張翔宇 路來順

摘? ?要：隨著自動化系統(tǒng)與信息化系統(tǒng)融合的不斷加深，原本相對安全和封閉的工業(yè)控制系統(tǒng)網絡在新形勢下的安全問題日益突出。文章根據工業(yè)控制系統(tǒng)網絡安全領域的發(fā)展狀況，對工業(yè)控制系統(tǒng)網絡的安全問題進行了分析和探討，提出了相關建議。

關鍵詞：網絡安全;工業(yè)控制系統(tǒng)網絡

中圖分類號：TP309.2? ? ? ? ? 文獻標識碼：A

Network security analysis and research of industrial control system

Zhang Xiangyu，Lu Laishun

（Beijing CCID Infortech.Inc， Beijing 100048）

Abstract： With the deepening integration of automation system and information system， the security problem of relatively safe and closed industrial control system network is becoming increasingly prominent under the new situation. According to the development of industrial control system network security， this paper analyses and discusses the safety of industrial control system network， and puts forward some relevant suggestions.

Key words： network security; industrial control system network; safety response suggestions

1 引言

目前，自動化技術日趨成熟，工業(yè)控制系統(tǒng)在各工業(yè)生產制造行業(yè)得到普遍的應用，如DCS（Distributed Control System? 集散控制系統(tǒng)）在石油、化工、火電等流程生產行業(yè)的應用，PLC（Programmable Logic Controller 可編程邏輯控制器）在機械制造、航空制造、汽車制造等離散制造行業(yè)的應用。同時，隨著信息技術的發(fā)展，生產制造企業(yè)廣泛建設了MES（Manufacturing Execution System 制造企業(yè)生產過程執(zhí)行系統(tǒng)）、生產監(jiān)控系統(tǒng)、能源管理系統(tǒng)等信息系統(tǒng)。

為了進一步提高生產效率，企業(yè)逐步將DCS、PLC、SCADA（Supervisory Control And Data Acquisition數據采集與監(jiān)視控制系統(tǒng)）等工業(yè)控制系統(tǒng)與MES、生產監(jiān)控系統(tǒng)、能源管理系統(tǒng)等信息系統(tǒng)，通過網絡連接在一起，進行數據交互，實現工業(yè)數據采集、遠程監(jiān)控、集中管理等。這種做法在提高了企業(yè)生產效率，降低了管理成本的同時，改變了工業(yè)控制系統(tǒng)的“安全孤島”狀態(tài)，使原本相對封閉而缺乏網絡安全防護措施的工業(yè)控制系統(tǒng)網絡，面臨著來自外部網絡的威脅，如來自互聯網并經由信息系統(tǒng)網絡傳播到工業(yè)控制系統(tǒng)網絡的病毒或是針對工業(yè)控制系統(tǒng)的異常指令等。

基于以上情況，怎樣保護工業(yè)控制系統(tǒng)網絡安全，從而保障安全、可靠、穩(wěn)定地開展企業(yè)生產業(yè)務，已成為各生產制造行業(yè)企業(yè)的重點關注對象。

2. 國內外工業(yè)控制系統(tǒng)網絡安全發(fā)展概況

2.1 國外工業(yè)控制系統(tǒng)網絡安全發(fā)展概況

歐盟與美國等國家從2005年開始大力推動相關技術的研究，建立了國家級工控安全實驗室，陸續(xù)發(fā)布了保護國家關鍵工業(yè)控制系統(tǒng)的戰(zhàn)略框架和標準法規(guī)，逐步建設國家級工控安全體系。

歐盟2013年發(fā)布“歐洲關鍵基礎設施保護項目”，協調各個成員國保護關鍵工業(yè)控制系統(tǒng)，應對日益增加的針對工業(yè)控制系統(tǒng)的網絡攻擊;由歐洲高級議會、歐洲防務局、歐洲網絡犯罪中心等機構，協調歐盟各成員國的相關部分開展各國家的關鍵設施保護計劃。歐盟先后發(fā)布了《保護信息時代社會安全戰(zhàn)略》（2005年）、《使用隱私信息增強技術改進數據保護意見》（2007年）、《美國國土安全部和歐洲委員會關于歐洲網絡安全的聯合聲明》（2012年）、《歐盟網絡安全戰(zhàn)略》（2013年）、《關鍵基礎設施保護計劃》（2013年）等工業(yè)控制系統(tǒng)安全戰(zhàn)略。

另外，國際電工委員會發(fā)布的《IEC 62443 工業(yè)過程測量、控制和自動化網絡與系統(tǒng)信息安全》包含“網絡安全分區(qū)拓撲示意圖” 如圖1所示，也被歐盟成員國廣泛遵循。歐盟成立針對工業(yè)控制安全的應急響應組：為事故響應和取證分析提供現場支持，執(zhí)行漏洞和惡意代碼分析，協調共享漏洞信息收集和威脅分析工作，響應和分析控制系統(tǒng)相關事故。

美國2006年發(fā)布國家戰(zhàn)略“美國控制系統(tǒng)控制安全計劃（CSSP）”保護美國國家基礎設施的控制系統(tǒng)。美國發(fā)布《網絡空間安全國家戰(zhàn)略計劃》（2003年）、《改進SCAOA網絡安全的21項措施》（2005年）、《國家基礎設施保護及計劃》（2006年）、《保護工業(yè)控制系統(tǒng)的戰(zhàn)略》（2009年）、《工業(yè)控制系統(tǒng)安全指南》（2011年）、《NIST SP800-82 工業(yè)控制系統(tǒng)安全指南》（2011年）包含“縱深防御體系架構” 如圖2所示、《國家網絡安全和關鍵基礎設施保護法案》（2013年）等相關標準、法規(guī)和標準。美國國土安全部成立了作為CSSP實施部門的工業(yè)控制系統(tǒng)應急響應組，為工業(yè)控制系統(tǒng)安全提供國家層面的服務和保障。

與此同時，亞洲各國也相繼發(fā)布保護國家關鍵工業(yè)控制系統(tǒng)網絡安全的政策文件，如日本2013年發(fā)布《網絡安全戰(zhàn)略》;印度2013年發(fā)布《國家網絡安全政策》;新加坡2014年發(fā)布《國家網絡安全總體規(guī)劃》等，均涉及國家關鍵工業(yè)控制系統(tǒng)網絡攻擊的防護內容。

2.2 國內工業(yè)控制系統(tǒng)網絡安全發(fā)展概況

2015年5月，國務院發(fā)布《中國制造2025》，即國家開展制造強國戰(zhàn)略第一個10年行動綱領。

2017年6月1日起施行《中華人民共和國網絡安全法》，這是中國建立嚴格的網絡治理指導方針的一個重要里程碑。它界定了關鍵信息基礎設施的基本概念，規(guī)定了關鍵信息基礎設施的具體范圍和安全保護要求，明確了關鍵信息基礎設施運營者應當履行的義務，提出了關鍵信息基礎設施與安全同步建設的原則，對攻擊和破壞我國關鍵信息基礎設施的境外組織和個人規(guī)定相應的懲治措施?！吨腥A人民共和國網絡安全法》第21條明確指出“國家實行網絡安全等級保護制度”。

2019年5月10日，國家發(fā)布了《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》，其中包含“工業(yè)控制系統(tǒng)安全擴展要求”，同時發(fā)布的《GB/T 25070-2019信息安全技術網絡安全等級保護安全設計技術要求》包含“工業(yè)控制等級保護安全技術設計框架” 如圖3所示，《GB/T 28448-2019信息安全技術 網絡安全等級保護測評要求》包含“工業(yè)控制系統(tǒng)安全層擴展要求”。

2017年11月，我國發(fā)布了《關于深化“互聯網+先進制造業(yè)”發(fā)展工業(yè)互聯網的指導意見》，規(guī)范指導工業(yè)互聯網發(fā)展，推動現代化經濟建設，其中還包括對工業(yè)互聯網中智能工廠內工業(yè)控制系統(tǒng)的網絡安全建議，指出企業(yè)要在網絡防護、漏洞檢測、安全審計、安全監(jiān)測、可信計算等方面加大投入力度。

為應對新的工業(yè)控制系統(tǒng)安全形勢，在2016年10月工信部發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護指南》，提出“安全是發(fā)展的前提，發(fā)展是安全的保障”，開展工業(yè)控制系統(tǒng)安全防護工作，完善安全防護能力，為提升我國工業(yè)網絡安全防護能力提供保障。

2.3 主要工業(yè)控制系統(tǒng)網絡安全技術發(fā)展概況

國內外工業(yè)控制系統(tǒng)安全技術主要從四個方面依次開展。

（1）系統(tǒng)隔離。在“震網”病毒事件發(fā)生前，工業(yè)控制系統(tǒng)網絡安全防護的主要手段為網絡隔離，具有代表性的設備為隔離網關、網閘、單向隔離設備等?！罢鹁W”病毒的發(fā)生，證明網絡隔離只是部分有效的手段，實施網絡隔離后的工業(yè)控制系統(tǒng)本身的脆弱性未得到完全解決，遭受攻擊后會產生嚴重后果。例如，中東某石油公司，3萬臺被網絡隔離，但無主機防護措施的用于生產控制的電腦，被攻擊后一天內被全部喪失工作能力;現有的高級持續(xù)性威脅攻擊（APT攻擊）可繞過網絡隔離防御措施來進行。

（2）縱深防御。在“震網”病毒爆發(fā)后，信息安全廠商提出縱深防御體系概念，通過設置多層重疊的安全防護系統(tǒng)構成多道防線，達到對信息安全客體多層隔離防互屏障的目的。例如，McAfee的縱深防御體系提供防范信息環(huán)境中的分區(qū)隔離、病毒木馬掃描過濾等精細防護手段。

（3）工控系統(tǒng)內嵌持續(xù)性防御體系。目前，工業(yè)控制系統(tǒng)安全目標明確為保證工業(yè)控制系統(tǒng)長時間、無間斷的穩(wěn)定可靠運行。內嵌持續(xù)性防御體系能夠適應工業(yè)控制系統(tǒng)特點，通過集成硬件來實現，具備低延時、持續(xù)更新、高可靠性等優(yōu)勢，并且具備故障點小，不間斷業(yè)務升級。美國工業(yè)巨頭通用電氣（GE）、洛克希德馬?。↙ockheed Martin）已展開工業(yè)控制系統(tǒng)內嵌安全解決方案研究。另外，McAfee與愛默生、Rockwell開展合作進行滲透到工業(yè)控制系統(tǒng)內部的安全研究。

（4）以攻為守。以美國和以色列為代表的國家，意識到基礎設施的改造周期太長無法短期實現安全防護，從而在國家層面注重攻擊技術的研究、突破，制定以攻為守的國家戰(zhàn)略。大力投資建攻擊實驗環(huán)境，建設不同行業(yè)的攻防演示實驗室。該策略以攻為守，并以攻擊技術提高帶動防御技術的研究，同時以攻擊的威懾力來鞏固自身安全性。

3 工業(yè)控制系統(tǒng)網絡安全性分析

3.1 工業(yè)控制系統(tǒng)網絡自身脆弱性分析

3.1.1 控制系統(tǒng)設備漏洞

當前的工業(yè)控制系統(tǒng)大量采用國外廠商的設備，存在對國外設備了解程度不夠深入的問題，因此難以發(fā)現針對工業(yè)控制設備的漏洞、惡意代碼、內置后門等安全隱患。自動化網絡與信息化網絡互聯后，工業(yè)控制設備的網絡安全問題將對國家關鍵生產控制系統(tǒng)產生威脅。

目前公開的漏洞主要涉及的工業(yè)控制系統(tǒng)廠商：西門子（Siemens）、羅克韋爾（Rockwell）與通用電氣（GE）等國外廠商。而這些國外工業(yè)控制系統(tǒng)廠商的產品在國內工控設備市場上占據主流地位，甚至某些產品在某些行業(yè)具有壟斷地位。

3.1.2 工業(yè)通信協議漏洞

隨著兩化融合（企業(yè)信息網與工業(yè)控制網絡）和工業(yè)互聯網的發(fā)展，Modbus協議、Profinet協議、OPC協議等通用協議越來越廣泛地應用在工業(yè)控制網絡和信息化網絡中的數據采集中，隨之而來的通信協議漏洞問題也日益突出。例如，OPC Classic 協議極易受到攻擊，OPC協議通信過程中會使用不固定的端口號，使得以往信息系統(tǒng)網絡中的防火墻很難確保其安全性。

3.1.3 工業(yè)主機操作系統(tǒng)漏洞

工業(yè)控制系統(tǒng)的工程師站/操作站/通訊站等多是基于Windows平臺，為保證工業(yè)控制系統(tǒng)的獨立性，同時考慮到生產控制系統(tǒng)的穩(wěn)定性，通常實施工程師在生產控制系統(tǒng)建成使用后，不會對Windows 系統(tǒng)安裝任何補丁或升級系統(tǒng)。而不為工業(yè)控制系統(tǒng)上位機安裝補丁，就會為遭受網絡攻擊埋下安全隱患。

3.1.4 工業(yè)應用軟件漏洞

工業(yè)生產現場需要使用各種工業(yè)控制應用軟件，這些應用軟件在開發(fā)時主要關注功能性需求和軟件性能需求，而很少考慮到網絡安全問題。正是因為工業(yè)控制應用軟件由于設計、開發(fā)和測試時，對網絡安全的關注度不夠，導致工業(yè)應用軟件被發(fā)現有各種漏洞，從而影響生產業(yè)務的正產開展。

3.2 工業(yè)控制系統(tǒng)網絡面臨的外部威脅

3.2.1 病毒及惡意軟件

生產網絡中運行的工程師站、操作員站、PCU等計算機，很少或沒有安裝全天候病毒防護軟件。為了保證工業(yè)控制應用軟件的可用性，現場工業(yè)控制系統(tǒng)工程師站/操作站/通訊站等通常不安裝殺毒軟件。原因是由于殺毒軟件的病毒庫需要不定期的經常更新，提高了運維復雜性，并要求系統(tǒng)外聯，不適合工業(yè)生產環(huán)境。殺毒軟件有錯殺工業(yè)控制系統(tǒng)正常文件、進程、服務的可能性，有可能造成生產事故。

有調研表明在某省幾家生產制造單位參與安全檢查的時候，就曾發(fā)現有多家單位的生產網上位機和服務器被感染有惡意的感染型病毒和遠控木馬，而這些單位是做了物理隔離的，但是仍然出現了被感染情況，存在著系統(tǒng)癱瘓和被竊密的風險。

3.2.2 移動存儲設備風險

大多數企業(yè)對于生產現場上位機的USB 設備使用管理缺乏技術手段，容易導致工業(yè)控制系統(tǒng)通過 USB 設備感染病毒，或造成敏感信息泄露，歷來的重大工業(yè)控制安全事件都或多或少地與USB設備有一定關系，因移動設備帶來的安全問題占據了大部分比例。雖然大多數的現場設備USB端口被物理封掉，但是如果不配合技術手段，還是難以達到最佳效果。

3.2.3 遠程維護風險

由于現場控制系統(tǒng)及設備采用多家廠商的產品，在進行設備檢修或者維護的時候，有時需要進行遠程維護，而多數的遠程維護并沒有采用VPN，第三方人員通過外部網絡接入工業(yè)控制系統(tǒng)進行遠程維護時，可以通過技術手段獲取工業(yè)控制系統(tǒng)的敏感信息，可能會造成商業(yè)機密外泄，影響企業(yè)的經濟收益，造成社會影響。

4 工業(yè)控制系統(tǒng)網絡安全應對建議

4.1 結合行業(yè)特點制定安全框架

企業(yè)保護工業(yè)控制系統(tǒng)網絡安全的目的是保證企業(yè)生產業(yè)務的正常開展。不同行業(yè)企業(yè)中使用的生產工藝、工業(yè)控制系統(tǒng)、網絡架構、數據交互接口等均不相同，如化工廠大量使用DCS系統(tǒng)，通過OPC協議進行工業(yè)數據采集，而卷煙廠則大量使用PLC系統(tǒng)，通過Modbus、Profinet等協議進行數據通信。因此，不同行業(yè)中工業(yè)控制系統(tǒng)網絡安全的保護對象是不完全相同的。

因此，應根據企業(yè)的生產業(yè)務，并結合政府的合規(guī)性要求，針對被保護對象的特點，制定相應的工業(yè)控制系統(tǒng)網絡安全框架，選擇實施有針對性的工控安全技術措施和工控管理措施，切實有效地保護企業(yè)工業(yè)控制系統(tǒng)網絡安全。

4.2 開展工業(yè)控制系統(tǒng)網絡安全的風險評估

在設計工業(yè)控制系統(tǒng)網絡安全防護措施前，企業(yè)首先應深入了解自身工業(yè)控制系統(tǒng)網絡具體有哪些安全弱點，從企業(yè)工業(yè)控制系統(tǒng)網絡資產所面臨的威脅、存在的弱點、安全事件造成的影響，以及三者綜合作用所帶來風險的可能性進行評估。企業(yè)應充分進行工業(yè)控制系統(tǒng)網絡的風險定性評估，并盡可能地進行風險定量測算，以此得出較為準確的工業(yè)控制系統(tǒng)網絡安全需求。

工業(yè)控制系統(tǒng)網絡的安全風險評估與信息系統(tǒng)網絡安全的風險評估相比，主要有三點不同之處。

（1）實施環(huán)境復雜。工業(yè)控制系統(tǒng)是用于生產的重要業(yè)務系統(tǒng)，為保證不影響生產的正常開展，需要在特定的時間采取技術手段收集脆弱性信息，比如最好是在工業(yè)控制系統(tǒng)停產檢修時，使用特殊工具進行漏洞掃描，或在仿真實驗環(huán)境下進行漏洞掃描。

（2）更關注可用性的風險評估。在信息系統(tǒng)的風險評估中，通常較為關注機密性，其次是完整性，可用性可能會放在最后，而用于生產的工業(yè)控制系統(tǒng)網絡進行風險評估時，關注點的順序正好相反，首先要考慮的是可用性。

（3）評估方案設計。工業(yè)控制系統(tǒng)網絡進行風險評估時，除了要考慮操作系統(tǒng)、數據庫、通訊協議等與信息系統(tǒng)類似的脆弱性及其面臨的威脅外，還要考慮工業(yè)應用程序、工業(yè)通信協議和工業(yè)控制設備的安全性。信息系統(tǒng)所面臨的信息安全風險，在工業(yè)控制系統(tǒng)中也是普遍存在的，而工業(yè)控制系統(tǒng)還存在其獨特的風險。

4.3 培養(yǎng)工業(yè)控制系統(tǒng)網絡安全專業(yè)團隊

工業(yè)控制系統(tǒng)網絡安全是一個跨專業(yè)的新興領域，該領域需要對生產工藝、生產控制系統(tǒng)、網絡安全等專業(yè)有一定了解的支撐團隊。企業(yè)應通過內部培養(yǎng)和外部招聘的方式選拔專業(yè)技術人才組建專業(yè)團隊，只有專業(yè)的工業(yè)控制系統(tǒng)網絡安全團隊，才能完成內部風險評估、安全項目建設、應急響應支撐等主要的網絡安全工作，所以企業(yè)需要注重人員的認證教育和持證上崗制度。

生產制造企業(yè)應該不定期地組織自動化技術人員、工藝技術人員、信息系統(tǒng)技術人員、網絡安全技術人員進行技術交流。交流以企業(yè)生產工藝、工業(yè)控制系統(tǒng)、信息系統(tǒng)等現狀為基礎，以網絡安全問題分析和探討為核心，以促進不同專業(yè)的技術人員了解企業(yè)其他領域的技術和管理現狀，共同研習在此現狀基礎上的網絡安全策略、配置等相關技術措施。

4.4 建立和完善工業(yè)控制系統(tǒng)網絡安全管理制度

為了切實保證工業(yè)控制系統(tǒng)網絡安全，除了采取必要的安全技術措施外，還應根據具體情況建立一整套安全管理體系，從組織上、措施上、制度上以及人員方面，為用戶工業(yè)控制系統(tǒng)的安全運行提供強有力的保障。

完整的工業(yè)控制系統(tǒng)網絡安全保障體系是安全管理和安全技術實施的結合，真正達到信息安全保障目標。安全策略在安全管理體系的設計、實施、維護、改進過程中起著重要的指導作用，是企業(yè)信息安全工作的政策方針。人員、技術和操作三個要素，構成了整個安全管理體系的骨架。安全管理體系建設的文檔體系包括信息安全方針、策略、政策、規(guī)范，實施組織人員管理、資產管理、技術管理和操作運維管理所需的程序、文檔、流程及其他圍繞安全管理體系建設活動的相關文檔。

5 結束語

隨著自動化技術和信息化技術在工業(yè)企業(yè)中的應用越來越廣泛，工業(yè)控制系統(tǒng)網絡所面臨的信網絡安全風險日益突出。工業(yè)控制系統(tǒng)網絡安全防護工作是一項復雜度較高的系統(tǒng)工程，需要考慮到工業(yè)控制系統(tǒng)在企業(yè)生產活動中需要面對各種網絡安全的問題。本文介紹和借鑒了國內外工業(yè)控制系統(tǒng)網絡的發(fā)展情況，在分析工業(yè)控制系統(tǒng)網絡安全性的基礎上，提出“結合行業(yè)特點制定安全框架，先行開展風險評估，培養(yǎng)專業(yè)安全團隊，建立和完善專項管理制度”的工業(yè)控制系統(tǒng)網絡安全應對建議。

參考文獻

[1] IEC 62443.Industrial communication networks-Network and system Security[S].

[2] NIST SP800-82.Guide to Industrial Control Systems （ICS） Security[S].

[3] 工業(yè)和信息化部.2016年工業(yè)控制系統(tǒng)信息安全防護指南[EB/OL]. http：//www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c5346662/content.html.

[4] GB/T.22239-2019.信息安全技術網絡安全等級保護基本要求[S].

[5] GB/T.25070-2019.信息安全技術網絡安全等級保護安全設計技術要求[S].

[6] GB/T.28448-2019.信息安全技術網絡安全等級保護測評要求[S].

[7] 桑圣潔.工控生產網網絡及應用安全研究[J].計算機安全，2014（2）：44-47.

作者簡介：

張翔宇（1977-），男，漢族，江西贛州人，北京郵電大學，碩士，北京賽迪時代信息產業(yè)股份有限公司，信息系統(tǒng)項目高級管理師;主要研究方向和關注領域：數據挖掘、數據安全、工控安全、信息系統(tǒng)架構。

路來順（1985-），男，漢族，河北保定人，燕山大學，學士，北京賽迪時代信息產業(yè)股份有限公司，助理工程師;主要研究方向和關注領域：工業(yè)信息化、工業(yè)網絡技術、計算機安全。