工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)

的對(duì)比隨著工業(yè)信息化的快速發(fā)展，工業(yè)控制系統(tǒng)也在利用最新的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)來(lái)提高系統(tǒng) 間的集成、互聯(lián)以及信息化管理水平。比如，逐步采用一些 PC 服務(wù)器、終端產(chǎn)品，操作系統(tǒng) 和數(shù)據(jù)庫(kù)等通用 IT 產(chǎn)品，逐步采用基于 TCP/IP 協(xié)議的工業(yè)以太環(huán)網(wǎng)和 OPC 通信協(xié)議
，這將 促使 TCP/IP 協(xié)議逐步成為工業(yè)控制系統(tǒng)的基礎(chǔ)通信協(xié)議，而為保持工業(yè)控制系統(tǒng)的兼容性， 專(zhuān)用的工業(yè)控制協(xié)議則將會(huì)逐步遷移到應(yīng)用層。通用互聯(lián)網(wǎng)技術(shù)的采用將為企業(yè)打破生產(chǎn)系統(tǒng)的封閉性，實(shí)現(xiàn)管理與控制的一體化、提高企業(yè)信息化水平，實(shí)現(xiàn)生產(chǎn)、管理系統(tǒng)
的高效 集成奠定基礎(chǔ)。但是通過(guò)上面章節(jié)關(guān)于工業(yè)控制系統(tǒng)的概述可知：工業(yè)控制系統(tǒng)與傳統(tǒng) IT 信 息系統(tǒng)因其建設(shè)目標(biāo)不同，使得它們?cè)诩夹g(shù)、管理與服務(wù)等很多方面依然有相當(dāng)大的差異之 處，一些典型的差異化見(jiàn)表格 1）。 表格 1 工業(yè)控制系統(tǒng)與傳統(tǒng) IT 信息系統(tǒng)的差異化對(duì)比
|對(duì)比項(xiàng)** |工業(yè)控制系統(tǒng)（ICS）** |傳統(tǒng) IT 信息系統(tǒng)** |
|建設(shè)目標(biāo)** |利用計(jì)算機(jī)、互聯(lián)網(wǎng)、微電子以及電 氣等技術(shù)，使工廠的生產(chǎn)和制造過(guò)程 更加自動(dòng)化、效率化、精確化，并具 有可控性及可視性。 強(qiáng)調(diào)的是工業(yè)自動(dòng)化過(guò)程及相關(guān)設(shè) 備的智能控制、監(jiān)測(cè)與管理。|利用計(jì)算機(jī)、互聯(lián)網(wǎng)技術(shù)實(shí)現(xiàn)數(shù)據(jù) 處理與信息共享。|
|體系架構(gòu)** |ICS 系統(tǒng)主要由 PLC、RTU、DCS、 SCADA 等工業(yè)控制設(shè)備及系統(tǒng)組成|有計(jì)算機(jī)系統(tǒng)通過(guò)互聯(lián)網(wǎng)協(xié)議組成 的計(jì)算機(jī)網(wǎng)絡(luò)|
|操作系統(tǒng)** |廣泛使用嵌入式操作系統(tǒng) VxWorks、 uCLinux、WinCE 等，并有可能是根 據(jù)需要進(jìn)行功能裁減或定制。|通用操作系統(tǒng)（window、UNIX、 linux 等），功能相對(duì)強(qiáng)大。|
|數(shù)據(jù)交換協(xié)議|專(zhuān) 用 通 信 協(xié) 議 或 規(guī) 約 （ OPC 、 Modbus、DNP3 等)直接使用或作為 TCP/IP 協(xié)議的應(yīng)用層使用|TCP/IP 協(xié)議棧（應(yīng)用層協(xié)議： HTTP、FTP、SMTP 等） |
|系統(tǒng)實(shí)時(shí)性|系統(tǒng)傳輸、處理信息的實(shí)時(shí)性要求 高、不能停機(jī)和重啟恢復(fù)。|系統(tǒng)的實(shí)時(shí)性要求不高，信息傳輸 允許延遲，可以停機(jī)和重啟恢復(fù)。|
|系統(tǒng)故障響應(yīng)|不可預(yù)料的中斷會(huì)造成經(jīng)濟(jì)損失或 災(zāi)難，故障必須緊急響應(yīng)處理|不可預(yù)料的中斷可能會(huì)造成任務(wù)損 失，系統(tǒng)故障的處理響應(yīng)級(jí)別隨 系統(tǒng)要求而定IT|
|系統(tǒng)升級(jí)難度|專(zhuān)有系統(tǒng)兼容性差、軟硬件升級(jí)較困 難，一般很少進(jìn)行系統(tǒng)升級(jí)，如需升 級(jí)可能需要整個(gè)系統(tǒng)升級(jí)換代|采用通用系統(tǒng)、兼容性較好，軟硬 件升級(jí)較容易，且軟件系統(tǒng)升級(jí)較 頻繁 |
|與其他系統(tǒng)的 連接關(guān)系** |一般需要與互聯(lián)網(wǎng)進(jìn)行物理隔離|與互聯(lián)網(wǎng)存在一定的連通性|

三工業(yè)控制系統(tǒng)的安全性分析

工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)安全的對(duì)比分析

在傳統(tǒng)的信息安全領(lǐng)域，通常將保密性（Confidentiality）、完整性（Integrity）和可用性 （Availability）稱(chēng)為安全的三種基本屬性，簡(jiǎn)稱(chēng) CIA。并且通常認(rèn)為保密性的優(yōu)先級(jí)最高，完 整性次之，可用性最低。
在工業(yè)控制系統(tǒng)領(lǐng)域則有較大的不同，由錯(cuò)誤!未找到引用源。的分析可知，工業(yè)控制系 統(tǒng)強(qiáng)調(diào)的是工業(yè)自動(dòng)化過(guò)程及相關(guān)設(shè)備的智能控制、監(jiān)測(cè)與管理。它們?cè)谙到y(tǒng)架構(gòu)、設(shè)備操 作系統(tǒng)、數(shù)據(jù)交換協(xié)議等方面與普通 IT 信息系統(tǒng)存在較大差異，而且更為關(guān)注系統(tǒng)的實(shí)時(shí)性 與業(yè)務(wù)連續(xù)性。也就是說(shuō)，工業(yè)控制系統(tǒng)對(duì)系統(tǒng)設(shè)備的可用性、實(shí)時(shí)性、可控性等特性要求 很高，因此在考慮工業(yè)控制系統(tǒng)安全時(shí)要優(yōu)先保證系統(tǒng)的可用性；其次，因各組件之間存在 固有的關(guān)聯(lián)，因此完整性次之；而對(duì)于數(shù)據(jù)保密性來(lái)說(shuō)，則由于工控系統(tǒng)中傳輸?shù)臄?shù)據(jù)通常 是控制命令和采集的原始數(shù)據(jù)，需要放在特定的背景下分析才有意義，而且多是實(shí)時(shí)數(shù)據(jù)， 因此對(duì)保密性的要求最低，如圖 3.11]。這就是在考慮工業(yè)控制系統(tǒng)安全時(shí)與考慮傳 統(tǒng) IT 信息系統(tǒng)安全時(shí)的原則性區(qū)別。
工業(yè)控制系統(tǒng) 傳統(tǒng) IT 信息系統(tǒng)
可用性 高 機(jī)密性
完整性 優(yōu)先 完整性
機(jī)密性 可用性
圖 3.1 考慮工業(yè)控制系統(tǒng)安全與傳統(tǒng) IT 信息系統(tǒng)安全時(shí)的原則性區(qū)別 由于工業(yè)控制系統(tǒng)作為企業(yè)的核心生產(chǎn)運(yùn)營(yíng)系統(tǒng)，一般來(lái)說(shuō)其工作環(huán)境具有嚴(yán)格的管理，
外人很難進(jìn)入，同時(shí)系統(tǒng)自身也多與企業(yè)的辦公網(wǎng)絡(luò)（普通 IT）系統(tǒng)之間存在一定的隔離措 施，與互聯(lián)網(wǎng)則一般處于物理隔離的狀態(tài)，也就是說(shuō)其環(huán)境相對(duì)封閉。在加上工業(yè)控制系統(tǒng) 主要由 PLC、RTU、DCS、SCADA 等工業(yè)控制設(shè)備及系統(tǒng)組成，這些設(shè)備品種繁多，且其 功能多基于不同于互聯(lián)網(wǎng)通用操作系統(tǒng)的嵌入式操作系統(tǒng)（如 VxWorks、uCLinux、WinCE 等）開(kāi)發(fā)，并采用專(zhuān)用的通信協(xié)議或規(guī)約（如 OPC、Modbus、DNP3 等）實(shí)現(xiàn)系統(tǒng)間通信。 正是由于這些工業(yè)控制系統(tǒng)設(shè)備及通信規(guī)約的專(zhuān)有性以及系統(tǒng)的相對(duì)封閉性，使得一般的互 聯(lián)網(wǎng)黑客或黑客組織很難獲得相應(yīng)的工業(yè)控制系統(tǒng)攻防研究環(huán)境以及相關(guān)系統(tǒng)資料支持，從 而通常黑客的攻防研究工作多集中在互聯(lián)網(wǎng)或普通 IT 信息系統(tǒng)上，而很少關(guān)注工業(yè)控制系統(tǒng)，
自然相關(guān)的系統(tǒng)及通信規(guī)約的安全缺陷（或漏洞）也很少被發(fā)現(xiàn)。而同時(shí)工業(yè)控制系統(tǒng)提供 商則在重點(diǎn)關(guān)注系統(tǒng)的可用性、實(shí)時(shí)性，對(duì)系統(tǒng)的安全問(wèn)題、防護(hù)措施以及運(yùn)維策略也缺乏 系統(tǒng)的體系的考慮。但是隨著 2010 年“震網(wǎng)”及后續(xù)一系列工控安全事件[CJ]的發(fā)生，表明出 于某些國(guó)際組織、國(guó)家的政治、經(jīng)濟(jì)、軍事等原因，工業(yè)控制系統(tǒng)已經(jīng)面臨這些組織所發(fā)起 的新型高級(jí)可持續(xù)的攻擊威脅。至此，工業(yè)控制系統(tǒng)的安全問(wèn)題才被世界各國(guó)政府及企業(yè)組 織所重視，開(kāi)始展開(kāi)這方面的研究工作。
上述這些原因，也使得工業(yè)控制系統(tǒng)與傳統(tǒng) IT 信息系統(tǒng)在所面臨的安全威脅、安全問(wèn)題 及所需要考慮的安全防護(hù)措施等方面存在較大的不同——表格 2 從差異進(jìn)行 了討論分析。
表格 2 工業(yè)控制系統(tǒng)與傳統(tǒng) IT 系統(tǒng)的安全性對(duì)比
對(duì)比項(xiàng) 工業(yè)控制系統(tǒng)（ICS） 傳統(tǒng) IT 信息系統(tǒng)
安 威脅來(lái)源 l 以組織為主 l 個(gè)體
全 l 群體
威 l 組織
脅 攻擊方法 l 攻擊目的性強(qiáng)的高級(jí)持續(xù)性威脅 l 常用攻擊方式：諸如拒絕服 （APT：StuxNet、Duqu 等） 務(wù)、病毒、惡意代碼、非授

• 采用有組織的多攻擊協(xié)同模式 權(quán)實(shí)用、破壞數(shù)據(jù)安全三性 （CIA）、假冒欺騙等
  • 近年來(lái)也有一些組織采用 APT 的攻擊模式攻擊一些 重要信息系統(tǒng)
    安 系統(tǒng)安全 l 重點(diǎn)關(guān)注 ICS 系統(tǒng)及其設(shè)備專(zhuān)用 l 關(guān)注通用操作系統(tǒng)的脆弱 全 操作系統(tǒng)的漏洞、配置缺陷等問(wèn) 性、安全配置、病毒防護(hù)以 防 題； 及系統(tǒng)資源的 非授權(quán)訪問(wèn) 護(hù) l 當(dāng)前系統(tǒng)防護(hù)能力不足：系統(tǒng)補(bǔ) 等。
    丁管理困難、安全機(jī)制升級(jí)困難， l 系統(tǒng)級(jí)防護(hù)能力較強(qiáng)（防病 毒、補(bǔ)丁管理、配置核查、
    外設(shè)管控等系統(tǒng)級(jí)安全手
    段豐富）
    網(wǎng)絡(luò)安全 l 需要重點(diǎn)關(guān)注專(zhuān)有通信協(xié)議及規(guī) l 主要是關(guān)注 TCP/IP 協(xié)議簇
    約的安全性及其實(shí)時(shí)、安全的傳 的安全性傳輸、拒絕服務(wù)、 輸能力。 應(yīng)用層安全等，一般對(duì)數(shù)據(jù)
• ICS 缺乏統(tǒng)一的數(shù)據(jù)通信協(xié)議標(biāo) 傳輸?shù)膶?shí)時(shí)性要求不高。 準(zhǔn)，專(zhuān)有協(xié)議與規(guī)范種類(lèi)繁多。 l 安全技術(shù)、產(chǎn)品、方案相對(duì)
• 專(zhuān)有通信協(xié)議、規(guī)約在設(shè)計(jì)時(shí)通 成熟，安全防護(hù)能力強(qiáng) 常只強(qiáng)調(diào)通信的實(shí)時(shí)性及可用
  性，對(duì)安全性普遍考慮不足：比
  如缺少足夠強(qiáng)度的認(rèn)證、加密、
  授權(quán)等。 l 一般不要求與互聯(lián)網(wǎng)進(jìn)行
• 通常需要與互聯(lián)網(wǎng)進(jìn)行物理隔 物理隔離
  離，
  數(shù)據(jù)安全 l 重點(diǎn)關(guān)注 ICS 設(shè)備狀態(tài)、控制信 l 服務(wù)器中存儲(chǔ)數(shù)據(jù)的安全
  息等在傳輸、處理及存儲(chǔ)中的安 存儲(chǔ)及授權(quán)使用
  全性
  安 身份管理 l 系統(tǒng)用戶(hù)的身份認(rèn)證及授權(quán)管理 l IT 用戶(hù)的身份認(rèn)證、授權(quán)機(jī) 全 相對(duì)簡(jiǎn)單 制比較成熟、完善；
  管 l 部分控制設(shè)備硬件實(shí)現(xiàn)，難以進(jìn) l 用戶(hù)身份管理系統(tǒng)軟件實(shí) 理 行密碼周期性修改 現(xiàn)，可方便地進(jìn)行密碼周期
  性修改
  補(bǔ)丁管理 ICS 系統(tǒng)補(bǔ)丁管理困難、漏洞難以及 l 傳統(tǒng) IT 信息系統(tǒng)的漏洞和
  時(shí)處理 補(bǔ)丁管理系統(tǒng)或工具比較
• ICS 系統(tǒng)補(bǔ)丁兼容性差、發(fā)布周 成熟，漏洞一般可以及時(shí)地 期長(zhǎng)以及系統(tǒng)可用性與業(yè)務(wù)連續(xù) 得到處理。 性的硬性要求，使得 ICS 系統(tǒng)管
  理員絕不會(huì)輕易安裝非 ICS 設(shè)備
  制造商指定的升級(jí)補(bǔ)丁
• 使用周期長(zhǎng)、相對(duì)陳舊的系統(tǒng)，
  也可能因廠商不存在或廠商不再
  進(jìn)行產(chǎn)品的安全升級(jí)支持，而造
  成系統(tǒng)漏洞無(wú)法及時(shí)打補(bǔ)丁
  行為管理 l ICS 需要嚴(yán)格防止系統(tǒng)誤操作與 l 一般有比較完善的 IT 系統(tǒng)
  蓄意破壞； 及網(wǎng)絡(luò)行為審計(jì)機(jī)制
• 但通常缺乏針對(duì) ICS 的安全日志
  審計(jì)及配置變更管理。
• 存在部分 ICS 系統(tǒng)不具備審計(jì)功
  能或者雖有日志審計(jì)功能但系統(tǒng)
  的性能要求決定了它不能開(kāi)啟審
  計(jì)功能
  應(yīng)急響應(yīng) l 需要保障 ICS 系統(tǒng)業(yè)務(wù)連續(xù)性的 l 應(yīng)急響應(yīng)計(jì)劃可選
  應(yīng)急響應(yīng)計(jì)劃，強(qiáng)調(diào)快速響應(yīng)
  顯然，工業(yè)控制系統(tǒng)及其安全性研究也可以算是信息安全研究的一個(gè)新領(lǐng)域，對(duì)此，我 們將需要首先熟悉工業(yè)控制系統(tǒng)，其次重點(diǎn)研究 ICS 自身的脆弱性（漏洞）情況及系統(tǒng)間通 信規(guī)約的安全性問(wèn)題，并在此基礎(chǔ)上基于模擬攻擊場(chǎng)景進(jìn)行攻防推演分析。只有在充分了解 ICS 的前提下，才能逐步完善系統(tǒng)的安全性保障措施。因此，本文后續(xù)章節(jié)的內(nèi)容將重點(diǎn)是討 論工業(yè)控制系統(tǒng)的通信協(xié)議（規(guī)約）安全性研究、ICS 相關(guān)漏洞的整理分析以及部分典型攻擊 場(chǎng)景模擬分析。

參考資料

綠盟 2013年工業(yè)控制系統(tǒng)及其安全性研究報(bào)

友情鏈接

GB-T 32924-2016 信息安全技術(shù) 網(wǎng)絡(luò)安全預(yù)警指南