工业控制系统安全分析及解决方案

工业控制系统安全分析及解决方案

作者：向登宁马增良

来源：《信息安全与技术》2013年第11期

【摘要】工业控制系统安全是信息安全领域关注的重点之一，解决工控系统安全问题面临着重大挑战。本文从工控平台、网络、安全策略、管理流程等方面对工业控制系统的安全性进行了分析，并针对工业控制系统的不同层次提出了相应的解决方案。

【关键词】工业控制系统；SCADA；安全防护；解决方案

1 引言

现代工业控制系统（ICS）包括数据采集系统（SCADA），分布式控制系统（DCS），程序逻辑控制（PLC）以及其他控制系统等，目前已应用于电力、水力、石化、医药、食品以及汽车、航天等工业领域，成为国家关键基础设施的重要组成部分，关系到国家的战略安全。为此，《国家信息安全产业“十二五”规划》特别将工业控制系统安全技术作为重点发展的关键技术之一。

与传统基于TCP/IP协议的网络与信息系统的安全相比，我国ICS的安全保护水平明显偏低，长期以来没有得到关注。大多数ICS在开发时，由于传统ICS技术的计算资源有限，在设计时只考虑到效率和实时等特性，并未将安全作为一个主要的指标考虑。随着信息化的推动和工业化进程的加速，越来越多的计算机和网络技术应用于工业控制系统，在为工业生产带来极大推动作用的同时，也带来了ICS的安全问题，如木马、病毒、网络攻击造成信息泄露和控制指令篡改等。工业基础设施中关键ICS系统的安全事件会导致出现：（1）系统性能下降，影响系统可用性；（2）关键控制数据被篡改或丧失；（3）失去控制；（4）严重的经济损失；（5）环境灾难；（6）人员伤亡；（7）破坏基础设施；（8）危及公众安全及国家安全。

据权威工业安全事件信息库RISI（Repository of Security Incidents）的统计，截止2011年10月，全球已发生200余起针对工业控制系统的攻击事件。2001年后，通用开发标准与互联网技术的广泛使用，使得针对ICS系统的攻击行为出现大幅度增长，ICS系统对于信息安全管理的需求变得更加迫切。

典型工业控制系统入侵事件：

（1） 2007年，攻击者入侵加拿大的一个水利SCADA控制系统，通过安装恶意软件破坏了用于取水调度的控制计算机；

（2） 2008年，攻击者入侵波兰某城市的地铁系统，通过电视遥控器改变轨道扳道器，导致4节车厢脱轨；

（3） 2010年，“网络超级武器”Stuxnet病毒通过针对性的入侵ICS系统，严重威胁到伊朗布什尔核电站核反应堆的安全运营；

（4） 2011年，黑客通过入侵数据采集与监控系统SCADA，使得美国伊利诺伊州城市供水系统的供水泵遭到破坏。

2 工业控制系统的安全分析

分析可以发现，造成工业控制系统安全风险加剧的主要原因有两方面。

首先，传统工业控制系统的出现时间要早于互联网，它需要采用专用的硬件、软件和通信协议，设计上基本没有考虑互联互通所必须考虑的通信安全问题。

其次，互联网技术的出现，导致工业控制网络中大量采用通用TCP/IP技术，工业控制系统与各种业务系统的协作成为可能，愈加智能的ICS网络中各种应用、工控设备以及办公用PC系统逐渐形成一张复杂的网络拓扑。另一方面，系统复杂性、人为事故、操作失误、设备故障和自然灾害等也会对ICS造成破坏。在现代计算机和网络技术融合进ICS后，传统ICP/IP 网络上常见的安全问题已经纷纷出现在ICS之上。例如用户可以随意安装、运行各类应用软件、访问各类网站信息，这类行为不仅影响工作效率、浪费系统资源，而且还是病毒、木马等恶意代码进入系统的主要原因和途径。以Stuxnet蠕虫为例，其充分利用了伊朗布什尔核电站工控网络中工业PC与控制系统存在的安全漏洞（LIK文件处理漏洞、打印机漏洞、RPC漏洞、WinCC漏洞、S7项目文件漏洞以及Autorun.inf漏洞）。

2.1 安全策略与管理流程的脆弱性

追求可用性而牺牲安全，这是很多工业控制系统存在普遍现象，缺乏完整有效的安全策略与管理流程是当前我国工业控制系统的最大难题，很多已经实施了安全防御措施的ICS网络仍然会因为管理或操作上的失误，造成ICS系统出现潜在的安全短板。例如，工业控制系统中的移动存储介质的使用和不严格的访问控制策略。

作为信息安全管理的重要组成部分，制定满足业务场景需求的安全策略，并依据策略制定管理流程，是确保ICS系统稳定运行的基础。参照NERCCIP、ANSI/ISA-99、IEC62443等国际标准，目前我国安全策略与管理流程的脆弱性表现为：（1）缺乏安全架构与设计；（2）缺乏ICS的安全策略；（3）缺乏ICS安全审计机制；（4）缺乏针对ICS的业务连续性与灾难恢复计划；（5）缺乏针对ICS配置变更管理；（6）缺乏根据安全策略制定的正规、可备案的安全流程（移动存储设备安全使用流程与规章制度、互联网安全访问流程与规章制度）；（7）

缺乏ICS的安全培训与意识培养；（8）缺乏人事安全策略与流程（人事招聘、离职安全流程与规章制度、ICS安全培训和意识培养课程）。

2.2 工控平台的脆弱性

由于ICS终端的安全防护技术措施十分薄弱，所以病毒、木马、黑客等攻击行为都利用这些安全弱点，在终端上发生、发起，并通过网络感染或破坏其他系统。事实是所有的入侵攻击都是从终端上发起的，黑客利用被攻击系统的漏洞窃取超级用户权限，肆意进行破坏。注入病毒也是从终端发起的，病毒程序利用操作系统对执行代码不检查一致性弱点，将病毒代码嵌入到执行代码程序，实现病毒传播。更为严重的是对合法的用户没有进行严格的访问控制，可以进行越权访问，造成不安全事故。

目前，多数ICS网络仅通过部署防火墙来保证工业网络与办公网络的相对隔离，各个工业自动化单元之间缺乏可靠的安全通信机制，数据加密效果不佳，工业控制协议的识别能力不理想，加之缺乏行业标准规范与管理制度，工业控制系统的安全防御能力十分有限。例如基于DCOM编程规范的OPC接口几乎不可能使用传统的IT防火墙来确保其安全性，在某企业的SCADA系统应用中，需要开放使用OPC通讯接口，在对DCOM进行配置后，刻毒虫病毒（计算机频繁使用U盘所感染）利用Windows系统的MS08-67漏洞进行传播，造成Windows 系统频繁死机。

另一种容易忽略的情况是，由于不同行业的应用场景不同，其对于功能区域的划分和安全防御的要求也各不相同，而对于利用针对性通信协议与应用层协议的漏洞来传播的恶意攻击行为更是无能为力。更为严重的是工业控制系统的补丁管理效果始终无法令人满意，考虑到ICS 补丁升级所存在的运行平台与软件版本限制，以及系统可用性与连续性的硬性要求，ICS系统管理员绝不会轻易安装非ICS设备制造商指定的升级补丁。与此同时，工业系统补丁动辄半年的补丁发布周期，也让攻击者有较多的时间来利用已存在漏洞发起攻击。以Stuxnet蠕虫为例，其恶意代码可能对Siemens的CPU315-2和CPU417进行代码篡改，而Siemens的组态软件（WinCC、Step7、PCS7）对Windows的系统补丁有着严格的兼容性要求，随意的安装补丁可能会导致软件的某些功能异常。

2.3 网络的脆弱性

ICS的网络脆弱性一般来源于软件的漏洞、错误配置或者ICS网络管理的失误。另外，ICS与其他网络互连时缺乏安全边界控制，也是常见的安全隐患。当前ICS网络主要的脆弱性集中体现在几个方面。

（1）网络配置的脆弱性（有缺陷的网络安全架构、未部署数据流控制、安全设备配置不当、网络设备的配置未存储或备份、口令在传输过程中未加密、网络设备采用永久性的口令、采用的访问控制不充分）。