ICS工业控制系统安全风险分析

　　·安全策略与管理流程的脆弱性

　　追求可用性而牺牲安全，这是很多工业控制系统存在普遍现象，缺乏完整有效的安全策略与管理流程是当前我国工业控制系统的最大难题，很多已经实施了安全防御措施的ICS网络仍然会因为管理或操作上的失误，造成ICS 系统出现潜在的安全短板。例如，工业控制系统中的移动存储介质的使用和不严格的访问控制策略。

　　作为信息安全管理的重要组成部分，制定满足业务场景需求的安全策略，并依据策略制定管理流程，是确保ICS 系统稳定运行的基础。参照NERC CIP、ANSI/ISA-99、IEC 62443等国际标准，目前我国安全策略与管理流程的脆弱性表现为：

　　·缺乏ICS 的安全策略；
　　·缺乏ICS 的安全培训与意识培养；
　　·缺乏安全架构与设计
　　·缺乏根据安全策略制定的正规、可备案的安全流程；
　　·缺乏ICS 安全审计机制；
　　·缺乏针对ICS 的业务连续性与灾难恢复计划；
　　·缺乏针对ICS 配置变更管理。

　　※工控平台的脆弱性

　　随着TCP/IP 等通用协议与开发标准引入工业控制系统，开放、透明的工业控制系统同样为物联网、云计算、移动互联网等新兴技术领域开辟出广阔的想象空间。理论上绝对的物理隔离网络正因为需求和业务模式的改变而不再切实可行。

　　目前，多数ICS 网络仅通过部署防火墙来保证工业网络与办公网络的相对隔离，各个工业自动化单元之间缺乏可靠的安全通信机制，例如基于DCOM 编程规范的OPC 接口几乎不可能使用传统的IT 防火墙来确保其安全性。数据加密效果不佳，工业控制协议的识别能力不理想，加之缺乏行业标准规范与管理制度，工业控制系统的安全防御能力十分有限。

　　旨在保护电力生产与交通运输控制系统安全的国际标准NERC CIP 明确要求，实施安全策略确保资产安全是确保控制系统稳定运行的最基本要求。将具有相同功能和安全要求的控制设备划分到同一区域，区域之间执行管道通信，通过控制区域间管道中的通信内容是目前工业控制领域普遍被认可的安全防御措施。

　　另一种容易忽略的情况是，由于不同行业的应用场景不同，其对于功能区域的划分和安全防御的要求也各不相同，而对于利用针对性通信协议与应用层协议的漏洞来传播的恶意攻击行为更是无能为力。更为严重的是工业控制系统的补丁管理效果始终无法令人满意，考虑到ICS 补丁升级所存在的运行平台与软件版本限制，以及系统可用性与连续性的硬性要求，ICS 系统管理员绝不会轻易安装非ICS 设备制造商指定的升级补丁。与此同时，工业系统补丁动辄半年的补丁发布周期，也让攻击者有较多的时间来利用已存在漏洞发起攻击。著名的工业自动化与控制设备提供商西门子就曾因漏洞公布不及时而饱受质疑。

　　据金山网络企业安全事业部统计，2010-2011 年间，已确认的针对工业控制系统攻击，从攻击代码传播到样本被检测确认，传统的安全防御机制通常需要2 个月左右的时间，而对于例如Stuxnet 或更隐蔽的Duqu 病毒，其潜伏期更是长达半年之久。无论是针对工业系统的攻击事件，还是更隐蔽且持续威胁的APT 攻击行为，基于黑名单或单一特征比对的信息安全解决方案都无法有效防御，更不要说利用0day 漏洞的攻击行为。而IT 领域广泛采用的主动防御技术，因为其存在较大的误杀风险，并不适用于工业控制系统的高性能作业。目前，唯有基于白名单机制的安全监测技术是被工业控制系统用户普遍任何的解决方案。

　　※网络的脆弱性

　　通用以太网技术的引入让ICS 变得智能，也让工业控制网络愈发透明、开放、互联，TCP/IP 存在的威胁同样会在工业网络中重现。此外，工业控制网络的专属控制协议更为攻击者提供了了解工业控制网络内部环境的机会。确保工业网络的安全稳定运营，必须针对ICS 网络环境进行实时异常行为的“发现、检测、清除、恢复、审计”一体化的保障机制。当前ICS 网络主要的脆弱性集中体现为：

　　·边界安全策略缺失；
　　·系统安全防御机制缺失；
　　·管理制度缺失或不完善；
　　·网络配置规范缺失；
　　·监控与应急响应制度缺失；
　　·网络通信保障机制缺失；
　　·无线网络接入认证机制缺失；
　　·基础设施可用性保障机制缺失。

　　3、潜在威胁分析

　　作为国家关键基础设施自动化控制的基本组成部分，由于其承载着海量的操作数据，并可以通过篡改逻辑控制器控制指令而实现对目标控制系统的攻击，针对工业控制网络的定向攻击目前正成为敌对势力和网络犯罪集团实施渗透攫取利益的重点对象。稍有不慎就有可能对涉及国计民生的重要基础设施造成损害。可导致ICS 系统遭受破坏的威胁主要有：

　　·控制系统发生拒绝服务；
　　·向控制系统注入恶意代码；
　　·对可编程控制器进行非法操作；
　　·对无线AP 进行渗透；
　　·工业控制系统存在漏洞；
　　·错误的策略配置；
　　·人员及流程控制策略缺失。

　　四、工业控制系统安全管理体系

　　信息化与工业化深度融合的今天，无论是关乎国计民生的电力、石化、水利、铁路、民航等基础保障行业，还是逐渐成规模的物联网、移动互联网等新型行业，交互已成ICS 系统的重要特性。互联与交互体验提升的同时，威胁也在与日俱增。

　　目前我国ICS 系统的信息安全管理仍存在诸多问题，例如，大型制造行业普遍存在因设备使用时间较长，安全防护能力缺失等问题；而在诸如石化电力等重要基础设施保障行业，又因为应用和新技术的更替，海量的分布式控制组件与业务单元都让电力控制网络变得愈发复杂，在可用性面前安全防御机制难免出现疏漏。因此，在参照国际流行标准以及我国工业控制系统所存在的具体安全风险等因素，一种基于终端可用性和安全性兼顾的控制系统安全解决方案被提出，用以从威胁入侵的根源满足工业控制系统的安全需求。

　　基于终端的工业系统安全防御体系

　　工业网络中同时存在保障工业系统的工业控制网络和保障生产经营的办公网络，考虑到不同业务终端的安全性与故障容忍程度的不同，对其防御的策略和保障措施应该按照等级进行划分，实施分层次的纵深防御体系。

　　按照业务职能和安全需求的不同，工业网络可划分为以下几个区域：

　　·满足办公终端业务需要的办公区域；
　　·满足在线业务需要DMZ 区域；
　　·满足ICS 管理与监控需要的管理区域；
　　·满足自动化作业需要的控制区域。

　　针对不同区域间数据通信安全和整体信息化建设要求，实施工业控制网络安全建设，首先需要针对ICS 网络管理的关键区域实施可靠的边界安全策略，实现分层级的纵深安全防御策略，抵御各种已知的攻击威胁。

图5：工业控制系统边界防御思想

　　※办公网络终端的安全防御

　　办公网络相对于工业控制网络是开放，其安全防御的核心是确保各种办公业务终端的安全性和可用性，以及基于终端使用者的角色实施访问控制策略。办公网络也是最容易受到攻击者攻击并实施进一步定向攻击的桥头堡，实施有效的办公网络终端安全策略可最大限度的抵御针对ICS 系统的破坏。办公网络通用终端安全防御能力建设包括：

　　·病毒、木马等威胁系统正常运行恶意软件防御能力；
　　·基于白名单的恶意行为发现与检测能力；
　　·终端应用控制与审计能力；
　　·基于角色的访问控制能力；
　　·系统漏洞的检测与修复能力；
　　·基于系统异常的恢复能力；
　　·外设的管理与控制能力；
　　·基于终端行为与事件的审计能力；
　　·终端安全的应急响应能力。

　　※工业控制网络终端的安全防御

　　工业控制网络具有明显的独有特性，其安全防御的核心是确保控制系统与监控系统的可用性，以及针对ICS 系统与管理员、ICS 系统内部自动化控制组件间的访问控制策略。同时需要确保控制系统在发生异常或安全事件时，能够在不影响系统可用性的情况下，帮助管理员快速定位安全故障点。

　　在确保控制系统可用性的前提下，工业控制网络终端安全防御能力建设需要做到如下几个方面：

　　·基于行业最佳实践标准的合规保证能力；
　　·基于白名单策略的控制终端恶意软件防御能力；
　　·基于白名单的恶意未知行为发现与检测能力；
　　·基于ICS 协议的内容监测能力；
　　·基于控制系统的漏洞及威胁防御能力；
　　·基于可用性的最小威胁容忍模型建设能力；
　　·基于事件与行为的审计能力；
　　·基于可用性的系统补丁修复能力；
　　·终端安全的应急响应能。

　　※工业网络终端安全管控平台建设

　　充分了解控制终端与业务终端的安全能力建设规范与功能，是构建高性能安全事件审计与管理运维平台模型的前提，也是实现工业网络中对分布式控制系统、数据采集系统、监控系统的统一监控、预警和安全响应的基础平台。安全管控平台不仅是实施工业数据采集和监控内容的汇聚中心，基于ICS 安全威胁的知识库仿真模块，更可实时对检测到的异常或未授权访问进行核查评估，并将风险通过短信、邮件等方式对管理员告警。