工业控制系统 | 信息安全建设思路

1. 工控信息安全概述

1.1 工控安全现状

随着工业生产对管理和控制一体化的需求日益增强，以及网络、通讯等信息技术的广泛应用，工业控制系统（工控系统）与企业网中的管理信息系统（如MES、ERP）逐渐实现了互联互通互操作。这种融合提高了生产效率和管理水平，但也带来了安全风险。由于工控系统与企业网之间的连接，从研发、管理、消费到生产等各个环节，都可能成为网络攻击或病毒传播的入口。因此，工控系统面临的安全风险正在不断加剧。

目前我国在工控安全管理工作上仍然面临多重挑战。各地、各部门以及众多工业企业对工控系统信息安全问题的重视程度仍有待加强。许多工业企业的责任人对于网络安全工作的理解尚不到位，存在重视业务发展而忽视安全保障的倾向，导致安全投入严重不足。这种情况使得工业企业存在大量的安全隐患，对工业生产的安全性和社会的正常运转构成了潜在威胁。因此，提升对工控系统信息安全问题的认识，加强安全投入和管理，是当前亟待解决的问题。

工控系统作为工业领域的核心组成部分，在初始设计阶段往往是与外界网络隔离的，因此其信息安全防护问题并未得到足够的重视。然而，随着近年来工业互联的快速发展，传统的工控系统安全所依赖的封闭环境已经被网络化甚至互联网化所打破。这种变革使得原本相对脆弱的工控系统不得不面对来自内部和外部网络更为复杂多变的安全风险

1.2 工控安全标准

国际工控安全标准组织：

我国工控安全标准组织：

1.3 传统信息安全与工控安全差异点

=======================================================================

2. 设计思路

现状调研是规划工业控制系统安全的基础，也是未来评估信息安全建设成果的重要依据。通过调查问卷、访谈、讨论、文档查阅以及实地考察等多种方式，收集关于行业趋势、安全现状以及安全风险等方面的数据。对这些数据进行整理和分析，以形成工控系统信息安全现状的全面认识。通过三年或者五年的实施路径充分实现既定的安全规划。

3. 工控信息安全风险评估

评估流程

重要一点：工控设备上新都需要重新在生产线上进行测试

工控系统对实时性、稳定性和兼容性要求极高，并且通常需要长时间连续运行，不能容忍中断。因此，在进行风险评估和安全建设方案之前，必须对方案进行详尽的验证，以确保不会对工控环境造成任何负面影响。为了降低评估过程中的安全风险，需要在正式进行风险评估之前搭建实验环境。这样的实验环境不仅可以有效模拟真实系统，还可以作为企业进行智能制造工控系统信息安全研究、培训和学习交流的平台。实验环境应尽可能与真实系统的配置相似，以便最大程度地反映智能制造控制系统的实际情况。

4. 工控信息安全建设方案

工业安全体系

4.1 技术体系

终端安全：近年来针对工控系统的高级持续性威胁（APT）攻击呈上升趋势，引发了对工控系统内部网络安全问题的日益关注。在这种背景下，保护控制系统内部各个设备节点，如操作员站、服务器、数控机床、控制器和网络交换机等，已成为确保智能制造工控系统安全的基础环节。这些防护措施能够为智能制造控制系统提供基础的防御和保护，从而降低受到网络攻击的风险。

边界安全：建立在智能制造工控网络安全域分区设计的基础上，需要对每个安全域的边界进行隔离保护。这意味着对跨越安全域的任何访问流量都需要进行监控，并在边界处阻止任何未经授权的访问。这样的做法可以有效地保护工控网络，防止未经授权的访问或攻击行为对系统造成损害。

数据安全：通过对工业控制软件和业务数据的多方面梳理防护，确定分类分级策略有针对性地对文件数据的完整性和保密性实现防护，数据安全分类分级的实施旨在保障工控业务的安全，确保生产持续稳定进行，防止企业关键核心数据的泄密，从而提升企业的竞争力。

4.2 管理体系

安全组织管理：确立一个规范、职责明确的信息安全组织架构，以确保每个信息安全工作责任都有相应的人员负责。 建立内外部组织之间有效的沟通交流机制，以确保各项工作能够顺畅进行。

物理黄金安全：确保所有信息资产所处的物理环境得到有效的控制和保护，以减少未经授权的访问、损坏或影响信息资产的风险，并防止信息资产被非法篡改或擅自移动。

人员安全管理：内部和外部人员安全管理制度旨在规范人员录用、离岗等过程，确保安全控制，减少因人员变动带来的风险，并提高从事信息安全相关工作人员的业务素质和工作能力。

资产安全管理：

应急预案管理：确保信息系统重大失误或灾难时关键业务系统能够及时恢复；

......

4.3 运营体系

安全监控：对信息系统的基础设施和安全系统进行监控是至关重要的。监控与响应工作可通过平台实现，该平台能够记录来自不同设备的事件，如防火墙、入侵检测系统、防病毒软件、网络设备、操作系统、数据库以及其他应用系统等产生的事件。

合规管理：定期对工控系统和网络进行安全检查，以确保其符合相关国家标准，并建立健全的安全状况上报机制，以保证安全状态的透明度。以实战化的手段来检验合规性的成果。

......

其他内容：

安全建设和安全改造应遵循总体设计、统一规划和统一标准的原则，并采取分步实施的方法。根据工控系统目前的运行状况，将安全建设和改造工作分阶段进行，逐步实施各项工作内容。

4. 附录

5.1 重要理念

问：为什么工控可以采取白名单的技术？

答：工控网络的功能简单明确，操作方式单一，应用程序的行为可预测。通过有效地管理工控网络中的应用程序，可以有效地防止可疑或非法程序的运行，从而显著提升工控网络的安全级别。

5.2 工控安全“白名单”

“白名单”主动防御技术通过预先定义的协议规则，限制网络数据交换，动态评估控制网和信息网之间的行为。这种方法依靠分析约定协议的特征和限制端口来有效控制未知恶意软件的活动和传播。

在实践中，“白名单”安全机制不仅仅是防火墙软件设置的一种规范，还是一种管理原则。例如，在操作设备和计算机时，只允许使用特定的笔记本电脑、U盘等，管理人员只信任可验证的身份，未经授权的活动将被拒绝。

5.3 典型网络拓扑

工业网络的防护主要采取纵深防护和白名单机制，特点是所需工业网关/终端安全适配工业协议。

5.4 IT信息化建设到工控信息化建设的误区

工控安全 ≠ 漏洞扫描

漏洞扫描是一种安全评估方法，它通过检查计算机系统中已知的安全漏洞，识别可能被攻击者利用的弱点。在工控设备中，由于长期忽视信息安全设计，这些设备对于防御攻击的能力较弱，包括但不限于对攻击数据包的处理能力低下以及协议栈不健全等问题。因此，进行漏洞扫描可能会导致设备无法正常运行，进而影响实际生产。

工控安全 ≠ 打补丁

对工控设备进行补丁管理是一项具有挑战性的任务。工控网络通常负责着企业最关键的生产流程，因此任何停机时间都可能带来巨大的成本和运营风险。由于缺乏集中式、自动化的补丁管理系统，工控设备的补丁更新通常需要手动下载和安装。更为复杂的是，许多情况下，只有供应商认证的技术人员才能进行这些安装操作（底层涉及到授权问题），增加了管理的复杂性和成本。

工控安全 ≠ 防病毒

在工控网络中，长时间不更新病毒库的防病毒软件实际上几乎毫无作用。由于病毒库的老旧，防病毒软件无法有效抵御新型病毒的攻击。因此，仅仅安装防病毒软件并不足以确保网络的安全，这种做法只是自欺欺人，没有实际意义。

5.5 举例工控设备和信息化安全设备的区别