工业控制系统信息安全检查方法

摘要：工业控制系统是涉及到国家重要关键基础设施的组成部分，其信息安全问题关系到经济平稳发展、社会和谐稳定及国家安全的各个方面。由于是信息化与工业化的深度融合，使得工业控制系统正逐步使用通用协议、通用操作系统、通用硬件和软件，通过多种方式与管理网、因特网等公共网络连接，甚至整个工业控制系统与远程终端可以进行互连互通，使得工业控制系统极易遭受攻击者的入侵，并带来病毒、木马等威胁，增加了工业控制系统的信息安全风险。基于工业控制系统信息安全检查工作实践，对检查方法进行新的研究。

关键词：工业控制系统，信息安全检查，内外结合顺序，生产业务流程

1按内外结合顺序检查

现阶段，在现场开展工业控制系统信息安全检查工作时，按照相关的检查表单逐一地对每项内容进行检查，未对工业控制系统安全情况按照内外结合的方式系统性地开展安全检查工作，不能有效地发现工业控制系统中存在的安全隐患以及可能造成的其他安全威胁。“内外结合顺序”的检查方式方法可以根据需求借鉴ISO／IEC62264－2013的层次结构模型中的企业资源层、生产管理层、过程监控层、现场控制层和现场设备层的内容按照内外结合顺序开展安全检查。在工业控制系统信息安全检查中，首先需要进行的是从外到内的检查，通过模拟攻击者的行为对工业控制系统中涉及的企业资源层、生产管理层、过程监控层、现场控制层和现场设备层实施模拟攻击，以发现各个模型层中存在的安全风险和从外到内可能存在的攻击路径。同时，还需从工业控制系统内部开始，模拟攻击者的行为对各个模型层开展安全检查并实施安全测试，以发现工业控制系统内部中所存在的安全风险。从外到内开展工业控制系统信息安全检查工作，类似于“黑盒”测试，它是通过测试来检查每个模型层中的系统功能是否都能正常使用。在检查中，把模型层看作是一个不能打开的黑盒子，在完全不考虑程序内部结构和内部特性的情况下，对工业控制系统的网络环境、防护设备、安全配置等进行检查测试，检查系统的程序功能是否按照管理要求的规定正常使用，是否能够适当地接收输入数据而产生正确的输出信息。从外到内检查是以外来者的角度，从输入数据与输出数据的对应关系出发进行检查。由此，通过此种检查方法发现各个模型层的安全要求是否存在不完善之处，是否能够对外来者的安全状况进行仔细、全面地排查。从内到外开展工业控制系统信息安全检查工作，类似于“白盒”测试。它是通过了解工业控制系统现有的安全环境，对各个模型层中的系统功能进行检查。在检查中，需要结合生产中的内部环境和内部特性，对工业控制系统的管理规范、网络环境、防护设备、安全配置、物理环境等进行检查测试，检查系统的各项安全要求是否按照管理要求规定进行正常操作，是否对正常检查的数据产生正常的输出信息。从内到外检查是以内部人员的角度，从日常生产操作流程中对各项数据的合规性进行检查。通过此种检查方法发现各个模型层中现有的工业控制系统信息安全要求是否存在不合规之处，是否能够对内部人员的安全操作进行检查。在内外结合的方式下，检查企业资源层是否建立工厂基本生产制度、材料使用记录、运输监测、库存数量以及人员操作管理等；检查生产管理层是否有工作流程控制生产期望的产品、维护记录和优化生产过程、调度生产、细化调度过程等，以保证生产的可靠性；检查过程监控层是否对管理控制和自动控制生产过程、使用的软件和设备进行了监控；检查现场控制层是否利用控制单元对数据采集和生产过程进行安全控制；检查现场设备层是否对设备的数据传输和操作过程进行安全监控。在开展工业控制系统信息安全检查时，需要明确检查各个模型层中的工业控制系统对象是哪些，检查场所、范围是如何界定，检查时间是否符合生产的安全要素，检查人员是否具备相关能力实施检查，检查方式是否会对原有生产线产生其他影响等。在对工业控制系统检查工作调查研究的基础上，对检查过程中涉及的检查内容、检查人员、检查地点、检查时间、检查方式逐一进行确认，以达到企业开展工业控制系统信息安全检查的目标。同时，在检查过程中，对发现能够排除的某道管理或生产上的工序进行取消；对发现的多道重复工序进行合并以改善生产安全并提高效率；对发现的管理流程和生产流程顺序是否满足安全要求进行重排，使其能有最佳的顺序、除去重复；对复杂的管理和生产流程进行简化，在满足安全要求的前提下，采用最简单的方法及设备，以节省人力、时间及费用，并能提高效率。工业控制系统信息安全检查工作通过内外结合的方式方法，能够全方位地详尽发现企业生产和管理中存在的风险隐患，促使企业能够安全稳定生产。

2按生产业务流程检查

业务流程的基本构成单元是业务活动，不同的节点状态变化将对业务活动状态产生不同的影响。随着工业控制系统信息安全检查工作逐渐深入，对工业控制系统的业务目标、性能、功能、成本、安全性等因素的详细了解，对每一个业务环节的输入输出数据进行检查，精确度量工业控制系统信息安全风险，使其在一定程度上能直接反映信息安全对业务的影响；同时，结合业务的发展，确定未来的安全需求，包括安全策略、安全体系结构、安全管理、安全功能和安全设备等方面的改进需求，更能促进检查的作用和效果。按照生产业务流程开展工业控制系统信息安全检查工作，可以根据业务的先后顺序、内容、方式、责任等，在不同活动在不同岗位角色之间进行防护的工业控制系统是否符合安全要求，从执行者、管理者、决策者之间共同发现存在的安全隐患，从采购、生产、销售等各个环节保障工业控制系统信息安全，以降低企业的运营成本，提高对安全需求的响应速度。基于工业控制系统信息安全风险的考虑，检查工作可以通过安全分级重点检查、监测平台常态化检查、仿真测试深层次检查等方式进行，以在日常运维中和重要敏感时期有针对性地通过检查工作保障工业控制系统安全、稳定运行。

3安全分级重点检查

工业控制系统信息安全分级检查是基于工业控制系统存在的信息安全风险进行划分，根据工业控制系统资产重要程度、受侵害后潜在影响程度、需抵御的信息安全威胁程度等三个要素进行分级。检查工业控制系统资产重要程度，其可以反映工业控制系统所在工业生产行业领域的重要性，工业控制系统在企业生产过程中业务使命的重要性，工业控制系统及其相关生产装置以及相关生产总值等资产综合价值；检查工业控制系统受侵害后潜在影响程度，其可以反映工业控制系统信息安全受到侵害后产生的直接损失和间接损失，包括对工业控制系统及其相关生产装置的影响，检查其对工业生产运行安全的影响，以及对其他受侵害对象的影响，如公民、企业、其他组织的合法权益及重要财产安全，环境安全、社会秩序、公共利益和人员生命安全，国家安全、国家经济安全等；检查工业控制系统需抵御的信息安全威胁程度，其可以反映对工业控制系统信息安全可能进行侵害的主要威胁及其强度；在工业控制系统客观存在的众多威胁中，依据工业控制系统、相关生产装置以及所属企业或行业本身的固有脆弱性及其可利用性，信息安全事件发生的可能性，检查确定实际需要抵御的信息安全威胁，并选择其中最高的威胁程度。对工业控制系统进行信息安全分级重点检查，其对象既可以是一个具体的完整的工业控制系统，也可以是工业控制系统中相对独立的一部分。一个具体的完整的工业控制系统包括：应以企业工业自动化生产过程为基础，属于企业的一个自动化生产全过程或一个工业自动化生产装置的工业控制系统；工业控制系统中相对独立的一部分包括：以企业工业自动化生产过程的局部环节为基础，属于企业的一个自动化生产全过程或一个工业自动化生产装置的工业控制系统中的相对独立的且物理边界清晰的某个安全区域或通信网络环境等。通常，对一个具体的、完整的工业控制系统分级检查可偏重于信息安全管理的需要，对工业控制系统中相对独立的一部分进行分级检查可偏重于信息安全技术防护设计的需要。根据具体需要可对一个具体的、完整的工业控制系统和其中相对独立的一部分分别进行分级。一般情况下，工业控制系统中相对独立的一部分的信息安全等级不应高于其整体的工业控制系统的信息安全等级。对工业控制系统进行安全分级重点检查能够在国家重大时期及敏感时间有针对性地开展安全检查工作，以保障重要工业控制系统的信息安全，为国家安全和人民生活安全提供保障。

4监测平台常态化检查

通过工业控制系统互联网监测平台对暴露在互联网上的工业控制系统进行实时扫描检查，能够及时发现安全风险。全天候全方位监测暴露在互联网上工业控制系统，主动检查发现风险，对工业控制系统信息进行深度挖掘，收集与整合互联网工业控制系统的威胁情报，结合威胁情报，通过整合分析攻击信息，有针对性地提出指导性建议和整改措施；结合国家工业控制系统漏洞库，对互联网工业控制系统安全进行评估、预警，对重点区域、企业工业控制系统安全态势进行重点监视检查，并指导其做好安全防护措施，降低工业控制系统被攻击的风险。通过互联网工业控制系统信息安全监测平台，实现7*24全天候联网监控、重点企业工控生产现场开展工业控制系统信息安全检查等各类在线或离线的安全监测和检查，通过在线采集、主动预警工业控制网络状态和安全风险情况，深度挖掘现有的搜索引擎主要针对常规路由器、服务器等Web设备，搜索接入互联网的工控设备，对工控信息进行深度挖掘分析，掌握更多工控相关信息；检查多数搜索引擎对工控协议、工控厂商的支持数目，查找接入互联网的工控设备。对平台检查扫描到的工控系统、设备做出威胁态势评估，提出指导性整改意见，做到事先预警、有效防护，提升对关键信息基础设施工控安全事件的监管和应急响应能力，加强互联网工业控制系统安全保护，提高安全监管效率，保障工业控制系统安全稳定运行。

5仿真测试深层次检查

在现场实际工业控制系统信息安全检查工作中，经常会遇到企业正在运行的工业控制生产系统不能深入地进行检查或安全测试，存在的安全风险无法被及时发现。通过构建完整的贴合生产现场运行环境的工业控制系统环境，合理规划以实现不同品牌、型号工控设备的互联，并提供组态软件实现实时监控、远程操作的任务环境，建立针对不同厂家、不同工业控制协议和设备的专业的漏洞挖掘系统，协助工作人员开展工业控制系统信息安全检查工作提供了强有力的技术基础。通过工业控制系统仿真环境的搭建，能够对生产系统中存在的漏洞进行深度检查和测试，包括防火墙规则、访问控制、网络配置、密码强度、人员意识等安全。搭建仿真测试环境能够直观体现工控、网络设备的可靠性和整体检测分析工控设备及其网络的性能，在整合国内外先进技术的基础上对复杂工业控制系统和网络设备进行安全测试研究，深入发现工业控制系统安全威胁，并对其进行及时排查和修复，保障工业控制系统信息安全。

6结束语

我国的工控信息安全检查工作还处于起步阶段，安全落后于建设，检查管理机制、标准规范、评价机制、技术对策、安全产品等亟待加强。结合国外的做法和国内的实际情况，通过完善检查管理体系、加强技术创新、发挥产业力量等方面着手，逐步提高我国工业控制系统信息安全检查能力，更细致更深入地发现工业控制系统中潜在的安全风险并进行及时排除。工业控制系统信息安全检查工作需建立在融合实际业务特征与工业控制系统信息安全技术的特性基础上，同时满足业务运行保障的需求，并符合实际工业环境特点，才能真正保障工业控制系统的信息安全。

参考文献

［1］尹丽波．我国亟需建立工控安全保障体系［J］．中国信息安全，2016（4）：56

［2］佟鑫，江典盛，张利．美国电力行业信息安全工作综述［J］．中国信息安全，2012（8）：83

［3］凡，宋志慧，周密．美国加强工业控制系统安全建设的主要举措探究［J］．信息安全与通信保密，2014（6）：48

作者：杨帆 高瑞 李俊 魏玉峰 杨睿超 单位：陕西省网络与信息安全测评中心