工業控制系統

　　工業控制系統是國家關鍵基礎設施運行的“大腦”。隨著兩化深度融合的不斷推進，工業控制系統研發設計、生產裝備、流程管理、物流配送、能源管理，正在從數字化、網絡化邁向智能化。對國內工業控制系統及其信息安全基本狀況的調查結果顯示，我國工業控制系統防護面臨日益嚴峻的信息安全形勢，認真分析工業控制系統信息安全的主要脆弱性，加強國內信息安全工作迫在眉睫。

　　制造業是國民經濟的主體，是立國之本、興國之器、強國之基。推進信息化與工業化深度融合是我國實施制造強國戰略第一個十年行動綱領《中國制造2025》的戰略任務和重點之一，而智能制造則是兩化深度融合的主攻方向。工業控制系統作為智能制造的重要組成部分，作用和影響巨大，其信息安全正面臨著嚴峻的挑戰。

　　工業控制系統廣泛應用于電力、石油化工、核能、航空、鐵路等行業，是這些國家關鍵基礎設施運行的“大腦”。現代信息技術與現代控制技術的深度結合，在為控制技術帶來新的創新機會、為企業帶來新的商業模式的同時，也將信息網絡中的信息安全問題一起帶入了現代工業控制系統中。從2010年眾所周知的“震網病毒”事件，2011年“Duqu病毒”和2012年的“火焰病毒”，到今天互聯網上隨處可見的黑客攻擊工具，處處展現的是工控系統遭受攻擊的“戰況”，充分顯示了工業控制系統信息安全問題的現實迫切性。因此，以美國為代表的“工業互聯網”、以德國為代表的“工業4.0”，都將信息安全作為重中之重。從2011年開始，國務院先后出臺《工業轉型升級規劃(2011—2015)》、《關于大力推進信息化發展和切實保障信息安全的若干意見》、《中國制造2025》等一系列文件，都強調了兩化融合中信息安全保障的重要性。

　　工業控制系統智能化過程中信息安全挑戰加劇

　　隨著兩化深度融合的不斷推進，工業控制系統研發設計、生產裝備、流程管理、物流配送、能源管理，正在從數字化、網絡化邁向智能化。信息通信技術正在從單項業務應用向多業務綜合集成轉變，從單一企業應用向產業鏈協同應用轉變，從局部流程優化向全業務流程再造轉變，從傳統生產方式向柔性智能生產方式轉變, 國內大量企業在國家支持和自發驅動下，開展了升級換代工作，主要有如下幾種方式：

　　在原有工業控制系統中，增加通信模塊，將工業生產數據實時傳輸給生產管理系統，提高生產效率；

　　在原來相對獨立甚至封閉的工業控制網絡里，增加路由網關設備，保持相關生產系統間的聯動以及生產管理系統的實時監控；

　　購置新工業控制系統，系統具備先進的智能通信設備，可實現一體化的智能生產。

　　在上述智能化過程中，信息安全保障工作卻進展緩慢，體現在如下幾個方面：

信息安全空白：借助信息化手段提高生產效率的同時，并沒有考慮信息安全防護措施，有些工業控制系統甚至與互聯網保持“親密接觸”。中國電子科技網絡信息安全有限公司（以下簡稱中國網安）的“工業控制系統接入互聯網威脅感知系統”目前已探明連接互聯網的工業控制系統有萬余個，涉及供熱、供水、能源等眾多城市關鍵基礎設施。

　　信息安全淺表化：部分企業為了滿足生產聯動，將原來相互獨立的工業控制系統互聯，或者將生產控制網接入到企業管理網；為了滿足信息安全需求，雖然增加了信息安全防護設備，但使用的卻是信息系統常用的防火墻。此類信息系統的防火墻并不支持常用的工業控制協議，因此安裝的防火墻防護作用非常有限。此類現象目前非常普遍。

　　信息安全僵化：個別企業認識到工業控制系統信息安全的重要性，在工業控制系統改造過程中，主動增加了安全防護措施，例如工業防火墻、工控網絡監控系統，但由于工業控制系統對高可靠運行生產的要求，作為使用方，在信息安全運維過程中，相應的信息安全策略并沒有隨著外界攻擊技術的發展而調整，導致在實際運行過程中，信息安全問題依然時有發生。兩化融合中，信息安全保障不到位，但是針對工業控制系統的攻擊技術卻呈現出日新月異的發展趨勢，主要體現在：

　　攻擊工具層出不窮：針對工業控制系統的攻擊工具，被黑客制作并散布在互聯網上，使得攻擊成本越來越低。

　　攻擊范圍迅速擴大：早期針對部署在關鍵基礎設施的工業控制系統進行攻擊，需要較強的攻擊能力；但隨著工業控制系統信息安全問題公眾化后，許多黑客開始利用互聯網上輕易得到的攻擊工具，瞄準很多基本不具備信息安全防護能力的行業或企業進行攻擊，雖然沒有嚴重的惡性事件，卻造成嚴重經濟損失。

　　攻擊頻率不斷增加：越來越多的黑客開始借助工具，對工業控制系統進行持續攻擊，嚴重影響了生產效率。

　　攻擊后果愈發嚴重：早期針對工業控制系統的攻擊以竊取資料為多，但隨著黑客攻擊的普及化，為追求“轟動效益”，很多攻擊就演變為破壞工業控制系統，直接導致停產甚至是生產線損毀，給企業造成重大經濟損失，例如有企業因為蠕蟲攻擊導致損失3000萬元。

　　我國工控系統信息安全防護不容樂觀

　　根據中國網安的調查，國內工業控制系統國產化率低，尤其是中高端系統嚴重依賴國外進口設備。以近幾個月針對煤礦、化工廠、環保材料的若干家企業深入調研為例，調研對象涵蓋工業控制系統組態軟件、工程師站、操作員站、控制器，包括DCS、PLC等，工業控制系統及相關設備國產化情況見表1：

　　調研還發現一些較為嚴重的問題，比如工業控制系統連接互聯網、移動介質隨意接入控制網內計算機、使用無線設備時缺乏安全防護等等。

　　國內工業控制系統信息安全防護狀況不容樂觀。

　　重要工業控制系統運行基本正常，存在偶發安全事件。從實地調研情況來看，工業控制系統雖然沒有發生影響巨大的惡意信息安全事件，但受調研企業或多或少發生過工業控制系統因計算機病毒引發的信息安全事故，影響了企業正常生產。如某化工企業輔助系統的操作站曾因感染病毒，導致操作站不斷重新啟動，影響生產輔助系統管網壓力異常波動，進而影響多個重要的生產裝置的穩定生產；某制造企業MES系統因移動介質和移動計算機接入控制不嚴，導致計算機病毒的引入和蔓延，對MES系統造成影響。

　　工業控制信息安全防護設備應用尚未普及。在網絡安全防護方面，普遍使用的是信息系統防火墻產品，無法對工業控制系統實施有效的信息安全防護；極個別企業的重要工業控制系統在數據采集監控層和控制層之間安裝了專業的工業防火墻，解決OPC通訊采用動態端口帶來的安全防護瓶頸問題。據受調查企業普遍反映，由于企業安全意識薄弱和職責不清問題，專用的工業防火墻等工業控制信息安全防護產品尚未得到大規模應用。

　　在過程工業及關鍵行業里，一些重要工業控制系統，未部署信息安全防護產品。部署在關鍵行業的工業控制系統，本來是嚴格執行網絡物理隔離，網絡邊界相對安全。但隨著先進信息技術的引進，例如機器人無線控制、惡劣環境無線監控等，帶給生產效率提升的同時，也使得原來處于相對封閉狀態的控制系統開始暴露在外。

　　工控系統信息安全的主要脆弱性

　　1、工業控制產品漏洞屢見不鮮

　　根據中國網安的整理，截至2015年9月10日，中國國家信息安全漏洞庫（CNNVD）、Common Vulnerabilities & Exposures（CVE）、The Industrial Control Systems Cyber Emergency Response Team（ICS-CERT美國工業控制系統應急響應小組）三大組織公開發布的與工業控制系統相關漏洞數量為568個，涉及國內外相關廠商120個。

　　目前工業控制系統使用的現場控制設備、過程控制自動化軟件、工程師站、操作員站、OPC接口機等設備中大量使用了標準的信息網絡技術或產品。這些技術和產品并沒有針對工控系統的應用環境進行優化和專門設計，導致為工控系統引入了大量的“冗余功能和配置”。工控系統的設計、實施、工程人員并沒有意識到這些“冗余功能和配置”所引發的安全問題，仍然按照老思路實現控制功能。也有一部分工控廠家、控制系統開發人員注意到了信息安全，但由于相關知識和技能的缺乏，控制系統自身設計、實現的安全功能不僅沒能充分利用信息系統所提供的基礎安全技術和功能，而且還存在一些設計上的錯誤和缺陷（如：不正確的密鑰管理、口令保護措施等）。如前所述，在所調研單位使用的廠商相關設備漏洞中，羅克韋爾公司相關設備高危漏洞4個，西門子公司相關設備高危漏洞7個，橫河公司相關設備高危漏洞6個。Windows XP操作系統截至SP3補丁更新時高危漏洞239個，在2014年4月8日停止服務支持后，發現的高危漏洞為119個，共計358個。典型的工業控制系統信息安全高危漏洞如表2所示，造成其中的原因見表中說明一欄。

　　2、工控網絡安全防護薄弱點較多

　　網絡邊界防護措施薄弱。大部分企業中，因為工業控制系統類型的多樣化以及安全管理意識和職責不明確等原因，一方面網絡間的數據傳輸和授權管理未實施明確的安全策略，另一方面企業管理層連接互聯網，從而導致互聯網用戶可以利用企業管理網絡系統的漏洞，通過“隧道”方式直接獲取生產控制網關鍵設備的運行控制數據，對工業控制系統運行帶來造成重大安全隱患。

　　網絡配置脆弱性。突出表現在，企業為了確保整個網絡的穩定和高效，一是相關網絡交換設備幾乎從未配置安全策略；二是在網絡設備不配置密碼口令或密碼明文傳輸，且密碼位數低甚至口令長時間不更改；三是無線網絡應用越來越多，但無線終端和AP之間認證機制未采用安全認證機制方式，很容易被截取。

　　缺乏有效的網絡獨立審計系統。很多工業控制系統已運行使用多年，相比現在的大多數網絡攻擊，現場控制設備通信能力非常有限，致使控制網內稍有風吹草動就會產生后果，例如利用網絡地址解析協議（ARP）的欺騙攻擊，輕則影響控制數據實時傳輸，重則導致現場控制設備出現通信故障。有效的網絡獨立審計系統，可以及時發現網絡威脅并報警，但大多數工業控制系統都缺乏此類設備。

　　3、終端安全管理問題突出

　　工業控制系統計算機最大特點是相對固定，各工程師站、操作員站和OPC接口計算機等大都采用WINDOWS系統，這些系統常年無法升級補丁，也沒有相應的病毒防護措施。一旦移動介質管理出現疏忽，則會導致病毒等感染事件頻發。

　　部分企業在工業控制系統檢修或排除故障過程中，使用遠程維護或診斷，或者使用外部移動終端，同時未采取嚴格的安全措施，可能導致系統的非授權訪問。同時移動終端自身的安全問題（如病毒、木馬等惡意程序），也可能感染整個系統。對于使用國外品牌而開放遠程診斷維護的工業控制系統，這一問題顯得尤為突出。

　　4、缺乏有效的全生命周期安全管理

　　工業控制系統普遍缺乏有效的手段對遠程維護操作、移動終端訪問、設備配置更新等重要操作行為的有效管理，大多依賴手動“作業單”方式。

　　工業控制系統生命周期一般在15～30年不等，而支撐工業控制系統運行的硬件設備（如工程師站、操作員站、服務器、交換機等）、應用軟件（如操作系統、數據庫、組態軟件等）、網絡結構和安全防護措施僅能適應最初設計的應用條件。

　　隨著工業控制系統所支撐工藝的成熟、產量的增長，運維的需求大大增加，這就促使運維人員不斷將工業控制系統運維的信息化產品（硬件、軟件等）接入到工業控制系統網絡、生產網絡、企業管理網絡、甚至互聯網中，以提高生產效率。

　　這種“私搭亂建”現象卻給企業控制系統生產帶來了極大的安全隱患，而安全管理手段的缺乏，使得在原有基礎上出現了很多管理者完全不了解的工業控制網絡。

　　5、操作人員信息安全意識和技能有待提高

　　由于工業控制系統信息安全涉及到多個部門，在企業內部，工業控制系統的管理主要涉及設備管理部門（如自動化部/設備處），信息安全管理主要涉及信息化管理部門（如信息中心），不同部門管理的對象和重點有所區別，現階段多數企業存在職責不清的問題。

　　另外，自動化專業的操作人員對于信息安全的意識和技能尚有不足，實際操作中不能有效貫徹執行公司統一的信息安全策略，所以在多數企業中存在著信息安全管理制度執行難的問題。

　　加強工業控制系統信息安全對策建議

　　面臨日益嚴峻的信息安全形勢，針對薄弱的工業控制系統防護現狀，加強國內信息安全工作迫在眉睫。當前工業控制系統信息安全保障工作應按照國家網絡與信息安全相關政策和制度要求，開展重點行業工業控制系統信息安全風險評估，加強重點行業工業控制系統信息安全防護建設，為兩化融合創造可靠的信息安全保障。

　　工業控制系統信息安全不僅是國家安全的體現，更是企業發展的現實需求，因此加強工業控制系統信息安全應當是“整體聯動、可持續發展”的智能安全，即國家自上而下的體系化指導、產業化引導，企業自下而上的主動配合、自發實踐。

　　國家體系化指導：建立面向工業領域的信息安全技術支撐、產品檢測、檢查評估綜合保障體系，加強人才隊伍建設，為企業加強工業控制系統信息安全提供指導。

　　國家產業化引導：加快建設仿真測試、持續提升工業信息安全保障能力。推廣安全可靠的工業控制系統信息安全產品及技術，增強自主可控能力和企業信息安全水平。

　　企業主動配合：按照國家的統一要求，積極開展企業工業控制系統信息安全檢查評估工作，協助國家掌握和提高工業控制系統信息安全防護水平。

　　企業自發實踐：按照企業的業務發展需求，積極開展工業控制系統信息安全實踐應用，在保障企業安全的同時，協助國家完成工業控制系統信息安全布局。

　　依據中國網安在工控信息安全領域多年經驗，可以區別對待在役的存量工控系統和新建的增量工控系統，深入開展信息安全檢查工作，加強工業控制系統資產管理工作。按照“固隔監”的安全防護思路，利用存量系統的停車檢修時機，做好工控系統邊界信息安全防護，實現工控網絡獨立審計，加強工控信息安全管理和運維工作；對于增量系統，可以在設計環節就增加信息安全整體防護措施，最終做到工業控制系統全生命周期的信息安全保障。