工業控制系統信息安全淺析

李莉

摘要：本文首先研究了工業控制系統信息安全的范疇和發展現狀，然后對工業控制信息體統安全行業發展帶來的新機遇進行了探討，接下來對促進工控信息系統發展的國內外相關標準做了梳理，最后給出了工控安全行業發展展望和建議。

關鍵詞：工業控制信息系統信息安全;工業互聯網;工控安全標準

1工業控制系統信息安全簡介

工業控制系統被廣泛應用于現代社會的諸多關鍵領域，包括能源、水電、通信、交通、調度、工業制造等。在工業控制系統與互聯網連接的趨勢下，工業控制系統信息安全越來越引起業界的關注。

一個完整的工控企業的信息系統通常分為四層，即企業管理層、生產管理層、生產控制層和設備層。企業管理層實現企業內部辦公系統功能，生產相關數據不包括在內。一般將生產管理層、生產控制層和設備層涉及的部分統稱為工業控信息系統。工業控制信息系統不但包括SCADA、DCS、PLC、RTU等專用的信號采集、數據傳輸和信息控制系統，還包括專用的工業通信輸設備及工業企業專用數據庫。

sCADA（supervisory control And DataAcquisition）即數據采集與監視控制系統，用來控制地域上分散的大型分布式系統。SCADA系統控制的分布式系統，地域跨度大，分散的數據采集和集中的數據處理是SCADA的主要特點。典型的SCADA系統有供水和污水收集系統、石油和天然氣管道、電力電網及鐵路運輸系統等。

DCS（Distributed Control System）即分布式控制系統，是對工業系統的生產過程進行集中管理和分散控制的計算機系統。DCS對實時性和可靠性要求較高。DCS通常是專用定制化系統，使用專用處理器，采用私有通信協議通信，運行針對企業特定應用的定制化軟件系統。DCS廣泛應用在在能源化工、汽車生產、食品、廢水處理等行業。

PLC（Programmable Logic Controller）即可編程邏輯控制器，用于控制工業設備和生產過程。PLC通常在較小的控制系統配置中作為主要組件，用于提供離散過程的操作控制。PLC被廣泛應用于幾乎所有的工業生產過程。

RTU（Remote Terminal Units）即遠程終端單元，用于工業現場監控。與PLC相比，RTU的存儲容量更大，能在更惡劣的環境中實現數據收集和傳輸。在能源、水電和市政調度等行業SCADA系統中，RTU比較常見。

工業控制系統所涉及的信息安全防護產業稱為工業控制系統信息安全。工業控制系統信息安全不但涉及生產管理層、生產控制層和設備層的信息安全，還涉及各層之間的邊界防護。一般企業管理層被歸為傳統的IT信息系統。

2工業控制系統信息安全現狀

2.1工控信息系統安全形勢嚴峻

美國ISC-CERT從2010年到2018年報告的漏洞數統計如下圖。統計數據表明，從震網病毒發生的2010年起，工控漏洞的數量逐年增長。其中2017-2018年數據ICS-CERT官方暫未公布，數據統計自所有擁有CVE編號且來源總包含ICS-CERT的漏洞。

工控系統應用于關系國計民生的領域，其存在的隱患可能造成特別嚴重的后果。震網病毒嚴重地破壞了伊朗核計劃。烏克蘭電網在一年多的事件內遭到多次攻擊，導致停電事故。臺積電遭受勒索軟件攻擊，導致生產線停產，損失達1.7億美元。這些事故的發生說明，工業控制系統發生的安全問題會給社會及企業帶來重大損失和影響，甚至國家安全產生重大影響。

2.2工業控制系統與互聯網連接趨勢明顯

工業互聯網是工業系統與高級計算技術和互聯網的高度融合。它通過與互聯網連接，與大數據分析技術結合，實現生產的智能化和個性化。

傳統工業控制系統多是封閉的獨立系統。盡管系統內部都實現了IT化，但是各系統之間，企業與用戶和供應商之間很少有信息交互。工業互聯網平臺通過高效的數據采集方式，建立面向工業大數據的綜合環境，從而降低工業的成本，提高生產效率，提升企業的競爭優勢。

隨著《中國制造2025》戰略計劃的實施，我國越來越多的工業控制設備連接到互聯網上。但同時也要看到，在向制造強國轉變的過程中，我國工業與發達國家還存在較大差距，如自主創新能力不強、能源利用率低、產業結構不合理等。

2.3各界對工控信息系統安全的重視程度明顯提高

我國政府及各級管理部門、研究機構對工業控制系統信心安全的重視程度逐年增高，各種法規、政策指導性文件相繼發布。全國信息安全標準化技術委員會（TC260）制定和計劃編制多項標準，包括SCADA系統安全控制指南、電力系統安全指標體系、工控系統安全管理基本要求和安全分級指南等。2015年，國務院印發《中國制造2025》的通知，專門提到了“加強智能制造工業控制系統網絡安全保障能力建設，健全綜合保障體系”。2015年，國務院學位管理委員會和教育部聯合發布《關于增設網絡空間安全一級學科的通知》，決定增設網絡空間安全一級學科，加強人才培養。2017《中華人民共和國網絡安全法》頒布實施。這一系列政策、標準、法規的發布，體現了國家管理部門對工業控制系統信息安全的重視。

國內工業控制系統信息安全產品生產企業研發的工控安全產品，也從以邊界防護為主的工控安全網關類產品向工控全生命周期的全品類安全產品轉化。

工控系統漏洞逐年增多，也從俱0面反映了工控系統運營機構對工控系統安全的重視。通常工控系統處于隔離的網絡中，一般的攻擊者很難獲得相應的工業控制系統攻防研究環境。“震網”事件后，很多公司和運營機構都開始發掘工控系統漏洞，導致工控數量逐年增加。

3工控信息系統安全行業發展帶來的新機遇

3.1工業4.0

德國提出“工業4.0”的概念，計劃推動以信息物理系統為基礎，以生產數字化、大數據和機器自組織為標志的工業革命。工業4.0意在將社會的機器生產能力、企業可共享的信息及用戶的需求組織起來，創造最大的社會生產力。工業4.0倡導的新型生產方式會帶來社會創新，推動社會進步，促進人員創新。

3.2工業互聯網

工業互聯網是工業系統與高級計算、分析、感應技術以及互聯網連接融合的結果，它通過物聯網、云計算、大數據等新一代信息通信技術實現智能設備間的互聯互通并最終與人類智慧橋接。工業互聯網涉及制造業與互聯網融合、工業企業云平臺、物聯網平臺、企業資產管理、工業4.0軟件開發、工業數據分析等行業領域，工業互聯網行業前景廣闊。

3.3中國制造2025

2015年，我國提出了《中國制造2025》的制造戰略計劃，旨在實現我國制造業從制造大國向制造強國的轉變。這個戰略計劃給我國新一代信息技術產業、高檔數控機床和機器人、航空航天裝備、海洋工程裝備及高技術船舶、先進軌道交通裝備、節能于新能源汽車、電力裝備、農業裝備、新材料、生物醫藥及高新能醫療器械等領域帶來了新的發展契機。

4工業控制系統安全標準進展

4.1NIST SP800-82《工業控制系統安全指南》

美國是最早開始研究和執行工控安全標準的國家。美國國家標準與技術研究院于2015年正式發布了SP800-82《工業控制系統安全指南》。

《工業控制系統安全指南》最新版本中，更新了工控系統威脅和漏洞，增加了風險管理部分。指南對工控信息安全漏洞和信息安全事件的分析，認為敵對事件引發的事件次數少，破壞性最強：設計開發缺陷、錯誤配置和管理不善導致的工控安全事件頻次最高。與常用的風險評估辦法不同，指南中推薦的風險管理辦法采用了分層結構方法對風險進行處理，分別從組織層、業務流程層面和信息系統層面進行評估。雖然NIST sP不是法定標準，但是這個關于信息安全的指南獲得了美國和國際安全行業的廣泛參考。

4.2ISA/IEC 62443系列國際標準陸續完善

國際電工委員會IEC技術小組委員會TC65與國際自動化協會ISA 99委員會于2007年共同制定了ISA/IEC62443系列標準。該系列標準包括4個部分：概述、信心安全規程、系統技術和組件技術。標準對建立和維持一個有效的工控安全規程時應考慮的各個方面提出指導意見，給出了系統設計和集成的安全方面相關要求，同時對設備提供者的單個產品做出了技術性的要求。這個標準對于工控產品的設計、生產、采購和實施方面的安全都有指導性作用。在此基礎上，IEC還建立了基于62443標準的網絡安全評估體系，IEC-62443網絡安全認證為各行業的產品和系統提供一定程度的信任。

4.3我國發布多個國家標準和行業標準

全國工業過程測量控制和自動化標準化委員會（SAT/TC 124）發布了系列工控安全系列標準，包括GB/T 26333-2010《工業控制網絡安全風險評估規范》、GB/T 30976.1-2014《工業控制系統信息安全第1部分：評估規范》GB/T 30976.2-2014《工業控制系統信息安全第2部分：驗收規范》。這些推薦性標準對于工控安全評估和驗收給出了建議。此外，工信部、電力行業、國家煙草專賣局都制定了針對本領域和本行業的系列標準，如JB/T 1 1962-2014《工業通信網絡網絡和系統安全工業自動化和控制系統信息安全技術》、《電力二次系統安全防護標準》（強制）及GB/T 31991《電能服務管理平臺技術規范》等。

5工控安全發展展望和建議

5.1工控安全市場前景廣闊

工業控制系統信息安全產品市場潛力巨大。2017年Research and Markets發布的最新“工業控制系統安全市場-2022年全球預測”報告顯示工業控制系統安全市場預計從2017年的102.4億美元到2022年增長到138.8億美元，復合年均增長率（cAGR）為6.3%。傳統安全產品制造企業、傳統工業控制設備生產企業和關注安全的新興互聯網公司都可以在積極參與工控信息安全市場的過程中尋找到自己的利潤點。

5.2我國工控行業供應鏈安全應引起足夠的重視

我國工控行業的國產化率還不高。在高檔機床控制系統中.德國西門子、日本Fanuc等品牌占據了我國95%以上的市場份額;在PLC市場中，2015年西門子、三菱、歐姆龍、羅克韋爾、施耐德等5家廠商就占據了超過80%的市場份額。在國際形勢風云變化的今天，供應鏈安全對我國工業控制系統安全的影響巨大。一方面，國內設備供應方應加大自主研發力度;另一方面，工控系統運營機構應當在設備更新計劃中充分考慮供應鏈安全的影響，有計劃地提高工業控制系統的國產化率。

5.3工控企業應切實重視工控信息安全

很多企業管理者對工業控制系統信息安全重視程度低，在工業控制系統建設和維護過程中沒有指定有效的安全管理措施，人員安全培訓不到位，給工控系統安全埋下隱患。2015年中石化內鬼事件，工作人員利用職務之便將病毒植入服務器中，充分暴露出工控現場信息安全管理制度缺失.防護措施執行不到位。工控企業應從技術和管理兩個方面重視工控信息安全.一方面提高人員的技術水平、另一方面加強工作人員的防范意識。