ICS工业控制系统安全风险分析

　　四、工业控制系统安全管理体系

　　信息化与工业化深度融合的今天，无论是关乎国计民生的电力、石化、水利、铁路、民航等基础保障行业，还是逐渐成规模的物联网、移动互联网等新型行业，交互已成ICS 系统的重要特性。互联与交互体验提升的同时，威胁也在与日俱增。

　　目前我国ICS 系统的信息安全管理仍存在诸多问题，例如，大型制造行业普遍存在因设备使用时间较长，安全防护能力缺失等问题；而在诸如石化电力等重要基础设施保障行业，又因为应用和新技术的更替，海量的分布式控制组件与业务单元都让电力控制网络变得愈发复杂，在可用性面前安全防御机制难免出现疏漏。因此，在参照国际流行标准以及我国工业控制系统所存在的具体安全风险等因素，一种基于终端可用性和安全性兼顾的控制系统安全解决方案被提出，用以从威胁入侵的根源满足工业控制系统的安全需求。

　　基于终端的工业系统安全防御体系

　　工业网络中同时存在保障工业系统的工业控制网络和保障生产经营的办公网络，考虑到不同业务终端的安全性与故障容忍程度的不同，对其防御的策略和保障措施应该按照等级进行划分，实施分层次的纵深防御体系。

　　按照业务职能和安全需求的不同，工业网络可划分为以下几个区域：

　　·满足办公终端业务需要的办公区域；
　　·满足在线业务需要DMZ 区域；
　　·满足ICS 管理与监控需要的管理区域；
　　·满足自动化作业需要的控制区域。

　　针对不同区域间数据通信安全和整体信息化建设要求，实施工业控制网络安全建设，首先需要针对ICS 网络管理的关键区域实施可靠的边界安全策略，实现分层级的纵深安全防御策略，抵御各种已知的攻击威胁。

点击图片查看大图

图5：工业控制系统边界防御思想

　　※办公网络终端的安全防御

　　办公网络相对于工业控制网络是开放，其安全防御的核心是确保各种办公业务终端的安全性和可用性，以及基于终端使用者的角色实施访问控制策略。办公网络也是最容易受到攻击者攻击并实施进一步定向攻击的桥头堡，实施有效的办公网络终端安全策略可最大限度的抵御针对ICS 系统的破坏。办公网络通用终端安全防御能力建设包括：

　　·病毒、木马等威胁系统正常运行恶意软件防御能力；
　　·基于白名单的恶意行为发现与检测能力；
　　·终端应用控制与审计能力；
　　·基于角色的访问控制能力；
　　·系统漏洞的检测与修复能力；
　　·基于系统异常的恢复能力；
　　·外设的管理与控制能力；
　　·基于终端行为与事件的审计能力；
　　·终端安全的应急响应能力。

　　※工业控制网络终端的安全防御

　　工业控制网络具有明显的独有特性，其安全防御的核心是确保控制系统与监控系统的可用性，以及针对ICS 系统与管理员、ICS 系统内部自动化控制组件间的访问控制策略。同时需要确保控制系统在发生异常或安全事件时，能够在不影响系统可用性的情况下，帮助管理员快速定位安全故障点。

　　在确保控制系统可用性的前提下，工业控制网络终端安全防御能力建设需要做到如下几个方面：

　　·基于行业最佳实践标准的合规保证能力；
　　·基于白名单策略的控制终端恶意软件防御能力；
　　·基于白名单的恶意未知行为发现与检测能力；
　　·基于ICS 协议的内容监测能力；
　　·基于控制系统的漏洞及威胁防御能力；
　　·基于可用性的最小威胁容忍模型建设能力；
　　·基于事件与行为的审计能力；
　　·基于可用性的系统补丁修复能力；
　　·终端安全的应急响应能。

　　※工业网络终端安全管控平台建设

　　充分了解控制终端与业务终端的安全能力建设规范与功能，是构建高性能安全事件审计与管理运维平台模型的前提，也是实现工业网络中对分布式控制系统、数据采集系统、监控系统的统一监控、预警和安全响应的基础平台。安全管控平台不仅是实施工业数据采集和监控内容的汇聚中心，基于ICS 安全威胁的知识库仿真模块，更可实时对检测到的异常或未授权访问进行核查评估，并将风险通过短信、邮件等方式对管理员告警。

　　为确保安管平台的可用性和时效性，可基于云计算与虚拟化技术对管理平台进行建设，目前较成熟的私有云安全技术、虚拟终端管理技术、数据灾备技术，都可为ICS 系统统一管理提供良性的技术支撑。在客户端系统资源优化方面，先进的私有云平台可将信息终端繁重的功能负载迁移到云端执行，为系统的关键应用提供宝贵的计算资源，实现工业系统调度与计算资源的最大利用。

　　另一方面，工业系统安全管理体系还应该具备应用行为分析与学习能力，例如对系统性能的异常检测模型、工业系统协议的内容识别模型、OPC 组件的调用规则模型、以及外设和WIFI 的审计报警模型等。知识库和各种分析模型的建立离不开对用户工业控制系统的理解和产业攻击事件与趋势的跟踪分析研究。

　　只有将涉及到工业控制系统各个环境的关键运维保障风险点和最基本的运维需求规范化、流程化，才能为ICS 系统实施可行的风险控制基线，实现以用户为核心的主动威胁防御与运维保障体系。

　　参照NIST 最新发布的《工业系统安全指南》有关ICS 系统纵深防御体系架构的建议，通过引入基于私有云技术的终端安全管理体系，实现客户端、服务端、探针对工业网络中关键信息终端和关键应用的实时分析与审计。

点击图片查看大图

图6：工业控制系统安全架构

　　一种基于私有云技术的ICS威胁识别模型

　　目前，工业控制系统风险识别模型的实现主要有两种方式：基于ICS 网络的协议识别风险模型；基于ICS 系统特征的仿真控制模型。其核心设计思想通常是通过识别ICS 网络通用及专属协议内容，并根据其中包含的主从关系、访问控制、行为特征、传递途径、Exploit方式、命令请求等信息提取非法特征，最后通过加权的方式判断威胁是否存在。

点击图片查看大图

图7：传统的风险识别

　　然而，更具针对性、隐蔽性的APT 攻击行为的出现，传统ICS 风险识别模型增加了许多不确定的因素。通过对APT 攻击事件、工业控制系统管理需求的分析，我们可以清晰的看到，在确保ICS 可用性的前提下，CS 组件的未公开漏洞，受信的合法控制路径，OPC的调度组件，PLC 的过程控制，网络架构以及管理制度设计缺陷都加重了不确定的因素。

　　因此构建满足工业控制系统的风险识别模型，除了需要细化工业控制系统的风险因素，还需要基于工业控制系统的安全管理域的差异，实施分等级的基线建设，兼顾终端与链路、威胁与异常、安全与可用性等综合因素的考虑同样必不可少。

　　模型建立：

　　·全网流量收集识别能力；
　　·基于白名单的终端应用控制能力；
　　·实时ICS 协议与内容识别能力；
　　·异常行为的仿真能力；
　　·动态基线自适应能力；
　　·可视化运维能力；
　　·安全事件跟踪研究能力。

点击图片查看大图

图8：基于私有云的工业系统威胁识别模型