工业控制系统网络安全分析与研究

张翔宇 路来顺

摘   要：随着自动化系统与信息化系统融合的不断加深，原本相对安全和封闭的工业控制系统网络在新形势下的安全问题日益突出。文章根据工业控制系统网络安全领域的发展状况，对工业控制系统网络的安全问题进行了分析和探讨，提出了相关建议。

关键词：网络安全;工业控制系统网络

中图分类号：TP309.2          文献标识码：A

Network security analysis and research of industrial control system

Zhang Xiangyu，Lu Laishun

（Beijing CCID Infortech.Inc， Beijing 100048）

Abstract： With the deepening integration of automation system and information system， the security problem of relatively safe and closed industrial control system network is becoming increasingly prominent under the new situation. According to the development of industrial control system network security， this paper analyses and discusses the safety of industrial control system network， and puts forward some relevant suggestions.

Key words： network security; industrial control system network; safety response suggestions

1 引言

目前，自动化技术日趋成熟，工业控制系统在各工业生产制造行业得到普遍的应用，如DCS（Distributed Control System  集散控制系统）在石油、化工、火电等流程生产行业的应用，PLC（Programmable Logic Controller 可编程逻辑控制器）在机械制造、航空制造、汽车制造等离散制造行业的应用。同时，随着信息技术的发展，生产制造企业广泛建设了MES（Manufacturing Execution System 制造企业生产过程执行系统）、生产监控系统、能源管理系统等信息系统。

为了进一步提高生产效率，企业逐步将DCS、PLC、SCADA（Supervisory Control And Data Acquisition数据采集与监视控制系统）等工业控制系统与MES、生产监控系统、能源管理系统等信息系统，通过网络连接在一起，进行数据交互，实现工业数据采集、远程监控、集中管理等。这种做法在提高了企业生产效率，降低了管理成本的同时，改变了工业控制系统的“安全孤岛”状态，使原本相对封闭而缺乏网络安全防护措施的工业控制系统网络，面临着来自外部网络的威胁，如来自互联网并经由信息系统网络传播到工业控制系统网络的病毒或是针对工业控制系统的异常指令等。

基于以上情况，怎样保护工业控制系统网络安全，从而保障安全、可靠、稳定地开展企业生产业务，已成为各生产制造行业企业的重点关注对象。

2. 国内外工业控制系统网络安全发展概况

2.1 国外工业控制系统网络安全发展概况

欧盟与美国等国家从2005年开始大力推动相关技术的研究，建立了国家级工控安全实验室，陆续发布了保护国家关键工业控制系统的战略框架和标准法规，逐步建设国家级工控安全体系。

欧盟2013年发布“欧洲关键基础设施保护项目”，协调各个成员国保护关键工业控制系统，应对日益增加的针对工业控制系统的网络攻击;由欧洲高级议会、欧洲防务局、欧洲网络犯罪中心等機构，协调欧盟各成员国的相关部分开展各国家的关键设施保护计划。欧盟先后发布了《保护信息时代社会安全战略》（2005年）、《使用隐私信息增强技术改进数据保护意见》（2007年）、《美国国土安全部和欧洲委员会关于欧洲网络安全的联合声明》（2012年）、《欧盟网络安全战略》（2013年）、《关键基础设施保护计划》（2013年）等工业控制系统安全战略。

另外，国际电工委员会发布的《IEC 62443 工业过程测量、控制和自动化网络与系统信息安全》包含“网络安全分区拓扑示意图” 如图1所示，也被欧盟成员国广泛遵循。欧盟成立针对工业控制安全的应急响应组：为事故响应和取证分析提供现场支持，执行漏洞和恶意代码分析，协调共享漏洞信息收集和威胁分析工作，响应和分析控制系统相关事故。

美国2006年发布国家战略“美国控制系统控制安全计划（CSSP）”保护美国国家基础设施的控制系统。美国发布《网络空间安全国家战略计划》（2003年）、《改进SCAOA网络安全的21项措施》（2005年）、《国家基础设施保护及计划》（2006年）、《保护工业控制系统的战略》（2009年）、《工业控制系统安全指南》（2011年）、《NIST SP800-82 工业控制系统安全指南》（2011年）包含“纵深防御体系架构” 如图2所示、《国家网络安全和关键基础设施保护法案》（2013年）等相关标准、法规和标准。美国国土安全部成立了作为CSSP实施部门的工业控制系统应急响应组，为工业控制系统安全提供国家层面的服务和保障。

与此同时，亚洲各国也相继发布保护国家关键工业控制系统网络安全的政策文件，如日本2013年发布《网络安全战略》;印度2013年发布《国家网络安全政策》;新加坡2014年发布《国家网络安全总体规划》等，均涉及国家关键工业控制系统网络攻击的防护内容。

2.2 国内工业控制系统网络安全发展概况

2015年5月，国务院发布《中国制造2025》，即国家开展制造强国战略第一个10年行动纲领。

2017年6月1日起施行《中华人民共和国网络安全法》，这是中国建立严格的网络治理指导方针的一个重要里程碑。它界定了關键信息基础设施的基本概念，规定了关键信息基础设施的具体范围和安全保护要求，明确了关键信息基础设施运营者应当履行的义务，提出了关键信息基础设施与安全同步建设的原则，对攻击和破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施。《中华人民共和国网络安全法》第21条明确指出“国家实行网络安全等级保护制度”。

2019年5月10日，国家发布了《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》，其中包含“工业控制系统安全扩展要求”，同时发布的《GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求》包含“工业控制等级保护安全技术设计框架” 如图3所示，《GB/T 28448-2019信息安全技术 网络安全等级保护测评要求》包含“工业控制系统安全层扩展要求”。

2017年11月，我国发布了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》，规范指导工业互联网发展，推动现代化经济建设，其中还包括对工业互联网中智能工厂内工业控制系统的网络安全建议，指出企业要在网络防护、漏洞检测、安全审计、安全监测、可信计算等方面加大投入力度。

为应对新的工业控制系统安全形势，在2016年10月工信部发布了《工业控制系统信息安全防护指南》，提出“安全是发展的前提，发展是安全的保障”，开展工业控制系统安全防护工作，完善安全防护能力，为提升我国工业网络安全防护能力提供保障。

2.3 主要工业控制系统网络安全技术发展概况

国内外工业控制系统安全技术主要从四个方面依次开展。

（1）系统隔离。在“震网”病毒事件发生前，工业控制系统网络安全防护的主要手段为网络隔离，具有代表性的设备为隔离网关、网闸、单向隔离设备等。“震网”病毒的发生，证明网络隔离只是部分有效的手段，实施网络隔离后的工业控制系统本身的脆弱性未得到完全解决，遭受攻击后会产生严重后果。例如，中东某石油公司，3万台被网络隔离，但无主机防护措施的用于生产控制的电脑，被攻击后一天内被全部丧失工作能力;现有的高级持续性威胁攻击（APT攻击）可绕过网络隔离防御措施来进行。

（2）纵深防御。在“震网”病毒爆发后，信息安全厂商提出纵深防御体系概念，通过设置多层重叠的安全防护系统构成多道防线，达到对信息安全客体多层隔离防互屏障的目的。例如，McAfee的纵深防御体系提供防范信息环境中的分区隔离、病毒木马扫描过滤等精细防护手段。

（3）工控系统内嵌持续性防御体系。目前，工业控制系统安全目标明确为保证工业控制系统长时间、无间断的稳定可靠运行。内嵌持续性防御体系能够适应工业控制系统特点，通过集成硬件来实现，具备低延时、持续更新、高可靠性等优势，并且具备故障点小，不间断业务升级。美国工业巨头通用电气（GE）、洛克希德马丁（Lockheed Martin）已展开工业控制系统内嵌安全解决方案研究。另外，McAfee与爱默生、Rockwell开展合作进行渗透到工业控制系统内部的安全研究。

（4）以攻为守。以美国和以色列为代表的国家，意识到基础设施的改造周期太长无法短期实现安全防护，从而在国家层面注重攻击技术的研究、突破，制定以攻为守的国家战略。大力投资建攻击实验环境，建设不同行业的攻防演示实验室。该策略以攻为守，并以攻击技术提高带动防御技术的研究，同时以攻击的威慑力来巩固自身安全性。

3 工业控制系统网络安全性分析

3.1 工业控制系统网络自身脆弱性分析

3.1.1 控制系统设备漏洞

当前的工业控制系统大量采用国外厂商的设备，存在对国外设备了解程度不够深入的问题，因此难以发现针对工业控制设备的漏洞、恶意代码、内置后门等安全隐患。自动化网络与信息化网络互联后，工业控制设备的网络安全问题将对国家关键生产控制系统产生威胁。

目前公开的漏洞主要涉及的工业控制系统厂商：西门子（Siemens）、罗克韦尔（Rockwell）与通用电气（GE）等国外厂商。而这些国外工业控制系统厂商的产品在国内工控设备市场上占据主流地位，甚至某些产品在某些行业具有垄断地位。

3.1.2 工业通信协议漏洞

随着两化融合（企业信息网与工业控制网络）和工业互联网的发展，Modbus协议、Profinet协议、OPC协议等通用协议越来越广泛地应用在工业控制网络和信息化网络中的数据采集中，随之而来的通信协议漏洞问题也日益突出。例如，OPC Classic 协议极易受到攻击，OPC协议通信过程中会使用不固定的端口号，使得以往信息系统网络中的防火墙很难确保其安全性。

3.1.3 工业主机操作系统漏洞

工业控制系统的工程师站/操作站/通讯站等多是基于Windows平台，为保证工业控制系统的独立性，同时考虑到生产控制系统的稳定性，通常实施工程师在生产控制系统建成使用后，不会对Windows 系统安装任何补丁或升级系统。而不为工业控制系统上位机安装补丁，就会为遭受网络攻击埋下安全隐患。

3.1.4 工业应用软件漏洞

工业生产现场需要使用各种工业控制应用软件，这些应用软件在开发时主要关注功能性需求和软件性能需求，而很少考虑到网络安全问题。正是因为工业控制应用软件由于设计、开发和测试时，对网络安全的关注度不够，导致工业应用软件被发现有各种漏洞，从而影响生产业务的正产开展。

3.2 工业控制系统网络面临的外部威胁

3.2.1 病毒及恶意软件

生产网络中运行的工程师站、操作员站、PCU等计算机，很少或没有安装全天候病毒防护软件。为了保证工业控制应用软件的可用性，现场工业控制系统工程师站/操作站/通讯站等通常不安装杀毒软件。原因是由于杀毒软件的病毒库需要不定期的经常更新，提高了运维复杂性，并要求系统外联，不适合工业生产环境。杀毒软件有错杀工业控制系统正常文件、進程、服务的可能性，有可能造成生产事故。

有调研表明在某省几家生产制造单位参与安全检查的时候，就曾发现有多家单位的生产网上位机和服务器被感染有恶意的感染型病毒和远控木马，而这些单位是做了物理隔离的，但是仍然出现了被感染情况，存在着系统瘫痪和被窃密的风险。

3.2.2 移动存储设备风险

大多数企业对于生产现场上位机的USB 设备使用管理缺乏技术手段，容易导致工业控制系统通过 USB 设备感染病毒，或造成敏感信息泄露，历来的重大工业控制安全事件都或多或少地与USB设备有一定关系，因移动设备带来的安全问题占据了大部分比例。虽然大多数的现场设备USB端口被物理封掉，但是如果不配合技术手段，还是难以达到最佳效果。

3.2.3 远程维护风险

由于现场控制系统及设备采用多家厂商的产品，在进行设备检修或者维护的时候，有时需要进行远程维护，而多数的远程维护并没有采用VPN，第三方人员通过外部网络接入工业控制系统进行远程维护时，可以通过技术手段获取工业控制系统的敏感信息，可能会造成商业机密外泄，影响企业的经济收益，造成社会影响。

4 工业控制系统网络安全应对建议

4.1 结合行业特点制定安全框架

企业保护工业控制系统网络安全的目的是保证企业生产业务的正常开展。不同行业企业中使用的生产工艺、工业控制系统、网络架构、数据交互接口等均不相同，如化工厂大量使用DCS系统，通过OPC协议进行工业数据采集，而卷烟厂则大量使用PLC系统，通过Modbus、Profinet等协议进行数据通信。因此，不同行业中工业控制系统网络安全的保护对象是不完全相同的。

因此，应根据企业的生产业务，并结合政府的合规性要求，针对被保护对象的特点，制定相应的工业控制系统网络安全框架，选择实施有针对性的工控安全技术措施和工控管理措施，切实有效地保护企业工业控制系统网络安全。

4.2 开展工业控制系统网络安全的风险评估

在设计工业控制系统网络安全防护措施前，企业首先应深入了解自身工业控制系统网络具体有哪些安全弱点，从企业工业控制系统网络资产所面临的威胁、存在的弱点、安全事件造成的影响，以及三者综合作用所带来风险的可能性进行评估。企业应充分进行工业控制系统网络的风险定性评估，并尽可能地进行风险定量测算，以此得出较为准确的工业控制系统网络安全需求。

工业控制系统网络的安全风险评估与信息系统网络安全的风险评估相比，主要有三点不同之处。

（1）实施环境复杂。工业控制系统是用于生产的重要业务系统，为保证不影响生产的正常开展，需要在特定的时间采取技术手段收集脆弱性信息，比如最好是在工业控制系统停产检修时，使用特殊工具进行漏洞扫描，或在仿真实验环境下进行漏洞扫描。

（2）更关注可用性的风险评估。在信息系统的风险评估中，通常较为关注机密性，其次是完整性，可用性可能会放在最后，而用于生产的工业控制系统网络进行风险评估时，关注点的顺序正好相反，首先要考虑的是可用性。

（3）评估方案设计。工业控制系统网络进行风险评估时，除了要考虑操作系统、数据库、通讯协议等与信息系统类似的脆弱性及其面临的威胁外，还要考虑工业应用程序、工业通信协议和工业控制设备的安全性。信息系统所面临的信息安全风险，在工业控制系统中也是普遍存在的，而工业控制系统还存在其独特的风险。

4.3 培养工业控制系统网络安全专业团队

工业控制系统网络安全是一个跨专业的新兴领域，该领域需要对生产工艺、生产控制系统、网络安全等专业有一定了解的支撑团队。企业应通过内部培养和外部招聘的方式选拔专业技术人才组建专业团队，只有专业的工业控制系统网络安全团队，才能完成内部风险评估、安全项目建设、应急响应支撑等主要的网络安全工作，所以企业需要注重人员的认证教育和持证上岗制度。

生产制造企业应该不定期地组织自动化技术人员、工艺技术人员、信息系统技术人员、网络安全技术人员进行技术交流。交流以企业生产工艺、工业控制系统、信息系统等现状为基础，以网络安全问题分析和探讨为核心，以促进不同专业的技术人员了解企业其他领域的技术和管理现状，共同研习在此现状基础上的网络安全策略、配置等相关技术措施。

4.4 建立和完善工业控制系统网络安全管理制度

为了切实保证工业控制系统网络安全，除了采取必要的安全技术措施外，还应根据具体情况建立一整套安全管理体系，从组织上、措施上、制度上以及人员方面，为用户工业控制系统的安全运行提供强有力的保障。

完整的工业控制系统网络安全保障体系是安全管理和安全技术实施的结合，真正达到信息安全保障目标。安全策略在安全管理体系的设计、实施、维护、改进过程中起着重要的指导作用，是企业信息安全工作的政策方针。人员、技术和操作三个要素，构成了整个安全管理体系的骨架。安全管理体系建设的文档体系包括信息安全方针、策略、政策、规范，实施组织人员管理、资产管理、技术管理和操作运维管理所需的程序、文档、流程及其他围绕安全管理体系建设活动的相关文档。

5 结束语

随着自动化技术和信息化技术在工业企业中的应用越来越广泛，工业控制系统网络所面临的信网络安全风险日益突出。工业控制系统网络安全防护工作是一项复杂度较高的系统工程，需要考虑到工业控制系统在企业生产活动中需要面对各种网络安全的问题。本文介绍和借鉴了国内外工业控制系统网络的发展情况，在分析工业控制系统网络安全性的基础上，提出“结合行业特点制定安全框架，先行开展风险评估，培养专业安全团队，建立和完善专项管理制度”的工业控制系统网络安全应对建议。

参考文献

[1] IEC 62443.Industrial communication networks-Network and system Security[S].

[2] NIST SP800-82.Guide to Industrial Control Systems （ICS） Security[S].

[3] 工业和信息化部.2016年工业控制系统信息安全防护指南[EB/OL]. http：//www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c5346662/content.html.

[4] GB/T.22239-2019.信息安全技术网络安全等级保护基本要求[S].

[5] GB/T.25070-2019.信息安全技术网络安全等级保护安全设计技术要求[S].

[6] GB/T.28448-2019.信息安全技术网络安全等级保护测评要求[S].

[7] 桑圣洁.工控生产网网络及应用安全研究[J].计算机安全，2014（2）：44-47.

作者简介：

张翔宇（1977-），男，汉族，江西赣州人，北京邮电大学，硕士，北京赛迪时代信息产业股份有限公司，信息系统项目高级管理师;主要研究方向和关注领域：数据挖掘、数据安全、工控安全、信息系统架构。

路来顺（1985-），男，汉族，河北保定人，燕山大学，学士，北京赛迪时代信息产业股份有限公司，助理工程师;主要研究方向和关注领域：工业信息化、工业网络技术、计算机安全。