軟考-資訊安全-工控安全需求分析與安全保護工程

24.1 工控系統安全威脅與需求分析

• 工業自動化控制系統一般簡稱為工業控制系統或工控系統，其已經被列為網絡安全等級保護2.0的重要保護對象。

24.1.1 工業控制系統概念及組成

• 工業控制系統是由各種控制元件，監測元件，資料處理與展示元件共同構成的對工業生産過程進行控制和監控的業務流程管控系統。
• 工業控制系統通常簡稱工控系統（ICS）。
• 工控系統通常分為離散制造類和過程控制類兩大類，控制系統包括SCADA系統，分布式控制系統（DCS），過程控制系統（PCS），可程式設計邏輯控制器（PLC），遠端終端（RTU），數控機床及數控系統等。
• 1.SCADA系統

• SCADA是Supervisory Control And Data Acquisition的縮寫，中文名稱是資料采集與監視控制系統，其作用是以計算機為基礎對遠端分布運作的裝置進行監控，功能主要包括資料采集，參數測量和調節。
• SCADA系統一般由設在控制中心的主終端控制單元（MTU），通信線路和裝置，遠端終端機關（RTU）等組成。
• 系統作用主要是對多層級，分散的子過程進行資料采集和統一排程管理。

• 2.分布式控制系統（DCS）

• DCS是Distribution Control System的縮寫。DCS是基于計算機技術對生産過程進行分布控制，集中管理的系統。
• DCS系統一般包括現場控制級，系統控制級和管理級兩/三個層次。
• 現場控制級主要式對單個子程序進行控制。
• 系統控制級主要是對多個密切相關的過程資料采集，記錄，分析和控制，并通過統一的人機互動處理實作過程的集中控制和展示。

• 3.過程控制系統（PCS）

• PCS是Process Control System的縮寫。
• PCS是通過實時采集被控裝置狀态參數進行調節，以保證被控裝置保持某一特定狀态的控制系統。
• 狀态參數包括溫度，壓力，流量，液位，成分，濃度等。
• PCS系統通常采用回報控制（閉環控制）方式。

• 4.可程式設計邏輯控制器（PLC）

• PLC是Programmable Logic Controller的縮寫。
• PLC主要執行各類運算，順序控制，定時等指令，用于控制工業生産裝備的動作，是工業控制系統的基礎單元。

• 5.主終端裝置（MTU）

• MTU是Master Terminal Unit的縮寫，MTU一般部署在排程控制中心，主要用于生産過程的資訊收集和監測，通過網絡與RTU保持通信。

• 6.遠端終端裝置（RTU）

• RTU是Remoter Terminal Unit的縮寫。RTU主要用于生産過程的資訊采集，自動測量記錄和傳導，通過網絡與MTU保持通信。

• 7.人機界面（HMI）

• HMI是Human-Machine Interface的縮寫，HMI是為操作者和控制器之間提供操作界面和資料通信的軟硬體平台。目前工業控制系統主要采用計算機終端進行人機互動工作。

• 8.工控通信網絡

• 工控通信網絡是各種工業控制裝置及組成單元的連接配接器，傳統工業通信網絡一般采取專用的協定來建構，形成封閉網絡。
• 常見的工控專用協定由OPC，Modbus，DNP3等，工業通信網絡類型由DCS主要網絡，SCADA遠端網絡，現場控制級通信網絡等類型。
• 随着網際網路技術的應用發展，TCP/IP協定也逐漸應用到工業控制系統，如智能裝置，智能樓宇，智能工廠等控制系統。

24.1.2 工業控制系統安全威脅分析

• 2010年首次發現針對工控系統實施破壞的惡意代碼Stuxnet（簡稱“震網”病毒）。“震網”病毒利用了微軟作業系統至少4個0-day漏洞，攻擊伊朗核電站西門子公司的SIMATIC WinCC系統，其主要目的是掩蓋發生故障的情況以造成管理部門決策誤判，使伊朗核電站的離心機運作失控。
• 工控系統面臨的安全威脅主要來自5個方面：

• 1.自然災害及環境

• 洪水，雷電，台風等。

• 2.内部安全威脅

• 人為錯誤或疏忽大意，如指令輸入錯誤，操作不當。

• 3.裝置功能安全故障

• 工業控制裝置的品質不合格，導緻裝置功能無法正常執行。

• 4.惡意代碼

• 常見的由網絡蠕蟲，特洛伊木馬，勒索軟體等。

• 5.網絡攻擊

• 由于工業控制系統的高價值性，常常是網絡攻擊者重要的目标對象。

24.1.3 工業控制系統安全隐患類型

• 1.工控協定安全

• 缺乏安全設計，無安全認證，加密，審計，通信明文傳遞資訊。

• 2.工控系統技術産品安全漏洞

• PLC，SCADA，HMI，DCS等相關工控技術産品存在安全漏洞。

• 3.工控系統基礎軟體安全漏洞

• 工控系統通用作業系統，嵌入式作業系統，實時資料庫等存在安全漏洞。

• 4.工控系統算法安全漏洞
• 5.工控系統裝置固件漏洞

• 例如BIOS漏洞

• 6.工控系統裝置硬體漏洞

• 例如CPU漏洞

• 7.工控系統開發接入漏洞

• 傳統工控系統在無實體安全隔離措施的情況下接入網際網路，工控裝置暴露在公共的網絡中，進而帶來新的安全問題。
• 例如：DDoS/DoS拒絕服務攻擊，漏洞掃描，敏感資訊洩露，惡意代碼網上傳播等。

• 8.工控系統供應鍊安全

• 工控系統依賴多個廠商提供裝置和後續服務保障，供應鍊安全直接影響工控系統的安全穩定運作。

24.1.4 工業控制系統安全需求分析

• 除了傳統IT的安全外，還涉及控制裝置及操作安全。
• 傳統IT網絡資訊安全要求側重于保密性-完整性-可用性的順序。
• 工控系統網絡資訊安全偏重于可用性-完整性-保密性的順序。
• 主要有技術安全要求和管理安全要求兩個方面。

• 技術安全要求方面主要包括安全實體環境，安全通信網絡，安全區域邊界，安全計算環境，安全管理中心
• 管理安全要求方面主要包括安全管理制度，安全管理機構，安全管理人員，安全建設管理，安全運維管理

• 具體詳細内容可參考《資訊安全技術 網絡安全等級保護基本要求》（GB/T 22239-2019），《資訊安全技術 網絡安全等級保護基本要求 第5部分：工業控制系統安全擴充要求》（GA/T 1390.5-2017），《工業控制系統資訊安全防護指南》。
• 工控系統的安全保護需求不同于普通IT系統，要根據工控業務的重要性和生産安全，劃分安全區域，确定安全防護等級，然後持續提升工控裝置，工控網絡和工控資料的安全保護能力。
• 知名的工控安全國際标準為IEC62443系列标準。

24.2 工控系統安全保護機制與技術

• 主要包括實體及環境安全防護，安全分區及邊界保護，身份認證與通路控制，遠端通路安全，惡意代碼防範，資料安全，網絡安全監測與應急響應，安全管理等。

24.2.1 實體及環境安全防護

• 對重要工程師站、資料庫、伺服器等核心工業控制軟硬體所在區域采取通路控制、視訊監控、專人值守等實體安全防護措施
• 拆除或封閉工業主機上不必要的 USB、光驅、天線等接口。若确需使用，通過主機外設安全管理技術手段實施嚴格通路控制。

24.2.2 安全邊界保護

• 劃分若幹安全域，一般來說，工業控制系統的開發，測試和生産應分别提供獨立環境。
• 針對不同的安全域實作安全隔離及防護，其中的安全隔離類型分為：

• 實體隔離和網絡邏輯隔離等方式。
• 常見的工業控制邊界安全防護裝置包括工業防火牆，工業網閘，單向隔離裝置及企業定制的邊界安全防護網關等。

24.2.3 身份認證與通路控制

• 在工業主機登入、應用服務資源通路、工業雲平台通路等過程中使用身份認證管理。對關鍵裝置、系統和平台的通路采用多因素認證。
• 合理分類設定賬戶權限，以最小特權原則配置設定賬戶權限。
• 強化工控裝置、SCADA 軟體、工業通信裝置等的登入賬戶及密碼，避免使用預設密碼、弱密碼，定期更換密碼。
• 加強對身份認證證書資訊的保護力度，禁止在不同系統和網絡環境下共享。

24.2.4 遠端通路控制

• 原則上嚴格禁止工控系統面向網際網路開通 HTTP、FTP、Telnet等高風險通用網絡服務。
• 确需遠端通路的，采用資料單向通路控制等政策進行安全加強，限制通路時間。
• 确需遠端維護的，采用 VPN 等遠端接入方式進行。
• 保留工控系統相關日志。

24.2.5 工控系統安全加強

• 安全配置政策、身份認證增強、強制通路控制、程式白名單控制。

24.4.6 工控安全審計

• 通過審計系統保留工控裝置、應用等通路日志，定期備份。

24.4.7 惡意代碼防範

• 在工業主機上采用經過離線環境中充分驗證測試的防病毒軟體或應用程式白名單軟體。
• 工業企業需要建立工控系統防病毒和惡意軟體入侵管理機制。
• 密切關注重大工控安全漏洞及其更新檔釋出。

24.4.8 工控資料安全

• 常見的資料類型
• 研發資料：研發設計資料、開發測試資料
• 生産資料：控制資訊、工況資訊、工藝參數、日志
• 運維資料：物流資料、售後服務資料
• 管理資料：系統裝置資産資訊、客戶與産品資訊、供應鍊資料、業務統計資料
• 外部資料
• 防護措施要求
• 根據風險評估結果對資料資訊進行分級分類管理，建立和完善分級分類管理制度。靜态存儲：加密存儲，通路控制；動态資料：加密傳輸，VPN
• 定期備份關鍵業務資料
• 對測試資料進行保護（包括安全評估資料、現場組态開發資料、系統聯調資料、現場測試資料、應急演練資料）

24.4.9 工控安全監測與應急響應

• 在工控網絡部署網絡安全監測裝置，及時發現、報告并處理網絡攻擊或異常行為
• 在重要工控裝置前端部署具備工業協定深度包檢測功能的防護裝置，限制違法操作
• 制定工控安全事件應急響預案
• 定期對工控系統的應急響應預案進行演練，必要時修正
• 對關鍵主機裝置、網絡裝置、控制元件進行備援配置

24.4.10 工控安全管理

• 建設工業控制系統資産清單，明确資産責任人，以及資産使用和處置規則
• 對關鍵主機裝置、網絡裝置、控制元件進行備援配置（備援電源、備援裝置、備援網絡）
• 安全軟體選擇與管理（①選擇離線環境下充分測試的防病毒軟體或白名單軟體；②建立防病毒和惡意軟體入侵管理機制）
• 配置和更新檔管理（①建立配置清單，定期進行配置審計；②對重大配置變更進行影響分析；③關注重大工控安全漏洞及更新檔釋出）
• 供應鍊安全（①考慮經驗；②考慮保密）
• 落實責任

24.4.11 工控安全典型産品技術

• 1.防護類型

• 工控防火牆：解讀工控協定資料包内容
• 工控加密：VPN、加密機、資料加密工具
• 身份認證：密碼、雙因素認證、人臉、指紋
• 工控可信計算
• 系統安全加強

• 2.實體隔離類型

• 網閘、正反向隔離裝置

• 3.審計與監測類型

• 工控安全審計
• 工控入侵檢測

• 4.檢查類型

• 工控漏洞掃描：裝置、作業系統、工控軟體
• 工控漏洞挖掘：技術包括協定分析、軟體逆向分析、模糊測試
• 工控安全基線：根據工控安全政策、安全标準規範、最佳實踐制定

• 5.運維和風險管控類型

• 工控堡壘機：集中管理工控裝置的運維和運維過程審計
• 工控風險管理系統：管理工控系統的資産、安全威脅、安全漏洞

24.3 工控系統安全綜合應用案例分析

24.3.1 電力監控系統安全總體方案

• 1.安全分區

• 安全分區。（生産控制大區和管理資訊大區，生産控制大區分為控制區與非控制區，管理資訊大區分為若幹業務安全區。控制區與非控制區采用邏輯隔離措施）

• 2.網絡專用

• 網絡專用。（專用網絡）

• 3.橫向隔離

• 橫向隔離。（控制大區與管理大區使用橫向單向安全隔離裝置，接近實體隔離；生産控制大區内安全區采用具有通路控制功能的裝置實作邏輯隔離）

• 4.縱向認證

• 縱向加密。（采用認證、加密、通路控制等技術實作資料的遠方安全傳輸以及縱向邊界的安全防護）

24.3.2 水廠工控安全集中監控

24.3.3 工控安全防護廠商方案