工业控制系统与传统信息系统的对比

文顿是中国人

工业控制系统与传统信息系统的对比

随着工业信息化的快速发展，工业控制系统也在利用最新的计算机网络技术来提高系统 间的集成、互联以及信息化管理水平。比如，逐步采用一些 PC 服务器、终端产品，操作系统 和数据库等通用 IT 产品，逐步采用基于 TCP/IP 协议的工业以太环网和 OPC 通信协议，这将 促使 TCP/IP 协议逐步成为工业控制系统的基础通信协议，而为保持工业控制系统的兼容性， 专用的工业控制协议则将会逐步迁移到应用层。通用互联网技术的采用将为企业打破生产系 统的封闭性，实现管理与控制的一体化、提高企业信息化水平，实现生产、管理系统的高效 集成奠定基础。但是通过上面章节关于工业控制系统的概述可知：工业控制系统与传统 IT 信 息系统因其建设目标不同，使得它们在技术、管理与服务等很多方面依然有相当大的差异之 处，一些典型的差异化见表格 1）。 表格 1 工业控制系统与传统 IT 信息系统的差异化对比 |对比项** |工业控制系统（ICS）** |传统 IT 信息系统** | |建设目标** |利用计算机、互联网、微电子以及电 气等技术，使工厂的生产和制造过程 更加自动化、效率化、精确化，并具 有可控性及可视性。 强调的是工业自动化过程及相关设 备的智能控制、监测与管理。|利用计算机、互联网技术实现数据 处理与信息共享。| |体系架构** |ICS 系统主要由 PLC、RTU、DCS、 SCADA 等工业控制设备及系统组成|有计算机系统通过互联网协议组成 的计算机网络| |操作系统** |广泛使用嵌入式操作系统 VxWorks、 uCLinux、WinCE 等，并有可能是根 据需要进行功能裁减或定制。|通用操作系统（window、UNIX、 linux 等），功能相对强大。| |数据交换协议|专 用 通 信 协 议 或 规 约 （ OPC 、 Modbus、DNP3 等)直接使用或作为 TCP/IP 协议的应用层使用|TCP/IP 协议栈（应用层协议： HTTP、FTP、SMTP 等） | |系统实时性|系统传输、处理信息的实时性要求 高、不能停机和重启恢复。|系统的实时性要求不高，信息传输 允许延迟，可以停机和重启恢复。| |系统故障响应|不可预料的中断会造成经济损失或 灾难，故障必须紧急响应处理|不可预料的中断可能会造成任务损 失，系统故障的处理响应级别随 系统要求而定IT| |系统升级难度|专有系统兼容性差、软硬件升级较困 难，一般很少进行系统升级，如需升 级可能需要整个系统升级换代|采用通用系统、兼容性较好，软硬 件升级较容易，且软件系统升级较 频繁 | |与其他系统的 连接关系** |一般需要与互联网进行物理隔离|与互联网存在一定的连通性|
三工业控制系统的安全性分析

工业控制系统与传统信息系统安全的对比分析

在传统的信息安全领域，通常将保密性（Confidentiality）、完整性（Integrity）和可用性 （Availability）称为安全的三种基本属性，简称 CIA。并且通常认为保密性的优先级最高，完 整性次之，可用性最低。 在工业控制系统领域则有较大的不同，由错误**!未找到引用源。的分析可知，工业控制系 统强调的是工业自动化过程及相关设备的智能控制、监测与管理。它们在系统架构、设备操 作系统、数据交换协议等方面与普通 IT 信息系统存在较大差异，而且更为关注系统的实时性 与业务连续性。也就是说，工业控制系统对系统设备的可用性、实时性、可控性等特性要求 很高，因此在考虑工业控制系统安全时要优先保证系统的可用性；其次，因各组件之间存在 固有的关联，因此完整性次之；而对于数据保密性来说，则由于工控系统中传输的数据通常 是控制命令和采集的原始数据，需要放在特定的背景下分析才有意义，而且多是实时数据， 因此对保密性的要求最低，如图 3.11]。这就是在考虑工业控制系统安全时与考虑传 统 IT 信息系统安全时的原则性区别。 工业控制系统 传统 IT 信息系统 可用性 高 机密性 完整性 优先 完整性 机密性 可用性 图 3.1 考虑工业控制系统安全与传统 IT 信息系统安全时的原则性区别 由于工业控制系统作为企业的核心生产运营系统，一般来说其工作环境具有严格的管理， 外人很难进入，同时系统自身也多与企业的办公网络（普通 IT）系统之间存在一定的隔离措 施，与互联网则一般处于物理隔离的状态，也就是说其环境相对封闭。在加上工业控制系统 主要由 PLC、RTU、DCS、SCADA 等工业控制设备及系统组成，这些设备品种繁多，且其 功能多基于不同于互联网通用操作系统的嵌入式操作系统（如 VxWorks、uCLinux、WinCE 等）开发，并采用专用的通信协议或规约（如 OPC、Modbus、DNP3 等）实现系统间通信。 正是由于这些工业控制系统设备及通信规约的专有性以及系统的相对封闭性，使得一般的互 联网黑客或黑客组织很难获得相应的工业控制系统攻防研究环境以及相关系统资料支持，从 而通常黑客的攻防研究工作多集中在互联网或普通 IT 信息系统上，而很少关注工业控制系统， 自然相关的系统及通信规约的安全缺陷（或漏洞）也很少被发现。而同时工业控制系统提供 商则在重点关注系统的可用性、实时性，对系统的安全问题、防护措施以及运维策略也缺乏 系统的体系的考虑。但是随着 2010 年“震网”及后续一系列工控安全事件[CJ]的发生，表明出 于某些国际组织、国家的政治、经济、军事等原因，工业控制系统已经面临这些组织所发起 的新型高级可持续的攻击威胁。至此，工业控制系统的安全问题才被世界各国政府及企业组 织所重视，开始展开这方面的研究工作。 上述这些原因，也使得工业控制系统与传统 IT 信息系统在所面临的安全威胁、安全问题 及所需要考虑的安全防护措施等方面存在较大的不同——表格 2 从差异进行 了讨论分析。 表格 2 工业控制系统与传统 IT 系统的安全性对比 对比项 工业控制系统（ICS**） 传统 IT 信息系统 安 威胁来源 l 以组织为主 l 个体 全 l 群体 威 l 组织 胁 攻击方法 l 攻击目的性强的高级持续性威胁 l 常用攻击方式：诸如拒绝服 （APT：StuxNet、Duqu 等） 务、病毒、恶意代码、非授

• • 采用有组织的多攻击协同模式 权实用、破坏数据安全三性 （CIA）、假冒欺骗等
  
  
  
  • • 近年来也有一些组织采用 APT 的攻击模式攻击一些 重要信息系统 安 系统安全 l 重点关注 ICS 系统及其设备专用 l 关注通用操作系统的脆弱 全 操作系统的漏洞、配置缺陷等问 性、安全配置、病毒防护以 防 题； 及系统资源的 非授权访问 护 l 当前系统防护能力不足：系统补 等。 丁管理困难、安全机制升级困难， l 系统级防护能力较强（防病 毒、补丁管理、配置核查、 外设管控等系统级安全手 段丰富） 网络安全 l 需要重点关注专有通信协议及规 l 主要是关注 TCP/IP 协议簇 约的安全性及其实时、安全的传 的安全性传输、拒绝服务、 输能力。 应用层安全等，一般对数据
    
  
  

• • ICS 缺乏统一的数据通信协议标 传输的实时性要求不高。 准，专有协议与规范种类繁多。 l 安全技术、产品、方案相对
  
• • 专有通信协议、规约在设计时通 成熟，安全防护能力强 常只强调通信的实时性及可用 性，对安全性普遍考虑不足：比 如缺少足够强度的认证、加密、 授权等。 l 一般不要求与互联网进行
  
• • 通常需要与互联网进行物理隔 物理隔离 离， 数据安全 l 重点关注 ICS 设备状态、控制信 l 服务器中存储数据的安全 息等在传输、处理及存储中的安 存储及授权使用 全性 安 身份管理 l 系统用户的身份认证及授权管理 l IT 用户的身份认证、授权机 全 相对简单 制比较成熟、完善； 管 l 部分控制设备硬件实现，难以进 l 用户身份管理系统软件实 理 行密码周期性修改 现，可方便地进行密码周期 性修改 补丁管理 ICS 系统补丁管理困难、漏洞难以及 l 传统 IT 信息系统的漏洞和 时处理 补丁管理系统或工具比较
  
• • ICS 系统补丁兼容性差、发布周 成熟，漏洞一般可以及时地 期长以及系统可用性与业务连续 得到处理。 性的硬性要求，使得 ICS 系统管 理员绝不会轻易安装非 ICS 设备 制造商指定的升级补丁
  
• • 使用周期长、相对陈旧的系统， 也可能因厂商不存在或厂商不再 进行产品的安全升级支持，而造 成系统漏洞无法及时打补丁 行为管理 l ICS 需要严格防止系统误操作与 l 一般有比较完善的 IT 系统 蓄意破坏； 及网络行为审计机制
  
• • 但通常缺乏针对 ICS 的安全日志 审计及配置变更管理。
  
• • 存在部分 ICS 系统不具备审计功 能或者虽有日志审计功能但系统 的性能要求决定了它不能开启审 计功能 应急响应 l 需要保障 ICS 系统业务连续性的 l 应急响应计划可选 应急响应计划，强调快速响应 显然，工业控制系统及其安全性研究也可以算是信息安全研究的一个新领域，对此，我 们将需要首先熟悉工业控制系统，其次重点研究 ICS 自身的脆弱性（漏洞）情况及系统间通 信规约的安全性问题，并在此基础上基于模拟攻击场景进行攻防推演分析。只有在充分了解 ICS 的前提下，才能逐步完善系统的安全性保障措施。因此，本文后续章节的内容将重点是讨 论工业控制系统的通信协议（规约）安全性研究、ICS 相关漏洞的整理分析以及部分典型攻击 场景模拟分析。
  

参考资料