我國工控安全現狀及面臨的挑戰

盧光明

摘 要：工業控制系統（ICS）的安全問題是關系到我國眾多企業能否順利實現智能化轉型升級，增強企業核心競爭力的關鍵問題。文章分析了我國工控系統信息安全現狀及發展趨勢，提出了相關的對策與建議。

關鍵詞：工業控制系統；系統安全

中圖分類號：120.5099 文獻標識碼：A

1 引言

工業控制系統（Industrial Control System， ICS）是由各種自動化控制組件以及對實時數據進行采集和監測的過程控制組件共同構成的信息系統。工控系統是確保工業技術自動化設施、過程控制和監控的業務流程管控等工業系統安全運行的保證。一般來說，工控系統的核心組件包括數據采集與監控系統（SCDA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED）和確保各組件通信的接口等技術系統。工控系統是制造、電力、交通、能源、水利、冶金、航空航天等國家重要基礎設施的“大腦”和“神經中樞”，當前超過80%涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業。

2 工控系統成為新的安全防護重點領域

在智能制造時代，隨著接入信息系統的增加，工控系統的安全問題體現的更加突出?，F代工業控制系統在應對傳統安全威脅的同時，還面臨著來自木馬、病毒、黑客入侵等網絡安全威脅。根據工業安全事件信息庫RISI統計，截止到2011年10月，全球已發生200余起針對工業控制系統的攻擊事件[1]。隨著信息技術在工業領域的大規模應用，針對工業控制系統的病毒、木馬等攻擊行為大幅度增長，有些安全事故，會對人員、設備和環境造成嚴重的后果，工控系統信息安全問題變成了阻礙制造業轉型升級和社會公共基礎設施治理方面的重要障礙。尤其是在各行業大規模使用機器人等系統之后，工控系統的連接設備將呈指數式增加，工控系統的安全事件將會呈現快速發展的態勢。尤其是工業互聯網、云制造等技術實施，工控系統安全不僅將面臨終端設施增加、網絡環境復雜的挑戰，而且還將面臨系統綜合風險增加，發生安全事故的成本不可控等更大的風險。

例如2007年，加拿大某水利SCADA控制系統被入侵，破壞了取水調度的控制計算機系統；2008年，波蘭某城市地鐵系統被入侵，通過電視遙控器改變軌道扳道器，致四節車廂脫軌；2010年，西門子首次監測到專門攻擊該公司工業控制系統的Stuxnet病毒，發現了專門針對西門子工控系統的震網病毒；2010年，伊朗政府宣布布什爾核電站員工電腦感染了Stuxnet病毒，造成核反應堆設備大面積受損；2011年，黑客入侵美國伊利諾伊州城市供水系統的數據采集與監控系統，導致該系統的供水泵遭到破壞；2011年，微軟稱最新發現的“Duqu”病毒可從工業控制系統制造商收集情報數據；2012年，兩座美國電廠遭USB病毒攻擊，病毒感染了工廠的工控系統，導致相關數據被竊取。2012年，發現攻擊多個中東國家的惡意程序Flame火焰病毒，它能收集各行業的敏感信息；2010年齊魯石化和2011年大慶石化的煉油廠裝置控制系統分別感染Conficker病毒，造成控制系統服務器與控制器通訊不同程度地中斷[1]。而2017年爆發的WannaCry病毒，除了有大量辦公網絡被攻擊和感染外，還有多個全球知名的工業設施由于遭受WannaCry感染而出現故障或遭受干擾。

3 工控安全的新特點

由于工業控制系統網絡使用專門的系統和協議，而且大多智能制造系統會涉及到不同層面，不同類型，以及不同系統之間的集成，因此其面臨的安全問題有自身的特點。尤其在智能制造發展的新時期，工控安全更加體現出了自身的特點，需要新的建設理念和技術來保證得到有效實施。

3.1 工控系統涉及的范圍廣泛，安全工作量呈現指數型上升

傳統基于的信息安全大多數集中在傳輸層、數據交換層等技術層面，以及數據應用等層面，而工控安全更側重于工業過程層及過程控制層。信息安全項目需要一種有效和切實可行的機制，包括人員、規程和技術。隨著工控系統范圍的擴大以及監控重心的轉移導致了安全復雜性的指數級上升。而黑客對工控網絡的攻擊會從工業控制系統的網絡、協議和系統的特殊性入手，通常會從企業的公開信息、輪班時間表、合作服務和貿易往來，尤其是企業供應商所提供產品的協議規范等入手尋找安全漏洞，找尋可乘之機。這樣的攻擊特點導致了企業防不勝防，不能依靠單純技術防范來實現工控系統的安全，而應當強調對工控系統的綜合立體的多層面、多角度的管理。

3.2 工控系統對于實時性要求較高，傳統的安全手段使用受限

工控系統有很多特點，但是從安全的角度考慮，工控系統與一般的信息系統相比，其對實時性的要求相對較高，而且不能為了安全需要直接關機。實時性的特點導致該類系統不適合使用一般的加密和解密等手段進行安全管理。因為加密和解密本身要占用計算資源，算法加密后，會不會影響生產的實時性，這就必須要經過嚴格的理論證明和實踐測算，要經過較長時間的測試才能夠決定工控系統是否可以使用加密手段進行安全防護。即使使用加解密技術對工控系統進行安全管理，其使用范圍也會受到相應的限制，很難在近期內獲得實質性的應用推廣。而要對系統進行安全掃描，由于很多工業控制系統的網絡協議對時延非常敏感，如果硬掃描，則可能會導致整個網絡癱瘓，限制了安全掃描在工控系統中的應用。防火墻技術等傳統的安全技術由于工控系統的實時性要求，不能隨意中斷系統，以及移動互聯網的大范圍使用等而受到使用的限制。鑒于這些傳統安全技術和手段在工控系統安全防護中受到限制，因此需要開發新的技術體系來應對日益復雜的安全挑戰。

3.3 針對工控系統的攻擊更加具有針對性和目的性

針對工控系統的攻擊來自多種渠道，如黑客、職業罪犯，以及具有特定目的的競爭對手等，他們一般采用網絡攻擊的方式對系統進行遠程攻擊。而遭公司解雇或對公司不滿的員工，則可能利用自己的職務之便，直接對系統進行破壞，甚至從內部對系統發起攻擊。企圖傷害公司信譽或盜竊公司機密的競爭對手，則會有選擇性地對公司系統進行攻擊。攻擊有時候是明顯的，能夠發現某些地方出了問題，有時候是隱秘的，如某人潛入一臺控制器、PC或通信設備中，偷聽會話，竊取數據，甚至進行破壞操作。這樣具有“潛伏”性質的攻擊很可能持續較長的時間。隨著制造系統智能化程度的提升，系統的脆弱性明顯增加，攻擊的手段會更加多樣，而且攻擊的目的也日趨復雜，隨意性、突發性、偶然性的攻擊將會明顯增加，個別員工心情的不舒暢可能也會導致系統對系統的誤操作而出差錯。

3.4 攻擊的門檻會不斷降低，安全方面的挑戰凸顯

傳統意義上，信息安全一般只關注信息系統的核心組件，如突出網絡、交換機、數據庫、應用軟件、服務器等主要組件安全的重要性，但對于工控系統來說，工控系統的外圍組件，如傳感器、傳動器、智能電子設備、可編程邏輯控制器、智能儀表、遠程終端設備等組件的安全防護非常重要和突出。其實從安全的角度考量，這些外圍設備很多都內置有與局域網相聯的網絡接口，采用的是TCP/IP協議，并且與控制系統的很多核心層面相聯。這些設備運行時還會有一些調試命令，如Telnet、FTP等都會在智能制造系統中存在。這些設備在遭受攻擊時，如未能及時屏蔽則會釀成重大的災害；而如果內部人員從內部發起攻擊，如果存在相應的監控漏洞，則會非常容易造成對系統的影響。這種情況在網絡服務器上很常見，網絡服務器一般隱含有一項特殊的功能，即允許用戶通過定位某個網址重新啟動遠程終端設備（RTU），以方便一些特殊的操作。所以對于一些重要性的工控系統而言，便不能設置超級用戶，而且要系統進行有效的分割，以避免誤操作，避免有意的攻擊對系統造成更大范圍的影響。

4 當前我國工控安全現狀

站在智能時代的入口，我國的工業企業正處于智能化轉型升級的關鍵時期，同時工控安全也將面臨前所未有的挑戰。如果安全方面的問題得不到有效解決，我國企業網絡化、數字化、智能化的轉型升級就不可能順利實現。從目前我國企業，尤其是制造企業的安全保護建設情況來看，我國工控安全才剛剛起步，面臨巨大的挑戰，企業面臨的安全問題不容樂觀。

4.1 舊賬未補，又添新賬，我國工控安全建設缺口巨大

我國企業發展層次不齊，安全缺口巨大。而隨著兩化深度融合的不斷推進，工業控制系統覆蓋到了企業的研發設計、生產裝備、流程管理、物流配送、能源管理等諸多的模塊；而且信息系統建設正在從數字化、網絡化邁向智能化；信息通信技術正在從單項業務應用向多業務綜合集成轉變，從單一企業應用向產業鏈協同應用轉變，從局部流程優化向全業務流程再造轉變，從傳統生產方式向柔性智能生產方式轉變。但是當前我國大量工控系統處于“裸奔”狀態，同時又與IT網絡系統存在互聯，使得工控系統的安全狀況極為脆弱。例如，WannaCry本身并非專門針對工控系統的勒索軟件，但是在爆發期間也有大量工控系統被連帶攻擊，導致控制系統癱瘓、企業停產等嚴重后果。

這主要是因為我國大量企業所開展的轉型升級換代工作，主要是在原有工業控制系統中，增加通信模塊，將工業生產數據實時傳輸給生產管理系統，提高生產效率；以及在原來相對獨立甚至封閉的工業控制網絡里，增加路由網關設備，保持相關生產系統間的聯動以及生產管理系統的實時監控。這樣不是基于一個統一的整體系統來進行設計，導致在工控系統設計時很少，甚至就根本沒有考慮到安全方面的因素。工控設備（如PLC、DCS等）以及工控協議本身普遍在設計之初就較少考慮信息安全方面的問題。工控設備主要關注的是功能安全，系統的穩定性及可靠性等方面的問題。

互聯網通常通過加密、身份認證等方式來保證協議傳輸的安全性，如SSH、HTTPS協議；而工控協議基本都是采用明文方式傳輸，并且缺少身份認證的支持，這就使得工控系統的信息安全比傳統信息系統的安全存在更大的風險。而較早建立的工控系統很少有與外網進行信息交互的需求，主要采用物理隔離的方式部署，因此即使存在問題，也沒有暴露出來，但是在更大范圍接入網絡之后，安全問題就容易集中爆發出來，同時也會引入新的風險。

4.2 大量核心設備依然依賴進口，不能實現自主可控

我國絕大部分工控系統的建設過程中，大型系統集成項目由國外廠商參與實施，并且其中關鍵組件集成的實現細節不予公布。目前我國工控產品的核心技術受制于人，不排除進口的電子設備、制造設備、工控開發軟件等工控產品中留有后門、木馬的可能性，在未來的信息戰中潛在風險巨大。

在協議層面，工業控制方面我們采用的是國外的主流的協議，比如MODBUS、工業以太網、西門子S7都是用了國外的協議。即便是國內有自主品牌的產品，為了和工廠中已經運行的設備進行通信，被迫使用國外協議。因此從協議層面，當前已經受制于人。在廠商方面，工業控制系統的業務條件風格非常明顯。對于工控系統的使用者來說，目前來看，比如國外的西門子、羅克韋爾等，他們已經壟斷了自己擅長的核心業務場景，一旦企業選擇供應商，為了節省自己的資金，在絕大多數情況下，很難在一些環節中被第三方加入更換供應商。國內工控發展時間不長，需要熟悉業務場景、研發的過程，因此能力還需要不斷加強。從廠商來講，國產的自主可控的還難以滿足當前工控系統的要求。

在技術方面，國內企業還沒有掌握核心技術。對相關核心技術的掌握有待進一步完善，很難與國外廠商進行正面的競爭。在工控行業的自主可控的設備中，比如PLC、組態軟件，包括現在操作系統，這些產品還需要國家下大力去投入和扶持。如果不加大力度扶持，短時間內，國外產品壟斷的現狀很難擺脫。

4.3 與工控安全相關的管理有待進一步提升

據ICS-CERT及DHS CSSP對工控軟件脆弱性進行的評測分析，工業控制系統軟件的安全脆弱性主要涉及了錯誤輸入驗證、密碼管理、越權訪問、不適當的認證、系統配置等方面，這些脆弱性對工業控制系統的正常運行具有極大威脅[2]。這些安全方面的問題與企業的管理問題，以及與員工的安全素質有直接的聯系。當前我國企業管理在一定程度上還不能夠適應智能制造對員工的要求。

另外，大多數工控協議在設計之初，主要關注效率以支持節約成本方面的需求，關注實時性以支持精確制造方面的需求，關注可靠性以支持操作魯棒性方面的需求，為此基本放棄了如認證、授權和不可抵賴等需要增加開銷的安全特征和功能。但是，如果惡意代碼進入工控系統便可利用這些協議漏洞進行破壞。因此，在當前背景下，企業在員工培訓、管理改進方面的滯后性就顯得更加明顯，尤其在安全方面的投入欠缺顯得更大，管理方面的不足也更加凸顯，這些都對我國的工控系統安全造成影響。

4.4 從業人員素質亟待提高，尤其是安全防范意識亟待提高

事實上就工控系統安全來說，人的因素和管理的因素是其中非常重要的因素。大部分工控系統是與外部網絡實現不同程度隔離的，這是讓企業管理者產生相應錯覺的重要原因。由外網計算機到工控內網計算機的傳播過程主要是利用人的因素，是由管理方面的漏洞所引發的。即便個人計算機與工控的系統是物理隔離的，但也可以通過U盤實現蠕蟲病毒的傳播。在伊朗的核設施中，管理網和控制網在物理上是完全隔離的，但是病毒仍然由外界進入管理網，再傳播到控制網，這不是由一個傳播者實現的，而是通過多個用戶的傳播達成的，是借助人的多種失誤和管理方面的多方面漏洞實現的。也就是說，雖然做到了物理隔離，但是人的安全意識差，給這種滲透帶來了攻擊的機會。因此企業在加強制度方面的安全管理的同時，還需要從根本上加強對從業者安全意識的提升。

5 工控安全未來發展形勢與對策分析

5.1 我國工控安全形勢嚴峻

從當前技術和產業發展的趨勢來看，我國工控安全方面的隱患還沒有完全顯現出來，未來存在巨大的安全隱患。2017年是工控信息安全事件最集中爆發的一年，而未來面臨的安全形勢將更加嚴峻。根據相關統計，2017年發現并上報了數百個工控信息系統的新漏洞，并且這種勢頭依然呈現增加的態勢。這些安全問題從技術角度來看，主要集中在工控系統和工藝流程中，主要通過對工業系統進行數據感染，并對系統發起定向攻擊（例如，Shamoon2.0/StoneDrill等病毒）。自從震網（Stuxnet）病毒曝光以來，研究人員首次發現了惡意工具包CrashOverride/Industroyer，一種用于攻擊物理系統的新型網絡工具。然而，2017年工業系統遭遇的最嚴重威脅是加密“勒索軟件”攻擊。全球63個國家的大量攻擊被攔截。WannaCry和ExPetr毀滅性勒索軟件攻擊似乎使工業企業對關鍵生產系統防護的態度開始發生轉變。

根據SecureList預測，2018年工控安全將會面臨幾個方面的風險，包括惡意軟件及惡意工具不斷出現、地下黑市提供攻擊服務、定向勒索攻擊、工業間諜等攻擊工具。雖然新型攻擊和入侵工具將會不斷出現，但從目前來看，犯罪團伙尚未找到攻擊工控系統盈利的辦法，還沒有形成產業鏈條，因此針對工控系統的攻擊還沒有大規模地爆發，客觀上抑制了攻擊活動的開展[3]。

5.2 企業要提高對工控安全的認識，加強對員工的安全培訓

傳統意義的工控安全主要是指企業的運行安全，是在假定不存在惡意行為的前提下保證工控系統運行中不出現生產事故，強調工控系統的功能性安全。而現在的安全問題主要是要防范攻擊者的惡意行為。企業要認識到工控系統安全的必要性，要做好相應的防護策略。同時要落實標準規范，完善網絡安全管理制度，尤其是企業內部的安全管理規范。政府相關部門也要出臺相關的工控安全相關的條例、工作指南、管理辦法、防護指南等，畢竟信息安全是一個產業行為，而不是個別企業的行為所能解決的。工業企業要參考這些法規、規范等，落實本企業的網絡安全防護。當然，對于普通用戶而言，要提高安全意識，尤其是不要隨意插拔移動介質，畢竟U盤等移動介質的不當使用是惡意軟件滲透的主要途徑。

作為企業信息安全管理的重要組成部分，制定滿足業務場景需求的安全策略，并依據策略制定管理流程，是確保工業控制系統穩定運行的基礎。參照NERCCIP、ANSI/ISA一99、IEC 62443等國際標準，當前我國制造企業工控系統安全策略與管理流程的脆弱性集中表現在七個方面：（1）缺乏工控系統的安全策略；（2）缺乏工控系統的安全培訓與意識培養；（3）工控系統缺乏安全架構與設計；（4）缺乏根據安全策略制定的規范、可備案的安全流程；（5）缺乏ICS安全審計機制；（6）缺乏針對ICS的業務連續性與災難恢復計地；（7）缺乏針對ItS配置變更管理等幾個方面。

5.3 工控安全要充分利用物聯網、人工智能、大數據的發展帶來的機遇

這些技術的應用為工控系統安全帶來了挑戰，畢竟這些技術的大范圍應用極大地擴張了工控安全的范圍。但是從另外一個層面為制造企業在工控安全的實踐提供了更多的手段和可能性。首先，物聯網有很大部分的應用場景在工控上，從工控安全角度來說，物聯網安全一定程度上可以應用于工控安全領域，極大地擴大了工控安全的范圍。但是物聯網技術在相關安全方面的應用，也能夠極大地提高技術管控的精確性，如隨著物聯網的發展會出現很多的安全問題，那我們也有很多研究的機會。

大數據會對工控安全有很強的支持作用。之前，我們考慮網絡安全的分析是局部的網絡安全，現在有了大數據做支持，對于攻擊行為的分析就可以不僅僅限于局部數據。如果放在互聯網大的背景中，就擁有了很多安全數據來源，這些數據可以告訴我們，一次攻擊行為背后的攻擊者之前做過哪些事、有哪些關聯攻擊者、其他攻擊行為特點等。通過多源的數據分析，才能以更加全面的視角審視安全事件，并進一步給防御者提供有效的預警預測。

人工智能的發展對于工控安全有很大支持。比如可以通過做了一些聚類分析，并利用深度學習對企業內部的流量進行分析。因為大量的數據分析僅靠人的分析是無法完成的，而通過人工智能的支持，就能大大提高分析效率并發掘潛在的規律。但是，在現階段人工智能的作用依然有限，例如一些通過人工智能挖掘出來的結果是無法在防御中直接使用的，還需要工控安全專家去決策、判斷這些結果背后隱藏了什么實際意義。人工智能目前只能起到一個初步篩選的作用，作為網絡安全專家的助手，最后的決策還需要由人來做。

5.4 加強對關鍵及核心工控安全領域的技術研發

目前工業環境中已廣泛使用商業標準件（COTS），除了某些特殊環境，大部分通訊采用的是以太網和TCP/IP協議；ICS、監控站以及嵌入式設備的操作系統也多以Microsoft和Linux為主，而且很多工業控制系統是基于Windows系統開發，那些專門破解Windows賬戶信息的方法和工具可以應用到工業控制系統上。尤其是運行在WindowsOLE和DCOM上的OPC系統，只要通過主機認證就可以全面控制OPC環境。因此如果無法獲得底層協議認證，也可以通過枚舉方式破解控制系統內其他用戶和角色，如HMI用戶、ICCP服務器憑據（雙向表）、主節點地址（任何主/從工業協議）、以往數據庫認證信息等內容。這就導致我國工控系統沒有形成我國的特點，很容易遭受攻擊。

而在具體研發方面，可以基于我國工控系統安全的現狀，開發新的工控系統。如研制新型的工業防火墻，綜合運用“白名單+智能學習”技術建立工控網絡安全通信模型，阻斷一切非法訪問，僅允許可信的流量在網絡上傳輸技術，為工控網絡與外部網絡互聯、工控網絡內部區域之間的連接提供安全保障。借助物聯網技術構建起工業互聯網安全態勢感知系統，建立協同聯動機制，實現全球工控設備信息和開放常規服務的隱匿探測及全局采集，同時通過準確定位工控設備，提升整個工業互聯網的安全防護水平?？梢怨膭钕嚓P企業構建新一代工控安全監控平臺，主要幫助廣大的生產制造企業提供網絡空間工控網絡體系規劃論證和建構、安全能力測試評估、安全產品研發試驗、產品安全性測試，以及相關人才教育培養、相關標準體系建設等基于新型工控系統安全需要的響應任務。

5.5 發展網絡安全方面服務類的中間機構

畢竟安全領域還是一項涉及面較廣，對專業要求較高的新興行業，所以政府可以鼓勵發展一些專業的工控安全服務機構，為廣大生產制造企業提供信息安全方面的服務。

以色列網絡安全產業，尤其是工控安全領域的廠商，注重運營服務類產品和平臺的建設，通過模型分析和診斷，來幫助用戶提升安全意識，增加整個行業的安全水平，而且工控安全產品一般是依托于專家式的服務體系和標準進行推廣。以色列經濟和工業部的首席科學家辦公室一直以來致力于鼓勵技術創新和創業，對以色列的網絡安全行業，尤其是工控安全廠商中具有強大影響力的解決方案提供廠商給予必要的支持，在服務本國企業的同時，還向全球市場推廣該企業的產品，工控安全廠商ThetaRay就是其中的受益者之一。

6 結束語

對于工業企業來說，工業網絡風險保險正逐漸成為風險管理的不可或缺的一部分。以前，網絡安全事件與恐怖事件一樣不會在保險合同中體現。然而，當前形勢正在發生變化， 網絡安全公司和保險公司都采取了新舉措。2018年，安全審計/評估和事件響應均呈上升趨勢，促使工業設施負責者和經營者提升網絡安全意識。這種商業保險的出現在一定程度上能夠減緩企業在智能化轉型升級過程中面臨的安全風險，有利于形成鼓勵企業進行智能化轉型升級的商業環境，降低企業轉型升級的風險。

參考文獻

[1] 夏春明，劉濤，王華忠，吳清.工業控制系統信息安全現狀及發展趨勢[J].信息安全與技術，2013，4 （2） ：13-18.

[2] 邢高峰.2014工業控制系統的安全研究與實踐[J].計算機安全，2014，5：36-62.

[3] 2018工控安全發展趨勢 8個方向直擊工業控制系統要害[ED/OL]. http：//toutiao.secjia.com/2018-ics-predictions.

[4] 以色列工控系統網絡安全措施及其啟示2018-2-24[ED/OL]. https：//www.easyaq.com/news/136547077.shtml.