工業(yè)控制系統(tǒng)是承載國家經(jīng)濟(jì)發(fā)展、維護(hù)社會穩(wěn)定的重要基礎(chǔ)設(shè)施，本文以石化、冶金、電力、軌交等重點行業(yè)為出發(fā)點，從安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)等方面，分析工控安全現(xiàn)狀以及存在的信息安全隱患。

1.引言

隨著信息技術(shù)的迅猛發(fā)展，工業(yè)控制系統(tǒng)在控制規(guī)模、控制技術(shù)和信息共享方面都有巨大的變化，由最初簡單控制的封閉系統(tǒng)發(fā)展成現(xiàn)在復(fù)雜或者先進(jìn)控制的開放系統(tǒng)，針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊事件日益增多，石油化工、冶金、電力、軌道交通、煙草等國家重點行業(yè)面臨前所未有的網(wǎng)絡(luò)安全威脅。本文將結(jié)合典型行業(yè)特點，從網(wǎng)絡(luò)、控制、應(yīng)用和數(shù)據(jù)等方面，對工業(yè)控制系統(tǒng)信息安全現(xiàn)狀及存在的信息安全隱患進(jìn)行分析。

2.石化行業(yè)特點

2.1行業(yè)背景

石化行業(yè)信息化建設(shè)具有較好的基礎(chǔ)，企業(yè)在管理層的指揮、協(xié)調(diào)和監(jiān)控能力，上傳下達(dá)的實時性、完整性和一致性都有很大提升，相應(yīng)的網(wǎng)絡(luò)安全防護(hù)情況也有了明顯改善。隨著石化企業(yè)管控一體化的推進(jìn)，越來越多的工控系統(tǒng)通過信息網(wǎng)連接到互聯(lián)網(wǎng)上，潛在的安全威脅與之俱增。2017年，中石化發(fā)布《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)安全防護(hù)的指導(dǎo)意見》，從安全配置、邊界安全防護(hù)、安全監(jiān)測、風(fēng)險預(yù)警等方面對工控系統(tǒng)提出安全防護(hù)要求。

石化行業(yè)涉及互聯(lián)網(wǎng)及集團(tuán)網(wǎng)、管理網(wǎng)、生產(chǎn)網(wǎng)三層網(wǎng)絡(luò)架構(gòu)，包含采油、煉油、輸油等生產(chǎn)環(huán)節(jié)。生產(chǎn)區(qū)域一般按照不同的生產(chǎn)工藝，以裝置為單位進(jìn)行生產(chǎn)區(qū)域劃分，各生產(chǎn)區(qū)域內(nèi)的工業(yè)控制系統(tǒng)一般包括：分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、安全儀表系統(tǒng)（SIS）、火災(zāi)及可燃?xì)怏w報警系統(tǒng)（FGS）、SCADA系統(tǒng)等。石化行業(yè)工業(yè)控制系統(tǒng)注重安全、穩(wěn)定、長期、滿負(fù)荷、優(yōu)質(zhì)的運行，且相互關(guān)聯(lián)、相互依存。

2.2存在的安全隱患

（1）裝置品牌眾多，安全運維困難。煉化采用DCS，倉儲采用PLC，管輸采用SCADA系統(tǒng)，各生產(chǎn)區(qū)域工控系統(tǒng)的品牌不一，難以統(tǒng)一管理，且控制設(shè)備種類繁多、國產(chǎn)化率較低、系統(tǒng)運行維護(hù)困難，無法做到安全自主可控。

（2）各層網(wǎng)絡(luò)間無隔離防護(hù)。企業(yè)的控制網(wǎng)絡(luò)系統(tǒng)復(fù)雜多樣，缺乏必要的安全邊界及區(qū)域功能劃分，過程控制層與數(shù)據(jù)采集層，先進(jìn)控制（APC）系統(tǒng)與過程控制網(wǎng)，控制器與操作員站（工程師站），缺少訪問控制措施。一旦系統(tǒng)某節(jié)點出現(xiàn)病毒、木馬等問題，會迅速蔓延至整個網(wǎng)絡(luò)。

（3）工程師站缺少身份認(rèn)證機(jī)制。工程師站一般情況下只有管理員賬戶，對操作員站、DCS控制器的組態(tài)行為通常缺乏身份認(rèn)證，由于擁有最高操作權(quán)限，可以任意修改控制邏輯和流程，存在對現(xiàn)場設(shè)備直接組態(tài)的重大隱患。

（4）APC系統(tǒng)本身未加裝任何安全防護(hù)。在項目工程師安裝、調(diào)試和修改期間，APC系統(tǒng)需要頻繁與外部進(jìn)行數(shù)據(jù)交換，感染病毒的風(fēng)險較高。一旦APC系統(tǒng)出現(xiàn)感染木馬、病毒等問題，實時運行的控制系統(tǒng)安全將無法保障。

3.冶金行業(yè)特點

3.1行業(yè)背景

冶金行業(yè)信息化程度逐漸提高，但主流控制系統(tǒng)大部分裝置是國外品牌，安全自主可控難以實現(xiàn)。隨著兩化融合的推進(jìn)，絕大多數(shù)工控系統(tǒng)與企業(yè)管理信息系統(tǒng)處于同一網(wǎng)絡(luò)平面，加上內(nèi)網(wǎng)系統(tǒng)的遠(yuǎn)程運維需求及對U盤等外設(shè)的接入需求，致使工控網(wǎng)絡(luò)邊界安全和內(nèi)網(wǎng)工業(yè)主機(jī)安全不受控。2016年，中國鋼鐵工業(yè)協(xié)會下發(fā)《關(guān)于做好防范PLC-Blaster蠕蟲病毒工作的通知》，強(qiáng)調(diào)廣泛應(yīng)用于鋼鐵行業(yè)的西門子S7系列PLC設(shè)備是該病毒的主要攻擊目標(biāo)，潛在威脅極大，需結(jié)合自身實際情況組織針對性防范。

3.2存在的安全隱患

（1）生產(chǎn)控制網(wǎng)絡(luò)及系統(tǒng)未分層、分區(qū)。分廠控制網(wǎng)絡(luò)通常采用同一網(wǎng)段，現(xiàn)場PLC、DCS等重要控制設(shè)備缺少安全防護(hù)，同時各分廠控制網(wǎng)與骨干環(huán)網(wǎng)、生產(chǎn)監(jiān)控網(wǎng)與辦公網(wǎng)之間缺乏隔離防護(hù)措施，無法將惡意代碼、非法操作等行為控制在安全區(qū)域內(nèi)。

（2）通信協(xié)議多樣，難以保障數(shù)據(jù)采集安全。由于控制流程復(fù)雜、設(shè)備種類繁多，采用的通信協(xié)議復(fù)雜多樣，數(shù)據(jù)和接口類型千差萬別，數(shù)據(jù)集中管理與維護(hù)難度較大，無法保證各采集平臺的數(shù)據(jù)完整性。

（3）缺少安全監(jiān)測和審計措施。操作和管理人員的技術(shù)水平不一、安全意識不足，容易出現(xiàn)越權(quán)訪問、違規(guī)操作等情況，由于系統(tǒng)缺乏對用戶操作行為的審計和監(jiān)控，無法及時發(fā)現(xiàn)非法訪問、操作異常、惡意攻擊等行為，給生產(chǎn)系統(tǒng)埋下極大的安全隱患。

（4）無法對網(wǎng)絡(luò)安全事件進(jìn)行報警或追蹤。大多數(shù)控制系統(tǒng)缺少日志分析與事件報警功能，安全事件發(fā)生時，系統(tǒng)不能對網(wǎng)絡(luò)故障進(jìn)行預(yù)警或報警，且無法追蹤和定位事件的源頭，針對性安全防護(hù)工作也就無從下手。

4.電力行業(yè)特點

4.1行業(yè)背景

電力行業(yè)作為工業(yè)控制領(lǐng)域信息安全防護(hù)建設(shè)的先行者，已在信息安全防護(hù)建設(shè)方面積累了大量經(jīng)驗：電力企業(yè)在電力監(jiān)控系統(tǒng)安全防護(hù)體系建設(shè)過程中始終堅持自主可控的原則，研究信息隔離與交換、縱向加密認(rèn)證等多項專用安全防護(hù)技術(shù)，進(jìn)而形成了多項信息安全行業(yè)技術(shù)規(guī)范和標(biāo)準(zhǔn)；針對關(guān)鍵產(chǎn)品進(jìn)行自主研發(fā)，并統(tǒng)一組織進(jìn)行嚴(yán)格測試，保證關(guān)鍵系統(tǒng)的安全自主可控；各電力企業(yè)相繼建立了信息安全相關(guān)組織體系，建成了較為完善的信息安全管理制度，包括信息安全總體安全防護(hù)策略、管理辦法、信息通報和應(yīng)急處置制度，涵蓋了信息安全活動的主要方面；總結(jié)形成了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的信息安全防護(hù)策略，建立了多技術(shù)層面的防護(hù)體系，做到了物理、網(wǎng)絡(luò)、終端和數(shù)據(jù)的多角度、全方面保護(hù)。

4.2存在的安全隱患

（1）未建立工業(yè)控制主機(jī)和設(shè)備的安全配置策略。多數(shù)工業(yè)主機(jī)上未安裝防病毒或白名單軟件，且系統(tǒng)中存在大量USB存儲設(shè)備使用記錄，未通過主機(jī)外設(shè)安全管理技術(shù)手段實施訪問控制，工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備均未采用多因素認(rèn)證方式。安全設(shè)備配置不合理，防火墻規(guī)則和路由器配置不當(dāng)容易引發(fā)通信安全風(fēng)險，訪問控制規(guī)則配置不正確的防火墻可能許可不必要的網(wǎng)絡(luò)數(shù)據(jù)傳輸，如在企業(yè)網(wǎng)和控制網(wǎng)之間進(jìn)行數(shù)據(jù)交換，可能導(dǎo)致惡意攻擊或惡意代碼在系統(tǒng)網(wǎng)絡(luò)的傳播，重要工業(yè)數(shù)據(jù)容易被竊聽。

（2）電力系統(tǒng)對時序要求嚴(yán)格，容易出現(xiàn)傳輸延遲等問題。SCADA和自動化控制系統(tǒng)對受控對象的直接操作具有高度時效性，不允許發(fā)生重大延遲和系統(tǒng)震蕩，以變電站運作為例，觸發(fā)電路開關(guān)延遲可能導(dǎo)致功率波動甚至停電。如果惡意攻擊者頻繁發(fā)起常見請求，即使防火墻能夠阻止未授權(quán)的請求，但在數(shù)據(jù)處理能力不足、帶寬受限的情況下，也會引起網(wǎng)絡(luò)延遲，難以滿足傳輸?shù)膶崟r性要求。

（3）系統(tǒng)各種業(yè)務(wù)的應(yīng)用程序缺少驗證機(jī)制。多數(shù)電力工業(yè)控制設(shè)備缺乏身份驗證機(jī)制，即便有，大部分也為設(shè)備供應(yīng)商默認(rèn)的用戶名和密碼，極易被猜到或破解，一般不會定期更換密碼，同時應(yīng)用系統(tǒng)的資源（如文件、數(shù)據(jù)庫表等）存在被越權(quán)使用的風(fēng)險。對關(guān)鍵設(shè)備和組件缺少冗余配置，導(dǎo)致應(yīng)用程序?qū)收系臋z測、處理和恢復(fù)能力不足，缺少對程序界面輸入內(nèi)容或是注入攻擊的驗證，如SQL注入攻擊等，系統(tǒng)數(shù)據(jù)庫存在泄漏的風(fēng)險。

（4）管理信息大區(qū)積累大量電力敏感數(shù)據(jù)，存在泄漏或被篡改的風(fēng)險。不僅僅是居民的用電數(shù)據(jù)，個人信息也存儲在電力數(shù)據(jù)庫中，電力調(diào)度、檢修、運維等數(shù)據(jù)極易被批量查詢，從而導(dǎo)出個人敏感信息，缺乏對敏感字符的過濾機(jī)制將帶來安全風(fēng)險。同時電力數(shù)據(jù)通常不進(jìn)行定期備份，如果發(fā)生人為誤操作導(dǎo)致數(shù)據(jù)更改或刪除，或是數(shù)據(jù)庫自身出現(xiàn)故障、服務(wù)器宕機(jī)，數(shù)據(jù)存儲安全性難以保證。

5.軌交行業(yè)特點

5.1行業(yè)背景

隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是信號系統(tǒng)信息化的深度集成，CBTC系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與PIS網(wǎng)絡(luò)、語音廣播等其他子系統(tǒng)互聯(lián)，甚至與公共網(wǎng)絡(luò)連接，導(dǎo)致病毒、木馬等威脅向CBTC系統(tǒng)擴(kuò)散。一旦CBTC系統(tǒng)出現(xiàn)信息安全問題，將對城市軌道交通的穩(wěn)定運行和乘客的人身安全產(chǎn)生重大影響。某地軌道交通運營公司在《軌道交通信息安全技術(shù)架構(gòu)》中提出信息安全建設(shè)的總體目標(biāo)為：全面防護(hù)、保護(hù)重點、專區(qū)專用、強(qiáng)化邊界，旨在提升信息安全的預(yù)警能力、保障能力、檢測能力、應(yīng)急能力和恢復(fù)能力。要求以GB/T 22239為基礎(chǔ)，以“安全分區(qū)、網(wǎng)絡(luò)專用、三網(wǎng)隔離、分級防護(hù)”為原則，在技術(shù)層面要求各系統(tǒng)統(tǒng)一技術(shù)架構(gòu)和標(biāo)準(zhǔn)，按相應(yīng)等級要求建設(shè)、實施。

5.2存在的安全隱患

（1）現(xiàn)場環(huán)境嚴(yán)苛，網(wǎng)絡(luò)設(shè)備存在被動適應(yīng)安全隱患。軌交現(xiàn)場的機(jī)電一體化設(shè)備通常部署在較為苛刻的環(huán)境中，傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備難以穩(wěn)定運行，因此無法保證工業(yè)網(wǎng)絡(luò)及控制系統(tǒng)的信息安全。苛刻的環(huán)境條件包括極端的溫度、EMC、EMI等，其對傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備造成的破壞可能比惡意程序或代碼的攻擊更為嚴(yán)重。

（2）無線通信安全性亟待加強(qiáng)。信號系統(tǒng)的無線信號是開放的，軌旁無線與列車通信鏈路采用同一頻段，可能出現(xiàn)用戶未經(jīng)授權(quán)非法接入信號系統(tǒng)、數(shù)據(jù)在傳輸過程中被監(jiān)聽竊取等問題。無線網(wǎng)絡(luò)的開放性增加了無線設(shè)備配置的安全風(fēng)險，無線網(wǎng)加密機(jī)制存在安全隱患。

（3）軌交列控系統(tǒng)存在移動媒介、以太網(wǎng)接口以及設(shè)備接入隱患。工業(yè)主機(jī)大量使用外設(shè)接口，安全管理技術(shù)手段欠缺，存在USB協(xié)議、U盤運行、U盤固件設(shè)計隱患；多數(shù)交換機(jī)、工控機(jī)等設(shè)備中存在未使用且開放的端口，各種系統(tǒng)及設(shè)備接入缺乏訪問控制措施。

（4）數(shù)據(jù)庫安全隱患。管理方式不當(dāng)、操作系統(tǒng)故障及軟件故障都會導(dǎo)致軌道交通子系統(tǒng)性能的下降，影響系統(tǒng)的可用性；獲得系統(tǒng)控制權(quán)限的攻擊者可能接觸到數(shù)據(jù)庫，缺省密碼或弱密碼易導(dǎo)致關(guān)鍵控制數(shù)據(jù)被篡改或者喪失，或列車失去控制，嚴(yán)重甚至導(dǎo)致人員傷亡。

6.行業(yè)共性問題

（1）未進(jìn)行安全域劃分，安全邊界模糊。大多數(shù)行業(yè)的工控系統(tǒng)各子系統(tǒng)之間沒有隔離防護(hù)，未根據(jù)區(qū)域重要性和業(yè)務(wù)需求對工控網(wǎng)絡(luò)進(jìn)行安全區(qū)域劃分，系統(tǒng)邊界不清晰，邊界訪問控制策略缺失，重要網(wǎng)段和其他網(wǎng)段之間缺少有效的隔離手段，一旦出現(xiàn)網(wǎng)絡(luò)安全事件，安全威脅無法控制在特定區(qū)域內(nèi)。

（2）操作系統(tǒng)存在漏洞，主機(jī)安全防護(hù)不足。工程師站和操作員站一般是基于Windows平臺，包括NT4.0、2000、XP、Win7、Server2003等，考慮到殺毒軟件和系統(tǒng)補(bǔ)丁可能對控制系統(tǒng)的穩(wěn)定運行造成影響，即便安裝殺毒軟件也存在病毒庫過期等問題，因此通常不安裝或運行殺毒軟件，系統(tǒng)補(bǔ)丁在特殊情況下才進(jìn)行更新或升級。同時，移動存儲介質(zhì)和軟件運行權(quán)限管理缺失，控制系統(tǒng)極易感染病毒。

（3）通信協(xié)議的安全性考慮不足，容易被攻擊者利用。專用的工控通信協(xié)議或規(guī)約在設(shè)計之初一般只考慮通信的實時性和可用性，很少或根本沒有考慮安全性問題，例如缺乏強(qiáng)度足夠的認(rèn)證、加密或授權(quán)措施等，特別是工控系統(tǒng)中的無線通信協(xié)議，更容易受到中間人的竊聽和欺騙性攻擊。為保證數(shù)據(jù)傳輸?shù)膶崟r性，Modbus/TCP、OPC Classic、IEC 60870-5-104、DNP 3.0、Profinet、EtherNet/IP等工控協(xié)議多采用明文傳輸，易于被劫持和修改。

（4）安全策略和管理制度不完善，人員安全意識不足。目前大多數(shù)行業(yè)尚未形成完整合理的信息安全保障制度和流程，對工控系統(tǒng)規(guī)劃、設(shè)計、建設(shè)、運維、評估等階段的信息安全需求考慮不充分，配套的事件處理流程、人員責(zé)任體制、供應(yīng)鏈管理機(jī)制有所欠缺。同時，缺乏工控安全宣傳和培訓(xùn)，對人員安全意識的培養(yǎng)不夠重視，工控系統(tǒng)經(jīng)常會接入各種終端設(shè)備，感染病毒、木馬等的風(fēng)險極大，給系統(tǒng)安全可靠運行埋下隱患。

7.結(jié)語

工業(yè)控制系統(tǒng)信息安全事關(guān)工業(yè)生產(chǎn)運行、國家經(jīng)濟(jì)安全和人民生命財產(chǎn)安全，保障系統(tǒng)信息安全是維護(hù)工業(yè)控制系統(tǒng)穩(wěn)定運行的重要前提，是開展工業(yè)建設(shè)的堅實基礎(chǔ)。針對不同的工業(yè)控制系統(tǒng)信息安全需求及系統(tǒng)運行情況，選擇恰當(dāng)?shù)陌踩雷o(hù)措施，全方位地對工業(yè)控制系統(tǒng)的安全風(fēng)險進(jìn)行分析和評估，才能確保各行業(yè)網(wǎng)絡(luò)的安全、可靠，避免信息安全隱患造成不可預(yù)估的損失。