)安全評(píng)估工程師，碩士，現(xiàn)就職于北京和利時(shí)系統(tǒng)工程有限公司。主要研究方向?yàn)楣I(yè)控制系統(tǒng)信息安全，從事工業(yè)控制系統(tǒng)信息安全研究工作，并先后完成了和利時(shí)DCS系統(tǒng)的安全測(cè)評(píng)、目前市面上主流工業(yè)防火墻功能測(cè)試等工作。

摘自《工業(yè)控制系統(tǒng)信息安全專刊（第二輯）》