工業(yè)控制系統(tǒng)全生命周期網(wǎng)絡(luò)安全防護研究

摘 要：工業(yè)控制系統(tǒng)一般為4層系統(tǒng)結(jié)構(gòu)，其功能和結(jié)構(gòu)與IT系統(tǒng)不同，IT系統(tǒng)的信息安全防護方案不能完全滿足工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全防護要求。針對工業(yè)控制系統(tǒng)結(jié)構(gòu)，提出了對工業(yè)控制系統(tǒng)實施網(wǎng)絡(luò)安全分級防護和全生命周期網(wǎng)絡(luò)安全防護的方案，重點對工業(yè)控制系統(tǒng)5個生命周期階段分別提出了詳細的網(wǎng)絡(luò)安全防護措施。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；網(wǎng)絡(luò)安全；分級防護；全生命周期

中圖分類號：TP393" " 文獻標志碼：A" " 文章編號：1671-0797（2024）09-0017-04

DOI：10.19514/j.cnki.cn32-1628/tm.2024.09.004

0" " 引言

工業(yè)控制系統(tǒng)是由計算機和工業(yè)過程控制部件組成的自動化生產(chǎn)過程控制系統(tǒng)，利用相關(guān)的電子電氣、機械、軟件等設(shè)備來控制生產(chǎn)相關(guān)設(shè)備，按照預(yù)定的規(guī)律運行，以保證生產(chǎn)出合格的產(chǎn)品。目前，工業(yè)控制系統(tǒng)被運用到智慧電網(wǎng)、智慧水利、智慧能源、智慧交通等涉及國計民生的重要領(lǐng)域，用于監(jiān)控工業(yè)流程，提升工業(yè)領(lǐng)域的智能化水平[1]。

工業(yè)控制系統(tǒng)受到網(wǎng)絡(luò)入侵攻擊或者破壞將會導(dǎo)致工業(yè)生產(chǎn)中斷甚至停工，不僅會造成生產(chǎn)效率下降，還會導(dǎo)致安全生產(chǎn)事故，嚴重的甚至會導(dǎo)致商業(yè)機密泄露，給生產(chǎn)企業(yè)帶來不可估量的風險，如2010年“震網(wǎng)病毒”（Stuxnet）事件[2]，2015年烏克蘭電網(wǎng)遭受攻擊引發(fā)大面積停電事件[3]。工業(yè)控制系統(tǒng)的安全更關(guān)系到國家的戰(zhàn)略安全，如何保證工業(yè)控制系統(tǒng)的安全，已引起國家相關(guān)部門的高度重視[4]。

因此，為應(yīng)對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風險，必須對工業(yè)控制系統(tǒng)進行網(wǎng)絡(luò)安全防護研究。

1" " 工業(yè)控制系統(tǒng)結(jié)構(gòu)

如圖1所示，工業(yè)控制系統(tǒng)一般為4層系統(tǒng)結(jié)構(gòu)。

0層：過程接口層，包括由傳感器、變送器、限位開關(guān)、智能儀表以及現(xiàn)場總線系統(tǒng)等組成的測量設(shè)備，也包括由電磁閥、氣動開關(guān)閥、調(diào)節(jié)閥、泵、風機等組成的執(zhí)行器設(shè)備。主要功能為工藝過程參數(shù)測量、控制指令執(zhí)行。

1層：自動控制和保護層，包括控制機柜、服務(wù)器、信號采集模塊、信號輸出模塊、控制處理器模塊、網(wǎng)絡(luò)通信模塊、信號隔離模塊、信號分配模塊、電源模塊等設(shè)備。主要功能為工藝過程參數(shù)測量處理和計算、控制聯(lián)鎖邏輯執(zhí)行、控制指令處理和控制輸出等。

2層：操作和信息管理層，包括操作員站、工程師站、大屏幕等設(shè)備。主要功能是為操作人員監(jiān)督工廠運行狀態(tài)提供操作信息顯示和設(shè)備狀態(tài)顯示，并為操作人員提供設(shè)備控制操作接口。

3層：全廠技術(shù)管理層，包括生產(chǎn)調(diào)度系統(tǒng)、應(yīng)急指揮管理系統(tǒng)。主要功能為生產(chǎn)執(zhí)行管理、生產(chǎn)計劃管理、應(yīng)急事故管理等。

從圖1可以看出，工業(yè)控制系統(tǒng)的功能和結(jié)構(gòu)與IT系統(tǒng)不同。另外，工業(yè)控制系統(tǒng)的安全性并不遵循IT系統(tǒng)信息安全三要素（機密性、完整性和可用性），對工業(yè)控制系統(tǒng)而言可用性至關(guān)重要，其次才考慮機密性[5]，這種不同造成了IT系統(tǒng)的信息安全防護方案不能完全滿足工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全防護要求。

2" " 工業(yè)控制系統(tǒng)安全等級劃分

對工業(yè)控制系統(tǒng)進行安全等級劃分是實施網(wǎng)絡(luò)安全防護的前提。工業(yè)控制系統(tǒng)安全等級劃分一般應(yīng)依據(jù)控制系統(tǒng)的結(jié)構(gòu)、各部分實現(xiàn)的功能的重要程度、責任主體、系統(tǒng)邊界、受到安全威脅后對責任主體和公眾造成的損害程度進行劃分。

根據(jù)圖1中工業(yè)控制系統(tǒng)結(jié)構(gòu)，0層、1層和2層在工業(yè)生產(chǎn)中完成相對獨立的功能，應(yīng)獨立劃分安全等級。根據(jù)執(zhí)行功能的重要程度，對于執(zhí)行安全保護和安全重要功能的系統(tǒng)劃分為高的安全等級，對于執(zhí)行常規(guī)的生產(chǎn)過程控制功能的系統(tǒng)劃分為低的安全等級。3層作為生產(chǎn)技術(shù)管理層，應(yīng)獨立劃分安全等級。

安全等級的劃分還應(yīng)考慮工業(yè)控制系統(tǒng)受到破壞后對責任主體造成的損害和對公眾造成的損害。

工業(yè)控制系統(tǒng)應(yīng)依據(jù)安全等級劃分，實行分級防護，不同安全等級的工業(yè)控制系統(tǒng)分別實施不同的安全防護措施。

3" " 全生命周期的網(wǎng)絡(luò)安全防護

工業(yè)控制系統(tǒng)包括軟件和硬件部件，生命周期可分為如下五個階段：需求階段，設(shè)計階段，制造、安裝和調(diào)試測試階段，運行階段，退役階段。

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護應(yīng)從需求階段到退役階段貫穿整個系統(tǒng)生命周期[6]，并不斷迭代。在不同的階段由不同的責任主體實施網(wǎng)絡(luò)安全防護。在需求階段，實施工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護的責任主體是工業(yè)控制系統(tǒng)的設(shè)計方、最終業(yè)主和相應(yīng)系統(tǒng)的供貨商。在設(shè)計階段，實施網(wǎng)絡(luò)安全防護的責任主體是設(shè)計方和系統(tǒng)供貨商。在制造、安裝和調(diào)試測試階段，實施網(wǎng)絡(luò)安全防護的責任主體是設(shè)計方、加工制造商、供貨商、安裝和調(diào)試方。在運行階段，實施網(wǎng)絡(luò)安全防護的責任主體是運營和維護方。在退役階段，實施網(wǎng)絡(luò)安全防護的責任主體是業(yè)主方和設(shè)備拆除方。

3.1" " 需求階段網(wǎng)絡(luò)安全防護

本階段的責任主體是工業(yè)控制系統(tǒng)的設(shè)計方、最終業(yè)主和相應(yīng)系統(tǒng)的供貨商。各個責任主體應(yīng)建立網(wǎng)絡(luò)安全計劃，內(nèi)容至少應(yīng)包括組織結(jié)構(gòu)、責任分工、風險和脆弱性識別、網(wǎng)絡(luò)安全縱深防御策略以及防護措施的總體說明。網(wǎng)絡(luò)安全計劃在需求階段建立，貫穿整個項目生命周期，應(yīng)定期評估并及時升版，保持網(wǎng)絡(luò)安全計劃的有效性。

需求階段要進行風險和脆弱性識別和分析。設(shè)計方、最終業(yè)主和相應(yīng)系統(tǒng)的供貨商應(yīng)確定保護對象，結(jié)合外部網(wǎng)絡(luò)安全形勢和對象的結(jié)構(gòu)特征，評估保護對象存在的漏洞，分析存在的潛在風險和威脅，針對每一項潛在風險和威脅制定初步的風險應(yīng)對措施。

需求階段要進行安全等級劃分，對工業(yè)控制系統(tǒng)的每一部分確定網(wǎng)絡(luò)安全等級，不同的網(wǎng)絡(luò)安全等級對應(yīng)不同的網(wǎng)絡(luò)安全防護要求。

在風險分析和安全等級劃分成果的基礎(chǔ)上，確定詳細的網(wǎng)絡(luò)安全防護需求。

3.2" " 設(shè)計階段網(wǎng)絡(luò)安全防護

本階段的責任主體是設(shè)計方和系統(tǒng)供貨商。將網(wǎng)絡(luò)安全防護需求作為輸入，通過軟件、硬件和系統(tǒng)的手段構(gòu)建防護措施使保護對象免受網(wǎng)絡(luò)安全威脅。防護措施可分為兩大類：行政措施和技術(shù)措施。

行政措施通過法規(guī)、制度、工作規(guī)范等約束網(wǎng)絡(luò)安全防護相關(guān)人員的行為，從而減少風險的發(fā)生。

技術(shù)措施包括加固措施和防范措施。加固措施消除保護對象自身的漏洞，關(guān)閉不必要的功能和接口，提高對網(wǎng)絡(luò)安全威脅的抵御能力。防范措施通過風險識別和隔離，盡早探知風險并采取措施，同時采用隔離手段減少保護對象暴露在風險威脅環(huán)境下的概率。

主要的防護措施有：

1）提供安全的物理環(huán)境：為安裝工業(yè)控制系統(tǒng)設(shè)備的廠房提供所要求的適宜的溫度、濕度和能源供應(yīng)。防火、防盜、防自然災(zāi)害，防止非授權(quán)人員隨意進入。

2）提供安全的通信網(wǎng)絡(luò)：對工業(yè)控制系統(tǒng)進行分區(qū)域控制。特別是大型工業(yè)控制系統(tǒng)，應(yīng)根據(jù)功能和責任主體劃分不同的安全域，不同的安全域之間設(shè)置隔離設(shè)備，限制網(wǎng)絡(luò)安全風險威脅的擴散范圍。隔離工業(yè)控制系統(tǒng)與其他系統(tǒng)之間的網(wǎng)絡(luò)，如圖2所示，對于與工業(yè)控制系統(tǒng)之間有雙向數(shù)據(jù)交換的其他第三方系統(tǒng)采用防火墻等隔離設(shè)備隔離；對于3層生產(chǎn)技術(shù)管理系統(tǒng)采用單向的隔離設(shè)備，使數(shù)據(jù)只能由工業(yè)控制系統(tǒng)向3層傳輸。另外，采用訪問控制措施，限制非授權(quán)的網(wǎng)絡(luò)和設(shè)備接入工業(yè)控制系統(tǒng)的通信網(wǎng)絡(luò)。

3）提供安全的計算環(huán)境：采用身份鑒別防止非授權(quán)人員和系統(tǒng)的訪問。采用防病毒措施和入侵檢測，防范惡意代碼。設(shè)計數(shù)據(jù)備份和恢復(fù)系統(tǒng)，在工業(yè)控制系統(tǒng)受到破壞后能迅速恢復(fù)運行。

4）加強安全建設(shè)管理：工業(yè)控制系統(tǒng)由眾多復(fù)雜部件構(gòu)成，應(yīng)加強對工業(yè)控制系統(tǒng)供貨商和分包商的管理，選擇規(guī)范的、有資質(zhì)的分包商。規(guī)范供應(yīng)鏈的管理，避免采購有設(shè)計缺陷和漏洞的設(shè)備。

5）采用縱深防御措施：設(shè)計多重防御手段，使重要的關(guān)鍵工業(yè)控制系統(tǒng)設(shè)備處于防御屏障的核心。

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護對工業(yè)控制系統(tǒng)來說是非功能需求，往往與功能需求存在沖突。因此，在設(shè)計階段應(yīng)予以重點考慮和關(guān)注，進行綜合權(quán)衡和協(xié)調(diào)。

3.3" " 制造、安裝和調(diào)試測試階段網(wǎng)絡(luò)安全防護

制造、安裝和調(diào)試測試由專業(yè)人員完成，工作人員只有獲得授權(quán)才能進入廠房進行設(shè)備作業(yè)，不同的人員應(yīng)分區(qū)域授權(quán)作業(yè)。

制造和安裝需要確保工業(yè)控制系統(tǒng)和設(shè)備按照預(yù)先的設(shè)計進行加工、制造和集成，避免不經(jīng)意間引入額外的缺陷。調(diào)試測試通過具體的驗證手段核實最終交付的系統(tǒng)能夠防御所預(yù)期的網(wǎng)絡(luò)安全風險，達到預(yù)期的網(wǎng)絡(luò)安全等級，具備了預(yù)期的網(wǎng)絡(luò)安全防護能力。

3.4" " 運行階段網(wǎng)絡(luò)安全防護

本階段的責任主體是運營和維護方。進入運行階段后，工業(yè)控制系統(tǒng)具備了所設(shè)計預(yù)期的網(wǎng)絡(luò)安全防護能力。通過行政手段和技術(shù)手段限制了非授權(quán)人員的訪問控制，但維護人員仍需關(guān)注網(wǎng)絡(luò)安全防護威脅。

在運行階段，系統(tǒng)的維護人員應(yīng)定期對工業(yè)控制系統(tǒng)進行巡視和檢測，檢查系統(tǒng)的非授權(quán)訪問情況和遭受的網(wǎng)絡(luò)攻擊和破壞。運行階段周期長，隨著新的網(wǎng)絡(luò)安全威脅的出現(xiàn)以及未被發(fā)現(xiàn)的漏洞的暴露，當初設(shè)計的網(wǎng)絡(luò)安全防御措施可能不能防御新的風險，因此，需要基于當前的網(wǎng)絡(luò)安全形勢和新暴露的漏洞缺陷進行風險分析、識別和評估，并對工業(yè)控制系統(tǒng)面臨的網(wǎng)絡(luò)安全風險采取補救措施。

3.5" " 退役階段網(wǎng)絡(luò)安全防護

本階段的責任主體是業(yè)主方和設(shè)備拆除方。網(wǎng)絡(luò)安全防護與安裝階段相同，退役作業(yè)工作人員只有獲得授權(quán)才能進入廠房進行設(shè)備作業(yè)，不同的人員應(yīng)分區(qū)域授權(quán)作業(yè)。

退役作業(yè)完成后應(yīng)清除其他在運行系統(tǒng)與退役系統(tǒng)之間的訪問控制接口和授權(quán)，同時清除退役系統(tǒng)中的運行數(shù)據(jù)和敏感數(shù)據(jù)。另外，需對在運行系統(tǒng)進行風險分析、識別和評估，并決定是否對在運行系統(tǒng)采取補救措施。

4" " 結(jié)束語

本文分析了典型工業(yè)控制系統(tǒng)結(jié)構(gòu)，指出了傳統(tǒng)IT系統(tǒng)的信息安全防護方案不能完全滿足工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全防護要求的原因，簡要說明了工業(yè)控制系統(tǒng)安全等級劃分的方法和劃分依據(jù)，并從工業(yè)控制系統(tǒng)全生命周期的角度出發(fā)，對于每一個生命周期階段，分別提出了網(wǎng)絡(luò)安全防護方案。

[參考文獻]

[1] 左卓君.基于單分類器的工業(yè)控制系統(tǒng)入侵檢測方法[D].西安：西安電子科技大學(xué)，2020.

[2] LANGNER R.Stuxnet：Dissecting a Cyberwarfare Weapon[J].IEEE Security amp; Privacy，2011，9（3）：49-51.

[3] SUN H，ZHANG N N，LIU Y Y.Evaluation of Competi-tiveness of Black Energy Industry Cluster in Xinjiang Based on AHP[J].Soft Seience，2011（10）：12-16.

[4] 王文宇，劉玉紅.工控系統(tǒng)安全威脅分析及防護研究[J].信息安全與通信保密，2012（2）：33-35.

[5] 殷天野.工業(yè)控制系統(tǒng)入侵威脅與攻擊模型研究[D].上海：上海交通大學(xué)，2017.

[6] 朱琳，陸明.信息系統(tǒng)建設(shè)者視角下生命周期安全管理研究[J].信息安全研究，2020，6（12）：1139-1144.

收稿日期：2024-01-04

作者簡介：丁長富（1977—），男，河南南陽人，高級工程師，研究方向：自動化控制系統(tǒng)設(shè)計和儀表設(shè)計。