软考-信息安全-工控安全需求分析与安全保护工程

24.1 工控系统安全威胁与需求分析

工业自动化控制系统一般简称为工业控制系统或工控系统，其已经被列为网络安全等级保护2.0的重要保护对象。

24.1.1 工业控制系统概念及组成

工业控制系统是由各种控制组件，监测组件，数据处理与展示组件共同构成的对工业生产过程进行控制和监控的业务流程管控系统。
工业控制系统通常简称工控系统（ICS）。
工控系统通常分为离散制造类和过程控制类两大类，控制系统包括SCADA系统，分布式控制系统（DCS），过程控制系统（PCS），可编程逻辑控制器（PLC），远程终端（RTU），数控机床及数控系统等。
1.SCADA系统
- SCADA是Supervisory Control And Data Acquisition的缩写，中文名称是 数据采集与监视控制系统，其作用是以计算机为基础对远程分布运行的设备进行监控，功能主要包括数据采集，参数测量和调节。
- SCADA系统一般由设在控制中心的主终端控制单元（MTU），通信线路和设备，远程终端单位（RTU）等组成。
- 系统作用主要是对多层级，分散的子过程进行数据采集和统一调度管理。
2.分布式控制系统（DCS）
- DCS是Distribution Control System的缩写。DCS是基于计算机技术对生产过程进行分布控制，集中管理的系统。
- DCS系统一般包括现场控制级，系统控制级和管理级两/三个层次。
- 现场控制级主要式对单个子进程进行控制。
- 系统控制级主要是对多个密切相关的过程数据采集，记录，分析和控制，并通过统一的人机交互处理实现过程的集中控制和展示。
3.过程控制系统（PCS）
- PCS是Process Control System的缩写。
- PCS是通过实时采集被控设备状态参数进行调节，以保证被控设备保持某一特定状态的控制系统。
- 状态参数包括温度，压力，流量，液位，成分，浓度等。
- PCS系统通常采用反馈控制（闭环控制）方式。
4.可编程逻辑控制器（PLC）
- PLC是Programmable Logic Controller的缩写。
- PLC主要执行各类运算，顺序控制，定时等指令，用于控制工业生产装备的动作，是工业控制系统的基础单元。
5.主终端设备（MTU）
- MTU是Master Terminal Unit的缩写，MTU一般部署在调度控制中心，主要用于生产过程的信息收集和监测，通过网络与RTU保持通信。
6.远程终端设备（RTU）
- RTU是Remoter Terminal Unit的缩写。RTU主要用于生产过程的信息采集，自动测量记录和传导，通过网络与MTU保持通信。
7.人机界面（HMI）
- HMI是Human-Machine Interface的缩写，HMI是为操作者和控制器之间提供操作界面和数据通信的软硬件平台。目前工业控制系统主要采用计算机终端进行人机交互工作。
8.工控通信网络
- 工控通信网络是各种工业控制设备及组成单元的连接器，传统工业通信网络一般采取专用的协议来构建，形成封闭网络。
- 常见的工控专用协议由OPC，Modbus，DNP3等，工业通信网络类型由DCS主控网络，SCADA远程网络，现场控制级通信网络等类型。
- 随着互联网技术的应用发展，TCP/IP协议也逐步应用到工业控制系统，如智能设备，智能楼宇，智能工厂等控制系统。

24.1.2 工业控制系统安全威胁分析

2010年首次发现针对工控系统实施破坏的恶意代码Stuxnet（简称“震网”病毒）。“震网”病毒利用了微软操作系统至少4个0-day漏洞，攻击伊朗核电站西门子公司的SIMATIC WinCC系统，其主要目的是掩盖发生故障的情况以造成管理部门决策误判，使伊朗核电站的离心机运行失控。
工控系统面临的安全威胁主要来自5个方面：
- 1.自然灾害及环境
  - 洪水，雷电，台风等。
- 2.内部安全威胁
  - 人为错误或疏忽大意，如命令输入错误，操作不当。
- 3.设备功能安全故障
  - 工业控制设备的质量不合格，导致设备功能无法正常执行。
- 4.恶意代码
  - 常见的由网络蠕虫，特洛伊木马，勒索软件等。
- 5.网络攻击
  - 由于工业控制系统的高价值性，常常是网络攻击者重要的目标对象。

24.1.3 工业控制系统安全隐患类型

1.工控协议安全
- 缺乏安全设计，无安全认证，加密，审计，通信明文传递信息。
2.工控系统技术产品安全漏洞
- PLC，SCADA，HMI，DCS等相关工控技术产品存在安全漏洞。
3.工控系统基础软件安全漏洞
- 工控系统通用操作系统，嵌入式操作系统，实时数据库等存在安全漏洞。
4.工控系统算法安全漏洞
5.工控系统设备固件漏洞
- 例如BIOS漏洞
6.工控系统设备硬件漏洞
- 例如CPU漏洞
7.工控系统开发接入漏洞
- 传统工控系统在无物理安全隔离措施的情况下接入互联网，工控设备暴露在公共的网络中，从而带来新的安全问题。
- 例如：DDoS/DoS拒绝服务攻击，漏洞扫描，敏感信息泄露，恶意代码网上传播等。
8.工控系统供应链安全
- 工控系统依赖多个厂商提供设备和后续服务保障，供应链安全直接影响工控系统的安全稳定运行。

24.1.4 工业控制系统安全需求分析

除了传统IT的安全外，还涉及控制设备及操作安全。
传统IT网络信息安全要求侧重于 保密性-完整性-可用性的顺序。
工控系统网络信息安全偏重于 可用性-完整性-保密性的顺序。
主要有技术安全要求和管理安全要求两个方面。
- 技术安全要求方面主要包括 安全物理环境，安全通信网络，安全区域边界，安全计算环境，安全管理中心
- 管理安全要求方面主要包括 安全管理制度，安全管理机构，安全管理人员，安全建设管理，安全运维管理
具体详细内容可参考《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019），《信息安全技术网络安全等级保护基本要求第5部分：工业控制系统安全扩展要求》（GA/T 1390.5-2017），《工业控制系统信息安全防护指南》。
工控系统的安全保护需求不同于普通IT系统，要根据工控业务的重要性和生产安全，划分安全区域，确定安全防护等级，然后持续提升工控设备，工控网络和工控数据的安全保护能力。
知名的工控安全国际标准为IEC62443系列标准。

24.2 工控系统安全保护机制与技术

主要包括物理及环境安全防护，安全分区及边界保护，身份认证与访问控制，远程访问安全，恶意代码防范，数据安全，网络安全监测与应急响应，安全管理等。

24.2.1 物理及环境安全防护

对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施
拆除或封闭工业主机上不必要的 USB、光驱、天线等接口。若确需使用，通过主机外设安全管理技术手段实施严格访问控制。

24.2.2 安全边界保护

划分若干安全域，一般来说，工业控制系统的开发，测试和生产应分别提供独立环境。
针对不同的安全域实现安全隔离及防护，其中的安全隔离类型分为：
- 物理隔离和网络逻辑隔离等方式。
- 常见的工业控制边界安全防护设备包括工业防火墙，工业网闸，单向隔离设备及企业定制的边界安全防护网关等。

24.2.3 身份认证与访问控制

在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对关键设备、系统和平台的访问采用多因素认证。
合理分类设置账户权限，以最小特权原则分配账户权限。
强化工控设备、SCADA 软件、工业通信设备等的登录账户及密码，避免使用默认口令、弱口令，定期更换口令。
加强对身份认证证书信息的保护力度，禁止在不同系统和网络环境下共享。

24.2.4 远程访问控制

原则上严格禁止工控系统面向互联网开通 HTTP、FTP、Telnet等高风险通用网络服务。
确需远程访问的，采用数据单向访问控制等策略进行安全加固，限制访问时间。
确需远程维护的，采用 VPN 等远程接入方式进行。
保留工控系统相关日志。

24.2.5 工控系统安全加固

安全配置策略、身份认证增强、强制访问控制、程序白名单控制。

24.4.6 工控安全审计

通过审计系统保留工控设备、应用等访问日志，定期备份。

24.4.7 恶意代码防范

在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件。
工业企业需要建立工控系统防病毒和恶意软件入侵管理机制。
密切关注重大工控安全漏洞及其补丁发布。

24.4.8 工控数据安全

常见的数据类型
研发数据：研发设计数据、开发测试数据
生产数据：控制信息、工况信息、工艺参数、日志
运维数据：物流数据、售后服务数据
管理数据：系统设备资产信息、客户与产品信息、供应链数据、业务统计数据
外部数据
防护措施要求
根据风险评估结果对数据信息进行分级分类管理，建立和完善分级分类管理制度。静态存储：加密存储，访问控制；动态数据：加密传输，VPN
定期备份关键业务数据
对测试数据进行保护（包括安全评估数据、现场组态开发数据、系统联调数据、现场测试数据、应急演练数据）

24.4.9 工控安全监测与应急响应

在工控网络部署网络安全监测设备，及时发现、报告并处理网络攻击或异常行为
在重要工控设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作
制定工控安全事件应急响预案
定期对工控系统的应急响应预案进行演练，必要时修正
对关键主机设备、网络设备、控制组件进行冗余配置

24.4.10 工控安全管理

建设工业控制系统资产清单，明确资产责任人，以及资产使用和处置规则
对关键主机设备、网络设备、控制组件进行冗余配置（冗余电源、冗余设备、冗余网络）
安全软件选择与管理（①选择离线环境下充分测试的防病毒软件或白名单软件；②建立防病毒和恶意软件入侵管理机制）
配置和补丁管理（①建立配置清单，定期进行配置审计；②对重大配置变更进行影响分析；③关注重大工控安全漏洞及补丁发布）
供应链安全（①考虑经验；②考虑保密）
落实责任

24.4.11 工控安全典型产品技术

1.防护类型
- 工控防火墙：解读工控协议数据包内容
- 工控加密：VPN、加密机、数据加密工具
- 身份认证：口令、双因素认证、人脸、指纹
- 工控可信计算
- 系统安全加固
2.物理隔离类型
- 网闸、正反向隔离装置
3.审计与监测类型
- 工控安全审计
- 工控入侵检测
4.检查类型
- 工控漏洞扫描：设备、操作系统、工控软件
- 工控漏洞挖掘：技术包括协议分析、软件逆向分析、模糊测试
- 工控安全基线：根据工控安全策略、安全标准规范、最佳实践制定
5.运维和风险管控类型
- 工控堡垒机：集中管理工控设备的运维和运维过程审计
- 工控风险管理系统：管理工控系统的资产、安全威胁、安全漏洞

24.3 工控系统安全综合应用案例分析

24.3.1 电力监控系统安全总体方案

1.安全分区
- 安全分区。（生产控制大区和管理信息大区，生产控制大区分为控制区与非控制区，管理信息大区分为若干业务安全区。控制区与非控制区采用逻辑隔离措施）
2.网络专用
- 网络专用。（专用网络）
3.横向隔离
- 横向隔离。（控制大区与管理大区使用横向单向安全隔离装置，接近物理隔离；生产控制大区内安全区采用具有访问控制功能的设备实现逻辑隔离）
4.纵向认证
- 纵向加密。（采用认证、加密、访问控制等技术实现数据的远方安全传输以及纵向边界的安全防护）