工業(yè)控制系統(tǒng)

　　工業(yè)控制系統(tǒng)是國家關鍵基礎設施運行的“大腦”。隨著兩化深度融合的不斷推進，工業(yè)控制系統(tǒng)研發(fā)設計、生產裝備、流程管理、物流配送、能源管理，正在從數(shù)字化、網絡化邁向智能化。對國內工業(yè)控制系統(tǒng)及其信息安全基本狀況的調查結果顯示，我國工業(yè)控制系統(tǒng)防護面臨日益嚴峻的信息安全形勢，認真分析工業(yè)控制系統(tǒng)信息安全的主要脆弱性，加強國內信息安全工作迫在眉睫。

　　制造業(yè)是國民經濟的主體，是立國之本、興國之器、強國之基。推進信息化與工業(yè)化深度融合是我國實施制造強國戰(zhàn)略第一個十年行動綱領《中國制造2025》的戰(zhàn)略任務和重點之一，而智能制造則是兩化深度融合的主攻方向。工業(yè)控制系統(tǒng)作為智能制造的重要組成部分，作用和影響巨大，其信息安全正面臨著嚴峻的挑戰(zhàn)。

　　工業(yè)控制系統(tǒng)廣泛應用于電力、石油化工、核能、航空、鐵路等行業(yè)，是這些國家關鍵基礎設施運行的“大腦”?，F(xiàn)代信息技術與現(xiàn)代控制技術的深度結合，在為控制技術帶來新的創(chuàng)新機會、為企業(yè)帶來新的商業(yè)模式的同時，也將信息網絡中的信息安全問題一起帶入了現(xiàn)代工業(yè)控制系統(tǒng)中。從2010年眾所周知的“震網病毒”事件，2011年“Duqu病毒”和2012年的“火焰病毒”，到今天互聯(lián)網上隨處可見的黑客攻擊工具，處處展現(xiàn)的是工控系統(tǒng)遭受攻擊的“戰(zhàn)況”，充分顯示了工業(yè)控制系統(tǒng)信息安全問題的現(xiàn)實迫切性。因此，以美國為代表的“工業(yè)互聯(lián)網”、以德國為代表的“工業(yè)4.0”，都將信息安全作為重中之重。從2011年開始，國務院先后出臺《工業(yè)轉型升級規(guī)劃(2011—2015)》、《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》、《中國制造2025》等一系列文件，都強調了兩化融合中信息安全保障的重要性。

　　工業(yè)控制系統(tǒng)智能化過程中信息安全挑戰(zhàn)加劇

　　隨著兩化深度融合的不斷推進，工業(yè)控制系統(tǒng)研發(fā)設計、生產裝備、流程管理、物流配送、能源管理，正在從數(shù)字化、網絡化邁向智能化。信息通信技術正在從單項業(yè)務應用向多業(yè)務綜合集成轉變，從單一企業(yè)應用向產業(yè)鏈協(xié)同應用轉變，從局部流程優(yōu)化向全業(yè)務流程再造轉變，從傳統(tǒng)生產方式向柔性智能生產方式轉變, 國內大量企業(yè)在國家支持和自發(fā)驅動下，開展了升級換代工作，主要有如下幾種方式：

　　在原有工業(yè)控制系統(tǒng)中，增加通信模塊，將工業(yè)生產數(shù)據(jù)實時傳輸給生產管理系統(tǒng)，提高生產效率；

　　在原來相對獨立甚至封閉的工業(yè)控制網絡里，增加路由網關設備，保持相關生產系統(tǒng)間的聯(lián)動以及生產管理系統(tǒng)的實時監(jiān)控；

　　購置新工業(yè)控制系統(tǒng)，系統(tǒng)具備先進的智能通信設備，可實現(xiàn)一體化的智能生產。

　　在上述智能化過程中，信息安全保障工作卻進展緩慢，體現(xiàn)在如下幾個方面：

信息安全空白：借助信息化手段提高生產效率的同時，并沒有考慮信息安全防護措施，有些工業(yè)控制系統(tǒng)甚至與互聯(lián)網保持“親密接觸”。中國電子科技網絡信息安全有限公司（以下簡稱中國網安）的“工業(yè)控制系統(tǒng)接入互聯(lián)網威脅感知系統(tǒng)”目前已探明連接互聯(lián)網的工業(yè)控制系統(tǒng)有萬余個，涉及供熱、供水、能源等眾多城市關鍵基礎設施。

　　信息安全淺表化：部分企業(yè)為了滿足生產聯(lián)動，將原來相互獨立的工業(yè)控制系統(tǒng)互聯(lián)，或者將生產控制網接入到企業(yè)管理網；為了滿足信息安全需求，雖然增加了信息安全防護設備，但使用的卻是信息系統(tǒng)常用的防火墻。此類信息系統(tǒng)的防火墻并不支持常用的工業(yè)控制協(xié)議，因此安裝的防火墻防護作用非常有限。此類現(xiàn)象目前非常普遍。

　　信息安全僵化：個別企業(yè)認識到工業(yè)控制系統(tǒng)信息安全的重要性，在工業(yè)控制系統(tǒng)改造過程中，主動增加了安全防護措施，例如工業(yè)防火墻、工控網絡監(jiān)控系統(tǒng)，但由于工業(yè)控制系統(tǒng)對高可靠運行生產的要求，作為使用方，在信息安全運維過程中，相應的信息安全策略并沒有隨著外界攻擊技術的發(fā)展而調整，導致在實際運行過程中，信息安全問題依然時有發(fā)生。兩化融合中，信息安全保障不到位，但是針對工業(yè)控制系統(tǒng)的攻擊技術卻呈現(xiàn)出日新月異的發(fā)展趨勢，主要體現(xiàn)在：

　　攻擊工具層出不窮：針對工業(yè)控制系統(tǒng)的攻擊工具，被黑客制作并散布在互聯(lián)網上，使得攻擊成本越來越低。

　　攻擊范圍迅速擴大：早期針對部署在關鍵基礎設施的工業(yè)控制系統(tǒng)進行攻擊，需要較強的攻擊能力；但隨著工業(yè)控制系統(tǒng)信息安全問題公眾化后，許多黑客開始利用互聯(lián)網上輕易得到的攻擊工具，瞄準很多基本不具備信息安全防護能力的行業(yè)或企業(yè)進行攻擊，雖然沒有嚴重的惡性事件，卻造成嚴重經濟損失。

　　攻擊頻率不斷增加：越來越多的黑客開始借助工具，對工業(yè)控制系統(tǒng)進行持續(xù)攻擊，嚴重影響了生產效率。

　　攻擊后果愈發(fā)嚴重：早期針對工業(yè)控制系統(tǒng)的攻擊以竊取資料為多，但隨著黑客攻擊的普及化，為追求“轟動效益”，很多攻擊就演變?yōu)槠茐墓I(yè)控制系統(tǒng)，直接導致停產甚至是生產線損毀，給企業(yè)造成重大經濟損失，例如有企業(yè)因為蠕蟲攻擊導致?lián)p失3000萬元。

　　我國工控系統(tǒng)信息安全防護不容樂觀

　　根據(jù)中國網安的調查，國內工業(yè)控制系統(tǒng)國產化率低，尤其是中高端系統(tǒng)嚴重依賴國外進口設備。以近幾個月針對煤礦、化工廠、環(huán)保材料的若干家企業(yè)深入調研為例，調研對象涵蓋工業(yè)控制系統(tǒng)組態(tài)軟件、工程師站、操作員站、控制器，包括DCS、PLC等，工業(yè)控制系統(tǒng)及相關設備國產化情況見表1：

　　調研還發(fā)現(xiàn)一些較為嚴重的問題，比如工業(yè)控制系統(tǒng)連接互聯(lián)網、移動介質隨意接入控制網內計算機、使用無線設備時缺乏安全防護等等。

　　國內工業(yè)控制系統(tǒng)信息安全防護狀況不容樂觀。

　　重要工業(yè)控制系統(tǒng)運行基本正常，存在偶發(fā)安全事件。從實地調研情況來看，工業(yè)控制系統(tǒng)雖然沒有發(fā)生影響巨大的惡意信息安全事件，但受調研企業(yè)或多或少發(fā)生過工業(yè)控制系統(tǒng)因計算機病毒引發(fā)的信息安全事故，影響了企業(yè)正常生產。如某化工企業(yè)輔助系統(tǒng)的操作站曾因感染病毒，導致操作站不斷重新啟動，影響生產輔助系統(tǒng)管網壓力異常波動，進而影響多個重要的生產裝置的穩(wěn)定生產；某制造企業(yè)MES系統(tǒng)因移動介質和移動計算機接入控制不嚴，導致計算機病毒的引入和蔓延，對MES系統(tǒng)造成影響。

　　工業(yè)控制信息安全防護設備應用尚未普及。在網絡安全防護方面，普遍使用的是信息系統(tǒng)防火墻產品，無法對工業(yè)控制系統(tǒng)實施有效的信息安全防護；極個別企業(yè)的重要工業(yè)控制系統(tǒng)在數(shù)據(jù)采集監(jiān)控層和控制層之間安裝了專業(yè)的工業(yè)防火墻，解決OPC通訊采用動態(tài)端口帶來的安全防護瓶頸問題。據(jù)受調查企業(yè)普遍反映，由于企業(yè)安全意識薄弱和職責不清問題，專用的工業(yè)防火墻等工業(yè)控制信息安全防護產品尚未得到大規(guī)模應用。

　　在過程工業(yè)及關鍵行業(yè)里，一些重要工業(yè)控制系統(tǒng)，未部署信息安全防護產品。部署在關鍵行業(yè)的工業(yè)控制系統(tǒng)，本來是嚴格執(zhí)行網絡物理隔離，網絡邊界相對安全。但隨著先進信息技術的引進，例如機器人無線控制、惡劣環(huán)境無線監(jiān)控等，帶給生產效率提升的同時，也使得原來處于相對封閉狀態(tài)的控制系統(tǒng)開始暴露在外。

　　工控系統(tǒng)信息安全的主要脆弱性

　　1、工業(yè)控制產品漏洞屢見不鮮

　　根據(jù)中國網安的整理，截至2015年9月10日，中國國家信息安全漏洞庫（CNNVD）、Common Vulnerabilities & Exposures（CVE）、The Industrial Control Systems Cyber Emergency Response Team（ICS-CERT美國工業(yè)控制系統(tǒng)應急響應小組）三大組織公開發(fā)布的與工業(yè)控制系統(tǒng)相關漏洞數(shù)量為568個，涉及國內外相關廠商120個。

　　目前工業(yè)控制系統(tǒng)使用的現(xiàn)場控制設備、過程控制自動化軟件、工程師站、操作員站、OPC接口機等設備中大量使用了標準的信息網絡技術或產品。這些技術和產品并沒有針對工控系統(tǒng)的應用環(huán)境進行優(yōu)化和專門設計，導致為工控系統(tǒng)引入了大量的“冗余功能和配置”。工控系統(tǒng)的設計、實施、工程人員并沒有意識到這些“冗余功能和配置”所引發(fā)的安全問題，仍然按照老思路實現(xiàn)控制功能。也有一部分工控廠家、控制系統(tǒng)開發(fā)人員注意到了信息安全，但由于相關知識和技能的缺乏，控制系統(tǒng)自身設計、實現(xiàn)的安全功能不僅沒能充分利用信息系統(tǒng)所提供的基礎安全技術和功能，而且還存在一些設計上的錯誤和缺陷（如：不正確的密鑰管理、口令保護措施等）。如前所述，在所調研單位使用的廠商相關設備漏洞中，羅克韋爾公司相關設備高危漏洞4個，西門子公司相關設備高危漏洞7個，橫河公司相關設備高危漏洞6個。Windows XP操作系統(tǒng)截至SP3補丁更新時高危漏洞239個，在2014年4月8日停止服務支持后，發(fā)現(xiàn)的高危漏洞為119個，共計358個。典型的工業(yè)控制系統(tǒng)信息安全高危漏洞如表2所示，造成其中的原因見表中說明一欄。

　　2、工控網絡安全防護薄弱點較多

　　網絡邊界防護措施薄弱。大部分企業(yè)中，因為工業(yè)控制系統(tǒng)類型的多樣化以及安全管理意識和職責不明確等原因，一方面網絡間的數(shù)據(jù)傳輸和授權管理未實施明確的安全策略，另一方面企業(yè)管理層連接互聯(lián)網，從而導致互聯(lián)網用戶可以利用企業(yè)管理網絡系統(tǒng)的漏洞，通過“隧道”方式直接獲取生產控制網關鍵設備的運行控制數(shù)據(jù)，對工業(yè)控制系統(tǒng)運行帶來造成重大安全隱患。

　　網絡配置脆弱性。突出表現(xiàn)在，企業(yè)為了確保整個網絡的穩(wěn)定和高效，一是相關網絡交換設備幾乎從未配置安全策略；二是在網絡設備不配置密碼口令或密碼明文傳輸，且密碼位數(shù)低甚至口令長時間不更改；三是無線網絡應用越來越多，但無線終端和AP之間認證機制未采用安全認證機制方式，很容易被截取。

　　缺乏有效的網絡獨立審計系統(tǒng)。很多工業(yè)控制系統(tǒng)已運行使用多年，相比現(xiàn)在的大多數(shù)網絡攻擊，現(xiàn)場控制設備通信能力非常有限，致使控制網內稍有風吹草動就會產生后果，例如利用網絡地址解析協(xié)議（ARP）的欺騙攻擊，輕則影響控制數(shù)據(jù)實時傳輸，重則導致現(xiàn)場控制設備出現(xiàn)通信故障。有效的網絡獨立審計系統(tǒng)，可以及時發(fā)現(xiàn)網絡威脅并報警，但大多數(shù)工業(yè)控制系統(tǒng)都缺乏此類設備。

　　3、終端安全管理問題突出

　　工業(yè)控制系統(tǒng)計算機最大特點是相對固定，各工程師站、操作員站和OPC接口計算機等大都采用WINDOWS系統(tǒng)，這些系統(tǒng)常年無法升級補丁，也沒有相應的病毒防護措施。一旦移動介質管理出現(xiàn)疏忽，則會導致病毒等感染事件頻發(fā)。

　　部分企業(yè)在工業(yè)控制系統(tǒng)檢修或排除故障過程中，使用遠程維護或診斷，或者使用外部移動終端，同時未采取嚴格的安全措施，可能導致系統(tǒng)的非授權訪問。同時移動終端自身的安全問題（如病毒、木馬等惡意程序），也可能感染整個系統(tǒng)。對于使用國外品牌而開放遠程診斷維護的工業(yè)控制系統(tǒng)，這一問題顯得尤為突出。

　　4、缺乏有效的全生命周期安全管理

　　工業(yè)控制系統(tǒng)普遍缺乏有效的手段對遠程維護操作、移動終端訪問、設備配置更新等重要操作行為的有效管理，大多依賴手動“作業(yè)單”方式。

　　工業(yè)控制系統(tǒng)生命周期一般在15～30年不等，而支撐工業(yè)控制系統(tǒng)運行的硬件設備（如工程師站、操作員站、服務器、交換機等）、應用軟件（如操作系統(tǒng)、數(shù)據(jù)庫、組態(tài)軟件等）、網絡結構和安全防護措施僅能適應最初設計的應用條件。

　　隨著工業(yè)控制系統(tǒng)所支撐工藝的成熟、產量的增長，運維的需求大大增加，這就促使運維人員不斷將工業(yè)控制系統(tǒng)運維的信息化產品（硬件、軟件等）接入到工業(yè)控制系統(tǒng)網絡、生產網絡、企業(yè)管理網絡、甚至互聯(lián)網中，以提高生產效率。

　　這種“私搭亂建”現(xiàn)象卻給企業(yè)控制系統(tǒng)生產帶來了極大的安全隱患，而安全管理手段的缺乏，使得在原有基礎上出現(xiàn)了很多管理者完全不了解的工業(yè)控制網絡。

　　5、操作人員信息安全意識和技能有待提高

　　由于工業(yè)控制系統(tǒng)信息安全涉及到多個部門，在企業(yè)內部，工業(yè)控制系統(tǒng)的管理主要涉及設備管理部門（如自動化部/設備處），信息安全管理主要涉及信息化管理部門（如信息中心），不同部門管理的對象和重點有所區(qū)別，現(xiàn)階段多數(shù)企業(yè)存在職責不清的問題。

　　另外，自動化專業(yè)的操作人員對于信息安全的意識和技能尚有不足，實際操作中不能有效貫徹執(zhí)行公司統(tǒng)一的信息安全策略，所以在多數(shù)企業(yè)中存在著信息安全管理制度執(zhí)行難的問題。

　　加強工業(yè)控制系統(tǒng)信息安全對策建議

　　面臨日益嚴峻的信息安全形勢，針對薄弱的工業(yè)控制系統(tǒng)防護現(xiàn)狀，加強國內信息安全工作迫在眉睫。當前工業(yè)控制系統(tǒng)信息安全保障工作應按照國家網絡與信息安全相關政策和制度要求，開展重點行業(yè)工業(yè)控制系統(tǒng)信息安全風險評估，加強重點行業(yè)工業(yè)控制系統(tǒng)信息安全防護建設，為兩化融合創(chuàng)造可靠的信息安全保障。

　　工業(yè)控制系統(tǒng)信息安全不僅是國家安全的體現(xiàn)，更是企業(yè)發(fā)展的現(xiàn)實需求，因此加強工業(yè)控制系統(tǒng)信息安全應當是“整體聯(lián)動、可持續(xù)發(fā)展”的智能安全，即國家自上而下的體系化指導、產業(yè)化引導，企業(yè)自下而上的主動配合、自發(fā)實踐。

　　國家體系化指導：建立面向工業(yè)領域的信息安全技術支撐、產品檢測、檢查評估綜合保障體系，加強人才隊伍建設，為企業(yè)加強工業(yè)控制系統(tǒng)信息安全提供指導。

　　國家產業(yè)化引導：加快建設仿真測試、持續(xù)提升工業(yè)信息安全保障能力。推廣安全可靠的工業(yè)控制系統(tǒng)信息安全產品及技術，增強自主可控能力和企業(yè)信息安全水平。

　　企業(yè)主動配合：按照國家的統(tǒng)一要求，積極開展企業(yè)工業(yè)控制系統(tǒng)信息安全檢查評估工作，協(xié)助國家掌握和提高工業(yè)控制系統(tǒng)信息安全防護水平。

　　企業(yè)自發(fā)實踐：按照企業(yè)的業(yè)務發(fā)展需求，積極開展工業(yè)控制系統(tǒng)信息安全實踐應用，在保障企業(yè)安全的同時，協(xié)助國家完成工業(yè)控制系統(tǒng)信息安全布局。

　　依據(jù)中國網安在工控信息安全領域多年經驗，可以區(qū)別對待在役的存量工控系統(tǒng)和新建的增量工控系統(tǒng)，深入開展信息安全檢查工作，加強工業(yè)控制系統(tǒng)資產管理工作。按照“固隔監(jiān)”的安全防護思路，利用存量系統(tǒng)的停車檢修時機，做好工控系統(tǒng)邊界信息安全防護，實現(xiàn)工控網絡獨立審計，加強工控信息安全管理和運維工作；對于增量系統(tǒng)，可以在設計環(huán)節(jié)就增加信息安全整體防護措施，最終做到工業(yè)控制系統(tǒng)全生命周期的信息安全保障。