冶金企業(yè)作為對國計民生具有重要影響的行業(yè)，其工控系統的信息安全日益得到了各單位的重視。最近，筆者對國內冶金企業(yè)某鋼廠(chǎng)重要工控系統信息安全管理情況進(jìn)行了解，發(fā)現形勢不容樂(lè )觀(guān)，暴露出不少突出的安全問(wèn)題，而這些問(wèn)題又不單是技術(shù)問(wèn)題，需要冶金企業(yè)、工業(yè)控制系統廠(chǎng)商、信息安全廠(chǎng)商的通力合作，共同面對冶金工業(yè)自動(dòng)化控制系統信息安全方面的各種威脅。

    1　冶金工業(yè)自動(dòng)化控制系統信息安全管理現狀

    冶金自動(dòng)化控制系統包括數據采集與監控系統（SCADA）、過(guò)程控制系統（PCS）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED），以及確保各組件通信的接口技術(shù)，它們是冶金工業(yè)控制系統的核心組件，可以說(shuō)沒(méi)有自動(dòng)化控制系統，就無(wú)法煉鋼、軋鋼。自動(dòng)化控制系統信息安全不僅會(huì )造成信息的丟失，還可能造成工業(yè)過(guò)程生產(chǎn)故障的發(fā)生，從而造成人員損害及設備損壞，其直接財產(chǎn)的損失是巨大的，甚至會(huì )危及環(huán)境及國家安全。但是企業(yè)又不可能無(wú)限度地投入資源、資金、人力來(lái)保障安全，因為安全防護畢竟會(huì )給生產(chǎn)帶來(lái)一些不便利性，同時(shí)也會(huì )增加投資。因此需要在對自動(dòng)化控制系統所面臨的主要安全威脅進(jìn)行分析的基礎上，采取相應的措施，以期用最小的投入達到最大的保護。

    目前冶金企業(yè)自動(dòng)化控制系統所面臨的安全威脅主要包括系統平臺安全、策略流程安全及網(wǎng)絡(luò )安全三個(gè)方面。

    1.1　系統平臺安全

    在冶金工業(yè)控制系統中，各類(lèi)服務(wù)器是非常關(guān)鍵的設備，服務(wù)器上運行的操作系統平臺承載著(zhù)核心業(yè)務(wù)系統，對前端實(shí)時(shí)操作系統正常運行具有重要影響，在工控安全的整個(gè)架構里面，服務(wù)器操作系統平臺的安全是不可或缺的一部分。以國內某鋼廠(chǎng)為例，主要對其工控機、服務(wù)器系統及病毒軟件的安裝情況進(jìn)行了統計，如表1所示。

    該鋼廠(chǎng)共安裝工控機及服務(wù)器3 4 9 3 臺， 其中Window XP系統工控機及服務(wù)器2874臺，占82.28%；其中1706臺安裝了殺毒軟件，占48.84%；僅有322臺能及時(shí)對系統漏洞及殺毒軟件進(jìn)行更新。此外，通過(guò)對服務(wù)器有關(guān)數據運行情況的統計和分析，發(fā)現該公司還存在以下平臺信息安全隱患：缺乏對系統補丁或者更新的有效管理，部分系統應用補丁未經(jīng)過(guò)徹底測試，存在不穩定的現象；缺乏病毒及惡意代碼的防護機制，大部分工控設備病毒防護軟件及惡意代碼防護程序（51.16%）；病毒防護軟件種類(lèi)繁多（如趨勢、瑞星、卡巴斯基、360殺毒軟件并存），病毒庫及惡意代碼庫不能及時(shí)進(jìn)行更新，部分病毒及惡意代碼防護系統沒(méi)有得到充分測試（如部分安裝了360殺毒軟件的設備存在與控制系統不兼容的問(wèn)題）；部分關(guān)鍵配置未備份，重要數據未受保護存儲在移動(dòng)設備中等。

    由于Windows XP系統仍占據主導地位，而微軟公司從2014年4月8日之后已不再提供 Windows XP技術(shù)幫助，包括幫助保護電腦的自動(dòng)更新、MicrosoftSecurity Essentials（注：微軟開(kāi)發(fā)的免費防病毒軟件）下載服務(wù)，系統補丁、病毒防護系統及軟件漏洞不能得到及時(shí)維護，會(huì )使得工控機及服務(wù)器更容易受到安全風(fēng)險與病毒的攻擊，一旦受到攻擊，將會(huì )給企業(yè)的生產(chǎn)造成非常嚴重的影響。

    1.2　策略及流程安全

    作為信息安全的重要組成部分，制定滿(mǎn)足企業(yè)需求的安全策略，并依據策略制定管理流程，是確保冶金自動(dòng)化控制系統穩定運行的根本保障。由于冶金工業(yè)控制系統網(wǎng)絡(luò )的相對封閉性，不少企業(yè)更看重自動(dòng)化控制系統的實(shí)時(shí)性和可用性，而往往犧牲或者忽視了系統信息的安全性，所以無(wú)論公司高層還是基層管理、操作人員都要提高信息安全意識。特別是公司高層要對公司內部自動(dòng)化控制系統的信息安全進(jìn)行研究和部署，制定長(cháng)期、持久的信息安全策略；強化對職工信息安全培訓，設置專(zhuān)職固定的信息安全管理人員；根據安全策略制定正規的安全制度流程及安全審計機制，加強對現場(chǎng)操作人員的管理、檢查和考核。

    仍然存在中夜班職工在終端控制設備上看視頻、玩游戲，甚至非正規上互聯(lián)網(wǎng)的情況；在對現場(chǎng)工控機、PLC進(jìn)行調試時(shí)，不規范接入移動(dòng)電腦而造成系統因感染病毒而造成停機的事故時(shí)有發(fā)生；檢修時(shí)不規范的外聯(lián)設備，為外商不規范的開(kāi)通公網(wǎng)測試。安全策略缺失、管理不到位，很容易造成信息泄露、黑客攻擊、病毒入侵等安全問(wèn)題，嚴重時(shí)會(huì )導致自動(dòng)化控制系統整個(gè)網(wǎng)絡(luò )癱瘓。對這些問(wèn)題要做到防患于未然，真正做到“零容忍”。

    1.3　網(wǎng)絡(luò )安全

    冶金企業(yè)生產(chǎn)環(huán)境的控制網(wǎng)絡(luò )通常采用同一網(wǎng)段的以太網(wǎng)通訊連接，任何連接到網(wǎng)絡(luò )內的PC或操作站都能訪(fǎng)問(wèn)網(wǎng)絡(luò )中的PLC（或RTU），對PLC（或RTU）進(jìn)行操作甚至破壞PLC（或RTU）的組態(tài)程序，造成PLC（或RTU）的控制單元失靈或是現場(chǎng)設備停機乃至損毀。目前控制網(wǎng)絡(luò )中無(wú)任何隔離防護設備，如果操作站感染病毒，病毒將會(huì )輕易蔓延至整個(gè)網(wǎng)絡(luò )，可能會(huì )導致整個(gè)網(wǎng)絡(luò )數據堵塞或使操作站喪失操作能力，某些針對工業(yè)協(xié)議(如Modbus TCP)的病毒還可能會(huì )導致PLC控制單元死機，完全喪失控制能力。此外，部分控制系統網(wǎng)絡(luò )采用各種接入技術(shù)作為現有網(wǎng)絡(luò )的延伸，如無(wú)線(xiàn)和微波，這將引入一定的安全風(fēng)險，同時(shí)PLC等現場(chǎng)設備在維護時(shí)，也可能因不安全的串口連接（如筆記本、移動(dòng)U盤(pán)等不安全的移動(dòng)維護設備未授權接入）或缺乏有效的配置進(jìn)行有效性核查，而造成PLC（或RTU）設備運行參數被篡改，從而對整個(gè)冶金控制系統的運行造成危害。

    2　冶金自動(dòng)化控制系統信息安全風(fēng)險防范

    冶金企業(yè)的工控信息安全風(fēng)險防范，需要遵循冶金生產(chǎn)的行業(yè)特點(diǎn)，切實(shí)結合生產(chǎn)現狀和管理現狀，依據控制系統風(fēng)險分析及排序的結果，充分考慮風(fēng)險防范的成本投入，有效利用技術(shù)措施與管理措施，針對風(fēng)險防范的難易程度，采用分步實(shí)施的原則完成整體的風(fēng)險防范。

    2.1　平臺的升級、系統的加固與補丁管理

    針對現有Windows 7系統占絕大多數的現狀，在積極制定系統平臺升級計劃的同時(shí)，更重要的是采取必要的控制措施，確?，F有的系統平臺能夠安全穩定運行。

    （1）聯(lián)合工控系統設備商及信息服務(wù)商對工控設備的運行平臺進(jìn)行開(kāi)發(fā)，確保工控系統能夠在更高一級的系統平臺上（Windows 7及Server 2008系統）安全運行，有計劃分批次對現有的Windows XP及Server2003系統進(jìn)行升級，確保運行平臺的安全。對微軟公司不提供WinXP技術(shù)支持的具體情況，要及早采取措施，主動(dòng)應對強化管理。

    （2）加強連接管理，所有工控機及服務(wù)器采用物理隔離策略，斷絕同外網(wǎng)的連接；嚴格控制USB口，禁止使用U盤(pán)、移動(dòng)硬盤(pán)、無(wú)線(xiàn)上網(wǎng)設備等手段，確保工控系統安全。

    （3）同工控設備的供應商溝通，在保證工控系統可用性的前提下，必須安裝殺毒軟件，定期對殺毒軟件進(jìn)行升級，對病毒庫進(jìn)行更新，殺毒軟件的升級要通過(guò)下載病毒庫升級包，并刻錄成光盤(pán)，進(jìn)行離線(xiàn)升級；所有拷貝數據通過(guò)光盤(pán)刻錄方式來(lái)防止計算機病毒的感染。

    （4）對工控機及服務(wù)器按照重要程度進(jìn)行分解管理，重要工控系統計算機的程序定期通過(guò)專(zhuān)用移動(dòng)存儲設備或專(zhuān)用備份硬盤(pán)進(jìn)行備份；部分關(guān)鍵工控設備（如重要崗位一級、二級服務(wù)器）需配置備用服務(wù)器，并安裝相同的軟件，同時(shí)落實(shí)應急支撐隊伍，確保一旦出現事故能夠盡快恢復生產(chǎn)。

    2.2　按照縱深防御的理念，逐步建立基于工控信息全生命周期的安全管控體系

    縱深防御就是通過(guò)設置多層重疊的安全防護系統而構成多道防線(xiàn)，使得即使某一防線(xiàn)失效也能被其它防線(xiàn)彌補或糾正。它包括將工控設備在網(wǎng)絡(luò )上與其它不必要相聯(lián)的系統斷開(kāi)，維護防火墻的完整性，建立安全策略與流程，進(jìn)行網(wǎng)絡(luò )分區與（控制單元間的）邊界防護，建立安全的單元間通信，惡意軟件的檢測與防護，訪(fǎng)問(wèn)控制與賬號管理，記錄設備訪(fǎng)問(wèn)日志，并進(jìn)行必要的審計等內容?？v深防御策略的目標有兩個(gè)：一是即使在某一點(diǎn)發(fā)生網(wǎng)絡(luò )安全事故，也能保證裝置或工廠(chǎng)的正常安全穩定運行；工廠(chǎng)操作人員能夠及時(shí)準確地確認故障點(diǎn)，并排除問(wèn)題。

    為實(shí)現這一目標，應從自動(dòng)化控制系統安全體系架構設計、自動(dòng)化控制系統的供應鏈安全、自動(dòng)化控制系統上線(xiàn)前的安全檢查、自動(dòng)化控制系統的安全運維與管理等方面進(jìn)行綜合、全面考慮，逐步建立基于工控信息全生命周期的安全管控體系。

    （1）自動(dòng)化控制系統安全體系架構設計

    應把信息安全融入到自動(dòng)化控制系統的整體設計之中，在對冶金自動(dòng)化控制系統安全需求進(jìn)行系統分析，制定相應的安全規劃；對工控系統進(jìn)行風(fēng)險評估，切合實(shí)際地識別出該系統的安全脆弱性，面臨的安全威脅，以及風(fēng)險的來(lái)源的基礎上，借助于產(chǎn)品安全、安全操作指南以及專(zhuān)業(yè)的工業(yè)安全服務(wù)，建立、部署層次化的多重安全措施，如通過(guò)防火墻、隔離網(wǎng)閘等網(wǎng)關(guān)類(lèi)安全設備實(shí)現自動(dòng)控制系統與其它信息系統間的有效隔離，并通過(guò)系統準入機制，確保系統訪(fǎng)問(wèn)者的可信身份及使用設備的安全性等。

    （2）自動(dòng)化控制系統的供應鏈安全

    應將自動(dòng)化控制系統的供應鏈安全作為工業(yè)控制系統信息安全防護體系的組成部分，以防工業(yè)控制系統及其組件遭受因供應鏈安全所造成的威脅。目前國內主要的冶金企業(yè)鋼廠(chǎng)都無(wú)一例外地安裝使用了西門(mén)子、羅克韋爾自動(dòng)化、ABB、TEMIC（東芝三菱）、yaskawa（日本安川）等公司生產(chǎn)的自動(dòng)化控制系統及組件，一旦環(huán)境發(fā)生變化，自動(dòng)化備件的采購及現場(chǎng)工控系統的維護就有可能受到嚴重威脅。此外，部分規模較小的供應商對產(chǎn)品存在的缺陷和安全認識不足，對出現的安全問(wèn)題不能做到快速響應。因此在對工控系統及組件進(jìn)行采購時(shí)，要充分考慮政治因素，并在采購合同中對系統的預期運行環(huán)境、系統的安全性能、安全保障等提出明確的要求。

    （3）自動(dòng)化控制系統上線(xiàn)前的安全檢查
 

    自動(dòng)化控制系統、系統組件或設備在上線(xiàn)運行前，應使用專(zhuān)門(mén)的工具（或通過(guò)第三方測評機構）對其中可能存在的安全隱患進(jìn)行相應的安全檢測（包括但不限于漏洞掃描、配置核查、無(wú)線(xiàn)網(wǎng)絡(luò )的安全評估以及后門(mén)探測等），期望通過(guò)上線(xiàn)前安全檢測能夠及時(shí)發(fā)現潛在的安全隱患，進(jìn)而通過(guò)系統加固、優(yōu)化安全配置及安全防護策略等手段盡可能避免因自動(dòng)化控制系統自身的缺陷所帶來(lái)的安全威脅。從工業(yè)控制系統上線(xiàn)前的安全檢查開(kāi)始，把信息安全融入到正常的驗收體系中，除了功能性安全驗收外，信息安全驗收也要作為工業(yè)控制系統（系統組件或設備）能否正常上線(xiàn)的一個(gè)重要評估依據。

    （4）自動(dòng)化控制系統日常運行及維護管理

    在冶金自動(dòng)化控制系統的日常運行階段，應建立相應的人員安全管理制度及安全意識培訓機制，明確系統操作、管理人員的職責及授權，建立相關(guān)人員的操作行為監管及審計機制，通過(guò)制度、管理和技術(shù)手段來(lái)規范系統相關(guān)人員的系統操作行為。

    對在線(xiàn)運行的自動(dòng)化控制系統，要制定明確的邊界控制及系統防護策略，嚴格管理所有可能的自動(dòng)化系統訪(fǎng)問(wèn)入口（如工控系統網(wǎng)絡(luò )禁止與公共網(wǎng)絡(luò )連接，如若必須連接時(shí)，要逐一進(jìn)行登記，采取設置防火墻、單向隔離等措施加以防護；禁止在工業(yè)控制系統和公共網(wǎng)絡(luò )之間交叉使用移動(dòng)存儲介質(zhì)以及便攜式計算機；封閉或拆除終端設備外接端口等）；要求終端設備（含服務(wù)器、計算機、打印機、掃描儀等）必須安裝正版操作系統及系統軟件，安裝必要的防病毒軟件；建立控制服務(wù)器等工業(yè)控制系統關(guān)鍵設備安全配置管理，對重點(diǎn)崗位的計算機系統必須設置使用權限及專(zhuān)人使用的保護機制，禁止非專(zhuān)業(yè)人員操作系統和不明軟件進(jìn)入系統；崗位重點(diǎn)計算機系統用戶(hù)必須定期與不定期地進(jìn)行文件備份工作，重要的數據要及時(shí)進(jìn)行備份，對于存放重要數據和程序的存儲介質(zhì)，要求將數據和程序分別存放，要貼有寫(xiě)保護簽，以防數據和程序被破壞或感染病毒；建立工業(yè)控制系統信息安全檢查、安全測評檢查和漏洞發(fā)布制度，盡早發(fā)現系統存在的潛在安全風(fēng)險，通過(guò)調整安全防護策略及安全整改實(shí)現對自動(dòng)化控制系統防護能力的提升。

    2.3　加強檢查，持續改進(jìn)

    要確保冶金自動(dòng)化控制系統的信息安全關(guān)鍵在于提高每名職工的信息安全防范意識，并確保各項制度流程的落實(shí)。因此在建立完善的信息安全防控體系的同時(shí)，還要加強對職工信息安全及防范技術(shù)的培訓，并建立對操作崗位人員合理的評價(jià)及考核機制，自動(dòng)化控制系統運行單位要從實(shí)際出發(fā)，定期組織開(kāi)展信息安全檢查，排查安全隱患，堵塞安全漏洞。

    3　兩點(diǎn)認識

    冶金自動(dòng)化控制系統信息安全不是一個(gè)單純的技術(shù)問(wèn)題，而是一個(gè)從意識培養開(kāi)始，涉及到管理、流程、架構、技術(shù)、產(chǎn)品等各方面的系統工程，需要自動(dòng)化控制系統的管理方、運營(yíng)方、集成商與組件供應商的共同參與，協(xié)同工作，并在整個(gè)工業(yè)基礎設施生命周期的各個(gè)階段持續實(shí)施，不斷改進(jìn)才能保障冶金設備產(chǎn)線(xiàn)的安全運營(yíng)。

    此外冶金自動(dòng)化控制系統是一個(gè)動(dòng)態(tài)的過(guò)程，設備變更、系統升級等都會(huì )導致冶金自動(dòng)化控制系統自身處于動(dòng)態(tài)演化之中，而各種安全威脅、安全攻擊技術(shù)的復雜性和技巧性也在不斷演變，防范難度也會(huì )與日俱增，因此在冶金自動(dòng)化控制系統信息安全也無(wú)法達到100%，信息安全需要冶金自動(dòng)化控制系統生命周期的各個(gè)階段中持續實(shí)施、不斷改進(jìn)。

    作者簡(jiǎn)介

    繆明軍，男，畢業(yè)于哈爾濱工業(yè)大學(xué)，碩士，高級工程師，現任首鋼總公司設備部設備技術(shù)處處長(cháng)，主要負責首鋼自動(dòng)化設備技術(shù)管理。

    摘自 工業(yè)控制系統信息安全專(zhuān)刊