破解“工業控制系統信息安全”迷局

本刊記者/宋慧欣

如果說2010年9月，“震網”病毒攻擊伊朗核電站工控系統，給全球工業界控制系統的信息安全問題敲響了警鐘，那么2011年11月，在拉斯維加斯舉行的黑客大會上，對于如何進攻中國重要基礎行業正在使用的工控系統的演示無疑進一步表明了我國工控系統信息安全所面臨的緊迫形勢。

當前，國內外工業企業都把工業控制系統安全防護建設提上了日程。2011年10月，工信部印發《關于加強工業控制系統信息安全管理的通知》，明確提出：“重點加強核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進控制、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關領域的工業控制系統信息安全管理，落實安全管理要求。”問題已擺在面前，如何解決？當然首要問題就是撥開迷霧，探尋問題實質。

本期專題策劃，本刊記者特邀來自西門子、施耐德電氣、霍尼韋爾、ABB、和利時五家控制系統供應商的信息安全專家共同破解工業控制系統的信息安全迷局。

工業自動化生產領域在享受開放、互聯技術帶來的技術進步、生產率提高與競爭實力大大增強的利益的同時，也面臨著越來越嚴重的安全威脅。

——西門子

每個用戶的應用不盡相同，因此需要分別評估各自的安全風險并找出其系統中的最大隱患，以便基于這些因素來構建信息安全策略。

——David Doggett

傳統IT領域的影響范圍主要在虛擬的數字空間，需要借助人的作用才會對真實世界造成影響，工業領域是真實世界的重要組成部分，是現代人類文明的基礎，工業領域的信息安全問題直接對人類社會造成威脅。

——朱毅明

MES系統對信息安全的防護措施要更加嚴謹，既要保證各系統之間實時可靠的數據傳輸，也要限制企業管理系統網絡對下層控制網的不良影響。

——錢浩

建立企業安全管理長效機制，充分認識到安全防衛是一個旅程，而不是一個目的地(Security is a journey not a destination)含義。

——黃天煌

破題一：為什么近來工業控制系統信息安全問題頻繁發生?

國家互聯網應急中心(CNCERT)日前發布《2011年中國互聯網網絡安全態勢報告》，指出： 2011年國家信息安全漏洞共享平臺收錄了100多個對我國影響廣泛的工業控制系統軟件安全漏洞，較2010年大幅增長近10倍，對正常生產秩序形成嚴重威脅。毫無疑問，工業控制系統的信息安全威脅環境正處于急速變化的階段。正如施耐德電氣工業事業部全球網絡安全項目總監David Doggett所說：“過去，網絡安全僅僅是IT和管理系統的問題，而就新的攻擊和威脅來看，物理設備和關鍵基礎設施都可能成為攻擊的目標。資產所有人和供應商必須盡快適應這種環境?！?/p>

分析其中原因，和利時科技集團技術總監朱毅明認為網絡技術的深入應用使得當前工業控制系統信息安全問題日益突出：“目前在役的工業控制系統大多是上個世紀末期開始研制的，由于當時的工業控制系統大多采用專用實時操作系統、Arcnet、FDDI等網絡設備和令牌環、令牌總線等特殊的網絡協議，整個系統相對封閉，受到入侵的可能性不大，同時設計人員缺乏信息安全的意識，在系統架構方面基本上沒有考慮信息安全設計。隨著計算機和網絡的廣泛應用，不少廠家都對原系統進行升級，PC Base系統、COTS軟件、TCP/IP和以太網逐漸引入到工業控制系統中，但這些升級大多屬于局部修改，未能全面考慮信息安全問題，導致了信息安全風險的逐步擴大。”

西門子（中國）有限公司信息安全專家對此觀點表示認同并給予了具體分析：“為了提高生產率和生產的靈活性，標準的自動化技術與聯系自動化“孤島”的網絡技術正得到日益廣泛的應用。具體表現在工業自動化控制系統正逐漸從封閉、孤立的系統轉化為開放互聯，工業自動化生產開始在所有網絡層次上橫向與垂直集成；將工業自動化控制網絡與IT網絡相連，以及為實現遠程維護與Internet連接；越來越多地采用開放標準以及基于PC的系統。工業自動化生產領域在享受開放、互聯技術帶來的技術進步、生產率提高與競爭實力大大增強的利益的同時，也面臨著越來越嚴重的安全威脅。包括：未授權人員的非法訪問；間諜活動、非法操縱控制數據，由于惡意軟件導致的數據丟失、損壞，等等。”

破題二：工業控制系統信息安全漏洞有哪些?

近年來，越來越多的工業自動化控制系統安全事件的出現充分說明了自動化工廠存在著安全脆弱性，而要面對這一挑戰，首先應當充分了解潛在的安全威脅到底出自何處。對此，各位專家從不同的角度給予了解讀。

霍尼韋爾中國公司高級系統顧問黃天煌認為工業控制系統安全漏洞來自管理、工業控制系統供應商、工業控制系統本身多個方面：“從管理來說，決策部門不夠重視，企業沒有制定安全政策，沒有安全管理機制，技術人員嚴重缺乏安全知識；而目前有相當一部分工業控制系統供應商沒有完整的工業安全解決方案也是造成信息安全問題的原因所在；另外，工業控制系統自身存在安全漏洞，包括：過程控制網絡架構混亂，控制網絡與IT網絡隔離不正確，缺少防病毒保護和及時更新，缺少Windows安全補丁更新，個人賬號或角色管理不合理等?！?/p>

ABB控制技術部高級工程師錢浩認為工業控制系統是由軟件與硬件構成的，理論上，這些軟件與硬件都有被攻擊的危險：“常見的安全漏洞包括操作系統平臺的漏洞例如Windows操作系統、工業控制系統的漏洞；硬件例如PLC控制器、電腦工作站、網絡設備如交換機、路由器等。”

和利時科技集團技術總監朱毅明則認為：“目前工業控制系統信息安全主要有兩個關注點，一是在網絡傳輸過程中的保密信息泄漏；二是外部入侵影響系統可靠運行。工業控制系統由于對于傳輸的實時性要求很高，網絡數據傳輸一般不采用加密的方式，在數據格式、傳輸協議方面的特點，也造成了基本上無安全性可言?！?/p>

西門子（中國）有限公司信息安全專家表示：“到目前為止，真正的網絡攻擊還是比較罕見的。在大多數情況下，人們多數談論的是潛在的工業控制系統安全漏洞。目前已知的典型ICS漏洞主要包括，拒絕服務（Denial of Service)，易受暴力攻擊的弱口令，以及基于PC的Windows系統易受病毒感染等。這些安全漏洞使得ICS系統暴露于安全攻擊之下，因此應當盡快采取安全措施?！?/p>

施耐德電氣工業事業部全球網絡安全項目總監David Doggett則認為：“在最終用戶的系統中，主要安全漏洞來自于工廠物理設備，因此在工廠內加強廠級安全策略尤為重要。然而，每個用戶的應用不盡相同，因此需要分別評估各自的安全風險并找出其系統中的最大隱患，以便基于這些因素來構建信息安全策略?！?/p>

破題三：工業控制系統信息安全問題發生有何特點?在哪些領域易于發生?

工業控制系統信息安全問題的發生有其必然性，這其中也必然有規律可循，西門子（中國）有限公司信息安全專家分析近些年出現的工控系統安全問題認為：“除少數特別復雜的攻擊外，主要的問題還是集中在工業PC感染IT病毒后導致工業應用失效，或影響到工業以太網，其次是各種工控設備、應用在部署中普遍采用弱口令、空口令、靜態口令，再有就是利用工程師站上網或從事其他無關用途等管理脆弱性所帶來的安全問題?！?/p>

從應用領域上來看，西門子（中國）有限公司信息安全專家表示：“聯網程度高、復雜的（存在大量的子網與控制單元）工控系統，特別是過程控制系統，與企業IT辦公網有直接、間接互聯的工控系統，存在（通過Internet或其他公共網絡）遠程維護接口的工控系統，一旦管理不善，都更易于發生安全問題?！?/p>

雖然有一定規律可循，但工業控制系統信息安全問題是一個普遍問題，不存在避風港，不能存有僥幸心理，因為工業控制系統信息安全問題可能造成控制器的性能受影響，或癱瘓，也可能造成控制策略混亂或輸出錯誤，從而造成生產安全故障。正如霍尼韋爾中國公司高級系統顧問黃天煌所言：“只要是使用開放的以太網、基于微軟Windows操作系統的數據采集與監控（SCADA）系統、分布式控制系統（DCS）、過程控制系統（PCS）、可編程邏輯控制器（PLC），基于控制系統的高級應用等等，都是易于發生信息安全問題的領域?！?/p>

ABB控制技術部高級工程師錢浩也持相同觀點：“由于工控系統廣泛應用于如電力、石化、鋼鐵、造紙、水泥等各種工業行業，只要企業的安全措施沒有做到位，都有可能發生上述信息安全事故?！?/p>

而和利時科技集團技術總監朱毅明則表示工業控制系統信息安全問題不但在能源、化工、石化、交通運輸等國民經濟關鍵領域要關注，對于中小型制造企業方面更要引起重視：“中小型制造業信息安全問題可能相對影響較小，但由于中小型企業技術能力較大型企業相對不足，如果出現信息安全問題，容易出現危險失控或大面積擴散?！?/p>

破題四：相比IT信息安全，工業控制系統信息安全提出了哪些新需求？

其實信息安全問題已經不是一個新的話題，但在過去信息安全問題一直是IT領域所關注的熱點，也針對此問題提出了一系列的應對策略。但對于工業控制系統來說，其信息傳輸具有特殊性，工業控制系統信息安全與IT系統信息安全自然也存在著差別，霍尼韋爾中國公司高級系統顧問黃天煌認為：“最大的區別是造成的后果不同，工業控制系統的信息安全不僅可能造成信息的丟失，還可能造成工業過程生產故障的發生，從而造成人員損害及設備損壞，其直接財產的損失是巨大的，甚至有可能引起環境問題和社會問題?！?/p>

與其持相同觀點的還有和利時科技集團技術總監朱毅明：“傳統IT領域與工業領域相比最大的不同在于：傳統IT領域的影響范圍主要在虛擬的數字空間，需要借助人的作用才會對真實世界造成影響，工業領域是真實世界的重要組成部分，是現代人類文明的基礎，工業領域的信息安全問題直接對人類社會造成威脅?！?/p>

目前，已經有許多安全產品可以用于實現工業控制系統的“縱深防御”，如最新的病毒掃描軟件及防火墻、網關等。但安全產品需要充分考慮工業控制系統的特殊性，包括工控領域使用的是特殊的網絡協議，工控設備多為嵌入式系統，以及SCADA、DCS等工控應用的特點，才能提供有效的防護，簡單地將原先純粹為IT領域設計的安全產品原封不動地引入到工業控制領域，具有相當大的局限性，有時甚至會帶來新的問題。西門子（中國）有限公司信息安全專家就此分析認為兩者之間需求不同是首先需要考慮的問題：“在辦公IT領域中，其數據的最重要的安全需求是機密性。但在工業控制領域，更關鍵的需求是實時通信或99.99%的工廠可用性，所以在工控領域，首要的安全需求是可用性?！?/p>

ABB控制技術部高級工程師錢浩認為工業控制系統對信息安全的要求會更嚴格，對系統數據的完整性、可用性以及實時訪問均有高要求：“首先，工控系統的受控對象是物理的生產過程，生產受到影響會導致財務、人員、環境等方面的損失，也會受國家法規約束；其次，工控系統信息安全的重點是保護受控對象的高度穩定性，其可用性要達到99.9%以上；再次，一旦發生信息安全的事故，工控系統要求很短時間內解決，手段包括冗錯機制，在線修復等等?！?/p>

施耐德電氣工業事業部全球網絡安全項目總監David Doggett則從更具體的角度給予了分析，他認為：“首先，對于IT領域來說，已裝機系統的更換或升級頻率一般是兩到三年，此外每個月還要進行例行補丁安裝或修正；而對于工業控制系統來說，系統一旦安裝完畢投入運行，將進行10-20年不間斷的可靠運行。但是，由于外部環境的信息安全威脅不斷變化，某些年代久遠的已裝機系統在更換之前必須不斷升級改造以確保其安全性。越來越多工業控制系統的安全性不斷提高，而這些系統的生命周期將比之前預計的更短，以跟上不斷變化的外部威脅環境的步伐。工業控制系統的升級或補丁安裝過程也與IT領域有很大差別，系統只能接受很短的計劃停機時間。其次，最終用戶工業控制部門的工作人員所掌握的安全技能往往是比較有限的，所以在設計與實施安全系統時往往要求低維護率?！?/p>

破題五：作為現代工廠三層結構中承上啟下的MES系統，其信息安全防范有何特殊性？

在現代工廠三層網絡架構中，承上啟下的MES作為聯接工業控制系統與企業管理系統之間的橋梁，使得底層工控系統與上層的企業管理系統進行信息交互，其信息安全防范又需有哪些特殊考慮？各位專家提出了具有針對性的策略。

西門子（中國）有限公司信息安全專家表示：“MES其特殊性在于既要考慮與工業控制系統通信的高可靠性方面的需求，保證MES系統本身的故障、安全問題不會波及到工業控制系統；還要考慮企業管理系統在機密性方面的需求，采用VPN、強認證等技術保護企業生產的關鍵性數據。因此，在實際中可以考慮將企業管理系統、MES、工業控制系統劃分為不同的安全域，并采用防火墻、安全網關等技術將其隔離，并在不同的安全域根據其需求的不同定義不同的安全策略（包括邊界防火墻、網關的策略），部署不同的安全產品進行防護?！?/p>

ABB控制技術部高級工程師錢浩認為：“ MES系統對信息安全的防護措施要更加嚴謹，既要保證各系統之間實時可靠的數據傳輸，也要限制企業管理系統網絡對下層控制網的不良影響。例如在不同網絡之間架設硬件防火墻、采用域策略進行管理并給予用戶相應的訪問策略、外網的連接采用VPN技術、服務器與客戶端需要有軟件防火墻及殺毒軟件、完善的數據備份機制、必要時可對數據庫文件進行加密等措施?！?/p>

霍尼韋爾中國公司高級系統顧問黃天煌表示：“MES與控制系統不同，它沒有與生產過程直接連接，只是通過網絡及軟件接口，如實時數據庫，OPC接口等連接，所以MES除了本身必須具備信息安全的防護以外，還必須注意與控制系統接口安全問題。MES應用不要直接訪問控制系統，最好通過由控制廠商提供的專門實時數據庫，再由該實時數據庫使用廠商提供的專用通訊接口與控制系統進行通訊。同時在網絡架構上，實時數據庫必須通過專門的網絡隔離設備進行隔離，如網絡防火墻。”

施耐德電氣工業事業部全球網絡安全項目總監David Doggett則提出具有針對性的DMA策略：“保護三層結構的最常見的解決方案是采用DMZ策略，即安全隔離區策略。這對橋接工廠控制層和管理層的MES來說，特別有效。把數據放在DMZ安全隔離區可以保證數據通訊不會直接在企業層和工廠控制層之間發生。防火墻也會放在安全隔離區的兩側來阻止未授權的沖突。如果安全隔離區計算機被采用，則會把工廠生產隔離開，以阻止可能的潛在隱患?！?/p>

破題六：IT系統供應商、用戶、工業控制系統供應商、設計院如何協同應對？

由于工業控制系統所涵蓋的產品廣泛，其信息安全問題是一項綜合性的方案，因此需要用戶、IT系統供應商及控制系統廠商緊密地協作。正如施耐德電氣工業事業部全球網絡安全項目總監David Doggett表示：“IT供應商和IT公司應對信息安全問題多年，對于技術、威脅和部署方法十分熟悉，能夠確保企業、網絡和計算機數據的安全。IT供應商通常不了解工控系統客戶對于所需的系統集成性和可靠性的敏感程度。最好的辦法就是各部門協作，集合掌握技術、了解環境、了解潛在隱患及其解決辦法的人員，從而確保系統的可用性和集成性?！?/p>

西門子（中國）有限公司信息安全專家認為工業控制系統的信息安全涉及到工控系統的管理者、運營者、系統集成商和產品廠商，需要多方協作才能保護工業控制系統免受各種安全威脅的侵害，其具體分析到：“對工業控制系統的管理者，其安全需求包括：采取措施與流程防止對工廠的未經授權的訪問、提供對關鍵自動化組件物理訪問的防護等等；而對運營者安全需求，則包括：在運營過程中建立并貫徹安全指南與流程規范，實施安全風險管理 ，重視信息與文檔的管理使得安全審計成為可能等等；對系統集成商，需要在建立工業控制系統之初就考慮：訪問控制、用戶控制，數據完整性與機密性，可控的數據流等安全需求；而對工業控制系統廠商，則需要考慮自動化系統組件的安全需求：建立并貫徹安全產品開發流程、產品功能安全等等。 ”

ABB控制技術部高級工程師錢浩則以ABB公司為例告訴我們IT系統供應商、用戶、工業控制系統供應商如何協同應對：“所有與ABB的控制系統有直接聯系的軟硬件均需要通過ABB Industrial IT認證，該認證能夠最小化用戶在使用ABB控制系統過程中的信息安全風險；同時，ABB與Microsoft、IBM、Lenovo、HP、DELL、Cisco、Hirschmann、MOXA、Phoenix、Westermo、McAfee等軟硬件廠商有密切聯系，定期發布經過ABB研發部門測試過的安全補丁與認證產品列表供用戶選擇，用戶也能通過信息反饋與ABB工程師進行及時溝通。”

破題七：應對工業控制系統信息安全，當前最緊迫的問題是什么？

盡管工業控制系統信息安全已成為一個全球性的問題，但是我國用戶與發達國家相比，在安全意識和防范措施等方面仍存在著巨大的差距，標準與法規尚未健全，第三方認證機構沒有得到系統管理。應對當前日益嚴重的信息安全形勢，最緊迫的問題是什么？培養人的安全意識和完善安全風險評估機制成為諸位專家的共識。

ABB控制技術部高級工程師錢浩認為：“工業控制系統的正常運行離不開人的因素，因此，其信息安全與人員因素息息相關。明確信息安全目標、制訂信息安全政策、劃分信息安全區域都是當前的首要問題。”

西門子（中國）有限公司信息安全專家認為：“對于人的安全意識的培養，不僅要意識到工業控制系統信息安全問題的迫切性，后果的嚴重性，更要了解工業控制系統信息安全不是一個單純的技術問題，而是一個從意識培養開始，涉及到管理、流程、架構、技術、產品等各方面的系統工程；以及工業控制系統信息安全是一個動態過程，需要在整個工業基礎設施生命周期的各個階段中持續實施，不斷改進的理念，不可能一蹴而就，也不可能一勞永逸。”

和利時科技集團技術總監朱毅明則認為：“面對越來越頻繁發生的工業控制系統信息安全問題，當前最緊迫的事情認識到其嚴重性，新建或改造的工控系統應該具備信息安全特性，全面滿足信息安全需求；對于在役系統，應該針對各企業的工業控制系統的實際情況進行安全風險評估，設計出符合不同工業企業實際情況的工業控制系統安全解決方案，分期分步開展工控信息安全升級，從隔離危險源、切斷危險進入和擴散的路徑入手逐步提升工控系統的信息安全水平。

霍尼韋爾中國公司高級系統顧問黃天煌給出的五大緊迫任務正是對以上的最好總結：目前當務之急就是大力進行安全教育，特別是各級領導及技術人員要有安全隱患意識，應從以下方面著手：參照IEC 62443 / ISA99標準，由工信部牽頭制定相應國家標準；要求企業建立信息安全專業小組，制定企業控制系統信息安全政策(Policies)和實踐(practices)；對已有工業控制系統進行全面評估，及早發現安全隱患，并采取安全保護措施；對新上工業控制系統項目必須要求充分考慮安全保護；建立企業安全管理長效機制，充分認識到安全防衛是一個旅程，而不是一個目的地(Security is a journey not a destination)含義。

工業控制系統供應商信息安全應對策略

對于新建或升級改造的工控系統，面對不同的應用場合和利時提供不同等級的信息安全解決方案。對于大型SCADA系統，由于地理上分散部署，網絡節點數量多，部分通訊鏈路采用無線通訊或公網，使用COTS軟件較多，信息安全風險較大，在系統架構設計上就要重點考慮信息安全問題，在設計實現方面，采用權限認證、傳輸加密、完整性檢查、安全分區、主動行為檢查、漏洞掃描等手段降低信息安全風險。對于PLC和DCS，地理分散度相對SCADA較低，網絡以電纜和光纜介質為主，COTS軟件主要用于非關鍵系統，主要采用廣播風暴抑制、通訊流量控制、過濾特殊報文、封閉空閑端口、關鍵代碼和數據加密冗余存儲等信息安全措施。

☆ 保證自動化工廠的物理安全；

☆ 建立安全策略與流程；

☆ 進行網絡分區與（控制單元間的）邊界防護；

☆ 建立安全的單元間通信；

☆ 系統加固與補丁管理；

☆ 惡意軟件的檢測與防護；

☆ 訪問控制與賬號管理；

☆ 記錄設備訪問日志，并進行必要的審計。

簡而言之，就是要確保只有絕對必要的人員才能在物理上接觸到關鍵工控系統，將工控設備在網絡上與其他不必要相聯的系統斷開，維護防火墻的完整性，堅持打上最新的軟件安全補丁，等等。

西門子將向客戶提供全面的工業控制系統信息安全支持，包括產品、系統、解決方案，以及專業的咨詢服務。

與此同時，西門子還在全球的重點國家建立了安全專家網絡。目前，西門子安全網絡的中心設立在德國，并在美國、中國、俄羅斯、法國建立了分支，并計劃在英國、印度設立另外兩個分支。西門子安全專家職責是第一時間掌握安全漏洞與網絡攻擊的相關信息，與本地客戶、工業合作伙伴、以及政府權威機構密切合作，共同分析問題，控制問題的影響范圍，盡快提供相應的解決方案。

☆ Honeywell已經建立起一個獨立的業務部門，主動幫助用戶實現安全與防衛 ；

☆ 與全球重要客戶密切合作，共同研究安全策略；

☆ 參與在標準委員會的領導層工作，包括：ISA-SP99、IEC-65C、MS-MUG；

☆ 在Honeywell工廠內部，不斷進行控制系統弱點攻擊測試 ；

☆ 計劃對所有用戶實施工廠實現綜合縱深“防御計劃”。

Honeywell 自動化控制系統實行縱深安全防衛策略：

☆ 在控制系統內部的每一層內置安全防護功能，包括：

（1）安全可靠且具有完整的網絡安全性：網絡分層分區（FTE社區），每一層具備不同安全特性。Level1連接使用Honeywell專用的的控制防火墻，保證過程控制器絕對安全。每一FTE社區采用虛擬專用網絡，私有IP地址，FTE社區只允許通過路由器互聯。充分使用智能交換機安全機制，壓制大量廣播/組播/單播通訊，實行過程控制信號優先級通訊，保證監控信息傳輸在任何不被中斷。與工廠信息網絡使用單一網絡防火墻進行隔離。

（2）PC機安全防護：基于角色的安全管理，保護重要文件,注冊鍵, 目錄；要求使用域服務器，根據用戶角色，預先設定好域用戶組(Group)，和角色安全模板。

（3）保持控制統處于最新的安全防護狀態：強制要求防病毒軟件，建立防病毒數據自動更新服務器，及系統安全補丁自動更新服務器。

☆ 提供《控制系統安全最優實踐(Best Practices)》正式文本資料；

☆ 保持警戒(Maintain vigilance)，定期進行安全評估與測試，不斷維持安全旅程(security journey)；

☆ 提供災難性故障的恢復工具與程序 ；

☆ 與我們的客戶與用戶保持密切合作 ；

☆ 集成化的安全防衛方案， 包括物理(Physical), 電子(electronic)和計算機(cyber)。