淺談工業控制系統網絡安全問題與防護對策

孫士赫

摘要：長期以來，工業控制系統獨立封閉，存在天然的安全性，因而其網絡安全隱患被忽視了。隨著工業信息化的發展，自 動化領域也開始大量采用現場總線、工業以太網以及無線技術，控制系統越來越開放，系統互聯也越來越多。為工業生產帶 來極大推動，隨之而來的，各種威脅和脆弱性也被引入了工業控制系統。本文主要介紹工控系統網絡安全主要風險分析和如 何做好工控系統安全防護工作。

關鍵詞： 工業控制系統；漏洞；網絡安全；安全評估

中圖分類號：F239.2 文獻標識碼：A 文章編號：2095-3178（2018）06-0348-01

1.概述

長期以來，工業控制系統獨立封閉，存在天然的安全性，因而

其網絡安全隱患一直被忽視了。隨著“兩化融合”的推進，APC、實 時數據庫、報警管理等系統的部署實施，使得工業控制系統不再獨 立；同時工控系統伴隨著 IT 技術的發展而發展，工業控制系統技術 由專用性向通用性演進，大量采用 IT 通用軟硬件，如PC、操作系統、 數據庫系統、以太網、TCP/IP 協議等。隨之而來的，各種威脅和脆 弱性也被引入了工業控制系統，互聯網中的病毒、網絡黑客等威脅 通過開放的網絡連接正在向工業控制系統擴散，威脅到煉油化工裝 置的控制運行和安全生產，工業控制系統網絡安全問題日益突出。

2.工控系統網絡安全風險分析 2.1 平臺方面的安全漏洞

2.1.1 平臺配置方面

目前大多數工業控制系統的工程師站/操作站都是 Windows 平

臺的，操作系統安全漏洞被發現后供應商可能沒有開發出相應的補 丁程序，導致操作系統和應用軟件補丁程序沒有及時安裝；由于工 控系統軟件及操作系統更新的復雜性、實時性、可靠性，導致不能 輕易“打補丁”，補丁程序的更新必須面對廣泛的回歸測試，從測試 到最終發布之間有較長的漏洞暴露周期；同時微軟對windowXP 停止 技術支持，而目前工控系統中操作站平臺以 windowXP居多，存在重 大安全漏洞；使用缺省配置可能會導致不安全或不必要的端口或服 務沒有關閉；關鍵配置文件沒有存儲備份措施。

2.1.2 平臺軟件和硬件方面

信息安全意識缺失導致產品/系統在設計、實現和運維上嚴重安

全漏洞，大量工控產品和工控協議在設計上存在安全缺陷：無身份 認證、無訪問控制、無數據加密、無安全審計…產品上線前未做信 息安全測試。工控漏洞多，且很難在生產系統中修補。

用于控制系統的硬件是脆弱的，對于關鍵設備如果沒有備用電 源，電力不足將關閉工控系統，并可能產生不安全的情況。環境控 制的缺失可能會導致處理器過熱，有些處理器將關閉以自我保護； 有些可能會繼續工作，但在輸出功率較小，產生間歇性的錯誤；關 鍵設備沒有冗余備份可能導致嚴重故障的發生等安全漏洞。

2.1.3 平臺惡意軟件防護方面

工業控制網絡中，為了各種專用軟件的穩定性和兼容性，許多

工控系統操作站通常不會安裝殺毒軟件，操作系統一旦部署完畢也 基本不再打系統補丁。即使安裝了殺毒軟件，在使用過程中也有很 大的局限性。防惡意軟件版本或特征碼未更新以及防惡意軟件安裝 前未進行廣泛的測試都可能會對工控系統正常運轉產生影響。

2.2 網絡方面的安全漏洞

網絡方面的漏洞可分為網絡配置漏洞；網絡硬件漏洞；網絡邊

界漏洞；網絡監控和記錄漏洞 ；通信中的漏洞；無線連接中的漏洞 等等。

網絡基礎架構常常根據業務和運營環境的變化而發展變化，但 很少考慮潛在的安全影響的變化。內部無監測，對網絡行為“一無 所知”，不能及時發現安全威脅，也無法取證分析。內部未劃分安全 域，無防護措施，容易出現“一點突破、全線失守”的情況病毒可 能會感染全網系統。

2.3 管理方面策略和程序的安全漏洞

管理上，職責不清晰，人員安全意識薄弱，工業控制系統網絡

安全經常屬于“三不管地帶”，未納入生產安全范疇；工業控制系統 沒有明確具體、書面的安全策略或程序文件或安全策略不當，追求 可用性而犧牲安全，是很多工業控制系統存在的普遍現象，缺乏完 整有效的安全策略與管理流程也給工業控制系統信息安全帶來了一 定的威脅。沒有正式的工業控制系統安全培訓和安全意識培養；安 全架構和設計不足；工業控制系統設備操作指南缺失或不足；沒有 明確的工控系統連續性計劃或災難恢復計劃；沒有明確具體的配置 變更管理程序等安全漏洞。

3.工控系統安全防護策略

在工控安全防護措施選擇上，既要考慮工控系統的特點，又要

考慮不同行業系統差異性（網絡結構、通信協議等）。新建項目在建 設初期，項目概算中要增加工控系統的網絡安全部分資金投入，增 加工控信息安全總體設計，“同步規劃同步建設”，新系統上線前進 行安全測試和風險評估。對于老的工控系統，由于系統陳舊、安全 防護基本為零并處于生產運行狀態，所以在不影響生產運行情況下，

建立一個基本的安全基線，完善設備管理制度，有計劃的進行更新 改進。

3.1 分區隔離、分層防御

在工控網內部劃分邏輯層次，每一層次進一步劃分安全區域，

不同層次、不同區域之間限制數據流訪問，將病毒限制在一個區域 內，避免全網蔓延。

分區隔離—將全廠劃分操作區域、相互獨立為網絡隔離基礎。 石油化工自動化系統網絡結構橫向按生產裝置分成LAN 1到LAN N， 小生產裝置或公用工程共用一個或幾個 LAN，確保每個生產裝置獨 立開停車。

分層防御—采用防火墻、網絡服務器進行縱深防御，不同位置 能對抗不同的威脅，但也隱含著不同的風險，同時對設備性能和功 能要求也不同。如 管理網-生產網邊界、生產網-控制網邊界、上位 機-下位機PLC 之間。

3.2 管理制度

工控系統安全防護管理制度亟待完善、落實。建立健全工控系

統相關管理制度，建立網絡安全制度、配備安全人員、培訓使用人 員。健全、完善的管理制度是保障工控系統平穩運行的前提條件， 嚴格執行各項管理制度才能確保工控系統處于安全的工作狀態。需 要結合企業自身特點摸索出行之有效的管理辦法并且狠抓落實，才 能有效降低工控系統安全風險、減少故障發生概率、提升日常維護 質量。

3.3 網絡安全監測

在工業控制網絡部署網絡安全監測設備，可以及時發現、報告

并處理網絡攻擊或異常行為。因為工控系統特點是通信行為相對固 定、流量規律性強、設備變動小，容易建立正常的工控網絡安全基 線（網絡白名單），所以很適合于網絡安全監測。

3.4 網絡安全評估

網絡安全評估是防災減災的基本方法，根據企業的情況評估出

預測可能風險和可承受的風險，當預測可能風險高于可承受風險的 情況，采取相應的網絡安全措施，使預測可能風險降低到可承受風 險以下。網絡安全評估僅僅能起到建立健全網絡安全體系、促進和 完善制度、配置合理的網絡結構的作用。網絡安全的根本在于嚴格 管理、運行防范。

4.總結：隨著“兩化融合”不斷推進，工控系統與管理信息系統的聯系將越來越緊密，工控系統網絡安全防護也愈發重要，在當前新形勢 下，如何對工控系統進行防護，防止來自內部、外部的安全威脅和 惡意攻擊，是信息安全領域面臨的重大挑戰。工業控制系統應該實行全壽命周期管理，安全防護設施建設應 堅持同時設計、同時施工和同時投用的原則?？刂葡到y安全工作不 是一勞永逸的工作，是一項持續性工作，要定期開展工業控制系統 網絡安全風險評估，制定針對性的安全防護策略。注重防護要求、 方法的科學性、合理性和可操作性，從管理和技術兩方面實現系統 的防護要求?？偨Y學習有效防護經驗，完善整體安全防護措施，不 斷提升防御水平。

參考文獻

[1]張方舟.計算機網絡與信息安全.哈爾濱工業大學出版

社.