本文目录导读:
工控系统(ICS,Industrial Control Systems)安全相对于传统IT信息安全,具有非常显著的特殊性,其核心区别在于:IT安全关注的是数据的机密性、完整性和可用性(CIA),而工控安全更强调系统的可用性、完整性和实时性,且以“物理安全”和“人身安全”为根本底线。
具体特殊性体现在以下几个关键维度:
核心目标与优先级不同(首要特殊性)
- IT系统: 优先保障数据的机密性(防止数据泄露),银行系统首先确保账户信息不被窃取。
- 工控系统: 优先保障物理过程的可用性和安全性,核电站的控制系统首先必须保证反应堆稳定运行,哪怕暂时无法读取实时数据,也不能出现停机或失控。一旦工控系统宕机,可能导致设备损毁、环境污染甚至人员伤亡。 这是与IT系统最本质的区别。
系统生命周期与更新策略不同
- IT系统: 软件和硬件更新频繁(几个月到几年),补丁可以随时在线升级。
- 工控系统: 生命周期极长(10-20年甚至更久),很多老旧系统(如Windows XP、专有实时操作系统)仍在使用。无法随意打补丁——因为补丁可能破坏与专有硬件或旧版软件的兼容性,导致功能异常,系统一旦上线,甚至不允许重启,更新往往需要等待数年一次的大修窗口。
实时性与确定性要求极高
- IT系统: 允许偶尔的延迟或重传(如网页加载慢几秒钟可接受)。
- 工控系统: 要求微秒级或毫秒级的确定性响应,一个PLC(可编程逻辑控制器)必须在10ms内完成对传感器信号的采集和阀门控制指令的输出。任何安全软件若引入延迟、网络扫描或数据包检查,都可能导致生产流程紊乱。 传统IT的杀毒软件、深度包检测技术往往不能直接应用于工控环境。
通信协议与架构的特殊性
- IT系统: 主要基于TCP/IP等标准协议,通信端点通常是服务器、PC。
- 工控系统: 使用大量专有协议(如Modbus、DNP3、Profinet、OPC Classic)、现场总线(如Profibus)以及工业以太网,这些协议在设计之初缺乏认证、加密和授权机制(早期默认物理隔离),数据包以明文传输,很容易被中间人攻击、篡改或伪造,工控网络拓扑往往是扁平化的,一旦突破外围,内部设备之间可直接访问。
物理安全与功能安全的强耦合
- IT系统: 安全攻击主要影响数据和网络。
- 工控系统: 数字安全攻击(Cybersecurity)一旦成功,会直接转化为物理故障。
- 攻击者改变变频器频率,导致电机烧毁。
- 篡改压力传感器数据,导致管道爆炸。
- 向PLC发送破坏性指令(如“Stop”),导致生产瘫痪。
- 功能安全(Functional Safety)(如急停、安全联锁)与网络安全(Cyber Security) 交织在一起,网络安全漏洞可能绕过物理安全保护。
安全可见性与运维难度
- IT系统: 有成熟的端点检测、网络流量分析、日志审计系统。
- 工控系统: 许多老旧设备不支持安装Agent(代理程序),无法对其进行安全扫描或监控。“看不见” 是常态——不知道存在哪些资产、这些资产运行了什么固件、网络上有哪些异常流量,现场工程师(如DCS工程师)往往缺乏网络安全知识,而IT安全人员又不熟悉工业流程,导致沟通和协作困难。
供应链与通用性风险
- IT设备: 品牌多样,但底层架构相对统一。
- 工控设备: 大量使用嵌入式系统(如RTOS、VxWorks、定制化Linux),这些系统的漏洞一旦被公开(如PLC、RTU、IED中的固件漏洞),厂商修复周期极长,甚至可能不提供补丁,而且很多工控系统使用了开源组件(如OpenSSL、Linux内核),但其版本极其老旧,存在大量已知漏洞(如Log4j、Heartbleed)。
工控安全的“三不”原则
- 不能停: 可用性始终第一。
- 不能动: 系统运行期间无法随意打补丁或重新配置。
- 不能改: 通信协议、行为逻辑、设备配置需保持长期稳定,任何安全措施不能破坏其确定性。
典型案例参考:
- 震网病毒(Stuxnet): 通过修改PLC频率,让离心机物理损毁,同时回传正常状态欺骗监控,完美体现了“数字攻击→物理破坏”的工控特有风险。
- 乌克兰电网攻击: 攻击者通过远程变电系统,直接切除断路器,导致大面积停电,说明工控网络一旦被渗透,破坏力极强且具有即时性。
应对思路: 工控安全不能采用IT的“先检测再响应”模式,而应采用白名单(只允许已知的、授权的操作和通信)、网络物理边界隔离(如单向网闸)、深度包检测(DPI) 以及主动威胁狩猎等策略,同时必须与现场操作团队(OT团队)深度协作。
