曾几何时，信息安全与工业控制系统这个“独立王国”还扯不上关系，但2010年的“Stuxnet”病毒事件让人们恍然大悟：原来“独立王国”也有沦陷的时候。于是国家和企业都重视起来，纷纷采取行动，当然，IT 安全从业者也在行动。

本文主要从工控系统信息安全实践和实践中的问题两个方面来谈谈笔者关于在工控安全实践方面的积累和感受。

1　工控系统信息安全实践

1.1　工控信息安全标准

感谢标准相关制定机构以及参与制定的专家们，正是有了这些信息安全标准的制定，信息安全工作才有了方向。虽然工控信息安全标准编制工作国内起步较晚，不过目前也有一些标准可以参考，如：等级保护基本要求、GB/T 30976……使企业开展信息安全工作有“法”可依，有据可查。下面简单介绍等级保护基本要求和GB/T30976两个标准。

（1）等级保护基本要求

等级保护基本要求是我国开展信息安全工作的最重要标准之一，从技术和管理两个方面对信息系统的安全保护能力提出要求。其应用范围较广，适用于信息系统管理组织，信息系统产品厂商，信息系统集成商，信息安全咨询服务企业，第三方信息安全测评机构等。

（2）信息安全标准GB/T30976

GB/T30976标准是新发布的专门针对工控系统的信息安全标准。该标准包括两部分，第一部分从管理、技术能力两个方面对工业控制系统风险的评估、分级进行了规范，也就是提要求。该标准同等级保护基本要求相似，只是侧重点有所不同。第二部分对工业控制系统的信息安全验收过程进行了规范。其分级如表1所示。

表1 信息安全标准 GB/T30976分级

1.2　等级保护在工控系统实践关注点

和利时作为国内工控行业领军企业，也是较早关注工控系统信息安全的企业之一。在之前对工控系统整体信息安全方面的研发实践中主要参考等级保护基本要求。现阶段在工控系统实践中进行等级保护重点关注以下七个方面：工控网络结构、安全隔离、病毒防护、安全审计、身份鉴别、设备自身防护、边界完整性。下面就每个方面做简单介绍。

1.2.1　工控网络结构

图1 工控网络结构

在等级保护基本要求里，其中有一条是对信息系统安全区域划分的要求。跟据等级保护基本要求的特点，以及工控系统的特点，我们可以从纵向和横向两个维度对工控系统网络进行结构的划分，划分的方式可以根据控制系统的情况、环境的不同而不同，不能一概而论。总的原则是纵向分层，横向分区。

例如DCS系统，从纵向来说，可以划分为现场控制层、过程监控层、监督控制层三个层面。如图1所示。

在纵向划分的基础上，在每个层面可以横向再划分成安全区。例如，在现场控制层中，可以根据不同生产线、不同工艺流程进行划分。

在过程监控层中，主要包括现场的操作终端、服务器和工程师站。对于一些大型的DCS系统，可以先按照生产线、生产工艺流程划分成大的域，然后在每个生产线域内再进行划分成为服务器区、操作终端区、工程师站等。

1.2.2　安全隔离安全隔离主要涉及到隔离设备和隔离位置。

（1）主要隔离设备：工控防火墙

工控防火墙一些特点：

·对工控协议支持，如对OPC、ModBus等协议的支持。

·满足工业环境的要求，如电磁干扰、抗震、防尘、绝缘、温/湿度等。

·针对私有协议进行二次开发，现在的工业控制系统很多使用自己的私有协议，需要进行二次开发才能使用。不进行二次开发也就只能进行端口过滤，意义不是很大。

（2）隔离位置

选择什么位置进行隔离，基本可以参考传统信息安全的相关原则，主要基于三个原则：在不同网络边界之间；不同安全区域边界之间以及在控制器前隔离。

工控系统信息安全与传统信息安全的不同就是在控制器前部署工控防火墙。基于两个方面的原因：一是限制访问控制。控制器不是所有终端设备都能访问的，也没必要允许任何设备都可以访问，需要限制有权限的设备才能访问。二是泛洪攻击。虽然目前控制器的处理能力有所提高，但是想比于普通个人电脑，其处理能力还有很大差距，面对广播风暴之类的大量数据包控制器基本还是无能为力。而目前工控系统维护方面碰到的最头疼的问题之一就是广播风暴的问题。工控防火墙部署在控制器之前，可以阻挡大量非法广播包对控制器的影响，减轻控制器的处理负荷，从而保护控制器不受数据包泛洪等的影响。

1.2.3　病毒防护

在工控系统病毒防护中，目前国内同行形成的一种共识就是采用软件白名单方式，是因为：

（1）不需要频繁升级病毒库；

（2）不对进程进行查杀，删除；

（3）只允许在白名单范围内的程序运行；

（4）工控系统安装的程序比较单一、稳定，适合白名单方式的运行机制环境。

1.2.4　安全审计

安全审计包括日志审计和流量监控。网络设备、主机系统的日志收集，审计与传统信息安全一样，用同样的方法、方式就能满足工控系统安全审计。唯一的区别是对工控软件的日志集中收集问题，需要解决两个问题：

（1）集中日志收集的支持；

（2）审计系统对工控软件日志内容，格式的支持（日志字段、警告级别，可能与传统信息安全日志不太一样），需要同工控厂商二次开发。

1.2.5　身份鉴别

（1）措施在工控软件系统方面，身份鉴别采取的措施是：

·双因子鉴别。等保基本要求三级里明确规定，对系统管理用户需要进行双因子身份鉴别，在工控系统中，工程师账户，值班长账户，网络设备管理员等重要账户需要进行双因子鉴别；双因子可以是口令+证书、动态口令等方式。

·单因子鉴别。如操作员账户，用口令就可以了，口令的复杂度需要强一些。

（2）鉴别时机

工控系统中的鉴别时机，在以下三种情况下需要进行身份鉴别：

·登陆工控系统时；

·进行工程下装时；

·重要参数修改时（如发电机转速等）。

1.2.6　设备自身防护

设备自身防护包括三个方面：主机加固、网络设备加固和工控系统自身的防护。

（1）主机操作系统加固

Windows系统使用普遍，使其经常成为被攻击的对象。对Windows的加固主要涉及：

·关闭多余服务；

·安装系统补丁；

·删除多余系统组件；

·开启Windows系统自带防火墙等。

（2）网络设备加固

·关闭不需要的服务，如关闭HTTP/TELNET等；

·限制远程管理地址；

·使用加密方式进行远程管理；

·口令满足复杂度等。

（3）工控系统自身的安全防护

采用合适的软件开发模式，减少软件漏洞。最基本的安全措施包括启用身份鉴别、加强口令复杂度、用户权限控制、日志记录等。

1.2.7　边界完整性

边界完整性包括非授权设备的接入，外部数据输入，无线网络的使用。

（1）非授权设备接入：主要在网络层面，关闭交换机闲置端口，对端口地址进行绑定等方式。

（2）外部数据输入（如升级包等）：进行U盘、光盘等移动介质的管理。使用数据转运系统，所有输入数据，先存放在Linux系统安装的文件服务器中，并进行病毒查杀，工控系统内部终端设备在数据转运系统中读取数据，这样能够避免U盘带有病毒，并且可以在两个不同的系统之间起到保护数据的作用。

（3）无线网络的使用：在DCS系统中基本用不到，而在SCADA系统中经常能用到，如油气田等边远地区，多使用无线信号传输数据，需要考虑到无线信号的安全问题。安全措施主要是对无线信号加密，接入设备的认证等，无线网络和有线网络之间使用工控防火墙或网闸进行完全隔离。

2　实践中出现的问题

在进行工控安全的实践过程中，主要发现了两个方面的问题：一体化和工控安全产品本身的问题。

（1）一体化

这里的一体化，简单来说，是指工控厂商和信息安全厂商的深度合作，这方面目前还比较欠缺。传统的信息安全，安全厂商可能绕开软件系统厂商，直接面对用户。而对于工控系统，用户虽然使用控制系统多年，但很多用户仍然不了解控制系统内部具体通信机制等情况。因此安全厂商需要与工控厂商深度合作，开发适用于工控系统的安全解决方案，经过深入测试，由工控厂商和信息安全厂商联合向客户推广更容易被接受。

（2）工控安全产品

在测试过程中，一些安全产品或多或少地发现了一些问题。

·可靠性

一些产品不满足，如温度、湿度、抗震等工业环境要求，设备自身功能不全，设备运行不稳定等。

·可用性

目前工控安全产品不像传统信息安全产品有多年的使用经验，工控安全产品缺少广泛的试用，有些产品甚至刚开发出来。

（本文整理自“ 2015第四届工业控制系统信息安全峰会”第三站的报告）

作者简介

刘太洪（1978-），男，四川绵阳人，高级安全评估工程师，硕士，现就职于北京和利时系统工程有限公司。主要研究方向为工业控制系统信息安全，从事工业控制系统信息安全研究工作，并先后完成了和利时DCS系统的安全测评、目前市面上主流工业防火墙功能测试等工作。

摘自《工业控制系统信息安全专刊（第二辑）》