工業控製係統信息安全現狀與發展趨勢分析

摘要：信息化與(yu) 工業(ye) 化深度融合是我國實施製造強國戰略行動綱領《中國製造2025》的戰略任務和重點之一，隨著兩(liang) 化深度融合的快速推進，工業(ye) 控製係統正麵臨(lin) 著的信息安全威脅。文章基於(yu) 工業(ye) 控製係統層次結構以及工業(ye) 安全事件信息庫RISI統計的工業(ye) 控製係統安全事件，對國內(nei) 外工業(ye) 控製係統信息安全問題現狀做了詳細闡述和分析，總結了國內(nei) 外工業(ye) 控製係統信息安全相關(guan) 措施及未來的發展趨勢。

關(guan) 鍵詞：工業(ye) 控製係統；信息安全；兩(liang) 化融合；RISI

1　引言

工業(ye) 控製係統（ICS）是包括監控和數據采集係統（SCADA）、分布控製係統（DCS）等多種類型控製係統的總稱[1]。隨著計算機網絡技術的發展，尤其是工業(ye) 化和信息化的深度融合以及物聯網的快速推進，現代工業(ye) 控製係統已經成為(wei) 電力、石油化工、核工業(ye) 、航天、鐵路、水處理等國家關(guan) 鍵基礎設施領域的核心控製係統、中樞神經。與(yu) 此同時，隨著企業(ye) 管理層對生產(chan) 過程數據的日益關(guan) 注，工業(ye) 控製係統廣泛采用通用軟硬件和網絡設施，以及與(yu) 企業(ye) 管理信息係統的集成，傳(chuan) 統信息網絡所麵臨(lin) 的病毒、木馬、入侵攻擊、拒絕服務等安全威脅已經逐步向工業(ye) 控製係統擴散，工業(ye) 控製係統固有漏洞和攻擊麵日益增加，另外，工業(ye) 控製係統漏洞發現、攻擊技術和攻擊人員能力正不斷增強，工業(ye) 控製係統信息安全形勢越發嚴(yan) 峻。本文在分析工業(ye) 控製係統層次結構及安全因素的基礎上，結合典型工業(ye) 控製係統安全事件，對該領域的現狀及未來發展趨勢做出了詳細闡述和分析。

2　工業(ye) 控製係統層次結構

目前，典型的工業(ye) 控製係統層次結構可分為(wei) 三層：企業(ye) 管理層、數據信息層和現場設備層，如圖1所示。企業(ye) 管理層主要是辦公自動化係統，一般使用通用以太網，可以從(cong) 數據信息層提取有關(guan) 生產(chan) 數據用於(yu) 製定綜合管理決(jue) 策。數據信息層主要是從(cong) 現場層獲取數據，完成各種控製、運行參數的監測、報警和趨勢分析等功能。現場設備層負責通過組態設汁，完成工業(ye) 現場的數據采集、A/D轉換、數字濾波、溫度壓力補償(chang) 、PID控製等各種功能[2]。

圖1 工業(ye) 控製係統層次結構圖

現代工業(ye) 控製係統網絡中大量采用通用TCP/IP技術，ICS網絡和企業(ye) 管理網的越來越緊密。另一方麵，傳(chuan) 統工業(ye) 控製係統采用的硬件、軟件和通信協議，設計上基本沒有考慮互聯互通所必須考慮的通信安全問題。從(cong) 工業(ye) 控製係統的層次結構看，公用網絡連接處均是安全威脅的切入點，傳(chuan) 統工業(ye) 控製係統普遍缺乏有效的工業(ye) 安全防禦及數據通信保密措施。特別是隨著信息化的推動和工業(ye) 化進程的加速，越來越多的計算機和網絡技術應用於(yu) 工業(ye) 控製係統，在為(wei) 工業(ye) 生產(chan) 帶來極大推動作用的同時也帶來了諸如木馬、病毒、網絡攻擊等安全問題。企業(ye) 管理網與(yu) 工業(ye) 控製網的防護功能都很弱或者甚至幾乎沒有隔離功能，因此在工控係統開放的同時，也減弱了控製係統與(yu) 外界的隔離，工控係統的安全隱患問題日益嚴(yan) 峻。

3　工業(ye) 控製係統信息安全現狀

3.1　現狀分析

根據工業(ye) 安全事件信息庫RISI（Repository of Industrial Security Incidents）的統計，截止2011年，已發生200餘(yu) 起針對工業(ye) 控製係統的重大攻擊事件，尤其在2000年之後，隨著通用協議、通用硬件、通用軟件在工業(ye) 控製係統中的應用，對過程控製和數據采集監控係統的攻擊增長了近10倍[3]。

針對工業(ye) 控製係統的攻擊主要威脅其物理安全、功能安全和係統信息安全，以達到直接破壞控製器、通信設備，篡改工業(ye) 參數指令或入侵係統破壞生產(chan) 設備和生產(chan) 工藝、獲取商業(ye) 信息等目的。

對於(yu) 工業(ye) 控製係統破壞主要來自於(yu) 對工控係統的非法入侵，目前此類事件已頻繁發生在電力、水利、交通、核能、製造業(ye) 等領域，給相關(guan) 企業(ye) 造成重大的經濟損失，甚至威脅國家的戰略安全。以下是各行業(ye) 典型的工業(ye) 控製係統（ICS）遭入侵事件。

2000年，黑客在加斯普羅姆（Gazprom）公司（俄羅斯國營天然氣工業(ye) 股份公司）內(nei) 部人員的幫助下突破了該公司的安全防護網絡，通過木馬程序修改了底層控製指令，致使該公司的天然氣流量輸出一度控製在外部用戶手中，對企業(ye) 和國家造成了巨大的經濟損失。

2000年3月，澳大利亞(ya) 昆士蘭(lan) 新建的Maroochy汙水處理廠出現故障，無線連接信號丟(diu) 失，汙水泵工作異常，控製係統被一位前工程師通過一台手提電腦和一個(ge) 無線發射器侵入，控製了150個(ge) 汙水泵站，前後三個(ge) 多月，總計有100萬(wan) 公升的汙水未經處理直接經雨水渠排入自然水係，導致當地環境受到嚴(yan) 重破壞。

2003年，美國俄亥俄州的戴維斯-貝斯（Davis Besse）核電站進行維修時，由於(yu) 施工商在進行常規維護時，自行搭接對外連接線路，以方便工程師在廠外進行維護工作，結果當私人電腦接入核電站網絡時，將電腦上攜帶的SQL Server蠕蟲病毒傳(chuan) 入核電站網絡，致使核電站的控製網絡全麵癱瘓，係統停機將近5小時。

2005年，13家美國汽車廠（尤其是佳士拿汽車工廠）由於(yu) 被蠕蟲感染而被迫關(guan) 閉，50000名生產(chan) 工人被迫停止工作，直接經濟損失超過140萬(wan) 美元[3]。

2006年8月，美國Browns Ferry核電站，因其控製網絡上的通信信息過載，導致控製水循環係統的驅動器失效，使反應堆處於(yu) “高功率，低流量”的危險狀態，核電站工作人員不得不全部撤離，直接經濟損失達數百萬(wan) 美元。

2007年，攻擊者入侵加拿大的一個(ge) 水利SCADA控製係統，通過安裝惡意軟件破壞了用於(yu) 控製薩克拉門托河河水調度的控製計算機係統。

2008年，攻擊者入侵波蘭(lan) 羅茲(zi) （LodZ）市的城市鐵路係統，用一個(ge) 電視遙控器改變了軌道扳道器的運行，導致四節車廂脫軌。

2010年6月，德國安全專(zhuan) 家發現可攻擊工業(ye) 控製係統的Suxnet病毒，截止9月底，該病毒感染了超過45000個(ge) 網絡，其中伊朗為(wei) 嚴(yan) 重，直接造成其核電站推遲發電。

我國同樣遭受著工業(ye) 控製係統信息安全漏洞的困擾，比如2010年齊魯石化、2011年大慶石化煉油廠，某裝置控製係統分別感染Conficker病毒，都造成控製係統服務器與(yu) 控製器通訊不同程度的中斷[5]。

通過相關(guan) 工控事件案例分析可以發現，導致工業(ye) 控製係統安全問題日益加劇的原因有以下幾點。

（1）工業(ye) 控製係統自身有漏洞、防護措施薄弱

工業(ye) 控製係統的設計開發並未將係統防護、數據保密等安全指標納入其中，另外，工業(ye) 控製係統使用的現場控製設備中大量使用了標準的信息網絡技術或產(chan) 品。這些技術和產(chan) 品並沒有針對工控係統的應用環境進行優(you) 化和專(zhuan) 門設計，導致為(wei) 工控係統引入了大量的漏洞。經統計，相關(guan) 廠商設備漏洞中，羅克韋爾自動化公司相關(guan) 設備高危漏洞4個(ge) ，西門子公司相關(guan) 設備高危漏洞7個(ge) ，橫河公司相關(guan) 設備高危漏洞6個(ge) 。Windows XP操作係統截至SP3補丁更新時高危漏洞239個(ge) ，在2014年4月8日停止服務支持後，發現的高危漏洞為(wei) 119個(ge) ，共計358個(ge) [5]。

很多企業(ye) 中，由於(yu) 工業(ye) 控製係統類型多樣化，安全管理意識和職責不明確，導致網絡間的數據傳(chuan) 輸和授權管理未實施明確的安全策略。另一方麵企業(ye) 管理層連接互聯網，從(cong) 而導致互聯網用戶可以利用企業(ye) 管理網絡係統的漏洞，對工業(ye) 控製係統運行帶來造成重大安全隱患。經統計，工控係統遭入侵的方式多樣，其入侵途徑以透過企業(ye) 廣域網及商用網絡方式為(wei) 主，除此之外還包括通過工控係統與(yu) 因特網的直接連接等方式。

（2）終端安全管理問題突出

工業(ye) 控製終端具有遠程維護或診斷功能，但不具有嚴(yan) 格的安全措施，可能導致係統的非授權訪問。同時移動終端自身的安全問題（如病毒、木馬等惡意程序），也可能感染整個(ge) 係統。

（3）入侵、攻擊手段的隱蔽

大多對工業(ye) 控製係統的入侵和攻擊手段極為(wei) 隱蔽、木馬和蠕蟲病毒的潛伏周期較長，待發現時已對企業(ye) 國家造成嚴(yan) 重損失。據金山網絡安全事業(ye) 部的統計報告顯示，一般的防禦機製需要2個(ge) 月的時間才能確認針對工業(ye) 控製係統的攻擊行為(wei) ，對於(yu) 更為(wei) 隱蔽的Stunet及Duqu病毒，則需要長達半年之久。

3.2　應對情況

自Stuxnet病毒爆發以來，工業(ye) 控製係統的安全就成為(wei) 各國所關(guan) 注的焦點。工控係統信息安全成為(wei) 新的關(guan) 注點主要有兩(liang) 個(ge) 方麵的原因：一方麵，過去的工業(ye) 控製係統是使用專(zhuan) 業(ye) 的係統、專(zhuan) 業(ye) 的隊伍、專(zhuan) 業(ye) 的設備，隻有小範圍人群了解和掌握。隨著計算機技術的發展，很多專(zhuan) 業(ye) 的係統實現了通用化，現在的工控係統開始在通用技術的基礎上做專(zhuan) 業(ye) 的係統設計，如操作係統、數據庫軟件、通訊協議等計算機通用產(chan) 品和協議，這樣一來，存在於(yu) 計算機信息係統中的漏洞被帶到了工控係統裏。另一方麵，長期以來工控係統並沒有因為(wei) 信息安全問題發生大的事故，人們(men) 普遍存在“病毒很少能對工業(ye) 控製係統造成危害”的意識。但是，伊朗的“震網”事件，給了*一個(ge) 警示，計算機病毒不僅(jin) 可以感染到工控係統，而且可以對控製對象進行物質破壞。

針對越發嚴(yan) 重的工業(ye) 係統入侵等安全事件，世界各國都在積極研究相應的應對措施。歐美先後製定了IEC62443《工業(ye) 過程測量、控製和自動化網絡與(yu) 係統信息安全》、SP800-82《工業(ye) 控製係統（ICS）安全指南》等標準。

美國成立了工業(ye) 控製係統網絡應急小組（Industrial Control Systems Cyber Emergency Response Team，ICS-CERT），專(zhuan) 注於(yu) 協助美國計算機應急相應小組US-CERT處理工業(ye) 控製係統安全方麵的事宜，其職能包括：對已發生的工控安全事件進行處理分析，以便將來避免發生類似的安全事件；引導係統脆弱性分析和惡意軟件分析；提供對事件相應和取證分析的現場支持等。同時美國國土安全局建立了工業(ye) 控製係統聯合工作小組（Industrial Control Systems Joint Working Group，ICSJWG），主要是促進國家工業(ye) 控製係統的信息共享，降低係統風險。

目前，我國工控係統的安全形勢非常嚴(yan) 峻。調查發現，約80%的企業(ye) 從(cong) 來不對工控係統進行升級和漏洞修補，有52%的工控係統與(yu) 企業(ye) 的管理係統、內(nei) 網甚至互聯網連接；此外，一些存在漏洞的國外工控產(chan) 品依然在國內(nei) 的某些重要裝置上使用。更為(wei) 嚴(yan) 重的問題還在於(yu) ，我們(men) 對於(yu) 發現風險源頭缺乏手段，對控製風險的技術與(yu) 方法缺乏必要的研究。對此，我國先後發布了《關(guan) 於(yu) 加強工業(ye) 控製係統信息安全管理的通知》（[2011]451號）、《關(guan) 於(yu) 大力推進信息化發展和切實保障信息安全的若幹意見（國發[2012]23號）》 等文件，促進工業(ye) 控製係統信息安全體(ti) 係的建設，但大部分對口標準都在編製過程中。

4　工業(ye) 控製係統信息安全發展趨勢

工業(ye) 控製係統漏洞攻擊正向著簡單控製器受攻擊增大、利用網絡協議進行攻擊、專(zhuan) 業(ye) 攻擊人員進行攻擊、利用病毒進行攻擊、工業(ye) 控製係統漏洞挖掘與(yu) 發布同時增長的趨勢發展。當前，美國和歐盟都從(cong) 國家戰略的層麵在開展各方麵的工作，積極研究工業(ye) 控製係統信息安全的應對策略。我國也在政策層麵和研究層麵積極開展工作，但我國工業(ye) 控製係統信息安全工作起步晚，總體(ti) 上技術研究尚屬起步階段，管理製度不健全，相關(guan) 標準規範不完善，技術防護措施不到位，安全防護能力和應急處理能力不高，這些問題都威脅著工業(ye) 生產(chan) 安全和社會(hui) 正常運作。因此，整合各方麵優(you) 勢資源，促進工業(ye) 控製係統信息安全產(chan) 業(ye) 的形成，是未來工業(ye) 控製係統網絡信息安全發展的基本趨勢。

工業(ye) 控製係統信息安全技術的發展，將隨著工業(ye) 自動化係統的發展而不斷演化。目前自動化係統發展的趨勢就是數字化、智能化、網絡化和人機交互人性化。同時將更多的IT技術應用到傳(chuan) 統的邏輯控製和數字控製中。工業(ye) 控製係統信息安全技術未來也將進一步借助傳(chuan) 統IT技術，使其更加智能化、網絡化，成為(wei) 控製係統*的一部分。與(yu) 傳(chuan) 統IP互聯網的信息安全產(chan) 品研發路線類似，工業(ye) 控製係統信息安全產(chan) 品將在信息安全與(yu) 工業(ye) 生產(chan) 控製之間找到契合點，形成工業(ye) 控製係統特色鮮明的安全輸入、安全控製、安全輸出類產(chan) 品體(ti) 係。值得指出的是，隨著工業(ye) 控製係統信息安全認識和相關(guan) 技術的不斷深化，必將產(chan) 生一係列與(yu) 工業(ye) 控製係統功能安全、現場應用環境緊密，特色鮮明的工業(ye) 控製係統安全防護工具、設備及係統。

5　總結與(yu) 展望

從(cong) 總體(ti) 上看，我國工業(ye) 控製係統信息安全防護體(ti) 係建設滯後於(yu) 係統本身的建設，還處於(yu) 初級階段，需要根據工業(ye) 控製係統信息安全保障體(ti) 係建設需求，基於(yu) 國家信息安全標準體(ti) 係框架，建立工業(ye) 控製係統信息安全標準體(ti) 係總體(ti) 框架。自2013年開始，康拓工控先後對城市軌道、鐵路以及城市供水等工業(ye) 控製係統進行了大量的係統安全性分析，逐步梳理現有信息安全標準在上述工業(ye) 控製係統建設中的應用關(guan) 係，以實現工業(ye) 控製係統“可發現、可防範、可替代”的目標，提升工控安全核心競爭(zheng) 力，為(wei) 我國兩(liang) 化的深度融合、實施製造強國戰略提供可靠的信息安全保障。

作者簡介

呂建民（1980-），男，河南濮陽人，工程師，碩士，現就職於(yu) 北京康拓科技有限公司，主要從(cong) 事工業(ye) 控製係統研究工作。