工业控制网络安全的研究与应用

时间：2024-09-03

◆房亮蔡东东

工业控制网络安全的研究与应用

◆房亮1蔡东东2

（1.青海黄河上游水电开发有限责任公司青海 810008；2.北京宝之谷农业科技开发有限公司北京 102213）

随着我国信息化的快速发展以及与工业化的深度融合使得工业控制系统越来越多地采用信息技术和网络通信技术来支撑业务系统的发展，由于业务对工业控制系统的高度依赖和较高的实时性要求，使得工业控制系统网络安全正面临着巨大的挑战。本文以城市轨道交通信号系统（以下简称CBTC系统）的安全建设为例，结合CBTC相关业务从边界防护、网络流量审计以及建设统一综合的安全监测与管理平台等方面，通过逐步递进来构建工业控制系统的网络安全解决方案。

工控；网络安全；安全建设

1 前言

随着工业化与信息化的快速发展以及云、大、物、智、移等新技术的逐步发展和深化实践，制造业工业控制系统的应用越来越多，随之而来的网络安全威胁的问题日益突出。特别是国家重点行业例如能源、水利、交通等的工业控制系统关系到一个国家经济命脉，工业控制系统网络一旦出现特殊情况可能会引发直接的人员伤亡和财产损失。本文主要以轨道交通行业CBTC系统业务的安全建设为例介绍工业信息安全防护思路，系统阐述了工业信息安全的发展背景及重要性，以网络安全法和工业基础设施的相关法规和要求等为依据，并结合传统工业控制系统的现状，从技术设计和管理系统建设两个方面来构建工控系统网络安全。

2 工业信息安全概述

2.1 工控网络的特点

工业控制系统是指各种自动化组件、过程监控组件共同构成的以完成实时数据采集、工业生产流程监测控制的管控系统，也可以说工业控制系统是控制技术（Control）、计算机技术（Computer）、通信技术（Communication）、图形显示技术（CRT）和网络技术（Network）相结合的产物[1]。

工控系统网络安全是指工业自动控制系统网络安全，涉及众多行业例如电力、水利、石油石化、航天、汽车制造等众多工业领域，其中超过60%的涉及国计民生的关键基础设施（如公路、轨道交通等）都依靠工控系统来实现自动化作业。

2.2 国内外工业安全典型事件

众所周知，工业控制系统是国家工业基础设施的重要组成部分，近年来由于网络技术的快速发展，使得工控系统正逐渐成为网络战的重点攻击目标，不断涌现的安全事件也暴露出工控系统网络安全正面临着严峻的挑战。

（1）美国列车信号灯宕机事件

2003年发生在美国佛罗里达州铁路服务公司的计算机遭遇震网病毒感染，导致美国东部海岸的列车信号灯系统瞬间宕机，部分地区的高速环线停运。这次事件主要是由于感染震网病毒引起的，而这种病毒常被用来定向攻击基础（能源）设施，比如国家电网、水坝、核电站等。

（2）乌克兰电网攻击事件

2015年，乌克兰的首都和西部地区电网突发停电，调查发现这次事故是由于黑客攻击造成的。黑客攻击了多座变电站，在电力公司的主控电脑系统里植入了病毒致使系统瘫痪造成停电事故。

（3）旧金山轻轨系统遭勒索病毒攻击事件

2016年，黑客攻击美国旧金山轻轨系统，造成上千台服务器和工作站感染勒索病毒，数据全部被加密，售票系统全面瘫痪。其实国内也发生过很多工业控制系统里面的安全事件，主要也是因为感染勒索病毒引起的。勒索病毒感染了重要业务系统里面的一些工作站，例如在轨道交通行业里的典型系统：综合监控系统、通信系统和信号系统等，其中大部分是由于移动接入设备的不合规使用而带来的风险。

从以上事件可以看出，攻击者要发动网络攻击只需发送一个普通的病毒就可以达到目的，随着网络攻击事件的频发和各种复杂病毒的出现，让我们的工业系统安全以及公共利益、人民财产安全正遭受着严重的威胁。

2.3 工控安全参考标准、规范

作为国家基础设施的工业控制系统，正面临着来自网络攻击等的威胁，为此针对工控网络安全，我国制定和发布了相关法律法规来指导网络安全建设防护工作。其中有国家标准委在2016年10月发布的《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》《工业自动化和控制系统网络安全可编程序控制器（PLC）第1部分：系统要求》等多项国家标准[2]。同年，工信部印发《工业控制系统信息安全防护指南》，该标准以当前我国工业控制系统面临的安全问题为出发点，分别从技术防护和管理设计两方面来对工业控制系统的安全防护提出建设防护要求。2017年6月，《网络安全法》开始实施，网安法从不同的网络层次规定了网络安全的检测、评估以及防护和管理等要求，促进了我国工业控制系统网络安全的发展。

3 工业控制系统网络安全分析

轨道交通信号系统（CBTC）是基于通信技术的列车控制系统，该系统依靠通信技术实现“车地通信”并且实时地传递“列车定位”信息[3]。目前CBTC安全建设存在以下问题：

（1）网络边界无隔离

随着CBTC的集成度越来越高，各个子系统之间的联系和数据通信也越来越密切，根据地域一般划分为控制中心、车站、车辆段和停车场，根据业务又划分为ATO、ATS、CI、DCS等多个子系统，各区域之间没有做好访问控制措施，缺失入侵防范和监测的举措。各个子系统之间一般都是互联互通的，不同的子系统由于承载的业务的重要等级不同也是需要对其边界进行防护的，还有一些安全系统和非安全系统之间也都没有做隔离。

（2）网络异常查不到

针对CBTC系统的网络入侵行为一般隐蔽性很强，没有专门的设备去检测的话很难发现入侵行为。出现安全事件后没有审计记录和追溯的手段，等下次攻击发生依然没有抵抗的能力。没有对流量进行实时监测和记录，不能及时发现高级持续威胁、不能有效应对攻击、不能及时发现各种异常操作。

（3）工作站、服务器无防护

CBTC系统工作站、服务器的大部分采用Windows系列的操作系统，还有一部分Linux系列的操作系统，系统建设之初基本不会对工作站和服务器的操作系统进行升级，操作系统在使用过程中不断暴露漏洞，而系统漏洞又无法得到及时的修复，这都会导致工作站和服务器面临风险。没有在系统上线前关闭冗余系统服务，没有加强系统的密码策略。除此之外，运维人员可以在调试过程中在操作站和服务器上安装与业务无关的软件，也可能会开启操作系统的远程功能，上线后也不会关闭此功能，这些操作都会使得系统配置简单，更容易受到攻击。

目前在CBTC系统各个区域部分尚未部署桌管软件和杀毒软件，无法对USB等外接设备的接入行为进行管控，随意使用移动存储介质的现象非常普遍，这种行为极易将病毒、木马等威胁带入到生产系统中。

（4）运维管理不完善

单位内安全组织机构人员职责不完善，缺乏专业的人员。没有针对信号系统成立专门的安全管理部门，未明确相关业务部门的安全职责和职员的技能要求，也缺乏专业安全人才。未形成完整的网络安全管理制度政策来规划安全建设和设计工控系统安全需求。另外将工业控制系统的运维工作外包给第三方人员后并无相关的审计和监控措施，当第三方运维人员进行设备维护时，业务系统的运营人员不能及时了解第三方运维人员是否存在误操作行为，一旦发生事故无法及时准确定位问题原因、影响范围和责任追究。

目前CBTC系统的网络采用物理隔离，基本可以保证正常生产经营。但是管理网接入工控系统网络后，工控系统网络内部的安全防护措施无法有效抵御来自外部的攻击和威胁，而且由于与管理网的数据安全交互必须在工控网络边界实现，因此做好边界保护尤为重要。

4 工业控制系统网络安全防护体系

工控系统信息化建设必须符合国家有关规定，从安全层面来看要符合国家级防护的相关要求，全面规划设计网络安全保障体系，使得工控体系符合相关安全标准，确保工控安全保障体系的广度和深度。根据安全需求建立安全防护体系，通过管理和技术实现主被动安全相结合，有效提升了工控业务系统的安全防护能力。根据业务流量和业务功能特点以及工控系统网络安全的基本要求来设计不同的项目技术方案，从技术角度来识别系统的安全风险，依据系统架构来设计安全加固措施，同时还要按照安全管理的相关要求建立完善的网络安全管理制度体系，来确保整体业务系统的安全有效运行。

4.1 边界访问控制

考虑到资产的价值、重要性、部署位置、系统功能、控制对象等要素，我们将轨道交通信号系统业务网络划分为多个子安全域，根据CBTC业务的重要性、实时性、关联性、功能范围、资产属性以及对现场受控设备的影响程度等，将工控网络划分成不同的安全防护区域，所有业务子系统都必须置于相应的安全区域内。通过采取基于角色的身份鉴别、权限分配、访问控制等安全措施来实现工业现场中的设备登录控制、应用服务资源访问的身份认证管理，使得只有获得授权的用户才能对现场设备进行数据更新、参数设定，在控制设备及监控设备上运行程序、标识相应的数据集合等操作，防止未经授权的修改或删除等操作。

4.2 流量监测与审计

网络入侵检测主要用于检测网络中的恶意探测和恶意攻击行为，常见有网络蠕虫、间谍和木马软件、高级持续性威胁攻击、口令暴力破解、缓冲区溢出等各种深度攻击行为[4]。可以利用漏洞扫描设备扫描探测操作系统、网络设备、安全设备、应用系统、中间件、数据库等网络资产和应用，及时发现网络中各种设备和应用的安全漏洞，提出修复和整改建议来保障系统和设备自身的安全性。恶意代码防护可以检测、查杀和抵御各种病毒，如蠕虫病毒、文件病毒等木马或恶意软件、灰色软件等。通过安全配置核查设备来及时发现识别系统设备是否存在不合理的策略配置、系统配置、环境参数配置的问题。另外要加强安全审计管理，通常包括日常运维操作安全审计、数据库访问审计以及所有设备和系统的日志审计，主要体现在对各类用户的操作行为进行审计和对重要安全事件进行记录和审计，审计日志的内容需要包括事件发生的确切时间、用户名称、事件的类型、事件执行情况说明等。

4.3 建立统一监测管理平台

根据等级保护制度要求规定，重要等级在第二级以上的信息系统需要在网络中建立统一集中管理中心，通过统一安全管理平台能够对网络设备、安全设备、各类操作系统等的运行状况、安全日志、配置策略进行集中监测、采集、日志范化和归并处理，平台可以呈现CBTC系统中各类设备间的访问关系，形成基于网络访问关系、业务操作指令的工业控制环境的行为白名单，从而可以及时识别和发现未定义的行为以及重要的业务操作指令的异常行为。可以设置监控指标告警阈值，触发告警并记录，对各类报警和日志信息进行关联分析和预警通报。

4.4 编制网络安全管理制度

设立安全专属职能的管理部门和领导者及管理成员的岗位，制定总体安全方针，指明组织机构的总体目标和工作原则。对于安全管理成员的角色设计需按三权分立的原则来规划并落实，必须配备专职的安全成员来指导和管理安全的各方面工作。

指派专人来制定安全管理制度，而且制度要经过上层组织机构评审和正式发布，保持对下发制度的定期评审和落实情况的核查。由专人来负责单位内人员的招聘录用工作，对人员的专业能力、背景及任职资格进行审核和考察，人员录用时需要跟被录用人签订保密协议和岗位责任书。

编制完善的制度规范，编制范围应涵盖信息系统在规划和建设、安全定级与备案、方案设计、开发与实施、验收与测试以及完成系统交付的整个生命周期。针对不同系统建设阶段分别编制软件开发管理规范、代码编写规范、工程监理制度、测试验收制度，在测试和交付阶段记录和收集各类表单、清单。

加强安全运维建设，制定包含物理环境管理、资产管理、系统设备介质管理以及漏洞风险管理等方面的规范要求，对于机房等办公区域的人员进出、设备进出进行记录和控制，建立资产管理制度规范系统资质的管理与使用行为，保存相关的资产清单，对各种软硬件资产做好定期维护，对资产采购、领用和发放制定严格的审批流程。针对漏洞做好风险管理，针对发现的安全问题采取相关的应对措施，形成书面记录和总结报告。在第三方外包人员管理方面应该与外包运维服务商签订第三方运维服务协议，协议中应明确外包工作范围和具体职责。