一、工控系统安全威胁与需求分析

1.1 工业控制系统概念及组成

工业控制系统：简称工控系统(ICS)，是由各种控制组件、监测组件、数据处理与展示组件共同构成的对工业生产过程进行控制和监控的业务流程管控系统

工控系统分类：分为离散制造类和过程控制类两大类，控制系统包括SCADA系统、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、数控机床及数控系统等

1. 数据采集与监视控制系统(SCADA)

SCADA（Supervisory Control And Data Acquisition）：作用是以计算机为基础对远程分布运行的设备进行监控，功能主要包括数据采集、参数测量和调节

SCADA系统组成：设在控制中心的主终端控制单元(MTU)、通信线路和设备、远程终端单位(RTU)等，系统作用主要是对多层级、分散的子过程进行数据采集和统一调度管理

2. 分布式控制系统(DCS)

DCS（Distribution Control System）：是基于计算机技术对生产过程进行分布控制、集中管理的系统

DCS系统一般包括现场控制级、系统控制级和管理级两/三个层次

1. 现场控制级：主要是对单个子过程进行控制
2. 系统控制级：主要是对多个密切相关的过程进行数据采集、记录、分析和控制，并通过统一的人机交互处理实现过程的集中控制和展示
3. 系统项目管理器：实现组态的配置和分发，并有统一的对外数据接口

3. 过程控制系统(PCS)

PCS（Process Control System）：是通过实时采集被控设备状态参数进行调节，以保证被控设备保持某一特定状态的控制系统，状态参数包括温度、压力、流量、液位、成分、浓度等，PCS 系统通常采用反馈控制(闭环控制)方式

4. 可编程逻辑控制器(PLC)

PLC（Programmable Logic Controller）：主要执行各类运算、顺序控制、定时等指令，用于控制工业生产装备的动作，是工业控制系统的基础单元

5. 主终端设备(MTU)

MTU（Master Terminal Unit）：一般部署在调度控制中心，主要用于生产过程的信息收集和监测，通过网络与RTU保持通信

6. 远程终端设备(RTU)

RTU（Remoter Terminal Unit）：主要用于生产过程的信息采集、自动测量记录和传导，通过网络与MTU保持通信

7. 人机界面(HMI)

HMI（Human-Machine Interface）：是为操作者和控制器之间提供操作界面和数据通信的软硬件平台，目前工业控制系统主要采用计算机终端进行人机交互工作

8. 工控通信网络

工控通信网络：是各种工业控制设备及组成单元的连接器，传统工业通信网络一般采取专用的协议来构建，形成封闭网络

常见的工控专用协议：有OPC、Modbus、DNP3等

工业通信网络类型：有DCS主控网络、SCADA远程网络、现场控制级通信网络等，随着互联网技术的应用发展，TCP/IP协议也逐步应用到工业控制系统，如智能设备、智能楼宇、智能工厂等控制系统

1.2 工业控制系统安全威胁分析

根据已发生的典型事件看，工控系统的安全威胁主要来自五个方面

1. 自然灾害及环境：洪水、雷电、台风等是工业控制系统常见的自然灾害威胁，特别是分布在室外的工业控制设备
2. 内部安全威胁：人为错误或疏忽大意，如命令输入错误、操作不当，导致工业控制设备安全失效
3. 设备功能安全故障：工业控制设备的质量不合格，导致设备功能无法正常执行，从而产生故障，例如磁盘故障、服务器硬件故障
4. 恶意代码：随着工业控制网络的开放性增加，恶意代码成为工业控制系统面临的安全挑战难题，常见的恶意代码有网络蠕虫、特洛伊木马、勒索软件等。根据研究，针对PLC攻击的网络蠕虫已经出现，简称PLC Worm
5. 网络攻击：由于工业控制系统的高价值性，常常是网络攻击者重要的目标对象

1.3 工业控制系统安全隐患类型

工业控制系统是由传统IT技术及控制技术综合形成的复杂系统，除了传统IT系统的安全隐患外，工业控制系统特定的安全隐患如下

1. 工控协议安全：工控协议设计之初，缺乏安全设计，无安全认证、加密、审计，工控通信明文传递信息，数据传输缺乏加密措施，地址和命令明文传输，可以很容易地捕获和解析
2. 工控系统技术产品安全漏洞：PLC、SCADA、HMI、DCS等相关工控技术产品存在安全漏洞。西门子、施耐德、研华、罗克韦尔、欧姆龙等产品相继报告存在安全漏洞
3. 工控系统基础软件安全漏洞：工控系统通用操作系统、嵌入式操作系统、实时数据库等存在安全漏洞
4. 工控系统算法安全漏洞：工控系统控制算法存在安全缺陷。例如状态估计算法缺失容忍攻击保护，从而导致状态估计不准确
5. 工控系统设备固件漏洞：工控系统设备固件存在安全缺陷，例如BIOS漏洞
6. 工控系统设备硬件漏洞：工控系统设备硬件存在安全缺陷，例如CPU漏洞
7. 工控系统开放接入漏洞：传统工控系统在无物理安全隔离措施的情况下接入互联网，工控设备暴露在公共的网络中，从而带来新的安全问题。如DDoS/DoS拒绝服务攻击、漏洞扫描、敏感信息泄露、恶意代码网上传播等。互联网上有专用的工控设备扫描平台Shodan，可以实时发现在线的工控设备及漏洞信息
8. 工控系统供应链安全：工控系统依赖多个厂商提供设备和后续服务保障，供应链安全直接影响工控系统的安全稳定运行。一旦某个关键设备或组件无法提供服务支撑，工控系统就很有可能中断运行

1.4 工业控制系统安全需求分析

工业控制系统的安全除了传统IT的安全外，还涉及控制设备及操作安全

• 传统IT网络信息安全要求侧重于“保密性一完整性一可用性”需求顺序
• 工控系统网络信息安全偏重于“可用性一完整性一保密性”需求顺序

国家网络安全等级保护2.0标准已将工控系统列为等级保护对象，工控系统的网络信息安全主要有

• 技术安全要求：主要包含安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心
• 管理安全要求：主要包含安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理

工控系统的安全保护需求不同于普通lT系统，要根据工控业务的重要性和生产安全，划分安全区域、确定安全防护等级，然后持续提升工控设备、工控网络和工控数据的安全保护能力

工控相关安全措施必须符合国家法律政策及行业主管的安全管理要求，满足国家工控安全标准规范或国际工控安全标准规范

二、工控系统安全保护机制与技术

2.1 物理及环境安全防护

物理及环境安全是工控系统的安全基础，为保护工业控制系统的物理及环境安全，要求如下

• 对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施
• 拆除或封闭工业主机上不必要的USB、光驱、无线等接口，若确需使用，通过主机外设安全管理技术手段实施严格访问控制

2.2 安全边界保护

为确保有安全风险的区域隔离及安全控制管理，工业企业应将工业控制系统划分为若干安全域

一般来说，工业控制系统的开发、测试和生产应分别提供独立环境，避免把开发、测试环境中的安全风险引入生产系统

工业企业针对不同的安全域实现安全隔离及防护，其中

• 安全隔离类型：分为物理隔离、网络逻辑隔离等方式
• 常见的工业控制边界安全防护设备：包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等
• 工业企业按照实际情况，在不同安全区域边界之间部署边界安全防护设备，实现安全访问控制，阻断非法网络访问

2.3 身份认证与访问控制

身份认证与访问控制是工业控制系统的安全基础

常见的认证技术手段：有口令密码、USB-Key、智能卡、人脸、指纹、虹膜等

• 为防范口令撞库攻击及敏感认证信息泄露影响，不同系统和网络环境下禁止使用相同的身份认证证书信息，减小身份信息暴露后对系统和网络的影响
• 对于工业控制设备、SCADA软件、工业通信设备等设定不同强度的登录账户及密码，并进行定期更新，避免使用默认口令或弱口令
• 针对内部威胁，工业企业的安全权限管理应遵循最小特权原则，对工业控制系统中的系统账户权限分配最小化，避免权限过多，防止特权滥用

《工业控制系统信息安全防护指南》对身份认证要求具体内容如下

1. 在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理，对于关键设备、系统和平台的访问采用多因素认证
2. 合理分类设置账户权限，以最小特权原则分配账户权限
3. 强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码，避免使用默认口令或弱口令，定期更新口令
4. 加强对身份认证证书信息的保护力度，禁止在不同系统和网络环境下共享

2.4 远程访问安全

远程访问为工业企业的管理及维护提供方便，但与此同时也引入网络安全问题，威胁者可以利用远程访问的安全缺陷入侵工控系统，《工业控制系统信息安全防护指南》要求如下

• 原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务
• 确需远程访问的，采用数据单向访问控制等策略进行安全加固，对访问时限进行控制，并采用加标锁定策略
• 确需远程维护的，采用虚拟专用网络(VPN)等远程接入方式进行保留工业控制系统的相关访问日志，并对操作过程进行安全审计

2.5 工控系统安全加固

工控系统安全加固通过安全配置策略、身份认证增强、强制访问控制、程序白名单控制等多种技术措施，对工程师站、SCADA服务器、实时数据库等工控组件进行安全增强保护，减少系统攻击面

2.6 工控安全审计

工业企业部署安全审计设备，通过审计系统保留工业控制系统设备、应用等访问日志，并定期进行备份，通过审计人员账户、访问时间、操作内容等日志信息，追踪定位非授权访问行为

2.7 恶意代码防范

恶意代码对工业控制系统的安全构成极大威胁，如震网病毒、火焰病毒，恶意代码防范的相关安全要求如下

1. 在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行
2. 工业企业需要建立工业控制系统防病毒和恶意软件入侵管理机制，对工业控制系统及临时接入的设备采用必要的安全预防措施。安全预防措施包括：定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入U盘、移动终端等外设)等
3. 密切关注重大工控安全漏洞及其补丁发布，及时采取补丁升级措施。在补丁安装前，需对补丁进行严格的安全评估和测试验证

2.8 工控数据安全

工业生产数据是工业企业的核心资源，常见的工业数据类型：有研发数据(研发设计数据、开发测试数据等)、生产数据(控制信息、工况状态、工艺参数、系统日志等)、运维数据(物流数据、产品售后服务数据等)、管理数据(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据(与其他主体共享的数据等)

工业生产数据的安全目标：是保障数据全生命周期的可用性、完整性、保密性和时效性，防止遭受未授权泄露、修改、移动、销毁，特别是防止实时数据延缓滞后

针对数据安全，指南要求对数据进行分类分级管理，具体防护措施相关要求如下:

1. 对静态存储和动态传输过程中的重要工业数据进行保护，根据风险评估结果对数据信息进行分级分类管理：工业企业应对静态存储的重要工业数据进行加密存储，设置访问控制功能，对动态传输的重要工业数据进行加密传输，使用VPN等方式进行隔离保护，并根据风险评估结果，建立和完善数据信息的分级分类管理制度
2. 定期备份关键业务数据：工业企业应对关键业务数据，如工艺参数、配置文件、设备运行数据、生产数据、控制指令等进行定期备份
3. 对测试数据进行保护：工业企业应对测试数据，包括安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等进行保护，如签订保密协议、回收测试数据等

2.9 工控安全监测与应急响应

网络安全监测与应急响应是工业控制系统的安全措施。在工业控制网络中部署网络安全监测设备，可以及时发现网络攻击行为，如病毒、木马、端口扫描、暴力破解、异常流量、异常指令、伪造工控协议包等，对网络攻击和异常行为进行识别、报警、记录

针对工业控制潜在的安全事件，制定工控安全事件应急响应预案：包括应急计划的策略和规程、应急计划培训、应急计划测试与演练、应急处理流程、事件监控措施、应急事件报告流程、应急支持资源、应急响应计划等内容

针对网络安全监测与应急响应的相关要求如下:

1. 在工业控制网络部署网络安全监测设备，及时发现、报告并处理网络攻击或异常行为
2. 在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作
3. 制订工控安全事件应急响应预案，当遭受安全威胁导致工业控制系统出现异常或故障时，应立即采取紧急防护措施，防止事态扩大，并逐级报送直至属地省级工业和信息化主管部门，同时注意保护现场，以便进行调查取证
4. 定期对工业控制系统的应急响应预案进行演练，必要时对应急响应预案进行修订
5. 对关键主机设备、网络设备、控制组件等进行冗余配置

为指导做好工业控制系统信息安全事件应急管理相关工作，保障工业控制系统信息安全，2017年工业和信息化部发布了《工业控制系统信息安全事件应急管理工作指南》

2.10 工控安全管理

针对安全管理的相关要求包括资产管理、安全软件选择与管理、配置和补丁管理、供应链管理等

其具体要求如下:

• 建设工业控制系统资产清单，明确资产责任人，以及资产使用及处置规则：工业企业应建设工业控制系统资产清单，包括信息资产、软件资产、硬件资产等。明确资产责任人，建立资产使用及处置规则，定期对资产进行安全巡检，审计资产使用记录，并检查资产运行状态，及时发现风险
• 对关键主机设备、网络设备、控制组件等进行冗余配置：工业企业应根据业务需要，针对关键主机设备、网络设备、控制组件等配置冗余电源、冗余设备、冗余网络
• 安全软件选择与管理
  • 一是在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件。其中，离线环境指的是与生产环境物理隔离的环境
  • 二是建立防病毒和恶意软件入侵管理机制，对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施
• 配置和补丁管理
  • 一是做好工业控制网络、工业主机和工业控制设备的安全配置，建立工业控制系统配置清单，定期进行配置审计
  • 二是对重大配置变更制定变更计划并进行影响分析，配置变更实施前进行严格安全测试。其中，重大配置变更是指重大漏洞补丁更新、安全设备的新增或城少、安全域的重新划分等。同时，应对变更过程中可能出现的风险进行分析，形成分析报告，并在离线环境中对配置变更进行安全性验证
  • 三是密切关注重大工控安全漏洞及其补丁发布，及时采取补丁升级措施
• 供应链管理
  • 一是选择工业控制系统规划、设计、建设、运维或评估等服务商时，优先考虑具备工控安全防护经验的企事业单位，以合同等方式明确服务商应承担的信息安全责任和义务
  • 二是以保密协议的方式要求服务商做好保密工作，防范敏感信息外泄
• 落实责任，通过建立工控安全管理机制、成立信息安全协调小组等方式，明确工控安全管理责任人，落实工控安全责任制，部署工控安全防护措施

2.11 工控安全典型产品技术

工业控制系统的安全产品技术除了传统的IT安全产品技术外，相关安全厂商也根据工业控制系统环境的特殊要求，研发了相关工控安全产品技术，主要有

1.防护类型

典型技术产品有

• 工控防火墙：区别于传统防火墙，工控防火墙对进入工业控制系统中的网络数据包进行深度分析，可以解读工控协议数据包内容
• 工控加密：有VPN、加密机、数据加密工具等
• 工控用户身份认证：有传统的口令认证、双因素认证以及基于人脸、指纹、虹膜的生物认证等产品技术
• 工控可信计算：采取密码、硬件安全等技术，提供可信的工控计算环境和网络通信，保护工控主机安全可信，工控设备网络连接可信
• 系统安全加固：针对工控主机和终端设备的安全不足，采取身份增强认证、强制访问控制、应用程序白名单、安全配置、恶意代码防护等综合技术，保护工控主机安全

2.物理隔离类型

针对工控系统的不同安全区域，为实现更强的安全保护，通过物理隔离技术防止不同安全域的非安全通信，常见技术产品有网闸、正反向隔离装置等

3.审计与监测类型

用于掌握工控系统的安全状态，主要产品有

• 工控安全审计产品技术：通过采集、存储工控系统口志信息，分析系统异常事件，对于出现的违背安全策略的操作进行告警，并提供安全事件发生场景还原及电子取证服务
• 工控入侵检测系统 (IDS) ：通过对工控系统数据包的深度解析或系统日志关联分析，利用基于特征或异常检测来发现攻击工控系统的行为，实现工控安全威胁监测

4.检查类型

工控安全检查类型产品技术主要有

• 工控漏洞扫描：主要针对工控系统设备、操作系统、工控软件等进行安全漏洞检查，以发现安全漏洞
• 工控漏洞挖掘：利用协议分析、软件逆向分析、模糊安全测试等技术手段，实现对工控系统安全漏洞的发现
• 工控安全基线检查：根据工控安全策略、工控安全标准规范、工控安全最佳实践等要求，对工控系统的安全进行合规检查

5.运维和风险管控类型

工控运维和风险管控类型产品技术主要有

• 工控堡垒机：可以用于集中管理工控设备的运行维护和运维过程审计，减少安全隐患
• 工控风险管理系统：用于管理工控系统的资产、安全威胁、安全漏洞及潜在安全影响

三、工控系统安全综合应用案例分析

3.1 电力监控系统安全总体方案

电力监控系统的安全策略：安全分区、网络专用、横向隔离、纵向认证，如图

1.安全分区

电力监控系统的安全区域主要分成

• 生产控制大区：又细分为控制区和非控制区
  • 控制区与非控制区之间应采用逻辑隔离措施，实现两个区域的逻辑隔离、报文过滤、访问控制等功能，其访问控制规则应当正确有效
  • 生产控制大区应当选用安全可靠的硬件防火墙，其功能、性能、电磁兼容性必须经过国家相关部门门的检测认证
• 管理信息大区：分为若干业务安全区

2.网络专用

电力监控系统的调度控制网络采用专用网络，以满足电力控制实时性及高可信要求

3.横向隔离

• 是电力二次安全防护体系的横向防线
• 采用不同强度的安全设备隔离各安全区，在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应当接近或达到物理隔离
• 生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施，实现逻辑隔离
• 安全接入区与生产控制大区相连时，应当采用电力专用横向单向安全隔离装置进行集中互联

4.纵向认证

• 是电力监控系统安全防护体系的纵向防线
• 采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护
• 在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制
• 安全接入区内纵向通信应当采用基于非对称密钥技术的单向认证等安全措施，重要业务可以采用双向认证

3.2 水厂工控安全集中监控

水厂工控安全监管过程如图，在工业交换机旁路部署工业集中监控管理平台，通过私有安全协议建立安全加密的长连接，实现对工业防火墙及工业监控设备的集中管理和监控。对异常行为、恶意代码攻击、威胁行为管理等可实现集中管理及预防

• 在工业以太网交换机及控制网交换机旁路部署ICS信息安全监控设备，实现网络结构风险和活动的即时可见，对网络中的可疑行为或攻击行为产生报警
• 同时，对网络通信行为进行详实的审计记录，定期生成统计报表，可用于分析及展示

3.3 工控安全防护厂商方案

根据某客户工业控制系统的应用环境需求，需要提供专业化的适用于工控环境的相关安全防护及安全加固产品，全面护航工业控制系统信息安全，如图

该方案主要包含以下几部分

1. InTrust工控可信计算安全平台

可信计算与系统加固，可信计算技术在工控安全领域的创新应用，中国自主的可信计算模块及加密算法，智能的可信度量与管控白名单，提高系统免疫力，阻止一切非可信进程运行，抗病毒、抗恶意攻击

2. Guard工业防火墙

• 内置50多种工业协议和常规控制网络模型，可对OPC、Modbus TCP等通信提供基于工业协议的深度检查和管控
• 同时采用Central Management Plaform(CMP，中央管理平台)进行集中配置、组态和管理(可远程甚至跨国使用)，可以实时在线调整安全配置策略，使之满足所保护区域及设备的安全要求

3. 中央管理平台(CMP)

窗口化的中央管理平台系统及数据库，用于Guard工业防火墙的配置、组态和管理

4. 安全管理平台(SMP)

安全管理中心以底层工业防火墙以及其他第三方网络设备为探针

• 利用内置的“工业控制网络通信行为模型库”核心模块，智能监控、分析控制网络行为，及时检测工业网络中出现的工业攻击、非法入侵、设备异常等情况
• 应用数据库存储、分析和挖掘技术，对危及系统网络安全的因素做出智能预警分析，给管理者提供决策支持，以总揽大局的方式为工厂网络信息安全故障的及时排查、分析提供了可靠的依据

个人导航：http://xqnav.top/