工業(yè)控制系統(tǒng)信息安全現(xiàn)狀與發(fā)展趨勢(shì)分析

摘要：信息化與工業(yè)化深度融合是我國(guó)實(shí)施制造強(qiáng)國(guó)戰(zhàn)略行動(dòng)綱領(lǐng)《中國(guó)制造2025》的戰(zhàn)略任務(wù)和重點(diǎn)之一，隨著兩化深度融合的快速推進(jìn)，工業(yè)控制系統(tǒng)正面臨著的信息安全威脅。文章基于工業(yè)控制系統(tǒng)層次結(jié)構(gòu)以及工業(yè)安全事件信息庫(kù)RISI統(tǒng)計(jì)的工業(yè)控制系統(tǒng)安全事件，對(duì)國(guó)內(nèi)外工業(yè)控制系統(tǒng)信息安全問(wèn)題現(xiàn)狀做了詳細(xì)闡述和分析，總結(jié)了國(guó)內(nèi)外工業(yè)控制系統(tǒng)信息安全相關(guān)措施及未來(lái)的發(fā)展趨勢(shì)。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；信息安全；兩化融合；RISI

1　引言

工業(yè)控制系統(tǒng)（ICS）是包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)（SCADA）、分布控制系統(tǒng)（DCS）等多種類(lèi)型控制系統(tǒng)的總稱(chēng)[1]。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，尤其是工業(yè)化和信息化的深度融合以及物聯(lián)網(wǎng)的快速推進(jìn)，現(xiàn)代工業(yè)控制系統(tǒng)已經(jīng)成為電力、石油化工、核工業(yè)、航天、鐵路、水處理等國(guó)家關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的核心控制系統(tǒng)、中樞神經(jīng)。與此同時(shí)，隨著企業(yè)管理層對(duì)生產(chǎn)過(guò)程數(shù)據(jù)的日益關(guān)注，工業(yè)控制系統(tǒng)廣泛采用通用軟硬件和網(wǎng)絡(luò)設(shè)施，以及與企業(yè)管理信息系統(tǒng)的集成，傳統(tǒng)信息網(wǎng)絡(luò)所面臨的病毒、木馬、入侵攻擊、拒絕服務(wù)等安全威脅已經(jīng)逐步向工業(yè)控制系統(tǒng)擴(kuò)散，工業(yè)控制系統(tǒng)固有漏洞和攻擊面日益增加，另外，工業(yè)控制系統(tǒng)漏洞發(fā)現(xiàn)、攻擊技術(shù)和攻擊人員能力正不斷增強(qiáng)，工業(yè)控制系統(tǒng)信息安全形勢(shì)越發(fā)嚴(yán)峻。本文在分析工業(yè)控制系統(tǒng)層次結(jié)構(gòu)及安全因素的基礎(chǔ)上，結(jié)合典型工業(yè)控制系統(tǒng)安全事件，對(duì)該領(lǐng)域的現(xiàn)狀及未來(lái)發(fā)展趨勢(shì)做出了詳細(xì)闡述和分析。

2　工業(yè)控制系統(tǒng)層次結(jié)構(gòu)

目前，典型的工業(yè)控制系統(tǒng)層次結(jié)構(gòu)可分為三層：企業(yè)管理層、數(shù)據(jù)信息層和現(xiàn)場(chǎng)設(shè)備層，如圖1所示。企業(yè)管理層主要是辦公自動(dòng)化系統(tǒng)，一般使用通用以太網(wǎng)，可以從數(shù)據(jù)信息層提取有關(guān)生產(chǎn)數(shù)據(jù)用于制定綜合管理決策。數(shù)據(jù)信息層主要是從現(xiàn)場(chǎng)層獲取數(shù)據(jù)，完成各種控制、運(yùn)行參數(shù)的監(jiān)測(cè)、報(bào)警和趨勢(shì)分析等功能。現(xiàn)場(chǎng)設(shè)備層負(fù)責(zé)通過(guò)組態(tài)設(shè)汁，完成工業(yè)現(xiàn)場(chǎng)的數(shù)據(jù)采集、A/D轉(zhuǎn)換、數(shù)字濾波、溫度壓力補(bǔ)償、PID控制等各種功能[2]。

圖1 工業(yè)控制系統(tǒng)層次結(jié)構(gòu)圖

現(xiàn)代工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中大量采用通用TCP/IP技術(shù)，ICS網(wǎng)絡(luò)和企業(yè)管理網(wǎng)的越來(lái)越緊密。另一方面，傳統(tǒng)工業(yè)控制系統(tǒng)采用的硬件、軟件和通信協(xié)議，設(shè)計(jì)上基本沒(méi)有考慮互聯(lián)互通所必須考慮的通信安全問(wèn)題。從工業(yè)控制系統(tǒng)的層次結(jié)構(gòu)看，公用網(wǎng)絡(luò)連接處均是安全威脅的切入點(diǎn)，傳統(tǒng)工業(yè)控制系統(tǒng)普遍缺乏有效的工業(yè)安全防御及數(shù)據(jù)通信保密措施。特別是隨著信息化的推動(dòng)和工業(yè)化進(jìn)程的加速，越來(lái)越多的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)，在為工業(yè)生產(chǎn)帶來(lái)極大推動(dòng)作用的同時(shí)也帶來(lái)了諸如木馬、病毒、網(wǎng)絡(luò)攻擊等安全問(wèn)題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護(hù)功能都很弱或者甚至幾乎沒(méi)有隔離功能，因此在工控系統(tǒng)開(kāi)放的同時(shí)，也減弱了控制系統(tǒng)與外界的隔離，工控系統(tǒng)的安全隱患問(wèn)題日益嚴(yán)峻。

3　工業(yè)控制系統(tǒng)信息安全現(xiàn)狀

3.1　現(xiàn)狀分析

根據(jù)工業(yè)安全事件信息庫(kù)RISI（Repository of Industrial Security Incidents）的統(tǒng)計(jì)，截止2011年，已發(fā)生200余起針對(duì)工業(yè)控制系統(tǒng)的重大攻擊事件，尤其在2000年之后，隨著通用協(xié)議、通用硬件、通用軟件在工業(yè)控制系統(tǒng)中的應(yīng)用，對(duì)過(guò)程控制和數(shù)據(jù)采集監(jiān)控系統(tǒng)的攻擊增長(zhǎng)了近10倍[3]。

針對(duì)工業(yè)控制系統(tǒng)的攻擊主要威脅其物理安全、功能安全和系統(tǒng)信息安全，以達(dá)到直接破壞控制器、通信設(shè)備，篡改工業(yè)參數(shù)指令或入侵系統(tǒng)破壞生產(chǎn)設(shè)備和生產(chǎn)工藝、獲取商業(yè)信息等目的。

對(duì)于工業(yè)控制系統(tǒng)破壞主要來(lái)自于對(duì)工控系統(tǒng)的非法入侵，目前此類(lèi)事件已頻繁發(fā)生在電力、水利、交通、核能、制造業(yè)等領(lǐng)域，給相關(guān)企業(yè)造成重大的經(jīng)濟(jì)損失，甚至威脅國(guó)家的戰(zhàn)略安全。以下是各行業(yè)典型的工業(yè)控制系統(tǒng)（ICS）遭入侵事件。

2000年，黑客在加斯普羅姆（Gazprom）公司（俄羅斯國(guó)營(yíng)天然氣工業(yè)股份公司）內(nèi)部人員的幫助下突破了該公司的安全防護(hù)網(wǎng)絡(luò)，通過(guò)木馬程序修改了底層控制指令，致使該公司的天然氣流量輸出一度控制在外部用戶(hù)手中，對(duì)企業(yè)和國(guó)家造成了巨大的經(jīng)濟(jì)損失。

2000年3月，澳大利亞昆士蘭新建的Maroochy污水處理廠(chǎng)出現(xiàn)故障，無(wú)線(xiàn)連接信號(hào)丟失，污水泵工作異常，控制系統(tǒng)被一位前工程師通過(guò)一臺(tái)手提電腦和一個(gè)無(wú)線(xiàn)發(fā)射器侵入，控制了150個(gè)污水泵站，前后三個(gè)多月，總計(jì)有100萬(wàn)公升的污水未經(jīng)處理直接經(jīng)雨水渠排入自然水系，導(dǎo)致當(dāng)?shù)丨h(huán)境受到嚴(yán)重破壞。

2003年，美國(guó)俄亥俄州的戴維斯-貝斯（Davis Besse）核電站進(jìn)行維修時(shí)，由于施工商在進(jìn)行常規(guī)維護(hù)時(shí)，自行搭接對(duì)外連接線(xiàn)路，以方便工程師在廠(chǎng)外進(jìn)行維護(hù)工作，結(jié)果當(dāng)私人電腦接入核電站網(wǎng)絡(luò)時(shí)，將電腦上攜帶的SQL Server蠕蟲(chóng)病毒傳入核電站網(wǎng)絡(luò)，致使核電站的控制網(wǎng)絡(luò)全面癱瘓，系統(tǒng)停機(jī)將近5小時(shí)。

2005年，13家美國(guó)汽車(chē)廠(chǎng)（尤其是佳士拿汽車(chē)工廠(chǎng)）由于被蠕蟲(chóng)感染而被迫關(guān)閉，50000名生產(chǎn)工人被迫停止工作，直接經(jīng)濟(jì)損失超過(guò)140萬(wàn)美元[3]。

2006年8月，美國(guó)Browns Ferry核電站，因其控制網(wǎng)絡(luò)上的通信信息過(guò)載，導(dǎo)致控制水循環(huán)系統(tǒng)的驅(qū)動(dòng)器失效，使反應(yīng)堆處于“高功率，低流量”的危險(xiǎn)狀態(tài)，核電站工作人員不得不全部撤離，直接經(jīng)濟(jì)損失達(dá)數(shù)百萬(wàn)美元。

2007年，攻擊者入侵加拿大的一個(gè)水利SCADA控制系統(tǒng)，通過(guò)安裝惡意軟件破壞了用于控制薩克拉門(mén)托河河水調(diào)度的控制計(jì)算機(jī)系統(tǒng)。

2008年，攻擊者入侵波蘭羅茲（LodZ）市的城市鐵路系統(tǒng)，用一個(gè)電視遙控器改變了軌道扳道器的運(yùn)行，導(dǎo)致四節(jié)車(chē)廂脫軌。

2010年6月，德國(guó)安全專(zhuān)家發(fā)現(xiàn)可攻擊工業(yè)控制系統(tǒng)的Suxnet病毒，截止9月底，該病毒感染了超過(guò)45000個(gè)網(wǎng)絡(luò)，其中伊朗為嚴(yán)重，直接造成其核電站推遲發(fā)電。

我國(guó)同樣遭受著工業(yè)控制系統(tǒng)信息安全漏洞的困擾，比如2010年齊魯石化、2011年大慶石化煉油廠(chǎng)，某裝置控制系統(tǒng)分別感染Conficker病毒，都造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度的中斷[5]。

通過(guò)相關(guān)工控事件案例分析可以發(fā)現(xiàn)，導(dǎo)致工業(yè)控制系統(tǒng)安全問(wèn)題日益加劇的原因有以下幾點(diǎn)。

（1）工業(yè)控制系統(tǒng)自身有漏洞、防護(hù)措施薄弱

工業(yè)控制系統(tǒng)的設(shè)計(jì)開(kāi)發(fā)并未將系統(tǒng)防護(hù)、數(shù)據(jù)保密等安全指標(biāo)納入其中，另外，工業(yè)控制系統(tǒng)使用的現(xiàn)場(chǎng)控制設(shè)備中大量使用了標(biāo)準(zhǔn)的信息網(wǎng)絡(luò)技術(shù)或產(chǎn)品。這些技術(shù)和產(chǎn)品并沒(méi)有針對(duì)工控系統(tǒng)的應(yīng)用環(huán)境進(jìn)行優(yōu)化和專(zhuān)門(mén)設(shè)計(jì)，導(dǎo)致為工控系統(tǒng)引入了大量的漏洞。經(jīng)統(tǒng)計(jì)，相關(guān)廠(chǎng)商設(shè)備漏洞中，羅克韋爾自動(dòng)化公司相關(guān)設(shè)備高危漏洞4個(gè)，西門(mén)子公司相關(guān)設(shè)備高危漏洞7個(gè)，橫河公司相關(guān)設(shè)備高危漏洞6個(gè)。Windows XP操作系統(tǒng)截至SP3補(bǔ)丁更新時(shí)高危漏洞239個(gè)，在2014年4月8日停止服務(wù)支持后，發(fā)現(xiàn)的高危漏洞為119個(gè)，共計(jì)358個(gè)[5]。

很多企業(yè)中，由于工業(yè)控制系統(tǒng)類(lèi)型多樣化，安全管理意識(shí)和職責(zé)不明確，導(dǎo)致網(wǎng)絡(luò)間的數(shù)據(jù)傳輸和授權(quán)管理未實(shí)施明確的安全策略。另一方面企業(yè)管理層連接互聯(lián)網(wǎng)，從而導(dǎo)致互聯(lián)網(wǎng)用戶(hù)可以利用企業(yè)管理網(wǎng)絡(luò)系統(tǒng)的漏洞，對(duì)工業(yè)控制系統(tǒng)運(yùn)行帶來(lái)造成重大安全隱患。經(jīng)統(tǒng)計(jì)，工控系統(tǒng)遭入侵的方式多樣，其入侵途徑以透過(guò)企業(yè)廣域網(wǎng)及商用網(wǎng)絡(luò)方式為主，除此之外還包括通過(guò)工控系統(tǒng)與因特網(wǎng)的直接連接等方式。

（2）終端安全管理問(wèn)題突出

工業(yè)控制終端具有遠(yuǎn)程維護(hù)或診斷功能，但不具有嚴(yán)格的安全措施，可能導(dǎo)致系統(tǒng)的非授權(quán)訪(fǎng)問(wèn)。同時(shí)移動(dòng)終端自身的安全問(wèn)題（如病毒、木馬等惡意程序），也可能感染整個(gè)系統(tǒng)。

（3）入侵、攻擊手段的隱蔽

大多對(duì)工業(yè)控制系統(tǒng)的入侵和攻擊手段極為隱蔽、木馬和蠕蟲(chóng)病毒的潛伏周期較長(zhǎng)，待發(fā)現(xiàn)時(shí)已對(duì)企業(yè)國(guó)家造成嚴(yán)重?fù)p失。據(jù)金山網(wǎng)絡(luò)安全事業(yè)部的統(tǒng)計(jì)報(bào)告顯示，一般的防御機(jī)制需要2個(gè)月的時(shí)間才能確認(rèn)針對(duì)工業(yè)控制系統(tǒng)的攻擊行為，對(duì)于更為隱蔽的Stunet及Duqu病毒，則需要長(zhǎng)達(dá)半年之久。

3.2　應(yīng)對(duì)情況

自Stuxnet病毒爆發(fā)以來(lái)，工業(yè)控制系統(tǒng)的安全就成為各國(guó)所關(guān)注的焦點(diǎn)。工控系統(tǒng)信息安全成為新的關(guān)注點(diǎn)主要有兩個(gè)方面的原因：一方面，過(guò)去的工業(yè)控制系統(tǒng)是使用專(zhuān)業(yè)的系統(tǒng)、專(zhuān)業(yè)的隊(duì)伍、專(zhuān)業(yè)的設(shè)備，只有小范圍人群了解和掌握。隨著計(jì)算機(jī)技術(shù)的發(fā)展，很多專(zhuān)業(yè)的系統(tǒng)實(shí)現(xiàn)了通用化，現(xiàn)在的工控系統(tǒng)開(kāi)始在通用技術(shù)的基礎(chǔ)上做專(zhuān)業(yè)的系統(tǒng)設(shè)計(jì)，如操作系統(tǒng)、數(shù)據(jù)庫(kù)軟件、通訊協(xié)議等計(jì)算機(jī)通用產(chǎn)品和協(xié)議，這樣一來(lái)，存在于計(jì)算機(jī)信息系統(tǒng)中的漏洞被帶到了工控系統(tǒng)里。另一方面，長(zhǎng)期以來(lái)工控系統(tǒng)并沒(méi)有因?yàn)樾畔踩珕?wèn)題發(fā)生大的事故，人們普遍存在“病毒很少能對(duì)工業(yè)控制系統(tǒng)造成危害”的意識(shí)。但是，伊朗的“震網(wǎng)”事件，給了*一個(gè)警示，計(jì)算機(jī)病毒不僅可以感染到工控系統(tǒng)，而且可以對(duì)控制對(duì)象進(jìn)行物質(zhì)破壞。

針對(duì)越發(fā)嚴(yán)重的工業(yè)系統(tǒng)入侵等安全事件，世界各國(guó)都在積極研究相應(yīng)的應(yīng)對(duì)措施。歐美先后制定了IEC62443《工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信息安全》、SP800-82《工業(yè)控制系統(tǒng)（ICS）安全指南》等標(biāo)準(zhǔn)。

美國(guó)成立了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急小組（Industrial Control Systems Cyber Emergency Response Team，ICS-CERT），專(zhuān)注于協(xié)助美國(guó)計(jì)算機(jī)應(yīng)急相應(yīng)小組US-CERT處理工業(yè)控制系統(tǒng)安全方面的事宜，其職能包括：對(duì)已發(fā)生的工控安全事件進(jìn)行處理分析，以便將來(lái)避免發(fā)生類(lèi)似的安全事件；引導(dǎo)系統(tǒng)脆弱性分析和惡意軟件分析；提供對(duì)事件相應(yīng)和取證分析的現(xiàn)場(chǎng)支持等。同時(shí)美國(guó)國(guó)土安全局建立了工業(yè)控制系統(tǒng)聯(lián)合工作小組（Industrial Control Systems Joint Working Group，ICSJWG），主要是促進(jìn)國(guó)家工業(yè)控制系統(tǒng)的信息共享，降低系統(tǒng)風(fēng)險(xiǎn)。

目前，我國(guó)工控系統(tǒng)的安全形勢(shì)非常嚴(yán)峻。調(diào)查發(fā)現(xiàn)，約80%的企業(yè)從來(lái)不對(duì)工控系統(tǒng)進(jìn)行升級(jí)和漏洞修補(bǔ)，有52%的工控系統(tǒng)與企業(yè)的管理系統(tǒng)、內(nèi)網(wǎng)甚至互聯(lián)網(wǎng)連接；此外，一些存在漏洞的國(guó)外工控產(chǎn)品依然在國(guó)內(nèi)的某些重要裝置上使用。更為嚴(yán)重的問(wèn)題還在于，我們對(duì)于發(fā)現(xiàn)風(fēng)險(xiǎn)源頭缺乏手段，對(duì)控制風(fēng)險(xiǎn)的技術(shù)與方法缺乏必要的研究。對(duì)此，我國(guó)先后發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（[2011]451號(hào)）、《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)（國(guó)發(fā)[2012]23號(hào)）》 等文件，促進(jìn)工業(yè)控制系統(tǒng)信息安全體系的建設(shè)，但大部分對(duì)口標(biāo)準(zhǔn)都在編制過(guò)程中。

4　工業(yè)控制系統(tǒng)信息安全發(fā)展趨勢(shì)

工業(yè)控制系統(tǒng)漏洞攻擊正向著簡(jiǎn)單控制器受攻擊增大、利用網(wǎng)絡(luò)協(xié)議進(jìn)行攻擊、專(zhuān)業(yè)攻擊人員進(jìn)行攻擊、利用病毒進(jìn)行攻擊、工業(yè)控制系統(tǒng)漏洞挖掘與發(fā)布同時(shí)增長(zhǎng)的趨勢(shì)發(fā)展。當(dāng)前，美國(guó)和歐盟都從國(guó)家戰(zhàn)略的層面在開(kāi)展各方面的工作，積極研究工業(yè)控制系統(tǒng)信息安全的應(yīng)對(duì)策略。我國(guó)也在政策層面和研究層面積極開(kāi)展工作，但我國(guó)工業(yè)控制系統(tǒng)信息安全工作起步晚，總體上技術(shù)研究尚屬起步階段，管理制度不健全，相關(guān)標(biāo)準(zhǔn)規(guī)范不完善，技術(shù)防護(hù)措施不到位，安全防護(hù)能力和應(yīng)急處理能力不高，這些問(wèn)題都威脅著工業(yè)生產(chǎn)安全和社會(huì)正常運(yùn)作。因此，整合各方面優(yōu)勢(shì)資源，促進(jìn)工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)的形成，是未來(lái)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全發(fā)展的基本趨勢(shì)。

工業(yè)控制系統(tǒng)信息安全技術(shù)的發(fā)展，將隨著工業(yè)自動(dòng)化系統(tǒng)的發(fā)展而不斷演化。目前自動(dòng)化系統(tǒng)發(fā)展的趨勢(shì)就是數(shù)字化、智能化、網(wǎng)絡(luò)化和人機(jī)交互人性化。同時(shí)將更多的IT技術(shù)應(yīng)用到傳統(tǒng)的邏輯控制和數(shù)字控制中。工業(yè)控制系統(tǒng)信息安全技術(shù)未來(lái)也將進(jìn)一步借助傳統(tǒng)IT技術(shù)，使其更加智能化、網(wǎng)絡(luò)化，成為控制系統(tǒng)*的一部分。與傳統(tǒng)IP互聯(lián)網(wǎng)的信息安全產(chǎn)品研發(fā)路線(xiàn)類(lèi)似，工業(yè)控制系統(tǒng)信息安全產(chǎn)品將在信息安全與工業(yè)生產(chǎn)控制之間找到契合點(diǎn)，形成工業(yè)控制系統(tǒng)特色鮮明的安全輸入、安全控制、安全輸出類(lèi)產(chǎn)品體系。值得指出的是，隨著工業(yè)控制系統(tǒng)信息安全認(rèn)識(shí)和相關(guān)技術(shù)的不斷深化，必將產(chǎn)生一系列與工業(yè)控制系統(tǒng)功能安全、現(xiàn)場(chǎng)應(yīng)用環(huán)境緊密，特色鮮明的工業(yè)控制系統(tǒng)安全防護(hù)工具、設(shè)備及系統(tǒng)。

5　總結(jié)與展望

從總體上看，我國(guó)工業(yè)控制系統(tǒng)信息安全防護(hù)體系建設(shè)滯后于系統(tǒng)本身的建設(shè)，還處于初級(jí)階段，需要根據(jù)工業(yè)控制系統(tǒng)信息安全保障體系建設(shè)需求，基于國(guó)家信息安全標(biāo)準(zhǔn)體系框架，建立工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)體系總體框架。自2013年開(kāi)始，康拓工控先后對(duì)城市軌道、鐵路以及城市供水等工業(yè)控制系統(tǒng)進(jìn)行了大量的系統(tǒng)安全性分析，逐步梳理現(xiàn)有信息安全標(biāo)準(zhǔn)在上述工業(yè)控制系統(tǒng)建設(shè)中的應(yīng)用關(guān)系，以實(shí)現(xiàn)工業(yè)控制系統(tǒng)“可發(fā)現(xiàn)、可防范、可替代”的目標(biāo)，提升工控安全核心競(jìng)爭(zhēng)力，為我國(guó)兩化的深度融合、實(shí)施制造強(qiáng)國(guó)戰(zhàn)略提供可靠的信息安全保障。

作者簡(jiǎn)介

呂建民（1980-），男，河南濮陽(yáng)人，工程師，碩士，現(xiàn)就職于北京康拓科技有限公司，主要從事工業(yè)控制系統(tǒng)研究工作。