重钢工业控制系统信息安全

0引言

2013年以来，重钢集团作为重庆市的大型重工业企业工控信息安全试点，进行了积极的探索和实践。研究工控系统信息安全问题，制定工控系统信息安全实施指南，建立重钢ICS工控信息安全的模拟试验中心，进行控制系统信息安全的模拟试验，采取措施提高重钢控制系统的安全防御能力，以保证重钢集团控制系统的信息安全和安全生产，尽到自己的社会责任。

1工控系统信息安全问题的由来

工业控制系统（industrycontrolsystem，以下简称ICS）信息安全问题的核心是通信协议缺陷问题。工控协议安全问题可分为两类：

1.1ICS设计时固有的安全缺失

传统的ICS采用专用的硬件、软件和通信协议，设计上注重效率、实时性、可靠性，为此放弃了诸如认证、授权和加密等需要附加开销的安全特征和功能，一般采用封闭式的网络架构来保证系统安全。工业控制网的防护功能都很弱，几乎没有隔离功能。由于ICS的相对封闭性，一直不是网络攻防研究关注的重点。

1.2ICS开放发展而继承的安全缺失

目前，几乎所有的ICS厂商都提出了企业全自动化的解决方案，ICS通信协议已经演化为在通用计算机\操作系统上实现，并运行在工业以太网上，TCP/IP协议自身存在的安全问题不可避免地会影响到相应的应用层工控协议。潜在地将这些有漏洞的协议暴露给攻击者。随着工业信息化及物联网技术的高速发展，企业自动化、信息化联网融合，以往相对封闭的ICS逐渐采用通用的通信协议、硬软件系统，甚至可以通过实时数据采集网、MES、ERP网络连接到企业OA及互联网等公共网络。传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向ICS扩散。因此在ICS对企业信息化系统开放，使企业生产经营获取巨大好处的同时，也减弱了ICS与外界的隔离，“两化融合”使ICS信息安全隐患问题日益严峻。

2重钢ICS信息安全问题的探索

2.1重钢企业系统架构

重钢新区的建设是以大幅提升工艺技术和控制、管理水平，以科技创新和装备大型化推进流程再造为依据，降本增效、节能减排为目的来完成的。各主要工艺环节、生产线都实现了全流程智能化管控。依据“产销一体化”的思想，重钢在各产线上集成,实现“两化”深度融合，形成了一个庞大而复杂的网络拓扑结构。

2.2生产管控系统分级

管控系统按控制功能和逻辑分为4级网络：L4（企业资源计划ERP）、L3（生产管理级MES）、L2（过程控制级PCS）、L1（基础自动化级BAS）。重钢新区L1控制系统有：浙大中控、新华DCS、西门子PLC、GEPLC、MOX、施耐德和罗克威尔控制系统等。各主要生产环节L1独立，L2互联，L3和ERP是全流程整体构建。

2.3重钢企业网络架

重钢新区网络系统共分为4个层次：Internet和专线区，主干网区域，服务器区域，L2/L3通信专网区。

（1）主干网区域包括全厂无线覆盖（用于各网络点的补充接入备用）和办公终端接入，主干网区域与Internet和专线区之间通过防火墙隔离，并部署行为管理系统；

（2）主干网区域与服务器区域之间通过防火墙隔离；

（3）L2与L3之间由布置在L2网络的防火墙和L3侧的数据交换平台隔离；

（4）L2和L1之间通过L2级主机双网卡方式进行逻辑隔离，各生产线L2和L1遍布整个新区，有多种控制系统。

（5）OA与ERP和MES服务器之间没有隔离。在L2以下没有防火墙，现有的安全措施不能保证ICS的安全。

2.4ICS安全漏洞

经过分析讨论，我们认为重钢管控系统ICS可能存在以下安全问题：

（1）通信协议漏洞基于TCP/IP的工业以太网、PROIBUS,MODBUS等总线通信协议，L1级与L2级之间通信采用的OPC协议，都有明显的安全漏洞。

（2）操作系统漏洞：ICS的HMI上Windows操作系统补丁问题。

（3）安全策略和管理流程问题：安全策略与管理流程、人员信息安全意识缺乏，移动设备的使用及不严格的访问控制策略。

（4）杀毒软件问题：由于杀毒软件可能查杀ICS的部分软件，且其病毒库需要不定期的更新，故此，ICS操作站\工程师站基本未安装杀毒软件。

3重钢工控系统信息安全措施

对重钢来说，ICS信息安全性研究是一个新领域，对此，需要重点研究ICS自身的脆弱性（漏洞）情况及系统间通信规约的安全性问题，对ICS系统进行安全测试，同时制定ICS的设备安全管理措施。

3.1制定ICS信息安全实施指南

根据国际行业标准ANSI/ISA-99及IT安防等级，重钢与重庆邮电大学合作，制定出适合国内实际的《工业控制系统信息安全实施指南》（草案）。指南就ICS和IT系统的差异，ICS系统潜在的脆弱性，风险因素，ICS网络隔离技术，安全事故缘由，ICS系统安全程序开发与部署，管理控制，运维控制，技术控制等多方面进行具体的规范，并提出ICS的纵深防御战略的主要规则。并提出ICS的纵深防御战略的主要规则。ICS的纵深防御战略：

（1）在ICS从应用设计开始的整个生命周期内解决安全问题；

（2）实施多层的网络拓扑结构；

（3）提供企业网和ICS的网络逻辑隔离；

（4）ICS设备测试后封锁未使用过的端口和服务，确保其不会影响ICS的运行；

（5）限制物理访问ICS网络和设备；

（6）限制ICS用户使用特权，(权、责、人对应）；

（7）在ICS网络和企业网络分别使用单独的身份验证机制；

（8）使用入侵检测软件、防病毒软件等，实现防御工控系统中的入侵及破坏；

（9）在工控系统的数据存储和通信中使用安全技术，例如加密技术；

（10）在安装ICS之前，利用测试系统测试完所有补丁并尽快部署安全补丁；

（11）在工控系统的关键区域跟踪和监测审计踪迹。

3.2建立重钢ICS信息安全模拟试验中心

由于重钢新区企业网络架构异常复杂，要解决信息安全问题，必须对企业网络及ICS进行信息安全测试，在此基础上对系统进行加固。为避免攻击等测试手段对正在生产运行的系统产生不可控制的恶劣影响，必须建立一个ICS信息安全的模拟试验中心。为此，采用模拟在线运行的重钢企业网络的方式，构建重钢ICS信息安全的模拟试验中心。这个中心也是重钢电子的软件开发模拟平台和信息安全攻防演练平台。

3.3模拟系统信息安全的测试诊断

重钢模拟系统安全测试，主要进行漏洞检测和渗透测试，形成ICS安全评估报告。重钢ICS安全问题主要集中在安全管理、ICS与网络系统三个方面，高危漏洞占很大比重。

（1）骨干网作为内外网数据交换的节点，抗病毒能力弱、有明显的攻击路径；

（2）生产管理系统中因为网络架构、程序设计和安全管理等方面的因素，存在诸多高风险安全漏洞；

（3）L1的PLC与监控层之间无安全隔离，ICS与L2之间仅有双网卡逻辑隔离，OA和ERP、MES的网络拓扑没有分级和隔离。对外部攻击没有防御手段。虽然各部分ICS(L1）相对独立，但整个系统还是存在诸多不安全风险因素，主要有系统层缺陷、渗透攻击、缓冲区溢出、口令破解及接口、企业网内部威胁五个方面。通过对安全测试结果进行分析，我们认为攻击者最容易采用的攻击途径是：现场无线网络、办公网—HMI远程网页—HMI服务器、U盘或笔记本电脑在ICS接入。病毒最容易侵入地方是：外网、所有操作终端、调试接入的笔记本电脑。

3.4提高重钢管控系统安防能力的措施

在原有网络安全防御的基础上根据ICS信息安全的要求和模拟测试的结果，我们采取一系列措施来提高重钢管控系统的措施。

3.5安全管理措施

参照《工业控制系统信息安全实施指南》（草案），修订《重钢股份公司计算机信息网络管理制度》，针对内部网络容易出现的安全问题提出具体要求，重点突出网络安全接入控制和资源共享规范；检查所有ICS操作员\工程师站，封锁USB口，重新清理所有终端，建立完整的操作权限和密码体系。封锁大部分骨干网区的无线接入，增加现场无线设备的加密级别。

3.6系统加固措施

3.6.1互联网出口安全防护第一层：防火墙——在原来配置的防火墙上，清理端口，精确开放内部服务器服务端口，限制主要网络木马病毒入侵端口通讯；第二层：行为管理系统——对内外通讯的流量进行整形和带宽控制，控制互联网访问权限，减少非法的互联网资源访问，同时对敏感信息进行控制和记录；第三层：防病毒系统——部署瑞星防毒墙对进出内网的网络流量进行扫描过滤，查杀占据绝大部分的HTTP、FTP、SMTP等协议流量，净化内网网络环境；

3.6.2内网（以太网）安全部署企业版杀毒系统、EAD准入控制系统(终端安装)，进行交换机加固，增加DHCP嗅探功能，拒绝非法DHCP服务器分配IP地址，广播风暴抑制。

3.6.3工业以太网安全L1级安全隔离应考虑ICS的特点：

（1）PLC与监控层及过程控制级一般采用OPC通讯，端口不固定。因此，安全隔离设备应能进行动态端口监控和防御。

（2）工控系统实时性高，要求通信速度快。因此，为保证所处理的流量较少，网络延时小，实时性好，安全隔离设备应布置在被保护设备的上游和控制网络的边缘。图3安全防御技术措施实施简图经过多方比较，现采用数据采集隔离平台和智能保护平台。在PLC采用终端保护，在L1监控层实现L1区域保护，在PCS与MES、ERP和OA之间形成边界保护。接着考虑增加L1外挂监测审计平台和漏洞挖掘检测平台。

3.6.4数据采集隔离平台在L1的OPC服务器和实时数据库采集站之间实现数据隔离，采用数据隔离网关+综合管理平台实现：动态端口控制，白名单主动防御，实时深度解析采集数据，实时报警阻断。

3.6.5智能保护平台快速识别ICS系统中的非法操作、异常事件及外部攻击并及时告警和阻断非法数据包。多重防御机制：将IP地址与MAC地址绑定，防止内部IP地址被非法盗用；白名单防御机制：对网络中所有不符合白名单的安全数据和行为特征进行阻断和告警，消除未知漏洞危害；黑名单防御机制：根据已知漏洞库，对网络中所有异常数据和行为进行阻断和告警，消除已知漏洞危害。边界保护：布置在L1边界，监控L1网络中的保护节点和网络结构，配置信息以及安全事件。区域保护：布置在L1级ICS内部边界，防御来自工业以太网以外及ICS内部其他区域的威胁。终端保护：布置在终端节点，防御来自外部、内部其他区域及终端的威胁。综合管理平台：通过对所在工控网络环境的分析，自动组合一套规则与策略的部署方案；可将合适的白名单规则与漏洞防护策略下发部署到不同的智能保护平台。

4结束语

经过多方共同努力，重钢集团现已建成一个较为完整的企业信息安全的模拟试验中心；制定出适用于国内实际的有待验证的工控系统信息安全实施指南；对重钢工控系统信息安全状况有了一个较为清晰的认知；通过采取积极的安全防御加固措施，极大的提高整个企业ICS安全；也看清了以后的方向。重钢工控信息安全体系的研究和完善还任重道远，我们将继续深入研究，为我国的工控信息安全体系的建设尽微薄之力。

作者：陈开华 单位：重庆钢铁集团公司电子有限责任公司