工業(yè)控制系統(tǒng)是承載國(guó)家經(jīng)濟(jì)發(fā)展、維護(hù)社會(huì)穩(wěn)定的重要基礎(chǔ)設(shè)施，本文以石化、冶金、電力、軌交等重點(diǎn)行業(yè)為出發(fā)點(diǎn)，從安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)等方面，分析工控安全現(xiàn)狀以及存在的信息安全隱患。

1.引言

隨著信息技術(shù)的迅猛發(fā)展，工業(yè)控制系統(tǒng)在控制規(guī)模、控制技術(shù)和信息共享方面都有巨大的變化，由最初簡(jiǎn)單控制的封閉系統(tǒng)發(fā)展成現(xiàn)在復(fù)雜或者先進(jìn)控制的開(kāi)放系統(tǒng)，針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊事件日益增多，石油化工、冶金、電力、軌道交通、煙草等國(guó)家重點(diǎn)行業(yè)面臨前所未有的網(wǎng)絡(luò)安全威脅。本文將結(jié)合典型行業(yè)特點(diǎn)，從網(wǎng)絡(luò)、控制、應(yīng)用和數(shù)據(jù)等方面，對(duì)工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及存在的信息安全隱患進(jìn)行分析。

2.石化行業(yè)特點(diǎn)

2.1行業(yè)背景

石化行業(yè)信息化建設(shè)具有較好的基礎(chǔ)，企業(yè)在管理層的指揮、協(xié)調(diào)和監(jiān)控能力，上傳下達(dá)的實(shí)時(shí)性、完整性和一致性都有很大提升，相應(yīng)的網(wǎng)絡(luò)安全防護(hù)情況也有了明顯改善。隨著石化企業(yè)管控一體化的推進(jìn)，越來(lái)越多的工控系統(tǒng)通過(guò)信息網(wǎng)連接到互聯(lián)網(wǎng)上，潛在的安全威脅與之俱增。2017年，中石化發(fā)布《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)安全防護(hù)的指導(dǎo)意見(jiàn)》，從安全配置、邊界安全防護(hù)、安全監(jiān)測(cè)、風(fēng)險(xiǎn)預(yù)警等方面對(duì)工控系統(tǒng)提出安全防護(hù)要求。

石化行業(yè)涉及互聯(lián)網(wǎng)及集團(tuán)網(wǎng)、管理網(wǎng)、生產(chǎn)網(wǎng)三層網(wǎng)絡(luò)架構(gòu)，包含采油、煉油、輸油等生產(chǎn)環(huán)節(jié)。生產(chǎn)區(qū)域一般按照不同的生產(chǎn)工藝，以裝置為單位進(jìn)行生產(chǎn)區(qū)域劃分，各生產(chǎn)區(qū)域內(nèi)的工業(yè)控制系統(tǒng)一般包括：分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、安全儀表系統(tǒng)（SIS）、火災(zāi)及可燃?xì)怏w報(bào)警系統(tǒng)（FGS）、SCADA系統(tǒng)等。石化行業(yè)工業(yè)控制系統(tǒng)注重安全、穩(wěn)定、長(zhǎng)期、滿負(fù)荷、優(yōu)質(zhì)的運(yùn)行，且相互關(guān)聯(lián)、相互依存。

2.2存在的安全隱患

（1）裝置品牌眾多，安全運(yùn)維困難。煉化采用DCS，倉(cāng)儲(chǔ)采用PLC，管輸采用SCADA系統(tǒng)，各生產(chǎn)區(qū)域工控系統(tǒng)的品牌不一，難以統(tǒng)一管理，且控制設(shè)備種類繁多、國(guó)產(chǎn)化率較低、系統(tǒng)運(yùn)行維護(hù)困難，無(wú)法做到安全自主可控。

（2）各層網(wǎng)絡(luò)間無(wú)隔離防護(hù)。企業(yè)的控制網(wǎng)絡(luò)系統(tǒng)復(fù)雜多樣，缺乏必要的安全邊界及區(qū)域功能劃分，過(guò)程控制層與數(shù)據(jù)采集層，先進(jìn)控制（APC）系統(tǒng)與過(guò)程控制網(wǎng)，控制器與操作員站（工程師站），缺少訪問(wèn)控制措施。一旦系統(tǒng)某節(jié)點(diǎn)出現(xiàn)病毒、木馬等問(wèn)題，會(huì)迅速蔓延至整個(gè)網(wǎng)絡(luò)。

（3）工程師站缺少身份認(rèn)證機(jī)制。工程師站一般情況下只有管理員賬戶，對(duì)操作員站、DCS控制器的組態(tài)行為通常缺乏身份認(rèn)證，由于擁有最高操作權(quán)限，可以任意修改控制邏輯和流程，存在對(duì)現(xiàn)場(chǎng)設(shè)備直接組態(tài)的重大隱患。

（4）APC系統(tǒng)本身未加裝任何安全防護(hù)。在項(xiàng)目工程師安裝、調(diào)試和修改期間，APC系統(tǒng)需要頻繁與外部進(jìn)行數(shù)據(jù)交換，感染病毒的風(fēng)險(xiǎn)較高。一旦APC系統(tǒng)出現(xiàn)感染木馬、病毒等問(wèn)題，實(shí)時(shí)運(yùn)行的控制系統(tǒng)安全將無(wú)法保障。

3.冶金行業(yè)特點(diǎn)

3.1行業(yè)背景

冶金行業(yè)信息化程度逐漸提高，但主流控制系統(tǒng)大部分裝置是國(guó)外品牌，安全自主可控難以實(shí)現(xiàn)。隨著兩化融合的推進(jìn)，絕大多數(shù)工控系統(tǒng)與企業(yè)管理信息系統(tǒng)處于同一網(wǎng)絡(luò)平面，加上內(nèi)網(wǎng)系統(tǒng)的遠(yuǎn)程運(yùn)維需求及對(duì)U盤等外設(shè)的接入需求，致使工控網(wǎng)絡(luò)邊界安全和內(nèi)網(wǎng)工業(yè)主機(jī)安全不受控。2016年，中國(guó)鋼鐵工業(yè)協(xié)會(huì)下發(fā)《關(guān)于做好防范PLC-Blaster蠕蟲病毒工作的通知》，強(qiáng)調(diào)廣泛應(yīng)用于鋼鐵行業(yè)的西門子S7系列PLC設(shè)備是該病毒的主要攻擊目標(biāo)，潛在威脅極大，需結(jié)合自身實(shí)際情況組織針對(duì)性防范。

3.2存在的安全隱患

（1）生產(chǎn)控制網(wǎng)絡(luò)及系統(tǒng)未分層、分區(qū)。分廠控制網(wǎng)絡(luò)通常采用同一網(wǎng)段，現(xiàn)場(chǎng)PLC、DCS等重要控制設(shè)備缺少安全防護(hù)，同時(shí)各分廠控制網(wǎng)與骨干環(huán)網(wǎng)、生產(chǎn)監(jiān)控網(wǎng)與辦公網(wǎng)之間缺乏隔離防護(hù)措施，無(wú)法將惡意代碼、非法操作等行為控制在安全區(qū)域內(nèi)。

（2）通信協(xié)議多樣，難以保障數(shù)據(jù)采集安全。由于控制流程復(fù)雜、設(shè)備種類繁多，采用的通信協(xié)議復(fù)雜多樣，數(shù)據(jù)和接口類型千差萬(wàn)別，數(shù)據(jù)集中管理與維護(hù)難度較大，無(wú)法保證各采集平臺(tái)的數(shù)據(jù)完整性。

（3）缺少安全監(jiān)測(cè)和審計(jì)措施。操作和管理人員的技術(shù)水平不一、安全意識(shí)不足，容易出現(xiàn)越權(quán)訪問(wèn)、違規(guī)操作等情況，由于系統(tǒng)缺乏對(duì)用戶操作行為的審計(jì)和監(jiān)控，無(wú)法及時(shí)發(fā)現(xiàn)非法訪問(wèn)、操作異常、惡意攻擊等行為，給生產(chǎn)系統(tǒng)埋下極大的安全隱患。

（4）無(wú)法對(duì)網(wǎng)絡(luò)安全事件進(jìn)行報(bào)警或追蹤。大多數(shù)控制系統(tǒng)缺少日志分析與事件報(bào)警功能，安全事件發(fā)生時(shí)，系統(tǒng)不能對(duì)網(wǎng)絡(luò)故障進(jìn)行預(yù)警或報(bào)警，且無(wú)法追蹤和定位事件的源頭，針對(duì)性安全防護(hù)工作也就無(wú)從下手。

4.電力行業(yè)特點(diǎn)

4.1行業(yè)背景

電力行業(yè)作為工業(yè)控制領(lǐng)域信息安全防護(hù)建設(shè)的先行者，已在信息安全防護(hù)建設(shè)方面積累了大量經(jīng)驗(yàn)：電力企業(yè)在電力監(jiān)控系統(tǒng)安全防護(hù)體系建設(shè)過(guò)程中始終堅(jiān)持自主可控的原則，研究信息隔離與交換、縱向加密認(rèn)證等多項(xiàng)專用安全防護(hù)技術(shù)，進(jìn)而形成了多項(xiàng)信息安全行業(yè)技術(shù)規(guī)范和標(biāo)準(zhǔn)；針對(duì)關(guān)鍵產(chǎn)品進(jìn)行自主研發(fā)，并統(tǒng)一組織進(jìn)行嚴(yán)格測(cè)試，保證關(guān)鍵系統(tǒng)的安全自主可控；各電力企業(yè)相繼建立了信息安全相關(guān)組織體系，建成了較為完善的信息安全管理制度，包括信息安全總體安全防護(hù)策略、管理辦法、信息通報(bào)和應(yīng)急處置制度，涵蓋了信息安全活動(dòng)的主要方面；總結(jié)形成了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的信息安全防護(hù)策略，建立了多技術(shù)層面的防護(hù)體系，做到了物理、網(wǎng)絡(luò)、終端和數(shù)據(jù)的多角度、全方面保護(hù)。

4.2存在的安全隱患

（1）未建立工業(yè)控制主機(jī)和設(shè)備的安全配置策略。多數(shù)工業(yè)主機(jī)上未安裝防病毒或白名單軟件，且系統(tǒng)中存在大量USB存儲(chǔ)設(shè)備使用記錄，未通過(guò)主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施訪問(wèn)控制，工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備均未采用多因素認(rèn)證方式。安全設(shè)備配置不合理，防火墻規(guī)則和路由器配置不當(dāng)容易引發(fā)通信安全風(fēng)險(xiǎn)，訪問(wèn)控制規(guī)則配置不正確的防火墻可能許可不必要的網(wǎng)絡(luò)數(shù)據(jù)傳輸，如在企業(yè)網(wǎng)和控制網(wǎng)之間進(jìn)行數(shù)據(jù)交換，可能導(dǎo)致惡意攻擊或惡意代碼在系統(tǒng)網(wǎng)絡(luò)的傳播，重要工業(yè)數(shù)據(jù)容易被竊聽(tīng)。

（2）電力系統(tǒng)對(duì)時(shí)序要求嚴(yán)格，容易出現(xiàn)傳輸延遲等問(wèn)題。SCADA和自動(dòng)化控制系統(tǒng)對(duì)受控對(duì)象的直接操作具有高度時(shí)效性，不允許發(fā)生重大延遲和系統(tǒng)震蕩，以變電站運(yùn)作為例，觸發(fā)電路開(kāi)關(guān)延遲可能導(dǎo)致功率波動(dòng)甚至停電。如果惡意攻擊者頻繁發(fā)起常見(jiàn)請(qǐng)求，即使防火墻能夠阻止未授權(quán)的請(qǐng)求，但在數(shù)據(jù)處理能力不足、帶寬受限的情況下，也會(huì)引起網(wǎng)絡(luò)延遲，難以滿足傳輸?shù)膶?shí)時(shí)性要求。

（3）系統(tǒng)各種業(yè)務(wù)的應(yīng)用程序缺少驗(yàn)證機(jī)制。多數(shù)電力工業(yè)控制設(shè)備缺乏身份驗(yàn)證機(jī)制，即便有，大部分也為設(shè)備供應(yīng)商默認(rèn)的用戶名和密碼，極易被猜到或破解，一般不會(huì)定期更換密碼，同時(shí)應(yīng)用系統(tǒng)的資源（如文件、數(shù)據(jù)庫(kù)表等）存在被越權(quán)使用的風(fēng)險(xiǎn)。對(duì)關(guān)鍵設(shè)備和組件缺少冗余配置，導(dǎo)致應(yīng)用程序?qū)收系臋z測(cè)、處理和恢復(fù)能力不足，缺少對(duì)程序界面輸入內(nèi)容或是注入攻擊的驗(yàn)證，如SQL注入攻擊等，系統(tǒng)數(shù)據(jù)庫(kù)存在泄漏的風(fēng)險(xiǎn)。

（4）管理信息大區(qū)積累大量電力敏感數(shù)據(jù)，存在泄漏或被篡改的風(fēng)險(xiǎn)。不僅僅是居民的用電數(shù)據(jù)，個(gè)人信息也存儲(chǔ)在電力數(shù)據(jù)庫(kù)中，電力調(diào)度、檢修、運(yùn)維等數(shù)據(jù)極易被批量查詢，從而導(dǎo)出個(gè)人敏感信息，缺乏對(duì)敏感字符的過(guò)濾機(jī)制將帶來(lái)安全風(fēng)險(xiǎn)。同時(shí)電力數(shù)據(jù)通常不進(jìn)行定期備份，如果發(fā)生人為誤操作導(dǎo)致數(shù)據(jù)更改或刪除，或是數(shù)據(jù)庫(kù)自身出現(xiàn)故障、服務(wù)器宕機(jī)，數(shù)據(jù)存儲(chǔ)安全性難以保證。

5.軌交行業(yè)特點(diǎn)

5.1行業(yè)背景

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信號(hào)系統(tǒng)信息化的深度集成，CBTC系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與PIS網(wǎng)絡(luò)、語(yǔ)音廣播等其他子系統(tǒng)互聯(lián)，甚至與公共網(wǎng)絡(luò)連接，導(dǎo)致病毒、木馬等威脅向CBTC系統(tǒng)擴(kuò)散。一旦CBTC系統(tǒng)出現(xiàn)信息安全問(wèn)題，將對(duì)城市軌道交通的穩(wěn)定運(yùn)行和乘客的人身安全產(chǎn)生重大影響。某地軌道交通運(yùn)營(yíng)公司在《軌道交通信息安全技術(shù)架構(gòu)》中提出信息安全建設(shè)的總體目標(biāo)為：全面防護(hù)、保護(hù)重點(diǎn)、專區(qū)專用、強(qiáng)化邊界，旨在提升信息安全的預(yù)警能力、保障能力、檢測(cè)能力、應(yīng)急能力和恢復(fù)能力。要求以GB/T 22239為基礎(chǔ)，以“安全分區(qū)、網(wǎng)絡(luò)專用、三網(wǎng)隔離、分級(jí)防護(hù)”為原則，在技術(shù)層面要求各系統(tǒng)統(tǒng)一技術(shù)架構(gòu)和標(biāo)準(zhǔn)，按相應(yīng)等級(jí)要求建設(shè)、實(shí)施。

5.2存在的安全隱患

（1）現(xiàn)場(chǎng)環(huán)境嚴(yán)苛，網(wǎng)絡(luò)設(shè)備存在被動(dòng)適應(yīng)安全隱患。軌交現(xiàn)場(chǎng)的機(jī)電一體化設(shè)備通常部署在較為苛刻的環(huán)境中，傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備難以穩(wěn)定運(yùn)行，因此無(wú)法保證工業(yè)網(wǎng)絡(luò)及控制系統(tǒng)的信息安全。苛刻的環(huán)境條件包括極端的溫度、EMC、EMI等，其對(duì)傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備造成的破壞可能比惡意程序或代碼的攻擊更為嚴(yán)重。

（2）無(wú)線通信安全性亟待加強(qiáng)。信號(hào)系統(tǒng)的無(wú)線信號(hào)是開(kāi)放的，軌旁無(wú)線與列車通信鏈路采用同一頻段，可能出現(xiàn)用戶未經(jīng)授權(quán)非法接入信號(hào)系統(tǒng)、數(shù)據(jù)在傳輸過(guò)程中被監(jiān)聽(tīng)竊取等問(wèn)題。無(wú)線網(wǎng)絡(luò)的開(kāi)放性增加了無(wú)線設(shè)備配置的安全風(fēng)險(xiǎn)，無(wú)線網(wǎng)加密機(jī)制存在安全隱患。

（3）軌交列控系統(tǒng)存在移動(dòng)媒介、以太網(wǎng)接口以及設(shè)備接入隱患。工業(yè)主機(jī)大量使用外設(shè)接口，安全管理技術(shù)手段欠缺，存在USB協(xié)議、U盤運(yùn)行、U盤固件設(shè)計(jì)隱患；多數(shù)交換機(jī)、工控機(jī)等設(shè)備中存在未使用且開(kāi)放的端口，各種系統(tǒng)及設(shè)備接入缺乏訪問(wèn)控制措施。

（4）數(shù)據(jù)庫(kù)安全隱患。管理方式不當(dāng)、操作系統(tǒng)故障及軟件故障都會(huì)導(dǎo)致軌道交通子系統(tǒng)性能的下降，影響系統(tǒng)的可用性；獲得系統(tǒng)控制權(quán)限的攻擊者可能接觸到數(shù)據(jù)庫(kù)，缺省密碼或弱密碼易導(dǎo)致關(guān)鍵控制數(shù)據(jù)被篡改或者喪失，或列車失去控制，嚴(yán)重甚至導(dǎo)致人員傷亡。

6.行業(yè)共性問(wèn)題

（1）未進(jìn)行安全域劃分，安全邊界模糊。大多數(shù)行業(yè)的工控系統(tǒng)各子系統(tǒng)之間沒(méi)有隔離防護(hù)，未根據(jù)區(qū)域重要性和業(yè)務(wù)需求對(duì)工控網(wǎng)絡(luò)進(jìn)行安全區(qū)域劃分，系統(tǒng)邊界不清晰，邊界訪問(wèn)控制策略缺失，重要網(wǎng)段和其他網(wǎng)段之間缺少有效的隔離手段，一旦出現(xiàn)網(wǎng)絡(luò)安全事件，安全威脅無(wú)法控制在特定區(qū)域內(nèi)。

（2）操作系統(tǒng)存在漏洞，主機(jī)安全防護(hù)不足。工程師站和操作員站一般是基于Windows平臺(tái)，包括NT4.0、2000、XP、Win7、Server2003等，考慮到殺毒軟件和系統(tǒng)補(bǔ)丁可能對(duì)控制系統(tǒng)的穩(wěn)定運(yùn)行造成影響，即便安裝殺毒軟件也存在病毒庫(kù)過(guò)期等問(wèn)題，因此通常不安裝或運(yùn)行殺毒軟件，系統(tǒng)補(bǔ)丁在特殊情況下才進(jìn)行更新或升級(jí)。同時(shí)，移動(dòng)存儲(chǔ)介質(zhì)和軟件運(yùn)行權(quán)限管理缺失，控制系統(tǒng)極易感染病毒。

（3）通信協(xié)議的安全性考慮不足，容易被攻擊者利用。專用的工控通信協(xié)議或規(guī)約在設(shè)計(jì)之初一般只考慮通信的實(shí)時(shí)性和可用性，很少或根本沒(méi)有考慮安全性問(wèn)題，例如缺乏強(qiáng)度足夠的認(rèn)證、加密或授權(quán)措施等，特別是工控系統(tǒng)中的無(wú)線通信協(xié)議，更容易受到中間人的竊聽(tīng)和欺騙性攻擊。為保證數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性，Modbus/TCP、OPC Classic、IEC 60870-5-104、DNP 3.0、Profinet、EtherNet/IP等工控協(xié)議多采用明文傳輸，易于被劫持和修改。

（4）安全策略和管理制度不完善，人員安全意識(shí)不足。目前大多數(shù)行業(yè)尚未形成完整合理的信息安全保障制度和流程，對(duì)工控系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維、評(píng)估等階段的信息安全需求考慮不充分，配套的事件處理流程、人員責(zé)任體制、供應(yīng)鏈管理機(jī)制有所欠缺。同時(shí)，缺乏工控安全宣傳和培訓(xùn)，對(duì)人員安全意識(shí)的培養(yǎng)不夠重視，工控系統(tǒng)經(jīng)常會(huì)接入各種終端設(shè)備，感染病毒、木馬等的風(fēng)險(xiǎn)極大，給系統(tǒng)安全可靠運(yùn)行埋下隱患。

7.結(jié)語(yǔ)

工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運(yùn)行、國(guó)家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全，保障系統(tǒng)信息安全是維護(hù)工業(yè)控制系統(tǒng)穩(wěn)定運(yùn)行的重要前提，是開(kāi)展工業(yè)建設(shè)的堅(jiān)實(shí)基礎(chǔ)。針對(duì)不同的工業(yè)控制系統(tǒng)信息安全需求及系統(tǒng)運(yùn)行情況，選擇恰當(dāng)?shù)陌踩雷o(hù)措施，全方位地對(duì)工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行分析和評(píng)估，才能確保各行業(yè)網(wǎng)絡(luò)的安全、可靠，避免信息安全隱患造成不可預(yù)估的損失。