ICS工業(yè)控制系統(tǒng)安全風險分析

　　本文將從IT 領(lǐng)域熟悉的信息安全管理體系的基本理論和潛在威脅的角度，借鑒國際上有關(guān)工業(yè)控制系統(tǒng)安全保護要求及標準，分析當前我國工業(yè)控制系統(tǒng)存在的風險，并提出一套基于ICS 系統(tǒng)的威脅發(fā)現(xiàn)與識別模型。

　　一、工業(yè)控制系統(tǒng)介紹

　　工業(yè)控制系統(tǒng)（Industrial Control Systems, ICS），是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件，共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)。其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設(shè)備（IED），以及確保各組件通信的接口技術(shù)。

　　目前工業(yè)控制系統(tǒng)廣泛的應(yīng)用于我國電力、水利、污水處理、石油天然氣、化工、交通運輸、制藥以及大型制造行業(yè)，其中超過80%的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè)，工業(yè)控制系統(tǒng)已是國家安全戰(zhàn)略的重要組成部分。

　　一次典型的ICS 控制過程通常由控制回路、HMI、遠程診斷與維護工具三部分組件共同完成，控制回路用以控制邏輯運算，HMI 執(zhí)行信息交互，遠程診斷與維護工具確保出現(xiàn)異常的操作時進行診斷和恢復(fù)。

圖1：典型的ICS 操作過程

　　SCADA（Supervisory Control And Data Acquisition）數(shù)據(jù)采集與監(jiān)控系統(tǒng)，是工業(yè)控制系統(tǒng)的重要組件，通過與數(shù)據(jù)傳輸系統(tǒng)和HMI 交互，SCADA 可以對現(xiàn)場的運行設(shè)備進行實時監(jiān)視和控制，以實現(xiàn)數(shù)據(jù)采集、設(shè)備控制、測量、參數(shù)調(diào)節(jié)以及各類信號報警等各項功能。目前，SCADA 廣泛應(yīng)用于水利、電力、石油化工、電氣化、鐵路等分布式工業(yè)控制系統(tǒng)中。

圖2：SCADA 系統(tǒng)總體布局

　　DCS（Distributed Control Systems）分布式控制系統(tǒng)，廣泛應(yīng)用于基于流程控制的行業(yè)，例如電力、石化等行業(yè)分布式作業(yè)，實現(xiàn)對各個子系統(tǒng)運行過程的整理管控。

　　PLC（Programmable Logic Controllers）可編程邏輯控制器，用以實現(xiàn)工業(yè)設(shè)備的具體操作與工藝控制。通常SCADA 或DCS 系統(tǒng)通過調(diào)用各PLC 組件來為其分布式業(yè)務(wù)提供基本的操作控制，例如汽車制造流水線等。

　　二、工業(yè)控制系統(tǒng)安全現(xiàn)狀

　　與傳統(tǒng)的信息系統(tǒng)安全需求不同，ICS 系統(tǒng)設(shè)計需要兼顧應(yīng)用場景與控制管理等多方面因素，以優(yōu)先確保系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性。在這種設(shè)計理念的影響下，缺乏有效的工業(yè)安全防御和數(shù)據(jù)通信保密措施是很多工業(yè)控制系統(tǒng)所面臨的通病。

　　據(jù)權(quán)威工業(yè)安全事件信息庫RISI（Repository of Security Incidents）統(tǒng)計，截止2011年10 月，全球已發(fā)生200 余起針對工業(yè)控制系統(tǒng)的攻擊事件。2001 年后，通用開發(fā)標準與互聯(lián)網(wǎng)技術(shù)的廣泛使用，使得針對ICS 系統(tǒng)的攻擊行為出現(xiàn)大幅度增長，ICS 系統(tǒng)對于信息安全管理的需求變得更加迫切。

圖3：1982-2009 工業(yè)系統(tǒng)攻擊事件

　　縱觀我國工業(yè)控制系統(tǒng)的整體現(xiàn)狀，西門子、洛克韋爾、IGSS 等國際知名廠商生產(chǎn)的工控設(shè)備占據(jù)主動地位，由于缺乏核心知識產(chǎn)權(quán)和相關(guān)行業(yè)管理實施標準，在愈發(fā)智能開放的ICS 系統(tǒng)架構(gòu)與參差不齊的網(wǎng)絡(luò)運維現(xiàn)實前，存儲于控制系統(tǒng)、數(shù)據(jù)采集與監(jiān)控系統(tǒng)、現(xiàn)場總線以及相關(guān)聯(lián)的ERP、CRM、SCM 系統(tǒng)中的核心數(shù)據(jù)、控制指令、機密信息隨時可能被攻擊者竊取或篡改破壞。作為一項復(fù)雜而繁瑣的系統(tǒng)工程，保障工業(yè)系統(tǒng)的信息安全除了需要涉及工業(yè)自動化過程中所涉及到的產(chǎn)品、技術(shù)、操作系統(tǒng)、網(wǎng)絡(luò)架構(gòu)等因素，企業(yè)自身的管理水平更直接決定了ICS 系統(tǒng)的整體運維效果。遺憾的是當前我國網(wǎng)絡(luò)運維現(xiàn)實，決定了國內(nèi)ICS 系統(tǒng)的安全運維效果并不理想，安全風險存在于管理、配置、架構(gòu)的各個環(huán)節(jié)。

　　借鑒IT 安全領(lǐng)域ISO27001 信息安全管理體系和風險控制的成功經(jīng)驗，綜合工業(yè)控制網(wǎng)絡(luò)特點以及工業(yè)環(huán)境業(yè)務(wù)類型、組織職能、位置、資產(chǎn)、技術(shù)等客觀因素，對工業(yè)控制系統(tǒng)構(gòu)建ICS 信息安全管理體系，是確保工業(yè)控制系統(tǒng)高效穩(wěn)定運行的理論依據(jù)。

　　三、工業(yè)控制系統(tǒng)安全風險分析

　　1、風險分析

　　工業(yè)控制系統(tǒng)是我國重要基礎(chǔ)設(shè)施自動化生產(chǎn)的基礎(chǔ)組件，安全的重要性可見一斑，然而受到核心技術(shù)限制、系統(tǒng)結(jié)構(gòu)復(fù)雜、缺乏安全與管理標準等諸多因素影響，運行在ICS系統(tǒng)中的數(shù)據(jù)及操作指令隨時可能遭受來自敵對勢力、商業(yè)間諜、網(wǎng)絡(luò)犯罪團伙的破壞。根據(jù)工信部《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》要求，我國工業(yè)控制系統(tǒng)信息安全管理的重點領(lǐng)域包括核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關(guān)的領(lǐng)域。這些領(lǐng)域中的工業(yè)控制系統(tǒng)一旦遭到破壞，不僅會影響產(chǎn)業(yè)經(jīng)濟的持續(xù)發(fā)展，更會對國家安全造成巨大的損害。

　　典型工業(yè)控制系統(tǒng)入侵事件：

　　·2007年，攻擊者入侵加拿大的一個水利SCADA 控制系統(tǒng)，通過安裝惡意軟件破壞了用于取水調(diào)度的控制計算機；

　　·2008年，攻擊者入侵波蘭某城市的地鐵系統(tǒng)，通過電視遙控器改變軌道扳道器，導(dǎo)致4 節(jié)車廂脫軌；

　　·2010年，“網(wǎng)絡(luò)超級武器”Stuxnet 病毒通過針對性的入侵ICS 系統(tǒng)，嚴重威脅到伊朗布什爾核電站核反應(yīng)堆的安全運營；

　　·2011年，黑客通過入侵數(shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA，使得美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。

　　分析可以發(fā)現(xiàn)，造成工業(yè)控制系統(tǒng)安全風險加劇的主要原因有兩方面：

　　首先，傳統(tǒng)工業(yè)控制系統(tǒng)的出現(xiàn)時間要早于互聯(lián)網(wǎng)，它需要采用專用的硬件、軟件和通信協(xié)議，設(shè)計上以武力安全為主，基本沒有考慮互聯(lián)互通所必須考慮的通信安全問題。
　
　　其次，互聯(lián)網(wǎng)技術(shù)的出現(xiàn)，導(dǎo)致工業(yè)控制網(wǎng)絡(luò)中大量采用通用TCP/IP 技術(shù)，工業(yè)控制系統(tǒng)與各種業(yè)務(wù)系統(tǒng)的協(xié)作成為可能，愈加智能的ICS 網(wǎng)絡(luò)中各種應(yīng)用、工控設(shè)備以及辦公用PC 系統(tǒng)逐漸形成一張復(fù)雜的網(wǎng)絡(luò)拓撲。

　　僅基于工控協(xié)議識別與控制的安全解決方案在兩方面因素的合力下，已無法滿足新形勢下ICS 網(wǎng)絡(luò)運維要求，確保應(yīng)用層安全是當前ICS系統(tǒng)穩(wěn)定運營的基本前提。利用工控設(shè)備漏洞、TCP/IP 協(xié)議缺陷、工業(yè)應(yīng)用漏洞，攻擊者可以針對性的構(gòu)建更加隱蔽的攻擊通道。以Stuxnet 蠕蟲為例，其充分利用了伊朗布什爾核電站工控網(wǎng)絡(luò)中工業(yè)PC 與控制系統(tǒng)存在的安全漏洞（LIK 文件處理漏洞、打印機漏洞、RPC 漏洞、WinCC 漏洞、S7 項目文件漏洞以及Autorun.inf 漏洞），為攻擊者入侵提供了七條隱蔽的通道。

圖4：Stuxnet 蠕蟲病毒傳播的七條途徑

　　2、脆弱性分析

　　工業(yè)控制系統(tǒng)的安全性和重要性直接影響到國家戰(zhàn)略安全實施，但為兼顧工業(yè)應(yīng)用的場景和執(zhí)行效率，在追求ICS 系統(tǒng)高可用性和業(yè)務(wù)連續(xù)性的過程中，用戶往往會被動的降低ICS 系統(tǒng)的安全防御需求。識別ICS 存在的風險與安全隱患，實施相應(yīng)的安全保障策略是確保ICS 系統(tǒng)穩(wěn)定運行的有效手段。