早期的ICS運行于相對獨立的網絡，生命周期長達15~20年，其中涉及到的工業協議五花八門，且對延時要求高，所以設計時以高可用性、高效性、實時性為核心，缺乏安全領域考慮。隨著計算機技術在工業領域的不斷發展融合，ICS成為網絡攻擊的對象。網絡作為ICS的核心組成部分，一旦受到惡意攻擊，輕則導致生產運行癱瘓，重則危害社會國家利益，所以它的安全性尤為重要。國內工業互聯網發展與發達國家同步起步，隨著工業4.0、互聯網+、制造強國等戰略的不斷推進，工業化和信息化的發展較快，新技術和新應用的融合帶來了巨大機遇的同時，也給ICS的安全防護系統帶來巨大挑戰。針對ICS信息安全相繼出臺了多項政策法規和指南，目的在于規范工業系統。2017年，國家發布《中華人民共和國網絡安全法》，明確要求實施信息安全等級保護制度。2019年5月，基于網絡體系新的形勢和發展需求，公安部發布了國家信息安全等級保護標準第二版，正式進入等保2.0。相較于等保1.0，等保2.0更大程度完善了保護對象的范圍，將大數據中心、云、ICS全面納入了保護范圍，對安全檢測、應急處理、事情追溯等要求納入了等級保護體系中，通過制度規范國內網絡安全。本文將先對ICS進行安全現狀分析，再從政策法規、測評標準、ICS全生命周期安全管理、可靠工控信息安全產品和計算機安全出發，提出一個工業互聯網環境下的ICS信息安全防護方案。

2 ICS信息安全風險現狀

2.1 安全意識誤區和技能不足

工控安全防護中存在一些誤區，如部署安全網絡產品等于ICS做了安全防護；單向通信即可保證百分百安全等。實際上不合理的安全策略配置、安全功能的搭配選擇、錯誤的產品搭配以及工業系統網絡結構的不規范，將導致引入的安全網絡產品事倍功半。人員技能方面，過分依賴于供應商，但實際廠商對工業系統漏洞認知層次不同，技術支撐點不同，導致即便認識到漏洞，處理手段也有限。安全防護并非一次性，需要伴隨工業系統環境改變而做出相應改變，需定期對網絡安全產品和ICS進行檢查、更新和維護，這對人員的技能有一定的要求。

2.2 制度體系不完善

工控安全威脅不全來自于外部，內部制度的健全程度也直接關系到ICS的抗攻擊性。ICS網絡安全制度的不完善和不適用，導致數據管理、資產管理、外包服務管理、技能培訓管理、安全運維管理等方面的混亂和不規范。在生產環境中或運維管理時，沒有制度的約束和規范，隨意使用外接U盤、移動硬盤等移動存儲介質，隨意接入運維終端至工控網絡中，甚至為方便，開放調試端口直接面向互聯網，都對ICS構成了威脅，給病毒、木馬等惡意軟件進入ICS提供了有力的傳播通道。缺乏應急預案的培訓，直接導致面臨網絡威脅攻擊時的無措。

2.3 控制系統漏洞

自2010年以來，漏洞數量迅速增長，截至2020年9月1日，根據國家信息安全共享平臺CNVD統計，公布工控漏洞2805個。一方面“震網（Stuxnet）”、“毒區（Duqu）”、“勒索病毒”等惡意攻擊事件造成的巨大損失引起人們對控制系統漏洞話題高度關注。另一方面ICS從封閉走向開放，工控信息安全走向國產化，各個領域的網絡廠商、信息廠商和老牌工控廠商加大對工控安全的研發投入，導致公開漏洞數的迅速增長。由于國內安全技術與國外先進技術的差距，目前重要的控制系統仍有80%使用國外的產品和技術，并且將近95%的高中危漏洞來自這些產品，直接成為惡意攻擊的突破口。

2.4 主機和應用安全風險

生產控制區中的服務器和網絡設備存在大量弱口令、用戶權限不合理現象和主機系統升級加固困難導致ICS中存在大量老舊操作系統（Windows XP、Windows 2003），以及系統補丁不更新或者不及時更新等情況。對于主機防護不足，存在未安裝殺毒軟件或安裝殺毒軟件，但病毒庫長期未更新的現象，導致主機針對惡意代碼缺乏有效防御手段。

2.5 網絡審計監控缺失

工控網絡中缺少對異常流量或日志統一分析系統，未能監控網絡運行健康狀況，并探測潛在威脅。許多安全產品不支持解析工控協議，導致無法識別針對工控協議發起的惡意攻擊。甚至一些產品，缺少安全審計功能，對運維、配置等操作缺少記錄，一旦出現越權操作、違規操作、安全問題，無法追溯起源。

2.6 網絡結構模糊

由于ICS業務的不斷拓展，網絡結構早已改變，又因早期工業系統網絡缺乏長遠規劃，網絡結構不規范，存在邊界不明確的情況。工控網絡內部未根據業務和功能進行必要的安全區域劃分和安全隔離，甚至有生產區域和辦公區域混合的現象，一旦出現惡意代碼或病毒入侵，將迅速感染并蔓延擴散至整個網絡。

2.7 網絡接入訪問控制限制

網絡化、無線化的引入，給ICS帶來了便捷，降低了成本。但是，普遍缺乏網絡準入和控制機制，導致上位機和下位機之間、邊界入口、不同業務區域之間的訪問、通信和控制缺少身份鑒別，加上信息的明文傳輸，大大降低了網絡攻擊的門檻。在工控網絡邊界，包括一些可以接入ICS的主機和網絡設備，缺少必要的訪問控制授權，導致終端違規接入、非法外聯等現象的出現，從而產生安全隱患。

3 ICS信息安全防護

圖1是ICS信息安全所需因素，其依靠內部管理和技術支撐，同時結合外部政策法規的要求和標準的指導，對系統信息安全進行安全評估。ICS內部需要采用安全的工控設備和計算機設備，配合上全生命周期的安全管理制度和可靠的信息安全類產品，達到生產和管理上的安全。緊跟政策動向，積極響應，與專業的評測機構合作，結合相應標準進行測試檢查。面對評測結果中的管理漏洞、技術空缺等高中微風險及時進行查漏補缺，形成閉環的安全防護體系。網絡安全等級保護制度經歷過3個階段，從1994年中華人民共和國國務院第147號令，國家規定對計算機信息系統實行安全等級保護，到2007年，由公安部、國家保密局、國家密碼管理局、原國務院信息化工作辦公室聯合印發了《信息安全等級保護管理辦法》（公通字〔2007〕43號），標志著等級保護制度正式開始實施，再到2017年，《中華人民共和國網絡安全法》正式實施，網絡安全等級保護制度成為網絡安全的基本制度。

圖1 ICS信息安全五要素

ICS作為一個綜合且至關重要的計算機信息系統，對其的政策法規和要求處于持續出臺、更新、修訂、拓展的狀態。從2016年兩會發布的《國民經濟和社會發展第十三個五年規劃綱要》，到年中國務院印發《國務院關于深化制造業與互聯網融合發展的指導意見》（國發[2016]28號），再到年底國務院印發《“十三五”國家信息化規劃》，對工業信息化安全的深化發展提出了指導性意見。2017年國家工業和信息化部制訂印發了《工業控制系統信息安全行動計劃(2018-2020年)》，為提升工業信息安全防護、促進工業信息化指明了方向。結合2019年5月等級保護全面升級和發布，等保2.0標準的全面實行，給ICS信息安全建設、等級評估、安全測評和安全整改提供了明確指南，其總體思想是“一個中心，三重防護”，做到以安全管理中心為核心，遵循安全技術措施和安全管理同步規劃、同步建設、同步使用的原則，確保區域邊界防護，計算級網絡防護和通信網絡安全。

3.1 全生命周期安全管理

安全防護中，單憑技術防護沒有制度的約束，容易出現管理上的混亂。等級保護2.0實施規范中，分別對公司管理制度、管理機構、管理人員、系統建設管理、系統運維管理五個方面做出了全生命周期安全管理上的要求。安全制度應具有針對性、可操作性和全面性。針對人員意識不足、技能不足等現象，需成立系統網絡安全專項小組，并在制度中明確指定安全培訓和技能培訓計劃，且落實于實踐中，加固安全防范，提高專業技能水平。對于網絡專職人員需要定期考核，且組織應急演練，做到事前防范、事中響應、事后總結。組建安全運維團隊，或與有資質的安全團隊合作實現外包運維服務。內部介質以及內部資產管理由資產管理員統一管理，對介質的使用、維護、銷毀制定嚴格閉環的規定。規范運維操作要求，嚴格把控運維工具的使用，禁止隨意將私有移動U盤、移動硬盤接入運維系統。需在制度和流程上完善外來人員運維工具接入的審核和審批，禁止阻斷非法運維手段，記錄遠程運維過程。在制度中，明確規定臨時接口開放和臨時權限賬號的開放。

有形資產如服務器、機房等防護，除了良好的物理防范措施供其具有防雷性、防潮性、防火性等特點外，還需做好安全防范，安排特定人員24小時全年的值守，并配合監控技術，無死角保護資產不被損壞、盜用等。對于外來人員，需要完整的審批流程，全程由相關負責人陪同，并且在訪問前和結束訪問后留有完整的記錄，確保資產和系統安全。

3.2 可靠的工控信息安全產品

基于《中華人民共和國網絡安全法》要求，信息安全網絡類產品國內實行銷售許可制度，所有產品需要經由授權機構依據相應的國家標準或行業標準進行安全性測試，僅合格產品才給予銷售許可證。在對工控信息安全類產品進行統計分析中，發現針對于工業信息安全類產品的正式標準較少，僅有工控安全管理平臺和工業系統IDS等幾類產品。其余一些適用于工控信息安全類產品大部分采用基于標準的基礎之上，添加工控協議支持要求，弱化刪減不適用于工控系統的條目。工控信息安全產品從保護的對象、功能上大致分為以下3大類:

（1）邊界防護類

邊界防護類產品通常串聯部署于工控以太網與企業管理網絡之間、工業不同區域間、控制層與設備層之間。通過配置訪問控制策略，實現對系統邊界、區域邊界的保護，起到訪問不可旁路的效果。工控網絡隔離和工業防火墻均屬于這類產品，具有流量清洗、違規阻斷功能，且對其性能有較高要求，產品故障直接影響ICS正常運行。

（2）審計監控類

審計類產品主要包括工控審計產品、工控入侵檢測產品、工控漏洞掃描及挖掘產品、工控安全管理平臺等。通過接入網絡環境中鏡像流量數據包或日志接收，通過漏洞庫、安全事件庫或自定義異常行為，對審計數據進行分析，及時發現異常并觸發告警。大部分審計類產品不具有阻斷功能，旁路部署在網絡環境中，故其產品自身故障對工控系統無影響。

（3）主機防護類

主機防護類產品主要為白名單產品和殺毒軟件，通過主機安裝代理實現對主機軟件、外界設備等的限制，阻絕病毒、惡意程序的威脅。

3.3 技術防范方案

根據規章制度和現有的工控信息安全產品，制定相應的技術規劃和網絡優化方案。針對現有信息安全脆弱環境，做出有效整改和加固，遵循“事前預防、事中響應、事后追溯”十二字總體方針。

3.3.1 網絡結構規范化

ICS網絡架構設計遵循“安全分區，網絡專用，橫向隔離，縱向認證”的原則構建。針對早已改變的復雜工控網絡，首先需要梳理、清點和統計業務資源，再對網絡結構進行相應有效的風險評估，優化網絡結構，甚至重新構建網絡結構，定義邊界并配置防護策略。圖2為工控一體化安全防御結構，安全區域的劃分和分區是工控網絡的基礎，結合業務、物理位置、網絡需求等將整個系統劃分至不同安全區域，如生產管理區，過程監控區、控制區1、控制區2等，避免不同區域之間的交叉。橫向隔離作為同級網絡防護體系中橫向的防線，需采用不同級別的安全隔離裝置。對于控制區等重要工控生產區域，部署常規的防火墻不能滿足安全的需求，這類防火墻大部分不支持解析工業常用協議，如OPC、Modbus等，所以網絡中需進一步升級防火墻至工控防火墻，實現對工控數據流的深度解析，防止各類非法操作。相較于監控區域，控制區的安全防護等級更為優先，所以在集中監控區與控制區之間的數據傳輸需要做內容上的深度解析，并根據白名單策略，對合規操作放行，對違規操作進行及時有效的阻斷。

圖2 工控一體化安全防御結構

3.3.2 計算機設備防護

ICS中計算機設備主要是對操作員站、工程師站以及數據服務器進行防護，通過安裝主機加固類軟件，以白名單的技術方式監控主機進程狀態、服務狀態、網絡端口狀況、外接設備狀況，起到全方位保護主機資源的作用。通過白名單配置策略，阻止非法進程的開啟、非法端口的開放，以及USB設備的接入，從而切斷病毒和木馬傳播的途徑。對于移動介質防護，利用文件過濾技術，根據系統特點做出相應配置，過濾所有可疑文件。內網U盤統一管理，實現身份認證，針對不同身份配置相應權限（可讀、可寫、可使用等），并對操作行為進行日志審計，消除USB在使用中可能出現的安全威脅，如BadUSB攻擊、LNK攻擊等。重視主機系統自身漏洞，定期對計算機設備進行漏洞掃描和補丁更新。

3.3.3 區域邊界訪問控制

縱向的區域之間需采用身份認證、通信加密、訪問控制等技術，保障數據傳輸的保密、遠程接入和資源訪問的合規，杜絕越權訪問。在配置訪問控制策略時基于白名單模式僅供指定用戶，源目的IP訪問或工控協議通過，其他通信默認全部拒絕。外接終端設備，需要通過網絡準入協議（如802.1x協議）與交換機聯動進行接入身份認證，并在接入終端前進行安全性掃描。對于未安裝殺毒軟件或病毒庫老舊的統一拒絕入網，分配至隔離區進行安全升級。對于遠程訪問，禁止直接將內部資源投放至互聯網，須通過虛擬專用網（VPN）等遠程安全接入產品，對接入用戶進行鑒別，授予其所需權限。在生產層部署運維堡壘機，為運維人員集中開設運維賬號，進行用戶授權，實現運維集中管理，單點登錄并審計操作過程。實時監控運維進程，阻斷違規操作，為事后追溯提供不可抵賴依據。加強網絡安全設備和計算機設備中密碼管理，避免默認用戶名口令和弱口令的使用，開啟口令復雜度策略，并定期更換系統密碼。嚴格控制訪問賬號和權限，以最小權限分配，原則上不應留有超級管理員，但對于無法刪除默認賬號的情況，需修改其密碼并由相關負責人保管。

3.3.4 安全監控

參考文獻：

[1] GB/T 22239 - 2019. 信息安全技術 網絡安全等級保護基本要求[S].

摘自《工業控制系統信息安全專刊（第七輯）》