工控系統“裸奔”，解決安全問題竟從這里開始

當前，工控安全已成為世界各國關注的焦點之一。黑客攻擊正在從開放的互聯網向封閉的工控網蔓延，被認為相對安全、相對封閉的工業控制系統同樣也遭受到重大安全威脅。

毋庸置疑，漏洞的存在使得工業控制系統可以輕易地被遠程侵入控制甚至完全被接管，對工控系統安全造成了巨大的威脅。

一、工控安全事件所屬行業

相關公開資料整理顯示，高危漏洞廣泛分布在能源、制造、商業設施、水務、市政等關鍵領域。工控安全關乎國計民生，一旦爆發安全問題，就會造成重大財產損失甚至重大安全事故。

因此，加強工業控制系統信息安全防護是當前亟待解決的問題。工業控制系統作為企業的核心生產運營系統，為防御外部信息安全的攻擊，工業控制系統自身設備的強大，以及嵌入式操作系統的加固加強，更顯得格外重要。

二、嵌入式系統，工業控制系統的防護門

我們知道，由于工控系統的使用生命周期較長，一般都在10～20年，所以相關廠商大多以系統功能作為第一要素，而在設計、研發和集成階段不會充分考慮安全問題。

這就導致多數工業控制系統在設計之初是封閉的“單機系統”，沒有考慮聯網需求，甚至沒有防護軟件，也不能安裝殺毒系統，一旦上網就是“裸奔”狀態。

現實情況也是如此，目前，我國許多工業產線仍在使用老舊操作系統(如Windows Xp)，這些操作系統已不再提供升級補丁服務。而工業產線使用時間長，廠家不會因為操作系統更新而更換設備。

值得重視的是，目前我國絕大多數企業沒有能力識別或應對這些入侵和攻擊。但基于系統漏洞問題，黑客可以輕而易舉利用系統漏洞進入產線，造成嚴重后果。

以2017年5月爆發的“WannaCry”勒索病毒事件為例，“WannaCry”勒索病毒事件爆發后，微軟在當年3月就發布了相應安全漏洞補丁，但我國很多企業單位一直沒有升級相關補丁，導致近30萬臺主機和電腦被感染。直到現在，很多企業每天仍有近千臺電腦感染此勒索病毒。

此外，我國工業控制存在系統補丁管理困難的現實問題。例如，通信協議種類繁多、系統軟件難以及時升級、系統補丁兼容性差、發布周期長等問題，使得廠家不具備及時處理嚴重威脅漏洞的能力。

針對這種情況，目前采用的方法是通過嵌入式系統為老舊操作系統進行加固解決上述問題。

作為工業控制系統的第一道防護門，嵌入式系統安全性的失效可能會導致災難性的后果，即使是非安全性系統，由于大批量生產也會導致嚴重的經濟損失。

這就要求對嵌入式系統，包括對嵌入式軟件進行嚴格的測試、確認和驗證。而在軟件功能安全測試中，單元測試又是其中一項重要工作。

三、單元測試：工控系統功能安全測試重要環節

對于工業控制系統的安全測試而言，單元測試的效果會直接影響軟件的后期測試，最終在很大程度上影響產品的質量。

尤其在航空航天、地鐵信號、汽車電子、核電控制等重點工業領域，運用單元測試是保障軟件可靠性和安全性的重要環節。

但需要注意的是，人工編寫單元測試的測試用例需要花費大量的人力和時間成本。在高安全領域中，不同行業對單元測試有不同的覆蓋準則。

不同準則下，一般測試人員通常每天可以編寫 5-8 個函數的測試用例。而嵌入式軟件需要少則幾十多則數百個函數的測試用例，由于軟件前期投入大、測試周期長，這根本無法跟上日益加快的軟件研發速度。

在低效率環境下，測試用例質量參差不齊，無法快速達到SIL4級軟件及A級軟件等高級軟件需要達到的MC/DC的100%覆蓋是人工編寫的硬傷。

因此，提升單元測試效率，提高測試用例質量，減少嵌入式軟件系統測試成本，成為實現工控系統安全的重要一步。

而為提升工控系統安全的單元測試效率，上海工業控制系統安全創新功能型平臺突破工業控制安全共性關鍵技術，研發出國內首款智能化單元測試用例設計工具。

這款工具系利用軟件代碼分析中的動態符號執行技術實現，把程序變量抽象為符號變量，結合約束求解技術，自動生成高覆蓋度的測試用例，實現智能化的單元測試。

四、測試用例自動生成

從行業應用層面來看，采用人工智能領域的自動推理與符號執行技術，能自動分析程序路徑，自動產生滿足覆蓋標準的測試用例，并在后臺自動執行測試用用例。

而智能化單元測試用例設計工具能夠讓測試人員擺脫效率低下、質量參差不齊的手工測試用例編寫任務，大幅提高測試人員的工作效率(測試效率提升5倍)，從而有效提升測試質量。

我們認為，智能化單元測試用例設計工具的出現，彌補了我國在安全檢測方面原創性技術的不足，實現對工控系統安全的源頭可控，代表我國在工控安全領域邁出了重要一步。

截至目前，已測試航空航天、地鐵信號、汽車電子、核電控制及知名開源軟件超過100W行，平均語句覆蓋率超過85%，能夠節省大量的人力物力，是中國工控安全防御領域發展的重大里程碑。

五、互聯網+時代，探尋工控安全防護之策

隨著互聯網和新一代信息技術的不斷滲透和蔓延，占據工業互聯網“控制大腦”地位的工業控制系統也不可避免地朝著“互聯網+”方向發展。

“互聯網+”與工業控制系統“1+1>2”的創新融合，為工業控制市場與工控安全市場帶來巨大的發展機遇。根據工信部發布《關于加強工業控制系統信息安全管理的通知》，對工控市場普查預測：2015年中國工業控制市場規模達3500億元，預計2020年市場規模達4800億元。

而從增長率來看，2015至2019年，我國工控信息安全市場的增長率達20%-30%，相關安全企業從中受益。

此外，據世界最頂級會計師事務所《普華永道》發布的全球信息安全狀況調查報告顯示，我國相關工控領域的安全事件數量持續暴漲，僅2016年相比于2015年就激增22倍之多，此后的2017～2018年間仍舊呈爆炸式增長。

隨著“互聯網+”時代的不斷發展，新技術在為工業控制系統帶來巨大創造力的同時，也逐漸打破工業控制系統相對封閉的使用環境，引入更加復雜、嚴峻的安全問題，如引入傳統IT產品帶來的安全漏洞及物聯網等信息技術帶來的敏感數據存儲安全問題等。

工業應用領域的網絡安全防護的工業防火墻;具有全程保護、主動防御功能的物聯網防火墻;專門為工業控制環境打造的終端安全防護產品工業終端安全衛士等一系列產品。

原文來源：工控專家