王 照，罗佳钰

（中车株洲电力机车有限公司，湖南 株洲 412001）

1 工业控制系统信息安全防护的重要价值

随着工业互联网、物联网发展，工业控制系统信息安全防护更加重要。工业控制系统软件正在变得愈来愈庞大，无论架构、机制或是代码的复杂度都在不断增加。复杂就意味着缺陷（漏洞）不可避免。随着工业控制系统进入工业互联网时代，从技术角度而言，网络空间信息系统基本要素的各个环节在任何时候都可能成为被攻击的目标和要点。物理上所保证的逻辑连通给网络攻击和病毒破坏创造了最为基础的条件。另外，现有国内工业控制系统大部分组件都从国外进口，未能实现自主可控，存在后门或逻辑炸弹的可能性较大，漏洞数量也比较多。

综上所述，工业控制系统很容易遭受非法入侵，导致核心生产数据被窃取，威胁工业生产安全。之所以要加强工控系统信息安全防护，是因为有效提升系统运行安全性，以便积极应对攻击风险，为工业领域的生产活动带来安全保障[1]。

2 工业控制系统信息安全风险发展趋势

2.1 攻击途径多元化

工业控制系统具备固定的结构，多为系统具备拓扑结构和通信模式固定，但网络动态简单，构成元素繁多。工控系统入侵途径较广，多数来源于移动介质、现场总线、以太网、因特网甚至错误操作，增加了安全防护的难度，容易存在安全防护漏洞。因攻击途径呈现出多元化，由于防火墙或者设备配置不当，极有可能造成系统陷入安全风险，如控制网络数据传输受到入侵、恶意传播虚假信号、操作生产系统等引发安全事故。或者数据传输过程中加密等级不够，数据被拦截或窃听，工业控制系统生产计划被监控，威胁生产安全。

2.2 攻击目标多样性

以工业控制系统为目标的攻击多数来源于非法商务竞争、恐怖组织、不法分子等，也可能来源于竞争企业或黑客组织。在化工行业、冶金行业、核电行业等均采取工业控制系统，可能成为攻击目标。很多工业控制系统虽然被物理隔离，但在管理平台中储存了大量工业生产数据，在工作人员访问管理平台中带入病毒程序，易造成数据泄露或者篡改，泄露重要信息，给企业带来严重损失。或者恶意删除数据资料，企业并未进行数据备份，造成生产数据丢失，严重影响企业正常运行。

2.3 攻击后果严重

工业控制系统是诸多行业的重要生产系统，工业控制系统受到威胁和攻击可能直接使制造业的生产受阻，严重影响社会生产。尤其是在各行业生产规模和产能不断发展的今天，生产流程高度机械化和集成化，一旦发生安全事故，系统很难立即恢复，将给各个企业造成巨大经济损失，甚至影响社会正常运行，引发严重后果。应用工业控制系统密集的行业多为关系到国计民生的支柱行业，对于信息安全要求高，多数采取独立防御措施，因此安全防护较为集中，若受到非法攻击将影响正常的生产流程，造成难以估计的后果。

2.4 安全防护困难

在多个行业中新系统和旧系统并行运行，很多旧系统并未考虑到信息安全问题，无法进行升级改造，无法形成一体化安全防护体系。系统使用不同品牌的设备，对于安全防护程序的适用条件不同，安全防护策略需要根据设备情况设置，无法实现统一的安全管理。此外，工业控制系统的接入设备较为分散，影响程度不一，安全管理难度较高，信息安全防护面临巨大挑战。很多工业控制设备在出厂时并未设置身份验证程序，很多身份信息未进行加密处理，极容易被破解，造成外部人员冒充进入系统，或者员工越级访问操作，增加安全防护的难度。

3 工业控制系统的信息安全解决方案

3.1 主要问题

工业控制系统主要可以分为控制层面和管理层面，控制层面包括DCS控制器、生产设备、通信工具等；监控层面包括数据采集、监控设备等。目前工业控制系统信息安全防护主要面临以下问题：

3.1.1 对信息安全重视度不高

因很多企业对于安全防护的重视程度不高，并未制定科学合理的安全管理方案，未加强对设计人员安全意识的培养。长此以往将造成安全意识淡薄，只关注实际生产能力，忽略了安全建设，为工业控制系统安全生产埋下了安全隐患。

3.1.2 通信方式落后

工业控制系统包括部分老旧系统，系统通信方式滞后，在串行连接基础上进行网络的访问，在设计时只考虑到通信的有效性，忽略了信息安全性。此外，通信方案未考虑到身份认证和数据保密等方面，存在一定程度的考虑不足，影响通信安全。

3.1.3 管理接入设备松懈工业控制系统对于接入设备的管理相对松懈，对于限定条件不明确的设备直接接入网络，给工业控制系统带来病毒风险。缺乏对工业控制系统访问用户、设备的安全识别，未能有效防护接入风险。

3.1.4 物联化水平不断提高

如今我国信息技术和智能技术快速发展，让工业生产水平快速提高，给工业企业带来了巨大的发展空间。工业控制系统物联化水平越来越高，越来越多自动化设备、智能化设备接入系统，提高系统自动响应程度。同时也面临着越来越多安全风险，物联技术的引进也带入了更多安全风险，提高了信息安全防护的难度。

3.2 主要解决方案

为解决工业控制系统信息安全问题，提出了以下两种解决方案。

3.2.1 通过技术手段建立工控安全防护体系

遵照等级保护2.0与工信部工业互联网分类分级的工作要求，着眼未来，以IEC 62443-1-1标准层级为基础，通过安全防护功能软件、安全隔离设备以及安全管理平台，构成主动隔离框架，构建了符合自身的安全防护架构的工控安全防护模型，工控网络划分遵照原有生产网络架构，原则上不同生产区域间禁止非授权访问。在原有网络架构基础上新增DMZ区，作为生产区域的运维管理区，部署安全设备集中管控平台、脆弱性检测系统、安全态势分析系统等与运维操作相关的安全设备，实现安全运维管控。将整个工业控制系统按IEC 62443-1-1标准分为五层，其中，L0为现场设备层、L1为现场控制层、L2为过程监控层、L3为生产管理层、L4为企业资源层。其中L4企业资源层为IT环境，其余均为OT环境。L0层、L1层为工业基础环境，设备均为工业厂家黑盒设备，无法进行主机层面的安全加固。L1层至L2层之间通过流量进行实时监测；L2层、L3层为工业监测、管理环境，可以通过主机白名单进行主机层面安全管控；同时改两层为不同区域，可以通过工控防火墙进行安全隔离；L3层、L4层之间为OT网与IT网连接点，可以通过工控网闸进行安全隔离。

在通信网络安全防护方面，工业控制系统中常见的工业通信协议包括TCP(UDP)/IP、MODBUS、OPC、S7等，而工业通信协议本质是不安全的，因此需要对工业现场协议进行深度检测，分析协议指令、功能码等特征，并且应用OPC协议的通信网络能够动态适应 OPC的随机业务端口，从而在传输层层面保证通信安全。

在通信传输安全防护方面，目前生产网络未部署具有访问控制功能的安全模块，无法对通信网络协议进行深度过滤，无法保障通信传输数据的安全，存在较多安全风险。需增加部署具备访问控制功能、攻击防护功能、行为审计功能、流量管理功能的工业级安全防护设备，对工控网络进行深层级的安全防护。

在区域边界防护方面，大部分企业工控网络存在边界界线模糊不清等问题，理论上来说，只要工控网络可达的地方，网络中任意一处安全漏洞引起的安全风险和威胁都可能影响到整个工控网络，而不能将风险控制在最小范围内。因此需采用边界隔离防护技术，合理划分边界，进行分区分域安全防护，原则上在每个安全域边界采取边界隔离措施，配置不同安全域间的安全策略，明确工控网络中的不同安全域网络边界，对非授权或越权跨越边界的行为进行阻断并报警。

3.2.2 建立白名单管理环境

在工控信息安全中，只靠技术无法完全解决工控安全问题，基于工控系统相对固化的特点，威努特创新性地提出了建立工控系统的可信任网络白环境和工控软件白名单理念，基于该理念扩展构筑工业控制系统“安全白环境”整体防护，从根源上节制未知恶意行为的发生和传播，进一步保护工业基础设施安全。

白名单防御技术是一种通过提前计划好的协议、规则、策略来控制数据的交换，进行动态行为判断。通过对约定协议、规则、策略的特征分析判断进行限制，从根源上节制未知恶意行为的发生和传播。白名单管理环境不仅可应用于安全防护技术的设置规则，也是在实际管理中要遵循的原则，例如，在对设备和计算机进行实际操作时，需要使用指定的笔记本、U盘；管理人员只信任可识别的身份，未经授权的行为将被拒绝；设备安全检测明确安全风险等。

白名单安全环境主要包括以下方面。

（1）协议白名单：通过安全防护设备（如工业防火墙、工控终端安全软件、全流量管控设备等）进行协议识别，阻断非规则定义的协议进入控制端，只允许规则定义的协议通过，完成过滤非法的工业协议数据，仅允许正常的协议数据通过的目标。

（2）设备白名单：按照国家安全测评标准，配合主管检测部门，建立工控设备安全检测机制；利用工控安全检测装备（漏洞挖掘设备、漏洞扫描设备）检测发现设备存在的已知、未知漏洞及后门，全面掌握设备的健壮性和安全性；建立准入白名单，形成设备准入白名单列表，谨慎选用存在漏洞和风险的系统及设备，对已经投入使用的设备进行安全整改，加强设备安全防护。

（3）指令白名单：通过学习识别累积包括不限于建立指令集、操作规程等规则制度，或者采用行为审计设备等方式对现场操作流程及操作指令建立适合现场实际生产情况的指令白名单，阻断误操作或恶意操作指令，确保生产产线稳定运行。

（4）主机白名单：通过技术手段对工控操作系统进行加固，扫描建立主机白名单，识别、阻止任何白名单外的程序运行，防范已知未知病毒、木马、恶意程序运行和传播及针对0day漏洞攻击。

（5）软件白名单：只允许经过授权和安全评估的软件才能在环境里运行，否则只能在测试环境里测试，安全评估包括不限于漏扫、代码审计、模拟攻击测试等。

上述解决方案通过技术手段建立工控安全防护体系投入较大，主要为利用第三方安全防护设备与软件加强工业控制系统安全，建立白名单管理环境更重视从管理层面加强安全，两者均具有一定的安全防护效果，而且是互补的防护方案。在实际应用上需要根据行业控制系统的特征和运行情境合理搭配防护方案，以达到最优防护效果。

4 结束语

综上所述，工业控制系统信息安全防护具有重要价值，但随着信息技术发展，工业控制系统面临的信息安全风险逐渐呈现出攻击途径多元化、攻击目标多样性、攻击后果严重、安全防护困难。我国工业控制系统安全防护仍然面临着对信息安全重视度不高等问题，现阶段主要采取技术手段建立安全防护体系、建立白名单管理环境的解决方案加强安全防护。通过从各层面建立解决方案，形成完善的防护安全体系，初步具备防范一般安全风险的能力。■