1概述

　　眾所周知，工業控制系統（Industrial and Control System—ICS或簡稱工控系統）廣泛應用于國家關鍵生產設施和基礎設施，它是系統運行的“中樞”。從工控系統自身來看，隨著計算機和網絡技術的發展，尤其是信息化與工業化深度融合，在工業4.0、智能制造的背景下，工控系統越來越多地采用通用協議、通用硬件和通用軟件，通過互聯網等公共網絡連接的業務系統也越來越普遍，這使得針對工控系統的攻擊行為大幅度增長，也使得工控系統的脆弱性正在逐漸顯現，面臨的信息安全問題日益突出。

　　作為國家重要支柱產業的化工（包括石油、石化、基礎化工、煤化工等）行業，由于其行業的高溫、高壓、易燃、易爆、易腐蝕等特殊性，其工控系統信息安全的重要性更顯得尤為突出。

　　2化工行業工控系統信息安全面臨的形勢

　　2.1化工行業生產制造模型

　　化工行業普遍采用基于ERP、MES和PCS三層架構的管控一體化模型。化工行業智能制造的典型框架如圖1所示。

　　化工生產過程控制大多采用DCS/PLC/SIS/SCADA等系統進行控制，生產上更注重安全和平穩運行，安全、穩定、長周期、滿負荷、優質綠色生產是行業追求的目標。除了常規控制外，還通過軟儀表、先進控制和優化控制等手段，在保證生產平穩的基礎上獲取更大的經濟效益。

　　一般情況下，利用實時數據庫通過PCS層的DCS等控制系統采集生產過程的實時數據，作為生產管理或稱生產制造執行系統MES的統一數據平臺。MES包含生產計劃、生產調度、操作管理、質量管理、物料管理、生產統計、設備狀態管理、能源管理等功能模塊構成。

　　經營管理層ERP系統主要對企業的人、財、資產、供銷等資源進行有效、協同、合規的管理，并為企業的經營決策提供支撐。

　　MES在其中起到了承上啟下的作用，上連ERP，下連PCS。MES將ERP下發的生產計劃分解成作業計劃，通過調度管理下達給PCS層的操作人員，控制系統的結果通過實時數據庫的數據采集將生產過程反饋到MES，由MES完成相關的數據分類、加工、處理，實現生產過程的物料、質量、成本、能源等的管理，最后將統計結果返回到ERP系統。

　　目前大多應用場合，基本是在邊界設置防火墻，即在PCS與MES間設置數據采集工業網關及防火墻，起到一定的邊界防護與安全隔離作用。

　　2.2化工行業面臨的工控系統信息安全形勢

　　近年來，世界范圍內工控系統發生的信息安全事件數量呈幾何倍數上升態勢，其主要威脅來源于個人黑客、民間組織、國家政府及企業員工誤操作等。

　　據有關材料報道，卡巴斯基實驗室基于OSINT（公開資源情報計劃）和公共來源信息（如ICS CERT-美國工控系統網絡應急響應小組）研究2015年ICS受威脅狀況。調查了170個國家，發現如下主要問題，數據非常觸目驚心。

　　（1）在互聯網上，可掃描發現188,019臺工控系統（ICS）設備主機；

　　（2）可遠程訪問的ICS主機中，92%包含漏洞。其中，87%包含中等風險漏洞，7%包含高危漏洞；

　　（3）過去五年中，ICS設備中的漏洞數量增長了五倍：從2010年的19個漏洞增長到2015年的189個漏洞。包含漏洞最多的ICS設備為人機界面（HMI）、電子設備和SCADA系統；

　　（4）所有能夠外部訪問的ICS設備中，有91.6%使用了較弱的互聯網連接協議，讓攻擊者有機可乘，能夠實施“中間人”攻擊。

　　另外，OSVDB（開源漏洞數據庫）及ICS-Cert的資料表明，各行業工控系統的信息安全事件發生頻率統計數據表明化工（石化）行業的事件數是最大的，占比為23%，如圖3所示。

　　下列事件是國內化工行業工控系統信息安全的典型案例。

　　2011年，大慶石化、齊魯石化、西南管線廣東調控中心及多個場站感染病毒，導致控制器通信中斷。

　　2015年6月，國內某石化央企發生“內鬼”事件，系統內部技術人員，通過該企業其華東公司SCADA系統開發了一套病毒程序，病毒爆發致使系統癱瘓，無法運行。

　　2016年1月29日，中石化洛陽分公司發現工控網絡E網內存在蠕蟲病毒，導致部分DCS數據采集頻繁歸零。

　　2016年4月13日，國家工信部電子科學技術情報研究所發布第2期工業控制系統信息安全風險提示：工業控制設備默認密碼清單被公布，該清單涉及西門子、施耐德電氣等國內外48個廠商134個工程設備型號。

　　由以上數據可見，化工行業工控系統信息安全形勢非常嚴峻。隨著網絡技術、無線技術發展，開放標準普及，管理控制一體化理念深入，特別是在“互聯網+”、互聯互通、“工業4.0”下的化工智能制造的大環境背景下，工控系統接入范圍擴展到企業內網，甚至互聯網，再到“互聯網+”，面臨更大的信息安全威脅。

　　2.3化工行業工控系統信息安全威脅分析

　　我們可以通過以下幾個維度分析化工行業工控系統信息安全的威脅。

　　（1）PCS層本身，由封閉走向開放所導致

　　·操作站

　　信息技術的高速發展使DCS、PLC和SCADA等控制系統在過去幾十年的發展中呈現出整體開放的趨勢。以DCS為例，過去的DCS廠商基本上是以自主開發為主，提供的系統是封閉的系統。當今的DCS廠商為了追求市場的占有率，更強調開放性與集成性，廠商不再把開發組態軟件或制造各種硬件單元視為核心技術，而是紛紛把DCS的各個組成部分采用第三方集成方式或OEM方式，幾乎清一色采用PC+Windows的技術架構。

　　·先進控制等站點（上位機）

　　為了提高生產的穩定性與效益，對于精細化管理的企業大多采用軟儀表、先進控制（APC）、在線優化控制等技術手段，而這些技術的安裝、調試一般需要較長的時間，在此期間，工控系統經常需要頻繁與外界進行數據交換。

　　·控制網絡

　　過去，通信技術相對落后，控制系統的互連是件非常困難的事情，現在，網絡技術開放體現在DCS可以從多個層面與第三方系統互聯，同時支持多種網絡協議。目前在與企業管理網信息平臺互聯時，大多采用基于TCP（UDP）/IP協議的以太網通信技術，使用OPC等開放接口標準。

　　·無線通信儀表及無線通信設備

　　無線設備地接入，盡管極大地方便了互通互連并提高了投資回報率，但同時也打開了安全隱患之門。

　　·遠程維護

　　將工控系統建設與實施、維護，分包給第三方，已成為趨勢。另外，“云應用”遠程診斷技術支持已逐漸成為關鍵設備管理的重要手段。

　　·部分工控主設備

　　部分廠商的工控產品存在后門風險，如2011年發現的施耐德電氣PLC存在多種不同權限的后門賬號。

　　·工控系統的特殊性

　　工控系統具有連續不可間斷的高可用性與不可延遲的高實時性要求，使得傳統IT的防護方法不適用。開放性為用戶帶來的好處毋庸置疑，但由此引發的各種安全漏洞與傳統的封閉系統相比卻大大增加。

　　（2）MES/ERP層面，從無到有，從小到大產生處于生產管理與經營層MES/ERP系統，其應用場合區域更廣，人員更多，網絡安全更加復雜。在此，集中關注其對工控系統的安全威脅。

　　綜上所述，對于一個相對開放的工業控制系統，產生安全漏洞的因素是多方面的，主要的原因有下列幾方面。

　　（1）操作系統安全漏洞

　　作為主流操作系統的Windows，其漏洞大部分危害巨大，惡意代碼通過這些漏洞，甚至可以獲得操作站的完全控制權。因此，操作系統的補丁修補是個關鍵問題。

　　（2）網絡通信協議安全漏洞

　　為了追求實用性和時效性，大多工控系統的網絡協議P R O F I N E T 、O P C、DNP 3 、M O D B U S 、PROFIBUS、IEC-104等都存在安全漏洞。特別是化工行業使用頻繁的OPC協議，首先它構筑于Windows平臺上，Windows與生具有的漏洞與缺陷依然存在的同時，為了實現信息交互的便利性，一般情況下，所有的client端使用相同的用戶名與密碼讀取OPC server端的數據，因此，MES層受到攻擊的情況下，如果MES環境設置的不合理，就會導致OPC的參數被修改，威脅到控制系統的安全。同樣，MODBUS等協議由于更多地考慮時效性與實用性，在使用過程中，犧牲了很多安全性，成為黑客攻擊的主要目標。

　　（3）病毒軟件及其病毒庫升級、更新漏洞

　　由于殺毒軟件可能查殺ICS的部分軟件，且其病毒庫需要不定期的升級、更新，因此大多上位機/操作站未安裝防病毒軟件，勢必造成病毒感染的風險。

　　（4）安全策略與管理漏洞

　　技術與管理特別是人員信息安全意識缺乏是最大的漏洞。如安全策略與管理流程的梳理、移動設備使用管理、訪問控制策略部署等。如上位機/操作站用戶名、密碼管理與控制，上位機/操作站多余端口的管理，外部技術支持與運維的審計與監管等。

　　（5）硬件產品漏洞

　　工控產品因軟、硬件更新、升級限制，漏洞不能得到及時修補。

　　（6）應用軟件漏洞

　　工控系統應用軟件產生的漏洞是最直接、最致命的。一方面應用軟件形式多樣，很難形成統一的防護規范以應對安全問題；另一方面最嚴重的是，當應用軟件面向網絡應用時，就必須開放其應用端口。

　　2.4化工行業工控系統信息安全防范措施建議

　　綜上分析，隨著兩化融合、智能制造的推進，化工工控系統環境趨于更加復雜，聯網需求大幅增加，多種互聯接入方式并行存在，物理邊界模糊，安全風險指數大為增加，業務識別、防范壓力則在不斷增大。盡管目前一些主流的工控產品供應商采取了一些措施，如Honeywell在其PKS系統的控制器中集成了防火墻、西門子在網絡交換機上嵌入了防火墻、ROCKWELL Automation推出了深度數據包檢測（DPI）技術，但這些還遠遠不夠。目前由于沒有統一的標準，對于企業而言，應在管理與技術上，特別是人員信息安全意識上建立工控系統信息安全的“縱深防御”體系。建議如下文。

　　2.4.1　建立企業自己的工控系統信息安全實施操作指南

　　根據國家標準與相關規范，針對企業自身結構，制定相關的管理流程與信息安全管理策略，并修訂相關的管理制度。指南中應包括的主要要素：工控系統生命周期內的安全問題管理；企業網絡結構及其與工控系統的邏輯隔離管理；相關工控設備端口與服務的管理；工控系統權限管理；移動設備（包括U盤）的使用管理；訪問策略管理；外部技術支持與運維的審計與跟蹤管理等等。重點在網絡安全接入控制與資源共享。

　　2.4.2　建立工控系統信息安全的評估制度

　　利用企業的力量或社會的第三方專業機構，對存量的工控系統，進行定期或不定期的信息安全評估，對新項目在設計端就組織好工控系統信息安全的評估與確認。對存在的風險與隱患，能夠得到及時發現與整改，消除隱患與漏洞。

　　2.4.3　設置企業信息安全縱深防御體系

　　（1）互聯網網絡出口：安全防護防火墻、行為管理、防病毒、防入侵；

　　（2）內網安全（MES/ERP層）：企業版的殺毒、EAD終端準入控制系統、DHCP的嗅探功能、廣播風暴抑制等；

　　（3）工控系統安全（PCS層）：采取“邊界-區域-終端-綜合監控管理”策略。

　　邊界及現場防護：采用防火墻及網關/網閘以及運維審計和WIFI入侵檢測與防護，配置安全隔離防護設備。應該強調，隔離與防護設備應具有動態端口監控與防御的功能。

　　區域保護：將該區域設置重點保護區域，防御來自其他區域的威脅。

　　終端保護：DCS/PLC/SCADA操作站與上位機配備信息安全管理系統及防病毒軟件。

　　綜合監控管理平臺：通過該平臺實現動態端口監控、實時報警阻斷、白名單規則與漏洞防護策略下發、用戶及權限管理、日志管理、變更管理、補丁管理、備份與恢復等功能，如PAS的產品在此方面就非常有其特色。

　　3結語

　　工控信息安全形勢非常嚴峻，已引起了一定的重視，但從筆者的觀察發現，還相差甚遠，特別是在危險性及影響性較大的化工行業，盡管功能安全方面做得相對較好（國家有標準及相關的整改時間要求是一方面），但是在信息安全方面最簡單的工控系統的用戶名與密碼管理，形同虛設的情況非常多。因此，理念和意識的問題是關鍵，由于其復雜性遠高于傳統IT，工控系統信息安全工作任重而道遠。