水利工程工业控制系统网络安全研究

杨 旭，谢 丰，任旭诚

（1. 水利部水利信息中心，北京 100053；2. 中国信息安全测评中心，北京 100085；3. 北京金水信息技术发展有限公司，北京 100053）

水利工程工业控制系统网络安全研究

杨 旭1，谢 丰2，任旭诚3

（1. 水利部水利信息中心，北京 100053；2. 中国信息安全测评中心，北京 100085；3. 北京金水信息技术发展有限公司，北京 100053）

近年来，工业控制系统面临的网络安全风险日渐增大，已威胁到工业生产正常运行。水利工程工业控制系统承担防洪、航运、发电等重要职责，安全运行至关重要。为加强水利工程工业控制系统安全管理，从实地调研和问卷调查两方面对水利工程工业控制系统的运行情况和安全措施等进行统计。分析表明水利工程工业控制系统在管理和技术两方面都存在较多薄弱点，亟需建立管理与技术并重，具备深度防御能力的安全防护体系，以确保水利工程工业控制系统安全稳定运行。

水利工程；工业控制系统；网络安全；深度防御

0 引言

在信息化和工业化深度融合的发展需求下，为实现生产高效运行，提高管理效率，国内外众多行业大力推进工业控制系统自身的集成化及管理，系统的互联互通逐步加强。但工业控制系统在建设时考虑更多的是系统自身的可用性和功能安全性，并没有考虑系统之间互联互通可能带来的网络安全风险，导致工业控制系统面临的网络威胁加剧。

水利工程控制系统承担了防洪、灌溉、航运、水利发电等关系到国计民生的职责，一旦遭受网络攻击，可能会引起人员伤亡、财产损失等重大风险。为提高水利工程网络安全保障水平，一方面选取具有较强代表性的 6 家水利工程设计及运行单位进行现场调研，另一方面对水利主要工业控制系统的运行情况进行问卷调查，调研内容包括水利工程工业控制系统实际情况、运维管理措施、安全防护设计等。在剖析水利工程工业控制系统调研资料的基础上，系统性分析当前水利工程控制系统存在的主要安全隐患，并提出针对性建议，以促进水利工程工业控制系统网络安全防护。

1 工业控制系统网络安全概况

工业控制系统广泛用于能源、交通、智能制造、市政等领域，是国家关键基础设施的“大脑”和“中枢神经”，一旦遭到破坏，不仅会影响产业经济的持续发展，更会对国家安全造成巨大的损害。

随着工业化和信息化的深度融合，近年来针对工业控制系统的攻击事件层出不穷[1]，例如 2010年“震网”病毒入侵伊朗核电站；2011年，黑客入侵美国伊利诺伊州城市供水系统，破坏了供水泵；2015年，乌克兰电力系统遭到恶意代码攻击，导致大面积停电。美国工业控制系统网络应急响应小组（ICS-CERT）2015年对包括供水、能源和石油等行业开展 112 项安全评估，发现 638 个漏洞，主要集中在边界防护、身份鉴别等方面[2]。这些事件充分表明当前工业控制系统面临的安全形势极为严峻。

我国一些行业已经开展了工业控制安全防护工作。例如，2015年国家能源局发布了《电力监控系统安全防护总体方案》[3]，制定了“安全分区，网络专用，横向隔离，纵向认证”的总体原则，并针对发电厂、变电站、配电网等制定了专门的安全防护方案，以保障电力监控系统的安全，防范黑客及恶意代码等对电力监控系统的攻击和侵害。

但总体而言，目前我国主要关键基础设施的工业控制系统网络安全防护处于起步阶段，亟需尽快建立适合工业环境特点的网络安全防护体系，才能抵御黑客攻击、恶意病毒等各类网络威胁，确保工业平稳运行。

2 水利工程工业控制系统网络安全现状

在对水利工程工业控制系统现场调研分析的基础上，从“系统基本情况”和“安全防护情况”这 2 个维度共 8 个方面对水利工程工业控制系统现状进行分析。

2.1 两化融合建设方面

为实现对水利工程的实时监控和管理，达到“无人值班、少人值守”的管理水平，各地水利工程建设单位积极推进科技创新和信息化建设。工业控制系统在水利工程信息化建设带动下，逐渐摆脱“信息孤岛”模式，实现了互联互通。但由于各地需求和建设改造周期不同，信息化建设程度差异明显。根据问卷调研表统计，约占总数 60% 的重要工业控制系统实现了联网。

2.2 系统网络架构方面

水利工程工业控制系统，如闸门、泵站和机组等监控系统，虽然要实现的系统功能不同，但均采用类似的系统网络架构，自下而上分为现场设备层、控制层和过程监控层[4]。

现场设备层主要包含各类传感器和执行器，如水位计、闸位机、泵站、启闭机、发电机组等设备，主要功能是利用各类传感器将数据采集到监控层实现自动化监控，通过执行器实现对闸门、泵站和机组的控制；现场控制层主要包含现地控制单元（LCU），由 PLC 控制器等组成，可以自动采集传感器的状态，并通过控制逻辑实现对执行器输出控制指令；过程监控层主要包含数据库服务器、操作员站（HMI）、工程师站等设备，操作人员可通过 HMI 实现对现场设备层设备的状态监视，并通过对 LCU 发送控制指令实现对现场设备层设备的控制。

2.3 系统控制模式方面

水利工程工业控制系统使用 LCU 对闸门、机组等进行控制，一般分为现地、本地（通过上位机进行操作）和集中（远程上位机操作）3 种控制模式，通常情况下现地控制模式优先级最高。这样可提高系统的可靠性，即便控制器发生故障，现场人工操作仍起作用。

调研发现，不同单位选择的控制模式差异较大。信息化建设发展相对滞后的单位，工业控制系统通常仅支持现地控制模式，网络架构仅包含现场设备层和控制层，不与外部系统进行通信，系统相对独立。相反，信息化建设相对较好的单位，工业控制系统可支持本地或集中控制模式。本地控制模式的控制范围仅限部署在某一位置的 LCU，集中控制模式的控制范围可以实现对多地工业控制系统的监视和控制，可以看作是多个支持本地控制模式的控制系统的网络连接。因此集中控制模式的控制范围影响面较大。

2.4 网络通信连接方面

为实现相应的业务需求，水利工程工业控制系统与外围系统存在多种类型的通信，如与调度中心的通信，工业控制系统会将实时状态信息传输给调度中心以进行调度决策；工业控制系统（主要是机组监控系统）与电力调度系统的通信，通信为双向传输，调度系统给工业控制系统传输遥控和遥调命令，如电量调度曲线等，工业控制系统给调度系统输出机组状态信息；与其他自动化系统的通信，如水情测报、大坝安全监测系统等。

2.5 系统设备使用方面

根据调研，水利工程工业控制系统所采用的控制设备以国外品牌居多，约占 80%，国产设备仅在部分工业控制系统中得到应用。同时，水利工程工业控制系统的上位机操作系统覆盖了 Windows，Linux，Unix 等，其中 Windows 大量采用 2000，NT，XP 等老旧系统。

2.6 系统运行维护方面

为确保水利工程工业控制系统的稳定运行，各地水利工程管理单位均制定了操作规范及维护管理办法等制度，在调研中查看到部分重要操作流程和管理制度被张贴在机房醒目位置。系统维护方式主要分自行和委托 2 种维护方式，调研发现，无论是自行维护还是委托维护都不存在远程维护的情况，也不存在国外单位直接维护的情况。

2.7 安全管理制度方面

网络安全管理制度是保障工业控制系统网络安全的重要因素。为保障水利工业控制系统安全，各地水利工程建设单位的网络安全管理制度逐渐扩展到工业控制系统，涉及人员和操作管理、应急处置预案等方面。

2.8 安全防护措施方面

调研发现，目前除仅支持现地控制模式的工业控制系统未采取网络安全防护措施外，其他工业控制系统均采取了一定的网络安全防护措施，如防火墙、网闸、身份鉴别、安全审计等安全产品。水利工程在设计时主要考虑由自然、管理、人为等因素引发的工程及供水和人身等安全事件，针对工业控制系统网络安全建设还缺乏规划、设计和指导。

3 水利工程工业控制系统网络安全存在的主要问题

根据调研分析，水利行业工业控制系统网络安全建设与国家要求相比，仍存在一些差距[5]。

3.1 缺少行业标准

网络安全是一个系统性工程，需从组织管理、监督检查和预警、纵深防御、应急响应等方面全方位考虑。从调研情况看，各地水利工程建设单位积极采取了一些网络安全防护措施，但总体上安全防护措施较为零散，缺乏整体性和系统性。目前，国内外出台了一些工业控制系统网络安全防护标准或指南，但缺少针对性，水利工程工业控制系统的网络安全建设仍缺乏统一、明确的指导思想和行业规范。

3.2 设备国产化率偏低

调研发现，水利工程工业控制系统中的控制设备和组态软件以德国西门子、法国施耐德、美国 GE等公司的产品为主，控制设备核心技术掌握在国外厂商手中，技术上不能实现安全可控。部分水利工程工业控制系统设备老旧，如很多工业控制上位机还在使用 Windows XP 操作系统。根据国家信息安全漏洞库（CNNVD）的统计，施耐德、西门子和 GE等公司的多款控制器设备曾被报告存在多个漏洞。

3.3 安全管理制度不完善

各地水利工程管理单位相继制定了水利工程工业控制系统安全管理制度，但是这些管理制度主要体现在生产管理和操作规程上，对于如何防范计算机病毒及在发生网络攻击事件时进行应急处置等方面缺乏相应的安全管理制度。

3.4 人员安全意识不足

调研发现，仍有部分水利工程工业控制系统相关工作人员存有“物理隔离的独立工业控制系统，就绝对安全”“工业控制系统安装防火墙设备，就不存在网络安全问题”等错误认识。这种安全意识容易造成工业控制安全防范的疏忽。人员意识的不足可能会造成管理的疏忽或政策落实的不到位，进而影响到水利工程工业控制系统本身的安全。网络安全建设是一个系统性建设工程，要从技术与管理两方面抓起，加强安全意识培训，提高水利工程工业控制系统相关工作人员的安全意识。

4 水利工程工业控制系统网络安全对策建议

4.1 加强组织领导

水利工程工业控制系统网络安全既涉及生产运营，又涉及网络安全管理，是一个跨部门的交叉领域。一般而言，生产运营部门负责生产计划的调度和执行，网络安全部门负责安全管理及防护建立。由于增加网络安全措施势必会在一定程度上影响工业控制系统的运转，因此如何协调不同部门并建立网络安全措施是一个难点。建议明确水利工程工业控制系统安全管理责任人，在生产运行、网络安全管理等部门间建立协调管理机制，实现对水利工程工业控制系统网络安全的统一高效管理。

4.2 做好顶层设计

水利工程工业控制系统网络安全问题已经上升到国家和社会安全的高度，急需加快构建完善的网络安全保障体系，强化安全、运维管理，全面提升安全防护和监测能力确保安全。尽管当前水利行业部分单位已开展工业控制安全防护工作，但整体水平参差不齐，安全建设缺乏系统性，因此应做好顶层设计，制定适合水利行业工业控制系统特点的网络安全防护方案，自上而下地体系化指导水利工程工业控制安全建设工作。同时，坚持新旧分离原则，做到新建系统安全同步规划、建设，存量系统适度加固。

4.3 构建深度防御技术体系

应逐步建立具备深度防御的技术体系，实现“边界→网络→终端”的立体防御。

在工业控制系统边界处，通过物理、逻辑隔离等方式进行保护。国外统计表明 89% 的工业控制系统与各类网络相连，比如连接管理网，支持远程诊断或无线接入等。随着精细化管理需求，未来网络连接将会更加普遍。因此需要梳理水利工程工业控制系统网络边界，根据安全需求差异性划分不同的安全区域，并在不同区域之间利用专用防火墙、隔离网闸等进行防护。

在水利工程工业控制系统网络中，通过“镜像”方式捕获并分析工业控制网络数据，监测通信行为、控制指令、网络流量的异常，以及恶意代码传播，网络扫描渗透等行为，感知工业控制网络安全态势。同时利用国产密码算法对传输的重要敏感数据进行加密保护，防止数据被非法窃听和篡改，从而保证通信数据的保密性和完整性。

在水利工程工业控制系统终端上，通过安全配置、端口绑定等各种方式对系统终端进行加固。例如绑定 IP 地址或交换机端口限定对 PLC 的访问，或者在操作员或工程师站上利用应用程序白名单等方式确保主机行为可信。

通过这样一种深度防御机制，提升了系统的安全防御和威胁感知能力，降低了网络安全风险。

4.4 建立安全测评与监督机制

目前，水利工程工业控制系统以国外设备为主，技术上无法实现自主可控。建议结合国家网络安全相关要求逐步建立水利工程工业控制系统安全测评常态机制，对工业控制系统开展漏洞检测、风险评估和等级测评。加强水利工程工业控制系统安全监督检查职责，逐步建立风险监测预警机制，感知水利工程工业控制系统安全态势。

4.5 强化应急管理

定期对重要系统和数据进行备份。制定水利工程工业控制系统网络安全事件应急预案，并定期组织应急演练，当遭受安全威胁导致系统出现异常或故障时可以立即采取处置措施。

4.6 落实培训教育

良好的人员网络安全意识是水利工程工业控制系统网络安全的充分保证。应定期组织安全意识和技能培训，加强网络安全管理制度的宣传，提升系统操作人员网络安全防范意识。

5 结语

水利工程工业控制系统调研结果表明，当前水利工程工业控制系统的安全防护仍较为薄弱，难以抵御网络攻击、恶意代码入侵等威胁。由于这类系统直接控制防洪、航运、水利发电等，一旦发生安全事件，影响巨大，因此需要采取管理和技术措施，建立深度防御安全体系，提高水利工程工业控制系统网络安全保障能力。

[1] 夏春明，刘涛，王华忠，等. 工业控制系统信息安全现状及发展趋势[J]. 信息安全与技术，2013，4 （2）: 13-18.

[2] 张帅. 工业控制系统安全现状与风险分析——ICS 工业控制系统安全风险分析之一[J]. 计算机安全，2012 （1） 15-19.

[3] 国家能源局. 电力监控系统安全防护总体方案[R]. 北京国家能源局，2015: 1-24.

[4] 彭勇，江常青，谢丰，等. 工业控制系统信息安全研究进展[J]. 清华大学学报（自然科学版），2012 （10）: 1396-1408

[5] 魏钦志. 工业控制系统安全现状及安全策略分析[J]. 信息安全与技术，2013，4 （2）: 23-26.

Cybersecurity analysis on water resources engineering industrial control system

YANG Xu1, XIE Feng2, REN Xucheng3
（1. Water Information Center, the Ministry of Water Resources, Beijing 100053, China; 2. China Information Technology Security Evaluation Center, Beijing 100085, China; 3. Beijing Golden-water Info-tech.Ltd., Beijing 100053, China）

In recent years, cybersecurity risks which the industrial control system is facing are increasing, which has threatened the normal operation of industrial production. Water resources engineering industrial control system undertakes the flood control, shipping, power generation and other important responsibilities. Therefore, its safe operation is of great significance. In order to strengthen the safe management of water resources engineering industrial contro system, it investigates from the spot, makes questionnaire and statistically analyzes the operation and safety measures toward water resources engineering industrial control system. The analysis shows that there are many weaknesses in the management and technical aspects of the water resources engineering industrial control system, and it is urgent to establish a safety protection system with both management and technology as well as profound defensive ability to ensure the safe and stable operation of the water resources engineering industrial control system.

water resources engineering; industrial control system; cybersecurity; defense in depth

TV21；TP393.07

A

1674-9405（2017）03-0020-04

2017-04-18

杨 旭（1983-），男，北京人，高级工程师，主要从事水利网络安全管理工作。

10.19364/j.1674-9405.2017.03.005