工业控制系统安全风险分析

工业控制系统安全风险分析

李沐非

海南核电有限公司 海南省海口市 570100

摘要：工业控制系统（ICS）对于支持国家关键基础设施和维护国家安全至关重要。ICS所有者和运营商采用新技术提高运营效率，将操作技术（OT）连接到企业信息技术（IT）系统和物联网（IoT）设备后，由此产生的网络安全风险引起人们的广泛关注。鉴于此，本文主要分析工业控制系统安全风险。

关键词：工业控制系统；安全；风险

中图分类号：TP309    文献标识码：A

1、引言

工业控制系统（Industrial Control System，ICS，以下简称工控系统）是由各种自动化控制组件以及对实时数据进行采集和监测的过程控制组件共同构成的信息系统，被广泛应用于石油化工、电力、水利、航空航天等重要行业和关键基础设施，其安全关系着企业的兴衰，更是连接着国计民生。

2、工业控制系统概述

ICS是用于监控工业生产过程、收集关键生产数据的一类控制与采集系统。它允许用户对工业生产进行远程监控，并且为分散的工业生产控制以及监控设施提供远程访问和控制的服务。传统ICS主要包括控制器、传感器和执行器，随着工业以太网等技术的发展，工控通信协议能够实现基于TCP/IP技术的信息传输，现代ICS已经形成了功能控制与信息传输相融合的三级网络结构。

企业层是ICS中的最高层，其通过工业防火墙与外部互联网相连，可与互联网相互通信，并利用工业以太网与监控网通信，主要通过生产过程执行管理系统（manufacturing execution system，MES）对生产任务、人员调度、外界通讯、数据分析等进行管理。监测层是整个ICS的核心层级，通过人机交互界面（Human MachineInterface，HMI）便于工程师对生产过程进行过程控制及运行监控。控制层上，通常多采用分布式控制系统（Distributed Control System，DCS）对底层机械设备等进行控制，完成预期生产功能。

3、工业控制系统安全风险分析

3.1、通用平台漏洞风险

现代ICS系统应用程序、数据库、人机交互接口都从原来的专有平台转移到了IT通用计算机平台，操作系统主要是基于Windows和类Unix操作系统（较少使用），因此IT通用计算机普遍存在的风险也被带到了ICS中来。ICS系统由于其独特的应用性，一些安全风险甚至比IT系统更容易出现。

3.2、专有平台漏洞风险

专有平台是相对于通用平台而言不能使用通用PC作为平台的主机或设备，主要是指控制器和现场智能设备等控制系统执行机构，这些设备采用与PC不同的架构，硬件资源有限，且与现场环境紧密结合，是ICS系统中最重要也是最易受到攻击的部分，其存在漏洞将直接暴露给渗透到现场层的入侵者。

3.3、网络通信漏洞风险

工业通信网络虽然在原理上基本符合一般计算机或者通信系统的通信原理，但也存在一些特殊性：（1）ICS系统对数据传输的实时性极其敏感，因此通信网络上的任何干扰都可能产生影响，造成间接破坏；（2）当前的安全防护能力仍停留在LAN/WAN层面上的防护，对现场设备通信的防护几乎没有涉及，特别是与控制现场执行机构直接相关的Modbus、Profibus等现场总线协议都没有包含安全特性；（3）由于现场控制设备性能的限制和实时性的要求，ICS通信网络上数据传输通常不加密或采用简单的加密算法，很容易破解，存在信息泄露或数据被伪造的风险；（4）缺少防护的网络边界风险，网络边界包括一切可能接入ICS系统的主机或网络设备，如果不对这些接入设备加以安全性定义和访问权限控制，可能导致攻击者的直接入侵；（5）ICS系统各个厂商产品标准不一，每个厂商的产品属于一个封闭私有系统，其不开源的特性本身如同Windows系统一样存在很多未知漏洞，由于从未经受过网络上的安全考验，这些漏洞不能及时发现并修复。

4、措施与策略

4.1、做好安全网络基础架构设计

安全网络是设计使然。大多数自动化网络在几年甚至几十年内已经缓慢地部署、添加和修改。许多PLC网络和设备从未设计连接到工厂网络或互联网，并且通常缺乏强大的安全功能。由于首要任务是保持工厂运行，因此网络的设计更多地考虑了简单性而不是安全性。为了部署安全的工业网络，首先需要考虑的是“纵深防御”网络设计。纵深防御网络设计始于将网络划分为逻辑区域，每个逻辑区域都由工业防火墙隔离和保护。然后，在每个区域之间，可以设置防火墙规则，用于过滤或管理网络中各区域之间的数据通信。纵深防御设计旨在从内到外保护网络。以智能工厂为例，虽然在IT网络和OT网络之间部署防火墙很重要，但这还不够。在OT网络中，还应安装用于关键资产的附加防火墙，例如用于分布式控制系统（DCS）的控制器。设备越关键所需的安全保护就越多。这是纵深防御设计的基本原则。

入侵防御系统（IPS）或入侵检测系统（IDS）是可以考虑用于工业网络系统的高级系统。IPS/IDS将监视网络数据中的恶意活动，它通常用于IT/办公室网络。但它也可用于工业控制系统网络，因为有越来越多的应用程序在基于Windows的工业计算机上运行。

4.2、进一步强化设备的安全性

支持工业网络安全的关键是强化设备安全，实施重点防护。这是指保护连接到工业控制系统的网络交换机、路由器和其他设备。其中一些方法包括用户身份验证、维护数据的完整性和机密性，以及使用身份验证来控制网络访问。这些都是我们在日常生活中使用自己的个人设备时可能遇到的所有事情。例如，在线访问银行或信用卡账户需要强密码。如果在一定次数的失败尝试后无法登录，则账户可能会被锁定，需要联系支持人员来证明身份。这是用户身份验证背后的基本概念。另一个示例是Web浏览器消息，该消息会在连接不安全时通知用户，因为用户尝试访问的站点需要或建议使用HTTPS进行加密的Web会话。

4.3、周期性识别ICS安全风险

强化持续技术跟进和持续检测评估的模式。风险评估是识别ICS风险的重要手段，是实现工控系统信息安全纵深防御的前提，其主要作用就是准确地评估工控系统存在的主要信息安全问题和潜在风险，其风险评估结果正是工控系统安全防护与监控策略建立的基础和先决条件。同时，工控系统作为国家关键基础设施应用于各重点行业及领域，在生命周期的不同阶段，其风险评估重点也有所不同。故工控系统的风险评估，应该从设备的采购、运行、维护、报废阶段分别进行。通过定期开展风险评估工作，可识别当前ICS面临的威胁，识别威胁攻击路径。

5、结束语

如何提高已建成ICS系统的安全防护能力和如何设计并建立新的安全ICS系统是目前需要面对的两大挑战，是需要工业控制领域、网络信息安全领域、计算机技术领域多方合作，共同完成的使命。由此可见，本文的研究也就显得十分的有意义。

参考文献：

[1]张芝军,嵇绍国,王宏.工业控制系统信息安全风险管理实践探索[J].自动化博览,2022,39(01):10-15.

[2]陶志坚,姚日煌.工业控制系统信息安全风险评估研究[J].电子产品可靠性与环境试验,2016,34(06):15-21.