工控系統信息化發展趨勢下的結構化風險分析

李鵬程 王浩

【摘要】工業控制系統（Industrial control system，ICS）在關乎國計民生的行業中占據重要地位，近年來ICS高速信息化發展遭受的網絡攻擊頻發，本文揭示ICS的網絡結構并針對性地進行脆弱性分析，同時總結開發場景中的風險，使得ICS防御策略研究更具有效性和針對性。

【關鍵詞】ICS；信息安全；網絡攻擊

【DOI編碼】10.3969/j.issn.1674-4977.2023.04.058

Structured Risk Analysis Was Carried Out on the Informationization Development of Industrial Control system

LI Pengcheng， WANG Hao

（Liaoning Institute of Measurement， Shenyang 110004， China）

Abstract： Industrial control system， occupy the important in matters of national economy and peoples livelihood industry.In recent years， frequent ICS high-speed informationization development of the network attack. Article reveals vulnerability in a network structure and the analysis of the ICS， summarizes the risk of the development scenarios at the same time， make the ICS more defensive strategy research.

Key words： ICS； information safety； network attack

工業控制系統高度信息化發展，但與傳統的IT（Information Technology）系統還是存在差別，工業控制系統遭受的網絡攻擊究其根本是為了破壞現有正常的生產作業，使得生產停滯或降低、達不到生產要求，更為嚴重可能會造成人員傷亡、環境污染、財產損失等。工業控制系統中器件設備功能繁多、數目龐大，通過信息網絡協同成為一個整體來達成控制要求。信息網絡統籌全局的同時，也隨之而來諸多安全隱患。

1工業控制系統安全事件

全球范圍內ICS的攻擊事件頻發，每年會發生幾百起且呈上升趨勢，每次事件都會造成巨大的經濟損失和嚴重的影響。我國作為制造業大國同樣面臨著ICS信息安全威脅，在2010年和2011年我國的石化行業煉油廠的ICS發生了兩起感染Conficker病毒的事件，使得系統內部通信受阻。此外在2017年也發生過WannaCry勒索病毒侵襲安全事件，導致某大型石油公司的加油站在支付時不能使用銀行卡和網上支付。

放眼全球范圍，2010年震網病毒感染了伊朗的布什爾核電站的工業網絡，控制了多臺離心機使其超速并報廢，造成了伊朗核電計劃的推遲和有毒放射性物質的泄漏。這是一次影響極其深遠的工業網絡安全事件，由此開始，公眾開始關注工業網絡安全問題，震網病毒也成了工業控制領域安全威脅的代名詞。2015年末，烏克蘭的多個能源企業遭受到了網絡惡意攻擊，其中對電力系統的攻擊最為嚴重，黑客通過入侵手段得到了發電站的部分控制網絡權限，進而造成了數個小時的大范圍的停電，并在同一時間對石油、煤炭等重要能源設施進行了攻擊，造成了不可估量的經濟損失[1]。之后的分析指出，很有可能是國家背景的高級持續性威脅組織實施了本次網絡惡意攻擊。2017年出現的WannaCry病毒是目前為止影響范圍最廣，造成危害最大的勒索病毒。勒索病毒是一類非法入侵用戶計算機，加密重要文件并以解密的私鑰威脅用戶，達到勒索目的的病毒。WannaCry勒索病毒以“永恒之藍”漏洞利用程序對計算機進行入侵，對世界范圍內超過100個國家和地區進行了攻擊，許多個人電腦陷入癱瘓，一部分國內的工業服務器也受到了影響，導致了工業生產停擺，給企業帶來了嚴重的經濟損失。

目前，ICS中安裝組態軟件和人機交互界面的工控機出于對生產穩定性和軟件兼容性的考慮，多數以非最新版的Windows作為基本操作系統，且很少對操作系統等軟件進行升級，導致無法及時對已知漏洞進行補救，讓“勒索”病毒能在較長時間里以重大漏洞作為跳板進行傳播，其危害范圍之廣可想而知。在這次事件中我們能夠發現，傳統IT網絡和ICS間的界限已經逐漸模糊，工業控制網絡已經逐步開放并受到公網環境的影響。當地時間2019年3月7日，委內瑞拉境內最大水電站遭到網絡攻擊，造成了持續5天的大規模停電，給正常生活和工作造成了極大的影響。雖然具體的攻擊手段目前并未公開，但這次事件充分說明，ICS在接入公網后存在嚴重的安全隱患，可能遭受惡意攻擊。

對ICS為代表的重點設施進行網絡攻擊和防護，已成為國家間博弈和對抗的重要場景，強化工業及其相關物聯網設備的防御和應急響應能力已上升為國家安全層次。

2工業控制系統的網絡結構

整個工業控制系統中的信息數據由工業控制計算機進行統一分析處理，將設備控制和信息數據統籌兼顧，并設置用戶權限等級界定管理權限來確保信息安全。實現上述功能需要監控與數據采集系統、可編程邏輯控制器、傳感器件等一起工作，使得現場設備的狀態信息、溫度壓強等監控變量可以傳輸給上位機，并以圖文形式展現給操作人員，操作人員也可以遠程控制現場設備的狀態。ICS從網絡結構一般可以分為四層：企業層、監控層、控制層和物理層[2]。接下來將以錦州加納芬高塔復合肥工業控制系統為例逐層分析，其網絡結構如圖1所示。

將工業控制系統按照網絡層次可以劃分為企業層監控層、控制層以及物理層。接下來將逐層進行介紹，每一層級的功能和主要組成設備器件，以及層級之間的交互關系。

2.1企業層

企業層位于整個網絡系統的最上層，利用工業網關與監控層建立連接，從而可以對位于控制層中的控制設備收發指令，進而對物理層中的現場設備監控和決策，由此可見企業層是掌控全局的存在，也被稱為控制決策層，具有權限和功能調度整個控制流程的所有運行器件。為了實現上述功能，該層涵蓋信息管理系統、對外網絡服務器系統、制造執行系統等，對整個工藝生產的質量、產能、安全等進行控制與決策。

2.2監控層

監控層是整個系統的核心，該層的存在使得操作人員可以遠離工業一線現場，在監控室便可以對整個工業生產過程的全局進行實時監控。主要功能是對現場的監控數據進行收集整理轉發給上層的企業層，也將企業層的控制指令轉發給控制層，起到一個上傳下達的作用。一般由操作員站、工程師站和人機交互界面三種設備組成，操作員站和工程師站的區別在于管理權限的界定，操作員站由操作員進行操作監控現場，工程師站在此功能基礎上還可以對人機界面進行整改、組態的開發利用、控制程序的更新和改正等。

2.3控制層

控制層借助分布式控制系統、遠程終端單元和可編程控制器等控制設備完成監控層預設程序中的控制要求，該層控制網絡中基于不同的控制設備要采用特定的通信協議，才能完成和現場設備以及監控層順利進行數據傳輸。

2.4物理層

整個網絡系統的最底層就是物理層，也可以稱之為現場設備層。該層級所有的設備幾乎都位于現實中的工業現場，直接致力于工業生產，例如斗提機、攪拌機、計量傳輸皮帶、刮板機等；也有一些負責數據采集的設備，例如溫度傳感器、氣體流量計、液位傳感器、閥門開度傳感器等；還有一些現場的交互設備，工作人員在現場就可以完成對設備的交互功能。以上幾類設備協同作用，將物理層工業現場的數據移交上層。

3工業控制系統的脆弱性分析

信息化浪潮在工業控制系統內席卷而來，工業現場的操作人員從一線作業中抽身出來，操作方式越來越人性化，細節控制面面俱到，在管理層面也更加便利和簡明，原有的傳統管理方式不復存在。基于信息化帶來的諸多良處，早先的生產過程效率大幅度提升，也可以滿足更高的控制目標。但信息化這把雙刃劍也帶來了負面影響，打破了ICS的封閉，使得信息系統的安全隱患奪門而入沖擊了工控網絡，原本ICS中的漏洞隱患也愈加不可遏制，成了各種網絡攻擊的切入點。在管理ICS的過程中，管理人員的首要任務是保證工業生產的順利進行，這就需要系統中的數據保證實時性、可用性和不可中斷，而基于當前的形勢下，還需要著重考慮信息安全問題。而在操作過程中，操作人員也需要對當前控制網絡中的流量情況、運行狀態、系統報警日志進行實時監控，一旦發現異常及時上報，這些與安全相關的信息也變得尤為重要。

接下來將對工業控制系進行結構化風險分析，首先從各個層級的脆弱性逐一分析，再從安全的需求和目標角度進行分析，較為全面地討論工業控制系統的脆弱性所在之處，以及安全防護的著手點[3]。

由于物理環境受限、工控系統封閉及高可用性等原因，ICS最初設計過程中沒有對安全性進行充分考慮，導致ICS的脆弱性無法避免。如今的ICS為了更好的發展，不斷融合新興信息技術，特別是工業互聯網及人工智能技術的廣泛應用，潛在安全問題逐漸被暴露出來。針對ICS的脆弱性進行分析，為針對性防御工作的研究夯實基礎[4]。根據現代ICS層次架構，工業控制系統脆弱性主要包括以下三個方面。

1）物理層脆弱性

物理層設備往往位于生產第一線，不恰當的人為操作，將直接破壞原有的正常生產作業，現實中甚至還存在人為的惡意操作，導致生產事故的發生。為了提高ICS的靈活性，打破物理環境中距離的影響，將工業無線傳感器納入系統內，在出色地發揮作用的同時，很容易被竊聽。工業中的生產活動周期長，甚至長達一個月不間斷生產，不能夠及時發現問題隱患并立刻解決處理。工業通信協議的設計優先考慮傳輸有效性，不但缺乏安全認證和授權保護，而且通信過程中的缺少防護措施，給了攻擊者機會去截取數據從而分析出系統內的敏感信息。

2）監控層和控制層脆弱性

監控網絡中的主要核心設備是工程師站和操作員站，大部分由高性能的計算機充當，不能及時對系統安裝補丁杜絕漏洞。專業的工程師在對監控層的上位機的維護更新過程中，以及對控制層工控設備檢修的過程中，不夠嚴謹和遵守規范，使用個人工作站或者遠程連接的方式，都可能將系統之外的威脅夾帶到系統之內。

高權限的操作人員，可能熟知工藝流程的專業知識和時間經驗，但是往往缺乏信息安全的理念，相關的風險意識薄弱，無法在出現信息安全問題的時候及時發現并作出正確的應對舉措。還有大部分威脅來源于軟件的方面，各類工控專用協議在設計之初只為了能夠滿足工控系統對數據傳輸高實時低延遲的要求，之前的封閉網絡環境，讓設計者沒有綜合考慮安全性的問題，所以在開放的環境下就暴露了諸多的缺陷，這樣的漏洞就為外部環境攻擊者提供了可乘之機。ICS有循環和非循環兩種通信方式，通信過程中的傳輸數據量較小，所以對網絡需求也就不像IT系統那么龐大，如洪泛攻擊、拒絕服務攻擊等一些通過網絡流量層面進行的攻擊也威脅很大。

3）企業管理網絡脆弱性

企業層發展的大勢所趨是連入互聯網，從而增加更多的功能，對內部數據進行云存儲、云分析、云控制等。但是互聯網帶來的沖擊也不容小覷，如果系統內的防火墻沒有正確配置、缺乏安全邊界管理等防護失誤，一些普通計算機中存在的潛在病毒、惡意程序都會沖擊ICS的安全性。

4開發場景中的風險

工程師在對工業控制系統進行開發時，需要根據不同的工控設備采用不同的方式進行開發，接下來將討論兩種應用廣泛最為常見的工控設備PLC和SCADA。PLC設備一般會布置在工業現場，所以當PLC工程師想要進行程序更新、設備檢修維護時必須前往現場，工作站由便于攜帶的筆記本電腦擔任，通過串口或者連入以太網的方式和PLC建立連接，工程師操作工作站預先安裝的組態軟件便可以對PLC進行開發調試。上位機中搭載著通用操作系統，負責SCADA系統開發的工程師想要對HMI等大多數SCADA系統的組件進行開發調試，可以對上位機進行遠程控制，不用親自到場便可以完成系統的升級和調整。結合本人的實際工程項目經驗和調研，由于一些人為因素和現實情況，發現在開發場景中存在著幾點不規范的地方，可能會成為工控信息安全的定時炸彈。

4.1忽視密碼設置

生產管理過程中對操作人員的管理級別作出界定，高級的操作人員需要具有對整個工藝流程的熟稔于心，在各種情況下都具有迅速準確的判斷能力，而對于授權的方式需要存在密碼控制功能。但現實情況下，操作人員會擔心忘記密碼需要進行重置，只有設備廠商的工程師才可以進行密碼重置，過程會比較煩瑣，為了避免浪費人力財力而選擇不對設備設置管理密碼。

4.2上位機系統固件不升級

生產廠商只追求ICS的可用性，不會注重考慮其他因素，由于上位機系統和固件需要定期升級，可是升級后的系統會與組態軟件不兼容，這樣的沖突自然會影響到生產過程的長期穩定，所以在配置上位機后有很長時間不會對操作系統進行升級，系統漏洞也就會長期存在。

4.3使用盜版軟件

在工控設備選型時除了考慮是否能滿足控制要求，還需要考慮控制成本，不同品牌的產品除了功能存在差異，還需要配置對應獨有的組態開發軟件，這些軟件都是生產商自主研發的，所以在使用時還需要額外支付一筆費用，大部分廠商為了降低控制成本而使用非正規的破解版，這些破解版軟件可以免費在網上下載，完全存在捆綁病毒和惡意程序的風險，從而進入到工控系統內部。

5結論

隨著兩化融合的推進，ICS不僅打破了原有封閉的網絡，還兼并支持通用的TCP/IP協議及辦公操作系統，對計算機網絡及信息系統的依賴程度與日俱增的同時，接踵而至的是多樣頻發的信息安全問題。文章開篇梳理近年來的國內外ICS安全事件，揭示ICS面對的安全態勢不容樂觀，接下來以錦州加納芬高塔復合肥工廠為實例對ICS的結構進行深度剖析，對應網絡結構詳細闡釋每部分的器件組成和實現功能，逐層著重分析其脆弱性；并結合實際工程項目經驗總結開發場景中的風險。旨在揭露工業控制系統高速信息化發展下忽視的短板，為防御策略的研究提供方向。

【參考文獻】

[1] LIANG G Q，WELLER S R，ZHAO J H，et al. The 2015 Ukraine Blackout：Implications for False Data Injection Attacks[J]. IEEE Transactions on Power Systems，2017，32（4）：3317-3318.

[2]徐海洲.基于軟件定義網絡的工業控制系統信息安全防護設計及實現[D].武漢：華中科技大學，2019.

[3] MALATJI M，MARNEWICK A L，SOLMS S V. Cybersecurity capabilities for critical infrastructure resilience[J].Information and Computer Security，2022，30（2）：255-279.

[4]賴英旭，劉靜，劉增輝，等.工業控制系統脆弱性分析及漏洞挖掘技術研究綜述[J].北京工業大學學報，2020，46（6）：571-582.

【作者簡介】

李鵬程，男，1996年出生，碩士，研究方向為溫度計量。

王浩，男，1983年出生，高級工程師，碩士，研究方向為熱學計量。

（編輯：謝飛燕）