陆　赞

（中国有色矿业集团有限公司，北京100029）

基于工业控制系统的安全体系建设研究

陆赞

（中国有色矿业集团有限公司，北京100029）

当前，我国工业化和信息化的深度融合给工业控制系统（简称工控系统）带来了巨大的发展机遇，也带来了前所未有的挑战。我国工控系统安全建设仍处在起步阶段，如何建立全面的安全保障体系，减少面临的内外部的威胁，为推动两化深度融合、工业转型升级提供支持，是当前我国工控信息安全领域面临的重大挑战。本文提出了一种针对工控系统的安全体系建设框架，为企业开展工控安全建设提供借鉴指导。

工控系统；安全体系；建设框架

1　前言

工业控制系统（ICS）是由各种自动化控制、实时数据采集、监测的过程控制等功能组件及子系统共同构成的，其功能组件主要包括数据采集与监控（SCADA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）、远程监控单元（RTU）、智能电子设备（IED）等，子系统主要包括人机界面（HMI）、制造执行系统（MES）、历史/实时数据库以及工程师站/子系统监控站信息管理系统等。随着TCP/IP通用协议与开发标准的引入，以及物联网、云计算、移动互联网等新兴技术的不断广泛应用，使得工控系统理论上绝对的物理隔绝网络因为业务模式的改变变得不断开放，使得工控系统自身的安全漏洞日益凸显。近年来全球一系列工控安全事件的发生，工控系统的安全问题已经开始被政府、组织及企业所重视。我国工控系统网络安全建设仍处在起步阶段，针对工控网络的防护标准尚未成型、安全评估能力评测体系不健全，如何建立全面的信息安全保障体系，为推动两化深度融合、工业转型升级提供支持，是当前工控系统安全领域面临的重大挑战。本文介绍了一种基于工控系统的安全体系建设框架，为企业开展工控安全建设提供借鉴指导。

工控安全体系框架应涵盖架构安全、连接安全、组网安全、配置安全、运维安全、数据安全等六部分。

2　架构安全

工控系统网络架构设计应以保证工控系统的高可用性、业务连续性为目的，即使网络故障发生也在本层范围内，不会影响到其他层级。应采用纵深防御思想进行概念设计，实现横向分层、纵向分域、区域分等级，横向分层，即定义明确的安全边界，将全网划分为不同的安全网络层级，比如较为通用的“三层两防”结构（如图1所示）。

图1　工业控制系统安全架构-“三层两防”

“三层”即管理层、执行层、控制层。管理层主要部署以ERP系统为代表的管理信息系统、执行层主要部署以MES为代表的生产管理和调度执行系统、控制层主要部署以SCADA为代表的各种工业自动化控制组件、实时数据采集及过程控制组件等。“两防”即三个层级之间部署两层防护。管理层与执行层之间，主要防护非法入侵、避免非授权访问和滥用、过滤恶意代码、篡改数据及抵赖等风险，部署入侵检测、终端准入、防病毒、访问控制、身份认证、网络审计等；执行层与控制层之间，主要防护系统漏洞、病毒传播、非法入侵等风险，部署工业级防火墙、入侵检测、防病毒、漏洞扫描、行为审计等；纵向分域，在三层结构中对有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络进行划分，设置安全域，比如按各生产车间划分，车间A的执行层和控制层可在同一安全域中，不同安全域之间通过工业防火墙等安全设备进行隔离。区域分等级，根据同一域中按不同系统的重要程度划分不同安全等级，采取不同等级的安全策略、安全环境、安全技术进行保障。此外，系统的核心网及骨干网应建设冗余链路，确认冗余链路应采用不同的网络方式构建；SCADA服务器、历史/实时数据库服务器、HMI服务器、核心交换机应进行硬件冗余；系统的网络带宽设计指标应大于网络带宽需求指标，网络带宽的充足性应满足异常生产工况、突发业务需求、最大业务处理对工业控制系统网络带宽的实际要求；当网络故障发生，链路自动切换。系统业务不中断、不丢失数据。

3　连接安全

工控系统连接安全设计要明确边界控制，严格管理访问入口，既要防止外部攻击，也要防止内部人员越权访问、违规操作。①对于网络连接，控制层应尽量保持与管理层、执行层的物理隔离；对确实需要的连接，采取设置防火墙、网闸等措施加以防护，形成逻辑隔离。②对于会话连接，应部署访问控制设备阻断非授权访问、部署监控软件对各层边界数据交换情况进行异常行为检测、部署安全审计设备进行安全审计。③对于设备连接，严格控制系统专用网和公共网络之间移动存储介质、便携式计算机的交叉使用，如需使用移动设备，须使用专用设备，使用前经过特殊处理统一标识，同时部署敏感信息扫描软件等，限制关键工控数据传出。

4　组网安全

工控系统组网时要充分考虑实用性、可用性、安全性，要有足够强度的认证、加密、授权等。①网络拓扑应使用环形网，相比链型网具有良好的自愈能力，因此只要路由分布允许，应尽可能组建环形网。②远程通信应采取虚拟专用网络（VPN）、线路冗余备份、数据加密等措施，加强防护。③不建议使用无线网、微波技术，如必须使用，应对无线、微波组网采取严格的身份认证、权限认证等防护措施，杜绝第三方的窃听及欺骗性攻击，屏蔽内外非授权用户的非法访问。

5　配置安全

工控系统大多数开发设计时只考虑效率和实时等特性，缺乏同步安全设计，这就造成了其安全防护能力不足，补丁管理困难，漏洞难以及时处理，需要通过其他技术手段加固。①审计方面，开启设备审计功能或部署审计设备，对访问控制、请求错误、系统日志、备份和存储事件、配置变更等进行审计。②账户管理方面，根据工作需要合理分类设置账户权限，及时清理不必要的用户和管理员账户。③口令管理方面，及时更改产品安装时的预设口令，杜绝弱口令、空口令，应为所有用户提供实施口令的最小和最大有效期限制，并定期检查口令周期性更新情况。④主机管理方面，定期对主机服务器端口、服务等进行检查，停止无用的后台程序和进程，关闭无关的端口和服务，如FTP、RLogin、Te1net等。

6　运维安全

工控系统运维安全也是影响工控系统安全的重要方面。①设备方面，工控系统中控制器、组态软件、数据库、监控软件、核心交换机、重要服务器等关键设备应采用国产设备，必须是经过一定时间市场考验的成熟产品，如使用国外设备，须经第三方检测安全无漏洞的。②人才方面，保证企业自身人才队伍具备对关键工业控制系统的二次开发及运维能力，不依赖外部厂商。③确保技术服务安全可控，在安全得不到保证的情况下禁止采取远程在线服务。④系统备份方面，确保系统备份安全可控，定期执行用户级和系统级全备、增量备份的窗口期，不影响正常生产。⑤补丁升级方面，密切关注软件升级、补丁安装，在关键工业控制系统软件升级、补丁安装前要请第三方评测机构进行安全评估和验证，确保补丁升级安全可控。

7　数据安全

工控系统一般关注工业数据的实时性、业务连续性，在安全三种基本属性（CIA）中可用性优先级最高、完整性次之，保密性最低，因此要采取措施提高工控系统数据安全性。①数据传输方面，应对数据进行加密处理，提高破译和伪造的难度。②数据处理及存储方面，数据库软件采用身份认证、访问权限控制、数据加密技术、安全审计等。③数据备份及容灾方面，要做好数据备份及容灾技术措施及应急保障机制。

以上安全体系框架设计从六个维度考虑对工控系统可能面临的风险进行防护，尽可能降低系统安全风险等级，减少风险发生概率，使工控系统获得最大程度的保护。

10.3969/j.issn.1673-0194.2016.13.062

F273

A

1673-0194（2016）13-0117-03

2016-02-16