隨著“中國制造2025”戰略的提出，兩化深度融合已經成為產業結構調整和轉型升級的重要手段，工業控制系統信息安全（以下簡稱工控安全）也成為兩化融合的重要組成部分。中國工業控制領域正在發生重大變革，工業控制系統（以下簡稱“工控系統”）所面臨的信息安全問題已不再僅是信息泄露、信息系統無法使用等“小”問題，而是可能會對社會安全穩定、經濟健康發展等造成不可估量影響的大問題。下面賢集網小編與大家分享工業控制系統信息安全分析及應對策略。

　　1全球工控系統安全態勢特征

　　1.1工控安全漏洞數量和類別

　　工控安全漏洞數量持續增長，且以高危漏洞為主，供應商及工業企業修復漏洞進度遲緩。近期，卡巴斯基發布的《2016下半年工業控制系統威脅情況》報告指出，2016年下半年曝出的工控安全漏洞有75個，數量有所增加。截至2017年3月，卡巴斯基發現的75個漏洞中僅有30個已被工業軟件供應商修復，修復率只有40%，其中高危漏洞占比近50%，中危漏洞占40%，這些數據都表明，工控安全漏洞情況不容樂觀，需引起足夠重視。

　　卡巴斯基認為供應商對漏洞修復工作不夠重視，而工業企業出于維持業務連續性的考慮，對及時更新和安裝補丁的積極性不高，因此導致漏洞處置進度遲緩。如國外工控安全研究人員在2016年工業控制系統網絡安全大會上，披露了施耐德工業防火墻產品存在安全漏洞，該漏洞可以使攻擊者在目標設備中遠程執行任意代碼。

　　雖然后續施耐德開發出了能夠修復該漏洞的更新補丁，但廠商由于種種原因還未能向用戶推送這個修復補丁。除了上述漏洞之外，安全研究人員還報告了七個存在于PLC控制系統中的0day漏洞。

　　目前世界上大多數工控系統存在的漏洞屬于拒絕服務、遠程代碼執行和緩沖區溢出三個類別，占比分別是29%、21%、20%，其中高危漏洞和中危漏洞占比很大。這些漏洞會被入侵者利用，引起設備故障或設備未經授權的操作，影響工控系統組件的可靠性和靈敏度。如2016年10月北美遭受了分布式拒絕服務攻擊，為眾多公司提供域名解析網絡服務的DYN公司遭受攻擊；2015年3月發現的“食尸鬼”系列事件中，黑攻擊者使用“鷹眼”RAT（遠程訪問木馬）感染企業高管電腦、郵件，用來收集企業核心情報、其他有趣信息以及控制賬號等；2016年美國CDN服務商CloudFlare報告稱，黑客通過“TCP協議發送大規模L3/L4洪流”，使美國西海岸遭受每秒400GB的僵尸網絡攻擊。

　　工業可編程邏輯控制器（PLC）、分布式控制系統（DCS）、數據采集與監視控制系統（SCADA）以及相關應用軟件均被發現存在大量信息安全漏洞，如西門子（Siemens）、ABB、施耐德（Schneider）、通用電氣（GE）、研華科技（Advantech）及羅克韋爾（Rockwell）等工控系統廠商的產品均被發現包含各種信息安全漏洞。對于廠商漏洞而言，Siemens占比最多，其他廠商占比大致相同主要是Siemens的產品在全球范圍內使用占比較大。

　　工控行業廠商漏洞數量分布見圖1（數據來源于國家信息安全漏洞共享平臺（CNVD））。

　　1.2主要攻擊渠道和攻擊類型

　　互聯網、可移動存儲介質和郵件客戶端成為最主要的攻擊渠道，惡意軟件入侵是最主要的攻擊類型。

　　卡巴斯基顯示，在被調查的工控系統中，因連接互聯網而遭受惡意鏈接和釣魚網站威脅的數量超過20%，在接入可移動存儲介質過程中檢測出惡意軟件的有10.9%，攔截到植入惡意腳本、惡意鏈接和惡意附件的電子郵件的有8.1%。

　　如2016年1月，以色列電力供應系統遭受到嚴重的網絡攻擊，后查明是勒索軟件造成了此次事故；2016年4月，德國核電站檢測出惡意程序被迫關閉，安全人員分析，由于核電站的IT系統并未連接到互聯網，有可能有人通過USB驅動設備意外將惡意程序帶進來。

　　卡巴斯基特別指出，系統管理員、系統供應商和第3方運維服務人員使用的設備，在開啟遠程訪問或遠程運維服務過程中極易被暴露，從而成為發起網絡攻擊的跳板。

　　1.3工控安全漏洞分布行業

　　從行業來看，能源、關鍵制造業及水處理是工控安全漏洞分布較廣泛的行業。針對工業企業的定向攻擊行為增多，其中制造業、建筑業、交通運輸業及工程行業是重點攻擊領域，且大部分被攻擊的企業為工業設施及自動化系統的設計制造商。針對制造企業的攻擊行為數量最多，占比高達65%。此外，卡巴斯基還曾檢測到一次針對鋼鐵、有色、電力、建筑及工程領域的大規模魚叉式釣魚活動，攻擊范圍覆蓋全球50多個國家的500多家工業企業，目前該攻擊活動仍在繼續。

　　全球各行業工控安全漏洞數量分布見圖2（數據來源于ICS-CERT）。

　　1.4工控系統遭受攻擊區域

　　亞洲、北非、拉美等國家和地區遭受攻擊的工控系統比例最高，中國超半數工控系統曾遭受攻擊。

　　據統計，工控系統遭受攻擊比例最高的15個國家依次是越南、阿爾及利亞、摩洛哥、突尼斯、印度尼西亞、孟加拉國、哈薩克斯坦、伊朗、中國、秘魯、智利、印度、埃及、墨西哥和土耳其。中國境內遭受到攻擊的工控系統數量占比高達53.31%，排名第9，幾乎是美國的3倍。而美國、西歐等國家和地區由于在工控安全防護方面起步較早、水平較高，遭受攻擊的工控系統比例要小得多。

　　1.5工控系統安全風險演化傾向

　　工控系統在發展之初是相對封閉和獨立的，傳統工控系統安全防護往往采用物理隔離等方式。隨著新一代通信信息技術的深入應用，工控系統正趨于使用通用協議、通用操作、通用硬件和軟件，以太網、無線設備的使用無處不在，整個控制系統可與遠程端進行互連，使得網絡安全問題直接延伸到工控系統，導致工控系統固有漏洞和攻擊面不斷增加，給傳統防護體系帶來嚴峻挑戰，而物聯網的發展促進了工控安全風險的全面升級。

　　首先，物聯網擴大了工控安全威脅的覆蓋領域。傳統工控安全風險集中在電力、能源、鋼鐵、煙草、數控等行業，物聯網的引入使得工控安全風險覆蓋到城市軌道交通、車輛網、智能監控、行政基礎設施等領域。其次，物聯網促進了工控安全風險由內向外的轉變。傳統控制設備的網絡安全防護主要重視內外網邊界防護及物理隔離，而物聯網時代，工控系統正日益走向開放、互聯、互通，不僅廣泛地使用通用軟件和網絡設施，而且與企業網中運行的管理信息系統（如MES、ERP）高度集成，與企業網甚至互聯網實現數據交換，使得工控系統面臨與互聯網相似的、乃至更為嚴峻的信息安全威脅。工控安全問題將成為“網絡安全、設備安全、控制安全、應用安全、數據安全”的綜合體，工控系統安全風險向工業物聯網安全演化的傾向逐漸顯現。

　　2中國工控系統安全概述

　　隨著國家在信息化建設的大力推進，工控系統在各行業的應用范圍和部署規模快速擴大，應用在煉油、石化、電力、鋼鐵、有色、建材、交通、電網、水網、氣網、國防等關系到國家和社會穩定、經濟正常運行的重要領域，已成為國家關鍵基礎設施的“中樞神經”。

　　近年來，中國工控系統的安全事件屢有發生，如鋼廠異常停機、石化工廠“蠕蟲”泛濫等。工控系統中存在大量漏洞和隱患，包括：體系結構存在共性安全隱患、自身存在安全漏洞、運行所處的系統和環境存在安全漏洞和隱患。工控系統組件漏洞的數量亦持續增加，其中近一半已識別漏洞等級是高風險的，而大多數漏洞在最知名供應商的產品中被發現。隨著兩化深度融合的推進，工控系統開始與MES、ERP、協同辦公、電子商務等系統相連，并逐漸納入統一的信息系統中，但在此過程中不同分區的隔離等信息安全防護措施并未得到企業的充分認識和重視。

　　2.1工控系統設備安全概況

　　隨著工業自動化程度的提高，工控系統設備暴露在公網的安全問題也日趨嚴重。CNVD統計顯示，截至2016年底，中國境內暴露在互聯網的工控系統設備高達1143個。從設備類型看，PLC為接入互聯網數量最多的設備，其次為遠程控制終端（RTU），見圖3（數據來源于CNVD），這些設備的來源多為國外廠商，其安全性不可控。從廠商來源看，暴露在互聯網上的工控系統涉及到國內外多家控制系統廠商。

　　2.2工控安全漏洞概況

　　工控系統面臨的安全問題愈加嚴峻。CNVD統計顯示，2010年之后工控安全漏洞數量顯著增長，截止2016年底，累計漏洞總數已超過900多個，見圖4（數據來源于CNVD）。

　　工控安全漏洞的危害主要集中在服務器系統和工控數據，工控安全漏洞類型以緩沖溢出、信息泄露、輸入驗證、跨站腳本等居多，見圖5（數據來源于CNVD）。

　　由于PLC、DCS等系統在工業領域大規模使用，因此受工控安全漏洞的潛在威脅也最為嚴重。其中上位機軟件、SCADA、PLC位列歷年累計已公開工控安全漏洞數量的前三，成為工控系統產品中最“脆弱”的組件，見圖6（數據來源于CNVD）。這三類產品在中國電力、水利、污水處理、石油化工等國家關鍵基礎設施，以及鋼鐵、有色、汽車、航空航天等制造業工業領域的應用十分廣泛，屬于無法替代的關鍵角色。

　　通過分析可以看出，工控安全漏洞攻擊正向以下趨勢發展：簡單控制器受攻擊數量增大、利用網絡協議進行攻擊、專業人員進行攻擊、利用病毒進行攻擊、工控安全漏洞挖掘與發布數量同時增長等。

　　3中國工控安全治理動態

　　近年來受各類工控安全事件影響，世界各國紛紛加大了對工業網絡安全方面的投入，密集出臺網絡安全相關法律法規，并在網絡安全演練、網絡安全人才培養等方面不斷加強。以美國為首的西方國家更是不斷增加網絡安全資金預算，甚至成立專門的網絡安全部門，保障以各類工業控制系統為代表的關鍵基礎設施的安全。中國政府也在相關法律法規、標準等方面取得突破性進展。2016年4月19日，習近平總書記在網絡安全和信息化工作座談會上強調，要加強對關鍵信息基礎設施的保護和開展網絡安全檢查工作。同年7月，為貫徹落實習近平總書記重要講話精神，經中央網絡安全和信息化領導小組批準，首次全國范圍的關鍵信息基礎設施網絡安全檢查工作正式啟動，對電力、通信、鐵路、航空、航天等18個重點領域的工控系統進行了全面檢查。

　　2016年8月29日，繼“工業控制系統深度安全技術”被列入科技部“網絡空間安全”重點專項2016年度項目申報指南之后，全國信息安全標準化技術委員會歸口的《信息安全技術具有中央處理器的IC卡嵌入式軟件安全技術要求》等24項國家標準也正式發布，其中包含《信息安全技術工業控制系統安全應用指南》。

　　2016年10月17日，工業和信息化部印發了《工業控制系統信息安全防護指南》，通過規范管理等要求，說明了工業控制系統安全的重要性，所列11項要求充分體現了《國家網絡安全法》中網絡安全支持與促進、網絡運行安全、網絡信息安全、監測預警與應急處置等法規在工控安全領域的要求，是《國家網絡安全法》在工業領域的具體應用；同月，國家標準委、國家質檢總局聯合發布《工業自動化和控制系統網絡安全》等6項重要國家標準；2016年11月7日，第十二屆全國人大會常務委員會第二十四次會議通過《中華人民共和國網絡安全法》；2016年12月27日，國家互聯網信息辦公室發布了《國家網絡空間安全戰略》。

　　網絡空間安全已上升至國家安全戰略，工控安全作為網絡安全中薄弱而又至關重要的部分，逐漸被政府部門、行業協會和工業企業所重視。

　　工控系統的安全防護工作是一項系統工程，需要政府部門、行業協會、工業企業及安全廠商等單位緊密協作、各司其職，積極為工控安全防護貢獻自己的力量，才能打贏這場攻堅戰和持久戰。

　　4企業工控安全防護建議

　　工控系統的安全與企業生產安全、經濟安全密切相關，特別是電力、工業制造、石油石化、交通、供水供熱供氣等行業領域大量應用工控系統，一旦發生信息安全事件，將會導致生產停滯、環境污染、斷水斷電等影響國家安全、經濟運行、人民生活的嚴重后果。企業需要提高工控系統安全意識，重視安全規劃和防護方案落地，提高工控系統安全防護能力。結合工信部發布的《工業控制系統信息安全防護指南》，建議企業采取以下防護措施（1）建立健全專門管理機構，明確崗位職責，構建安全運維、應急響應與事件處理、經費保障等運行機制，形成完善的安全管理體系。

　　（2）優化改造工控系統現有網絡結構，配備功能完善的邊界防護產品，建立工控系統安全監測預警機制，對遠程訪問和遠程維護行為必須采用專門的接入方式和安全訪問控制策略，形成完善的邊界防護技術體系。

　　（3）采用標準化檢測工具，對設備離線、入網及在線安全以及系統安全全生命周期過程進行持續檢測，通過安全配置、系統補丁等安全性補償措施提升工控設備漏洞、后門等威脅抵御水平，形成有效的本體安全防護技術體系。

　　（4）建立設備、行為以及軟件白名單等控制機制，實現對已知、未知威脅以及全局、局部安全態勢的感知，具備多種安全防護技術聯動和主動防御的能力，形成事前預警、事中組織和事后追溯的行為安全防護體系。

　　（5）建立安全補償機制。企業對于新裝系統應實現結構安全同步建設；對于再裝系統，應進行結構安全改造；對于因條件限制而無法進行改造的，應建立安全性補償機制。

　　5結束語

　　作為傳統IT系統的延伸和發展，中國工控系統安全方面存在諸多問題和風險，需要充分認識關鍵基礎設施保護工作的重要性，樹立正確的網絡安全觀，創新保護方法，構建多方參與、協同保護的工作體系，政府部門、行業協會、工業企業及安全廠商形成合力，加快制定和完善工控安全法律法規和標準規范，充分發揮行業協會、產業聯盟、安全服務商等社會力量的推動作用，積極推進工控安全關鍵技術與裝備的自主研發和國產化進程，大力培養各類專業人才，盡快提升中國工控安全水平。