浅谈工业控制系统的安全挑战

工业控制系统（Industrial Control Systems， ICS）主要用于控制能源、交通、水利、石油等与民生紧密相关的重要基础设施，因此其系统的安全性是非常重要的。一般而言ICS必须随时处于工作状态，因此为这些系统进行安全加固或升级通常是极其困难且昂贵的。

ICS的输出是与物理过程有关的，且对人民生活影响重大，任何系统瘫痪或故障都会造成难以估计的损失，比如大面积能源供应中断。因此，管理ICS的组织不能冒着系统故障的风险让ICS自动升级或加固安全防护系统，以免因ICS关闭或重启造成损失。举例来说，核反应堆的典型运行周期是18个月，任何系统故障都会导致巨大的经济损失。

比利时电力公司的信息安全经理Franky Thrasher表示，以上原因让我们很难决定是否应该让系统下线，以升级安全防护系统。他在布鲁塞尔召开的信息安全解决方案会议上说：“ICS的安全防护不仅需要考虑网络安全，同时还需要引入全新的机制。”通常情况下，即便负责管理重要基础设施的组织已经检测到控制系统被恶意软件入侵了，他们还是会保持系统在运行状态。

对于很多ICS来说，每年只允许有5分钟的下线时间，这给获取法律证据，进而调查潜在的安全漏洞或恶意软件入侵造成极大困难。更加严重的是，一般的ICS都在小型处理器上运行，其计算能力是很有限的，因此在很多ICS上是无法安装杀毒软件的。

在遗留系统上保持ICS的安全

很多欧洲和美国的ICS已经运行了15至30年，这样的系统比较难以维护。这些系统在互联网时代之前就安装了，因此在设计时没有考虑连接性，也没有任何验证接收到的指令是否正确的措施。

ABB公司的网络安全组长Markus Braendle表示，替换这些遗留系统是不可行的，我们需要为新建设和遗留的系统增强安全性。然而，Braendle又表示，这些遗留系统已经无故障地运行了几十年，因此要说服这些组织花费大笔经费来升级系统是很困难的。

使用不安全的操作系统来节约成本

随着很多商用管理系统进入市场，一些组织为了保持系统的统一性并节约成本，使用一些无需订制的管理系统。诸如引入了微软的Windows和Linux操作系统，这使得企业网络和ICS的管理系统建立了连接。

Braendle表示“这意味着ICS暴露在更多的威胁之下，包括操作系统的漏洞和工业厂房与外界联系而造成的入侵风险。虽然将ICS与企业系统连接是有好处的，但连接的方式需要谨慎选择。”

使用商用操作系统的另一个风险在于，这些组织可能无法及时将系统升级到最新、最安全的版本。

“我们劝有些组织停止使用Windows XP操作系统，因为微软已经不再支持了，但他们表示，他们其实仍在使用更旧的版本。” Braendle表示，“一般而言，组织都不愿意升级他们的系统，因为升级系统不仅需要高昂的开销，还需要修改整个系统以满足工业标准。”Braendle认为出于安全的考虑，监管部门需要让系统升级变得容易。

更广泛的ICS连接需要更高的安全性

在欧洲，将能源如商品一样进行交易的转变，驱动了在ICS和交易者之间建立联系的需要。为了能使供应商对系统进行远程维护和监控，供应商也需要建立联系。Braendle表示，实际的ICS很少有完全与外界没有连接的，因为有连接的商业需求。

尽管媒体已经开始关注ICS的安全领域，Braendle表示，这个话题在能源领域已经讨论很久了。“公众对此话题的关注是近期才开始的，因为智能仪表被引入个人家庭，因此人们开始担心隐私问题。同样，电脑蠕虫病毒Stuxnet的出现，也使人们意识到ICS安全性的重要，以及ICS被攻击后可能产生的后果。”

Thrasher表示，另一个维护ICS的挑战来源于，IT部门和IT安全团队很少参与ICS的采购、安装和管理。“ICS一般是与其控制的设备一起购买的，因此它们的安装、配置和运行都是由工厂工程师现场完成，不是IT部门负责。这意味着，IT对控制系统的情况毫不知情，更无法建立系统的详细目录。”