工業控制系統信息安全的探索與實踐

賴紅嬌

(中國神華煤制油化工有限公司 鄂爾多斯煤制油分公司，內蒙古 鄂爾多斯 017209)

隨著工業化、信息化“兩化融合”的發展，工業控制系統環境不再封閉，傳統的工業控制系統正在利用計算機網絡技術快速地發展，以各種方式連接到互聯網中，互聯網中的病毒、木馬等不安全因素不斷沖擊著工業控制系統，給工業控制系統信息安全防護帶來了新的挑戰。

1 工業控制系統信息安全現狀

1.1 工業控制系統信息安全事件高發

近年來工業控制系統信息安全事件數量呈上升趨勢，一直被認為相對安全、相對封閉的工業控制系統已經逐步開放，成為黑客的攻擊目標。據權威機構美國工業控制系統網絡應急響應小組(ICS-CERT)發布的工控網絡安全數據庫的數據表明，自2010年起，工業控制系統信息安全事件大幅增長，由2010年的39起增長至2015年的295起，ICS-CERT工業控制系統信息安全事件統計如圖1所示。

圖1 ICS-CERT工業控制系統信息安全事件統計示意

1.2 工業控制系統漏洞數量逐年遞增

工業控制系統應用空間相對封閉，在設計之初很少考慮信息安全問題，隨著系統的開放，系統漏洞不斷涌現，黑客極有可能通過這些漏洞發起對工業控制系統有針對性的攻擊。2016年中國互聯網安全大會工業互聯網安全論壇中提到：“2000年至2016年間已發現1 552個工業控制軟硬件設備漏洞，涉及123家工控廠商，其中516個沒有被修復”。工業控制系統的漏洞問題已經十分嚴重，如何解決工業控制系統信息安全問題已經成為工控企業面臨的嚴峻挑戰。2012—2014年統計的漏洞報告和涉及的工控產品見表1所列。

表1 工業控制系統漏洞及涉及工控產品統計 個

2 工業控制系統

2.1 工業控制系統的概述

工業控制系統是集計算機技術和網絡通信技術相結合的各種自動化系統的統稱，用于實現工業生產的數據采集、過程控制、程序控制、圖形顯示等，如分散控制系統(DCS)、數據采集與監控系統(SCADA)、可編程控制器(PLC)等。

中國神華煤制油化工有限公司工業控制系統有DCS，SCADA，PLC，其中DCS采用Honey well的E-PKS系統；SCADA采用愛克訊公司的SCADAPack RTU系統，與DCS有統一的操作界面；PLC則有Siemens，AB，GE等公司的系統。

2.2 煤制油項目工業控制系統信息化的現狀

該公司設計時，計劃聯合控制室9個，就地控制室3個，各控制系統網絡相對獨立，不同的控制系統之間采用RS-458通信協議，該情況下的工業控制系統只有控制網和管理網。

投產運行后，隨著生產過程控制的復雜化，該公司建設了生產管理控制中心(PMCC)，各個聯合控制室中的生產數據通過單膜光纜傳輸到PMCC，用于實現生產調度對生產過程中重要參數的實時監視，統籌全公司的生產管理。控制系統網絡由單純的二層結構變為控制網、管理網和高級應用網3層結構，工業控制系統網絡結構如圖2所示。該情況下的控制系統從各個獨立的控制網絡，連接成一個大的工業控制網絡，但該控制網絡還相對獨立，沒有連入互聯網。

圖2 工業控制系統網絡結構示意

為了進一步實現管理與控制的一體化，提高公司信息化合綜合管理水平，實現生產和管理的高效率，2011年該公司開始籌備生產信息化管理系統(MES)，面向MES開放了控制系統網絡，實現了企業信息網絡與控制系統網絡之間的數據通信，控制系統不再是一個封閉的、獨立運行的系統，而要與MES互聯，與互聯網連接，該情況下工業控制系統信息安全面臨了嚴峻的考驗！

3 控制系統信息安全面臨的風險與威脅

3.1 與互聯網連接后存在的風險

該公司將控制系統與MES互聯，而且，隨著信息化的不斷發展，控制網絡將越來越開放，互聯網的危險因素對控制系統的沖擊將越來越大。

3.2 控制系統軟硬件漏洞劇增

工業控制系統中使用的設備、協議及各種應用軟件在設計開發時，更多的是為了實現功能，注重可用性，安全性考慮不足，存在著大量的安全漏洞。隨著信息技術的發展，黑客可以通過這些漏洞發起對控制系統有針對性的攻擊行為，嚴重影響著工業的安全生產。

3.3 操作系統的風險

該公司控制系統的服務器、操作站大量使用Windows系統，由于微軟公司已經停止了對部分系統的技術支持服務，不再提供更新補丁修補系統漏洞，黑客很可能利用系統漏洞攻擊工控主機。

3.4 病毒和木馬的威脅

開放的控制系統環境為病毒、木馬提供了更多機會。病毒、木馬通過互聯網可入侵到控制系統中，在工控主機之間迅速傳播。非針對性的病毒，如2017年5月12日爆發的“永恒之藍”勒索病毒，只要開機上網，就能利用計算機的漏洞自動植入，遠程控制木馬等惡意程序，加密文件，甚至讓電腦無法啟動。有針對性的攻擊工業控制系統設備的病毒，如“震網”病毒，任何1臺主機只要與染毒主機相連，就會被感染，并且在不易被察覺的情況下取得一些工控主機電腦軟件的控制權，并“發號施令”，造成生產失控。無論病毒、木馬是否具有針對性或破壞力，其在網絡中大規模的傳播、復制，會消耗網絡資源，造成網絡堵塞或網絡風暴。

3.5 管理制度不完善

工業控制系統信息安全近幾年才被廣泛重視，處于起步階段，許多工控企業管理制度不健全，應急響應機制欠缺，人員配置缺乏，人員培訓不足等，均對工業控制系統信息安全構成了威脅。

4 控制系統信息安全防范措施

控制系統對生產過程進行控制，而信息系統是利用計算機技術實現網絡上數據信息的共享。控制系統對數據的實時性、連續性要求較高，有專有的通信協議及軟件平臺，兼容性差。而信息系統對數據傳輸要求不高，允許數據中斷或延遲，使用TCP/IP協議進行數據交換，兼容性較好。因此控制系統既要考慮信息安全防護的能力，還要保證企業連續、穩定、安全的生產。

4.1 控制系統信息安全防范步驟一

2010年8月，該公司煤液化聯合控制室在正常生產運行期間，多個生產單元所有操作站均發生與服務器、控制器通信異常，出現時通時斷的現象，故障現象持續約5 h，影響了生產人員對現場的監視和控制，整個事件是由于交換機網絡負荷過高而引起的網絡擁堵造成的。2011年，針對該事件，該公司重新規劃工業控制系統網絡結構，將該聯合控制室中一個大的網絡以生產單元為單位劃分為若干個小的網絡，各個小的網絡處于不同的網段，當某網絡出現故障時，只影響對應的生產單元，做到了單元隔離，第一次整改如圖3所示。為保證工業控制系統信息安全，該公司又整改了同類的其他控制系統網絡。

圖3 第一次整改后的控制系統網絡

4.2 控制系統信息安全防范步驟二

2011年，該公司建設了MES，面向公司企業網開放了數據，控制系統從此不再獨立。為保證控制系統信息安全，該公司在第3層高級應用網和第4層企業信息網之間增加了防火墻，并在防火墻外又增加了1臺鏡像服務器，鏡像服務器作為與外界數據通信的介質，可避免外界服務器直接與生產網中的服務器直接通信。

4.3 控制系統信息安全防范步驟三

2016年，該公司MES正式上線運行，考慮到控制系統信息安全的形勢，該公司在第2層管理網和第3層高級應用網之間增加了一道防火墻，使工業控制系統的過程控制層多了一道門，并重新規劃高級應用網絡結構，建立了3.5層隔離區(DMZ)，進一步加強了工業控制系統信息安全防護能力，加強了與企業信息網、互聯網的隔離。

4.4 控制系統信息安全防范步驟四

近幾年，國家對工業控制系統信息安全越來越重視，出臺了一系列法規和文件，該公司依據這些要求，先后組織了控制系統信息安全方面的內部檢查和整改工作，完善了公司內部的管理，控制系統信息安全風險正逐步下降。

1) 建立健全控制系統信息安全管理制度，制訂了《網絡安全管理辦法》，成立了工業控制系統信息安全管理組織機構。

2) 編制了《工業控制系統信息安全事件應急預案》，并依據應急預案組織開展應急演練，提高工作應變能力。

3) 組織相關人員學習工業控制系統相關的法規文件，開展工業控制系統信息安全培訓工作，提高人員的安全工作意識。

4) 完成了部分裝置控制系統的軟硬件升級工作，使用新版的Windows操作系統，避免了系統技術不支持等一系列問題，杜絕黑客利用這些系統漏洞攻擊工業控制主機。

5) 加強控制系統的密碼管理，對操作系統、應用軟件、控制設備等密碼制訂定期更改計劃。加強口令強度，密碼要求設置口令長度至少8位，由非純數字或字母組成。

6) 對控制系統經常殺毒，并啟用防病毒服務器，保證控制系統的安全運行。

7) 規范工業控制系統的USB口管理工作。

8) 對進出控制系統機房的人員和物品加以控制和記錄，規范控制系統機房外來人員出入登記記錄等。

4.5 控制系統信息安全防范步驟五

2017年，該公司對控制系統信息安全工作更加重視。采取了邊界隔離、區域隔離、主機防護等方案，加強控制系統信息安全。整改后的系統結構如圖4所示。

圖4 第五次整改后的系統網絡結構

1) 邊界隔離。加強控制系統的大門防護，從根源上杜絕企業信息網絡不安全因素的入侵。在控制系統網絡與企業信息網絡之間增加單向網閘進行安全防護隔離，起到訪問控制、病毒木馬防護和保護生產數據的作用，實現數據的單向通信，杜絕一切外來信息傳回工業控制系統。

2) 區域隔離。為保證各聯合控制室控制系統的相對獨立，在高級應用網與部分聯合控制室之間部署工業防火墻進行裝置間控制系統隔離，阻止病毒、木馬的入侵和擴散等，即使一個裝置控制系統出現問題，也不會影響到其他裝置控制系統，將危險源控制在有效范圍。

3) 主機安全防護。在部分主機上部署工業主機安全防護系統，只允許經過工控自身授權的軟件運行，確保控制系統內部最小化的運行環境，阻止惡意軟件執行及非法進程運行，保證安全生產。同時可以有效地管理USB口權限，避免外部設備帶來的病毒、木馬入侵的風險。

該次安全防范工作將全面提高該公司控制系統網絡的整體安全性，解決網絡、主機、應用等方面的信息安全隱患，從物理層面上解決與互聯網連通的安全問題，有效、及時地避免利用控制系統軟硬件漏洞的惡意入侵和突發病毒、木馬的感染，確保生產工藝能夠安全、穩定、高效地運行。

5 結束語

通過分析控制系統信息安全面臨的風險和威脅，該公司不斷探索，不斷實踐，多年來分多次開展工業控制系統信息安全防護工作，從內部的企業管理到外部的軟硬件技術實施，該公司都取得很好的成果，獲得了一些經驗。