11月12日，待測伊朗彈道導彈收到控制指令后突然爆炸。事故經(jīng)媒體披露，迅速引發(fā)各國政府與安全機構的廣泛關注，對真兇的質(zhì)疑直指曾攻擊布什爾核電站工業(yè)控制系統(tǒng)的Stuxnet 蠕蟲病毒。截至目前，事故真相與細節(jié)并未公布，但工業(yè)控制系統(tǒng)長期存在的風險隱患卻已是影響國家關鍵基礎設施穩(wěn)定運行重要因素，甚至威脅到國家安全戰(zhàn)略實施。為此工信部于10 月份發(fā)布文件，要求加強國家主要工業(yè)領域基礎設施控制系統(tǒng)與SCADA系統(tǒng)的安全保護工作。

　　本文將從IT 領域熟悉的信息安全管理體系的基本理論和潛在威脅的角度，借鑒國際上有關工業(yè)控制系統(tǒng)安全保護要求及標準，分析當前我國工業(yè)控制系統(tǒng)存在的風險，并提出一套基于ICS 系統(tǒng)的威脅發(fā)現(xiàn)與識別模型。

　　一、工業(yè)控制系統(tǒng)介紹

　　工業(yè)控制系統(tǒng)（Industrial Control Systems, ICS），是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件，共同構成的確保工業(yè)基礎設施自動化運行、過程控制與監(jiān)控的業(yè)務流程管控系統(tǒng)。其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED），以及確保各組件通信的接口技術。

　　目前工業(yè)控制系統(tǒng)廣泛的應用于我國電力、水利、污水處理、石油天然氣、化工、交通運輸、制藥以及大型制造行業(yè)，其中超過80%的涉及國計民生的關鍵基礎設施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè)，工業(yè)控制系統(tǒng)已是國家安全戰(zhàn)略的重要組成部分。

　　一次典型的ICS 控制過程通常由控制回路、HMI、遠程診斷與維護工具三部分組件共同完成，控制回路用以控制邏輯運算，HMI 執(zhí)行信息交互，遠程診斷與維護工具確保出現(xiàn)異常的操作時進行診斷和恢復。

圖1：典型的ICS 操作過程

　　SCADA（Supervisory Control And Data Acquisition）數(shù)據(jù)采集與監(jiān)控系統(tǒng)，是工業(yè)控制系統(tǒng)的重要組件，通過與數(shù)據(jù)傳輸系統(tǒng)和HMI 交互，SCADA 可以對現(xiàn)場的運行設備進行實時監(jiān)視和控制，以實現(xiàn)數(shù)據(jù)采集、設備控制、測量、參數(shù)調(diào)節(jié)以及各類信號報警等各項功能。目前，SCADA 廣泛應用于水利、電力、石油化工、電氣化、鐵路等分布式工業(yè)控制系統(tǒng)中。

圖2：SCADA 系統(tǒng)總體布局

　　DCS（Distributed Control Systems）分布式控制系統(tǒng)，廣泛應用于基于流程控制的行業(yè)，例如電力、石化等行業(yè)分布式作業(yè)，實現(xiàn)對各個子系統(tǒng)運行過程的整理管控。

　　PLC（Programmable Logic Controllers）可編程邏輯控制器，用以實現(xiàn)工業(yè)設備的具體操作與工藝控制。通常SCADA 或DCS 系統(tǒng)通過調(diào)用各PLC 組件來為其分布式業(yè)務提供基本的操作控制，例如汽車制造流水線等。

　　二、工業(yè)控制系統(tǒng)安全現(xiàn)狀

　　與傳統(tǒng)的信息系統(tǒng)安全需求不同，ICS 系統(tǒng)設計需要兼顧應用場景與控制管理等多方面因素，以優(yōu)先確保系統(tǒng)的高可用性和業(yè)務連續(xù)性。在這種設計理念的影響下，缺乏有效的工業(yè)安全防御和數(shù)據(jù)通信保密措施是很多工業(yè)控制系統(tǒng)所面臨的通病。

　　據(jù)權威工業(yè)安全事件信息庫RISI（Repository of Security Incidents）統(tǒng)計，截止2011年10 月，全球已發(fā)生200 余起針對工業(yè)控制系統(tǒng)的攻擊事件。2001 年后，通用開發(fā)標準與互聯(lián)網(wǎng)技術的廣泛使用，使得針對ICS 系統(tǒng)的攻擊行為出現(xiàn)大幅度增長，ICS 系統(tǒng)對于信息安全管理的需求變得更加迫切。

圖3：1982-2009 工業(yè)系統(tǒng)攻擊事件

　　縱觀我國工業(yè)控制系統(tǒng)的整體現(xiàn)狀，西門子、洛克韋爾、IGSS 等國際知名廠商生產(chǎn)的工控設備占據(jù)主動地位，由于缺乏核心知識產(chǎn)權和相關行業(yè)管理實施標準，在愈發(fā)智能開放的ICS 系統(tǒng)架構與參差不齊的網(wǎng)絡運維現(xiàn)實前，存儲于控制系統(tǒng)、數(shù)據(jù)采集與監(jiān)控系統(tǒng)、現(xiàn)場總線以及相關聯(lián)的ERP、CRM、SCM 系統(tǒng)中的核心數(shù)據(jù)、控制指令、機密信息隨時可能被攻擊者竊取或篡改破壞。作為一項復雜而繁瑣的系統(tǒng)工程，保障工業(yè)系統(tǒng)的信息安全除了需要涉及工業(yè)自動化過程中所涉及到的產(chǎn)品、技術、操作系統(tǒng)、網(wǎng)絡架構等因素，企業(yè)自身的管理水平更直接決定了ICS 系統(tǒng)的整體運維效果。遺憾的是當前我國網(wǎng)絡運維現(xiàn)實，決定了國內(nèi)ICS 系統(tǒng)的安全運維效果并不理想，安全風險存在于管理、配置、架構的各個環(huán)節(jié)。

　　借鑒IT 安全領域ISO27001 信息安全管理體系和風險控制的成功經(jīng)驗，綜合工業(yè)控制網(wǎng)絡特點以及工業(yè)環(huán)境業(yè)務類型、組織職能、位置、資產(chǎn)、技術等客觀因素，對工業(yè)控制系統(tǒng)構建ICS 信息安全管理體系，是確保工業(yè)控制系統(tǒng)高效穩(wěn)定運行的理論依據(jù)。

　　三、工業(yè)控制系統(tǒng)安全風險分析

　　1、風險分析

　　工業(yè)控制系統(tǒng)是我國重要基礎設施自動化生產(chǎn)的基礎組件，安全的重要性可見一斑，然而受到核心技術限制、系統(tǒng)結構復雜、缺乏安全與管理標準等諸多因素影響，運行在ICS系統(tǒng)中的數(shù)據(jù)及操作指令隨時可能遭受來自敵對勢力、商業(yè)間諜、網(wǎng)絡犯罪團伙的破壞。根據(jù)工信部《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》要求，我國工業(yè)控制系統(tǒng)信息安全管理的重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。這些領域中的工業(yè)控制系統(tǒng)一旦遭到破壞，不僅會影響產(chǎn)業(yè)經(jīng)濟的持續(xù)發(fā)展，更會對國家安全造成巨大的損害。

　　典型工業(yè)控制系統(tǒng)入侵事件：

　　·2007年，攻擊者入侵加拿大的一個水利SCADA 控制系統(tǒng)，通過安裝惡意軟件破壞了用于取水調(diào)度的控制計算機；

　　·2008年，攻擊者入侵波蘭某城市的地鐵系統(tǒng)，通過電視遙控器改變軌道扳道器，導致4 節(jié)車廂脫軌；

　　·2010年，“網(wǎng)絡超級武器”Stuxnet 病毒通過針對性的入侵ICS 系統(tǒng)，嚴重威脅到伊朗布什爾核電站核反應堆的安全運營；

　　·2011年，黑客通過入侵數(shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA，使得美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。

　　分析可以發(fā)現(xiàn)，造成工業(yè)控制系統(tǒng)安全風險加劇的主要原因有兩方面：

　　首先，傳統(tǒng)工業(yè)控制系統(tǒng)的出現(xiàn)時間要早于互聯(lián)網(wǎng)，它需要采用專用的硬件、軟件和通信協(xié)議，設計上以武力安全為主，基本沒有考慮互聯(lián)互通所必須考慮的通信安全問題。
　
　　其次，互聯(lián)網(wǎng)技術的出現(xiàn)，導致工業(yè)控制網(wǎng)絡中大量采用通用TCP/IP 技術，工業(yè)控制系統(tǒng)與各種業(yè)務系統(tǒng)的協(xié)作成為可能，愈加智能的ICS 網(wǎng)絡中各種應用、工控設備以及辦公用PC 系統(tǒng)逐漸形成一張復雜的網(wǎng)絡拓撲。

　　僅基于工控協(xié)議識別與控制的安全解決方案在兩方面因素的合力下，已無法滿足新形勢下ICS 網(wǎng)絡運維要求，確保應用層安全是當前ICS系統(tǒng)穩(wěn)定運營的基本前提。利用工控設備漏洞、TCP/IP 協(xié)議缺陷、工業(yè)應用漏洞，攻擊者可以針對性的構建更加隱蔽的攻擊通道。以Stuxnet 蠕蟲為例，其充分利用了伊朗布什爾核電站工控網(wǎng)絡中工業(yè)PC 與控制系統(tǒng)存在的安全漏洞（LIK 文件處理漏洞、打印機漏洞、RPC 漏洞、WinCC 漏洞、S7 項目文件漏洞以及Autorun.inf 漏洞），為攻擊者入侵提供了七條隱蔽的通道。

圖4：Stuxnet 蠕蟲病毒傳播的七條途徑

　　2、脆弱性分析

　　工業(yè)控制系統(tǒng)的安全性和重要性直接影響到國家戰(zhàn)略安全實施，但為兼顧工業(yè)應用的場景和執(zhí)行效率，在追求ICS 系統(tǒng)高可用性和業(yè)務連續(xù)性的過程中，用戶往往會被動的降低ICS 系統(tǒng)的安全防御需求。識別ICS 存在的風險與安全隱患，實施相應的安全保障策略是確保ICS 系統(tǒng)穩(wěn)定運行的有效手段。

　　·安全策略與管理流程的脆弱性

　　追求可用性而犧牲安全，這是很多工業(yè)控制系統(tǒng)存在普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程是當前我國工業(yè)控制系統(tǒng)的最大難題，很多已經(jīng)實施了安全防御措施的ICS網(wǎng)絡仍然會因為管理或操作上的失誤，造成ICS 系統(tǒng)出現(xiàn)潛在的安全短板。例如，工業(yè)控制系統(tǒng)中的移動存儲介質(zhì)的使用和不嚴格的訪問控制策略。

　　作為信息安全管理的重要組成部分，制定滿足業(yè)務場景需求的安全策略，并依據(jù)策略制定管理流程，是確保ICS 系統(tǒng)穩(wěn)定運行的基礎。參照NERC CIP、ANSI/ISA-99、IEC 62443等國際標準，目前我國安全策略與管理流程的脆弱性表現(xiàn)為：

　　·缺乏ICS 的安全策略；
　　·缺乏ICS 的安全培訓與意識培養(yǎng)；
　　·缺乏安全架構與設計
　　·缺乏根據(jù)安全策略制定的正規(guī)、可備案的安全流程；
　　·缺乏ICS 安全審計機制；
　　·缺乏針對ICS 的業(yè)務連續(xù)性與災難恢復計劃；
　　·缺乏針對ICS 配置變更管理。

　　※工控平臺的脆弱性

　　隨著TCP/IP 等通用協(xié)議與開發(fā)標準引入工業(yè)控制系統(tǒng)，開放、透明的工業(yè)控制系統(tǒng)同樣為物聯(lián)網(wǎng)、云計算、移動互聯(lián)網(wǎng)等新興技術領域開辟出廣闊的想象空間。理論上絕對的物理隔離網(wǎng)絡正因為需求和業(yè)務模式的改變而不再切實可行。

　　目前，多數(shù)ICS 網(wǎng)絡僅通過部署防火墻來保證工業(yè)網(wǎng)絡與辦公網(wǎng)絡的相對隔離，各個工業(yè)自動化單元之間缺乏可靠的安全通信機制，例如基于DCOM 編程規(guī)范的OPC 接口幾乎不可能使用傳統(tǒng)的IT 防火墻來確保其安全性。數(shù)據(jù)加密效果不佳，工業(yè)控制協(xié)議的識別能力不理想，加之缺乏行業(yè)標準規(guī)范與管理制度，工業(yè)控制系統(tǒng)的安全防御能力十分有限。

　　旨在保護電力生產(chǎn)與交通運輸控制系統(tǒng)安全的國際標準NERC CIP 明確要求，實施安全策略確保資產(chǎn)安全是確保控制系統(tǒng)穩(wěn)定運行的最基本要求。將具有相同功能和安全要求的控制設備劃分到同一區(qū)域，區(qū)域之間執(zhí)行管道通信，通過控制區(qū)域間管道中的通信內(nèi)容是目前工業(yè)控制領域普遍被認可的安全防御措施。

　　另一種容易忽略的情況是，由于不同行業(yè)的應用場景不同，其對于功能區(qū)域的劃分和安全防御的要求也各不相同，而對于利用針對性通信協(xié)議與應用層協(xié)議的漏洞來傳播的惡意攻擊行為更是無能為力。更為嚴重的是工業(yè)控制系統(tǒng)的補丁管理效果始終無法令人滿意，考慮到ICS 補丁升級所存在的運行平臺與軟件版本限制，以及系統(tǒng)可用性與連續(xù)性的硬性要求，ICS 系統(tǒng)管理員絕不會輕易安裝非ICS 設備制造商指定的升級補丁。與此同時，工業(yè)系統(tǒng)補丁動輒半年的補丁發(fā)布周期，也讓攻擊者有較多的時間來利用已存在漏洞發(fā)起攻擊。著名的工業(yè)自動化與控制設備提供商西門子就曾因漏洞公布不及時而飽受質(zhì)疑。

　　據(jù)金山網(wǎng)絡企業(yè)安全事業(yè)部統(tǒng)計，2010-2011 年間，已確認的針對工業(yè)控制系統(tǒng)攻擊，從攻擊代碼傳播到樣本被檢測確認，傳統(tǒng)的安全防御機制通常需要2 個月左右的時間，而對于例如Stuxnet 或更隱蔽的Duqu 病毒，其潛伏期更是長達半年之久。無論是針對工業(yè)系統(tǒng)的攻擊事件，還是更隱蔽且持續(xù)威脅的APT 攻擊行為，基于黑名單或單一特征比對的信息安全解決方案都無法有效防御，更不要說利用0day 漏洞的攻擊行為。而IT 領域廣泛采用的主動防御技術，因為其存在較大的誤殺風險，并不適用于工業(yè)控制系統(tǒng)的高性能作業(yè)。目前，唯有基于白名單機制的安全監(jiān)測技術是被工業(yè)控制系統(tǒng)用戶普遍任何的解決方案。

　　※網(wǎng)絡的脆弱性

　　通用以太網(wǎng)技術的引入讓ICS 變得智能，也讓工業(yè)控制網(wǎng)絡愈發(fā)透明、開放、互聯(lián)，TCP/IP 存在的威脅同樣會在工業(yè)網(wǎng)絡中重現(xiàn)。此外，工業(yè)控制網(wǎng)絡的專屬控制協(xié)議更為攻擊者提供了了解工業(yè)控制網(wǎng)絡內(nèi)部環(huán)境的機會。確保工業(yè)網(wǎng)絡的安全穩(wěn)定運營，必須針對ICS 網(wǎng)絡環(huán)境進行實時異常行為的“發(fā)現(xiàn)、檢測、清除、恢復、審計”一體化的保障機制。當前ICS 網(wǎng)絡主要的脆弱性集中體現(xiàn)為：

　　·邊界安全策略缺失；
　　·系統(tǒng)安全防御機制缺失；
　　·管理制度缺失或不完善；
　　·網(wǎng)絡配置規(guī)范缺失；
　　·監(jiān)控與應急響應制度缺失；
　　·網(wǎng)絡通信保障機制缺失；
　　·無線網(wǎng)絡接入認證機制缺失；
　　·基礎設施可用性保障機制缺失。

　　3、潛在威脅分析

　　作為國家關鍵基礎設施自動化控制的基本組成部分，由于其承載著海量的操作數(shù)據(jù)，并可以通過篡改邏輯控制器控制指令而實現(xiàn)對目標控制系統(tǒng)的攻擊，針對工業(yè)控制網(wǎng)絡的定向攻擊目前正成為敵對勢力和網(wǎng)絡犯罪集團實施滲透攫取利益的重點對象。稍有不慎就有可能對涉及國計民生的重要基礎設施造成損害。可導致ICS 系統(tǒng)遭受破壞的威脅主要有：

　　·控制系統(tǒng)發(fā)生拒絕服務；
　　·向控制系統(tǒng)注入惡意代碼；
　　·對可編程控制器進行非法操作；
　　·對無線AP 進行滲透；
　　·工業(yè)控制系統(tǒng)存在漏洞；
　　·錯誤的策略配置；
　　·人員及流程控制策略缺失。

　　四、工業(yè)控制系統(tǒng)安全管理體系

　　信息化與工業(yè)化深度融合的今天，無論是關乎國計民生的電力、石化、水利、鐵路、民航等基礎保障行業(yè)，還是逐漸成規(guī)模的物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新型行業(yè)，交互已成ICS 系統(tǒng)的重要特性。互聯(lián)與交互體驗提升的同時，威脅也在與日俱增。

　　目前我國ICS 系統(tǒng)的信息安全管理仍存在諸多問題，例如，大型制造行業(yè)普遍存在因設備使用時間較長，安全防護能力缺失等問題；而在諸如石化電力等重要基礎設施保障行業(yè)，又因為應用和新技術的更替，海量的分布式控制組件與業(yè)務單元都讓電力控制網(wǎng)絡變得愈發(fā)復雜，在可用性面前安全防御機制難免出現(xiàn)疏漏。因此，在參照國際流行標準以及我國工業(yè)控制系統(tǒng)所存在的具體安全風險等因素，一種基于終端可用性和安全性兼顧的控制系統(tǒng)安全解決方案被提出，用以從威脅入侵的根源滿足工業(yè)控制系統(tǒng)的安全需求。

　　基于終端的工業(yè)系統(tǒng)安全防御體系

　　工業(yè)網(wǎng)絡中同時存在保障工業(yè)系統(tǒng)的工業(yè)控制網(wǎng)絡和保障生產(chǎn)經(jīng)營的辦公網(wǎng)絡，考慮到不同業(yè)務終端的安全性與故障容忍程度的不同，對其防御的策略和保障措施應該按照等級進行劃分，實施分層次的縱深防御體系。

　　按照業(yè)務職能和安全需求的不同，工業(yè)網(wǎng)絡可劃分為以下幾個區(qū)域：

　　·滿足辦公終端業(yè)務需要的辦公區(qū)域；
　　·滿足在線業(yè)務需要DMZ 區(qū)域；
　　·滿足ICS 管理與監(jiān)控需要的管理區(qū)域；
　　·滿足自動化作業(yè)需要的控制區(qū)域。

　　針對不同區(qū)域間數(shù)據(jù)通信安全和整體信息化建設要求，實施工業(yè)控制網(wǎng)絡安全建設，首先需要針對ICS 網(wǎng)絡管理的關鍵區(qū)域?qū)嵤┛煽康倪吔绨踩�策略，實現(xiàn)分層級的縱深安全防御策略，抵御各種已知的攻擊威脅。

圖5：工業(yè)控制系統(tǒng)邊界防御思想

　　※辦公網(wǎng)絡終端的安全防御

　　辦公網(wǎng)絡相對于工業(yè)控制網(wǎng)絡是開放，其安全防御的核心是確保各種辦公業(yè)務終端的安全性和可用性，以及基于終端使用者的角色實施訪問控制策略。辦公網(wǎng)絡也是最容易受到攻擊者攻擊并實施進一步定向攻擊的橋頭堡，實施有效的辦公網(wǎng)絡終端安全策略可最大限度的抵御針對ICS 系統(tǒng)的破壞。辦公網(wǎng)絡通用終端安全防御能力建設包括：

　　·病毒、木馬等威脅系統(tǒng)正常運行惡意軟件防御能力；
　　·基于白名單的惡意行為發(fā)現(xiàn)與檢測能力；
　　·終端應用控制與審計能力；
　　·基于角色的訪問控制能力；
　　·系統(tǒng)漏洞的檢測與修復能力；
　　·基于系統(tǒng)異常的恢復能力；
　　·外設的管理與控制能力；
　　·基于終端行為與事件的審計能力；
　　·終端安全的應急響應能力。

　　※工業(yè)控制網(wǎng)絡終端的安全防御

　　工業(yè)控制網(wǎng)絡具有明顯的獨有特性，其安全防御的核心是確保控制系統(tǒng)與監(jiān)控系統(tǒng)的可用性，以及針對ICS 系統(tǒng)與管理員、ICS 系統(tǒng)內(nèi)部自動化控制組件間的訪問控制策略。同時需要確保控制系統(tǒng)在發(fā)生異常或安全事件時，能夠在不影響系統(tǒng)可用性的情況下，幫助管理員快速定位安全故障點。

　　在確保控制系統(tǒng)可用性的前提下，工業(yè)控制網(wǎng)絡終端安全防御能力建設需要做到如下幾個方面：

　　·基于行業(yè)最佳實踐標準的合規(guī)保證能力；
　　·基于白名單策略的控制終端惡意軟件防御能力；
　　·基于白名單的惡意未知行為發(fā)現(xiàn)與檢測能力；
　　·基于ICS 協(xié)議的內(nèi)容監(jiān)測能力；
　　·基于控制系統(tǒng)的漏洞及威脅防御能力；
　　·基于可用性的最小威脅容忍模型建設能力；
　　·基于事件與行為的審計能力；
　　·基于可用性的系統(tǒng)補丁修復能力；
　　·終端安全的應急響應能。

　　※工業(yè)網(wǎng)絡終端安全管控平臺建設

　　充分了解控制終端與業(yè)務終端的安全能力建設規(guī)范與功能，是構建高性能安全事件審計與管理運維平臺模型的前提，也是實現(xiàn)工業(yè)網(wǎng)絡中對分布式控制系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、監(jiān)控系統(tǒng)的統(tǒng)一監(jiān)控、預警和安全響應的基礎平臺。安全管控平臺不僅是實施工業(yè)數(shù)據(jù)采集和監(jiān)控內(nèi)容的匯聚中心，基于ICS 安全威脅的知識庫仿真模塊，更可實時對檢測到的異常或未授權訪問進行核查評估，并將風險通過短信、郵件等方式對管理員告警。

　　為確保安管平臺的可用性和時效性，可基于云計算與虛擬化技術對管理平臺進行建設，目前較成熟的私有云安全技術、虛擬終端管理技術、數(shù)據(jù)災備技術，都可為ICS 系統(tǒng)統(tǒng)一管理提供良性的技術支撐。在客戶端系統(tǒng)資源優(yōu)化方面，先進的私有云平臺可將信息終端繁重的功能負載遷移到云端執(zhí)行，為系統(tǒng)的關鍵應用提供寶貴的計算資源，實現(xiàn)工業(yè)系統(tǒng)調(diào)度與計算資源的最大利用。

　　另一方面，工業(yè)系統(tǒng)安全管理體系還應該具備應用行為分析與學習能力，例如對系統(tǒng)性能的異常檢測模型、工業(yè)系統(tǒng)協(xié)議的內(nèi)容識別模型、OPC 組件的調(diào)用規(guī)則模型、以及外設和WIFI 的審計報警模型等。知識庫和各種分析模型的建立離不開對用戶工業(yè)控制系統(tǒng)的理解和產(chǎn)業(yè)攻擊事件與趨勢的跟蹤分析研究。

　　只有將涉及到工業(yè)控制系統(tǒng)各個環(huán)境的關鍵運維保障風險點和最基本的運維需求規(guī)范化、流程化，才能為ICS 系統(tǒng)實施可行的風險控制基線，實現(xiàn)以用戶為核心的主動威脅防御與運維保障體系。

　　參照NIST 最新發(fā)布的《工業(yè)系統(tǒng)安全指南》有關ICS 系統(tǒng)縱深防御體系架構的建議，通過引入基于私有云技術的終端安全管理體系，實現(xiàn)客戶端、服務端、探針對工業(yè)網(wǎng)絡中關鍵信息終端和關鍵應用的實時分析與審計。

圖6：工業(yè)控制系統(tǒng)安全架構

　　一種基于私有云技術的ICS威脅識別模型

　　目前，工業(yè)控制系統(tǒng)風險識別模型的實現(xiàn)主要有兩種方式：基于ICS 網(wǎng)絡的協(xié)議識別風險模型；基于ICS 系統(tǒng)特征的仿真控制模型。其核心設計思想通常是通過識別ICS 網(wǎng)絡通用及專屬協(xié)議內(nèi)容，并根據(jù)其中包含的主從關系、訪問控制、行為特征、傳遞途徑、Exploit方式、命令請求等信息提取非法特征，最后通過加權的方式判斷威脅是否存在。

圖7：傳統(tǒng)的風險識別

　　然而，更具針對性、隱蔽性的APT 攻擊行為的出現(xiàn)，傳統(tǒng)ICS 風險識別模型增加了許多不確定的因素。通過對APT 攻擊事件、工業(yè)控制系統(tǒng)管理需求的分析，我們可以清晰的看到，在確保ICS 可用性的前提下，CS 組件的未公開漏洞，受信的合法控制路徑，OPC的調(diào)度組件，PLC 的過程控制，網(wǎng)絡架構以及管理制度設計缺陷都加重了不確定的因素。

　　因此構建滿足工業(yè)控制系統(tǒng)的風險識別模型，除了需要細化工業(yè)控制系統(tǒng)的風險因素，還需要基于工業(yè)控制系統(tǒng)的安全管理域的差異，實施分等級的基線建設，兼顧終端與鏈路、威脅與異常、安全與可用性等綜合因素的考慮同樣必不可少。

　　模型建立：

　　·全網(wǎng)流量收集識別能力；
　　·基于白名單的終端應用控制能力；
　　·實時ICS 協(xié)議與內(nèi)容識別能力；
　　·異常行為的仿真能力；
　　·動態(tài)基線自適應能力；
　　·可視化運維能力；
　　·安全事件跟蹤研究能力。

圖8：基于私有云的工業(yè)系統(tǒng)威脅識別模型

　　五、總結

　　作為國家的重要基礎設施，工業(yè)控制系統(tǒng)的的安全性對國家安全、社會利益具有重要的影響，為此工信部10 月印發(fā)通知，要求各級政府和國有大型企業(yè)切實加強ICS 系統(tǒng)的信息安全管理。而與此同時，國內(nèi)重要行業(yè)ICS 系統(tǒng)還普遍被《信息安全等級保護》定為第3或第4 級，工業(yè)信息系統(tǒng)的安全管理體系建設還需兼顧等級保護技術要求。

　　國際方面，各國網(wǎng)絡空間戰(zhàn)略的進一步發(fā)展，國與國的防御戰(zhàn)略已經(jīng)從現(xiàn)實延伸到虛擬世界，網(wǎng)絡空間更是各國未來發(fā)展戰(zhàn)略中得必爭之地。自從網(wǎng)絡“超級武器”Stuxnet 蠕蟲的出現(xiàn)，誰也無法保證本國的關鍵基礎設施不會成為下一個攻擊目標。

　　因此，傳統(tǒng)的信息安全管理體系需要重新思考工業(yè)安全的重要性和防御策略，針對工業(yè)控制系統(tǒng)終端的特殊性以及IT 信息安全的管理需求，構建基于終端的安全管理體系是現(xiàn)階段滿足不同環(huán)境信息安全管理需求的重要手段。

圖9：基于終端的信息安全管理體系

　　當然，無論是國家未來發(fā)展戰(zhàn)略的要求，還是確保國家重要基礎設施可用性的需要，從管理、流程、架構、設備、技術等多個角度，構建滿足工業(yè)控制系統(tǒng)安全管理體系，不斷改進并完善，是確保新時期工業(yè)控制系統(tǒng)和國家重要基礎設施安全的最有效手段。 

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.sdyuan.com/

本文標題：ICS工業(yè)控制系統(tǒng)安全風險分析

本文網(wǎng)址：http://www.sdyuan.com/html/support/1112153487.html