工業(yè)控制體系網(wǎng)絡(luò)安全的思考

導(dǎo)語：工業(yè)控制體系網(wǎng)絡(luò)安全的思考一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

2010年，震網(wǎng)病毒Stuxnet通過針對性的入侵ICS系統(tǒng)，嚴(yán)重威脅到伊朗布什爾核電站核反應(yīng)堆的安全運(yùn)營。4)2011年，黑客通過入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA，使得美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。5)2012年，中東地區(qū)發(fā)生了一系列網(wǎng)絡(luò)攻擊，摧毀了該地區(qū)石油平臺的計算機(jī)系統(tǒng)，發(fā)動這些攻擊的惡意軟件被稱為“Wiper”。以上安全事件的出現(xiàn)均與SCADA系統(tǒng)本身的特征及脆弱性密切相關(guān)，因此對工業(yè)控制系統(tǒng)的安全風(fēng)險進(jìn)行及時有效的評估、管理和預(yù)防，對全面提高和保障工業(yè)系統(tǒng)的信息安全具有重要的意義。

ICS的網(wǎng)絡(luò)威脅與脆弱性

ICS系統(tǒng)的網(wǎng)絡(luò)威脅工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)架構(gòu)朝著工業(yè)以太網(wǎng)的方向發(fā)展，其開放性逐漸增強(qiáng)，基于TCP/IP以太網(wǎng)通訊的OPC(OLEforProcessControl，用于過程控制的一個工業(yè)標(biāo)準(zhǔn))技術(shù)在該領(lǐng)域得到廣泛應(yīng)用。從工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)現(xiàn)狀分析，ICS網(wǎng)絡(luò)面臨兩類安全威脅：1)開放性引入的安全風(fēng)險。例如TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議的漏洞很容易遭到來自外部或內(nèi)部網(wǎng)絡(luò)的攻擊。2)連接性引入的安全風(fēng)險。早期，工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)是物理隔離的，但近年來為了管理與生產(chǎn)的方便，兩個網(wǎng)絡(luò)系統(tǒng)間以邏輯隔離的方式存在，因此ICS系統(tǒng)也面臨來自企業(yè)網(wǎng)絡(luò)和Internet的威脅。表2總結(jié)了ICS系統(tǒng)存在的幾種網(wǎng)絡(luò)威脅[1]。

ICS系統(tǒng)的脆弱性工業(yè)控制系統(tǒng)的漏洞存在多個方面，如物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等，其中可以造成網(wǎng)絡(luò)入侵攻擊的漏洞主要包括以下一些問題[1，5]。

工業(yè)控制系統(tǒng)安全防護(hù)設(shè)計

近些年，業(yè)內(nèi)提出了深度防御策略[1，6-7]來對一個典型的ICS系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全防護(hù)，主要包括以下內(nèi)容：1)為ICS系統(tǒng)實現(xiàn)多層的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在最安全和可靠的層執(zhí)行最嚴(yán)格的通信。2)在企業(yè)網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)間提供邏輯隔離(即在兩個網(wǎng)絡(luò)間配置狀態(tài)檢測防火墻)。3)配置DMZ網(wǎng)絡(luò)結(jié)構(gòu)(即阻止企業(yè)網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)的直接通信)。4)確保關(guān)鍵的部件是冗余的，并且部署在冗余網(wǎng)絡(luò)上。5)在經(jīng)過測試能夠確保不影響ICS操作的情況下，禁止ICS設(shè)備未使用的端口和服務(wù)。6)嚴(yán)格限制物理設(shè)備接入ICS網(wǎng)絡(luò)。7)建立基于角色的訪問控制規(guī)則，根據(jù)最小化特權(quán)的原則配置每個角色的權(quán)力。8)考慮對ICS網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)的用戶采用獨立的鑒權(quán)機(jī)制。9)在技術(shù)可行的情況下實現(xiàn)安全控制，如防病毒軟件、文件完整性檢查軟件，以阻止、發(fā)現(xiàn)和減少惡意軟件的進(jìn)入和傳播。10)在ICS數(shù)據(jù)的存儲和通信中，應(yīng)用加密等安全技術(shù)。11)在現(xiàn)場環(huán)境中，必須在測試系統(tǒng)上測試所有的補(bǔ)丁，然后再安裝到ICS系統(tǒng)并配置安全的補(bǔ)丁。12)在ICS的重要區(qū)域跟蹤和監(jiān)控審計日志。這里認(rèn)為在ICS的3層網(wǎng)絡(luò)體系中，應(yīng)進(jìn)行多層-多級安全防護(hù)。在各層邊界部署防火墻以進(jìn)行有效隔離。其中信息管理層部署商業(yè)防火墻，商用IDS、IPS，以過濾、監(jiān)控、聯(lián)動處理2-7層網(wǎng)絡(luò)的攻擊；在生產(chǎn)管理層部署面向生產(chǎn)過程控制的工業(yè)防火墻，同時對信息管理層的外部用戶、第三方的連接需求采用專用VPN設(shè)備，在生產(chǎn)管理層部署具有物理隔離功能的單向網(wǎng)閘，通過其單向的數(shù)據(jù)導(dǎo)入和物理隔離能力保證工業(yè)過程的信息流嚴(yán)格可控。此外，在接入?yún)^(qū)部署防病毒服務(wù)器及終端管理系統(tǒng)，并對商用數(shù)據(jù)庫部署審計系統(tǒng)，滿足數(shù)據(jù)管理要求；在管理運(yùn)維客戶端部署運(yùn)維操作審計系統(tǒng)，滿足配置管理要求，強(qiáng)化口令及權(quán)限管理；針對PC/服務(wù)器的操作系統(tǒng)級漏洞實現(xiàn)有效管理，部署商用漏洞掃描產(chǎn)品；針對采用無線連接的系統(tǒng)，部署無線安全產(chǎn)品。通過上述的多層-多級防護(hù)，可以基本滿足《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)[2011]451號)的要求。

結(jié)語

文中針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題，從ICS與IT系統(tǒng)的區(qū)別上分析了信息安全的主要差異，并探討了引起ICS網(wǎng)絡(luò)威脅的來源，表述了ICS系統(tǒng)網(wǎng)絡(luò)架構(gòu)存在的脆弱性，同時提出了工業(yè)控制系統(tǒng)安全防護(hù)的總體設(shè)計方案，為從根源防護(hù)ICS網(wǎng)絡(luò)的安全提供了一些參考思路。

作者：郭春梅，畢學(xué)堯單位：北京網(wǎng)御星云信息技術(shù)有限公司