ICS工業控制系統安全風險分析

　　·安全策略與管理流程的脆弱性

　　追求可用性而犧牲安全，這是很多工業控制系統存在普遍現象，缺乏完整有效的安全策略與管理流程是當前我國工業控制系統的最大難題，很多已經實施了安全防御措施的ICS網絡仍然會因為管理或操作上的失誤，造成ICS 系統出現潛在的安全短板。例如，工業控制系統中的移動存儲介質的使用和不嚴格的訪問控制策略。

　　作為信息安全管理的重要組成部分，制定滿足業務場景需求的安全策略，并依據策略制定管理流程，是確保ICS 系統穩定運行的基礎。參照NERC CIP、ANSI/ISA-99、IEC 62443等國際標準，目前我國安全策略與管理流程的脆弱性表現為：

　　·缺乏ICS 的安全策略；
　　·缺乏ICS 的安全培訓與意識培養；
　　·缺乏安全架構與設計
　　·缺乏根據安全策略制定的正規、可備案的安全流程；
　　·缺乏ICS 安全審計機制；
　　·缺乏針對ICS 的業務連續性與災難恢復計劃；
　　·缺乏針對ICS 配置變更管理。

　　※工控平臺的脆弱性

　　隨著TCP/IP 等通用協議與開發標準引入工業控制系統，開放、透明的工業控制系統同樣為物聯網、云計算、移動互聯網等新興技術領域開辟出廣闊的想象空間。理論上絕對的物理隔離網絡正因為需求和業務模式的改變而不再切實可行。

　　目前，多數ICS 網絡僅通過部署防火墻來保證工業網絡與辦公網絡的相對隔離，各個工業自動化單元之間缺乏可靠的安全通信機制，例如基于DCOM 編程規范的OPC 接口幾乎不可能使用傳統的IT 防火墻來確保其安全性。數據加密效果不佳，工業控制協議的識別能力不理想，加之缺乏行業標準規范與管理制度，工業控制系統的安全防御能力十分有限。

　　旨在保護電力生產與交通運輸控制系統安全的國際標準NERC CIP 明確要求，實施安全策略確保資產安全是確保控制系統穩定運行的最基本要求。將具有相同功能和安全要求的控制設備劃分到同一區域，區域之間執行管道通信，通過控制區域間管道中的通信內容是目前工業控制領域普遍被認可的安全防御措施。

　　另一種容易忽略的情況是，由于不同行業的應用場景不同，其對于功能區域的劃分和安全防御的要求也各不相同，而對于利用針對性通信協議與應用層協議的漏洞來傳播的惡意攻擊行為更是無能為力。更為嚴重的是工業控制系統的補丁管理效果始終無法令人滿意，考慮到ICS 補丁升級所存在的運行平臺與軟件版本限制，以及系統可用性與連續性的硬性要求，ICS 系統管理員絕不會輕易安裝非ICS 設備制造商指定的升級補丁。與此同時，工業系統補丁動輒半年的補丁發布周期，也讓攻擊者有較多的時間來利用已存在漏洞發起攻擊。著名的工業自動化與控制設備提供商西門子就曾因漏洞公布不及時而飽受質疑。

　　據金山網絡企業安全事業部統計，2010-2011 年間，已確認的針對工業控制系統攻擊，從攻擊代碼傳播到樣本被檢測確認，傳統的安全防御機制通常需要2 個月左右的時間，而對于例如Stuxnet 或更隱蔽的Duqu 病毒，其潛伏期更是長達半年之久。無論是針對工業系統的攻擊事件，還是更隱蔽且持續威脅的APT 攻擊行為，基于黑名單或單一特征比對的信息安全解決方案都無法有效防御，更不要說利用0day 漏洞的攻擊行為。而IT 領域廣泛采用的主動防御技術，因為其存在較大的誤殺風險，并不適用于工業控制系統的高性能作業。目前，唯有基于白名單機制的安全監測技術是被工業控制系統用戶普遍任何的解決方案。

　　※網絡的脆弱性

　　通用以太網技術的引入讓ICS 變得智能，也讓工業控制網絡愈發透明、開放、互聯，TCP/IP 存在的威脅同樣會在工業網絡中重現。此外，工業控制網絡的專屬控制協議更為攻擊者提供了了解工業控制網絡內部環境的機會。確保工業網絡的安全穩定運營，必須針對ICS 網絡環境進行實時異常行為的“發現、檢測、清除、恢復、審計”一體化的保障機制。當前ICS 網絡主要的脆弱性集中體現為：

　　·邊界安全策略缺失；
　　·系統安全防御機制缺失；
　　·管理制度缺失或不完善；
　　·網絡配置規范缺失；
　　·監控與應急響應制度缺失；
　　·網絡通信保障機制缺失；
　　·無線網絡接入認證機制缺失；
　　·基礎設施可用性保障機制缺失。

　　3、潛在威脅分析

　　作為國家關鍵基礎設施自動化控制的基本組成部分，由于其承載著海量的操作數據，并可以通過篡改邏輯控制器控制指令而實現對目標控制系統的攻擊，針對工業控制網絡的定向攻擊目前正成為敵對勢力和網絡犯罪集團實施滲透攫取利益的重點對象。稍有不慎就有可能對涉及國計民生的重要基礎設施造成損害。可導致ICS 系統遭受破壞的威脅主要有：

　　·控制系統發生拒絕服務；
　　·向控制系統注入惡意代碼；
　　·對可編程控制器進行非法操作；
　　·對無線AP 進行滲透；
　　·工業控制系統存在漏洞；
　　·錯誤的策略配置；
　　·人員及流程控制策略缺失。

　　四、工業控制系統安全管理體系

　　信息化與工業化深度融合的今天，無論是關乎國計民生的電力、石化、水利、鐵路、民航等基礎保障行業，還是逐漸成規模的物聯網、移動互聯網等新型行業，交互已成ICS 系統的重要特性。互聯與交互體驗提升的同時，威脅也在與日俱增。

　　目前我國ICS 系統的信息安全管理仍存在諸多問題，例如，大型制造行業普遍存在因設備使用時間較長，安全防護能力缺失等問題；而在諸如石化電力等重要基礎設施保障行業，又因為應用和新技術的更替，海量的分布式控制組件與業務單元都讓電力控制網絡變得愈發復雜，在可用性面前安全防御機制難免出現疏漏。因此，在參照國際流行標準以及我國工業控制系統所存在的具體安全風險等因素，一種基于終端可用性和安全性兼顧的控制系統安全解決方案被提出，用以從威脅入侵的根源滿足工業控制系統的安全需求。

　　基于終端的工業系統安全防御體系

　　工業網絡中同時存在保障工業系統的工業控制網絡和保障生產經營的辦公網絡，考慮到不同業務終端的安全性與故障容忍程度的不同，對其防御的策略和保障措施應該按照等級進行劃分，實施分層次的縱深防御體系。

　　按照業務職能和安全需求的不同，工業網絡可劃分為以下幾個區域：

　　·滿足辦公終端業務需要的辦公區域；
　　·滿足在線業務需要DMZ 區域；
　　·滿足ICS 管理與監控需要的管理區域；
　　·滿足自動化作業需要的控制區域。

　　針對不同區域間數據通信安全和整體信息化建設要求，實施工業控制網絡安全建設，首先需要針對ICS 網絡管理的關鍵區域實施可靠的邊界安全策略，實現分層級的縱深安全防御策略，抵御各種已知的攻擊威脅。

圖5：工業控制系統邊界防御思想

　　※辦公網絡終端的安全防御

　　辦公網絡相對于工業控制網絡是開放，其安全防御的核心是確保各種辦公業務終端的安全性和可用性，以及基于終端使用者的角色實施訪問控制策略。辦公網絡也是最容易受到攻擊者攻擊并實施進一步定向攻擊的橋頭堡，實施有效的辦公網絡終端安全策略可最大限度的抵御針對ICS 系統的破壞。辦公網絡通用終端安全防御能力建設包括：

　　·病毒、木馬等威脅系統正常運行惡意軟件防御能力；
　　·基于白名單的惡意行為發現與檢測能力；
　　·終端應用控制與審計能力；
　　·基于角色的訪問控制能力；
　　·系統漏洞的檢測與修復能力；
　　·基于系統異常的恢復能力；
　　·外設的管理與控制能力；
　　·基于終端行為與事件的審計能力；
　　·終端安全的應急響應能力。

　　※工業控制網絡終端的安全防御

　　工業控制網絡具有明顯的獨有特性，其安全防御的核心是確保控制系統與監控系統的可用性，以及針對ICS 系統與管理員、ICS 系統內部自動化控制組件間的訪問控制策略。同時需要確保控制系統在發生異常或安全事件時，能夠在不影響系統可用性的情況下，幫助管理員快速定位安全故障點。

　　在確保控制系統可用性的前提下，工業控制網絡終端安全防御能力建設需要做到如下幾個方面：

　　·基于行業最佳實踐標準的合規保證能力；
　　·基于白名單策略的控制終端惡意軟件防御能力；
　　·基于白名單的惡意未知行為發現與檢測能力；
　　·基于ICS 協議的內容監測能力；
　　·基于控制系統的漏洞及威脅防御能力；
　　·基于可用性的最小威脅容忍模型建設能力；
　　·基于事件與行為的審計能力；
　　·基于可用性的系統補丁修復能力；
　　·終端安全的應急響應能。

　　※工業網絡終端安全管控平臺建設

　　充分了解控制終端與業務終端的安全能力建設規范與功能，是構建高性能安全事件審計與管理運維平臺模型的前提，也是實現工業網絡中對分布式控制系統、數據采集系統、監控系統的統一監控、預警和安全響應的基礎平臺。安全管控平臺不僅是實施工業數據采集和監控內容的匯聚中心，基于ICS 安全威脅的知識庫仿真模塊，更可實時對檢測到的異常或未授權訪問進行核查評估，并將風險通過短信、郵件等方式對管理員告警。