·安全策略與管理流程的脆弱性

　　追求可用性而犧牲安全，這是很多工業(yè)控制系統(tǒng)存在普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程是當(dāng)前我國工業(yè)控制系統(tǒng)的最大難題，很多已經(jīng)實(shí)施了安全防御措施的ICS網(wǎng)絡(luò)仍然會因?yàn)楣芾砘虿僮魃系氖д`，造成ICS 系統(tǒng)出現(xiàn)潛在的安全短板。例如，工業(yè)控制系統(tǒng)中的移動存儲介質(zhì)的使用和不嚴(yán)格的訪問控制策略。

　　作為信息安全管理的重要組成部分，制定滿足業(yè)務(wù)場景需求的安全策略，并依據(jù)策略制定管理流程，是確保ICS 系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)。參照NERC CIP、ANSI/ISA-99、IEC 62443等國際標(biāo)準(zhǔn)，目前我國安全策略與管理流程的脆弱性表現(xiàn)為：

　　·缺乏ICS 的安全策略；
　　·缺乏ICS 的安全培訓(xùn)與意識培養(yǎng)；
　　·缺乏安全架構(gòu)與設(shè)計
　　·缺乏根據(jù)安全策略制定的正規(guī)、可備案的安全流程；
　　·缺乏ICS 安全審計機(jī)制；
　　·缺乏針對ICS 的業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計劃；
　　·缺乏針對ICS 配置變更管理。

　　※工控平臺的脆弱性

　　隨著TCP/IP 等通用協(xié)議與開發(fā)標(biāo)準(zhǔn)引入工業(yè)控制系統(tǒng)，開放、透明的工業(yè)控制系統(tǒng)同樣為物聯(lián)網(wǎng)、云計算、移動互聯(lián)網(wǎng)等新興技術(shù)領(lǐng)域開辟出廣闊的想象空間。理論上絕對的物理隔離網(wǎng)絡(luò)正因?yàn)樾枨蠛蜆I(yè)務(wù)模式的改變而不再切實(shí)可行。

　　目前，多數(shù)ICS 網(wǎng)絡(luò)僅通過部署防火墻來保證工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的相對隔離，各個工業(yè)自動化單元之間缺乏可靠的安全通信機(jī)制，例如基于DCOM 編程規(guī)范的OPC 接口幾乎不可能使用傳統(tǒng)的IT 防火墻來確保其安全性。數(shù)據(jù)加密效果不佳，工業(yè)控制協(xié)議的識別能力不理想，加之缺乏行業(yè)標(biāo)準(zhǔn)規(guī)范與管理制度，工業(yè)控制系統(tǒng)的安全防御能力十分有限。

　　旨在保護(hù)電力生產(chǎn)與交通運(yùn)輸控制系統(tǒng)安全的國際標(biāo)準(zhǔn)NERC CIP 明確要求，實(shí)施安全策略確保資產(chǎn)安全是確?？刂葡到y(tǒng)穩(wěn)定運(yùn)行的最基本要求。將具有相同功能和安全要求的控制設(shè)備劃分到同一區(qū)域，區(qū)域之間執(zhí)行管道通信，通過控制區(qū)域間管道中的通信內(nèi)容是目前工業(yè)控制領(lǐng)域普遍被認(rèn)可的安全防御措施。

　　另一種容易忽略的情況是，由于不同行業(yè)的應(yīng)用場景不同，其對于功能區(qū)域的劃分和安全防御的要求也各不相同，而對于利用針對性通信協(xié)議與應(yīng)用層協(xié)議的漏洞來傳播的惡意攻擊行為更是無能為力。更為嚴(yán)重的是工業(yè)控制系統(tǒng)的補(bǔ)丁管理效果始終無法令人滿意，考慮到ICS 補(bǔ)丁升級所存在的運(yùn)行平臺與軟件版本限制，以及系統(tǒng)可用性與連續(xù)性的硬性要求，ICS 系統(tǒng)管理員絕不會輕易安裝非ICS 設(shè)備制造商指定的升級補(bǔ)丁。與此同時，工業(yè)系統(tǒng)補(bǔ)丁動輒半年的補(bǔ)丁發(fā)布周期，也讓攻擊者有較多的時間來利用已存在漏洞發(fā)起攻擊。著名的工業(yè)自動化與控制設(shè)備提供商西門子就曾因漏洞公布不及時而飽受質(zhì)疑。

　　據(jù)金山網(wǎng)絡(luò)企業(yè)安全事業(yè)部統(tǒng)計，2010-2011 年間，已確認(rèn)的針對工業(yè)控制系統(tǒng)攻擊，從攻擊代碼傳播到樣本被檢測確認(rèn)，傳統(tǒng)的安全防御機(jī)制通常需要2 個月左右的時間，而對于例如Stuxnet 或更隱蔽的Duqu 病毒，其潛伏期更是長達(dá)半年之久。無論是針對工業(yè)系統(tǒng)的攻擊事件，還是更隱蔽且持續(xù)威脅的APT 攻擊行為，基于黑名單或單一特征比對的信息安全解決方案都無法有效防御，更不要說利用0day 漏洞的攻擊行為。而IT 領(lǐng)域廣泛采用的主動防御技術(shù)，因?yàn)槠浯嬖谳^大的誤殺風(fēng)險，并不適用于工業(yè)控制系統(tǒng)的高性能作業(yè)。目前，唯有基于白名單機(jī)制的安全監(jiān)測技術(shù)是被工業(yè)控制系統(tǒng)用戶普遍任何的解決方案。

　　※網(wǎng)絡(luò)的脆弱性

　　通用以太網(wǎng)技術(shù)的引入讓ICS 變得智能，也讓工業(yè)控制網(wǎng)絡(luò)愈發(fā)透明、開放、互聯(lián)，TCP/IP 存在的威脅同樣會在工業(yè)網(wǎng)絡(luò)中重現(xiàn)。此外，工業(yè)控制網(wǎng)絡(luò)的專屬控制協(xié)議更為攻擊者提供了了解工業(yè)控制網(wǎng)絡(luò)內(nèi)部環(huán)境的機(jī)會。確保工業(yè)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)營，必須針對ICS 網(wǎng)絡(luò)環(huán)境進(jìn)行實(shí)時異常行為的“發(fā)現(xiàn)、檢測、清除、恢復(fù)、審計”一體化的保障機(jī)制。當(dāng)前ICS 網(wǎng)絡(luò)主要的脆弱性集中體現(xiàn)為：

　　·邊界安全策略缺失；
　　·系統(tǒng)安全防御機(jī)制缺失；
　　·管理制度缺失或不完善；
　　·網(wǎng)絡(luò)配置規(guī)范缺失；
　　·監(jiān)控與應(yīng)急響應(yīng)制度缺失；
　　·網(wǎng)絡(luò)通信保障機(jī)制缺失；
　　·無線網(wǎng)絡(luò)接入認(rèn)證機(jī)制缺失；
　　·基礎(chǔ)設(shè)施可用性保障機(jī)制缺失。

　　3、潛在威脅分析

　　作為國家關(guān)鍵基礎(chǔ)設(shè)施自動化控制的基本組成部分，由于其承載著海量的操作數(shù)據(jù)，并可以通過篡改邏輯控制器控制指令而實(shí)現(xiàn)對目標(biāo)控制系統(tǒng)的攻擊，針對工業(yè)控制網(wǎng)絡(luò)的定向攻擊目前正成為敵對勢力和網(wǎng)絡(luò)犯罪集團(tuán)實(shí)施滲透攫取利益的重點(diǎn)對象。稍有不慎就有可能對涉及國計民生的重要基礎(chǔ)設(shè)施造成損害。可導(dǎo)致ICS 系統(tǒng)遭受破壞的威脅主要有：

　　·控制系統(tǒng)發(fā)生拒絕服務(wù)；
　　·向控制系統(tǒng)注入惡意代碼；
　　·對可編程控制器進(jìn)行非法操作；
　　·對無線AP 進(jìn)行滲透；
　　·工業(yè)控制系統(tǒng)存在漏洞；
　　·錯誤的策略配置；
　　·人員及流程控制策略缺失。

　　四、工業(yè)控制系統(tǒng)安全管理體系

　　信息化與工業(yè)化深度融合的今天，無論是關(guān)乎國計民生的電力、石化、水利、鐵路、民航等基礎(chǔ)保障行業(yè)，還是逐漸成規(guī)模的物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新型行業(yè)，交互已成ICS 系統(tǒng)的重要特性?；ヂ?lián)與交互體驗(yàn)提升的同時，威脅也在與日俱增。

　　目前我國ICS 系統(tǒng)的信息安全管理仍存在諸多問題，例如，大型制造行業(yè)普遍存在因設(shè)備使用時間較長，安全防護(hù)能力缺失等問題；而在諸如石化電力等重要基礎(chǔ)設(shè)施保障行業(yè)，又因?yàn)閼?yīng)用和新技術(shù)的更替，海量的分布式控制組件與業(yè)務(wù)單元都讓電力控制網(wǎng)絡(luò)變得愈發(fā)復(fù)雜，在可用性面前安全防御機(jī)制難免出現(xiàn)疏漏。因此，在參照國際流行標(biāo)準(zhǔn)以及我國工業(yè)控制系統(tǒng)所存在的具體安全風(fēng)險等因素，一種基于終端可用性和安全性兼顧的控制系統(tǒng)安全解決方案被提出，用以從威脅入侵的根源滿足工業(yè)控制系統(tǒng)的安全需求。

　　基于終端的工業(yè)系統(tǒng)安全防御體系

　　工業(yè)網(wǎng)絡(luò)中同時存在保障工業(yè)系統(tǒng)的工業(yè)控制網(wǎng)絡(luò)和保障生產(chǎn)經(jīng)營的辦公網(wǎng)絡(luò)，考慮到不同業(yè)務(wù)終端的安全性與故障容忍程度的不同，對其防御的策略和保障措施應(yīng)該按照等級進(jìn)行劃分，實(shí)施分層次的縱深防御體系。

　　按照業(yè)務(wù)職能和安全需求的不同，工業(yè)網(wǎng)絡(luò)可劃分為以下幾個區(qū)域：

　　·滿足辦公終端業(yè)務(wù)需要的辦公區(qū)域；
　　·滿足在線業(yè)務(wù)需要DMZ 區(qū)域；
　　·滿足ICS 管理與監(jiān)控需要的管理區(qū)域；
　　·滿足自動化作業(yè)需要的控制區(qū)域。

　　針對不同區(qū)域間數(shù)據(jù)通信安全和整體信息化建設(shè)要求，實(shí)施工業(yè)控制網(wǎng)絡(luò)安全建設(shè)，首先需要針對ICS 網(wǎng)絡(luò)管理的關(guān)鍵區(qū)域?qū)嵤┛煽康倪吔绨踩呗?，?shí)現(xiàn)分層級的縱深安全防御策略，抵御各種已知的攻擊威脅。

圖5：工業(yè)控制系統(tǒng)邊界防御思想

　　※辦公網(wǎng)絡(luò)終端的安全防御

　　辦公網(wǎng)絡(luò)相對于工業(yè)控制網(wǎng)絡(luò)是開放，其安全防御的核心是確保各種辦公業(yè)務(wù)終端的安全性和可用性，以及基于終端使用者的角色實(shí)施訪問控制策略。辦公網(wǎng)絡(luò)也是最容易受到攻擊者攻擊并實(shí)施進(jìn)一步定向攻擊的橋頭堡，實(shí)施有效的辦公網(wǎng)絡(luò)終端安全策略可最大限度的抵御針對ICS 系統(tǒng)的破壞。辦公網(wǎng)絡(luò)通用終端安全防御能力建設(shè)包括：

　　·病毒、木馬等威脅系統(tǒng)正常運(yùn)行惡意軟件防御能力；
　　·基于白名單的惡意行為發(fā)現(xiàn)與檢測能力；
　　·終端應(yīng)用控制與審計能力；
　　·基于角色的訪問控制能力；
　　·系統(tǒng)漏洞的檢測與修復(fù)能力；
　　·基于系統(tǒng)異常的恢復(fù)能力；
　　·外設(shè)的管理與控制能力；
　　·基于終端行為與事件的審計能力；
　　·終端安全的應(yīng)急響應(yīng)能力。

　　※工業(yè)控制網(wǎng)絡(luò)終端的安全防御

　　工業(yè)控制網(wǎng)絡(luò)具有明顯的獨(dú)有特性，其安全防御的核心是確?？刂葡到y(tǒng)與監(jiān)控系統(tǒng)的可用性，以及針對ICS 系統(tǒng)與管理員、ICS 系統(tǒng)內(nèi)部自動化控制組件間的訪問控制策略。同時需要確?？刂葡到y(tǒng)在發(fā)生異?；虬踩录r，能夠在不影響系統(tǒng)可用性的情況下，幫助管理員快速定位安全故障點(diǎn)。

　　在確?？刂葡到y(tǒng)可用性的前提下，工業(yè)控制網(wǎng)絡(luò)終端安全防御能力建設(shè)需要做到如下幾個方面：

　　·基于行業(yè)最佳實(shí)踐標(biāo)準(zhǔn)的合規(guī)保證能力；
　　·基于白名單策略的控制終端惡意軟件防御能力；
　　·基于白名單的惡意未知行為發(fā)現(xiàn)與檢測能力；
　　·基于ICS 協(xié)議的內(nèi)容監(jiān)測能力；
　　·基于控制系統(tǒng)的漏洞及威脅防御能力；
　　·基于可用性的最小威脅容忍模型建設(shè)能力；
　　·基于事件與行為的審計能力；
　　·基于可用性的系統(tǒng)補(bǔ)丁修復(fù)能力；
　　·終端安全的應(yīng)急響應(yīng)能。

　　※工業(yè)網(wǎng)絡(luò)終端安全管控平臺建設(shè)

　　充分了解控制終端與業(yè)務(wù)終端的安全能力建設(shè)規(guī)范與功能，是構(gòu)建高性能安全事件審計與管理運(yùn)維平臺模型的前提，也是實(shí)現(xiàn)工業(yè)網(wǎng)絡(luò)中對分布式控制系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、監(jiān)控系統(tǒng)的統(tǒng)一監(jiān)控、預(yù)警和安全響應(yīng)的基礎(chǔ)平臺。安全管控平臺不僅是實(shí)施工業(yè)數(shù)據(jù)采集和監(jiān)控內(nèi)容的匯聚中心，基于ICS 安全威脅的知識庫仿真模塊，更可實(shí)時對檢測到的異?；蛭词跈?quán)訪問進(jìn)行核查評估，并將風(fēng)險通過短信、郵件等方式對管理員告警。