眾所周知，工業控制系統（Industrial and Control System—ICS或簡稱工控系統）廣泛應用於國家關鍵生產設施和基礎設施，它是系統運行的「中樞」。

從工控系統自身來看，隨著計算機和網絡技術的發展，尤其是信息化與工業化深度融合，在工業4.0、智能製造的背景下，工控系統越來越多地採用通用協議、通用硬體和通用軟體，通過網際網路等公共網絡連接的業務系統也越來越普遍，這使得針對工控系統的攻擊行為大幅度增長，也使得工控系統的脆弱性正在逐漸顯現，面臨的信息安全問題日益突出。

作為國家重要支柱產業的化工（包括石油、石化、基礎化工、煤化工等）行業，由於其行業的高溫、高壓、易燃、易爆、易腐蝕等特殊性，其工控系統信息安全的重要性更顯得尤為突出。

2化工行業工控系統信息安全面臨的形勢

2.1化工行業生產製造模型

化工行業普遍採用基於ERP、MES和PCS三層架構的管控一體化模型。

化工行業智能製造的典型框架如圖1所示。

化工生產過程控制大多採用DCS/PLC/SIS/SCADA等系統進行控制，生產上更注重安全和平穩運行，安全、穩定、長周期、滿負荷、優質綠色生產是行業追求的目標。

除了常規控制外，還通過軟儀表、先進控制和優化控制等手段，在保證生產平穩的基礎上獲取更大的經濟效益。

一般情況下，利用實時資料庫通過PCS層的DCS等控制系統採集生產過程的實時數據，作為生產管理或稱生產製造執行系統MES的統一數據平台。

MES包含生產計劃、生產調度、操作管理、質量管理、物料管理、生產統計、設備狀態管理、能源管理等功能模塊構成。

經營管理層ERP系統主要對企業的人、財、資產、供銷等資源進行有效、協同、合規的管理，並為企業的經營決策提供支撐。

MES在其中起到了承上啟下的作用，上連ERP，下連PCS。

MES將ERP下發的生產計劃分解成作業計劃，通過調度管理下達給PCS層的操作人員，控制系統的結果通過實時資料庫的數據採集將生產過程反饋到MES，由MES完成相關的數據分類、加工、處理，實現生產過程的物料、質量、成本、能源等的管理，最後將統計結果返回到ERP系統。

目前大多應用場合，基本是在邊界設置防火牆，即在PCS與MES間設置數據採集工業網關及防火牆，起到一定的邊界防護與安全隔離作用。

2.2化工行業面臨的工控系統信息安全形勢

近年來，世界範圍內工控系統發生的信息安全事件數量呈幾何倍數上升態勢，其主要威脅來源於個人黑客、民間組織、國家政府及企業員工誤操作等。

據有關材料報導，卡巴斯基實驗室基於OSINT（公開資源情報計劃）和公共來源信息（如ICS CERT-美國工控系統網絡應急響應小組）研究2015年ICS受威脅狀況。

調查了170個國家，發現如下主要問題，數據非常觸目驚心。

（1）在網際網路上，可掃描發現188,019台工控系統（ICS）設備主機；

（2）可遠程訪問的ICS主機中，92%包含漏洞。

其中，87%包含中等風險漏洞，7%包含高危漏洞；

（3）過去五年中，ICS設備中的漏洞數量增長了五倍：從2010年的19個漏洞增長到2015年的189個漏洞。

包含漏洞最多的ICS設備為人機介面（HMI）、電子設備和SCADA系統；

（4）所有能夠外部訪問的ICS設備中，有91.6%使用了較弱的網際網路連接協議，讓攻擊者有機可乘，能夠實施「中間人」攻擊。

另外，OSVDB（開源漏洞資料庫）及ICS-Cert的資料表明，各行業工控系統的信息安全事件發生頻率統計數據表明化工（石化）行業的事件數是最大的，占比為23%，如圖3所示。

下列事件是國內化工行業工控系統信息安全的典型案例。

2011年，大慶石化、齊魯石化、西南管線廣東調控中心及多個場站感染病毒，導致控制器通信中斷。
2015年6月，國內某石化央企發生「內鬼」事件，系統內部技術人員，通過該企業其華東公司SCADA系統開發了一套病毒程序，病毒爆發致使系統癱瘓，無法運行。
2016年1月29日，中石化洛陽分公司發現工控網絡E網內存在蠕蟲病毒，導致部分DCS數據採集頻繁歸零。
2016年4月13日，國家工信部電子科學技術情報研究所發布第2期工業控制系統信息安全風險提示：工業控制設備默認密碼清單被公布，該清單涉及西門子、施耐德電氣等國內外48個廠商134個工程設備型號。

由以上數據可見，化工行業工控系統信息安全形勢非常嚴峻。

隨著網絡技術、無線技術發展，開放標準普及，管理控制一體化理念深入，特別是在「網際網路+」、互聯互通、「工業4.0」下的化工智能製造的大環境背景下，工控系統接入範圍擴展到企業內網，甚至網際網路，再到「網際網路+」，面臨更大的信息安全威脅。

2.3化工行業工控系統信息安全威脅分析

我們可以通過以下幾個維度分析化工行業工控系統信息安全的威脅。

（1）PCS層本身，由封閉走向開放所導致

·操作站

信息技術的高速發展使DCS、PLC和SCADA等控制系統在過去幾十年的發展中呈現出整體開放的趨勢。

以DCS為例，過去的DCS廠商基本上是以自主開發為主，提供的系統是封閉的系統。

當今的DCS廠商為了追求市場的占有率，更強調開放性與集成性，廠商不再把開發組態軟體或製造各種硬體單元視為核心技術，而是紛紛把DCS的各個組成部分採用第三方集成方式或OEM方式，幾乎清一色採用PC+Windows的技術架構。

·先進控制等站點（上位機）

為了提高生產的穩定性與效益，對於精細化管理的企業大多採用軟儀表、先進控制（APC）、在線優化控制等技術手段，而這些技術的安裝、調試一般需要較長的時間，在此期間，工控系統經常需要頻繁與外界進行數據交換。

·控制網絡

過去，通信技術相對落後，控制系統的互連是件非常困難的事情，現在，網絡技術開放體現在DCS可以從多個層面與第三方系統互聯，同時支持多種網絡協議。

目前在與企業管理網信息平台互聯時，大多採用基於TCP（UDP）/IP協議的乙太網通信技術，使用OPC等開放接口標準。

·無線通信儀表及無線通信設備

無線設備地接入，儘管極大地方便了互通互連並提高了投資回報率，但同時也打開了安全隱患之門。

·遠程維護

將工控系統建設與實施、維護，分包給第三方，已成為趨勢。

另外，「雲應用」遠程診斷技術支持已逐漸成為關鍵設備管理的重要手段。

·部分工控主設備

部分廠商的工控產品存在後門風險，如2011年發現的施耐德電氣PLC存在多種不同權限的後門帳號。

·工控系統的特殊性

工控系統具有連續不可間斷的高可用性與不可延遲的高實時性要求，使得傳統IT的防護方法不適用。

開放性為用戶帶來的好處毋庸置疑，但由此引發的各種安全漏洞與傳統的封閉系統相比卻大大增加。

（2）MES/ERP層面，從無到有，從小到大產生處於生產管理與經營層MES/ERP系統，其應用場合區域更廣，人員更多，網絡安全更加複雜。

在此，集中關注其對工控系統的安全威脅。

綜上所述，對於一個相對開放的工業控制系統，產生安全漏洞的因素是多方面的，主要的原因有下列幾方面。

（1）作業系統安全漏洞

作為主流作業系統的Windows，其漏洞大部分危害巨大，惡意代碼通過這些漏洞，甚至可以獲得操作站的完全控制權。

因此，作業系統的補丁修補是個關鍵問題。

（2）網絡通信協議安全漏洞

為了追求實用性和時效性，大多工控系統的網絡協議P R O F I N E T 、O P C、DNP 3 、M O D B U S 、PROFIBUS、IEC-104等都存在安全漏洞。

特別是化工行業使用頻繁的OPC協議，首先它構築於Windows平台上，Windows與生具有的漏洞與缺陷依然存在的同時，為了實現信息交互的便利性，一般情況下，所有的client端使用相同的用戶名與密碼讀取OPC server端的數據，因此，MES層受到攻擊的情況下，如果MES環境設置的不合理，就會導致OPC的參數被修改，威脅到控制系統的安全。

同樣，MODBUS等協議由於更多地考慮時效性與實用性，在使用過程中，犧牲了很多安全性，成為黑客攻擊的主要目標。

（3）病毒軟體及其病毒庫升級、更新漏洞

由於殺毒軟體可能查殺ICS的部分軟體，且其病毒庫需要不定期的升級、更新，因此大多上位機/操作站未安裝防病毒軟體，勢必造成病毒感染的風險。

（4）安全策略與管理漏洞

技術與管理特別是人員信息安全意識缺乏是最大的漏洞。

如安全策略與管理流程的梳理、移動設備使用管理、訪問控制策略部署等。

如上位機/操作站用戶名、密碼管理與控制，上位機/操作站多餘埠的管理，外部技術支持與運維的審計與監管等。

（5）硬體產品漏洞

工控產品因軟、硬體更新、升級限制，漏洞不能得到及時修補。

（6）應用軟體漏洞

工控系統應用軟體產生的漏洞是最直接、最致命的。

一方面應用軟體形式多樣，很難形成統一的防護規範以應對安全問題；另一方面最嚴重的是，當應用軟體面向網絡應用時，就必須開放其應用埠。

2.4化工行業工控系統信息安全防範措施建議

綜上分析，隨著兩化融合、智能製造的推進，化工工控系統環境趨於更加複雜，聯網需求大幅增加，多種互聯接入方式並行存在，物理邊界模糊，安全風險指數大為增加，業務識別、防範壓力則在不斷增大。

儘管目前一些主流的工控產品供應商採取了一些措施，如Honeywell在其PKS系統的控制器中集成了防火牆、西門子在網絡交換機上嵌入了防火牆、ROCKWELL Automation推出了深度數據包檢測（DPI）技術，但這些還遠遠不夠。

目前由於沒有統一的標準，對於企業而言，應在管理與技術上，特別是人員信息安全意識上建立工控系統信息安全的「縱深防禦」體系。

建議如下文。

2.4.1　建立企業自己的工控系統信息安全實施操作指南

根據國家標準與相關規範，針對企業自身結構，制定相關的管理流程與信息安全管理策略，並修訂相關的管理制度。

指南中應包括的主要要素：工控系統生命周期內的安全問題管理；企業網絡結構及其與工控系統的邏輯隔離管理；相關工控設備埠與服務的管理；工控系統權限管理；移動設備（包括U盤）的使用管理；訪問策略管理；外部技術支持與運維的審計與跟蹤管理等等。

重點在網絡安全接入控制與資源共享。

2.4.2　建立工控系統信息安全的評估制度

利用企業的力量或社會的第三方專業機構，對存量的工控系統，進行定期或不定期的信息安全評估，對新項目在設計端就組織好工控系統信息安全的評估與確認。

對存在的風險與隱患，能夠得到及時發現與整改，消除隱患與漏洞。

2.4.3　設置企業信息安全縱深防禦體系

（1）網際網路網絡出口：安全防護防火牆、行為管理、防病毒、防入侵；

（2）內網安全（MES/ERP層）：企業版的殺毒、EAD終端准入控制系統、DHCP的嗅探功能、廣播風暴抑制等；

（3）工控系統安全（PCS層）：採取「邊界-區域-終端-綜合監控管理」策略。

邊界及現場防護：採用防火牆及網關/網閘以及運維審計和WIFI入侵檢測與防護，配置安全隔離防護設備。

應該強調，隔離與防護設備應具有動態埠監控與防禦的功能。
區域保護：將該區域設置重點保護區域，防禦來自其他區域的威脅。
終端保護：DCS/PLC/SCADA操作站與上位機配備信息安全管理系統及防病毒軟體。
綜合監控管理平台：通過該平台實現動態埠監控、實時報警阻斷、白名單規則與漏洞防護策略下發、用戶及權限管理、日誌管理、變更管理、補丁管理、備份與恢復等功能，如PAS的產品在此方面就非常有其特色。

3結語

工控信息安全形勢非常嚴峻，已引起了一定的重視，但從筆者的觀察發現，還相差甚遠，特別是在危險性及影響性較大的化工行業，儘管功能安全方面做得相對較好（國家有標準及相關的整改時間要求是一方面），但是在信息安全方面最簡單的工控系統的用戶名與密碼管理，形同虛設的情況非常多。

因此，理念和意識的問題是關鍵，由於其複雜性遠高於傳統IT，工控系統信息安全工作任重而道遠。

作者簡介：

李振光（1963-），男，廣東陸豐人，高級工程師，1985年7月畢業於華東石油學院自動化系，獲工學學士學位。

2002年7月畢業於華東理工大學，獲控制工程碩士學位。

曾任職於中石化上海煉油廠，中石化上海高橋分公司，歷任車間副主任、副科長、科長、副總工程師、技術處副處長、信息中心主任等職務。

2006年至今進入上海寶信軟體股份有限公司，目前擔任公司高級技術總監，從事化工自動化與企業信息化工作。

本文轉自《自動化博覽》2016年11月增刊

轉載請註明出處

更多精彩內容請關注工業安全產業聯盟V信