工業控制系統信息安全風險及防護研究

蒲樂

摘 要：工業控制系統安全已經成為企業信息安全的重要組成部分，特別是工業控制系統聯網更成為關注的熱點。本文全面分析工業控制系統的安全現狀與漏洞，并提出檢查方法，對建立工業控制系統信息安全防護體系作了理論與操作性研究。

關鍵詞：工業控制系統；安全；漏洞；風險分析、0 引言

工業控制系統（ICS）是綜合運用信息技術、電子技術、通信技術和計算機技術等，對現場設備進行檢測控制，實現工業生產過程自動化的應用系統。ICS在冶金、電力、石化、水處理、鐵路、食品加工等行業，以及軍工的航空、航天、船舶、艦艇、潛艇等領域的自動化生產管理系統中都得到了廣泛地應用。

1 工業控制系統安全現狀

與傳統信息系統安全需求不同，ICS設計需要兼顧應用場景與控制管理等多方面因素，并且優先考慮系統的高可用性和業務連續性。鑒于ICS的特定設計理念，缺乏有效的工業安全防御和數據通信保密措施是很多ICS所面臨的共同問題。

傳統的ICS多為車間/廠區局域網ICS，系統特點包括專有網絡、專有操作系統、無以太網絡、沒有因特網的鏈接。從網絡安全角度，系統是安全的。

現今的ICS開始與互聯網或辦公網直接/間接互聯，形成從控制網到信息網的大系統ICS，系統特點包括以太網無處不在、無線設備、遠程配置和監控、Windows和Linux等流行操作系統。從網絡安全角度，系統存在巨大安全隱患，很容易被黑客攻擊。

2 工業控制系統安全漏洞及風險分析

隨著工業信息化進程的快速推進，物聯網技術開始在工控領域廣泛應用，實現了系統間的協同和信息分享，極大地提高了企業的綜合效益。與此同時，暴露在互聯網等公共網絡中的工業控制系統也必將面臨病毒、木馬、黑客入侵、拒絕服務等傳統的信息安全威脅，而且由于工業控制系統多被應用在電力、交通、石油化工、核工業等國家重要行業中，其安全事故造成的社會影響和經濟損失會更為嚴重。

2.1工業控制系統安全漏洞

工業控制系統安全漏洞包括：策略與規則漏洞、平臺漏洞、網絡漏洞。

2.1.1 策略與規則漏洞

缺乏工業控制系統的安全策略、缺乏工業控制系統的安全培訓與意識培養、缺乏工業控制系統設備安全部署的實施方法、缺乏工業控制系統的安全審計、缺乏針對工業控制系統的配置變更管理。

2.1.2 平臺漏洞

平臺漏洞包括：平臺配置漏洞、平臺硬件漏洞、平臺軟件漏洞、惡意軟件攻擊。

（1）平臺配置漏洞

包括關鍵配置信息未備份、關鍵信息未加密存儲、沒有采用口令或口令不滿足長度和復雜度要求、口令泄露等。

（2）平臺硬件漏洞

包括關鍵系統缺乏物理防護、未授權的用戶能夠物理訪問設備、對工業控制系統不安全的遠程訪問。

（3）平臺軟件漏洞

包括拒絕服務攻擊（DOS攻擊）、采用不安全的工控協議、采用明文傳輸、未安裝入侵檢測系統與防護軟件等。

（4）惡意軟件攻擊

包括未安裝防病毒軟件等。

2.1.3 網絡漏洞

（1）網絡配置漏洞

包括有缺陷的網絡安全架構、口令在傳輸過程中未加密、未采取細粒度的訪問控制策略、安全設備配置不當。

（2）網絡硬件漏洞

包括網絡設備的物理防護不充分、未采取有效的措施保護物理端口、關鍵網絡設備未備份。

（3）網絡邊界漏洞

包括未定義網絡安全邊界、未部署防火墻或配置不當、未采取信息流向控制措施。

2.2 工業控制系統安全風險分析

電力故障、自然災害、軟硬件故障、黑客攻擊、惡意代碼都會對ICS系統產生影響。其中，電力故障、自然災害和軟/硬件故障，屬于信息安全范疇之外，而非法操作、惡意代碼和黑客攻擊作為信息安全威脅的主要形式，往往很難被發現或控制，對ICS網絡安全運行的威脅和影響也最大。

（1）利用USB協議漏洞在U盤中植入惡意代碼

U盤內部結構：U盤由芯片控制器和閃存兩部分組成，芯片控制器負責與PC的通訊和識別，閃存用來做數據存儲；閃存中有一部分區域用來存放U盤的固件，控制軟硬件交互，固件無法通過普通手段進行讀取。

USB協議漏洞：USB設備設計標準并不是USB設備具備唯一的物理特性進行身份驗證，而是允許一個USB設備具有多個輸入輸出設備的特征。

這樣就可以通過U盤固件逆向重新編程，將U盤進行偽裝，偽裝成一個USB鍵盤，并通過虛擬鍵盤輸入集成到U盤固件中的惡意代碼而進行攻擊。

（2）利用組態軟件數據庫漏洞進行攻擊

ICS系統采用的組態軟件，缺乏安全防護措施，往往公開訪問其實時數據庫的途徑，以方便用戶進行二次開發，從而可利用此漏洞，遠程/本地訪問數據庫，獲取全部數據庫變量，選取關鍵數據進行訪問并篡改，從而達到攻擊目的。

2.3 工業控制系統信息安全風險總結

病毒：可引起工控設備或網絡故障，破壞生產過程數據或影響網絡正常服務，如蠕蟲病毒等。

緩沖區溢出攻擊：利用設計漏洞進行的攻擊。

拒絕服務攻擊：惡意造成拒絕服務，造成目標系統無法正常工作或癱瘓，或造成網絡阻塞。

網絡嗅探：可捕獲主機所在網絡的所有數據包，一旦被惡意利用，獲取了目標主機的關鍵信息則可對目標主機實施進一步攻擊。

IP欺騙：可通過技術手段利用TCP/IP協議缺陷，偽裝成被信任主機，使用被信任主機的源地址與目標主機進行會話，在目標主機不知的情況下實施欺騙行為。

口令破解：攻擊者若通過一定手段取得用戶口令，提升權限進入目標系統，對目標主機進行完全控制。

3 工業控制系統安全檢查

3.1 檢查對象

包括工藝、工程分析、控制系統信息安全后果分析、安全防護能力分析等。

3.2 檢測方式

包括訪談、現場測試、離線測試、測試床或另外搭建測試環境測試。

3.3 檢測內容

應包括信息流轉過程中遇到的一切鏈路、設備（硬件程序、模塊組件）、人員等。

管理檢查需要準備的資料：信息安全相關管理制度和安全策略；設備保密管理制度；系統運行管理制度、產品供應商（或者代理商）、系統集成商等提供的資質證明、授權證明、合格證書等。

技術檢查需要準備的資料：招標合同技術規格書；詳細設備清單；設備配置及使用說明；網絡拓撲圖；輸入輸出端口信息；DNC服務器配置及使用說明；設備的連接說明、功能說明、操作手冊。

運維檢查需要準備的資料：運行維護管理制度、訪問控制端口設置情況記錄、運行維護報告、應急預案方案、應急演練記錄。

3.4 檢測重點

重點檢查輸入輸出端口使用、設備安全配置、運維安全措施的落實情況，同時檢查資產管理情況，訪問控制策略、備份及應急管理等方面。

4 結束語

通過上面的分析與研究，工業控制系統還存在許多的漏洞和安全風險，只有充分認識到這些漏洞，才能利用信息安全手段不斷的處置這些漏洞，使風險降到最低。同時我們應該認識到，工業控制系統信息安全技術是一門不斷深入發展的技術，隨著工業控制系統廣泛應用和不斷發展，其信息安全必將面臨更加嚴峻的挑戰，隨之信息安全技術的研究也必將快速推進。