加強工業控制系統安全防護的認識與思考

王偉

一、工業控制系統架構與安全威脅

工業控制系統是類似互聯網技術的一種通用信息技術，是由計算機設備與工業過程控制部件構成的網絡化控制系統，廣泛應用于工業部門和基礎設施中。抽象的工業控制系統一般具備五層結構；

最底層（0層）為工業過程基礎設施，第1層為可編程邏輯控制器/遠程控制終端（PLC/RTU），第2層為中心站與PLC遠程終端組成的局域網規模的分布式控制系統（DCS），第3層為中心站與RTU遠程終端或DCS組成的廣域網規模的數據采集與監控系統（ SCADA），第4層則是包括SCADA或DCS在內的企業級信息管理系統。

工業控制系統的安全與因特網安全既有共性之處也有異性之別，共性在于都要防病毒等惡意軟件和黑客入侵，異性在于兩者體系結構截然不同，一是工業控制系統是高度集中的縱向多層次結構，傳輸內容與因特網不同，全部是直接控制工業設備的指令信息；二是安全問題，因特網大多集中在信息交互層面，而工業控制系統則大多集中在物理層面。

表1 工業控制系統五層結構

工業控制系統一經應用，就出現各種各樣的安全威脅，主要表現為三類：

1、來自自然環境因素和系統本身脆弱性。2003年8月，北美發生大停電事件，起因于俄亥俄州電廠高壓電線觸及路旁樹枝而造成局部跳電，但監控電廠運行狀態的軟件有設計錯誤，關鍵時刻并未報警，致使操作員未能及時發現并處理跳電以至負載失衡擴散，造成鄰近電廠接連跳電，導致空前大停電，影響5000萬人生活，造成100多億美元的經濟損失。

2、來自病毒等惡意軟件和黑客的攻擊。2000年，美國一男童通過網絡侵入亞利桑納州羅斯福水壩的 SCADA系統，并能控制水壩閘門提升，該水壩儲水一旦被瀉出，足以淹沒下游的菲尼克斯城，幸好被工程師及時發現，才沒有導致災難發生；2011年1月，美國和以色列聯合研制名為“震網”的電腦蠕蟲病毒，成功襲擊了伊朗的納坦茲鈾濃縮工廠等核設施，延遲了伊朗核計劃的順利實施。

3、來自信息對抗層次甚至是國家級的信息戰攻擊。1982年6月，美國中情局通過利用美國給前蘇聯的控制軟件中的缺陷，對前蘇聯的輸油管線系統進行了一次災難性的打擊，編程軟件在人為設定的時間間隔后出現故障，使得管線壓力超過管道焊接點焊縫能承受的最大壓力，結果導致前蘇聯西伯利亞一條天然氣管線發生爆炸，據稱是有史以來最大的非核爆炸。

業界專家對由工業控制系統支撐的基礎設施可能遭遇的攻擊表示相當擔憂，并將其前景描述為：將來某一天可能會發生“數字滑鐵盧”或“電子珍珠港”事件。

二、揚州市工業控制系統調查現狀

按照工信部《關于加強工業控制系統信息安全管理的通知》要求，揚州市自去年1月起，在全市范圍內啟動重點行業重要工業控制系統基本情況調查，今年又將揚州市第五水廠申報為全省工業控制系統安全管理試點，江蘇省專家組對五水廠工業控制系統進行現場調研并針對安全隱患提出具體整改建議。

統計顯示，全市2市（高郵、儀征）、1縣（寶應）、3區（廣陵、邗江、江都）和2園區（市經濟技術開發區、市化工園區）24個企業共計1213個重點工業控制系統，主要分屬化工、電力行業和城市公用事業服務領域。德國西門子公司生產的可編程控制器（PLC）和我國浙江浙大中控公司生產的分布式控制系統（DCS）在揚州市工業企業應用廣泛，其中德國西門子公司生產的可編程控制器占全部調查企業工業控制系統總數的87%，占全部調查企業可編程控制器應用總數的95%以上；浙江浙大中控公司生產的分布式控制系統占全部調查企業分布式控制系統應用總數的半數以上。

1、按企業所屬地區分：

3、按企業經濟類型分：

4、按系統應用行業分：

5、按系統制造商國別分：

6、按系統類型分：

調查發現，揚州市多數企業對工業控制系統信息安全認識與防護能力相當薄弱。對工業控制系統信息安全問題重視不夠，管理制度不健全，相關標準規范缺失，技術防護措施不到位，安全防護能力和應急處置能力不高；絕大多數企業工業控制系統主要軟硬件依賴進口，技術受制于人；廣泛使用無線電通信，存在安全隱患；借用公共電信網絡和因特網組網，增加了安全風險，威脅著工業生產安全和社會正常運轉；部屬、省屬駐揚單位以及民航、水利等重要系統網絡信息安全工作“屬地化”管理迫切需要進一步優化完善相關機制；工業控制系統設備的源頭廠商管理無序，迫切需要加強監管并嚴把進口關，通過源頭治理、政企協作、形成合力，實施有效有力地防范保障。

三、加強工業控制系統安全防護的幾點思考

切實加強工業控制系統安全防護，須從國家戰略層面和企業戰術層面雙輪驅動、雙管齊下。

1、國家在戰略層面強化頂層設計、統籌規劃和標準規范。

（1）推進工業控制系統防護體系建設。加強對工業控制系統安全防護工作的組織領導和宏觀規劃，組織力量進行跨部門、跨行業的調查研究，深入研究設計工業控制系統防護體系框架結構，制定安全防護整體策略。

（2）建立工業控制系統安全保障技術標準體系。借鑒國際上已經建立的相關標準（如ANSI/ISA-99《工業自動化和控制系統的安全性》等）抓緊制定我國工業控制系統安全保障的技術標準規范。

（3）加強工業控制系統安全防護技術的研發。推進官產學研四位一體、引導全社會科研力量關注工業控制系統安全領域基礎理論、關鍵技術等重大課題，吸引社會資源深入研發安全防護手段和技術產品，逐步以國產化替代進口。

（4）建立工業控制系統安全防護預警機制，提高信息戰防御能力。針對工業、能源、交通、水利以及市政等領域生產設備的特點，集中組織攻關，完善預警、響應機制，削減或化解可能被信息戰所利用的脆弱性，提高工業控制系統信息戰的防御能力。

2、企業在戰術層面注重細節管理、員工培訓和行為規范。

伴隨信息化與工業化深度融合以及物聯網的快速發展，工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件，以各種方式與互聯網等公共網絡連接，病毒、木馬等威脅正在向工業控制系統擴散。必須明確工業控制系統信息安全管理的重點領域和重點環節，切實落實以下具體要求：

（1）連接管理。斷開工業控制系統同公共網絡之間的所有不必要連接；對確實需要的連接逐一進行登記，采取設置防火墻、單向隔離等措施加以防護，并定期進行風險評估，不斷完善防范措施；嚴格控制在工業控制系統和公共網絡之間交叉使用移動存儲介質以及便攜式計算機。

（2）組網管理。工業控制系統組網時要同步規劃、同步建設、同步運行安全防護措施，切實加強對關鍵工業控制系統遠程通信的保護；對無線組網采取嚴格的身份認證和安全監測，防止經無線網絡進行惡意入侵。

（3）配置管理。建立控制服務器等工業控制系統關鍵設備安全配置和審計制度；嚴格賬戶管理和口令管理，定期對賬戶、口令、端口、服務等進行檢查，及時清理不必要的用戶和管理員賬戶，停止無用的后臺程序和進程，關閉無關的端口和服務。

（4）設備選擇與升級管理。慎重選擇工業控制系統設備，確保產品安全可控；加強對技術服務的信息安全管理，在安全得不到保證的情況下禁止采取遠程在線服務；關鍵工業控制系統軟件升級、補丁安裝前要請專業技術機構進行安全評估和驗證。

（5）應急管理。制定工業控制系統信息安全應急預案，明確應急處置流程和臨機處置權限，落實應急技術支撐隊伍，根據實際情況采取必要的備機備件等容災備份措施。