段沛鑫

工业控制系统信息安全因素及防护策略的探索

段沛鑫

广州赛宝认证中心服务有限公司，广东 广州 510610

信息化给工业带来的有利变化是显而易见的，但随之而来的网络安全问题却日益严重，并带来了一系列的损失。分析了工业控制系统信息安全问题产生的因素，概括了工业控制系统信息安全防护策略。

工业控制系统；信息安全因素；防护策略

1 我国工业控制系统信息安全问题产生的因素

1.1 信息化建设的发展因素

首先，过程控制体系（DCS/PLC/PCS/RTU等）和SCADA体系普遍地应用现代信息技术，Windows、Ethernet、现场总线技术和OPC等技术在工业设备中的运用致使设备接口越来越开放，使过程控制体系和SCADA体系等不再与外界隔离。其次，来自局域网、因特网、移动U盘、维修人员便携式电脑接入和其他要素致使的网络安全状况正渐渐地在过程控制体系与SCADA体系中扩散，直接关系工业生产的平稳性，给工业控制设备带来危害[1]。

1.2 缺乏有效的安全管理

追求效率、稳定性和可用性而影响安全防护，是许多工业控制系统通常存在的现象，不仅缺乏完整、有效的安全管理策略与管理流程，而且给工业控制系的信息安全带来了一定的威胁。例如，工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。

1.3 工业控制的系统主动防御问题

根据国际和国内工业控制体系研发、设计、运行的特点及在安全防护层面的标准和法规要求，采用安全工程思想，分析工业控制系统高危等级威胁的攻击特征，利用DCS的动态重构机制切换至系统备份，以恢复安全状态，解决系统面临安全威胁时的主动防御和系统恢复问题。非法设备接入所引发的恶意软件攻击是工业控制系统的主要威胁之一，需要在评估安全审计监控技术的可行性的基础上，解决工业控制系统对非法信息控制流和数据流的监控和预警问题，特别需要解决控制所需的、具备高抗压能力的安全配置数据的制定和动态调整问题。

2 工业控制系统信息安全防护策略

2.1 落实工控安全责任制

以管理制度的形式明确信息中心、生产管理处和设备管理处的具体职责，指定每个部门ICS安全的主要责任人。从ICS应用安全的需求入手来细化管理制度，确定专门负责应用安全、网络安全、物理安全、主机安全、数据安全、系统运维和系统建设等人员的相关责任，并指定主要责任人。

2.2 结合风险管理思想

工业控制体系性能安全探究是一个把工业控制体系安全风险管控在一个能接受范畴内的步骤。功能安全相关体系从需要、设计、落实、测试确认、运行维护等一系列生命周期阶段都引入了风险管理的意识，在每一阶段都明确可识别的风险被掌控。建议在工业控制系统信息安全探究应用风险管理期间，首先在风险可承受原则上要与功能安全统一。由于二者探究针对同一工业控制体系目标，其针对不同因素致使的相同安全事件带来的后果严重情况和风险可接受程度应是统一的。例如不管是信息安全事件或是功能安全事件致使的HSE相关事故，其风险可接受程度应是统一的。其次，在危害（或脆弱性）识别期间应做到两者有机的融合，功能安全强调体系本身存在的脆弱性致使体系失效，而信息安全强调威胁主体利用体系本身存在的危害致使体系失效，两者都注重体系本身的脆弱性。一个是体系脆弱性容易被人利用；另一个是体系本身的不鲁棒性在运行环节中致使的体系失效。所以在危害（或脆弱性）的识别环节中，需要统筹思考两层面的要素，尽可能地做到功能安全和信息安全的融合[2]。

2.3 加强宣传教育和培训

相关部门制订宣传教育方案、宣传资料、培训计划和培训教材，内容覆盖网络安全意识、教育、基本技能培训、专业技术和技能培训，注重全员网络安全宣传教育和培训，提高网络安全意识，增强网络安全基本防护技能。每月月末开展工控安全管理人员和技术人员网络安全专业、技能培训，每季季末对工控安全管理人员和技术人员进行考核，考核不合格者直接调岗。

2.4 企业制定工控系统操作规范

企业制订工控系统操作规范，可以提高操作人员的操作水平，有助于工控安全新生力军的快速投入，防范工控系统威胁以及降低工控安全带来的风险成本。

2.5 工业控制系统攻击模型与安全防护体系的研究

（1）以往常的分区隔离纵深防御技术为前提，把动态防护与主动防御方式相融合，研究以动态的对抗性安全理念为核心的工业控制系统自适应防御体系，并进一步基于威胁情报的攻击路径和系统攻防态势，研究自适应地调整防御资源来实施安全响应和恢复的方法。（2）针对工业控制器回路攻击、组态数据篡改等安全威胁，研究涵盖协议安全分析、自适应敌手攻击、纵深防御效果评估的工业控制系统攻击模型。（3）突破控制器安全启动、固件/软件证明、系统内核加固、白名单管控、网络动态监控等核心关键技术，研制基于硬件密码模块的可信工业控制终端防护系统以及基于设备ID的海量终端身份鉴别和安全通道加密系统。

2.6 工业控制系统主动防御技术的研究与应用

（1）研究基于序列保护、多重身份、单一合法数据源、信息验证等的边界数据隔离技术，以漏洞攻防作为设计基准，通过边界数据隔离手段提升控制器防护能力。

（2）研究针对IO逻辑控制、数据交叉校验、状态信息传输等实施监控和高危攻击的应急响应，一旦出现异常就启动应急保护机制，将安全威胁彻底隔离。

（3）研究工业控制系统安全配置基线的方法和上位机主动防御的方法，结合动态防护组件实现工业控制系统运行环境的可信检查和实时监控。

2.7 主机漏洞扫描

通过主机漏洞扫描工具对工业控制系统中的主机、数据库等软硬件的安全漏洞进行扫描，可以发现弱口令用户、缓冲区溢出、NetBIOS信息和可写共享目录等操作系统或数据库的漏洞信息。主机漏洞扫描需要将扫描设备接入控制系统网络，有一定的风险，会造成扫描对象的宕机，因此在扫描前应做好相应的应急预案，对系统进行备份或在业务低峰期对系统进行主机漏洞扫描，以减少对系统的影响。

2.8 代码安全审查

经过源代码安全审查工具，对软件源代码安全实施测验。首先，源代码安全审查工具经过内置的五大主要解析引擎（数据流、语义、结构、控制流和配置流对）对运用软件的源代码实施静态的解析，解析的环节中与它独有的软件安全问题规则集实施全方位的匹配、查找，进而把源代码中出现的安全问题扫描出来。其次，对代码白盒审计的结果实施人工解析，核查是否误报[3]。

3 结语

工业控制体系作为关系国计民生的关键基础设施的重要因素，其安全问题往往受到重视。工业控制体系功能安全与工业控制信息安全作为工业控制体系安全的两项关键内容在发展上并不是孤立毫不相关的。本文从工业控制体系的安全问题着手，着重论述了工业控制体系信息安全的因素和防护策略，为进一步确保工业控制体系安全的研讨拓宽了思路。

[1]张红金，蹇彪，张洋. 信息系统安全设计方案在企业中的应用研究[J]. 电子产品可靠性与环境试验，2017，35（5）：65-70.

[2]陶志坚，姚日煌. 工业控制系统信息安全风险评估研究[J]. 电子产品可靠性与环境试验，2016，34（6）：15-21.

[3]肖建荣. 工业控制系统信息安全[M]. 北京：电子工业出版社，2015.

Exploration on Information Security Factors and Protection Strategies of Industrial Control System

Duan Peixin

Guangzhou CEPREI Certification Body Service Co., Ltd., Guangdong Guangzhou 510610

The favorable changes brought by informatization technology to the industry are obvious, but the network security problems that come with it are getting worse and worse, and bring a series of losses. The factors in the information security of industrial control system are analyzed, and the information security protection strategies of industrial control system are summarized.

industrial control system; information security factor; protection strategy

TP273

A