工業信息安全思考與建議

劉麗華

摘 要：工控系統主要是指使用計算機技術、微電子技術、電氣手段，使工廠的生產和制造過程更加自動化、效率化、精確化，并具有可控性及可視性。隨著“互聯網+”的發展，工控系統互聯網的接入帶來了工控信息的安全問題。為此，文章分析了工控系統安全問題及解決建議。

關鍵詞：工控系統；信息安全；管理建議

1 工業信息安全形勢

隨著我國企業兩化融合不斷深入，工業控制系統智能化、網絡化趨勢日漸明顯，工業互聯等新興生態給工業信息安全帶來了新的威脅與挑戰。“震網”病毒攻擊伊朗布什爾核電站、俄羅斯利用“Black Energy”攻擊烏克蘭電網系統、全球大規模爆發勒索軟件“Wannacry”感染等一系列網絡安全事件的頻發、供應鏈安全風險的凸顯、全球數據泄露問題愈演愈烈、安全漏洞頻出，危及工業互聯網，昭示工業控制系統正面臨前所未有的信息安全威脅，嚴重威脅著國家的安全和利益，保障工業控制系統的安全任務迫在眉睫。

2 工業信息存在安全問題

2018年初，國家工業信息安全發展研究中心對江蘇省企業開展了工業控制系統安全檢查，從各企業自查統計情況分析發現，企業大部分工控系統都面臨著安全風險，主要風險是表現在以下幾個方面。

2.1 工業協議的風險

工控軟硬件產品在設計之初主要是為了保證生產的連續性與穩定性，工業協議（如：S7，Modbus，IEC104等）設計時的安全性與可用性之間進行取舍，犧牲了安全性。

2.2 控制設備風險

目前，工業產線采用的工業控制設備基本上都是來自國外的廠商，依賴進口，核心產品自主可控度低。國家工業信息安全產業發展聯盟發布的《2017年工業信息安全態勢白皮書》顯示，國產數據庫僅占據7%的低端市場，數千個工控系統由外國廠商提供運行維護，大量企業不具備自主維護能力，同時缺乏對外國產品和服務的監管。如西門子、施耐德、艾默生、霍尼韋爾等，這些控制設備在設計時更多考慮的是實現功能，安全考慮不足，存在很多高危安全漏洞，有的甚至存在后門，一旦被攻擊利用會導致很嚴重的后果；設備廠商的維保人員對工控系統控制權非常大，在部分企業，工控系統控制室的門禁卡甚至都掌握在外方手中。

2.3 操作系統風險

操作員站、工程師站、工業服務器大量使用微軟Windows系列操作系統，存在大量安全漏洞且甚少打補丁，尤其是目前常用的老舊Windows系統，如WindowsXP，Win2000，Win200等，微軟已經停止技術支持，面臨無補丁可打的困境，容易遭受高級持續性威脅（Advanced Persistent Threat，APT）攻擊。

2.4 應用軟件風險

工業網絡中使用的各種組態軟件存在著大量的安全漏洞，如Sixnet，iFix，SIMATIC，HollySys等，這些組態軟件都已經暴露出大量的高位漏洞，嚴重影響安全生產，通過這些漏洞可以對工控系統進行有針對性的攻擊。

很多系統和設備沒有防護軟件，也不能安裝殺毒系統，一旦上了網就處于“裸奔”狀態。

2.5 病毒傳播風險

工業系統網絡中的一些主機、服務器存在病毒。通過對這些病毒的入侵途徑分析，發現這些病毒的傳入途徑多為移動存儲介質的濫用造成的。

在企業中，因私人行為暴露并感染病毒的情況也較為多見，例如，個人通過工控設備違規上網，或是廠商的維護人員電腦感染后造成設備系統全網感染病毒等。

2.6 錯誤操作風險

操作風險是指由于信息系統或內部控制缺陷導致意外損失的風險。引起操作風險的原因包括：人為錯誤、電腦系統故障、工作程序和內部控制不當等。工業產線中上位機操作工程師權限過大，通過上位機直接發布操作指令、組態變更、程序安裝等關鍵行為，無操作或惡意操作導致錯誤生產，從而造成生產損失。

2.7 管理缺失風險

由于工控系統的專業性與復雜性，很多工控系統并不是由企業的IT部門來管理的。這也使得傳統的網絡安全管理和風險管理并不涵蓋這一部分。而有些工控系統甚至是由企業外的第三方通過遠程進行管理和維護的，這往往成為企業信息安全的一個薄弱環節，以致于工控系統安全管理相對薄弱，缺少必要的管理制度、規范、標準。

2.8 人員意識風險

對工控系統信息安全問題不夠重視，安全責任意識、風險意識不足。多地區、部門、工業企業對工控系統信息安全重視不夠，重發展輕安全，漏洞不重視、修復不及時現象普遍存在。據360補天漏洞響應平臺統計，所有工控信息系統漏洞中，25.6%的漏洞未進行修復，一些行業漏洞平均修復時間長達數月之久。

2.9 防護技術較為落后，人才匱乏

工業信息安全防護技術較為落后，人才匱乏，難以與網絡攻擊相抗衡。國家工業信息安全發展研究中心通過安全監測發現，工業企業信息安全應急備災手段不足，約70%的被調查工業企業缺少完善應災備災體系。公共信息安全人才是自動化和網絡安全人才的復合型人才，缺口巨大，在高校中沒有工業控制領域的碩士、博士培養方向，工業信息安全從業人員幾乎都是在實戰中學習。

3 提高工業信息安全的建議

保障信息安全要著重從國家重點行業領域入手，尤其是公共通信和服務、能源、交通、水利、公共服務、電子政務等重要行業和領域以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國際名聲、公共利益的關鍵信息基礎設施，關鍵工業控制系統等大力提升其信息化水平，鼓勵和支持將信息安全產品和服務納入信息化建設預算，建立長期有效的信息安全保障機制。具體而言，提出以下5點建議。

（1）加強企業信息基礎設施和重要信息系統建設，建設面向企業的信息安全專業服務平臺。重點開展等級保護設計咨詢、風險評估、安全咨詢、安全測評、快速預警響應、第三方資源共享的容災備份、標準驗證等服務；建設企業信息安全數據庫，為廣大企業提供快速、高效的信息安全咨詢、預警、應急處理等服務，實現企業信息安全公共資源的共享共用，提高信息安全保障能力。

（2）加快推進國內關鍵行業領域企業信息系統的安全評估測試。在安全評估方面，主要針對企業主機安全保密檢查與信息監管，采取文件內容檢索、惡意代碼檢查、數據恢復技術、網絡漏洞掃描、互聯網網站檢測、語意分析等技術，評估分析重要信息是否發生泄漏，并找出泄漏的原因和渠道。

（3）制定信息安全關鍵技術和重點產品研發計劃。針對當前制約信息安全產業發展的關鍵技術和重點產品，匯聚國家重要資源，制定信息安全關鍵技術和重點產品目錄，并引導企業和普通消費者擴大應用規模。突破一批信息安全核心技術，形成一批具有市場競爭力的產品，建立和推廣自主知識產權的標準規范，構建完整的信息安全產品體系和產業鏈。

（4）強化和落實工業企業責任主體。工控安全是生產經營安全，應當以人為本，堅持安全發展，堅持安全第一，預防為主、綜合治理的方針，建立工業企業負責，職工參與、政府監管、行業自律的管理機制。

工業企業應將工控安全上升至生產安全的高度，像管理生產安全一樣抓工控安全，建立、健全本企業的工控安全生產責任制，不斷完善企業工控安全管理制度，加強企業人員管理、供應鏈管理及系統運維管理，建立“人防、物防、技防”三位一體的安全防護體系。

（5）加強工業控制系統信息安全防護技術。工控系統信息安全防護技術，可以從工業主機安全、網絡安全、設備安全、數據安全4個方面的防護著手。

①工業主機是工業生產控制各業務環節涉及組態、操作、監控、數據采集與存儲等功能主機設備載體，包括工程師站、操作員站、歷史站、OPC服務器等。通過工業主機的安全防護，做好安全配置（包括身份認證配置、密碼策略配置、端口配置、系統補丁升級配置、防病毒軟件、應用程序白名單軟件、主機外設接口管理軟件），避免主機權限被輕易獲取、不必要的端口被用于傳輸惡意程序或指令、高危漏洞被利用等安全風險；做好安全防護設備的應用，避免未授權的程序或服務運行、未授權的外接設備帶入惡意程序。

②網絡隔離設備是工業企業管理網與生產網、生產網與生產網之間邊界隔離的重要防護設備。通過網絡隔離技術，確保隔離有害攻擊，在可信網絡之外和保證可信網絡內部信息不外泄的前提下，完成網間數據的安全交換。

③設備安全防護思想是應用安全可控的工控產品，提高應對安全攻擊能力，通過設備的安全防護，做好安全配置，避免設備權限被獲取且被植入惡意代碼；做好安全防護設備應用，通過DPI技術阻止在工業控制設備上下發惡意操作指令的實施。

④數據安全防護技術，包括安全災備技術、數據安全審計技術、協議安全加密技術（SSL/TLS），通過重要工業數據、關鍵業務數據的安全防護，確保靜態存儲、動態傳輸上數據不被竊取、篡改、丟失和鎖定。

4 結語

總之，在復雜的網絡環境背景下，我國工業系統需要順應時代的發展形勢，技術人員應當認真分析當前系統中的安全風險，并將先進的信息安全信息技術應用到工業控制系統中，制定完善的風險防御方案，以此來提高我國工控系統安全的程度，為經濟的可持續發展奠定基礎并提供條件，為工業系統的高效運行作出貢獻。