ICS工業(yè)控制系統(tǒng)安全風險分析

　　·安全策略與管理流程的脆弱性

　　追求可用性而犧牲安全，這是很多工業(yè)控制系統(tǒng)存在普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程是當前我國工業(yè)控制系統(tǒng)的最大難題，很多已經(jīng)實施了安全防御措施的ICS網(wǎng)絡仍然會因為管理或操作上的失誤，造成ICS 系統(tǒng)出現(xiàn)潛在的安全短板。例如，工業(yè)控制系統(tǒng)中的移動存儲介質的使用和不嚴格的訪問控制策略。

　　作為信息安全管理的重要組成部分，制定滿足業(yè)務場景需求的安全策略，并依據(jù)策略制定管理流程，是確保ICS 系統(tǒng)穩(wěn)定運行的基礎。參照NERC CIP、ANSI/ISA-99、IEC 62443等國際標準，目前我國安全策略與管理流程的脆弱性表現(xiàn)為：

　　·缺乏ICS 的安全策略；
　　·缺乏ICS 的安全培訓與意識培養(yǎng)；
　　·缺乏安全架構與設計
　　·缺乏根據(jù)安全策略制定的正規(guī)、可備案的安全流程；
　　·缺乏ICS 安全審計機制；
　　·缺乏針對ICS 的業(yè)務連續(xù)性與災難恢復計劃；
　　·缺乏針對ICS 配置變更管理。

　　※工控平臺的脆弱性

　　隨著TCP/IP 等通用協(xié)議與開發(fā)標準引入工業(yè)控制系統(tǒng)，開放、透明的工業(yè)控制系統(tǒng)同樣為物聯(lián)網(wǎng)、云計算、移動互聯(lián)網(wǎng)等新興技術領域開辟出廣闊的想象空間。理論上絕對的物理隔離網(wǎng)絡正因為需求和業(yè)務模式的改變而不再切實可行。

　　目前，多數(shù)ICS 網(wǎng)絡僅通過部署防火墻來保證工業(yè)網(wǎng)絡與辦公網(wǎng)絡的相對隔離，各個工業(yè)自動化單元之間缺乏可靠的安全通信機制，例如基于DCOM 編程規(guī)范的OPC 接口幾乎不可能使用傳統(tǒng)的IT 防火墻來確保其安全性。數(shù)據(jù)加密效果不佳，工業(yè)控制協(xié)議的識別能力不理想，加之缺乏行業(yè)標準規(guī)范與管理制度，工業(yè)控制系統(tǒng)的安全防御能力十分有限。

　　旨在保護電力生產與交通運輸控制系統(tǒng)安全的國際標準NERC CIP 明確要求，實施安全策略確保資產安全是確?？刂葡到y(tǒng)穩(wěn)定運行的最基本要求。將具有相同功能和安全要求的控制設備劃分到同一區(qū)域，區(qū)域之間執(zhí)行管道通信，通過控制區(qū)域間管道中的通信內容是目前工業(yè)控制領域普遍被認可的安全防御措施。

　　另一種容易忽略的情況是，由于不同行業(yè)的應用場景不同，其對于功能區(qū)域的劃分和安全防御的要求也各不相同，而對于利用針對性通信協(xié)議與應用層協(xié)議的漏洞來傳播的惡意攻擊行為更是無能為力。更為嚴重的是工業(yè)控制系統(tǒng)的補丁管理效果始終無法令人滿意，考慮到ICS 補丁升級所存在的運行平臺與軟件版本限制，以及系統(tǒng)可用性與連續(xù)性的硬性要求，ICS 系統(tǒng)管理員絕不會輕易安裝非ICS 設備制造商指定的升級補丁。與此同時，工業(yè)系統(tǒng)補丁動輒半年的補丁發(fā)布周期，也讓攻擊者有較多的時間來利用已存在漏洞發(fā)起攻擊。著名的工業(yè)自動化與控制設備提供商西門子就曾因漏洞公布不及時而飽受質疑。

　　據(jù)金山網(wǎng)絡企業(yè)安全事業(yè)部統(tǒng)計，2010-2011 年間，已確認的針對工業(yè)控制系統(tǒng)攻擊，從攻擊代碼傳播到樣本被檢測確認，傳統(tǒng)的安全防御機制通常需要2 個月左右的時間，而對于例如Stuxnet 或更隱蔽的Duqu 病毒，其潛伏期更是長達半年之久。無論是針對工業(yè)系統(tǒng)的攻擊事件，還是更隱蔽且持續(xù)威脅的APT 攻擊行為，基于黑名單或單一特征比對的信息安全解決方案都無法有效防御，更不要說利用0day 漏洞的攻擊行為。而IT 領域廣泛采用的主動防御技術，因為其存在較大的誤殺風險，并不適用于工業(yè)控制系統(tǒng)的高性能作業(yè)。目前，唯有基于白名單機制的安全監(jiān)測技術是被工業(yè)控制系統(tǒng)用戶普遍任何的解決方案。

　　※網(wǎng)絡的脆弱性

　　通用以太網(wǎng)技術的引入讓ICS 變得智能，也讓工業(yè)控制網(wǎng)絡愈發(fā)透明、開放、互聯(lián)，TCP/IP 存在的威脅同樣會在工業(yè)網(wǎng)絡中重現(xiàn)。此外，工業(yè)控制網(wǎng)絡的專屬控制協(xié)議更為攻擊者提供了了解工業(yè)控制網(wǎng)絡內部環(huán)境的機會。確保工業(yè)網(wǎng)絡的安全穩(wěn)定運營，必須針對ICS 網(wǎng)絡環(huán)境進行實時異常行為的“發(fā)現(xiàn)、檢測、清除、恢復、審計”一體化的保障機制。當前ICS 網(wǎng)絡主要的脆弱性集中體現(xiàn)為：

　　·邊界安全策略缺失；
　　·系統(tǒng)安全防御機制缺失；
　　·管理制度缺失或不完善；
　　·網(wǎng)絡配置規(guī)范缺失；
　　·監(jiān)控與應急響應制度缺失；
　　·網(wǎng)絡通信保障機制缺失；
　　·無線網(wǎng)絡接入認證機制缺失；
　　·基礎設施可用性保障機制缺失。

　　3、潛在威脅分析

　　作為國家關鍵基礎設施自動化控制的基本組成部分，由于其承載著海量的操作數(shù)據(jù)，并可以通過篡改邏輯控制器控制指令而實現(xiàn)對目標控制系統(tǒng)的攻擊，針對工業(yè)控制網(wǎng)絡的定向攻擊目前正成為敵對勢力和網(wǎng)絡犯罪集團實施滲透攫取利益的重點對象。稍有不慎就有可能對涉及國計民生的重要基礎設施造成損害?？蓪е翴CS 系統(tǒng)遭受破壞的威脅主要有：

　　·控制系統(tǒng)發(fā)生拒絕服務；
　　·向控制系統(tǒng)注入惡意代碼；
　　·對可編程控制器進行非法操作；
　　·對無線AP 進行滲透；
　　·工業(yè)控制系統(tǒng)存在漏洞；
　　·錯誤的策略配置；
　　·人員及流程控制策略缺失。

　　四、工業(yè)控制系統(tǒng)安全管理體系

　　信息化與工業(yè)化深度融合的今天，無論是關乎國計民生的電力、石化、水利、鐵路、民航等基礎保障行業(yè)，還是逐漸成規(guī)模的物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新型行業(yè)，交互已成ICS 系統(tǒng)的重要特性?；ヂ?lián)與交互體驗提升的同時，威脅也在與日俱增。

　　目前我國ICS 系統(tǒng)的信息安全管理仍存在諸多問題，例如，大型制造行業(yè)普遍存在因設備使用時間較長，安全防護能力缺失等問題；而在諸如石化電力等重要基礎設施保障行業(yè)，又因為應用和新技術的更替，海量的分布式控制組件與業(yè)務單元都讓電力控制網(wǎng)絡變得愈發(fā)復雜，在可用性面前安全防御機制難免出現(xiàn)疏漏。因此，在參照國際流行標準以及我國工業(yè)控制系統(tǒng)所存在的具體安全風險等因素，一種基于終端可用性和安全性兼顧的控制系統(tǒng)安全解決方案被提出，用以從威脅入侵的根源滿足工業(yè)控制系統(tǒng)的安全需求。

　　基于終端的工業(yè)系統(tǒng)安全防御體系

　　工業(yè)網(wǎng)絡中同時存在保障工業(yè)系統(tǒng)的工業(yè)控制網(wǎng)絡和保障生產經(jīng)營的辦公網(wǎng)絡，考慮到不同業(yè)務終端的安全性與故障容忍程度的不同，對其防御的策略和保障措施應該按照等級進行劃分，實施分層次的縱深防御體系。

　　按照業(yè)務職能和安全需求的不同，工業(yè)網(wǎng)絡可劃分為以下幾個區(qū)域：

　　·滿足辦公終端業(yè)務需要的辦公區(qū)域；
　　·滿足在線業(yè)務需要DMZ 區(qū)域；
　　·滿足ICS 管理與監(jiān)控需要的管理區(qū)域；
　　·滿足自動化作業(yè)需要的控制區(qū)域。

　　針對不同區(qū)域間數(shù)據(jù)通信安全和整體信息化建設要求，實施工業(yè)控制網(wǎng)絡安全建設，首先需要針對ICS 網(wǎng)絡管理的關鍵區(qū)域實施可靠的邊界安全策略，實現(xiàn)分層級的縱深安全防御策略，抵御各種已知的攻擊威脅。

圖5：工業(yè)控制系統(tǒng)邊界防御思想

　　※辦公網(wǎng)絡終端的安全防御

　　辦公網(wǎng)絡相對于工業(yè)控制網(wǎng)絡是開放，其安全防御的核心是確保各種辦公業(yè)務終端的安全性和可用性，以及基于終端使用者的角色實施訪問控制策略。辦公網(wǎng)絡也是最容易受到攻擊者攻擊并實施進一步定向攻擊的橋頭堡，實施有效的辦公網(wǎng)絡終端安全策略可最大限度的抵御針對ICS 系統(tǒng)的破壞。辦公網(wǎng)絡通用終端安全防御能力建設包括：

　　·病毒、木馬等威脅系統(tǒng)正常運行惡意軟件防御能力；
　　·基于白名單的惡意行為發(fā)現(xiàn)與檢測能力；
　　·終端應用控制與審計能力；
　　·基于角色的訪問控制能力；
　　·系統(tǒng)漏洞的檢測與修復能力；
　　·基于系統(tǒng)異常的恢復能力；
　　·外設的管理與控制能力；
　　·基于終端行為與事件的審計能力；
　　·終端安全的應急響應能力。

　　※工業(yè)控制網(wǎng)絡終端的安全防御

　　工業(yè)控制網(wǎng)絡具有明顯的獨有特性，其安全防御的核心是確?？刂葡到y(tǒng)與監(jiān)控系統(tǒng)的可用性，以及針對ICS 系統(tǒng)與管理員、ICS 系統(tǒng)內部自動化控制組件間的訪問控制策略。同時需要確?？刂葡到y(tǒng)在發(fā)生異?；虬踩录r，能夠在不影響系統(tǒng)可用性的情況下，幫助管理員快速定位安全故障點。

　　在確?？刂葡到y(tǒng)可用性的前提下，工業(yè)控制網(wǎng)絡終端安全防御能力建設需要做到如下幾個方面：

　　·基于行業(yè)最佳實踐標準的合規(guī)保證能力；
　　·基于白名單策略的控制終端惡意軟件防御能力；
　　·基于白名單的惡意未知行為發(fā)現(xiàn)與檢測能力；
　　·基于ICS 協(xié)議的內容監(jiān)測能力；
　　·基于控制系統(tǒng)的漏洞及威脅防御能力；
　　·基于可用性的最小威脅容忍模型建設能力；
　　·基于事件與行為的審計能力；
　　·基于可用性的系統(tǒng)補丁修復能力；
　　·終端安全的應急響應能。

　　※工業(yè)網(wǎng)絡終端安全管控平臺建設

　　充分了解控制終端與業(yè)務終端的安全能力建設規(guī)范與功能，是構建高性能安全事件審計與管理運維平臺模型的前提，也是實現(xiàn)工業(yè)網(wǎng)絡中對分布式控制系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、監(jiān)控系統(tǒng)的統(tǒng)一監(jiān)控、預警和安全響應的基礎平臺。安全管控平臺不僅是實施工業(yè)數(shù)據(jù)采集和監(jiān)控內容的匯聚中心，基于ICS 安全威脅的知識庫仿真模塊，更可實時對檢測到的異?；蛭词跈嘣L問進行核查評估，并將風險通過短信、郵件等方式對管理員告警。