1、工 业 控 制 系统 安 全 隐 患和 防 护 分 析 王松 孙 海铭 工 业 和信 息 化部 威 海电 子 信息 技 术综 合 研究 中 心 摘 要: “ 互联网 +”背景下, 工业控制系统原有相对封闭的使用环境逐渐被打破, 开放 性和互联性越来越强, 作为国家的重要基础设施, 工业控制系统的安全形势日 益严峻。 工控系统安全现状变得愈发重要。 本文研究分析了工控系统的现状和安 全隐患, 并提出了防范建议。 关键词 : 工业控制系统; 安全; 分析; 一、工业控制系统现状 工业控制系统, Industrial Control System, ICS, 是指由计算机与工业过程控 制部件组成的自
2、动控制系统。 由各种自动化控制组件和实时数据采集监测的过程 控制组件共同构成, 主要实现数据采集和处理、 监视和控制、 远程通 信和维护等 功能。 工控系统包括数据采集与监控系统、 分布式控制系统、 可编程逻辑控制器、 远程终端、 智能电子设备, 以及确保各系统及智能设备通信的接口技术。 在新形 势下, 工业控制系统从原有的相对比较封闭的环境, 一步一步的接入到了外部 环境, 与外部网络的互联性和交互性逐渐增强。 制造业 作为国家的重要战略行业, 基础设施的安全形势因此也变得日益严峻。为此, 国家工业和信息化部在 2016 年10 月印发了工业控制系统信息安全防护指南, 要求全国工业企业切实加
3、 强工业控制系统 (ICS) 安全防护, 制定工控安全防护实施方案。 二、工业控制系统安全隐患分析 1 、工 业控制 系统 的技术 隐患 。 工控系统的技术隐患主要包括系统操作平台、 工控系统应用软件、 工控系统网络 协议三个部分。1.系统平台。 工控系统的操作平台本身具有一定的安全漏洞。 利 用操作系统的漏洞, 可能直接影响所部署的工控系统, 从而破坏或控制企业 的 工控系统。2.工控应用软件。 工控系统的所使用应用软件的程序漏洞的给工控系 统带来最严重的危害。 因为工控设备差异性和工控软件的应用行为不同, 所以不 容易采用同一的防范策略, 同时应用软件在设计开发中的开发性, 也带了潜在的安
4、全风险。3.工控系统网络协议。工控系统所采用的 PROFINET、OPC、DNP3、 MODBUS 、PROFIBUS、IEC-104 等网络协议都存在安全漏洞。比如在 Microsoft Windows 系统中采用的 OPC 协议, 除了Microsoft Windows 这个操作系统的安全 漏洞, 一般情 况下, OPC 协议为了实现信息交互的便利性, OPC 客户端在获得数 据时会采取同一个用户名和同一个密码。 在这种情形下, 当制造企业生产过程执 行系统 (MES) 遭遇到恶意的攻击行为, 很可能因为系统设置的缺陷改变 OPC 的 原式设置, 为MES 系统带来风险。 在选择其他常用通
5、讯协议时, 更在意协议的便 利性和适应性, 从而也带来了很大的风险。 2 、安 全防护 软件 的隐患 。 企业为工控系统安装一些安全软件, 由于恶意软件和病毒的未知性, 安全软件 在识别木马或者病毒中, 可能也会影响工控系统的系统软件和应用软件, 企业 在主要 控制设备中可能不会去部署安全软件, 或者存在安全软件本身升级不及 时、病毒特征库更新不及时等情形, 也带来恶意软件侵害的安全风险。 3 、管 理制度 的隐 患。 管理制度的缺陷以及技术人员的安全意识薄弱, 也会带来巨大的安全隐患。 目前 企业在工控系统建设中往往重视硬件设备的选购和建设, 当硬件系统建设完成 后却没有落实相适应的制度。
6、三、工控安全防护现状和建议 1 、防 护现状 。 工控安全的重要性显而易见, 各个国家采用了多种措施和规划应对工业控制系 统安全问题。 美国发布了 制造业与工业控制系统安全保障能力评估 草案, 设 立了 网络安全监管机构;以色列推出了“前进 2.0”网络安全产业计划, 日本成 立工业网络安全促进机构, 韩国政府公布“ 韩国 ICT2020”五年战略。我国于 2016 年 10 月印发了 工业控制系统信息安全防护指南, 针对于工业控制系统 发布的安全指南, 涉及 11 个方面30 项要求, 包含了建立贯穿工业控制系统规 划、设计、建设、运行、维护等全生命周期的行业安全防护体系。 2 、防 护建议
7、 。 根据防护指南, 在工控安全体系建设中, 需要建设一个完整的工控系统安全防 护体系, 包括:工控信息安全管理、工控安全风险评估、工控网络安全防护 以及 相应的管理制度等, 确保工业控制系统信息的安全。 具体技术策略可以采用纵深 防御策略, 这样可以有效的防御系统中的安全威胁。 纵深防御策略是集边界防护, 区域防护, 主机应用白名单防护, 实时监测, 统一管理为一体的多维度防护策 略。 边界防护采用工业边界防火墙, 工业隔离网关等设备, 通过对工业专有协议 的深度解析, 智能学习工控操作指令和参数建立和通讯 “白名单”。 在工控设备 管理中, 需要建立一个合理的信息安全管理制度, 在制度上建
8、设安全防线。 结语:工业控制系统安全不仅关系到企业自身生产运营, 更关系到政府和国 家的 稳定和发展。在两化融合和智能制造的推进过程中, 更要做好工业控制安全防 护。 参考文献 1 隋爱芬.工业信息安 全标准概述J.自动化博览, 2014, (10) :94-97.2017-09-20. 2 沈亮, 陆臻, 张艳. 网络入侵检测系统原理与应用 J.计算机安全, 2013, (11) :35.2017-09-20. 3 卢硕, 钟政良, 万 连城.计算机系统的 EMC 及TEMPESTJ.电子科技, 2005, (12) :38-41+45.2017-09-20.DOI:10.16180/ki.issn1007-7820.2005.12 .011
