隨著現代計算機技術、通信技術、網絡技術的迅猛發展及與工業控制系統(以下也稱“ICS”系統)的深度融合，極大地提高了工業控制系統的工作效率，但同時也帶來了嚴峻的網絡安全問題。隨著國與國的競爭日益激烈和黑客水平的不斷提高，網絡攻擊已經不僅僅以獲取經濟利益為目的，近年來還呈現出以破壞敵對國家基礎設施和能源供給的趨勢，通過不斷滲透或潛伏到電力、能源、鐵路、化工、冶金、智能制造等領域的工業控制系統，展開具有針對性的破壞攻擊活動。因此，世界各國均正努力采取措施用以加強工業控制系統的安全，強化其網絡系統的防護能力，變被動防御為主動防御，構造有足夠縱深的立體化網絡防護體系，力爭將網絡攻擊造成的損失降低到最小。

本文通過介紹工業控制系統的安全現狀和安全挑戰，討論工業控制系統自身潛在的風險和可能導致入侵的薄弱環節，分析工業控制系統發生安全事件帶來的影響，并結合國內現有的安全標準規范提出一些應對風險的可行性實踐措施。

一、ICS系統的現狀與挑戰

1 . ICS系統的安全現狀

在工業控制技術和設備方面，由于國內尚未掌握工業控制核心技術，工業控制技術和設備主要由西門子、施耐德、羅克韋爾等國際廠商主導工業控制技術的發展和占領大部分的工業控制領域市場。工業生產企業選擇設備供應商后，在運行維護和設備升級更換等多方面面臨被工業設備廠商控制，無法輕易更換的局面。

在工業控制系統安全建設方面，工業控制網絡普遍是絕對“物理隔離”為核心安全手段的獨立工業控制系統，在安全防護上普遍處于缺乏狀態。隨著兩化融合和智能制造在我國相關領域的探索，以及云計算、大數據和人工智能等新一代信息技術的迅速發展，新技術的應用使得原來封閉的工業控制系統網絡越來越開放，尤其是“兩化融合”的深入以及“中國制造2025”等戰略的推進，工業控制系統開始逐漸開始采用以太網、通用協議、無線設備、遠程配置等。OT生產系統和IT辦公管理系統開始進行連接以提升生產效率，這一過程切實地提升了業務生產水平，但是在互聯互通、縱向集成等新的生產模式下，工業控制系統正逐漸暴露于互聯網中，對應的安全建設跟不上，工業控制系統下的安全問題所包含的軟件隱患、網絡邊界隱患、環境和硬件隱患等問題，以及工業控制系統的網絡安全協議問題，如操作系統的落后、補丁的更新不及時、緩沖區溢出問題、拒絕服務漏洞、關鍵設備沒有冗余備份，不安全的遠程訪問ICS組件等問題帶來的安全隱患問題開始不斷顯現。

在該類型探索中進展最大的智能制造工廠往往采用傳統IT系統邊界網關防護設備對IT、OT網絡進行邏輯隔離，但策略設置上缺乏經驗，控制粒度上設備能力不足，尤其是OT網絡內部缺乏保護，導致保護深度不到位，保護廣度不足與網絡安全保護相關要求仍存在較大的差距。

2 . ICS系統的安全挑戰

(1)針對ICS系統安全事件頻發

根據權威工業安全事件信息庫RISI的披露，針對工業控制系統網絡攻擊行為增長明顯，而且針對工業控制系統的網絡攻擊更多的發生在電力、能源、水利和交通等重要行業和領域。

◇ 2010年，伊朗布什爾核電站感染“震網(Stuxnet)”病毒，嚴重威脅核反應堆安全運營，摧毀了伊朗濃縮鈾工廠五分之一的離心機，導致該國的核工業進程遭到重大影響。

◇ 2014年，德國境內的鋼鐵廠遭遇到網絡黑客攻擊，惡意軟件攻擊了工廠鋼鐵熔爐控制系統，讓鋼鐵熔爐無法正常關閉，導致遭受到“大規?！蔽锢砥茐?。

◇ 2015年，烏克蘭電網遭“Black Energy(黑暗力量)病毒”攻擊，受影響家庭70萬戶，成為有史以來首次導致大規模停電的網絡攻擊。

◇ 2017年，WannaCry勒索病毒蔓延全球，感染了150個國家的30多萬臺計算機，中石油公司超過2萬座加油站遭受到攻擊，在斷網約36小時左右才慢慢恢復。

◇ 2018年，臺積電遭受WannaCry病毒攻擊，使其工廠生產線受損，預計損失10多億元人民幣。

◇ 2019年，委內瑞拉國內發生全國范圍的大規模停電，導致全國交通癱瘓，地鐵系統關閉，醫院手術中斷，通訊線路中斷，給委內瑞拉帶來了重大損失。

除此之外，各大安全攻防研究機構還先后提取了火焰病毒、sandworm病毒、格盤病毒、“方程式”組織病毒庫、red October病毒、Cleaver系列病毒等一系列工業控制網絡病毒，工業控制系統的安全形勢是十分嚴峻。

(2)工業控制系統面臨嚴重威脅

工業控制系統面臨的嚴重威脅主要包括外部威脅和內部威脅兩大方面。其中外部威脅方面，工業控制系統主要面臨的是網絡攻擊的威脅，我們通過對一些客戶網絡中的攻擊分析發現，目前對工控系統的攻擊主要還是在系統信息收集以及工業控制數據篡改;而根據相關網絡安全調查結果顯示，大多的安全威脅來自組織內部，包括無意識的外部風險引入，第三方維護人員的威脅，管理制度漏洞、安全策略無法有效落地等內部因素。

(3)國內外對ICS防護高度重視

工業控制系統脆弱的安全狀況以及面臨的日益嚴重的攻擊威脅，已經引起了國家的高度重視，甚至提升到國家安全戰略的高度，在政策、標準、技術等方面展開了積極應對。德國提出“德國工業4.0戰略”，美國提出“先進制造業國家戰略計劃”，日本和英國也分別提出“制造業白皮書”和“英國工業2050戰略”等概念。

我國政府對于工業控制系統的安全性予以高度重視，先后出臺了多項政策、標準和指導意見，對工業控制網絡安全提出了重要的建設性意見和指導標準，并強調了工業控制網絡安全的戰略地位。國家發展和改革委員會2010年起開始組織信息安全專項，將工業控制系統安全問題作為獨立領域重點支持。2011年年底，工信部下發《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號)的通知，強調加強工業信息安全的重要性、緊迫性。國家發展和改革委員會也開始從政策和科研層面上積極部署工業控制系統的安全保障工作，研究和制定相關規范及要求，其中對電力行業、石油石化行業、煙草行業及先進制造業的規范尤為突出。2015年，隨著“互聯網+”、“中國制造2025”等國家戰略方針的出臺，隨著“兩化融合”政策的深入推進，國內工業控制網絡的網絡化、智能化水平快速提高。2016年4月19日，習近平總書記在中央網絡安全和信息化工作座談會上發表了重要講話，進一步表明工控行業的相關問題已經上升到國家高度。李克強總理在2017年政府工作報告中強調“深入實施《中國制造2025》，加快大數據、云計算、物聯網應用，以新技術新業態新模式，推動傳統產業生產、管理和營銷模式變革?！?/span>

二、ICS系統安全風險分析

1 . 發電行業ICS系統安全風險分析

(1)SIS系統與電氣系統、鍋爐汽輪機系統等所有發電控制系統連接在一區，無分區分域設計，并且缺乏安全防護措施，其中一個系統受到破壞，面臨著所有發電控制系統受到破壞的風險;

(2)電氣系統、鍋爐汽輪機等系統的操作員站、工程師站等大多采用Windows的操作系統，長期不更新系統補丁且無任何防病措施，面臨感染病毒的風險;

(3)大多電廠的發電控制系統通過OPC協議和上層管理系統通訊，很多電廠中用來做邏輯隔離的防火墻不支持OPC動態端口機制，導致安全控制策略無法有效實施;

(4)多數電廠未明確網絡安全管理機構，網絡安全管理人員職責分工不明確、安全意識缺乏，網絡安全管理制度體系缺失或不完善。

2 . 軌交行業ICS系統安全風險分析

(1)軌道交通采用控制系統通信協議自身存在漏洞，黑客可利用漏洞對相關工業控制系統發送非法控制命令;

(2)軌道交通采用控制系統工業協議廣泛，如西門子、和利時等PLC、DCS等協議均缺乏身份認證機制，面臨著被非法控制的風險;

(3)工業控制系統中的工程師站、操作員站以及部分服務器均采用Windows系統，而且很多還是早期的Windows XP系統、Windows 2000系統，微軟官方早已停止漏洞和補丁更新，面臨著漏洞被利用風險;

(4)主機外聯接口如USB接口無管控，U盤、光盤隨意使用;擔心殺毒軟件誤殺業務程序影響業務連續性，幾乎無防病毒措施，面臨著引入病毒攻擊風險;

(5)IT和OT網絡責任主體不清楚，安全管理和運維相對混亂，沒有專門為工業控制系統設計網絡安全管理方面的管理部門和工作流程。

3 . 煙草行業ICS系統安全風險分析

(1)目前多數卷煙廠均建有MES系統，業務上需要MES系統和各車間工業控制系統互聯，但管理網絡與生產網絡之間、生產網絡生產區與控制區之間缺乏必要的隔離控制措施，缺乏有效的訪問控制和安全防護手段，導致辦公網中安全風險極易傳播到生產網;

(2)大多卷煙廠的工業控制系統缺乏安全審計檢測類產品，無法對工業控制網絡進行威脅感知和故障檢測，不能及時發現工業網絡中的異常行為及入侵行為，并進行及時處理;

(3)制絲集控系統中幾乎所有主機在病毒防護方面做的并不到位，工控上位機大多數處于“裸奔”狀態，很多都沒有安裝統一的防病毒軟件，即便安裝了防病毒軟件，病毒庫也未及時更新，實際病毒木馬的防護相當脆弱;

(4)部分卷煙廠沒有制訂完善的工業控制系統安全政策、管理制度，以及對人員的安全意識培養缺乏，造成人員的安全意識淡薄。

4 . 共性安全風險分析與確認

通過對電力、城市軌道交通、煙草等行業工業現場安全隱患的調研與分析，我們發現目前工業控制系統中存在多方面的風險。

(1)安全邊界模糊無分層分區設計

大多數行業的工業控制系統各子系統之間沒有安全隔離防護，未根據區域重要性和業務需求對工業控制網絡進行安全區域劃分，網絡和區域邊界不清晰，邊界訪問控制策略缺失，重要網段和其他網段之間缺少有效的隔離手段，一旦出現網絡安全事件，安全威脅無法控制在特定網絡區域內。

(2)對ICS系統多種漏洞缺乏應對

◇ 工控設備漏洞

工業控制系統安全的價值已經被普遍認可，在這樣的背景下，從2010年“震網病毒”事件開始針對工控設備的漏洞挖掘成果大量被披露，設備現場的漏洞，通過網絡、外設等方式被順利利用后，將導致系統過載、設備故障停擺等嚴重影響，從而影響企業的整體安全生產。

例如，以目前在油氣田中普遍使用的Siemens S7-300 PLC為例，作為市場占有率極高的一款工業控制設備，其漏洞數量多、影響大，且在現場普遍未被修復。

◇工控協議漏洞

工業控制協議主要傳輸的各類協議的指令碼，使用之初未采用TCP/IP，在工業網絡的以太網化過程中，協議也基于TCP/IP協議族做了重新設計，而這一過程，僅僅將工業控制指令作為TCP/IP的數據載荷在進行傳輸封裝，缺乏安全性考慮，導致存在大量的漏洞可被利用。

例如，在數據監控與采集中經常應用的OPC Classic協議(OPC DA, OPC HAD和OPC A&E)基于微軟的DCOM協議，而DCOM協議是在網絡安全問題被廣泛認識之前設計的，極易受到攻擊;并且，OPC通訊采用不固定的端口號，導致目前幾乎無法使用傳統的安全設備來確保其安全性。

圖 工業控制系統各工控協議漏洞占比圖

◇工控軟件漏洞

由于工業應用軟件多種多樣，很難形成統一的防護規范以應對安全問題;另外當應用軟件面向網絡應用時，就必須開放其應用端口，因此常規的IT安全設備很難保障其安全性。

例如，以常見的工業應用GE IFIXv5.0為例，GE IFIX公開披露漏洞8個，其中包含高危漏洞1個(CNVD-2013-14823，遠程緩沖區溢出漏洞。成功利用后可使攻擊者在受影響應用上下文中執行任意代碼)。

◇操作系統漏洞

目前企業的工程師站/操作員站/HMI都是基于Windows平臺的Windows XP及Windows7操作系統。由于傳統上一般認為工業控制主機是在隔離的“安全環境”中，又要保證上位機上各類工控軟件的穩定運行，通?，F場工程師在系統開始運行后便不會對Windows平臺安裝任何補丁。不安裝補丁系統就存在更多被攻擊的可能，從而埋下安全隱患。目前工業控制系統經常出現的誤中勒索病毒及“礦機病毒”事件，利用的多數都是已經提供補丁的漏洞，其影響之大可見一斑。

(3)對ICS系統缺乏控制隔離機制

部分先進制造企業的工業控制系統和辦公網絡在同一個物理網絡中，隔離機制僅僅依賴不具備工業系統防護技術的傳統防火墻，無法覆蓋當前多個生產區域的實際環境，也導致實際應用中的許多控制網絡都是“敞開的”，不同的生產區域、不同的子系統之間都沒有有效的隔離。一旦發生攻擊，沒有有效的阻斷機制和隔離機制將難以遏制攻擊擴散造成嚴重的影響。

(4)病毒與入侵行為防護能力不足

為了保證工控應用軟件的可用性，許多石油煉化控制系統操作員站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于使用殺毒軟件很關鍵的一點是，其病毒庫需要不定期的經常更新，這一要求尤其不適合于工業控制環境。而且殺毒軟件對新病毒的處理總是滯后的，導致每年都會爆發大規模的病毒攻擊，特別是新病毒。

(5)缺少新型未知威脅的防控方法

在應對各類已知問題和現有網絡設計缺陷帶來的風險的同時，還必須充分應對各類基于0-day漏洞的APT攻擊。

工業安全領域存在極為嚴重的信息的不對稱，工業控制系統中的問題往往難以被察覺，且普遍存在攻擊事件未被披露的情況，導致大量的安全防護知識未能被利用。這一背景，也導致了在工業環境中有更多可被輕易利用的0-day漏洞，未知威脅攻擊在工業互聯網越來越多，打通工業控制系統與互聯網絡邊界的未來，將成為企業工業控制系統安全防護的重點課題之一，而企業目前針對工業控制系統未知威脅的防護還是空白。

(6)安全管理流程上不夠重視安全

追求可用性而不注重安全性，是目前工業控制系統中存在的普遍現象，缺乏完整有效的安全策略與管理流程也給工業控制系統信息安全帶來了一定的威脅。例如在多個網絡事件中，事由都源于對多個網絡端口進入點疏于防護，包括USB鑰匙、維修連接、筆記本電腦等。

三、ICS系統安全解決之道

在工業控制系統的安全建設中，可通過“分層分區、本體保護、智能分析和集中管控”的原則進行安全防護設計，解決以上工業控制系統提到一些共性網絡安全問題。

分層分區：依據“垂直分層，水平分區”的思想對工業控制系統進行細致的安全區域劃分，同時根據不同區域的安全防護需求特點分級別、分重點落實安全措施。

本體保護：工業控制系統中的各個模塊均應實現自身的安全。同時，在條件不具備的條件下將各模塊本體作為安全防護的單元，應用必要的安全技術、管理手段和應急措施。

智能分析：在構筑安全架構的基礎上，通過對AI技術、自動化技術實現對網絡行為中新型未知威脅的挖掘，通過智能化的策略建議提供更高的安全防護水平。

集中管控：對部署的安全防護技術手段應在系統范圍內進行集中管控，將各個孤立的安全模塊提供的安全能力整合成協同工作的安全防護體系。

1 . 分層分區結構設計

對工業控制系統進行安全保護的有效方法就是分層分區，把具有相似特點的信息資產集合起來，進行總體防護，從而可更好地保障安全策略的有效性和一致性。參考《網絡安全等級保護基本要求》(GB/T 22239-2019)和IEC62264《工業過程測量、控制和自動化 網絡與系統信息安全》系列標準，按照“縱向分層，橫向分區”的原則，對工業控制系統進行分層分區，并將不同的生產線進行邏輯隔離。

圖 工業控制系統分層分區保護架構模型圖

如上圖所示，“縱向分層、橫向分區”即對工業控制系統垂直方向化分為5層：現場設備層、現場控制層、過程監控層、生產管理層和企業資源層。橫向分區指各工業控制系統之間應該從網絡上隔離開，處于不同的安全區。橫向上對工業控制系統進行安全區域的劃分，根據工業控制系統中業務的重要性、實時性、資產屬性等，劃分不同的安全防護區域。一個網絡安全區域可以包括多個不同等級的子區域，也可以包括一個或多個功能層次的設備。

2 . 安全防護重點實施

(1)工業控制系統網絡隔離

在IT辦公網和工業控制網絡之間部署安全隔離網閘，進行技術隔離和數據交換，安全隔離網閘的隔離技術采用固態開關讀寫介質連接兩個獨立主機系統，剝離了網絡協議，規避了基于網絡傳輸協議、工業控制協議的攻擊和入侵。當然，對于安全要求不太高的工業控制系統，在IT辦公網和工業控制網絡之間也可部署防火墻進行網絡隔離。

(2)通信傳輸安全防護

在工業控制系統中，一般采用加密技術或其他有效的技術手段保證通信數據傳輸的安全。在生產管理層和過程監控層中通常采用IPSec、SSL或RPC等技術的VPN網關技術保證通信過程中數據傳輸的完整性，實現通信網絡和非現場總線網絡數據傳輸的完整性保護。對數據傳輸實時性要求較高的現場總線網絡，通常采用能滿足實時性要求的物理保護機制或數據加密方式，以適應現場總線報文小、時延短的特點。

(3)通信網絡異常檢測

工業控制系統中通信網絡異常監測主要通過在現場控制層的網絡部署入侵防護設備或采用相應的檢測技術措施，對不同的通信網絡異常監測對象進行檢查和管控，對異常情況進行捕獲并報警;部署流量監控軟件，對現場總線的流量進行監控，對惡意流量進行阻斷;可在網絡邊界部署工控異常監測系統進行惡意代碼的防范，以及監測網絡的異常情況。

(4)控制設備自身安全

工業控制系統里大量使用工業主機進行控制操作和監控，這些主機都使用通用操作系統尤其是Windows系統存在大量漏洞，很容易被病毒感染，目前保護這類工業控制主機的方法有兩種：安裝防病毒軟件、或者使用基于進程白名單技術的防護軟件。由于防病毒軟件占用資源較多、也存在病毒庫升級不便的問題，在工業環境里，更多的推薦使用基于進程白名單技術的防護軟件針對工業主機的病毒感染和入侵防范，并實現對光盤、USB接口、串行口等監控管理和外設接入控制管理。

(5)集中管控

在工業控制系統中，一般通過部署運維管理系統、態勢感知系統和日志審計系統，對工業控制網絡中部署的安全防護措施進行集中管控，對用戶的真實身份進行統一管理，對工業控制網絡中的日志進行統一收集和存儲，將孤立的安全能力整合成協同工作的安全防護體系。

(6)安全審計

在工業控制系統中，一般通過在生產管理層和過程監控層的不同區域分布部署工業控制系統信息安全監測和審計系統進行安全審計，實現上下位系統的安全審計、工業控制系統報警審計、上下位機通信協議的審計、程序異常行為檢測及審計、審計報表的生成等功能。

(7)應急響應機制

隨著入侵技術的復雜性、隱蔽性越來越高，對于系統安全事故的處理不能只停于解決故障上，而應該要分析原因，查清入侵來源，提高整個工業控制系統安全水平。有條件的工業生產企業應建立安全事件響應團隊和機制，在突發的安全事件中能夠應急響應，迅速處理被破壞的系統和網絡，消除入侵隱患。

(8)網絡安全培訓

鑒于近年來入侵技術的升級，以及部分工業生產企業相關安全人員安全意識淡薄以及技術存儲不足，可進行網絡安全意識和網絡安全技術培訓。

◇ 信息安全意識培訓

通過大量的當前典型安全事件導入，從感性認知層面對目前的信息安全威脅給予形象的描述，能對當前的網絡安全威脅形成深刻的認識。同時通過對日常工作、生活中經常用到的一些安全威脅進行分析，最終協助建立起適合個人、企業的用戶行為基準。

◇ 信息安全技術培訓

面向工業生產企業網絡安全技術類用戶，例如安全管理員和審計管理員等，通過培訓讓其在網絡層面、系統層面及應用層面上了解常見網絡安全攻防原理和技術，掌握常見的攻擊防護方法。

四、總結

工業控制系統網絡安全是綜合了網絡安全技術與自動化技術的產物，應充分借鑒傳統IT網絡安全經驗，并考慮工業控制自身的特點，將傳統IT網絡安全的技術融合到工業控制領域建設工業控制系統的網絡安全保障體系。

來源：工業菜園