2015年工业控制系统信息安全态势分析

　　2015年，工业控制系统信息安全总体形势并不乐观。其一，工业控制系统面临的安全威胁持续增长，工控安全漏洞仍处高发状态，针对工控网络的APT攻击明显增加，已对工业生产运行造成“实质性”影响。其二，工业领域虽已关注工控系统的信息安全问题，但受限于工业环境特殊性、安全防护技术成熟度、基层人员安全意识等多种因素的限制，目前我国工业控制系统的信息安全防护水平相对前几年状况并未好转。其三，随着“互联网+”、物联网、智能制造、智慧城市、车联网等各种创新应用不断发展和深入，工业控制系统未来面临网络攻击风险将进一步加大。

　　一、2015年工控安全漏洞与安全事件依然突出

　　通过对国家信息安全漏洞库(CNNVD)的数据进行分析，2015年工控安全漏洞呈现以下几个特点：

　　1.工控安全漏洞披露数量居高不下，总体呈递增趋势。受2010年“震网病毒”事件影响，工控信息安全迅速成为安全领域的焦点。国内外掀起针对工控安全漏洞的研究热潮，因此自2010年以后工控漏洞披露数量激增，占全部数量的96%以上。随着国内外对工控安全的研究逐渐深入，以及工控漏洞的公开披露开始逐渐制度化、规范化，近几年漏洞披露数量趋于稳定。

　　2.工控核心硬件漏洞数量增长明显。尽管在当前已披露的工控系统漏洞中软件漏洞数量仍高居首位，但近几年工控硬件漏洞数量增长明显，所占比例有显著提高。例如，2010年工控硬件漏洞占比不足10%，但是2015年其占比高达37.5%。其中，工控硬件包括可编程逻辑控制器(PLC)、远程终端单元(RTU)、智能仪表设备(IED)及离散控制系统(DCS)等。

　　3.漏洞已覆盖工控系统主要组件，主流工控厂商无一幸免。无论是国外工控厂商(如西门子、施耐德、罗克韦尔等)还是国内工控厂商(研华)，其产品普遍存在安全漏洞，且许多漏洞很难修补。在2015年新披露的工控漏洞中，西门子、施耐德、罗克韦尔、霍尼韦尔产品的漏洞数量分列前四位。

　　二、工控信息安全标准需求强烈，标准制定工作正全面推进

　　尽管工控信息安全问题已得到世界各国普遍重视，但在工业生产环境中如何落实信息安全管理和技术却没有切实可行的方法，工控信息安全防护面临着“无章可循”，工控信息安全标准已迫在眉睫。当前，无论是国外还是国内，工控信息安全标准的需求非常强烈，标准制定工作也如火如荼在开展，但工控系统的特殊性导致目前工控安全技术和管理仍处探索阶段，目前绝大多数标准正处于草案或征求意见阶段，而且在设计思路上存在较为明显的差异，这充分反映了目前不同人员对工控信息安全标准认识的不同，因此工控信息安全标准的制定与落地任重道远。

　　1.国外工控信息安全标准建设概况

　　IEC 62443(工业自动化控制系统信息安全)标准是当前国际最主要的工控信息安全标准，起始于2005年，但至今标准制定工作仍未结束，特别是在涉及到系统及产品的具体技术要求方面尚有一段时日。

　　此外，美国在工控信息安全标准方面也在不断推进。其国家标准技术研究院NIST早在2010年发布了《工业控制系统安全指南》(NIST SP800-82)，并2014年发布了修订版2，对其控制和控制基线进行了调整，增加了专门针对工控系统的补充指南。在奥巴马政府发布美国总统第13636号行政令《提高关键基础设计网络安全》后，NIST也随即发布了《关键基础设施网络安全框架》，提出“识别→保护→检测→响应→恢复”的总体框架。

　　2.国内工控信息安全标准建设概况

　　在国内，两个标准化技术委员会都在制定工控信息安全标准工作，分别是：全国信息安全标准化技术委员会(SAC/TC260)，以及全国工业过程测量与控制标准化技术委员会(SAC/TC 124)。

　　其中，由TC260委员会组织制定的《工业控制系统现场测控设备安全功能要求》和《工业控制系统安全控制应用指南》处于报批稿阶段，《工业控制系统安全管理基本要求》、《工业控制系统安全检查指南》、《工业控制系统风险影响等级划分规范》、《工业控制系统安全防护技术要求和测试评价方法》和《安全可控信息系统(电力系统)安全指标体系》正在制定过程中，并且在2015年新启动了《工业控制系统产品信息安全通用评估准则》、《工业控制系统漏洞检测技术要求》、《工业控制系统网络监测安全技术要求和测试评价方法》、《工业控制网络安全隔离与信息交换系统安全技术要求》、《工业控制系统网络审计产品安全技术要求》、《工业控制系统风险评估实施指南》等标准研制工作。

　　TC124委员会组织制定的工控信息安全标准工作也在如火如荼进行。2014年12月，TC124委员会发布了《工业控制系统信息安全》(GB/T 30976-2014)，包括两个部分内容：评估规范和验收规范。另外，TC124委员会等同采用了IEC 62443中的部分标准，包括《工业通信网络网络和系统安全术语、概念和模型》(JB/T 11961-2014，等同采用IEC/TS 62443-1-1：2009)、《工业过程测量和控制安全网络和系统安全》(JB/T 11960-2014，等同采用IEC PAS 62443-3：2008)、《工业通信网络网络和系统工业自动化和控制系统信息安全技术》(JB/T 11962-2014，等同采用IEC/TR 62443-3-1：2009)，此外对IEC62443-2-1：2010标准转标工作已经进入报批稿阶段，并正在计划对IEC 62443-3-3：2013进行转标工作。除此之外，TC124委员会组织制定的集散控制系统(DCS)安全系列标准和可编程控制器(PLC)安全要求标准也已经进入征求意见稿后期阶段。

　　由于不同行业的工业控制系统差异很大，因此我国部分行业已经制定或正在研究制定适合自身行业特点的工控信息安全标准。2014年，国家发改委发布了第14号令《电力监控系统安全防护规定》，取代原先的《电力二次系统安全防护规定》(电监会[2005]5号)，以此作为电力监控系统信息安全防护的指导依据，同时原有配套的防护方案也进行了相应的更新。在城市轨道交通领域，上海申通地铁集团有限公司2013年发布了《上海轨道交通信息安全技术架构》(沪地铁信[2013]222号文)，并在2015年以222号文为指导文件发布了企业标准《轨道交通信息安全技术建设指导意见》(2015，试行)。同时，北京市轨道交通设计研究院有限公司于2015年牵头拟制国家标准草案《城市轨道交通工业控制系统信息安全要求》。在石油化工领域，2015年由石化盈科牵头拟制《中石化工业控制系统信息安全要求》等。

　　三、工控安全防护技术正迅速发展并在局部开始试点，但离大规模部署和应用有一定差距

　　当前许多信息安全厂商和工控自动化厂商纷纷研究工业控制系统的信息安全防护技术并开发相应产品，近几年出现了一系列诸如工控防火墙、工控异常监测系统、主机防护软件等产品并在部分企业进行试点应用。比较有代表性的工控安全防护产品及特点如下：

　　1.工控防火墙 防火墙是目前网络边界上最常用的一种安全防护设备，主要功能包括访问控制、地址转换、应用代理、带宽和流量控制等。相对于传统的IT防火墙，工控防火墙不但需要对TCP/IP协议进行安全过滤，更需要对工控应用层协议进行深度解析和安全过滤，如OPC、Modbus TCP、EtherNet/IP、DNP3、S7、Profinet、FINS等。只有做到工控应用层协议的深度检测，包括控制指令识别、操作地址和操作参数提取等，才能真正阻止那些不安全的控制指令及数据。

　　2.工控安全监测系统我国现有工业控制系统网络普遍呈现出“无纵深”、“无监测”、“无防护”特点，工控安全监测系统正是针对上述问题而快速发展起来的技术。它通过数据镜像方式采集大量工控网络数据并进行分析，最终发现各种网络异常行为、黑客攻击线索等。利用该系统，相关人员能够了解工控网络实时通信状况，及时发现潜在的攻击前兆、病毒传播痕迹以及各类网络异常情况，同时，由于该系统是以“旁路”方式接入工控网络中，不会对生产运行造成不良影响，因此更容易在工控系统这种特殊环境下进行部署和推广。

　　3.主机防护产品在工业生产过程中，人员能够通过工程师站或操作员站对PLC、DCS控制器等设备进行控制，从而实现阀门关闭、执行过程改变等操作。这些工程师站、操作员站等主机系统就变得十分重要，一旦出现问题，比如感染计算机病毒等，就会对正常生产造成较大影响。近年来发生的由于工程师站或操作员站感染计算机病毒最终导致控制通信中断从而影响生产的报道屡见不鲜。加强这些重要主机系统的安全防护，尤其是病毒防护至关重要。但是，传统的基于杀毒软件的防护机制在工控系统中面临着很多挑战，其中最严重的就是在工控网络这样一个封闭的网络环境中，杀毒软件无法在线升级。另外，杀毒软件对未知病毒、变异病毒也无能为力。在此情况下，基于白名单的防护技术开始出现。由于工控系统在建设完成投入运行后，其系统将基本保持稳定不变，应用单一、规律性强，因而很容易获得系统合法的“白名单”。通过这种方式就能够发现由于感染病毒或者攻击而产生的各种异常状况。

　　4.移动介质管控技术在工控网络中，由于工控系统故障进行维修，或者由于工艺生产逻辑变更导致的工程逻辑控制程序的变更，需要在上位机插入U盘等外来移动介质，这必然成为工控网络的一个攻击点。例如，伊朗“震网”病毒就是采用U盘摆渡方式，对上位机(即WinCC主机)进行了渗透攻击，从而最终控制了西门子PLC，造成了伊朗核设施损坏的严重危害后果。针对上述情况，一些针对U盘管控的技术和原型产品开始出现，包括专用U盘安全防护工具、USB漏洞检测工具等。

　　总之，针对工控系统安全防护需求及工控环境特点，许多防护技术和产品正在快速研发中，甚至在部分企业进行试点应用。但是，由于这些技术和产品在稳定性、可靠性等方面还未经严格考验，能否适用于工业环境的高温、高湿、粉尘情况还未可知，再加上工控系统作为生产系统，一旦出现故障将会造成不可估量的财产损失甚至人员伤亡，用户不敢冒然部署安全防护设备，因此目前还没有行业大规模使用上述防护技术和产品。

　　四、主要对策建议

　　针对2015年工控信息安全总体情况，提出以下对策建议：

　　1.进一步强化工控信息安全领导机构，充分发挥组织管理职能。

　　2.对工控新建系统和存量系统进行区别对待。对于工控新建系统而言，要将信息安全纳入总体规划中，从安全管理和安全技术两方面着手提升新建系统的安全保障能力，对关键设备进行安全选型，在系统上线运行前进行风险评估和渗透测试，及时发现安全漏洞并进行修补，避免系统投入生产后无法“打补丁”的情况。对于大量存量系统而言，应在不影响生产运行的情况下，通过旁路安全监测、外边界保护等方式，形成基本的工控安全状况监测和取证分析能力，彻底扭转现阶段对工控网络内部状况一无所知、面对工控病毒攻击束手无策的局面。

　　3.大力推进工控安全防护技术在实际应用中“落地”，鼓励主要工控行业用户进行试点应用，并对那些实践证明已经成熟的技术和产品在全行业进行推广。

　　4.建立工控关键设备的安全测评机制，防止设备存在高危漏洞甚至是“后门”等重大隐患。

　　《中国信息安全》2016年第04期