1　工業(yè)控制系統的特點(diǎn)

工業(yè)控制系統的特點(diǎn)應該說(shuō)可以歸納為以下三個(gè)方面，多、雜、高、難。如圖1所示。

圖1　工業(yè)控制系統特點(diǎn)

為什么說(shuō)第一個(gè)特點(diǎn)是“多”呢？實(shí)際上“多”包含了很多方面。第一，設備數量多。眾所周知，我們現在任何一個(gè)企業(yè)中所應用到的工業(yè)控制系統的設備數量都很多。比如一個(gè)中型冶金企業(yè)的工業(yè)控制系統數量可以達到上千個(gè)，又比如一個(gè)汽車(chē)企業(yè)中應用的工業(yè)控制系統數量也可以達到數百個(gè)。所以，可想而知，數量達到成百上千的工業(yè)控制系統對于整個(gè)企業(yè)的運營(yíng)產(chǎn)生著(zhù)重要的作用，如果這些工業(yè)控制系統的安全受到威脅，那將會(huì )對企業(yè)的正常生產(chǎn)運營(yíng)產(chǎn)生非常嚴重的后果。第二，產(chǎn)品供應商多。目前國內很多企業(yè)的工控系統都會(huì )涉及多家產(chǎn)品供應商的產(chǎn)品，每一個(gè)品牌又有很多個(gè)產(chǎn)品系列，每個(gè)產(chǎn)品系列帶來(lái)的風(fēng)險和信息安全隱患完全不同，這就導致應用的信息安全防護方案完全不同，為工業(yè)控制系統信息安全整改帶來(lái)很大的難度。除此之外，我們還看到工業(yè)控制系統的通訊協(xié)議有很多，雖然每種協(xié)議都是通用的標準協(xié)議，但實(shí)際上每家廠(chǎng)商支持的以太網(wǎng)協(xié)議都不一樣，而所有通用協(xié)議都沒(méi)有任何信息安全防護功能。因此，如果一個(gè)企業(yè)內部采用多個(gè)廠(chǎng)家的通訊協(xié)議，對于為所有產(chǎn)品做防護是很難的。另外為了將來(lái)維護方便，每一個(gè)工業(yè)控制系統里都開(kāi)放了很多以太網(wǎng)服務(wù)，而這些以太網(wǎng)服務(wù)也會(huì )為企業(yè)帶來(lái)信息安全的風(fēng)險。最后，不同的工業(yè)行業(yè)，目前對于工控系統選型、應用等要求都不同，導致不同行業(yè)的信息安全防護方案可能有很大差異。

工業(yè)控制系統的第二個(gè)特點(diǎn)就是“雜”。第一是指以太網(wǎng)服務(wù)“雜”，這一點(diǎn)在前文已經(jīng)提過(guò)，由于供應商多導致產(chǎn)品多，所以企業(yè)內工控系統的協(xié)議類(lèi)型非常雜。第二是指區域分布廣。舉一個(gè)簡(jiǎn)單的例子，眾所周知石化行業(yè)有很多的管線(xiàn)，如天然氣、原油、成品油等管線(xiàn)。目前最長(cháng)的西氣東輸的管線(xiàn)，全長(cháng)4000多公里，大概應用了約200余套PLC及RTU產(chǎn)品。第三，就是通訊類(lèi)型雜。比如分布很廣的石油管線(xiàn)、市政管網(wǎng)，大量采用通用的通訊方式實(shí)現數據交換，將來(lái)一旦引發(fā)信息安全問(wèn)題，可能會(huì )導致整條管線(xiàn)的運營(yíng)產(chǎn)生嚴重影響。

工業(yè)控制系統的第三個(gè)特點(diǎn)就是“高”。對工業(yè)控制系統的要求有“三高”——實(shí)時(shí)性高、可靠性高、可用性高。對于信息系統而言，要求的最高級別是機密性，而對于工業(yè)控制系統而言，最高級則是可用性。由此可知，信息系統的信息安全和工業(yè)控制系統的信息安全其實(shí)完全不同，簡(jiǎn)單的將信息系統的信息安全要求和解決方案直接套用在工業(yè)控制系統信息安全要求上顯然是不合適的。

正是由于工控系統具備上述“多、雜、高”三個(gè)特點(diǎn)，同時(shí)又不能在線(xiàn)對工控系統進(jìn)行信息安全評測，因此，設計一套適合于工控系統的信息安全整體防護方案非常難。

這里有一點(diǎn)需要強調，很多人認為工業(yè)控制系統之所以面臨著(zhù)信息安全的問(wèn)題，主要就是因為它采用了大量的通用以太網(wǎng)協(xié)議。甚至有人認為，如果沒(méi)有兩化融合，沒(méi)有物聯(lián)網(wǎng)、工業(yè)4.0，工業(yè)控制系統就不會(huì )存在信息安全的風(fēng)險。其實(shí)不然，工業(yè)控制系統中除了存在通用以太網(wǎng)協(xié)議外，還大量存在著(zhù)控制設備、通訊組件、應用軟件、操作系統等四類(lèi)設備或資產(chǎn)，而這些設備或資產(chǎn)本身也會(huì )存在信息安全風(fēng)險和隱患，從而導致整個(gè)工控系統存在信息安全風(fēng)險或隱患，震網(wǎng)病毒事件就是一個(gè)很好的例子，雖然核電廠(chǎng)里的控制系統與其辦公自動(dòng)化系統和信息系統是隔離的，但是事實(shí)證明，還是依然存在信息安全的隱患。

2　信息安全現狀

在與一些企業(yè)接觸的過(guò)程中，發(fā)現他們對于工業(yè)控制系統信息安全整改和提升有著(zhù)很多疑問(wèn)，比如“我的控制系統已經(jīng)與外網(wǎng)進(jìn)行隔離，是否還需要防御？”、“整個(gè)企業(yè)運行的系統沒(méi)有受到任何影響，那我是不是不需要防護了？”、“信息安全防御方案太多，如何選擇？”、“企業(yè)投入是否太大？”、 “沒(méi)有專(zhuān)業(yè)技術(shù)人員，如何維護？”等等。

由此可見(jiàn)，很多人在提到工業(yè)控制系統信息安全的問(wèn)題時(shí)，首先想到的只是“去防”，或者有了問(wèn)題，就針對這個(gè)問(wèn)題來(lái)解決諸如此類(lèi)的思路。但其實(shí)我們更應該提升主動(dòng)防御和全面防御的理念，而不只是被動(dòng)地防御，被動(dòng)地發(fā)現問(wèn)題、解決問(wèn)題。

3　信息安全的風(fēng)險

事實(shí)上，信息安全的風(fēng)險可能會(huì )隱藏在你的系統里，有可能潛伏很多年也不會(huì )被發(fā)現。那么什么是信息安全的風(fēng)險呢？主要由兩部分組成。第一是信息安全發(fā)生入侵以后對企業(yè)產(chǎn)生的危害有多大，第二個(gè)就是企業(yè)存在這種被入侵的可能性有多大。

風(fēng)險= 危害程度 × 發(fā)生頻率 （1）

所以對于企業(yè)來(lái)說(shuō)，雖然信息安全問(wèn)題還沒(méi)有發(fā)生，并不代表就不存在這方面的風(fēng)險，一旦發(fā)生入侵或攻擊，對企業(yè)的造成的后果將是重大的。這也就是說(shuō)為什么現在沒(méi)發(fā)生，也要開(kāi)始做信息安全的整改。
從（1）中可看出，風(fēng)險不僅與危害程度有關(guān)，與發(fā)生的頻率也是密切相關(guān)的。所以從信息安全的防護解決方案來(lái)講，實(shí)際上有兩種方案。第一種是減少工控系統本身可能存在著(zhù)的風(fēng)險和隱患引發(fā)的失效概率，第二種就是降低控制系統受到攻擊以后可能對企業(yè)產(chǎn)生的危害程度。

4　常見(jiàn)的信息安全解決方案

目前，多數安全服務(wù)供應商的解決方案是“自上而下”的，側重于管理級、系統級安全功能的強化。但這種模式有四點(diǎn)缺陷。

首先，優(yōu)先實(shí)現管理級、系統級的安全功能，對于絕大多數此前沒(méi)有相應的軟硬件設備準備的工業(yè)企業(yè)來(lái)說(shuō)，意味著(zhù)需要投入大量的成本來(lái)進(jìn)行從無(wú)到有的建設，其間投入的人力物力也會(huì )比較多。

其次，對于本身存在信息安全缺陷的工控設備來(lái)說(shuō)，“自上而下”的防護只是一些外圍措施，并沒(méi)有從根源上消除信息安全的隱患，相關(guān)工控設備實(shí)際上還是處在“帶病上崗”的狀態(tài)下。

其三，工業(yè)企業(yè)內部涉及的工控設備類(lèi)型很多、數量很大，完全依靠管理級、系統級的防護很難保證照顧到每一臺單體設備，而如果顧此失彼，也稱(chēng)不上真正實(shí)現了安全保障。最后，每個(gè)工業(yè)企業(yè)使用的現場(chǎng)設備的類(lèi)型和數量都不一樣，這決定了管理級、系統級的信息安全解決方案，其定制化、私有化程度將是非常高的，一套方案即使在集團企業(yè)旗下的各個(gè)分公司中間也無(wú)法推廣，更不要說(shuō)在某個(gè)行業(yè)，甚至整個(gè)工業(yè)領(lǐng)域中推廣了。這種可復制性差的缺陷同樣意味著(zhù)成本將居高不下，尤其是對于大型的集團性企業(yè)來(lái)說(shuō)，每個(gè)下屬單位的方案都要獨立定制，投入壓力之大顯然是難以接受的。

5　施耐德電氣的信息安全解決方案

而施耐德電氣的工業(yè)信息安全解決方案之所以不同，就在于施耐德電氣主張采取“自下而上”的防護策略，更加側重設備級防御、輔以系統級和管理級的三級防御體系，也就是說(shuō)從設備級的防護入手來(lái)構建工業(yè)信息安全系統。

工控設備的停運、損壞導致生產(chǎn)活動(dòng)中斷無(wú)疑是工業(yè)企業(yè)最為憂(yōu)心的信息安全事故，那么如何防止這種情況的發(fā)生呢？施耐德電氣給出的答案是，讓關(guān)注的焦點(diǎn)回歸到工業(yè)信息安全威脅的“靶心”，即工控設備本身上來(lái)，設法提升工控產(chǎn)品自身的信息安全防護能力，從根源上消除工控產(chǎn)品的信息安全漏洞。具體的做法是，在不影響工控設備功能與性能的前提下，將信息安全的功能集成到每一個(gè)單體設備上。對于工業(yè)企業(yè)來(lái)說(shuō)，實(shí)現了這種設備級的信息安全防護，意味著(zhù)已經(jīng)獲得了完整的多層次工業(yè)信息安全防護中最核心的部分功能；此后根據自身情況，在具備了相應的條件和能力時(shí)，逐步完善系統級、管理級的輔助策略即可。這種“自下而上”的模式，初期因為不需要額外采購軟硬件設備，因此需要的投入少，工業(yè)企業(yè)只需要針對自身使用的工控設備進(jìn)行建設，實(shí)施的難度也不高，對工業(yè)企業(yè)內部的技術(shù)人員的能力要求也不高。

（1）設備級防御方案

對于工業(yè)控制系統而言，主要涉及四類(lèi)設備——控制設備、通訊組件、應用軟件和操作系統。這四類(lèi)設備都各自存在著(zhù)信息安全的風(fēng)險和漏洞，最終會(huì )導致整個(gè)工業(yè)控制系統存在信息安全的風(fēng)險。那么我們如何對設備級進(jìn)行防護呢？施耐德電氣提倡增加每一個(gè)單體設備的信息安全防護能力，當這些小設備放到一起組成一個(gè)大系統的時(shí)候，這個(gè)大系統就具備了信息安全防護的最基本的能力。

從2013年初起，施耐德電氣提供給客戶(hù)的所有工控產(chǎn)品都已經(jīng)具備了信息安全的功能，工業(yè)企業(yè)使用這樣的工控產(chǎn)品，不必依賴(lài)其它的保護措施就已經(jīng)獲得了符合國際國內相關(guān)法規要求的、過(guò)硬的信息安全保障。最近，施耐德電氣全球首款ePAC產(chǎn)品——莫迪康M580(Modicon M580)通過(guò)了中國電力科學(xué)研究院的信息技術(shù)產(chǎn)品安全性檢測，這是繼2012年施耐德電氣莫迪康昆騰PLC產(chǎn)品成功獲得國家權威信息安全測評機構的安全性認證之后，旗下的最新PLC產(chǎn)品再次獲得權威檢測機構的認可。另一方面，對于此前已經(jīng)在應用的工控設備，施耐德電氣也可提供相應的服務(wù)，幫助工業(yè)企業(yè)獲得同等的保障。

對于降低信息安全危害發(fā)生的概率，施耐德電氣也有很多的解決方案。比如對于控制類(lèi)產(chǎn)品，在控制系統發(fā)生失效后，產(chǎn)品內置的故障狀態(tài)預置功能，可以讓所有受控的設備全部處于安全狀態(tài)，不會(huì )對系統產(chǎn)生更大規模的次生災害。如果事故發(fā)生了，產(chǎn)品完善的故障診斷、帶電插拔等維護特性又可以大大縮短系統恢復的時(shí)間。

（2）系統級防御方案

所有的工業(yè)控制系統都不是獨立的信息孤島，它們之間會(huì )組成一個(gè)大的系統，通過(guò)網(wǎng)絡(luò )連接在一起。所以我們還需要增強整個(gè)控制系統的系統架構的信息安全防護功能。如施耐德電氣可以提供通訊組件設備中所需完善的以太網(wǎng)交換機、防火墻等專(zhuān)門(mén)產(chǎn)品，來(lái)增強整個(gè)信息安全的系統級信息安全功能。為了減少信息安全發(fā)生的概率，施耐德電氣也有很多解決方案，從前期的全網(wǎng)絡(luò )評估，發(fā)現潛在的弱點(diǎn)，到網(wǎng)絡(luò )分隔、邊界保護、網(wǎng)段分離等。通過(guò)修改網(wǎng)絡(luò )架構，來(lái)減少網(wǎng)絡(luò )風(fēng)險。

（3）管理級防御方案

市場(chǎng)上有很多安全型的管理軟件，其實(shí)可以將它們分成等級。最基本的就是監控解決方案，它可以完善管理制度，建立完善的IDS/IPS體系和資產(chǎn)管理系統以及監控、日志體系，安全策略管理和執行功能。更高一級的就是集成更多防護功能的防護解決方案。防護解決方案中除了有前面提到的所有功能外，還可以做到軟件補丁的自動(dòng)更新。當然軟件補丁的自動(dòng)化更新并不是沒(méi)有任何驗證的自動(dòng)下載，而是完成驗證后，再下載。另一個(gè)更為重要的手段就是幫助企業(yè)建立完善的數據備份和災難恢復機制。同時(shí)，這種防護解決方案可以同時(shí)對整個(gè)工控系統中的計算機部署應用安全策略，這就可以完全避免外部人員利用非法設備接入到工業(yè)控制系統，從而導致系統崩潰。

施耐德電氣除了可以提供設備級、系統級和管理級的防御方案外，還可以提供完善的信息安全服務(wù)。目前，在施耐德電氣的官方網(wǎng)站上，公開(kāi)了施耐德所有的信息安全解決方案，上面有一些詳細的信息安全部署方案和完善的手冊，可以免費下載。施耐德電氣對于信息安全防護，從前期的評估，解決方案的設計、集成到培訓等各個(gè)方面，都可以提供完善的解決方案。

作者簡(jiǎn)介

王斌（1974-），男，漢，畢業(yè)于北京航空航天大學(xué)自動(dòng)控制專(zhuān)業(yè)，現任施耐德電氣工業(yè)事業(yè)部工業(yè)信息安全首席專(zhuān)家，曾編寫(xiě)《Quantum PLC設備信息安全解決方案操作手冊》和《Quantum PLC設備信息安全解決方案簡(jiǎn)明手冊》，被國家電力監管委員會(huì )和國家能源局推廣到所有電力企業(yè)。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第一輯）》