◆徐偉 孔堅 毛慶梅 黃東華

工業(yè)控制系統(tǒng)安全現(xiàn)狀及應對策略

◆徐偉1孔堅2毛慶梅2黃東華3

（1.中國科技大學 安徽 230001；2.北京奇安信科技集團股份有限公司 北京 100000；3.北京雙湃智安科技有限公司 北京 100000）

工業(yè)控制系統(tǒng)具有重要的作用，近年來，其信息安全問題受到人們的廣泛關注。本文分析了工業(yè)控制系統(tǒng)的安全現(xiàn)狀，指出了聯(lián)網(wǎng)工控設備持續(xù)增加、公開漏洞數(shù)量持續(xù)增加和安全事件頻發(fā)等問題，并提出了部署基本安全防護措施和多方配合構建多級聯(lián)動機制的安全策略建議。

工業(yè)控制系統(tǒng)；信息安全；策略建議

工業(yè)控制系統(tǒng)（ICS）是指用于操作、控制、輔助自動化工業(yè)生產過程的設備、系統(tǒng)、網(wǎng)絡以及控制器的集合，包括數(shù)據(jù)監(jiān)控與采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、智能終端、人機交互接口（HMI）等系統(tǒng)。工業(yè)控制系統(tǒng)關系著工廠生產、電網(wǎng)、能源、水處理等國家關鍵基礎設施的運行，在國民經濟中具有作用。

近年來，在工業(yè)企業(yè)轉型升級、工業(yè)4.0、工業(yè)互聯(lián)網(wǎng)等技術浪潮的推動下，工業(yè)控制系統(tǒng)的對外連接性日益增加，在提高效率、促進創(chuàng)新的同時，也顯著增加了工業(yè)控制系統(tǒng)所面臨的網(wǎng)絡安全威脅。

工業(yè)控制系統(tǒng)原本是為封閉環(huán)境設計的，一般采用專用的通信協(xié)議，與其他網(wǎng)絡物理隔離，即使是與企業(yè)的內部信息網(wǎng)絡也一般也不直接連接，因此在設計過程中主要考慮了可靠性和物理安全問題，對于網(wǎng)絡安全問題考慮相對較少，許多工業(yè)控制協(xié)議缺乏基本的加密和認證措施，工業(yè)主機一般部署陳舊的操作系統(tǒng)且不安裝殺毒軟件，安全防護措施匱乏。

與傳統(tǒng)的信息系統(tǒng)不同，工業(yè)控制系統(tǒng)是網(wǎng)絡空間和物理空間的重要紐帶，一旦發(fā)生網(wǎng)絡安全事件，不僅會造成信息的損壞和丟失，還可能會造成人員生命健康損害、環(huán)境破壞等物理世界的實際損害，因此會造成更嚴重的經濟損失和社會影響。類似的安全事件已經很多，2010年震網(wǎng)病毒襲擊伊朗核原料加工廠，造成1000多臺離心機損壞[1]；2015年底，烏克蘭電網(wǎng)網(wǎng)絡攻擊事件造成烏克蘭大面積停電[2]；2019年發(fā)生的委內瑞拉停電事件據(jù)說也與網(wǎng)絡攻擊有關，大規(guī)模停電事件加劇了委內瑞拉的政局動蕩。

因此，分析目前的工業(yè)控制系統(tǒng)安全狀態(tài)，并有針對性地提出加強工業(yè)控制系統(tǒng)安全的策略和建議，具有重要的理論和現(xiàn)實意義。本文將從工業(yè)控制系統(tǒng)安全狀態(tài)分析和安全對策建議兩個方面展開討論。

1 工業(yè)控制系統(tǒng)安全現(xiàn)狀與趨勢

1.1 工業(yè)控制系統(tǒng)安全現(xiàn)狀與趨勢

將工業(yè)控制系統(tǒng)直接暴露在互聯(lián)網(wǎng)上存在較大的安全隱患，但由于業(yè)務需求，仍有很多此類設備和系統(tǒng)直接暴露在互聯(lián)網(wǎng)上，這存在一定的信息安全隱患，因此，排查清楚哪些工業(yè)控制系統(tǒng)相關設備連接互聯(lián)網(wǎng)，其數(shù)量呈現(xiàn)怎樣的變化趨勢是一個比較現(xiàn)實的問題。

互聯(lián)網(wǎng)范圍內的掃描是了解ICS暴露情況的有效手段，目前國內外都已經出現(xiàn)了多個這樣的掃描平臺。這些掃描平臺一般會對互聯(lián)網(wǎng)地址空間內的所有ip地址進行枚舉和掃描，以確定互聯(lián)網(wǎng)上存在哪些活躍的設備和應用。國外的掃描平臺主要有Censys和Shodan。Censys是美國密歇根大學開發(fā)的一個掃描平臺，其掃描范圍包括5個常用的ICS協(xié)議，該掃描平臺不僅公開分享其掃描源代碼，還公布了其2015年到2018年間的所有掃描結果的原始數(shù)據(jù)（2018年以后該公司改為商業(yè)化運營，不再公布其掃描結果的原始數(shù)據(jù)）。Shodan是一個商業(yè)化的掃描平臺，致力于開展物聯(lián)網(wǎng)設備的掃描，其掃描范圍也包括一些ICS協(xié)議。國內此類的掃描平臺主要有東北大學的“諦聽”和知道創(chuàng)宇公司的“鐘馗之眼”掃描平臺。

為了研究全球范圍內聯(lián)網(wǎng)ICS設備數(shù)量的變化趨勢和分布情況，我們以Censys公布的2015年到2017年底的掃描數(shù)據(jù)為依據(jù)，對該平臺掃描范圍內的5種常用的工控協(xié)議：Modbus、S7、DNP3、BACNet和Tridium Fox協(xié)議的聯(lián)網(wǎng)設備數(shù)量進行了分析，分析發(fā)現(xiàn)，使用這五種協(xié)議的ICS聯(lián)網(wǎng)設備數(shù)據(jù)呈現(xiàn)逐年增加的趨勢，如圖1所示，這5種協(xié)議暴露設備總數(shù)從61736 上升到67942，增?幅度達11.48%[3]。

圖1 全球聯(lián)網(wǎng)工控設備的數(shù)量變化趨勢

圖2 中國聯(lián)網(wǎng)工控設備的數(shù)量變化趨勢

由于工業(yè)化進程的快速推進，我國聯(lián)網(wǎng)工控設備的數(shù)量也呈現(xiàn)逐年增加的趨勢，且增長率高于全球平均水平。從圖2可以看出，我國使用此 5種工控協(xié)議的聯(lián)網(wǎng)設備數(shù)量也呈現(xiàn)逐年增加的趨勢。

1.2 工業(yè)控制系統(tǒng)相關公開漏洞持續(xù)增加

近年來，隨著技術的發(fā)展，工業(yè)控制系統(tǒng)相關軟硬件功能日益豐富，對外連接也逐漸增加，對傳統(tǒng)的IT系統(tǒng)的通信協(xié)議、操作系統(tǒng)和基礎組件的依賴性也逐漸提高，工業(yè)控制系統(tǒng)相關的公開漏洞逐漸增加。國內外的相關漏洞信息平臺也都開始關注工控系統(tǒng)的漏洞，且多個相關公開平臺都顯示工控系統(tǒng)相關的公開安全漏洞數(shù)量近年來呈現(xiàn)逐年增加的趨勢。

國家信息安全漏洞共享平臺（China National Vulnerability Database，簡稱CNVD）對于工控系統(tǒng)的漏洞非常重視，在其公布的漏洞列表中專門設立了“工控系統(tǒng)”這一分支，公布相關的漏洞信息。圖3是CNVD公布的工控系統(tǒng)漏洞數(shù)據(jù)，從圖中可以看出，每年公開漏洞數(shù)量雖有波動，但整體呈現(xiàn)增加的趨勢（統(tǒng)計日期：2020年11月7日）[4]。

圖3 CNVD公布的工控系統(tǒng)漏洞數(shù)量

美國國土安全部網(wǎng)絡安全與關鍵基礎設施安全局（Cybersecurity & Infrastructure Security Agency，簡稱CISA）下設工業(yè)控制系統(tǒng)網(wǎng)絡應急響應小組（The Industrial Control Systems Cyber Emergency Response Team，簡稱ICS-CERT）專門負責工業(yè)控制系統(tǒng)的網(wǎng)絡安全事務，ICS-CERT定期公布ICS的安全漏洞（統(tǒng)計日期：2020年11月7日），圖2展示的是ICS-CERT于2010年到2018年公布的漏洞建議的數(shù)量，可以看出，ICS-CERT公開的漏洞數(shù)量也呈現(xiàn)逐年增多的趨勢[5]。

圖4 ICS-CERT公布的ICS安全漏洞數(shù)量

1.3 工業(yè)控制系統(tǒng)網(wǎng)絡安全事件頻發(fā)

工業(yè)控制系統(tǒng)的網(wǎng)絡安全事件主要有兩個來源，分別是針對性網(wǎng)絡攻擊和非針對性網(wǎng)絡安全威脅，針對性網(wǎng)絡攻擊主要來有組織的網(wǎng)絡黑客或心懷不滿的內部工作人員，以造成企業(yè)經濟損失、獲取經濟利益或造成負面影響為目的；非針對性網(wǎng)絡攻擊主要是工業(yè)控制系統(tǒng)感染病毒、木馬、勒索軟件、挖礦軟件等通用的、非指向性的惡意軟件，可能會造成通信中斷、處理速度下降、控制過程中斷、數(shù)據(jù)加密丟失、生產故障或停產等。

工業(yè)控制系統(tǒng)相關的網(wǎng)絡安全事件也呈現(xiàn)持續(xù)高發(fā)的趨勢，美國ICS-CERT在其2010年到2016年的年度報告中，公布了其年度內收到的工業(yè)控制系統(tǒng)網(wǎng)絡安全事件報告數(shù)量，在2017年以后的年度報告中不再公布此項數(shù)據(jù)，從圖中可以看出，ICS-CERT收到的ICS安全事件報告數(shù)量呈現(xiàn)逐年增加的趨勢[6]。

圖5 ICS-CERT報告的ICS安全事件數(shù)量

發(fā)生在工業(yè)領域的網(wǎng)絡安全事件與傳統(tǒng)的IT系統(tǒng)安全事件具有顯著的差異。傳統(tǒng)的IT系統(tǒng)安全事件一般會造成數(shù)據(jù)的丟失或損壞，進而造成一定的經濟損失。而工業(yè)企業(yè)和工業(yè)控制系統(tǒng)的安全事件則會直接造成物理損害，這些物理損害包括停工停產、設備損壞、人員傷亡和環(huán)境破壞，這些物理損害還會直接造成巨額經濟損失，甚至可能會對人民生活、國家安全和社會穩(wěn)定造成負面影響，因此，工業(yè)控制系統(tǒng)網(wǎng)絡安全事件的損失更大、影響更深遠。下面我們就列舉一些具有代表性的安全事件供大家參考。

（1）2000年，澳大利亞昆士蘭新建的馬盧奇污水處理廠控制系統(tǒng)，受到控制系統(tǒng)供應商前員工的網(wǎng)絡攻擊，造成100多萬升未經處理的污水直接排放到附近的河流和水系中。

（2）2008年，波蘭一名14歲的學生通過改裝的電視遙控器入侵了當?shù)氐挠熊夒娷嚳刂葡到y(tǒng)，導致四輛有軌電車脫軌并緊急停車，事故共造成12人受傷。

（3）2010年，震網(wǎng)病毒在全球大規(guī)模擴散，感染了伊朗布什爾核工廠的控制系統(tǒng)，導致1000余臺離心機遭到不可修復的破壞。

（4）2015年底，烏克蘭電網(wǎng)遭受網(wǎng)絡攻擊，導致首都基輔以及烏西部地區(qū)約140萬（225000戶）居民遭遇了一次長達數(shù)小時的大規(guī)模停電。

（5）2017年5月12日晚開始，WannaCry勒索病毒席卷全球，至少150個國家、30萬名用戶感染，部分工業(yè)企業(yè)也感染這種病毒，此次事件造成的經濟損失高達80億美元。

（6）2018年8月3日，全球芯片代工龍頭企業(yè)臺積電感染勒索軟件，造成大面積停產，造成了高達19億元的經濟損失。

（7）2019年，委內瑞拉政局動蕩期間，其古水里電站控制系統(tǒng)遭受網(wǎng)絡攻擊，導致多次發(fā)生大規(guī)模停電。

2 加強工業(yè)控制系統(tǒng)安全策略

對于不同來源的工業(yè)控制系統(tǒng)安全威脅，需要有不同的處置方式，總體來說就是“補齊短板、多級聯(lián)動”，對于非針對性的安全威脅，只要補齊工業(yè)控制系統(tǒng)的安全防護中的“短板”，構建基本的安全防護措施，就可以有效緩解；對于有組織的針對性網(wǎng)絡攻擊，則需要借鑒在新冠肺炎疫情防控過程中采用的“聯(lián)防聯(lián)控”思路，構建“多級聯(lián)動”安全監(jiān)測體系才能有效應對。

2.1 企業(yè)部署基本的安全防護措施

工業(yè)企業(yè)只要部署基本的安全防護措施，構建基本安全管理流程，就可以有效防止大部分的病毒蠕蟲感染和非針對性安全威脅，雖然這些基本防護措施無法有效應對針對性網(wǎng)絡攻擊，但也可以大大增加其攻擊成本。

（1）終端安全方面，在條件允許的工作站中部署具有病毒防護、補丁修復等功能的終端安全防護組件，在條件不允許的工作站中部署采用應用程序白名單機制的終端安全防護組件，防止病毒木馬的感染和運行。

（2）網(wǎng)絡安全方面，在工業(yè)控制系統(tǒng)的入口、不同網(wǎng)絡之間的關鍵節(jié)點部署防火墻、入侵檢測系統(tǒng)、入侵防護系統(tǒng)或安全監(jiān)測系統(tǒng)。

（3）安全管理方面，構建企業(yè)級安全運營中心，將企業(yè)的IT網(wǎng)絡和ICS網(wǎng)絡的安全數(shù)據(jù)集中起來，進行集中統(tǒng)一管理并開展比對分析。

2.2 多方配合構建多級聯(lián)動機制

對于有組織的針對性網(wǎng)絡攻擊，也稱為高級持續(xù)威脅（簡稱APT），很難做到萬無一失，只能在攻防博弈的動態(tài)平衡中盡量獲得優(yōu)勢，通過高效的攻擊檢測技術和應急響應機制盡可能降低網(wǎng)絡攻擊造成的損失，也就是說無法做到“絕對的安全”。國外有一種說法叫作“世界上只有兩種公司，已經被網(wǎng)絡攻擊的公司和不知道被網(wǎng)絡攻擊的公司?！绷暯街飨?19講話中也強調要樹立動態(tài)的、相對的安全觀。單純依靠企業(yè)的基本的安全防護措施無法有效應對有組織的針對性網(wǎng)絡攻擊，而工業(yè)控制系統(tǒng)與國家關鍵基礎設施密切相關，關系著國家安全和社會穩(wěn)定，需要國家相關部門、行業(yè)組織、供應商、網(wǎng)絡信息安全企業(yè)和工業(yè)企業(yè)協(xié)同配合，共同維護其安全穩(wěn)定運行。

不同參與方應當按照下圖所示的方式開展信息交流與協(xié)同配合：

（1）工業(yè)企業(yè)在其IT網(wǎng)絡和OT網(wǎng)絡中部署基本安全防護組件，在重要網(wǎng)絡節(jié)點部署防火墻和流量監(jiān)測設備，并在企業(yè)內部構建企業(yè)安全運營中心集中進行安全數(shù)據(jù)的采集和分析對比，將關鍵安全信息上報給上級政府態(tài)勢感知平臺。

（2）工控系統(tǒng)集成商或原廠需要在提供相關產品或集成服務時構建相對應的應急響應機制與方案，并對企業(yè)提供安全服務。

（3）網(wǎng)絡信息安全企業(yè)廣泛收集威脅并積累威脅情報，為工業(yè)企業(yè)、工控系統(tǒng)集成商或原廠、政府機構提供實時威脅情報和風險事件通報，并為工業(yè)企業(yè)、系統(tǒng)集成商和原廠提供安全產品、服務和解決方案。

（4）政府監(jiān)管機構建立安全態(tài)勢感知系統(tǒng)，通過主動網(wǎng)絡掃描探測并收集企業(yè)安全運營中心上報的安全監(jiān)測數(shù)據(jù)，對區(qū)域內的工業(yè)企業(yè)信息安全狀態(tài)和發(fā)展趨勢進行動態(tài)監(jiān)控，政府監(jiān)管機構可以根據(jù)其職能劃分構建國家級、省級和地區(qū)級等多個層級安全態(tài)勢感知系統(tǒng)，形成上下聯(lián)動、協(xié)同配合、信息共享的機制。

圖5 多級聯(lián)動的安全機制

在網(wǎng)絡安全事件的檢測方面，一個企業(yè)發(fā)現(xiàn)某個攻擊特征，通過多級聯(lián)動機制上報給企業(yè)總部的安全運營中心及上級政府監(jiān)管機構態(tài)勢感知系統(tǒng)，再通過信息共享機制在整個體系內實現(xiàn)信息通報和數(shù)據(jù)共享，攻擊者在其他企業(yè)使用同樣攻擊手段再次發(fā)動攻擊時，就會被安全防護系統(tǒng)自動檢測出來，并可以根據(jù)攻擊特征的相似性定位攻擊發(fā)起者，這將大大增加網(wǎng)絡攻擊的檢測效率。

在網(wǎng)絡安全事件應急響應方面，這種多級聯(lián)動的機制將會促進參與各方的協(xié)同配合，優(yōu)化資源配置，促進應急響應團隊的經驗積累，提高其針對性和專業(yè)性，減少處置恢復時間，進而有效降低安全事件造成的后果和影響，有效提高應急響應、事件恢復、調查取證的工作效率，降低網(wǎng)絡攻擊所造成的損失。

3 結束語

本文首先對工業(yè)控制系統(tǒng)的安全狀態(tài)進行了分析，發(fā)現(xiàn)存在聯(lián)網(wǎng)工控設備數(shù)量持續(xù)增加、工控系統(tǒng)相關公開漏洞數(shù)量持續(xù)增加、工控系統(tǒng)網(wǎng)絡安全事件頻發(fā)的情況，通過對安全事件的案例分析發(fā)現(xiàn)，網(wǎng)絡安全事件所造成的損失嚴重，工控系統(tǒng)安全形勢不容樂觀。通過分析，發(fā)現(xiàn)工控系統(tǒng)相關安全事件主要來源于針對性的網(wǎng)絡攻擊和非針對性安全威脅兩個方面，本文提出了“補齊短板，多級聯(lián)動”的安全防護建議，通過在工業(yè)企業(yè)內部構建基本安全防護措施與構建多級聯(lián)動的安全監(jiān)測體系的方式，可以有效緩解當前的嚴峻安全形勢，提高工控系統(tǒng)網(wǎng)絡安全水平。

[1]Langner R. Stuxnet：Dissecting a cyberwarfare weapon[J]. Ieee Secur Priv （0.902），2011，9（3）：49-51.

[2]Liang G，Weller S R，Zhao J，et al. The 2015 ukraine blackout：Implications for false data injection attacks[J].Ieee T Power Syst（3.342），2017，32（4）：3317-3318.

[3]Xu W，Tao Y，Guan X. The Landscape of IndustrialControl Systems （ICS） Devices on the Internet[C]. 2018 International Conference on Cyber Situational Awareness，Data Analytics and Assessment （Cyber SA），2018：1-8.

[4]CNVD. 工業(yè)系統(tǒng)行業(yè)漏洞[EB/OL]. https://ics.cnvd.org.cn.

[5]ICS-CERT. ICS-CERT Advisories[EB/OL]. https://us-cert.cisa.gov/ics/advisories.

[6]ICS-CERT. Other Reports[EB/OL]. https://us-cert.cisa.gov/ics/Other-Reports.

2020年工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展工程