隨著工業(yè)化與信息化進(jìn)程的不斷交叉融合，越來(lái)越多的信息技術(shù)應(yīng)用到了工業(yè)領(lǐng)域。目前，超過(guò)80%的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè)。工業(yè)控制系統(tǒng)已經(jīng)成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，工業(yè)控制系統(tǒng)的安全關(guān)系到國(guó)家的戰(zhàn)略安全。

　　工業(yè)控制系統(tǒng)安全特點(diǎn)

　　工業(yè)控制系統(tǒng)領(lǐng)域與傳統(tǒng)的信息安全領(lǐng)域有很大的不同。工業(yè)控制系統(tǒng)強(qiáng)調(diào)的是工業(yè)自動(dòng)化過(guò)程及相關(guān)設(shè)備的智能控制、監(jiān)測(cè)與管理，而且更為關(guān)注系統(tǒng)的實(shí)時(shí)性與業(yè)務(wù)連續(xù)性。也就是說(shuō)，工業(yè)控制系統(tǒng)對(duì)系統(tǒng)設(shè)備的可用性、實(shí)時(shí)性、可控性等特性要求很高。

　　由于工業(yè)控制系統(tǒng)設(shè)備及通信規(guī)約的專有性以及系統(tǒng)的相對(duì)封閉性，使得一般的互聯(lián)網(wǎng)黑客或黑客組織很難獲得相應(yīng)的工業(yè)控制系統(tǒng)攻防研究環(huán)境以及相關(guān)系統(tǒng)資料支持，從而通常黑客的攻防研究工作多集中在互聯(lián)網(wǎng)或普通IT信息系統(tǒng)上，而很少關(guān)注工業(yè)控制系統(tǒng)，自然相關(guān)的系統(tǒng)及通信規(guī)約的安全缺陷或漏洞也很少被發(fā)現(xiàn)。

　　但是隨著2010年“震網(wǎng)”及后續(xù)一系列工控安全事件的發(fā)生，表明出于某些國(guó)際組織、國(guó)家的政治、經(jīng)濟(jì)、軍事等原因，工業(yè)控制系統(tǒng)已經(jīng)面臨這些組織所發(fā)起的新型高級(jí)可持續(xù)的攻擊威脅。

　　工業(yè)控制系統(tǒng)面臨的安全問(wèn)題

　　目前工業(yè)控制系統(tǒng)普遍存在一些嚴(yán)重的安全問(wèn)題，主要表現(xiàn)為：

　　1.嚴(yán)重漏洞難以及時(shí)處理，系統(tǒng)安全風(fēng)險(xiǎn)巨大

　　當(dāng)前主流的工業(yè)控制系統(tǒng)普遍存在安全漏洞，且多為能夠造成遠(yuǎn)程攻擊、越權(quán)執(zhí)行的嚴(yán)重威脅類漏洞；而且近兩年漏洞的數(shù)量呈快速增長(zhǎng)的趨勢(shì)。工業(yè)控制系統(tǒng)通信協(xié)議種類繁多、系統(tǒng)軟件難以及時(shí)升級(jí)、設(shè)備使用周期長(zhǎng)以及系統(tǒng)補(bǔ)丁兼容性差、發(fā)布周期長(zhǎng)等現(xiàn)實(shí)問(wèn)題，又造成工業(yè)控制系統(tǒng)的補(bǔ)丁管理困難，難以及時(shí)處理威脅嚴(yán)重的漏洞。

　　2.工業(yè)控制系統(tǒng)協(xié)議缺乏足夠的安全性考慮，易被攻擊者利用

　　專有的工業(yè)控制通信協(xié)議或規(guī)約在設(shè)計(jì)時(shí)通常只強(qiáng)調(diào)通信的實(shí)時(shí)性及可用性，對(duì)安全性普遍考慮不足：比如缺少足夠強(qiáng)度的認(rèn)證、加密、授權(quán)等。尤其是工業(yè)控制系統(tǒng)中的無(wú)線通信協(xié)議，更容易遭受第三者的竊聽(tīng)及欺騙性攻擊。

　　3.缺乏違規(guī)操作、越權(quán)訪問(wèn)行為審計(jì)能力

　　操作管理人員的技術(shù)水平和安全意識(shí)差別較大，容易發(fā)生越權(quán)訪問(wèn)、違規(guī)操作，給生產(chǎn)系統(tǒng)埋下極大的安全隱患。實(shí)事上，國(guó)內(nèi)ICS相對(duì)封閉的環(huán)境，也使得來(lái)自系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性操作成為工業(yè)控制系統(tǒng)所面臨的主要安全風(fēng)險(xiǎn)。因此，對(duì)生產(chǎn)網(wǎng)絡(luò)的訪問(wèn)行為、特定控制協(xié)議內(nèi)容和數(shù)據(jù)庫(kù)數(shù)據(jù)的真實(shí)性、完整性進(jìn)行監(jiān)控、管理與審計(jì)是非常必要的。

　　但現(xiàn)實(shí)環(huán)境中通常缺乏針對(duì)ICS的安全日志審計(jì)及配置變更管理。這是因?yàn)椴糠諭CS系統(tǒng)可能不具備審計(jì)功能或者雖有日志審計(jì)功能但系統(tǒng)的性能要求決定了它不能開(kāi)啟審計(jì)功能所造成的結(jié)果。同時(shí)目前的安全審計(jì)產(chǎn)品因缺乏對(duì)工業(yè)控制系統(tǒng)通信協(xié)議的解析能力而不能直接用于ICS系統(tǒng)中，需要專門(mén)的定制。由于工業(yè)控制系統(tǒng)通信協(xié)議缺乏統(tǒng)一的標(biāo)準(zhǔn)，使得這種定制工作代價(jià)巨大且不能通用也是造成ICS中違規(guī)操作行為審計(jì)缺乏的原因之一。

　　4.沒(méi)有足夠的安全政策、管理制度，人員安全意識(shí)缺乏

　　由于工業(yè)控制系統(tǒng)不像互聯(lián)網(wǎng)或與傳統(tǒng)企業(yè)IT網(wǎng)絡(luò)那樣備受黑客的關(guān)注，在2010年“震網(wǎng)”事件發(fā)生之前很少有黑客攻擊工業(yè)控制網(wǎng)絡(luò)的事件發(fā)生；工業(yè)控制系統(tǒng)在設(shè)計(jì)時(shí)也多考慮系統(tǒng)的可用性，普遍對(duì)安全性問(wèn)題的考慮不足，更不用提制訂完善的工業(yè)控制系統(tǒng)安全政策、管理制度以及對(duì)人員的安全意識(shí)培養(yǎng)了。‘和平日久’造成人員的安全意識(shí)淡薄。

　　而隨著ICS系統(tǒng)在國(guó)計(jì)民生中的重要性日益重要以及IT通用協(xié)議和系統(tǒng)在工控系統(tǒng)的逐漸應(yīng)用，人員安全意識(shí)薄弱將是造成工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)的一個(gè)重要因素，特別是社會(huì)工程學(xué)相關(guān)的定向釣魚(yú)攻擊可能使重要崗位人員淪為外部威脅入侵的跳板。

　　5.面對(duì)新型的APT攻擊，缺乏有效的應(yīng)對(duì)措施

　　APT(高級(jí)可持續(xù)性威脅)的攻擊目標(biāo)更為明確，攻擊時(shí)會(huì)利用最新的0-day漏洞，強(qiáng)調(diào)攻擊技術(shù)的精心組合與攻擊者之間的協(xié)同；而且是為不達(dá)目的不罷休的持久性攻擊。近年來(lái)以震網(wǎng)為代表的針對(duì)工業(yè)控制系統(tǒng)的攻擊事件都呈現(xiàn)了這些攻擊技術(shù)特征。

　　但是針對(duì)這種APT攻擊，現(xiàn)有的安全防護(hù)手段均顯得有些無(wú)力。這也許需要整合各種安全技術(shù)，通過(guò)形成完善的安全防御體系(防御手段的組織化、體系化)才可能有效，然而工業(yè)控制系統(tǒng)對(duì)安全關(guān)注嚴(yán)重不足的現(xiàn)實(shí)，使其在面臨APT攻擊時(shí)將會(huì)遭到不可估量的安全損失。

　　工業(yè)控制系統(tǒng)的安全建議

　　工業(yè)控制系統(tǒng)安全的重要性及其普遍安全防護(hù)措施不足的現(xiàn)實(shí)，使得加強(qiáng)工業(yè)控制系統(tǒng)的安全性來(lái)說(shuō)無(wú)疑是一項(xiàng)相對(duì)艱巨的任務(wù)。因?yàn)楫?dāng)面臨攻擊者的持續(xù)關(guān)注時(shí)，任何疏漏都可能導(dǎo)致災(zāi)難。在參考信息安全業(yè)內(nèi)的最佳實(shí)踐的基礎(chǔ)上，結(jié)合工業(yè)控制系統(tǒng)自身的安全問(wèn)題，本文提出了一些安全建議，期望能夠有效地降低工業(yè)控制系統(tǒng)所面臨的攻擊威脅：

　　加強(qiáng)對(duì)工業(yè)控制系統(tǒng)的脆弱性的合作研究，提供針對(duì)性地解決方案和安全保護(hù)措施：

　　1、源頭控制：運(yùn)營(yíng)組織和關(guān)鍵提供商建立工業(yè)控制系統(tǒng)開(kāi)發(fā)的全生命周期安全管理。在系統(tǒng)的需求分析、架構(gòu)設(shè)計(jì)、開(kāi)發(fā)實(shí)現(xiàn)、內(nèi)部測(cè)試、第三方測(cè)試和人員知識(shí)傳遞等研發(fā)生命周期的典型階段，融入安全設(shè)計(jì)、安全編碼以及安全測(cè)試等相關(guān)安全技術(shù)，盡可能系統(tǒng)地識(shí)別和消除各個(gè)階段可能出現(xiàn)的來(lái)自于人員知識(shí)和技能、開(kāi)發(fā)環(huán)境、業(yè)務(wù)邏輯引入系統(tǒng)缺陷的安全風(fēng)險(xiǎn)

　　2、分析檢測(cè)及防護(hù)：工業(yè)控制系統(tǒng)行業(yè)應(yīng)積極展開(kāi)與安全研究組織或機(jī)構(gòu)的合作，加強(qiáng)對(duì)重要工業(yè)控制系統(tǒng)所使用軟硬件的靜態(tài)和動(dòng)態(tài)代碼脆弱性分析、系統(tǒng)漏洞分析研究；開(kāi)發(fā)工業(yè)控制系統(tǒng)行業(yè)專用的漏洞掃描、補(bǔ)丁管理及系統(tǒng)配置核查工具。

　　3、漏洞庫(kù)管理：國(guó)家主管機(jī)構(gòu)主導(dǎo)建立權(quán)威的ICS專業(yè)漏洞庫(kù)以及完善的漏洞安全補(bǔ)丁發(fā)布機(jī)制。

　　盡可能采用安全的通信協(xié)議及規(guī)范，并提供協(xié)議異常性檢測(cè)能力

　　1、源頭控制：在不影響系統(tǒng)實(shí)時(shí)性、可用性的前提下，工業(yè)控制系統(tǒng)應(yīng)盡可能采用具有認(rèn)證、加密、授權(quán)機(jī)制的安全性較高的通信協(xié)議來(lái)保證其控制命令和生產(chǎn)數(shù)據(jù)的安全傳輸。尤其是無(wú)線通信協(xié)議要重點(diǎn)考慮其安全性；因?yàn)椴话踩臒o(wú)線通信協(xié)議非常容易遭致遠(yuǎn)程攻擊。

　　2、檢測(cè)防護(hù)：基于對(duì)ICS通信協(xié)議與規(guī)約的深度解碼分析，通過(guò)網(wǎng)絡(luò)協(xié)議異常性特征識(shí)別與監(jiān)測(cè)ICS各系統(tǒng)和網(wǎng)絡(luò)間可能存在的威脅，并提供針對(duì)性的防護(hù)措施，從而提升企業(yè)對(duì)于系統(tǒng)運(yùn)行過(guò)程的威脅感知與安全防護(hù)能力。

　　3、標(biāo)準(zhǔn)制訂：國(guó)家主管機(jī)構(gòu)應(yīng)促進(jìn)工業(yè)控制系統(tǒng)行業(yè)與安全研究機(jī)構(gòu)、廠商的合作，并主導(dǎo)制訂相關(guān)的通信協(xié)議的安全標(biāo)準(zhǔn)。以提供推薦性行業(yè)標(biāo)準(zhǔn)。

　　建立針對(duì)ICS的違規(guī)操作、越權(quán)訪問(wèn)等行為的有效監(jiān)管

　　1、異常行為檢測(cè)：對(duì)ICS系統(tǒng)的各種操作行為進(jìn)行分析，并基于主體、地點(diǎn)、時(shí)間、訪問(wèn)方式，操作，客體的行為描述六元組模型構(gòu)建系統(tǒng)操作行為或網(wǎng)絡(luò)運(yùn)行相關(guān)的白環(huán)境?；诎篆h(huán)境可以很方便地開(kāi)發(fā)針對(duì)ICS異常行為的檢測(cè)類產(chǎn)品。

　　2、安全審計(jì)：基于對(duì)ICS通信協(xié)議與規(guī)約的深度解碼分析，實(shí)現(xiàn)對(duì)ICS系統(tǒng)的安全日志記錄及審計(jì)功能。應(yīng)考慮對(duì)控制過(guò)程實(shí)現(xiàn)基于網(wǎng)絡(luò)流量的安全審計(jì)，審計(jì)過(guò)程應(yīng)力爭(zhēng)做到對(duì)控制指令的識(shí)別和可控，如Modbus、DNP3等經(jīng)典工控協(xié)議的解析能力分析，實(shí)現(xiàn)工業(yè)控制協(xié)議會(huì)話的過(guò)程記錄和審計(jì)；并提供安全事件之后的事后追查能力。

　　建立完善的ICS安全保障體系，加強(qiáng)安全運(yùn)維與管理

　　ICS安全保障體系建設(shè)。在保證工業(yè)控制系統(tǒng)的正常運(yùn)行的前提下，充分調(diào)動(dòng)技術(shù)、管理等安全手段，對(duì)帳號(hào)與口令安全、惡意代碼管理、安全更新(補(bǔ)丁管理)、業(yè)務(wù)連續(xù)性管理等關(guān)鍵控制領(lǐng)域?qū)嵤┲贫然?流程化、可落地的、具有多層次縱深防御能力的安全保障體系建設(shè)。

　　加強(qiáng)針對(duì)ICS的新型攻擊技術(shù)的防范研究

　　目前ICS領(lǐng)域影響最大的就是“震網(wǎng)病毒”為代表的高級(jí)可持續(xù)性威脅(APT)類攻擊。這類APT攻擊并不是一個(gè)獨(dú)立的、具體的攻擊技術(shù)，而是一種攻擊行為模式的體現(xiàn)。這樣的攻擊不是能夠依靠單一的技術(shù)實(shí)現(xiàn)防范和檢測(cè)的，針對(duì)性的防護(hù)需要多個(gè)層面安全防護(hù)措施的綜合開(kāi)展：

　　1、做好ICS系統(tǒng)的基礎(chǔ)性安全防護(hù)工作。從防范主體的角度來(lái)看，應(yīng)當(dāng)做到“安全防御無(wú)死角”。面對(duì)長(zhǎng)期的偵測(cè)和試探，任何安全短板都可能成為攻擊者的快速通道。也許只有做好各方面的防范，通過(guò)多種安全產(chǎn)品(機(jī)制)協(xié)同工作的體系化防御措施才能夠抵御APT這些高級(jí)的持久性攻擊。

　　2、加強(qiáng)“深入分析”技術(shù)的探索。APT攻擊并不意味著沒(méi)有痕跡，只是隱蔽性較強(qiáng)而難以發(fā)現(xiàn)。通過(guò)收集APT攻擊事件相關(guān)的技術(shù)情報(bào)(攻擊的特征、原理、危害、樣本及分析報(bào)告等)，并利用多維度的海量數(shù)據(jù)挖掘和關(guān)聯(lián)分析技術(shù)，實(shí)現(xiàn)跨時(shí)域、跨設(shè)備和跨區(qū)域的蹤跡分析，來(lái)大幅增加發(fā)現(xiàn)攻擊行為的概率。

　　3、加強(qiáng)國(guó)際合作，協(xié)同研究與防范。由于APT攻擊具有低成本、高破壞和隱蔽性的特點(diǎn)，它對(duì)CII或工業(yè)控制系統(tǒng)攻擊所造成的破壞和社會(huì)影響，很有可能不遜于核武器的攻擊后果。如果不對(duì)其加以限制，只會(huì)使破壞程度不斷升級(jí)。所以，成立國(guó)際聯(lián)合組織、建立國(guó)際性的抑制體系可以減少國(guó)家間的過(guò)激行為，同時(shí)也可監(jiān)控和打擊網(wǎng)絡(luò)犯罪及恐怖主義行為。

　　結(jié)語(yǔ)

　　上述描述的安全建議從多維度考慮對(duì)工業(yè)控制系統(tǒng)可能面對(duì)的風(fēng)險(xiǎn)進(jìn)行防護(hù)，并盡可能降低相關(guān)系統(tǒng)的安全風(fēng)險(xiǎn)級(jí)別。但需要意識(shí)到由于外部威脅環(huán)境和系統(tǒng)技術(shù)演變將可能引入新的風(fēng)險(xiǎn)點(diǎn)。

　　系統(tǒng)、人員、商業(yè)目標(biāo)以及內(nèi)、外部威脅等安全相關(guān)因素的任何一個(gè)發(fā)生改變時(shí)，都應(yīng)建議企業(yè)對(duì)當(dāng)前安全防護(hù)體系的正確性和有效性重新進(jìn)行評(píng)估，以確定其能否有效應(yīng)對(duì)新的風(fēng)險(xiǎn)。

　　因此ICS的安全保障措施也將是一個(gè)持續(xù)的改善過(guò)程，通過(guò)這一過(guò)程可使工業(yè)控制系統(tǒng)獲得最大程度的保護(hù)。