工業(yè)控制系統(tǒng)終端設(shè)備信息安全防護(hù)體系研究

閆 飛

（中國核電工程有限公司，北京 100840）

0 引言

近些年，全球核電產(chǎn)業(yè)在能源需求持續(xù)增加、全球經(jīng)濟(jì)逐步復(fù)蘇、環(huán)境問題日益復(fù)雜等諸多背景的推動下，逐漸從日本福島核事故的沉寂中走出，呈現(xiàn)出回升態(tài)勢，根據(jù)IAEA公布的《2050年能源、電力和核電預(yù)測》報告，在高值情況下，預(yù)計到2030年和2050年，核電發(fā)電量在全球總發(fā)電量中的占有率將會達(dá)到13.5%和12.1%[1]。在全球核電產(chǎn)業(yè)復(fù)蘇的同時，工業(yè)控制系統(tǒng)信息安全問題正在嚴(yán)重威脅核電的安全[2]：2003年美國俄亥俄州DavisBesse核電站遭遇名為“監(jiān)獄”的病毒襲擊，導(dǎo)致核電站安全監(jiān)控系統(tǒng)整整癱瘓了5小時；2010年伊朗布什爾核電站遭受名為“震網(wǎng)”電腦病毒的毀滅性打擊，離心機(jī)部分功能失效，致使工廠出現(xiàn)物理損壞；德國Gundremmingen核電站的計算機(jī)系統(tǒng)遭受網(wǎng)絡(luò)攻擊，為防止不測，核電站被迫停止運行等一系列工控系統(tǒng)的安全事件表明，一直以來被認(rèn)為相對安全的工業(yè)控制系統(tǒng)已經(jīng)成為黑客的攻擊目標(biāo)，特別是工業(yè)控制網(wǎng)絡(luò)中的終端設(shè)備極易成為敵人的入侵入口，與此同時，由于核電行業(yè)除了滿足電力需求之外，關(guān)乎國家的戰(zhàn)略安全，一旦破壞會對社會、民眾、環(huán)境帶來不可預(yù)計的后果。因此，核電產(chǎn)業(yè)相關(guān)的信息安全問題一定要加以重視。

本文以工業(yè)控制網(wǎng)絡(luò)中的終端設(shè)備信息安全防范作為研究對象，對工業(yè)控制系統(tǒng)的概念、終端設(shè)備面臨的威脅、終端設(shè)備信息安全防護(hù)體系設(shè)計原則及構(gòu)架和運行過程進(jìn)行闡述。

1 工業(yè)控制系統(tǒng)基本概念及終端威脅分析

1.1 工業(yè)控制系統(tǒng)基本概念

工業(yè)控制系統(tǒng)（ICS，Industrial Control System）是一類用于工業(yè)生產(chǎn)控制系統(tǒng)的簡稱，主要包括監(jiān)視控制與數(shù)據(jù)采集系統(tǒng)、過程控制系統(tǒng)、分布式控制系統(tǒng)、可編程邏輯控制器以及其他相關(guān)配置系統(tǒng)[3]。據(jù)統(tǒng)計，國內(nèi)80%的關(guān)鍵基礎(chǔ)設(shè)施部署并依賴于ICS[4]，是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分。其中，終端是系統(tǒng)的具體實施、維護(hù)、監(jiān)控單元，主要包括上位機(jī)、工程師站、操作員站、服務(wù)器等終端。

1.2 工業(yè)控制系統(tǒng)終端設(shè)備信息安全威脅分析

隨著中國制造2025和工業(yè)4.0的全面推進(jìn)，工業(yè)化與信息化的融合趨勢越來越明顯。工業(yè)控制系統(tǒng)逐步從封閉走向開放，從單機(jī)走向互聯(lián)，越來越多的協(xié)議、通用軟硬件被應(yīng)用到工業(yè)控制系統(tǒng)中，但是伴隨而來的病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散，特別是系統(tǒng)中的終端設(shè)備因為數(shù)量較多、部署較為分散、被接觸和使用人員屬性較為復(fù)雜等特征，易被不法分子作為攻擊工業(yè)控制系統(tǒng)的主要入口，而終端設(shè)備直接關(guān)系到系統(tǒng)的最終實施，一旦遭受攻擊，會直接導(dǎo)致生產(chǎn)停滯、財產(chǎn)損失、甚至人員傷亡的嚴(yán)重后果。因此，終端設(shè)備的信息安全問題要引起足夠的重視，其潛在的威脅主要包括[5]：

1）控制系統(tǒng)面臨病毒攻擊的風(fēng)險。傳統(tǒng)工業(yè)系統(tǒng)是封閉系統(tǒng)，也稱單機(jī)系統(tǒng)，不用考慮聯(lián)網(wǎng)情況。當(dāng)時病毒入侵工業(yè)控制系統(tǒng)的方式主要是通過外圍設(shè)備與控制系統(tǒng)直接連接，將外圍設(shè)備中的病毒植入到控制系統(tǒng)中，入侵方式比較單一?，F(xiàn)在隨著工業(yè)“互聯(lián)網(wǎng)+”的推進(jìn)，IT和OT實現(xiàn)互聯(lián)，必然導(dǎo)致一批系統(tǒng)和設(shè)施暴露，使病毒入侵控制系統(tǒng)的方式大大增加。同時大量工控系統(tǒng)漏洞、攻擊方法可以通過互聯(lián)網(wǎng)等多種渠道獲取，許多技術(shù)分析報告給出了網(wǎng)絡(luò)攻擊步驟、攻擊代碼甚至攻擊工具等詳細(xì)信息，極易被黑客、商業(yè)競爭對手等不法分子利用。

2）移動存儲介質(zhì)使用風(fēng)險大。終端設(shè)備由于其封閉性，更普遍使用U盤、移動硬盤等移動存儲設(shè)備傳遞數(shù)據(jù)，但是由于系統(tǒng)漏洞多、升級慢，其遭受攻擊的可能性更大，如Stuxnet震網(wǎng)病毒即通過此種途徑傳播，一旦病毒入侵，就會在內(nèi)網(wǎng)迅速復(fù)制傳播，感染整個控制網(wǎng)絡(luò)。

3）缺乏對用戶操作、網(wǎng)絡(luò)行為的記錄及審核。現(xiàn)實環(huán)境中通常缺乏針對工業(yè)控制系統(tǒng)的安全日志審計及配置變更管理，導(dǎo)致安全事故的分析難以進(jìn)行。這是因為部分工業(yè)控制系統(tǒng)可能不具備審計功能或者雖有日志審計功能但系統(tǒng)的性能要求決定了它不能開啟審計功能所造成的結(jié)果。同時，目前的IT安全審計產(chǎn)品因缺乏對工業(yè)控制協(xié)議的解析能力而不能直接用于工業(yè)控制系統(tǒng)中。

2 工業(yè)控制系統(tǒng)終端設(shè)備信息安全防護(hù)體系設(shè)計原則及方案

2.1 工業(yè)控制系統(tǒng)終端設(shè)備信息安全防護(hù)體系設(shè)計原則

中國的核安全標(biāo)準(zhǔn)體系相對較為完善，依托的國家法律主要有《中華人民共和國環(huán)境保護(hù)法》《中華人民共和國放射性污染防治法》等；國務(wù)院行政法規(guī)為HAF系列，主要有《中華人民共和國民用核設(shè)施安全監(jiān)督管理條例》HAF001、《中華人民共和國核材料管制條例》HAF501、《核電廠核事故應(yīng)急管理條例》HAF002、《民用核安全設(shè)備監(jiān)督管理條例 500號令》等；指導(dǎo)性文件主要是核安全導(dǎo)則HAD，與核電廠數(shù)字儀控系統(tǒng)相關(guān)的有通用系列HAF003/質(zhì)保類導(dǎo)則、HAD102/01核電廠設(shè)計總的安全原則、HAD102/10核電廠保護(hù)系統(tǒng)及有關(guān)設(shè)備、HAD102/14核電廠安全有關(guān)儀表和控制系統(tǒng)、HAD102/16核動力廠基于計算機(jī)的安全重要系統(tǒng)軟件、HAD102/17核動力廠安全評價與驗證等。控制系統(tǒng)設(shè)計應(yīng)以上述法律和文件為指導(dǎo)思想，構(gòu)建集技術(shù)、管理于一體的全面的安全防御體系。

2.2 工業(yè)控制系統(tǒng)終端設(shè)備信息安全防護(hù)體系設(shè)計方案

工業(yè)控制系統(tǒng)終端信息安全防護(hù)體系主要包含3個部分：主機(jī)防護(hù)系統(tǒng)、網(wǎng)絡(luò)管理平臺和應(yīng)用信譽(yù)庫，其基本構(gòu)架如圖1所示。其中，主機(jī)防護(hù)系統(tǒng)可以識別、阻止任何白名單外的程序、腳本運行，對通過網(wǎng)絡(luò)、U盤等傳入系統(tǒng)的病毒、木馬、惡意程序具有阻止運行、阻止傳播、分析識別的能力，同時可以關(guān)閉無關(guān)的主機(jī)外設(shè)通道，有效防止無線連接情況下的數(shù)據(jù)外泄；網(wǎng)絡(luò)管理平臺統(tǒng)一管理工業(yè)控制系統(tǒng)內(nèi)部所有主機(jī)防護(hù)客戶端，并收集、匯總、更新、同步單獨客戶端的黑白名單數(shù)據(jù)庫，統(tǒng)一管理企業(yè)消息推送，統(tǒng)一管理企業(yè)自建可信應(yīng)用信譽(yù)庫，并與本地工業(yè)防火墻聯(lián)動；應(yīng)用信譽(yù)庫利用漏洞挖掘技術(shù)、智能分析技術(shù)建立的全球性應(yīng)用信譽(yù)系統(tǒng)，可有效分析不同操作系統(tǒng)、不同應(yīng)用廠家、不同工業(yè)行業(yè)的應(yīng)用可信性，并針對不同行業(yè)、不同應(yīng)用場景形成配置模板，能方便、有效的適配各種工作場景。

終端設(shè)備信息安全防護(hù)體系部署位置如圖2所示，在工控網(wǎng)絡(luò)內(nèi)部每臺工程師站、操作員站、服務(wù)器等設(shè)備部署防護(hù)體系，其運行機(jī)制主要包括事前部署、事中監(jiān)督和事后審計。

圖1 控制系統(tǒng)信息安全防護(hù)體系總框圖Fig.1 General block diagram of information security protection system for control system

1）事前部署。防護(hù)體系運行之前，首先對終端設(shè)備進(jìn)行權(quán)責(zé)明確，確保工作站系統(tǒng)只有特定的人員才可以操作，支持分權(quán)分域設(shè)計，對員工的操作記錄記入日志服務(wù)器供事后審計；黑白名單的建立可通過自動掃描、軟件安裝跟蹤、軟件升級跟蹤、自定義添加等手段生成；對于對外接口如USB接口、光驅(qū)、串口等接口上的操作可由管理員配置，實現(xiàn)記錄和審計；建立系統(tǒng)內(nèi)部的可信應(yīng)用信譽(yù)庫，為企業(yè)可信應(yīng)用提供認(rèn)證、下載和升級服務(wù)，可防止被惡意軟件感染的工作軟件通過U盤拷貝等方式在企業(yè)內(nèi)傳播，管理員可以進(jìn)行應(yīng)用的推薦、強(qiáng)制安裝或卸載等操作。企業(yè)針對運行特定任務(wù)的工作站，可以綜合運用多種方法配置白名單，最后將白名單和控制策略等保存為模板，相同工作站可以一鍵式調(diào)用，減少配置工作量。

2）事中監(jiān)督。系統(tǒng)運行過程中，只允許運行白名單中的程序、腳本和插件，惡意軟件/病毒/未授權(quán)安裝的軟件等都被阻止運行，軟件的變動都被記錄和審計，對異常行為數(shù)據(jù)、非法卸載、停止本軟件的應(yīng)用程序、服務(wù)及驅(qū)動，可根據(jù)策略配置進(jìn)行告警、提示或阻止，防止系統(tǒng)被篡改和植入后門。監(jiān)控和報告關(guān)鍵配置文件，以及關(guān)鍵注冊表項的更改，可以由管理員定制添加；只有經(jīng)過認(rèn)證的特定移動設(shè)備才可以在特定的主機(jī)上運行，根據(jù)策略執(zhí)行是否允許所有或特定移動存儲設(shè)備操作，可細(xì)分為允許讀、允許寫、允許讀寫；可配置禁止USB存儲設(shè)備自動執(zhí)行，防止惡意程序利用漏洞自動運行。日志、告警記錄：豐富、全面的日志記錄，可以根據(jù)策略記錄允許執(zhí)行的管理員、應(yīng)用程序名、時間、證書、公司名等；如果不允許執(zhí)行，記錄管理員、應(yīng)用程序名、時間、失敗原因；記錄違反安全策略的行為。支持syslog接口，可以將日志輸出到第三方日志服務(wù)器。

圖2 控制系統(tǒng)終端設(shè)備防護(hù)體系部署框圖Fig.2 Control system terminal equipment protection system deployment block diagram

3）事后審計。系統(tǒng)根據(jù)策略記錄被允許執(zhí)行的管理員、應(yīng)用程序名、時間、證書、公司名等，如果不被允許執(zhí)行，記錄管理員、應(yīng)用程序名、時間、失敗原因以及違反安全策略的行為，同時支持將記錄信息輸出到第三方服務(wù)器，以供后期檢查和分析；系統(tǒng)可以將記錄信息與大數(shù)據(jù)安全關(guān)聯(lián)，對系統(tǒng)內(nèi)的日志和警告信息進(jìn)行綜合分析，深度挖掘安全事件，如某款不在白名單中的軟件在多臺工作站試圖安裝，某個賬號在多臺終端試圖登錄等，生成安全事件警告，并定期輸出企業(yè)安全度檢查報告；系統(tǒng)會定期生成企業(yè)安全態(tài)勢分析報表，對近期企業(yè)安全事件、風(fēng)險和管理進(jìn)行分析和匯報。

3 結(jié)論

本文全面分析了當(dāng)前工控系統(tǒng)中終端設(shè)備安全防護(hù)的特點和難點，針對終端設(shè)備面臨的信息安全風(fēng)險，從主機(jī)防護(hù)系統(tǒng)、網(wǎng)絡(luò)管理平臺和應(yīng)用信譽(yù)庫3個方面分析，形成較為完整的信息安全防護(hù)體系，對相關(guān)行業(yè)控制領(lǐng)域的信息安全防護(hù)的建設(shè)具有借鑒意義。