新环境中的工控系统安全风险及防护技术

传统工业控制系统一般处于相对孤立工作的模式下，并且基于 IT 和 OT 技术相对隔离基础上进行设计，传统控制过程、控制软件更侧重功能安全，对网络安全内容涉及较少，基本不具备防范各种网络攻击的能力。基于工业互联网的工业控制系统开始朝向更深层次网络化、集成化方向发展，区别于传统工业控制系统的特点与工作模式，新环境下的工业控制系统展现出更多面向网络IP化、无线化、组网复杂化等带来的网络安全风险，如图1所示，工业网络的互相融合，使得工业组网越来越灵活复杂，传统的防护策略面临攻击手段动态化的严峻挑战。

图1 新环境中的工业控制系统网络结构图

工业控制系统是工业控制部件与计算机融合的一类特殊工业信息系统，在网络化发展环境下，工控系统会受到来自网络的各类系统漏洞攻击威胁，通常的漏洞类型如下：

3.1工控系统漏洞威胁

目前大多数工控系统都是基于计算机操作系统开发的，这些工控系统侧重对并网连续性控制以及对系统功能稳定性的考虑，通常不会高频次地对系统进行补丁安装，加之许多大型工业企业的生产任务繁重而忽视了工控系统安全性的提升，很多大型工业现场的生产控制系统没有经过升级安装，因此存在巨大的系统漏洞带来的安全风险威胁。

3.2工业通信协议威胁

传统工业通信协议的设计没有考虑面向网络化环境的安全防御问题，如Modbus、S7等协议，这些传统的工业通信协议存在很多漏洞，安全性不高，网络攻击者只需要掌握协议构造方式，通过网络接入就可以对目标设备的任意数据进行篡改。随着工业互联网的建设，工控网络中大量引入了以太网，工业生产现场中不同网络和软件之间多采用TCP/IP或ISO标准进行数据传输，通信协议本身存在的漏洞也给联网的工控系统带来安全风险威胁。

3.3网络病毒威胁

由于工控系统安全稳定性功能特点，使得杀毒软件和一些工控系统存在冲突，因此许多工控系统通常不会安装杀毒软件，即使安装了杀毒软件，在使用过程中也有很大的局限性，原因在于杀毒软件病毒库高频更新升级的特点与工控系统稳定运行且不经常更新的特点相悖，联网的工控系统一方面面临多种多样来自网络的病毒威胁，另一方面其病毒库的防御功能也存在一定的滞后性。

3.4工控软硬件漏洞威胁

由于工控软硬件种类繁多，并且其设计时忽视了联网带来的信息安全问题，因此面对工业互联网连接下的新环境，很难形成统一的防护规范以应对网络安全风险威胁。加之，当工控软硬件面向网络应用时，必须开放其应用端口，由于缺乏面向工业互联网的工业防火墙设备，传统的IT防火墙等安全设备很难保障其安全性，从而形成容易遭受网络攻击的重要漏洞。

随着工业互联网建设发展，针对联网的工控系统建立安全有效的防护体系，是解决安全威胁的重要内容，安全防护技术开发应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测、资产安全、数据安全、供应链管理安全等方面入手，形成具体解决方案，以下选取具有代表性的安全防护技术进行分析。

4.1 工业网络入侵检测技术

基于工业互联网的新环境中，工业控制系统面向更多的数据流，工业网络入侵检测技术主要是针对工业控制系统的各个关键节点开展一定的数据收集、整理和反馈，进而从数据中提取出反映工业控制系统行为的相关数据特征，在掌握设计识别技术和检测算法技术的基础上，对关键节点数据进行识别，以此来发现工业控制系统环境可能存在的入侵行为。

4.2 漏洞扫描与漏洞挖掘技术

常规来看，漏洞扫描技术主要是基于完整的工业控制系统及工业控制网络安全漏洞数据库，根据高频漏洞扫描引擎和检测规则等自动进行匹配，以扫描出企业所用工业控制系统内部关键设备、关键软件和关键硬件等是否存在已知漏洞的方法。漏洞挖掘技术则可进一步分为静态分析漏洞挖掘方法和动态分析漏洞挖掘方法两大类，静态分析漏洞挖掘方法在工业控制系统程序非运行状态下对漏洞进行检测和对比扫描，强化对静态代码审计、逆向分析和补丁等的对比研究，动态分析漏洞挖掘技术则是在系统软件运行的情况下，对工业控制系统进行程序格式、黑盒子测试等针对性的漏洞扫描，以此发现工业控制系统可能存在的信息安全隐患，保障工业控制信息系统运行的安全性。

4.3 基于工业互联网的访问控制技术

基于工业互联网的新网络环境中，来之网络端的访问路径将被扩大，恶意性和伪身份性访问行为的风险巨增，面向工业互联网的访问控制技术显得尤为重要。访问控制技术主要包括对工业控制系统内部相关数据信息的访问控制策略、访问控制模型和访问控制框架等三大部分，企业在开展工业控制系统安全信息防护过程中采用访问控制技术的主要目的是最大限度地限制对工业控制系统内部任何受企业保护资源的数据访问，尽可能地防止未授权人员对企业工业控制系统内部任何资源进行不合法访问与浏览。

4.4 新型工业防火墙技术

由于工业互联网与传统互联网应用环境的差异性巨大，传统IT防火墙技术对进一步保护工业控制系统相关数据信息的内部和外部非法入侵并不适用。在工业控制系统中，企业为保护相关数据信息和资料必须进一步采用工业防火墙技术。新型工业防火墙技术和传统IT的防火墙技术相比具有更多优势：一是工业防火墙技术具备对工业控制系统进行动态检测和实时访问控制的相关功能；二是针对诸如 OPC 等工业控制协议，工业防火墙技术相关内容具备支持性和兼容性；三是新型工业防火墙技术能最大限度满足工业控制系统较高的实时性需求和稳定性运行需求。

4.5面向工业互联网的态势感知技术

基于工业互联网的安全态势感知技术对工业网络进行实时的安全监测，是新环境下工控系统网络安全的基础保障。工业互联网安全态势感知通过采集工业互联网流量、资产、日志、告警、安全处置数据和第三方数据，利用统计分析和数据挖掘等方法，实时动态分析工业网络中的网络行为及用户行为，识别能引起工业互联网态势变化的安全要素，从而展示整个网络当前安全状态，并预测未来发展趋势，以此保护工控系统的安全稳定运行。

随着工业互联网的建设发展，工业控制系统面临着全新环境下的安全风险威胁，本文结合新环境下的工控系统特点，分析基于新环境下的工控系统安全风险威胁及安全防护技术。工业数字化、网络化、智能化发展将不断深入，工控系统作为工业生产的中枢神经系统将肩负着更为重要的安全生产使命，工控安全是工业转型升级发展中首要考虑的问题之一，加强工控系统安全性，建立完善的安全防护体系具有重要意义。

范德昌，张振山/中孚信息（北京）研究院

本文作者：中孚信息

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/151422.html