ICS 工业控制系统安全风险分析 金山网络企业安全事业部 张帅 本文将从 IT 领域熟悉的信息安全管理体系的基本理论和潜在威胁的角度，借鉴 国际上有关工业控制系统安全保护要求及标准，分析当前我国工业控制系统存在的风 险，并提出一套基于 ICS 系统的威胁发现与识别模型。 目录 一、 二、 三、 1、 2、 3、 四、 五、 六、 七、 工业控制系统介绍........................................................................................................... 3 工业控制系统安全现状................................................................................................... 5 工业控制系统安全风险分析........................................................................................... 6 风险分析........................................................................................................................... 6 脆弱性分析....................................................................................................................... 7 潜在威胁分析................................................................................................................... 9 工业控制系统安全管理体系......................................................................................... 10 基于终端的工业系统安全防御体系............................................................................. 10 一种基于私有云技术的 ICS 威胁识别模型................................................................. 13 总结................................................................................................................................. 15 附录................................................................................................................................. 16 参考文献......................................................................................................................... 17 11 月 12 日，待测伊朗弹道导弹收到控制指令后突然爆炸。事故经媒体披露，迅速引发 各国政府与安全机构的广泛关注，对真凶的质疑直指曾攻击布什尔核电站工业控制系统的 Stuxnet 蠕虫病毒。截至目前，事故真相与细节并未公布，但工业控制系统长期存在的风险 隐患却已是影响国家关键基础设施稳定运行重要因素，甚至威胁到国家安全战略实施。为此 工信部于 10 月份发布文件，要求加强国家主要工业领域基础设施控制系统与 SCADA 系统 的安全保护工作。 本文将从 IT 领域熟悉的信息安全管理体系的基本理论和潜在威胁的角度，借鉴国际上 有关工业控制系统安全保护要求及标准，分析当前我国工业控制系统存在的风险，并提出一 套基于 ICS 系统的威胁发现与识别模型。 一、 工业控制系统介绍 Industrial Control Systems 工业控制系统（Industrial Systems, ICS ICS），是由各种自动化控制组件以及对 实时数据进行采集、监测的过程控制组件，共同构成的确保工业基础设施自动化运行、过程 控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统（SCADA）、分布式 控制系统（DCS）、可编程逻辑控制器（PLC）、远程终端（RTU）、智能电子设备（IED） ， 以及确保各组件通信的接口技术。 目前工业控制系统广泛的应用于我国电力、水利、污水处理、石油天然气、化工、交通 运输、制药以及大型制造行业，其中超过 80%的涉及国计民生的关键基础设施依靠工业控 制系统来实现自动化作业，工业控制系统已是国家安全战略的重要组成部分。 一次典型的 ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同 完成，控制回路用以控制逻辑运算，HMI 执行信息交互，远程诊断与维护工具确保出现异 常的操作时进行诊断和恢复。 图 1：典型的 ICS 操作过程 SCADA SCADA（Supervisory Control And Data Acquisition）数据采集与监控系统，是工业控 制系统的重要组件，通过与数据传输系统和 HMI 交互，SCADA 可以对现场的运行设备进行 实时监视和控制，以实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功 能。目前，SCADA 广泛应用于水利、电力、石油化工、电气化、铁路等分布式工业控制系 统中。 图 2：SCADA 系统总体布局 DCS DCS（Distributed Control Systems）分布式控制系统，广泛应用于基于流程控制的行 业，例如电力、石化等行业分布式作业，实现对各个子系统运行过程的整理管控。 PLC PLC（Programmable Logic Controllers）可编程逻辑控制器，用以实现工业设备的具 体操作与工艺控制。通常 SCADA 或 DCS 系统通过调用各 PLC 组件来为其分布式业务提供 基本的操作控制，例如汽车制造流水线等。 二、 工业控制系统安全现状 与传统的信息系统安全需求不同，ICS 系统设计需要兼顾应用场景与控制管理等多方面 因素，以优先确保系统的高可用性和业务连续性。在这种设计理念的影响下，缺乏有效的工 业安全防御和数据通信保密措施是很多工业控制系统所面临的通病。 据权威工业安全事件信息库 RISI（Repository of Security Incidents）统计，截止 2011 年 10 月，全球已发生 200 余起针对工业控制系统的攻击事件。2001 年后，通用开发标准 与互联网技术的广泛使用，使得针对 ICS 系统的攻击行为出现大幅度增长，ICS 系统对于 信息安全管理的需求变得更加迫切。 图 3：1982-2009 工业系统攻击事件 纵观我国工业控制系统的整体现状，西门子、洛克韦尔、IGSS 等国际知名厂商生产的 工控设备占据主动地位，由于缺乏核心知识产权和相关行业管理实施标准，在愈发智能开放 的 ICS 系统架构与参差不齐的网络运维现实前，存储于控制系统、数据采集与监控系统、 现场总线以及相关联的 ERP、CRM、SCM 系统中的核心数据、控制指令、机密信息随时 可能被攻击者窃取或篡改破坏。作为一项复杂而繁琐的系统工程，保障工业系统的信息安全 除了需要涉及工业自动化过程中所涉及到的产品、技术、操作系统、网络架构等因素，企业 自身的管理水平更直接决定了 ICS 系统的整体运维效果。遗憾的是当前我国网络运维现实， 决定了国内 ICS 系统的安全运维效果并不理想，安全风险存在于管理、配置、架构的各个 环节。 借鉴 IT 安全领域 ISO27001 信息安全管理体系和风险控制的成功经验，综合工业控制 网络特点以及工业环境业务类型、组织职能、位置、资产、技术等客观因素，对工业控制系 统构建 ICS 信息安全管理体系，是确保工业控制系统高效稳定运行的理论依据。 三、 工业控制系统安全风险分析 1、 风险分析 工业控制系统是我国重要基础设施自动化生产的基础组件，安全的重要性可见一斑，然 而受到核心技术限制、系统结构复杂、缺乏安全与管理标准等诸多因素影响，运行在 ICS 系统中的数据及操作指令随时可能遭受来自敌对势力、商业间谍、网络犯罪团伙的破坏。根 据工信部《关于加强工业控制系统信息安全管理的通知》要求，我国工业控制系统信息安全 管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水 利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧 密相关的领域。这些领域中的工业控制系统一旦遭到破坏，不仅会影响产业经济的持续发展， 更会对国家安全造成巨大的损害。 典型工业控制系统入侵事件： � 2007 年，攻击者入侵加拿大的一个水利 SCADA 控制系统，通过安装恶意软件破 坏了用于取水调度的控制计算机； � 2008 年，攻击者入侵波兰某城市的地铁系统，通过电视遥控器改变轨道扳道器， 导致 4 节车厢脱轨； � 2010 年， “网络超级武器”Stuxnet 病毒通过针对性的入侵 ICS 系统，严重威胁到 伊朗布什尔核电站核反应堆的安全运营； � 2011 年，黑客通过入侵数据采集与监控系统 SCADA，使得美国伊利诺伊州城市供 水系统的供水泵遭到破坏。 分析可以发现，造成工业控制系统安全风险加剧的主要原因有两方面： 首先，传统工业控制系统的出现时间要早于互联网，它需要采用专用的硬件、软件和通 信协议，设计上以武力安全为主，基本没有考虑互联互通所必须考虑的通信安全问题。 其次，互联网技术的出现，导致工业控制网络中大量采用通用 TCP/IP 技术，工业控制 系统与各种业务系统的协作成为可能，愈加智能的 ICS 网络中各种应用、工控设备以及办 公用 PC 系统逐渐形成一张复杂的网络拓扑。 仅基于工控协议识别与控制的安全解决方案在两方面因素的合力下，已无法满足新形势 下 ICS 网络运维要求，确保应用层安全是当前 ICS 系统稳定运