郭金辉，郭 超

（博智安全科技股份有限公司，江苏 南京 210012）

1.引言

随着网络信息化的不断深入，以及对网络业务实时性、可用性的高要求，工控系统从原先独立封闭的企业内部网络扩展到整个IT互联网区域，通过使用IP以太网、无线网、4G/5G网等技术，工业控制系统的控制协议上升到TCP/IP协议栈应用层，底层硬件可采用标准化的商用CPU芯片、软件使用商用操作系统、各类中间件、通用件等，已逐步变成业务开放、互联互通的标准化信息系统，因此，所面临的安全风险也陡然上升。特别是近10年来爆发的重大安全事故，比如震网(Stuxnet)、火焰(Flame)、Havex等恶意病毒带来的威胁攻击，充分反映出工业系统安全所面临的严峻形势。当前，工业控制系统作为国家关键基础设施的重要组成部分，以及国民工业基础设施的核心系统，其广泛用于电力、轨交、水利、石化等关乎民生的关键领域，已逐步作为恶意组织以及国家博弈之间的对象，是信息化网络空间化重点攻击的目标。本文就目前相关关键基础设施领域其工业系统普遍存在的安全隐患做一些分析，通过对这些安全隐患的分析，提出针对性的解决方案，以协助相关企业更好的展开自身关键基础设施安全保护工作。

2.工业系统普遍存在的安全隐患

2.1 开放外部接口

在工业系统环境中，普遍存在外来设备的接入，包括给相关设备供应商提供维护通道，工程师远程操作、数据统一管理、远程传输等。大型企业不同厂区的互联互通，网络架构扩展迅速，传统的IP网络信息安全技术无法充分满足工业控制系统的安全要求。

2.2 设备生命周期长，升级换代不及时

工业系统设备价格昂贵，且功能相对稳定，因此企业中存在大量的老旧设备，这些设备生命周期长，且软件升级过维保周期后价格昂贵，大部分系统均保持原先状态持续工作，企业无内驱力进行升级换代。而随着技术的发展，原先老旧设备操作系统、应用软件等暴露越来越多的漏洞或者被病毒感染，通过远程维护接入外部设备、移动USB等各种渠道，都可能被不法人员进行漏洞利用或者感染到网络木马病毒。网络病毒是可以通过计算机感染网络中的可执行文件，其具有极大的扩散能力，病毒会突破系统的访问控制，易导致机器死机、信息泄漏、文件丢失、网络瘫痪等问题。和传统IT信息系统不一样的是，工业控制系统安全有其自身的独特性，比如存在恶意代码没有专业的工具无法杀除，担心破坏原有系统或业务软件而不敢杀。同时考虑工控软件与常规杀毒软件的兼容性，在操作员工作站上一般不会安装杀毒软件，而大部分的防病毒产品，均为传统网络病毒防护产品，其基于病毒库查杀的工作机制在工控领域使用也非常有局限性。同时工业系统自身网络相对比较隔离，大部分生产网络并未和互联网直接相连，同时生产网络中的工控系统需要稳定持续运行，以保证企业生产效率，难以进行频繁升级操作，因此基于上述原因，工控系统中对于病毒库的更新非常缓慢，企业自身进行病毒库更新的成本会比较高。这也是全球每年在工控系统领域爆发一些大规模安全事件发生的原因。

2.3 系统缺乏监控，设备存活状态及合法状态无法感知

工业系统内部网元设备众多，厂家型号种类繁多，在新旧设备交替期间，存在大量老旧设备，加上人员安全意识不足，私自携带个人电脑设备接入网络等情况会频繁出现。而大部分工业企业缺乏整体网元设备系统监控，设备状态及是否合法接入设备无法及时感知和控制。在工控系统服务器中，运维人员对于服务器的安装操作、更新组态软件操作以及进行参数修改、软件配置修改、对用户进行增删改查等一系列动作，也缺乏专业的审计系统或者运维网关管理系统。在工控生产环境中，关键的一些操作比如开关控制，设备启停、档位调节、温度控制、下载逻辑程序、组态软件变更等，缺乏日志记录，缺乏安全行为审计。

2.4 工控设备安全隐患多，现场RTU/PLC漏洞多

工控设备生产厂家不像传统网络设备厂家，对安全研发重视程度不够，工控私有通信协议经常明文传输，相关协议缺乏认证加密机制，缺乏协议健壮性测试，设备固件很少进行更新，从而导致系统在接收到非法恶意报文就可能引起设备崩溃，存在大量包括命令注入、拒绝服务攻击、跨站脚本、非授权访问、信息泄露、权限提取等漏洞。从国家工业信息安全漏洞库中发布的信息来看，工控系统漏洞种类和数量都有明显增长趋势，从2019年9月至今，已录入将近3500多条工控系统安全漏洞，覆盖工业系统中的数据采集与监控系统SCADA、可编程逻辑控制器PLC、操作员面板HMI系统等。

此外，企业对于自身工控信息安全性的重视积极性不高，控制器生产厂家之间相互观望，对于自身工控设备安全建设投入力度不够，一旦有攻击者攻击工控系统，难以做到安全防护。

2.5 网络边界不够清晰，局部安全问题易扩散到整个系统络

大部分工业企业内部网络缺乏合理规范，办公区、MES区域以及生产区域等共用网络设备，比如交换机路由器等，当路由器交换机出现异常时，导致关键生产区域工控系统无法访问或者异常。网络环境容易出现异常，导致设备无法正常工作。

3.隐患的解决方案

3.1 部署入侵检测系统

入侵检测是通过旁路部署方式来进行对工控网络流量进行监听的系统，支持对网络中存在的已知漏洞攻击、分布式拒绝服务攻击、木马病毒传播等安全风险进行实时监控的功能。因此为防范针对工控系统内部的攻击，应在工控系统内部各层级网络中增加一套入侵检测系统，对网络行为、网络流量报文进行全程实时监视，及时识别网络入侵特征并给予告警提示。工控入侵检测系统最关键指标为其内置的报文攻击特征库、协议特征库，通过所内置的几个知识库，将采用流镜像方式获取的数据报文进行二到七层的深度解析，结合匹配及智能分析，检测出入侵报文，入侵行为，并给出详细的日志告警。企业管理人员结合日志告警进行针对性的防护，并做好日志记录归档，以便于在针对非法入侵者或者破坏者进行法律行动时提供有力的电子证据。

3.2 部署漏洞扫描系统

漏洞扫描系统是针对已知漏洞的主动探测系统，通过定期更新的已知漏洞信息，对工控系统进行主动探测，检查系统的脆弱性，及时发现工控系统中已经存在已知漏洞信息。并给出漏洞分析报告，以供企业安全管理员进行漏洞补丁升级。漏洞扫描系统不仅需要具备传统IT系统及网络协议的探测，更重要的是需要支持对工业系统中特有的系统设备及网络协议，比如SCADA、DCS、PLC设备以及Modbus协议、OPC协议、DNP3协议、IEC104协议、S7协议、IEC61850协议等等工控网络协议的已知漏洞探测和识别。通过漏洞扫描系统及时发现安全漏洞，评估工控系统网络风险等级，并给出最终报告。

3.3 部署防病毒防火墙系统

近年来工控行业系统中的病毒频繁爆发，企业需要搭建完整的端到端防病毒体系，覆盖生产终端、主机、服务器、网关设备等所有网元节点，才能保护其自身工控系统免遭木马病毒的感染。需要考虑针对网元节点和网络流量的防病毒防火墙系统，针对节点，具体按其所配置的软件操作系统、应用软件、数据库软件等配置相应的主机类防病毒软件；针对流量，需要在工控系统网络中部署专业病毒防火墙系统，通过开启病毒防火墙系统，对流量中携带的恶意病毒、恶意木马等进行阻拦，防止病毒木马的扩散蔓延。病毒防火墙需要具备深度报文检测、报文过滤、流量检测、流量过滤、协议状态机检测等技术，同时，对于企业内部流量比较大的网络，建议配置转发性能较强的硬件类防火墙。

3.4 部署主机卫士加固

除了增加防病毒类软件，本身工控系统中的主机也需要进行管制，可以通过部署主机卫士类产品进行安全加固。工控主机卫士通过可信应用白名单的方式，结合文件类型识别、文件特征码提取，实现白名单库的自动实现；通过对主机行为的监控，对注册表信息、进程、文件、网络状态进行获取监控，保障主机行为安全；通过对文件加载执行进行控制，提供对非法异常程序文件的审计阻止，拦截恶意文件加载，保障系统进程安全；通过驱动层拦截系统I/O消息，对于移动存储介质如移动硬盘、USB等进行管控，当非法移动介质接入系统时，赋予移动介质不同读写权限，从而可以防止移动存储介质可能带来的安全隐患。

3.5部署运维管理审计系统

工业系统网络总体架构相对比较简单，企业投入的管理成本不高，因此对于工控系统的相关权限控制存在疏漏，设备账号密码管控松散，可以通过部署统一运维管理审计系统来实现运维人员、资产、账号、权限的统一认证管理，配置集中访问控制点，通过协议代理方式，建立唯一的身份标识ID进行命令级的权限管控策略，实现细粒度的安全运维管理。

3.6 网络运维管理优化

工控系统内部网络在建设初期，对于网络架构、安全性方面考虑相对欠缺，因此除了部署相关的安全产品，也需要同步优化内部网络总体架构。对于工控企业内部网络，将日常办公网络区域、MES网络区域、生产网络区域进行划分，在各网络区域边界的网关上设置相关安全策略，实现流量精细化管理。除了上述六个建议解决方案，对于工控系统安全来说，最重要的还是安全管理制度和制定和落实，以及人员日常工作安全意识和安全技术能力提升。工控企业制定符合自身特点的安全管理制度是保证系统安全的前提和基础，通过实施分级保护制度、制定适度的安全措施，最终建立科学合理的安全管理框架，才能真正做到合理的安全防护。在人员意识方面，需要定期进行安全培训，加强企业IT管理人员的安全教育，提高安全意识，保持人员思想警惕性和稳定性，避免人为原因泄露工控系统漏洞或秘密，持续做好系统权限管理及账号密码管理。在安全技术方面，对于重要系统及其数据进行定期备份，结合系统和数据的重要程度，可以选择完全备份、差异备份、增量备份等不同备份策略。建立统一集中备份和异地容灾备份设施及策略。

4.结语

总结来看，本文从几个工控系统普遍存在的问题，分析给出建议的解决方案。但工控系统安全是一个整体全局的安全管理问题，涉及到制度制订、部署实施、日常运维、查漏补缺等各个环节，工业系统相关行业都需要加强重视的工作内容。需要所有相关人员加强学习，遵循整体性、适度性、安全性的原则，提高工控系统安全管理人员的综合素质、技术水平、和安全意识，切实落实制定的安全管理制度及其策略部署，定期安全检测，发现安全问题及时采取安全管控措施，及时防范网络安全漏洞，防范工控系统漏洞，跟踪最新漏洞库及病毒库的升级。通过采取科学合理的安全管理措施，建立符合企业自身特点的工控系统安全体系，促进工业生产可持续发展。