汽车工控系统信息安全管理

引言： 关于工业控制系统信息安全防护的指南，从11个方面对企业在工业控制系统规划、设计、建设、运维、评估的信息安全建设方面提供了操作依据。本文围绕其中几个方面来探讨汽车行业的工控系统的信息安全建设。

在2016年11月份，国家相关部门发布了关于工业控制系统信息安全防护的指南，从11个方面对企业在工业控制系统规划、设计、建设、运维、评估的信息安全建设方面提供了操作依据。

笔者认为该指南是对2011年所发布的关于加强工业控制系统信息安全管理的进一步细化，将原来的6个要求进行了细分：安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任。下面笔者将围绕其中的几个方面来探讨一下汽车行业的工业控制系统的信息安全建设。

信息安全工作无论是传统IT领域还是工业控制领域，领导的重视永远是第一位的。即上述11个方面的落实责任：通过建立工控安全管理机制、成立信息安全协调小组等方式，明确工控安全管理责任人，落实工控安全责任制，部署工控安全防护措施。这是一个从上而下的工作。在建立工控安全管理机制之前，首先需要改变领导的观念，以国家规范标准、通知、指南等为契机，从满足合规性需求出发，结合汽车生产实际业务，分析当前业务风险为主，向高层领导提供决策依据，引起高层领导足够的重视。

在引起领导的重视和支持后，便可以开始搭建工控系统信息安全管理组织架构和建立相应的制度，务必明确责任。责任的明确便于后续措施的落地，否则就变成了纸上谈兵。汽车行业不同于其他行业，工控系统一般用在生产车间，比如冲压车间、车身车间、涂装车间、总装车间以及检测线等。这些车间的工业控制系统的建设和维护又可能分属两个不同的部门管理，加上公司的信息化管理，对于工业系统来说属于三方共管，如果责任不明确就会造成“三个和尚没水喝”的现象。

在责任明确之后，便可以进行现状调研和风险分析。工业控制系统的信息安全问题已经打破了人们普遍存在的“病毒很少能对工业控制系统造成危害”的意识。而由于诸多原因，目前工业控制性的安全防护措施与意识还相对薄弱。

工业控制系统因为历史上相对封闭的使用环境，工业控制系统在设计时多重视系统的功能实现，对安全的关注相对较少。不像传统IT信息系统软件设计时有严格的安全软件开发规范及安全测试流程，这必然造成工业控制系统不可避免地会有较多的安全缺陷。即工业控制系统面临的漏洞可能要比传统的信息系统还要多。漏洞的风险较高。

“两化融合”后，工业信息化、自动化领域的条件和要求也发生了深刻的变化，实时的生产控制、数据采集、指令发布、信息通信成为一种普遍需求。原有的物理隔离状态已经不能适应新常态，不光是企业的办公网、管理网以及其他业务网要实现工业控制系统互联互通，就连Internet存在的各种安全威胁也成了本来就防御疏松的工控系统所不得不面对的严峻挑战。各单位为实现管控一体化、综合自动化的要求已催生了工控系统从物理隔离向逻辑隔离的保护模式的重大改变，导致生产控制系统不再是一个独立运行的系统。为满足新的发展目标，工业生产进一步向信息化要效益。逐步催生工业控制系统向工业以太网结构发展，而网络的效能越凸显，开放性就越来越强。大量的PC服务器和终端产品、通用的操作系统和数据库也融入工业控制系统，很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。

而工业控制系统管理人员安全意识淡薄，汽车生产车间一般由生技部门、生管部门负责，管理人员本身对信息安全就不够重视，处于维护方便，设备维修时外联的非授权笔记本、有意或无意插接的“带病”移动硬盘等将给工控系统带来极大的安全隐患，使得病毒与恶意代码在工控系统中可以肆意横行。而出于工控软件和操作系统补丁、杀毒软件兼容性考虑，对工控系统未进行补丁修复和杀毒软件安装的情况又导致这一风险危害雪上加霜。

另一方面，由于安全意识缺乏，许多工业控制系统未对各系统组件进行运行状态监控，也未对使用者的日常操作行为加装监控和响应技术手段，致使工业控制系统中的服务器、控制终端、网络设备出现故障、使用人员的操作失误和有意的危险操作等问题未被及时发现，导致延迟响应或影响正常运行。

工业控制系统安全和传统的信息安全不同，传统的信息安全领域，通常认为保密性优先级最高，完整性次之，可用性最低；而在考虑工业控制系统时，则需要首先考虑系统的可用性，其次是完整性，最后才是保密性。

在初步分析了工业控制系统的安全风险后，接下来便是建立工业控制系统信息安全的防护体系。对照指南要求，查缺补漏。对于能即刻改进的进行立即优化，比如物理和环境安全防护：拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用，通过主机外设安全管理技术手段实施严格访问控制。对于笔者单位来说，工业控制系统信息安全技术防护体系比较薄弱，信息安全防护系统几乎没有，在工业网边界，防火墙都为传统的防火墙。基于此，笔者详细调研了国内的工控信息安全防护体系方案，针对汽车行业进行了大致的分析，有不对的地方请批评指正。

图1 工业控制系统架构示意图

目前国内在工业控制系统信息安全技术防护方面大致分四个方向：工业防火墙、工业网监测告警、工业网漏洞发现和工业网计算机（工控机等）端点防护。其中在汽车行业工控系统大多为国外系统，比如西门子、杜尔、ABB等，在漏洞发现和漏洞修复上对外依赖性较强，而修复漏洞对生产线造成的影响也不好估计，若因修复漏洞导致功能的可用性出现问题带来的风险更大。而汽车行业工控系统的离线测试环境部署成本又较高，因此对于工业网漏洞发现和修复方面，从实施的角度建议放到最后考虑。即主要考虑工业防火墙、工业网监测告警和工业网计算机端点防护上。

工控系统架构大致都分为管理层、生产调度层和过程控制层，汽车行业也是如此，如图1所示。

在图中，将生产调度层和过程控制层划分为工业网，将管理层划归到办公网。在办公网之间和工业网之间部署工业网防火墙，进行逻辑隔离，并进行严格的IP端口控制。

在工业网内部署工业网监测和告警系统，对四大车间的网络汇聚部署监控探头，收集工业网内数据到监控中心，通过建立现有资产白名单和协议分析，发现工业网内出现的可疑IP和设备，并制定告警规则，对大量发包、违规外联等现象进行及时发现和处理。

而对于工业网内的工程师站、操作员站等计算机在实施工业网端点防护系统。工业网端点防护系统和传统的杀毒软件不同，工业网端点防护系统基于白名单或者可信进程原理，没有病毒木马库，在实施中需要学习和记录正常情况下工程师站和操作员站的计算机进程和其他特征，然后进行封存，对于封存后所有的异常进程或者行为进行拦截和阻断。

最后，工业控制系统的信息安全中最重要的因素还是人。技术措施的落地还是靠人的执行力去推动，只要我们从意识上重视起来，无论是工业网还是办公网，信息安全管理都能顺利执行，生产业务才能得到安全保障。以上为笔者的一点看法，不足之处请多多指正。