1　工业控制系统信息安全产生的背景工业控制系统在发展的过程中，经历了三个方面的演进。

    第一方面的演进，即工业控制系统技术由专用性向通用性演进：工控系统伴随着IT技术的发展而发展，且大量采用IT通用软硬件，如PC、操作系统、数据库系统、以太网、TCP/IP协议等；

    第二方面的演进，即工业控制系统由封闭性向开放性演进：互联网、物联网技术的发展，工业化与信息化工业控制系统信息安全理念与方法论的深度融合，使工控系统不再是一个独立的系统，由封闭性向开放性演进。

    第三方面的演进，即工业控制系统由硬系统向软系统演进：工业控制系统由机械化、电气化、电子化、软件智能化方向不断演进。即工业控制系统不断地由硬系统向软系统演进。

    总之，工业控制系统在不断的发展过程中，打破了专用性、封闭性、硬系统，不断向信息化、智能化方向演进。由此把信息系统的安全问题延伸到了工业控制系统当中，并且由于客体的重要性和脆弱性，使得信息系统安全问题在工业控制系统中进一步放大。

    启明星辰作为国内资深的信息系统安全公司，具有先进的信息系统安全理念和最佳的安全实践。启明星辰从2010着手研究工业控制系统信息安全问题，定位了“工业控制系统安全是IT系统安全的延伸，但又具有自身显著的特点”论点，提出了工业控制系统信息安全“四化”理念和整体解决方案，力求为国家工业控制系统信息安全做出自己的贡献。

    2　工业控制系统面临的风险

    工业控制系统技术上和管理上的脆弱性，加上来自于不同威胁源带来的威胁，给工业控制系统从不同途径带来了不同的风险。

    2.1　工业控制系统技术上的脆弱性

    首先，工业控制系统从机械化、电气化、电子化、软件智能化逐步发展而来，在设计的过程中专注于系统的可用性问题，对工业控制系统的安全性考虑不足，给现代智能化工业控制系统安全性带来了先天不足。其次，考虑到工业控制系统兼容性的问题，工业控制系统也无法及时安装系统补丁，无法有效使用杀毒软件。再次，工控系统的信息安全防护落后于IT系统，使得IT系统的安全问题延伸到工控系统，并得以放大。最后，随着工业以太网技术的发展，实现了以太网从管理网到生产网一网到底，使入侵行为在逻辑上畅通无阻，把脆弱的工控系统暴露无遗。

    总之，工业控制系统先天信息安全技术措施的不足，和后天信息安全技术措施的滞后，导致工控系统相当脆弱。

    2.2　工业控制系统管理上的脆弱性

    工业控制系统信息安全不仅是一个技术问题，更是一个管理问题，需要完善的工业控制系统信息安全政策、标准、制度和安全意识来支撑。IT系统经过多年的发展，已经具备完善的安全管理体系。工业控制系统管理可以借鉴IT系统信息安全管理体系，结合自身的特点，建立工业控制系统信息安全管理体系。

    工控系统的信息安全管理，与IT安全管理有许多不同，易用性是工控系统信息安全管理考虑的第一要素。相对信息系统用户来说，工控系统用户信息安全意识更加薄弱。急需通过多种途径，如培训、制度、绩效考核等来提升工控系统用户的信息安全意识。

    2.3　工业控制系统的威胁源

    工业控制系统面临的威胁多种多样，但可以根据其属性，划分为内部威胁、外部威胁、可用性威胁，由于可用性在工业控制系统中的重要性，所以把可用性威胁也作为一种重要的威胁。从表1可以看出，内部威胁是工控系统面临的主要威胁。当然，因不同的行业、不同的生产企业，威胁源造成的风险等级会有比较大的差异。

    2.4　工业控制系统风险引入的途径

    工业控制系统风险引入的途径，大致可以分为以下几种：（1）来自互联网入侵者的攻击，这种攻击如果对工业控制系统造成影响，对于攻击者来说，后果很严重，一般攻击者对工业控制系统的恶意攻击慎之又慎；（2）来自企业内部有意或无意的攻击；（3）远程网络劫持攻击；（4）现场操作人员误操作或恶意操作；（5）现场运维人员带来的风险；（6）远程运维人员带来的风险。如图1所示。
 

    3　工业控制系统信息安全理念

    工业控制系统信息安全属于信息系统安全与自动化控制系统的交叉学科，既是信息系统安全的延伸，又具有自身显著的特点。因此，我们基于信息系统安全理念和最佳实践，结合工业控制系统的特点，提出工业控制系统“四化”信息安全理念。

    3.1　工控系统信息安全理念之—“白名单化”所谓“白名单”，就是加注了标识的进程、服务、网络访问行为以及设备等。对于工业控制系统中的PC、服务器的进程、服务的“白名单”可以通过工控终端安全管理系统和手动优化加固来进行；对工业控制系统访问控制“白名单”，可以通过防火墙、工业交换机、工业防火墙等进行通信白名单打造；对于工业控制系统资产“白名单”可以通过资产管理系统来识别非法设备进入工控系统。

    总之，通过为工业控制系统打造“白名单”，使工业控制系统实现系统的可信、网络的可信。
 

    图1　工业控制系统风险引入途径

    3.2　工控系统信息安全理念之——层次化

    工业控制系统中不仅存在工控协议、OPC协议、网络通信协议，而且存在着多种功能层次，如生产过程层、生产监控层、经营管理层。因此，依据工控系统的功能特点，我们提出了“三层结构，二层防护”的方案，在实现的过程中进一步细化为“分层、分域、分等级”。

    第一层的隔离防护，是经营管理层与生产监控层的隔离防护。第一层隔离防护主要完成访问控制、恶意代码过滤、身份鉴别以及入侵检测与审计。

    第二层的隔离防护，是生产监控层与生产过程层之间的隔离防护。第二层防护主要完成工业协议及其指令的白名单过滤，以及工控系统异常行为检测与审计。

    3.3　工控系统信息安全理念之——边缘化

    从工控系统演变过程可以看到，工控系统最初是独立的自动控制系统，但随着信息化的发展，以及智能控制的要求，不断地引入IT技术、互联网技术，从而使工控系统智能化程度越来越高，这样提高了工业生产效率，同时也引入了工业控制系统信息安全问题。因此解决生产过程层周边的信息化安全，即进行“边缘化”，那么工业控制系统的生产过程层也相对安全了。

    因此，工控系统信息安全，需要加强设备控制层以上监控层、业务管理层信息安全，如：SCADA、MES、ERP安全。设备控制层安全大部分由功能安全来保证。

    3.4　工控系统信息安全理念之——透明化

    工业控制系统信息安全主要的特点是要保证工控系统的“可用性”，因此，针对工控系统采取的任何安全措施，都在不影响工控系统“可用性”的前提下进行，也就是说工控系统采取的安全措施必须是“透明化”的。

    工控系统信息安全采取的技术措施、管理措施，不能够降低系统使用者的易用性，安全措施对使用者来说是透明的。

    工控系统信息安全解决方案，不能够降低系统的可用性，尽可能避免系统的延时（如果有延时，必须在可接受的范围之内）。

    4　工控系统信息安全方法论

    基于工控系统信息安全防护理念，从四个维度，提出工业控制系统信息安全解决方法论。如图2所示。

    4.1　工控系统安全防护

    工控系统安全防护的前提是进行分层、分域。一般来说，我们把工控系统进行纵向分层，横向分域，如图4所示。层与层之间依据其不同属性，采取不同的防护措施；依据域的不同属性，采取不同的防护措施。
 

图2　工业控制系统“四化”信息安全理念

图3　工业控制系统纵向分层、横向分域

    4.2　工控系统安全加固

    工控系统在“分层分域”的基础上，需要依据区域的不同属性，赋予不同的等级加固。例如，可以对生产管理区域、生产服务器区域、经验管理区域、管理服务器区域、MES服务器区域进行加固，甚至可以对生产过程层的PLC进行加固。

    4.3　工控系统安全监控

    针对工控系统的监控，需要进行以下三个方面的监控，即可用性监控、工控系统网络行为监控、工控系统指令监控。

    （1）工控系统可用性监控

    工控系统可用性监控主要是监控工业交换机、操作员站、工程师站、应用服务器、数据库、PLC的CPU、MEM、磁盘、端口流量的状态。如图4所示。
 

图4　工控系统可用性监控对象

    （2）工控系统网络行为监控

    工控系统网络行为监控，如图5所示，主要对异常行为、运维行为、恶意行为、异常流量、生产控制行为进行监控，以保障工控系统稳定、持续运行。
 

图5　工控系统网络行为监控

    （3）工控系统指令监控

    工控系统指令监控主要依据生产工艺，结合专家经验，对工控系统指令和参数建立防危系统，以防止违规指令和超限参数的使用。如图6所示。
 

图6　工控系统指令监控

    4.4　工控系统安全运维

    工控系统安全运维分为两个方面，一个方面是对工控系统现场运行维护管理，另一个方面是对工控系统动态监控与静态防护的运行维护管理。

    （1）工控系统现场运维管理

    工控系统现场运维是工控系统风险引入的主要途径之一，现场运维人员很容易把病毒、木马引入脆弱的工控系统，同时，现场运维人员对工控系统数据的上传下载管理，都处于无防护、无监控状态。因此，要保障工控系统安全，必须加强对工控系统现场运维人员的管理。

    （2）工控系统现场动态监控与静态防护的运维管理（如图7所示）

    通过安全加固和安全防护的对工控系统的静态防护，通过指令监控、可用性监控、安全事件监控，实现了对工控系统的动态监控，静态防护与动态防护的有机结合，需要通过运维管理制度、运维管理流程、运维管理人员才能够完成，使工控系统安全保障成为一个有机的整体。
 

图7 工控系统现场动态监控与静态防护的运维管理

    5　结语

    随着全世界范围内各领域工业控制系统信息安全事故越发频繁的发生，人们对工业控制系统信息安全更加关注，工业控制系统信息安全问题亟待解决。本文通过对工业控制系统信息安全需求的切实分析，提出了符合工业控制系统的“四化”安全理念，并基于“四化”理念，从安全加固、安全防护、安全监控、安全运维四个维度提出了工控系统信息安全方法论。

    作者简介

    张晔（1973-），男，本科，现就职于启明星辰集团公司，主要研究方向为工业控制系统信息安全。发明了工业控制系统现场运维审计与管理系统，填补了国内该产品的空白；发明了动态安全保障体系模型和等级保护技术架构模型；在国内首次提出了工控系统信息安全的“四化”理念。

    摘自 工业控制系统信息安全专刊