工業控制系統信息安全現狀與發展趨勢分析

摘要：信息化與工業化深度融合是我國實施制造強國戰略行動綱領《中國制造2025》的戰略任務和重點之一，隨著兩化深度融合的快速推進，工業控制系統正面臨著的信息安全威脅。文章基于工業控制系統層次結構以及工業安全事件信息庫RISI統計的工業控制系統安全事件，對國內外工業控制系統信息安全問題現狀做了詳細闡述和分析，總結了國內外工業控制系統信息安全相關措施及未來的發展趨勢。

關鍵詞：工業控制系統；信息安全；兩化融合；RISI

1　引言

工業控制系統（ICS）是包括監控和數據采集系統（SCADA）、分布控制系統（DCS）等多種類型控制系統的總稱[1]。隨著計算機網絡技術的發展，尤其是工業化和信息化的深度融合以及物聯網的快速推進，現代工業控制系統已經成為電力、石油化工、核工業、航天、鐵路、水處理等國家關鍵基礎設施領域的核心控制系統、中樞神經。與此同時，隨著企業管理層對生產過程數據的日益關注，工業控制系統廣泛采用通用軟硬件和網絡設施，以及與企業管理信息系統的集成，傳統信息網絡所面臨的病毒、木馬、入侵攻擊、拒絕服務等安全威脅已經逐步向工業控制系統擴散，工業控制系統固有漏洞和攻擊面日益增加，另外，工業控制系統漏洞發現、攻擊技術和攻擊人員能力正不斷增強，工業控制系統信息安全形勢越發嚴峻。本文在分析工業控制系統層次結構及安全因素的基礎上，結合典型工業控制系統安全事件，對該領域的現狀及未來發展趨勢做出了詳細闡述和分析。

2　工業控制系統層次結構

目前，典型的工業控制系統層次結構可分為三層：企業管理層、數據信息層和現場設備層，如圖1所示。企業管理層主要是辦公自動化系統，一般使用通用以太網，可以從數據信息層提取有關生產數據用于制定綜合管理決策。數據信息層主要是從現場層獲取數據，完成各種控制、運行參數的監測、報警和趨勢分析等功能。現場設備層負責通過組態設汁，完成工業現場的數據采集、A/D轉換、數字濾波、溫度壓力補償、PID控制等各種功能[2]。

圖1 工業控制系統層次結構圖

現代工業控制系統網絡中大量采用通用TCP/IP技術，ICS網絡和企業管理網的越來越緊密。另一方面，傳統工業控制系統采用的硬件、軟件和通信協議，設計上基本沒有考慮互聯互通所必須考慮的通信安全問題。從工業控制系統的層次結構看，公用網絡連接處均是安全威脅的切入點，傳統工業控制系統普遍缺乏有效的工業安全防御及數據通信保密措施。特別是隨著信息化的推動和工業化進程的加速，越來越多的計算機和網絡技術應用于工業控制系統，在為工業生產帶來極大推動作用的同時也帶來了諸如木馬、病毒、網絡攻擊等安全問題。企業管理網與工業控制網的防護功能都很弱或者甚至幾乎沒有隔離功能，因此在工控系統開放的同時，也減弱了控制系統與外界的隔離，工控系統的安全隱患問題日益嚴峻。

3　工業控制系統信息安全現狀

3.1　現狀分析

根據工業安全事件信息庫RISI（Repository of Industrial Security Incidents）的統計，截止2011年，已發生200余起針對工業控制系統的重大攻擊事件，尤其在2000年之后，隨著通用協議、通用硬件、通用軟件在工業控制系統中的應用，對過程控制和數據采集監控系統的攻擊增長了近10倍[3]。

針對工業控制系統的攻擊主要威脅其物理安全、功能安全和系統信息安全，以達到直接破壞控制器、通信設備，篡改工業參數指令或入侵系統破壞生產設備和生產工藝、獲取商業信息等目的。

對于工業控制系統破壞主要來自于對工控系統的非法入侵，目前此類事件已頻繁發生在電力、水利、交通、核能、制造業等領域，給相關企業造成重大的經濟損失，甚至威脅國家的戰略安全。以下是各行業典型的工業控制系統（ICS）遭入侵事件。

2000年，加斯普羅姆（Gazprom）公司（俄羅斯國營天然氣工業股份公司）內部人員的幫助下突破了該公司的安全防護網絡，通過木馬程序修改了底層控制指令，致使該公司的天然氣流量輸出一度控制在外部用戶手中，對企業和國家造成了巨大的經濟損失。

2000年3月，澳大利亞昆士蘭新建的Maroochy污水處理廠出現故障，無線連接信號丟失，污水泵工作異常，控制系統被一位前工程師通過一臺手提電腦和一個無線發射器侵入，控制了150個污水泵站，前后三個多月，總計有100萬公升的污水未經處理直接經雨水渠排入自然水系，導致當地環境受到嚴重破壞。

2003年，美國俄亥俄州的戴維斯-貝斯（Davis Besse）核電站進行維修時，由于施工商在進行常規維護時，自行搭接對外連接線路，以方便工程師在廠外進行維護工作，結果當私人電腦接入核電站網絡時，將電腦上攜帶的SQL Server蠕蟲病毒傳入核電站網絡，致使核電站的控制網絡全面癱瘓，系統停機將近5小時。

2005年，13家美國汽車廠（尤其是佳士拿汽車工廠）由于被蠕蟲感染而被迫關閉，50000名生產工人被迫停止工作，直接經濟損失超過140萬美元[3]。

2006年8月，美國Browns Ferry核電站，因其控制網絡上的通信信息過載，導致控制水循環系統的驅動器失效，使反應堆處于“高功率，低流量”的危險狀態，核電站工作人員不得不全部撤離，直接經濟損失達數百萬美元。

2007年，攻擊者入侵加拿大的一個水利SCADA控制系統，通過安裝惡意軟件破壞了用于控制薩克拉門托河河水調度的控制計算機系統。

2008年，攻擊者入侵波蘭羅茲（LodZ）市的城市鐵路系統，用一個電視遙控器改變了軌道扳道器的運行，導致四節車廂脫軌。

2010年6月，德國安全專家發現可攻擊工業控制系統的Suxnet病毒，截止9月底，該病毒感染了超過45000個網絡，其中伊朗為嚴重，直接造成其核電站推遲發電。

我國同樣遭受著工業控制系統信息安全漏洞的困擾，比如2010年齊魯石化、2011年大慶石化煉油廠，某裝置控制系統分別感染Conficker病毒，都造成控制系統服務器與控制器通訊不同程度的中斷[5]。

通過相關工控事件案例分析可以發現，導致工業控制系統安全問題日益加劇的原因有以下幾點。

（1）工業控制系統自身有漏洞、防護措施薄弱

工業控制系統的設計開發并未將系統防護、數據保密等安全指標納入其中，另外，工業控制系統使用的現場控制設備中大量使用了標準的信息網絡技術或產品。這些技術和產品并沒有針對工控系統的應用環境進行優化和專門設計，導致為工控系統引入了大量的漏洞。經統計，相關廠商設備漏洞中，羅克韋爾自動化公司相關設備高危漏洞4個，西門子公司相關設備高危漏洞7個，橫河公司相關設備高危漏洞6個。Windows XP操作系統截至SP3補丁更新時高危漏洞239個，在2014年4月8日停止服務支持后，發現的高危漏洞為119個，共計358個[5]。

很多企業中，由于工業控制系統類型多樣化，安全管理意識和職責不明確，導致網絡間的數據傳輸和授權管理未實施明確的安全策略。另一方面企業管理層連接互聯網，從而導致互聯網用戶可以利用企業管理網絡系統的漏洞，對工業控制系統運行帶來造成重大安全隱患。經統計，工控系統遭入侵的方式多樣，其入侵途徑以透過企業廣域網及商用網絡方式為主，除此之外還包括通過工控系統與因特網的直接連接等方式。

（2）終端安全管理問題突出

工業控制終端具有遠程維護或診斷功能，但不具有嚴格的安全措施，可能導致系統的非授權訪問。同時移動終端自身的安全問題（如病毒、木馬等惡意程序），也可能感染整個系統。

（3）入侵、攻擊手段的隱蔽

大多對工業控制系統的入侵和攻擊手段極為隱蔽、木馬和蠕蟲病毒的潛伏周期較長，待發現時已對企業國家造成嚴重損失。據金山網絡安全事業部的統計報告顯示，一般的防御機制需要2個月的時間才能確認針對工業控制系統的攻擊行為，對于更為隱蔽的Stunet及Duqu病毒，則需要長達半年之久。

3.2　應對情況

自Stuxnet病毒爆發以來，工業控制系統的安全就成為各國所關注的焦點。工控系統信息安全成為新的關注點主要有兩個方面的原因：一方面，過去的工業控制系統是使用專業的系統、專業的隊伍、專業的設備，只有小范圍人群了解和掌握。隨著計算機技術的發展，很多專業的系統實現了通用化，現在的工控系統開始在通用技術的基礎上做專業的系統設計，如操作系統、數據庫軟件、通訊協議等計算機通用產品和協議，這樣一來，存在于計算機信息系統中的漏洞被帶到了工控系統里。另一方面，長期以來工控系統并沒有因為信息安全問題發生大的事故，人們普遍存在“病毒很少能對工業控制系統造成危害”的意識。但是，伊朗的“震網”事件，給了*一個警示，計算機病毒不僅可以感染到工控系統，而且可以對控制對象進行物質破壞。

針對越發嚴重的工業系統入侵等安全事件，世界各國都在積極研究相應的應對措施。歐美先后制定了IEC62443《工業過程測量、控制和自動化網絡與系統信息安全》、SP800-82《工業控制系統（ICS）安全指南》等標準。

美國成立了工業控制系統網絡應急小組（Industrial Control Systems Cyber Emergency Response Team，ICS-CERT），專注于協助美國計算機應急相應小組US-CERT處理工業控制系統安全方面的事宜，其職能包括：對已發生的工控安全事件進行處理分析，以便將來避免發生類似的安全事件；引導系統脆弱性分析和惡意軟件分析；提供對事件相應和取證分析的現場支持等。同時美國國土安全局建立了工業控制系統聯合工作小組（Industrial Control Systems Joint Working Group，ICSJWG），主要是促進國家工業控制系統的信息共享，降低系統風險。

目前，我國工控系統的安全形勢非常嚴峻。調查發現，約80%的企業從來不對工控系統進行升級和漏洞修補，有52%的工控系統與企業的管理系統、內網甚至互聯網連接；此外，一些存在漏洞的國外工控產品依然在國內的某些重要裝置上使用。更為嚴重的問題還在于，我們對于發現風險源頭缺乏手段，對控制風險的技術與方法缺乏必要的研究。對此，我國先后發布了《關于加強工業控制系統信息安全管理的通知》（[2011]451號）、《關于大力推進信息化發展和切實保障信息安全的若干意見（國發[2012]23號）》 等文件，促進工業控制系統信息安全體系的建設，但大部分對口標準都在編制過程中。

4　工業控制系統信息安全發展趨勢

工業控制系統漏洞攻擊正向著簡單控制器受攻擊增大、利用網絡協議進行攻擊、專業攻擊人員進行攻擊、利用病毒進行攻擊、工業控制系統漏洞挖掘與發布同時增長的趨勢發展。當前，美國和歐盟都從國家戰略的層面在開展各方面的工作，積極研究工業控制系統信息安全的應對策略。我國也在政策層面和研究層面積極開展工作，但我國工業控制系統信息安全工作起步晚，總體上技術研究尚屬起步階段，管理制度不健全，相關標準規范不完善，技術防護措施不到位，安全防護能力和應急處理能力不高，這些問題都威脅著工業生產安全和社會正常運作。因此，整合各方面優勢資源，促進工業控制系統信息安全產業的形成，是未來工業控制系統網絡信息安全發展的基本趨勢。

工業控制系統信息安全技術的發展，將隨著工業自動化系統的發展而不斷演化。目前自動化系統發展的趨勢就是數字化、智能化、網絡化和人機交互人性化。同時將更多的IT技術應用到傳統的邏輯控制和數字控制中。工業控制系統信息安全技術未來也將進一步借助傳統IT技術，使其更加智能化、網絡化，成為控制系統*的一部分。與傳統IP互聯網的信息安全產品研發路線類似，工業控制系統信息安全產品將在信息安全與工業生產控制之間找到契合點，形成工業控制系統特色鮮明的安全輸入、安全控制、安全輸出類產品體系。值得指出的是，隨著工業控制系統信息安全認識和相關技術的不斷深化，必將產生一系列與工業控制系統功能安全、現場應用環境緊密，特色鮮明的工業控制系統安全防護工具、設備及系統。

5　總結與展望

從總體上看，我國工業控制系統信息安全防護體系建設滯后于系統本身的建設，還處于初級階段，需要根據工業控制系統信息安全保障體系建設需求，基于國家信息安全標準體系框架，建立工業控制系統信息安全標準體系總體框架。自2013年開始，康拓工控先后對城市軌道、鐵路以及城市供水等工業控制系統進行了大量的系統安全性分析，逐步梳理現有信息安全標準在上述工業控制系統建設中的應用關系，以實現工業控制系統“可發現、可防范、可替代”的目標，提升工控安全核心競爭力，為我國兩化的深度融合、實施制造強國戰略提供可靠的信息安全保障。

作者簡介

呂建民（1980-），男，河南濮陽人，工程師，碩士，現就職于北京康拓科技有限公司，主要從事工業控制系統研究工作。