軌道交通制造企業的工業控制系統信息安全問題及對策

軌道交通制造企業的工業控制系統信息安全問題及對策

中車戚墅堰機車有限公司 杜 蘭

1 引言

中車戚墅堰機車有限公司（以下簡稱戚墅堰公司或公司）是一家典型的軌道交通制造企業，主營內燃機車新造及修理業務。作為國家重要的軌道交通裝備制造企業，戚墅堰公司承擔著國家內燃機車的制造任務，為自身創造利潤，也為國家的內燃機車走向世界付出努力。在不斷優化生產結構，提高生產力的同時，戚墅堰公司開展了兩化深度融合、智能制造工作，引進了一大批國內外先進的數控設備和技術，如德國西門子的數控車床、數控磨床，日本馬扎克的數控加工中心等。公司發現企業管理網與工業控制網之間的數據交互越來越多，管理網與工業控制網之間完全隔離已不再可能；國外廠商對數控設備的遠程和現場運維存在著數據泄露的安全隱患；傳統IT系統面臨的信息安全問題，正在不斷延伸到工業控制系統中。此外，2010年“震網”病毒入侵伊朗核電站、2011年大慶石化煉油廠裝置控制系統感染Conficker病毒、2015年烏克蘭電網遭到攻擊等國內外的一系列工業控制系統信息安全事件也給公司敲響了警鐘。基于此，戚墅堰公司針對企業自身特點，對工業控制系統信息安全問題進行了識別和分析并制定了相應的對策。

2 工業控制系統信息安全問題和風險分析

工業控制系統是由各種自動化控制組件和實時數據采集、監測的過程控制組件共同構成。其組件包括數據采集與監控系統、分布式控制系統、可編程邏輯控制器、遠程終端、智能電子設備，以及確保各組件通信的接口技術。工業控制系統與傳統IT系統的環境和應用場景存在著許多不同，例如，工業控制系統資源有限，與物理世界存在交互關系，對穩定性、可用性和實時性要求極高，生命周期長等。這些都導致企業無法將成熟的IT信息安全技術直接應用于工業控制系統的信息安全保護。工業控制系統信息安全問題主要有：

（1）智能制造帶來的安全風險問題。開展智能制造的工作過程中通常需要進行生產過程的實時數據采集和系統控制，企業會通過邏輯隔離的方式實現工業控制系統與企業管理系統之間的連接和數據交換，有時系統間還需要集成。企業管理網和工業控制網之間、工業控制網絡區域間如果沒有進行有效地分區、隔離、異常監測、訪問控制等防護措施，很容易造成一點發生病毒或攻擊，影響全部車間甚至整個企業網絡。

（2）設備維修時筆記本電腦接入問題。工業控制系統進行運行維護時經常會接入筆記本電腦，沒有達到一定安全基線的筆記本接入工業控制系統后會有很大的安全隱患。第三方人員（尤其是國外人員）在運維高精類機床等數控設備時可能會造成重要數據信息的泄露，對企業甚至是國家造成巨大損失。并且，相關人員的操作沒有進行審計記錄，一旦發生安全事件后很難取證。

（3）使用U盤、光盤導致病毒傳播問題。工控系統中的管理終端一般都沒有技術措施進行外設的有效管理，U盤和光盤的無序使用會引發數控等設備被感染病毒或惡意代碼，進而嚴重影響生產的產量、質量及效率。

（4）操作系統的安全漏洞問題。目前大多數工業控制系統的工程師站、操作站、HMI都是Windows操作系統，考慮到工控軟件與操作系統補丁的兼容性問題，工控系統開車后基本上不會對操作系統安裝任何補丁，操作系統存在的漏洞不能及時彌補，容易被攻擊。

（5）殺毒軟件安裝及升級更新問題。為了保證工控軟件的可用性，許多工控系統操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也基本不會進行更新，因為有些更新可能會違反控制系統的設定規則，造成控制系統無法正常運行。所以，工業控制系統抵御外界攻擊的能力較弱。

（6）通訊協議漏洞問題。OPC協議在工業控制系統中廣泛使用，而OPC協議是基于微軟的DCOM協議，DCOM協議是在網絡安全問題被廣泛認識之前設計的，極易受到攻擊。另外，OPC協議通訊采用不固定的端口號，導致目前幾乎無法使用傳統的IT防火墻來確保其安全性。

（7）工業無線網絡的安全風險問題。無線網絡在工業現場大量使用，黑客可以通過無線網絡進行入侵，進而從生產控制服務器竊取資料，甚至可以通過生產控制系統入侵到企業管理系統進而竊取商業秘密數據。

3 工業控制系統信息安全問題對策

針對工業控制系統存在的安全問題和風險，戚墅堰公司采取了積極的應對措施，對工業控制網絡進行安全區域劃分，對工業控制系統進行安全防護，目標是建立起企業的工業控制系統信息安全保障體系（如圖1所示），減少企業的信息安全事件，保障商業秘密不外泄。

圖1 戚墅堰公司工業控制系統信息安全保障體系

3.1 工業控制網絡安全區域劃分

公司進行了以機床為核心的工業控制網絡區域劃分，按照等級保護的基本要求，以“縱向分層、橫向分區”的主導思想，將縱向分為管理執行層、生產控制層、現場設備層。橫向從網絡功能的角度進行分區，如技術中心為一個安全區，服務器區為一個安全區、辦公區為一個安全區。現場設備層的車間從地理區域的角度進行劃分，如車間1為一個安全區，車間2為一個安全區。在安全區域劃分的同時明確第三方運維人員的運維方式，明確運維連接的接口，遠程運維人員通過SSLVPN訪問現場故障設備。

3.2 工業控制系統信息安全防護

對安全區域劃分的縱向各層和橫向各區配備專業的工業控制安全設備和軟件進行安全防護，如圖2所示。

圖2 戚墅堰公司工業控制系統信息安全防護拓撲圖

現場設備層的安全防護。主要是針對數控機床進行安全防護，在數控機床前部署CNC防護裝置，拒絕對數控機床的不合法連接，阻止非法入侵與攻擊。對數控機床訪問進行控制，明確訪問的目的地址與源地址，防止非法訪問。在現場設備層部署設備運維審計系統，對公司內部或遠程運維的行為進行記錄和審計，為發現和追溯信息安全問題提供有效手段，彌補短時期內不能將國外數據機床等工控設備替換為國內工控設備的風險。

生產控制層的安全防護。對生產控制層的網絡安全防護主要是對邊界進行訪問控制，部署工業安全網關，對網絡內部進行異常監測，防止網絡邊界不清晰導致病毒進入工控網中，及時發現網絡異常行為。部署工控漏洞掃描系統，及時發現工控系統漏洞。對生產控制層的主機安全防護主要是對工作站主機進行保護。對工控系統的所有網絡設備、主機設備、中間件等進行基準的安全要求核查。對生產控制層的數據的保護，主要是通過部署惡意代碼監測系統和敏感信息檢測系統，對多種類型的文件、多種報警方式進行深度掃描和分析，識別出可能存在的0DAY漏洞和NDAY漏洞，進行相應處置。

3.3 建立工業控制信息安全管理平臺

按照等級保護安全技術設計要求，建立工業控制信息安全管理平臺。平臺能夠直接收集工業交換機及工業控制應用系統的信息，包括流量、時間、工控協議等元素，能夠分析工控網絡中的設備互聯情況，建立白名單規則，及時有效地發現異常并報警。與傳統的管理網絡安全管理平臺不同，工業控制信息安全管理平臺更加適應工控網絡的特性，不再以日志為主要分析手段，而是采用“流行為”分析為主、事件分析為輔的技術路線，通過安全監控、風險分析、流秩序監控三大方面來描述網絡安全狀況。

3.4 建立工業控制網絡攻防試驗室

攻防試驗室從結構、功能、安全防護部署等幾個方面考慮，符合行業應用現狀和使用模式，具有支撐主流數控系統或典型控制器、漏洞檢測服務、攻擊演示、檢測保護驗證等功能。

攻防試驗室可以模擬來自互聯網的或來自公司內部網絡的攻擊。模擬的場景主要有：（1）內部人員在公司網絡中的計算機上插入U盤，自動運行程序，修改DNC服務器數據庫中的NC代碼，導致機床產生不合格產品；竊取NC程序及與生產相關的保密信息。（2）遠程或現場運維人員通過網絡接口獲取到機床內存儲的具有商業秘密的重要工藝數據。

當加入安全防護設備后，重復以上兩種攻擊行為，兩種攻擊都會被阻斷。攻擊和阻斷的效果可以在大屏幕上直觀顯示，反映出生產場景的實際威脅。通過攻防演示，有效提高人們對工業控制系統信息安全的認識，增強主動防御意識。

3.5 安全意識培養和制度建設

除了采取相應的安全防護技術，公司在管理上進行了大量的工作。一方面，通過宣傳和培訓加強員工的安全意識，在日常工作中盡量避免操作上的不安全性，如在工控設備上隨意使用U盤、工作站不設置密碼或設置的密碼過于簡單等。另一方面，按照國際SP800-82標準和國家等級保護標準，在技術防護措施基礎上，建立相應的安全管理制度，從組織人員、物理及環境、應急預案、運維管理幾個方面保障在制度層面對工業控制系統有完整的保護措施。

4 結語

信息安全工作永無止境，戚墅堰公司還在不斷探索如何將工業控制系統信息安全的風險進一步降低。安全無小事，工業控制系統信息安全更不是小事。企業的生產系統和管理系統中都包含著大量數據，有些甚至是商業秘密。這些數據中既有生產中涉及到的工藝配方，也有涉及到生產結果的數據。只有保證企業的工業控制系統信息安全，才能避免這些商業秘密不外泄。

杜蘭（1978-），女，高級工程師，碩士，現任中車戚墅堰機車有限公司信息管理部信息技術副主任，主要負責企業信息化規劃、管理信息系統建設和運維、兩化融合管理體系、工業控制系統信息安全等工作。