1　引言

隨著(zhù)信息技術(shù)的迅猛發(fā)展，工業(yè)控制系統在控制規模、控制技術(shù)和信息共享方面都有巨大的變化，由最初簡(jiǎn)單控制的封閉系統發(fā)展成現在復雜或者先進(jìn)控制的開(kāi)放系統，針對工業(yè)控制系統的網(wǎng)絡(luò )攻擊事件日益增多，石油化工、冶金、電力、軌道交通、煙草等國家重點(diǎn)行業(yè)面臨前所未有的網(wǎng)絡(luò )安全威脅。本文將結合典型行業(yè)特點(diǎn)，從網(wǎng)絡(luò )、控制、應用和數據等方面，對工業(yè)控制系統信息安全現狀及存在的信息安全隱患進(jìn)行分析。

2　石化行業(yè)特點(diǎn)

2.1　行業(yè)背景

石化行業(yè)信息化建設具有較好的基礎，企業(yè)在管理層的指揮、協(xié)調和監控能力，上傳下達的實(shí)時(shí)性、完整性和一致性都有很大提升，相應的網(wǎng)絡(luò )安全防護情況也有了明顯改善。隨著(zhù)石化企業(yè)管控一體化的推進(jìn)，越來(lái)越多的工控系統通過(guò)信息網(wǎng)連接到互聯(lián)網(wǎng)上，潛在的安全威脅與之俱增。2017年，中石化發(fā)布《關(guān)于加強工業(yè)控制系統安全防護的指導意見(jiàn)》，從安全配置、邊界安全防護、安全監測、風(fēng)險預警等方面對工控系統提出安全防護要求。

石化行業(yè)涉及互聯(lián)網(wǎng)及集團網(wǎng)、管理網(wǎng)、生產(chǎn)網(wǎng)三層網(wǎng)絡(luò )架構，包含采油、煉油、輸油等生產(chǎn)環(huán)節。生產(chǎn)區域一般按照不同的生產(chǎn)工藝，以裝置為單位進(jìn)行生產(chǎn)區域劃分，各生產(chǎn)區域內的工業(yè)控制系統一般包括：分布式控制系統（DCS）、可編程邏輯控制器（PLC）、安全儀表系統（SIS）、火災及可燃氣體報警系統（FGS）、SCADA系統等。石化行業(yè)工業(yè)控制系統注重安全、穩定、長(cháng)期、滿(mǎn)負荷、優(yōu)質(zhì)的運行，且相互關(guān)聯(lián)、相互依存。

2.2　存在的安全隱患

（1）裝置品牌眾多，安全運維困難。煉化采用DCS，倉儲采用PLC，管輸采用SCADA系統，各生產(chǎn)區域工控系統的品牌不一，難以統一管理，且控制設備種類(lèi)繁多、國產(chǎn)化率較低、系統運行維護困難，無(wú)法做到安全自主可控。

（2）各層網(wǎng)絡(luò )間無(wú)隔離防護。企業(yè)的控制網(wǎng)絡(luò )系統復雜多樣，缺乏必要的安全邊界及區域功能劃分，過(guò)程控制層與數據采集層，先進(jìn)控制（APC）系統與過(guò)程控制網(wǎng)，控制器與操作員站（工程師站），缺少訪(fǎng)問(wèn)控制措施。一旦系統某節點(diǎn)出現病毒、木馬等問(wèn)題，會(huì )迅速蔓延至整個(gè)網(wǎng)絡(luò )。

（3）工程師站缺少身份認證機制。工程師站一般情況下只有管理員賬戶(hù)，對操作員站、DCS控制器的組態(tài)行為通常缺乏身份認證，由于擁有最高操作權限，可以任意修改控制邏輯和流程，存在對現場(chǎng)設備直接組態(tài)的重大隱患。

（4）APC系統本身未加裝任何安全防護。在項目工程師安裝、調試和修改期間，APC系統需要頻繁與外部進(jìn)行數據交換，感染病毒的風(fēng)險較高。一旦APC系統出現感染木馬、病毒等問(wèn)題，實(shí)時(shí)運行的控制系統安全將無(wú)法保障。

3　冶金行業(yè)特點(diǎn)

3.1　行業(yè)背景

冶金行業(yè)信息化程度逐漸提高，但主流控制系統大部分裝置是國外品牌，安全自主可控難以實(shí)現。隨著(zhù)兩化融合的推進(jìn)，絕大多數工控系統與企業(yè)管理信息系統處于同一網(wǎng)絡(luò )平面，加上內網(wǎng)系統的遠程運維需求及對U盤(pán)等外設的接入需求，致使工控網(wǎng)絡(luò )邊界安全和內網(wǎng)工業(yè)主機安全不受控。2016年，中國鋼鐵工業(yè)協(xié)會(huì )下發(fā)《關(guān)于做好防范PLC-Blaster蠕蟲(chóng)病毒工作的通知》，強調廣泛應用于鋼鐵行業(yè)的西門(mén)子S7系列PLC設備是該病毒的主要攻擊目標，潛在威脅極大，需結合自身實(shí)際情況組織針對性防范。

3.2　存在的安全隱患

（1）生產(chǎn)控制網(wǎng)絡(luò )及系統未分層、分區。分廠(chǎng)控制網(wǎng)絡(luò )通常采用同一網(wǎng)段，現場(chǎng)PLC、DCS等重要控制設備缺少安全防護，同時(shí)各分廠(chǎng)控制網(wǎng)與骨干環(huán)網(wǎng)、生產(chǎn)監控網(wǎng)與辦公網(wǎng)之間缺乏隔離防護措施，無(wú)法將惡意代碼、非法操作等行為控制在安全區域內。

（2）通信協(xié)議多樣，難以保障數據采集安全。由于控制流程復雜、設備種類(lèi)繁多，采用的通信協(xié)議復雜多樣，數據和接口類(lèi)型千差萬(wàn)別，數據集中管理與維護難度較大，無(wú)法保證各采集平臺的數據完整性。

（3）缺少安全監測和審計措施。操作和管理人員的技術(shù)水平不一、安全意識不足，容易出現越權訪(fǎng)問(wèn)、違規操作等情況，由于系統缺乏對用戶(hù)操作行為的審計和監控，無(wú)法及時(shí)發(fā)現非法訪(fǎng)問(wèn)、操作異常、惡意攻擊等行為，給生產(chǎn)系統埋下極大的安全隱患。

（4）無(wú)法對網(wǎng)絡(luò )安全事件進(jìn)行報警或追蹤。大多數控制系統缺少日志分析與事件報警功能，安全事件發(fā)生時(shí)，系統不能對網(wǎng)絡(luò )故障進(jìn)行預警或報警，且無(wú)法追蹤和定位事件的源頭，針對性安全防護工作也就無(wú)從下手。

4　電力行業(yè)特點(diǎn)

4.1　行業(yè)背景

電力行業(yè)作為工業(yè)控制領(lǐng)域信息安全防護建設的先行者，已在信息安全防護建設方面積累了大量經(jīng)驗：電力企業(yè)在電力監控系統安全防護體系建設過(guò)程中始終堅持自主可控的原則，研究信息隔離與交換、縱向加密認證等多項專(zhuān)用安全防護技術(shù)，進(jìn)而形成了多項信息安全行業(yè)技術(shù)規范和標準；針對關(guān)鍵產(chǎn)品進(jìn)行自主研發(fā)，并統一組織進(jìn)行嚴格測試，保證關(guān)鍵系統的安全自主可控；各電力企業(yè)相繼建立了信息安全相關(guān)組織體系，建成了較為完善的信息安全管理制度，包括信息安全總體安全防護策略、管理辦法、信息通報和應急處置制度，涵蓋了信息安全活動(dòng)的主要方面；總結形成了“安全分區、網(wǎng)絡(luò )專(zhuān)用、橫向隔離、縱向認證”的信息安全防護策略，建立了多技術(shù)層面的防護體系，做到了物理、網(wǎng)絡(luò )、終端和數據的多角度、全方面保護。

4.2　存在的安全隱患

（1）未建立工業(yè)控制主機和設備的安全配置策略。多數工業(yè)主機上未安裝防病毒或白名單軟件，且系統中存在大量USB存儲設備使用記錄，未通過(guò)主機外設安全管理技術(shù)手段實(shí)施訪(fǎng)問(wèn)控制，工業(yè)控制系統關(guān)鍵設備均未采用多因素認證方式。安全設備配置不合理，防火墻規則和路由器配置不當容易引發(fā)通信安全風(fēng)險，訪(fǎng)問(wèn)控制規則配置不正確的防火墻可能許可不必要的網(wǎng)絡(luò )數據傳輸，如在企業(yè)網(wǎng)和控制網(wǎng)之間進(jìn)行數據交換，可能導致惡意攻擊或惡意代碼在系統網(wǎng)絡(luò )的傳播，重要工業(yè)數據容易被竊聽(tīng)。

（2）電力系統對時(shí)序要求嚴格，容易出現傳輸延遲等問(wèn)題。SCADA和自動(dòng)化控制系統對受控對象的直接操作具有高度時(shí)效性，不允許發(fā)生重大延遲和系統震蕩，以變電站運作為例，觸發(fā)電路開(kāi)關(guān)延遲可能導致功率波動(dòng)甚至停電。如果惡意攻擊者頻繁發(fā)起常見(jiàn)請求，即使防火墻能夠阻止未授權的請求，但在數據處理能力不足、帶寬受限的情況下，也會(huì )引起網(wǎng)絡(luò )延遲，難以滿(mǎn)足傳輸的實(shí)時(shí)性要求。

（3）系統各種業(yè)務(wù)的應用程序缺少驗證機制。多數電力工業(yè)控制設備缺乏身份驗證機制，即便有，大部分也為設備供應商默認的用戶(hù)名和密碼，極易被猜到或破解，一般不會(huì )定期更換密碼，同時(shí)應用系統的資源（如文件、數據庫表等）存在被越權使用的風(fēng)險。對關(guān)鍵設備和組件缺少冗余配置，導致應用程序對故障的檢測、處理和恢復能力不足，缺少對程序界面輸入內容或是注入攻擊的驗證，如SQL注入攻擊等，系統數據庫存在泄漏的風(fēng)險。

（4）管理信息大區積累大量電力敏感數據，存在泄漏或被篡改的風(fēng)險。不僅僅是居民的用電數據，個(gè)人信息也存儲在電力數據庫中，電力調度、檢修、運維等數據極易被批量查詢(xún)，從而導出個(gè)人敏感信息，缺乏對敏感字符的過(guò)濾機制將帶來(lái)安全風(fēng)險。同時(shí)電力數據通常不進(jìn)行定期備份，如果發(fā)生人為誤操作導致數據更改或刪除，或是數據庫自身出現故障、服務(wù)器宕機，數據存儲安全性難以保證。

5　軌交行業(yè)特點(diǎn)

5.1　行業(yè)背景

隨著(zhù)計算機和網(wǎng)絡(luò )技術(shù)的發(fā)展，特別是信號系統信息化的深度集成，CBTC系統產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與PIS網(wǎng)絡(luò )、語(yǔ)音廣播等其他子系統互聯(lián)，甚至與公共網(wǎng)絡(luò )連接，導致病毒、木馬等威脅向CBTC系統擴散。一旦CBTC系統出現信息安全問(wèn)題，將對城市軌道交通的穩定運行和乘客的人身安全產(chǎn)生重大影響。某地軌道交通運營(yíng)公司在《軌道交通信息安全技術(shù)架構》中提出信息安全建設的總體目標為：全面防護、保護重點(diǎn)、專(zhuān)區專(zhuān)用、強化邊界，旨在提升信息安全的預警能力、保障能力、檢測能力、應急能力和恢復能力。要求以GB/T 22239為基礎，以“安全分區、網(wǎng)絡(luò )專(zhuān)用、三網(wǎng)隔離、分級防護”為原則，在技術(shù)層面要求各系統統一技術(shù)架構和標準，按相應等級要求建設、實(shí)施。

5.2　存在的安全隱患

（1）現場(chǎng)環(huán)境嚴苛，網(wǎng)絡(luò )設備存在被動(dòng)適應安全隱患。軌交現場(chǎng)的機電一體化設備通常部署在較為苛刻的環(huán)境中，傳統的網(wǎng)絡(luò )安全設備難以穩定運行，因此無(wú)法保證工業(yè)網(wǎng)絡(luò )及控制系統的信息安全?？量痰沫h(huán)境條件包括極端的溫度、EMC、EMI等，其對傳統網(wǎng)絡(luò )安全設備造成的破壞可能比惡意程序或代碼的攻擊更為嚴重。

（2）無(wú)線(xiàn)通信安全性亟待加強。信號系統的無(wú)線(xiàn)信號是開(kāi)放的，軌旁無(wú)線(xiàn)與列車(chē)通信鏈路采用同一頻段，可能出現用戶(hù)未經(jīng)授權非法接入信號系統、數據在傳輸過(guò)程中被監聽(tīng)竊取等問(wèn)題。無(wú)線(xiàn)網(wǎng)絡(luò )的開(kāi)放性增加了無(wú)線(xiàn)設備配置的安全風(fēng)險，無(wú)線(xiàn)網(wǎng)加密機制存在安全隱患。

（3）軌交列控系統存在移動(dòng)媒介、以太網(wǎng)接口以及設備接入隱患。工業(yè)主機大量使用外設接口，安全管理技術(shù)手段欠缺，存在USB協(xié)議、U盤(pán)運行、U盤(pán)固件設計隱患；多數交換機、工控機等設備中存在未使用且開(kāi)放的端口，各種系統及設備接入缺乏訪(fǎng)問(wèn)控制措施。

（4）數據庫安全隱患。管理方式不當、操作系統故障及軟件故障都會(huì )導致軌道交通子系統性能的下降，影響系統的可用性；獲得系統控制權限的攻擊者可能接觸到數據庫，缺省密碼或弱密碼易導致關(guān)鍵控制數據被篡改或者喪失，或列車(chē)失去控制，嚴重甚至導致人員傷亡。

6　行業(yè)共性問(wèn)題

（1）未進(jìn)行安全域劃分，安全邊界模糊。大多數行業(yè)的工控系統各子系統之間沒(méi)有隔離防護，未根據區域重要性和業(yè)務(wù)需求對工控網(wǎng)絡(luò )進(jìn)行安全區域劃分，系統邊界不清晰，邊界訪(fǎng)問(wèn)控制策略缺失，重要網(wǎng)段和其他網(wǎng)段之間缺少有效的隔離手段，一旦出現網(wǎng)絡(luò )安全事件，安全威脅無(wú)法控制在特定區域內。

（2）操作系統存在漏洞，主機安全防護不足。工程師站和操作員站一般是基于Windows平臺，包括NT4.0、2000、XP、Win7、Server2003等，考慮到殺毒軟件和系統補丁可能對控制系統的穩定運行造成影響，即便安裝殺毒軟件也存在病毒庫過(guò)期等問(wèn)題，因此通常不安裝或運行殺毒軟件，系統補丁在特殊情況下才進(jìn)行更新或升級。同時(shí)，移動(dòng)存儲介質(zhì)和軟件運行權限管理缺失，控制系統極易感染病毒。

（3）通信協(xié)議的安全性考慮不足，容易被攻擊者利用。專(zhuān)用的工控通信協(xié)議或規約在設計之初一般只考慮通信的實(shí)時(shí)性和可用性，很少或根本沒(méi)有考慮安全性問(wèn)題，例如缺乏強度足夠的認證、加密或授權措施等，特別是工控系統中的無(wú)線(xiàn)通信協(xié)議，更容易受到中間人的竊聽(tīng)和欺騙性攻擊。為保證數據傳輸的實(shí)時(shí)性，Modbus/TCP、OPC Classic、IEC60870-5-104、DNP 3.0、Profinet、EtherNet/IP等工控協(xié)議多采用明文傳輸，易于被劫持和修改。

（4）安全策略和管理制度不完善，人員安全意識不足。目前大多數行業(yè)尚未形成完整合理的信息安全保障制度和流程，對工控系統規劃、設計、建設、運維、評估等階段的信息安全需求考慮不充分，配套的事件處理流程、人員責任體制、供應鏈管理機制有所欠缺。同時(shí)，缺乏工控安全宣傳和培訓，對人員安全意識的培養不夠重視，工控系統經(jīng)常會(huì )接入各種終端設備，感染病毒、木馬等的風(fēng)險極大，給系統安全可靠運行埋下隱患。

7　結語(yǔ)

工業(yè)控制系統信息安全事關(guān)工業(yè)生產(chǎn)運行、國家經(jīng)濟安全和人民生命財產(chǎn)安全，保障系統信息安全是維護工業(yè)控制系統穩定運行的重要前提，是開(kāi)展工業(yè)建設的堅實(shí)基礎。針對不同的工業(yè)控制系統信息安全需求及系統運行情況，選擇恰當的安全防護措施，全方位地對工業(yè)控制系統的安全風(fēng)險進(jìn)行分析和評估，才能確保各行業(yè)網(wǎng)絡(luò )的安全、可靠，避免信息安全隱患造成不可預估的損失。

★資助項目：本文受分布式控制系統（DCS）安全仿真測試平臺建設、行業(yè)信息物理系統測試驗證解決方案推廣以及信息物理系統共性關(guān)鍵技術(shù)測試驗證平臺建設與應用推廣項目的資助。

作者簡(jiǎn)介

甘俊杰（1993-），男，碩士，畢業(yè)于北京郵電大學(xué)，現就職于中國電子技術(shù)標準化研究院，主要從事工業(yè)信息安全方面的研究。

夏　冀，男，工程師，現就職于中國電子技術(shù)標準化研究院信息安全研究中心，主要從事工業(yè)信息安全標準研制工作。

李　琳，男，博士，現任中國電子技術(shù)標準化研究院工程師，工業(yè)控制系統安全標準和測評工業(yè)和信息化部重點(diǎn)實(shí)驗室技術(shù)總監。

參考文獻：

[1] 孟雅輝, 楊金城. 石油化工行業(yè)工業(yè)控制系統信息安全技術(shù)綜述[J]. 石油化工自動(dòng)化, 2018 ( 1 ).

[2] 付相松, 王維濤. 石化行業(yè)工業(yè)控制系統信息安全問(wèn)題研究[J]. 石油化工自動(dòng)化, 2018 ( 2 ).

[3] 許海峰, 靳靜, 叢力群. 冶金行業(yè)工業(yè)控制信息安全系統淺析[J]. 自動(dòng)化儀表, 2015, 36 ( 9 ) : 1.

[4] 張盛杰, 顧昊旻, 李祉岐, 等. 電力工業(yè)控制系統信息安全風(fēng)險分析與應對方案[J]. 電力信息與通信技術(shù), 2017( 4 ) : 96 - 102.

[5] 馬曉峰. 軌道交通自動(dòng)化系統信息安全應用淺析[J]. 信息安全與技術(shù), 2016, 7 ( 3 ) : 84 - 86.

[6] 陶偉. 城市軌道交通信號系統信息安全問(wèn)題研究[J]. 城市軌道交通研究, 2018, ( S1 ).

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》