工控系统信息化发展趋势下的结构化风险分析

李鹏程 王浩

【摘要】工业控制系统（Industrial control system，ICS）在关乎国计民生的行业中占据重要地位，近年来ICS高速信息化发展遭受的网络攻击频发，本文揭示ICS的网络结构并针对性地进行脆弱性分析，同时总结开发场景中的风险，使得ICS防御策略研究更具有效性和针对性。

【关键词】ICS；信息安全；网络攻击

【DOI编码】10.3969/j.issn.1674-4977.2023.04.058

Structured Risk Analysis Was Carried Out on the Informationization Development of Industrial Control system

LI Pengcheng， WANG Hao

（Liaoning Institute of Measurement， Shenyang 110004， China）

Abstract： Industrial control system， occupy the important in matters of national economy and peoples livelihood industry.In recent years， frequent ICS high-speed informationization development of the network attack. Article reveals vulnerability in a network structure and the analysis of the ICS， summarizes the risk of the development scenarios at the same time， make the ICS more defensive strategy research.

Key words： ICS； information safety； network attack

工業控制系统高度信息化发展，但与传统的IT（Information Technology）系统还是存在差别，工业控制系统遭受的网络攻击究其根本是为了破坏现有正常的生产作业，使得生产停滞或降低、达不到生产要求，更为严重可能会造成人员伤亡、环境污染、财产损失等。工业控制系统中器件设备功能繁多、数目庞大，通过信息网络协同成为一个整体来达成控制要求。信息网络统筹全局的同时，也随之而来诸多安全隐患。

1工业控制系统安全事件

全球范围内ICS的攻击事件频发，每年会发生几百起且呈上升趋势，每次事件都会造成巨大的经济损失和严重的影响。我国作为制造业大国同样面临着ICS信息安全威胁，在2010年和2011年我国的石化行业炼油厂的ICS发生了两起感染Conficker病毒的事件，使得系统内部通信受阻。此外在2017年也发生过WannaCry勒索病毒侵袭安全事件，导致某大型石油公司的加油站在支付时不能使用银行卡和网上支付。

放眼全球范围，2010年震网病毒感染了伊朗的布什尔核电站的工业网络，控制了多台离心机使其超速并报废，造成了伊朗核电计划的推迟和有毒放射性物质的泄漏。这是一次影响极其深远的工业网络安全事件，由此开始，公众开始关注工业网络安全问题，震网病毒也成了工业控制领域安全威胁的代名词。2015年末，乌克兰的多个能源企业遭受到了网络恶意攻击，其中对电力系统的攻击最为严重，黑客通过入侵手段得到了发电站的部分控制网络权限，进而造成了数个小时的大范围的停电，并在同一时间对石油、煤炭等重要能源设施进行了攻击，造成了不可估量的经济损失[1]。之后的分析指出，很有可能是国家背景的高级持续性威胁组织实施了本次网络恶意攻击。2017年出现的WannaCry病毒是目前为止影响范围最广，造成危害最大的勒索病毒。勒索病毒是一类非法入侵用户计算机，加密重要文件并以解密的私钥威胁用户，达到勒索目的的病毒。WannaCry勒索病毒以“永恒之蓝”漏洞利用程序对计算机进行入侵，对世界范围内超过100个国家和地区进行了攻击，许多个人电脑陷入瘫痪，一部分国内的工业服务器也受到了影响，导致了工业生产停摆，给企业带来了严重的经济损失。

目前，ICS中安装组态软件和人机交互界面的工控机出于对生产稳定性和软件兼容性的考虑，多数以非最新版的Windows作为基本操作系统，且很少对操作系统等软件进行升级，导致无法及时对已知漏洞进行补救，让“勒索”病毒能在较长时间里以重大漏洞作为跳板进行传播，其危害范围之广可想而知。在这次事件中我们能够发现，传统IT网络和ICS间的界限已经逐渐模糊，工业控制网络已经逐步开放并受到公网环境的影响。当地时间2019年3月7日，委内瑞拉境内最大水电站遭到网络攻击，造成了持续5天的大规模停电，给正常生活和工作造成了极大的影响。虽然具体的攻击手段目前并未公开，但这次事件充分说明，ICS在接入公网后存在严重的安全隐患，可能遭受恶意攻击。

对ICS为代表的重点设施进行网络攻击和防护，已成为国家间博弈和对抗的重要场景，强化工业及其相关物联网设备的防御和应急响应能力已上升为国家安全层次。

2工业控制系统的网络结构

整个工业控制系统中的信息数据由工业控制计算机进行统一分析处理，将设备控制和信息数据统筹兼顾，并设置用户权限等级界定管理权限来确保信息安全。实现上述功能需要监控与数据采集系统、可编程逻辑控制器、传感器件等一起工作，使得现场设备的状态信息、温度压强等监控变量可以传输给上位机，并以图文形式展现给操作人员，操作人员也可以远程控制现场设备的状态。ICS从网络结构一般可以分为四层：企业层、监控层、控制层和物理层[2]。接下来将以锦州加纳芬高塔复合肥工业控制系统为例逐层分析，其网络结构如图1所示。

将工业控制系统按照网络层次可以划分为企业层监控层、控制层以及物理层。接下来将逐层进行介绍，每一层级的功能和主要组成设备器件，以及层级之间的交互关系。

2.1企业层

企业层位于整个网络系统的最上层，利用工业网关与监控层建立连接，从而可以对位于控制层中的控制设备收发指令，进而对物理层中的现场设备监控和决策，由此可见企业层是掌控全局的存在，也被称为控制决策层，具有权限和功能调度整个控制流程的所有运行器件。为了实现上述功能，该层涵盖信息管理系统、对外网络服务器系统、制造执行系统等，对整个工艺生产的质量、产能、安全等进行控制与决策。

2.2监控层

监控层是整个系统的核心，该层的存在使得操作人员可以远离工业一线现场，在监控室便可以对整个工业生产过程的全局进行实时监控。主要功能是对现场的监控数据进行收集整理转发给上层的企业层，也将企业层的控制指令转发给控制层，起到一个上传下达的作用。一般由操作员站、工程师站和人机交互界面三种设备组成，操作员站和工程师站的区别在于管理权限的界定，操作员站由操作员进行操作监控现场，工程师站在此功能基础上还可以对人机界面进行整改、组态的开发利用、控制程序的更新和改正等。

2.3控制层

控制层借助分布式控制系统、远程终端单元和可编程控制器等控制设备完成监控层预设程序中的控制要求，该层控制网络中基于不同的控制设备要采用特定的通信协议，才能完成和现场设备以及监控层顺利进行数据传输。

2.4物理层

整个网络系统的最底层就是物理层，也可以称之为现场设备层。该层级所有的设备几乎都位于现实中的工业现场，直接致力于工业生产，例如斗提机、搅拌机、计量传输皮带、刮板机等；也有一些负责数据采集的设备，例如温度传感器、气体流量计、液位传感器、阀门开度传感器等；还有一些现场的交互设备，工作人员在现场就可以完成对设备的交互功能。以上几类设备协同作用，将物理层工业现场的数据移交上层。

3工业控制系统的脆弱性分析

信息化浪潮在工业控制系统内席卷而来，工业现场的操作人员从一线作业中抽身出来，操作方式越来越人性化，细节控制面面俱到，在管理层面也更加便利和简明，原有的传统管理方式不复存在。基于信息化带来的诸多良处，早先的生产过程效率大幅度提升，也可以满足更高的控制目标。但信息化这把双刃剑也带来了负面影响，打破了ICS的封闭，使得信息系统的安全隐患夺门而入冲击了工控网络，原本ICS中的漏洞隐患也愈加不可遏制，成了各种网络攻击的切入点。在管理ICS的过程中，管理人员的首要任务是保证工业生产的顺利进行，这就需要系统中的数据保证实时性、可用性和不可中断，而基于当前的形势下，还需要着重考虑信息安全问题。而在操作过程中，操作人员也需要对当前控制网络中的流量情况、运行状态、系统报警日志进行实时监控，一旦发现异常及时上报，这些与安全相关的信息也变得尤为重要。

接下来将对工业控制系进行结构化风险分析，首先从各个层级的脆弱性逐一分析，再从安全的需求和目标角度进行分析，较为全面地讨论工业控制系统的脆弱性所在之处，以及安全防护的着手点[3]。

由于物理环境受限、工控系统封闭及高可用性等原因，ICS最初设计过程中没有对安全性进行充分考虑，导致ICS的脆弱性无法避免。如今的ICS为了更好的发展，不断融合新兴信息技术，特别是工业互联网及人工智能技术的广泛应用，潜在安全问题逐渐被暴露出来。针对ICS的脆弱性进行分析，为针对性防御工作的研究夯实基础[4]。根据现代ICS层次架构，工业控制系统脆弱性主要包括以下三个方面。

1）物理层脆弱性

物理层设备往往位于生产第一线，不恰当的人为操作，将直接破坏原有的正常生产作业，现实中甚至还存在人为的恶意操作，导致生产事故的发生。为了提高ICS的灵活性，打破物理环境中距离的影響，将工业无线传感器纳入系统内，在出色地发挥作用的同时，很容易被窃听。工业中的生产活动周期长，甚至长达一个月不间断生产，不能够及时发现问题隐患并立刻解决处理。工业通信协议的设计优先考虑传输有效性，不但缺乏安全认证和授权保护，而且通信过程中的缺少防护措施，给了攻击者机会去截取数据从而分析出系统内的敏感信息。

2）监控层和控制层脆弱性

监控网络中的主要核心设备是工程师站和操作员站，大部分由高性能的计算机充当，不能及时对系统安装补丁杜绝漏洞。专业的工程师在对监控层的上位机的维护更新过程中，以及对控制层工控设备检修的过程中，不够严谨和遵守规范，使用个人工作站或者远程连接的方式，都可能将系统之外的威胁夹带到系统之内。

高权限的操作人员，可能熟知工艺流程的专业知识和时间经验，但是往往缺乏信息安全的理念，相关的风险意识薄弱，无法在出现信息安全问题的时候及时发现并作出正确的应对举措。还有大部分威胁来源于软件的方面，各类工控专用协议在设计之初只为了能够满足工控系统对数据传输高实时低延迟的要求，之前的封闭网络环境，让设计者没有综合考虑安全性的问题，所以在开放的环境下就暴露了诸多的缺陷，这样的漏洞就为外部环境攻击者提供了可乘之机。ICS有循环和非循环两种通信方式，通信过程中的传输数据量较小，所以对网络需求也就不像IT系统那么庞大，如洪泛攻击、拒绝服务攻击等一些通过网络流量层面进行的攻击也威胁很大。

3）企业管理网络脆弱性

企业层发展的大势所趋是连入互联网，从而增加更多的功能，对内部数据进行云存储、云分析、云控制等。但是互联网带来的冲击也不容小觑，如果系统内的防火墙没有正确配置、缺乏安全边界管理等防护失误，一些普通计算机中存在的潜在病毒、恶意程序都会冲击ICS的安全性。

4开发场景中的风险

工程师在对工业控制系统进行开发时，需要根据不同的工控设备采用不同的方式进行开发，接下来将讨论两种应用广泛最为常见的工控设备PLC和SCADA。PLC設备一般会布置在工业现场，所以当PLC工程师想要进行程序更新、设备检修维护时必须前往现场，工作站由便于携带的笔记本电脑担任，通过串口或者连入以太网的方式和PLC建立连接，工程师操作工作站预先安装的组态软件便可以对PLC进行开发调试。上位机中搭载着通用操作系统，负责SCADA系统开发的工程师想要对HMI等大多数SCADA系统的组件进行开发调试，可以对上位机进行远程控制，不用亲自到场便可以完成系统的升级和调整。结合本人的实际工程项目经验和调研，由于一些人为因素和现实情况，发现在开发场景中存在着几点不规范的地方，可能会成为工控信息安全的定时炸弹。

4.1忽视密码设置

生产管理过程中对操作人员的管理级别作出界定，高级的操作人员需要具有对整个工艺流程的熟稔于心，在各种情况下都具有迅速准确的判断能力，而对于授权的方式需要存在密码控制功能。但现实情况下，操作人员会担心忘记密码需要进行重置，只有设备厂商的工程师才可以进行密码重置，过程会比较烦琐，为了避免浪费人力财力而选择不对设备设置管理密码。

4.2上位机系统固件不升级

生产厂商只追求ICS的可用性，不会注重考虑其他因素，由于上位机系统和固件需要定期升级，可是升级后的系统会与组态软件不兼容，这样的冲突自然会影响到生产过程的长期稳定，所以在配置上位机后有很长时间不会对操作系统进行升级，系统漏洞也就会长期存在。

4.3使用盗版软件

在工控设备选型时除了考虑是否能满足控制要求，还需要考虑控制成本，不同品牌的产品除了功能存在差异，还需要配置对应独有的组态开发软件，这些软件都是生产商自主研发的，所以在使用时还需要额外支付一笔费用，大部分厂商为了降低控制成本而使用非正规的破解版，这些破解版软件可以免费在网上下载，完全存在捆绑病毒和恶意程序的风险，从而进入到工控系统内部。

5结论

随着两化融合的推进，ICS不仅打破了原有封闭的网络，还兼并支持通用的TCP/IP协议及办公操作系统，对计算机网络及信息系统的依赖程度与日俱增的同时，接踵而至的是多样频发的信息安全问题。文章开篇梳理近年来的国内外ICS安全事件，揭示ICS面对的安全态势不容乐观，接下来以锦州加纳芬高塔复合肥工厂为实例对ICS的结构进行深度剖析，对应网络结构详细阐释每部分的器件组成和实现功能，逐层着重分析其脆弱性；并结合实际工程项目经验总结开发场景中的风险。旨在揭露工业控制系统高速信息化发展下忽视的短板，为防御策略的研究提供方向。

【参考文献】

[1] LIANG G Q，WELLER S R，ZHAO J H，et al. The 2015 Ukraine Blackout：Implications for False Data Injection Attacks[J]. IEEE Transactions on Power Systems，2017，32（4）：3317-3318.

[2]徐海洲.基于软件定义网络的工业控制系统信息安全防护设计及实现[D].武汉：华中科技大学，2019.

[3] MALATJI M，MARNEWICK A L，SOLMS S V. Cybersecurity capabilities for critical infrastructure resilience[J].Information and Computer Security，2022，30（2）：255-279.

[4]赖英旭，刘静，刘增辉，等.工业控制系统脆弱性分析及漏洞挖掘技术研究综述[J].北京工业大学学报，2020，46（6）：571-582.

【作者简介】

李鹏程，男，1996年出生，硕士，研究方向为温度计量。

王浩，男，1983年出生，高级工程师，硕士，研究方向为热学计量。

（编辑：谢飞燕）