工业控制系统信息安全风险管理实践探索

工业控制系统（ICS）对于支持国家关键基础设施和维护国家安全至关重要。ICS所有者和运营商利用新技术提高运营效率，将运营技术（OT）连接到企业信息技术（IT）系统和物联网（IOT）设备后，由此产生的网络安全风险引起了广泛关注。对于电力，石油和天然气行业的网络攻击就像飓风一样不可避免。网络犯罪分子专注于利用新的数字网络和物联网连接设备，以此为跳板，连接关键基础设施，通过破坏电力、石油、天然气和水等公共服务危害社会。特别是勒索软件和其他网络攻击，通常以ICS为目标进行破坏运营或窃取知识产权攻击。因此，能源行业、制造业、公用事业、医疗保健等依赖ICS的运营机构需要采取积极有效的措施来保护当前和计划中的ICS。

1.工业控制系统的类型。

ICS是描述不同类型控制系统和相关仪器的通用术语，包括自动化工业过程中的设备、系统、网络和控制。根据不同的行业，每个ICS都有不同的功能，旨在以电子方式有效地管理任务。ICS包括数据采集和监控系统（SCADA）、分布式控制系统（DCS）和其他控制系统，如可编程逻辑控制器（PLC），通常安装在工业部门和关键基础设施中。ICS中使用的设备和协议包括制造、运输、能源、水处理等行业、电气和核电站等关键基础设施。

1.1数据采集与监控系统(SCADA)

SCADA系统由PLC或其他商业硬件模块等分布在不同位置的设备组成。SCADA系统可以收集和传输数据，并与人机界面（HMI）集成，为许多过程的输入和输出提供集中监控和控制。使用SCADA的主要目的：首先，通过集中控制系统远程监控和控制现场网站。与工人必须长途到现场执行任务或收集数据不同，SCADA系统可以自动执行此任务。第二，现场设备控制本地操作。例如，阀门和断路器的打开或关闭，从传感器系统收集数据，监控当地环境的报警条件。第三，监控关键基础设施。SCADA是一个包含传感器和控制器的系统，允许远程监控其他设备或系统，如发电厂、变电站、管道等大型工业设施。

1.2分布式控制系统(DCS)

DCS常用于制造、发电、化工制造、炼油厂和水处理行业，主要用于控制整个生产过程。在DCS中，设定点被发送到控制器，它可以指示阀门甚至执行器以保持所需的设定值。来自现场的数据可以存储在未来的参考中，用于简单的过程控制，甚至高级的控制策略，包括来自工厂的另一部分的数据。每个DCS使用集中监控电路管理作为整个生产过程的一部分，使行业能够快速访问生产和运行数据。通过生产过程中使用的多种设备，DCS可以减少单个故障对整个系统的影响。DCS的工作原理是通过以太网接口连接到PLC的不同部分，包括服务器、用户和维护人员，可以根据网络软件轻松访问。

1.3可编程逻辑控制器(PLC)

PLC可视为一种可编程计算机，用于监控来自不同传感器的输入，以及在将数据发送到其他设备之前的过程数据。PLC为大多数ICS提供了一个基本的控制系统。没有PLC，它们将无法正常或有效地运行。PLC的范围可以从与处理器集成的外部设备中安装模块化设备，包括数十个输入和输出（I/O）小型模块化设备到数千个I/O的大型机架，通常与其他PLC和SCADA系统连接。

2.工业控制系统的组件。

工业控制系统通过IT、OT、PLC、远程终端(RTU)、智能电子设备(Intelligentelectelectdevice、IED)等技术系统实现组网和安全运行，确保各组件通信的接口。

2.1IT和OT。

OT变量包括监控现场物理设备的硬件和软件系统。OT任务因行业而异。在工业环境中监控温度的设备是OT设备的一部分。IT与OT的融合有利于为企业供应链提供更大的集成性和可见性，包括关键资产、物流、规划和运营流程，跟踪和了解供应链有助于公司保持竞争力。然而，OT与IT的融合也带来了新的风险：网络犯罪分子更容易访问系统组件，许多公司的OT基础设施在网络攻击和保护方面做得不好。

2.2PLC。

这是一种硬件类型，在DCS和SCADA系统中作为整个系统的控制组件，通过传感器和执行器等反馈控制设备本地管理正在运行的过程。在SCADA中，PLC提供与RTU相同的功能。在DCS中，PLC被用作监控方案中的本地控制器。PLC也被用作小型控制系统配置的主要组件。

2.3RTU。

RTU是一种由微处理器控制的现场设备，它接收命令并将信息发送回主终端单元(MTU)。

2.4控制电路。

每个控制电路由PLC和执行器等硬件组成。控制电路分析来自传感器、控制阀、断路器、开关、电机等类似设备的信号。这些传感器测量的变量被传输到控制器，以执行任务和/或完成过程。

2.5人机界面。

允许操作员与控制器硬件交互的图形用户界面(GUI)应用程序不仅可以显示ICS环境中设备收集的状态信息和历史数据，还可以用来监控和配置设定值、控制算法、调整和建立控制器中的参数。

2.6远程诊断和维护。

这是一个用于识别、防止异常操作或故障并从中恢复的模块。

2.7控制服务器。

控制服务器托管DCS或PLC监控软件，并与较低级别的控制设备进行通信。

2.8SCADA服务器或主终端单元(MTU)

这是一种向现场RTU发出命令的设备。

2.9智能电子设备。

一种智能设备可以获取数据。与其他设备进行通信，并实施本地处理和控制。简单的警告装置允许在SCADA和DCS等控制系统中自动控制本地级别。

2.10数据历史库。

数据历史记录器是一个集中数据库，用于记录ICS环境中的所有流程信息，然后导出数据。公司将收集的数据用于流程分析、统计流程控制和企业规划。

3.工业控制系统信息安全风险分析。

为了提高系统功能和生产效率，每个ICS都在IT和OT中不断使用新技术和软件。随着IT和OT的合并，它们已成为网络犯罪分子的重要攻击目标。目前，OT基础设施中使用的安全解决方案的常见缺陷之一是无法保护传统控制系统（特别是现场控制层），并将面临云计算、大数据分析和物联网等新兴技术的挑战。对ICS的成功攻击将对任何公司产生严重影响，包括停机、设备损坏、财务损失、知识产权盗窃和生命安全风险。

3.1网络犯罪分子攻击ICS动机和方法。

网络犯罪分子常用的犯罪方法是盗窃金钱。财务信息等。目前，攻击者已经开始了解被盗敏感数据的价值，因此攻击ICS的动机不仅仅是通过工业间谍活动获得简单的经济效益。最常见的潜在攻击组织或个人，包括国家政府。恐怖分子。犯罪集团。工业间谍和黑客。ICS攻击的第一阶段通常涉及允许攻击者调查环境，然后使用不同的策略来帮助攻击者在目标网络中站稳脚跟。此时，战略和策略与有针对性的攻击非常相似。攻击者使用ICS的所有可能的漏洞和特定的配置来启动恶意软件。一旦识别和使用这些漏洞，攻击的影响可能会导致一些操作和功能的变化或现有控制配置的调整。ICS攻击的复杂性取决于不同的因素，从系统安全到预期的影响。

3.2ICS风险识别过程。

工业控制系统风险评估的基本要素包括资产、威胁、保障能力和脆弱性。风险评估围绕这些基本要素展开，在评估这些基本要素的过程中，需要充分考虑与基本要素相关的各种属性。

风险不能降至零，实施安全措施后将存在残留风险。一些残留风险来自于缺乏保证能力，需要加强控制，而一些残留风险在综合考虑安全成本和效益后是不可接受的。

资产评估。资产是对被评估方有价值的信息或资源，是安全策略的保护对象。资产价值是资产重要性或敏感性的表现。

威胁评估。威胁是指可能危害系统或导致被评估方不希望发生的事故的潜在原因。威胁是客观存在的。不同的资产面临不同的威胁，不同资产的可能性和影响也不同。全面准确地识别威胁有助于采取预防措施。威胁评估应识别威胁源、威胁途径、可能性和威胁影响，并分析和分配威胁。

脆弱性评估。脆弱性是资产本身的存在，威胁总是利用资产的脆弱性来造成伤害。评估人员应考虑到工业控制系统的脆弱性难以修复。原则上，工业控制系统的脆弱性需要从物理环境、网络、平台和安全管理四个方面进行评估。

3.3ICS被攻击的漏洞类别。

ICS涉及IT和OT，因此根据类别分组漏洞有助于确定和实施缓解策略。据了解，美国国家标准与技术研究所（NIST）的ICS安全指南将这些类别划分为与策略和程序相关的问题，并从硬件、操作系统、ICS应用程序等平台和网络中发现漏洞。

（1）战略和过程漏洞。安全系统结构和设计不足；ICS环境安全审计很少或根本没有；ICS安全策略不足；ICS配置变更管理不足；ICS安全培训和意识计划不正式；缺乏安全实施管理机制；ICS无具体操作连续性或灾难恢复计划；ICS环境无具体安全策略。

（2）平台配置漏洞。便携式设备上的数据不受保护；使用默认系统配置；不存储或备份关键配置；不更新操作系统和应用程序安全维修程序；操作系统和应用程序安全补丁未详细测试；ICS用户访问控制策略太多或太少；缺乏足够的密码策略。意外泄露密码。未使用密码。使用默认密码或弱密码。

（3）平台硬件漏洞。安全变更测试不足；关键部件缺乏冗余；ICS部件不安全远程访问；发电机或不间断电源（UPS）缺乏备用电源；连接网络的双网接口卡；关键系统物理保护不足；连接ICS网络的未记录资产；未经授权的人员可以物理访问设备；环境控制的丧失可能导致硬件过热；射频和电磁脉冲（EMP）会中断和损坏电路。

（4）平台软件漏洞。拒绝服务（DOS）攻击ICS软件；未安装入侵检测/防御软件；默认情况下未启用安装的安全功能；ICS软件可能容易受到缓冲区溢出攻击；未定义。定义不明确或非法网络数据包处理不当：操作系统中不禁止不必要的服务，可使用；没有适当的日志管理，很难跟踪安全事件；用于过程控制（OPC）的OLE通信协议容易受到远程过程调用（RPC）和分布式组件对象模型（DCOM）漏洞的攻击；使用DNP3、Modbus、PROFIBUS等不安全的行业ICS协议；配置和编程软件的身份验证和访问控制不足；许多ICS通信协议不能通过传输媒体以明确的形式传输信息；ICS软件和协议的技术很容易获得，这有利于对手的计划攻击；配置和编程软件的身份验证和访问控制不足；许多ICS通信协议无法通过传输媒体以明确的形式传输信息；ICS软件和端传输媒体快速识别。

（5）恶意软件保护漏洞。未安装防病毒软件；未更新防病毒检测特征码；ICS环境中安装的防病毒软件未进行详细测试。

（6）网络配置漏洞。网络安全架构设计薄弱；传输过程中密码未加密；网络设备配置未正确存储或备份；网络设备未定期更改密码；不使用数据流控制控件，如访问控制列表（ACL）；防火墙、路由器等网络安全设备配置不当。

（7）网络硬件漏洞。关键网络缺乏冗余；网络设备物理保护不足；环境控制丧失可能导致硬件过热；非关键人员可访问设备和网络连接；不安全的USB和PS/2端口可用于连接未经授权的拇指驱动器、键盘记录器等。

（8）网络边界漏洞。未定义网络安全边界；终端资产物理控制不到位；多个系统共享网络设备；防火墙不存在或配置不正确；ICS控制网络用于非控制流量（如网页浏览和电子邮件）；控制网络服务不在ICS控制网络中，如DNS。DHCP由控制网络使用，但通常安装在企业网络中。

（9）通信漏洞。关键监控路径未确定；用户。数据或设备的身份验证不合格或不存在；许多ICS通信协议没有内置的完整性检查，因此对手可以轻松操纵通信而不被发现；标准。记录良好的协议以纯文本的形式使用，如嗅探，可以使用协议分析器分析和解码FTP流量。

（10）无线连接漏洞。客户端与接入点之间的身份验证不足；客户端与接入点之间的数据保护不足。

（11）网络监控和日志记录漏洞。没有ICS网络的安全监控；防火墙和路由器日志不足使得跟踪安全事件变得困难。

3.4工业控制系统受到攻击的影响。

ICS系统的攻击通常是有针对性的攻击。他们使用ICS入口路径在系统中获得立足点，以允许它们横向进入公司。最引人注目的案例之一是Stuxnet蠕虫。它用于操纵伊朗核设施中的离心机和Blackenergy等活动，影响乌克兰的发电设施，使客户无法供电。尽管大多数攻击都集中在数据盗窃和工业间谍活动上，但上述两起案件都显示了恶意软件如何产生联动效应。网络攻击对ICS行业的影响取决于目标运营性质或网络犯罪分子攻击的动机。

（1）系统、操作系统或应用程序配置中的更改。当系统被篡改时，可能会产生不必要或不可预测的结果。这可能是为了掩盖恶意软件行为或任何恶意活动。这也可能影响威胁参与者目标的输出。

（2）PLC、RTU和其他控制器的变化。与系统的变化类似，控制器模块和其他设备的变化可能会损坏设备或设施。这也可能导致过程故障和禁止控制过程。

（3）向运营部门报告的错误信息。这种情况可能会导致不必要或不必要的操作，因为错误的信息。这些事件可能会改变可编程逻辑。这也有助于隐藏恶意活动，包括事件本身或注入的代码。

（4）篡改安全控制装置。防止故障保险的正常运行和其他保护措施将危及员工甚至外部客户的生命。

4.加强对工业控制系统信息安全的实践思考。

虽然保护工业控制系统的优先级和技术与企业IT系统有很大的不同，但一些行业协会已经制定了将ICS与IT系统连接或集成的标准和安全指南。目前，工业互联网联盟（IIC）、美国国家标准与技术研究院（NIST）和国际电工委员会（IEC）通过深入防御和保护工业网络部署，通过教育、战略和监控管理安全，提高ICS网络安全。鉴于此，为了进一步提高ICS信息安全性，在实践过程中可以采取以下措施。

4.1做好安全网络基础设施设计。

安全网络是由设计造成的。大多数自动化网络在几年甚至几十年内缓慢部署、添加和修改。许多PLC网络和设备从未设计过连接到工厂网络或互联网，通常缺乏强大的安全功能。由于首要任务是保持工厂运行，因此网络设计更考虑简单性而不是安全性。为了部署安全的工业网络，首先要考虑的是深度防御网络设计。深度防御网络设计始于将网络划分为逻辑区域，每个逻辑区域都由工业防火墙隔离和保护。然后，在每个区域之间，可以设置防火墙规则，以过滤或管理网络中每个区域之间的数据通信。深度防御设计旨在从内到外保护网络。以智能工厂为例。虽然在IT网络和OT网络之间部署防火墙非常重要，但这还不够。在OT网络中，应安装更多的附加防火墙，例如，用于分布式控制器。这是深度防御设计的基本原则。为了使未经授权的人更难访问关键系统，可以通过限制对单个区域的访问，而不是授予对整个网络的完全访问权，最大限度地减少安全漏洞的潜在影响。入侵防御系统（IPS）或入侵检测系统（IDS）是工业网络系统的先进系统。IPS/IDS通常用于IT/办公网络来监控网络数据中的恶意活动。然而，它也可以用于工业控制系统网络，因为越来越多的应用程序在基于Windows的工业计算机上运行。安全网络设计的另一个重要因素是安全远程访问。类似于在笔记本电脑上使用VPN软件在家访问企业网络，您还可以部署加密VPN连接进行远程监控或远程维护。鉴于此，从保护网络的基本结构开始：ICS可以细分为多个子系统，并定义子系统之间的数据通信需求；安装工业防火墙，正确配置数据通信策略（如防止不必要的数据通信）；安装IPS或IDS监控工业网络上的恶意活动；为任何远程监控或远程维护访问设置VPN连接。

4.2进一步加强设备的安全性。

支持工业网络安全的关键是加强设备安全，实施关键保护。这是指保护连接到工业控制系统的网络交换机、路由器和其他设备。一些方法包括用户身份验证、维护数据的完整性和机密性，以及使用身份验证来控制网络访问。这些都是我们在日常生活中使用个人设备时可能遇到的一切。例如，在线访问银行或信用卡账户需要一个强大的密码。如果您在一定数量的失败尝试后无法登录，您的帐户可能会被锁定，您需要联系支持人员来证明您的身份。这是用户身份验证背后的基本概念。另一个例子是web浏览器新闻，它将通知用户在连接不安全时，因为用户需要或建议使用HTTPS进行加密的web会话。这是数据完整性和机密性背后的基本概念。用户必须通过新的设备登录。虽然大多数人都熟悉这些概念，但关键系统中的工业设备在部署时几乎没有安全配置是很常见的。在许多情况下，它们仍然有制造商提供的默认用户名和密码。除上述安全设置外，还应考虑漏洞管理。计算机上的Windows更新只是将修复程序应用于发现和修复已知的漏洞。漏洞几乎会影响每个软件和设备制造商的组件，因此与具有明确定义的补丁漏洞响应计划的供应商合作比以往任何时候都更重要。有鉴于此，加强设备安全是关键：确认设备上没有默认密码，特别是工业以太网交换机、路由器、无线接入点或蜂窝路由器等网络设备；选择至少8个字符且难以猜测的强密码；启用访问锁定功能；启用访问控制列表。该功能可在工业网络设备上预注册设备IP或MAC地址，仅允许与访问控制规则相匹配的设备使用网络；使用VPN或HTTPS会话加密通过Web控制台远程访问工业设备的通信，有助于防止敏感数据（如登录账户ID和密码）被盗；咨询设备供应商，了解如何在设备安全补丁和更新后的最短时间内获得它们。

4.3定期识别ICS安全风险。

加强持续技术跟进和持续检测检测和评估模式。风险评估是识别ICS风险的重要手段，是实现工业控制系统信息安全深度防御的前提。其主要作用是准确评估工业控制系统中存在的主要信息安全问题和潜在风险。其风险评估结果是建立工业控制系统安全保护和监控策略的基础和前提。同时，工业控制系统作为国家重点基础设施，应用于各重点行业和领域。在生命周期的不同阶段，风险评估的重点也有所不同。因此，工业控制系统的风险评估应分别从设备采购、运行、维护和报废阶段进行。通过定期的风险评估，可以识别ICS面临的威胁和威胁攻击路径。鉴于此，加强工业控制风险评估的周期性实施：定期进行风险评估，识别不同时期的关键风险点识别工业控制系统不同资产的物理控制，确保无关人员和非授权人员不接触终端和网络；组织专业团队进行攻防演练，识别人员应急和技术应急储备；注意不同攻击点的攻击影响。

4.4注重提高安全管理和教育水平。

加强安全管理或监控网络安全的概念，包括教育/培训使用ICS的工程师遵守新的安全策略。确保网络安全政策和实践实施的教育可能是最重要、最好的实践，也是最难成功实施的。为了促进合规性，可能还需要考虑投资专用软件工具，以更有效地管理ICS安全策略。特别是，一些工业网络管理软件可以帮助扫描网络设备并提供库存列表，以便轻松识别是否存在可疑文件或风险文件并删除它们。一些工具甚至可以帮助用户始终配置新设备，以满足用户选择的安全设置，直观地验证设备是否配置正确，甚至备份配置文件，以帮助在事件发生时恢复网络。另一个重要功能是实时事件通知和日志记录。当发生安全事件（如多次失败的登录试验或设备损坏）时，可以修复安全事件（如防火墙试验）。事实上，安全信息和事件管理系统是IT网络管理IT网络管理的重要组成部分。因此，一些工业网络管理系统还提供API（如RESTFULAPI）或支持通用网络协议（如SNMP），以将ICS与现有的SIEM系统集成。鉴于此，进一步加强安全管理和教育：为ICS系统的设计、操作和维护操作员制定安全策略，政策还应考虑第三方承包商和设备供应商；培训和教育系统工程师了解网络安全的重要性，熟悉新政策；为终点设备和网络设备制定安全策略；增加安全监控工具资金的投资，监控和备份相关资产的安全设置；记录和备份工业控制系统设备和工业网络设备的事件日志；使用ICS支持与现有ITSIEM系统集成的ICS，如支持RESNPI或S。

5结语

随着物联网的爆炸式发展和新技术在工业领域的广泛应用，制造系统和过程控制变得越来越复杂，定期识别数据采集和监控系统的风险，并确定其优先级，以分析威胁，解决关键基础设施中的漏洞。随着智能制造战略的全面推进，工业数字化、网络化、智能化的发展加快。工业控制安全作为国家关键信息基础设施的重要组成部分，已成为国家安全防护的重中之重。在工业网络安全和万物互联的未来，传统的OT系统已成功转型为第四次工业革命