1概述

　　眾所周知，工業(yè)控制系統(tǒng)（Industrial and Control System—ICS或簡稱工控系統(tǒng)）廣泛應用于國家關鍵生產(chǎn)設施和基礎設施，它是系統(tǒng)運行的“中樞”。從工控系統(tǒng)自身來看，隨著計算機和網(wǎng)絡技術的發(fā)展，尤其是信息化與工業(yè)化深度融合，在工業(yè)4.0、智能制造的背景下，工控系統(tǒng)越來越多地采用通用協(xié)議、通用硬件和通用軟件，通過互聯(lián)網(wǎng)等公共網(wǎng)絡連接的業(yè)務系統(tǒng)也越來越普遍，這使得針對工控系統(tǒng)的攻擊行為大幅度增長，也使得工控系統(tǒng)的脆弱性正在逐漸顯現(xiàn)，面臨的信息安全問題日益突出。

　　作為國家重要支柱產(chǎn)業(yè)的化工（包括石油、石化、基礎化工、煤化工等）行業(yè)，由于其行業(yè)的高溫、高壓、易燃、易爆、易腐蝕等特殊性，其工控系統(tǒng)信息安全的重要性更顯得尤為突出。

　　2化工行業(yè)工控系統(tǒng)信息安全面臨的形勢

　　2.1化工行業(yè)生產(chǎn)制造模型

　　化工行業(yè)普遍采用基于ERP、MES和PCS三層架構的管控一體化模型?；ば袠I(yè)智能制造的典型框架如圖1所示。

　　化工生產(chǎn)過程控制大多采用DCS/PLC/SIS/SCADA等系統(tǒng)進行控制，生產(chǎn)上更注重安全和平穩(wěn)運行，安全、穩(wěn)定、長周期、滿負荷、優(yōu)質綠色生產(chǎn)是行業(yè)追求的目標。除了常規(guī)控制外，還通過軟儀表、先進控制和優(yōu)化控制等手段，在保證生產(chǎn)平穩(wěn)的基礎上獲取更大的經(jīng)濟效益。

　　一般情況下，利用實時數(shù)據(jù)庫通過PCS層的DCS等控制系統(tǒng)采集生產(chǎn)過程的實時數(shù)據(jù)，作為生產(chǎn)管理或稱生產(chǎn)制造執(zhí)行系統(tǒng)MES的統(tǒng)一數(shù)據(jù)平臺。MES包含生產(chǎn)計劃、生產(chǎn)調度、操作管理、質量管理、物料管理、生產(chǎn)統(tǒng)計、設備狀態(tài)管理、能源管理等功能模塊構成。

　　經(jīng)營管理層ERP系統(tǒng)主要對企業(yè)的人、財、資產(chǎn)、供銷等資源進行有效、協(xié)同、合規(guī)的管理，并為企業(yè)的經(jīng)營決策提供支撐。

　　MES在其中起到了承上啟下的作用，上連ERP，下連PCS。MES將ERP下發(fā)的生產(chǎn)計劃分解成作業(yè)計劃，通過調度管理下達給PCS層的操作人員，控制系統(tǒng)的結果通過實時數(shù)據(jù)庫的數(shù)據(jù)采集將生產(chǎn)過程反饋到MES，由MES完成相關的數(shù)據(jù)分類、加工、處理，實現(xiàn)生產(chǎn)過程的物料、質量、成本、能源等的管理，最后將統(tǒng)計結果返回到ERP系統(tǒng)。

　　目前大多應用場合，基本是在邊界設置防火墻，即在PCS與MES間設置數(shù)據(jù)采集工業(yè)網(wǎng)關及防火墻，起到一定的邊界防護與安全隔離作用。

　　2.2化工行業(yè)面臨的工控系統(tǒng)信息安全形勢

　　近年來，世界范圍內工控系統(tǒng)發(fā)生的信息安全事件數(shù)量呈幾何倍數(shù)上升態(tài)勢，其主要威脅來源于個人黑客、民間組織、國家政府及企業(yè)員工誤操作等。

　　據(jù)有關材料報道，卡巴斯基實驗室基于OSINT（公開資源情報計劃）和公共來源信息（如ICS CERT-美國工控系統(tǒng)網(wǎng)絡應急響應小組）研究2015年ICS受威脅狀況。調查了170個國家，發(fā)現(xiàn)如下主要問題，數(shù)據(jù)非常觸目驚心。

　?。?）在互聯(lián)網(wǎng)上，可掃描發(fā)現(xiàn)188,019臺工控系統(tǒng)（ICS）設備主機；

　?。?）可遠程訪問的ICS主機中，92%包含漏洞。其中，87%包含中等風險漏洞，7%包含高危漏洞；

　?。?）過去五年中，ICS設備中的漏洞數(shù)量增長了五倍：從2010年的19個漏洞增長到2015年的189個漏洞。包含漏洞最多的ICS設備為人機界面（HMI）、電子設備和SCADA系統(tǒng)；

　?。?）所有能夠外部訪問的ICS設備中，有91.6%使用了較弱的互聯(lián)網(wǎng)連接協(xié)議，讓攻擊者有機可乘，能夠實施“中間人”攻擊。

　　另外，OSVDB（開源漏洞數(shù)據(jù)庫）及ICS-Cert的資料表明，各行業(yè)工控系統(tǒng)的信息安全事件發(fā)生頻率統(tǒng)計數(shù)據(jù)表明化工（石化）行業(yè)的事件數(shù)是最大的，占比為23%，如圖3所示。

　　下列事件是國內化工行業(yè)工控系統(tǒng)信息安全的典型案例。

　　2011年，大慶石化、齊魯石化、西南管線廣東調控中心及多個場站感染病毒，導致控制器通信中斷。

　　2015年6月，國內某石化央企發(fā)生“內鬼”事件，系統(tǒng)內部技術人員，通過該企業(yè)其華東公司SCADA系統(tǒng)開發(fā)了一套病毒程序，病毒爆發(fā)致使系統(tǒng)癱瘓，無法運行。

　　2016年1月29日，中石化洛陽分公司發(fā)現(xiàn)工控網(wǎng)絡E網(wǎng)內存在蠕蟲病毒，導致部分DCS數(shù)據(jù)采集頻繁歸零。

　　2016年4月13日，國家工信部電子科學技術情報研究所發(fā)布第2期工業(yè)控制系統(tǒng)信息安全風險提示：工業(yè)控制設備默認密碼清單被公布，該清單涉及西門子、施耐德電氣等國內外48個廠商134個工程設備型號。

　　由以上數(shù)據(jù)可見，化工行業(yè)工控系統(tǒng)信息安全形勢非常嚴峻。隨著網(wǎng)絡技術、無線技術發(fā)展，開放標準普及，管理控制一體化理念深入，特別是在“互聯(lián)網(wǎng)+”、互聯(lián)互通、“工業(yè)4.0”下的化工智能制造的大環(huán)境背景下，工控系統(tǒng)接入范圍擴展到企業(yè)內網(wǎng)，甚至互聯(lián)網(wǎng)，再到“互聯(lián)網(wǎng)+”，面臨更大的信息安全威脅。

　　2.3化工行業(yè)工控系統(tǒng)信息安全威脅分析

　　我們可以通過以下幾個維度分析化工行業(yè)工控系統(tǒng)信息安全的威脅。

　?。?）PCS層本身，由封閉走向開放所導致

　　·操作站

　　信息技術的高速發(fā)展使DCS、PLC和SCADA等控制系統(tǒng)在過去幾十年的發(fā)展中呈現(xiàn)出整體開放的趨勢。以DCS為例，過去的DCS廠商基本上是以自主開發(fā)為主，提供的系統(tǒng)是封閉的系統(tǒng)。當今的DCS廠商為了追求市場的占有率，更強調開放性與集成性，廠商不再把開發(fā)組態(tài)軟件或制造各種硬件單元視為核心技術，而是紛紛把DCS的各個組成部分采用第三方集成方式或OEM方式，幾乎清一色采用PC+Windows的技術架構。

　　·先進控制等站點（上位機）

　　為了提高生產(chǎn)的穩(wěn)定性與效益，對于精細化管理的企業(yè)大多采用軟儀表、先進控制（APC）、在線優(yōu)化控制等技術手段，而這些技術的安裝、調試一般需要較長的時間，在此期間，工控系統(tǒng)經(jīng)常需要頻繁與外界進行數(shù)據(jù)交換。

　　·控制網(wǎng)絡

　　過去，通信技術相對落后，控制系統(tǒng)的互連是件非常困難的事情，現(xiàn)在，網(wǎng)絡技術開放體現(xiàn)在DCS可以從多個層面與第三方系統(tǒng)互聯(lián)，同時支持多種網(wǎng)絡協(xié)議。目前在與企業(yè)管理網(wǎng)信息平臺互聯(lián)時，大多采用基于TCP（UDP）/IP協(xié)議的以太網(wǎng)通信技術，使用OPC等開放接口標準。

　　·無線通信儀表及無線通信設備

　　無線設備地接入，盡管極大地方便了互通互連并提高了投資回報率，但同時也打開了安全隱患之門。

　　·遠程維護

　　將工控系統(tǒng)建設與實施、維護，分包給第三方，已成為趨勢。另外，“云應用”遠程診斷技術支持已逐漸成為關鍵設備管理的重要手段。

　　·部分工控主設備

　　部分廠商的工控產(chǎn)品存在后門風險，如2011年發(fā)現(xiàn)的施耐德電氣PLC存在多種不同權限的后門賬號。

　　·工控系統(tǒng)的特殊性

　　工控系統(tǒng)具有連續(xù)不可間斷的高可用性與不可延遲的高實時性要求，使得傳統(tǒng)IT的防護方法不適用。開放性為用戶帶來的好處毋庸置疑，但由此引發(fā)的各種安全漏洞與傳統(tǒng)的封閉系統(tǒng)相比卻大大增加。

　?。?）MES/ERP層面，從無到有，從小到大產(chǎn)生處于生產(chǎn)管理與經(jīng)營層MES/ERP系統(tǒng)，其應用場合區(qū)域更廣，人員更多，網(wǎng)絡安全更加復雜。在此，集中關注其對工控系統(tǒng)的安全威脅。

　　綜上所述，對于一個相對開放的工業(yè)控制系統(tǒng)，產(chǎn)生安全漏洞的因素是多方面的，主要的原因有下列幾方面。

　?。?）操作系統(tǒng)安全漏洞

　　作為主流操作系統(tǒng)的Windows，其漏洞大部分危害巨大，惡意代碼通過這些漏洞，甚至可以獲得操作站的完全控制權。因此，操作系統(tǒng)的補丁修補是個關鍵問題。

　?。?）網(wǎng)絡通信協(xié)議安全漏洞

　　為了追求實用性和時效性，大多工控系統(tǒng)的網(wǎng)絡協(xié)議P R O F I N E T 、O P C、DNP 3 、M O D B U S 、PROFIBUS、IEC-104等都存在安全漏洞。特別是化工行業(yè)使用頻繁的OPC協(xié)議，首先它構筑于Windows平臺上，Windows與生具有的漏洞與缺陷依然存在的同時，為了實現(xiàn)信息交互的便利性，一般情況下，所有的client端使用相同的用戶名與密碼讀取OPC server端的數(shù)據(jù)，因此，MES層受到攻擊的情況下，如果MES環(huán)境設置的不合理，就會導致OPC的參數(shù)被修改，威脅到控制系統(tǒng)的安全。同樣，MODBUS等協(xié)議由于更多地考慮時效性與實用性，在使用過程中，犧牲了很多安全性，成為黑客攻擊的主要目標。

　　（3）病毒軟件及其病毒庫升級、更新漏洞

　　由于殺毒軟件可能查殺ICS的部分軟件，且其病毒庫需要不定期的升級、更新，因此大多上位機/操作站未安裝防病毒軟件，勢必造成病毒感染的風險。

　?。?）安全策略與管理漏洞

　　技術與管理特別是人員信息安全意識缺乏是最大的漏洞。如安全策略與管理流程的梳理、移動設備使用管理、訪問控制策略部署等。如上位機/操作站用戶名、密碼管理與控制，上位機/操作站多余端口的管理，外部技術支持與運維的審計與監(jiān)管等。

　?。?）硬件產(chǎn)品漏洞

　　工控產(chǎn)品因軟、硬件更新、升級限制，漏洞不能得到及時修補。

　　（6）應用軟件漏洞

　　工控系統(tǒng)應用軟件產(chǎn)生的漏洞是最直接、最致命的。一方面應用軟件形式多樣，很難形成統(tǒng)一的防護規(guī)范以應對安全問題；另一方面最嚴重的是，當應用軟件面向網(wǎng)絡應用時，就必須開放其應用端口。

　　2.4化工行業(yè)工控系統(tǒng)信息安全防范措施建議

　　綜上分析，隨著兩化融合、智能制造的推進，化工工控系統(tǒng)環(huán)境趨于更加復雜，聯(lián)網(wǎng)需求大幅增加，多種互聯(lián)接入方式并行存在，物理邊界模糊，安全風險指數(shù)大為增加，業(yè)務識別、防范壓力則在不斷增大。盡管目前一些主流的工控產(chǎn)品供應商采取了一些措施，如Honeywell在其PKS系統(tǒng)的控制器中集成了防火墻、西門子在網(wǎng)絡交換機上嵌入了防火墻、ROCKWELL Automation推出了深度數(shù)據(jù)包檢測（DPI）技術，但這些還遠遠不夠。目前由于沒有統(tǒng)一的標準，對于企業(yè)而言，應在管理與技術上，特別是人員信息安全意識上建立工控系統(tǒng)信息安全的“縱深防御”體系。建議如下文。

　　2.4.1　建立企業(yè)自己的工控系統(tǒng)信息安全實施操作指南

　　根據(jù)國家標準與相關規(guī)范，針對企業(yè)自身結構，制定相關的管理流程與信息安全管理策略，并修訂相關的管理制度。指南中應包括的主要要素：工控系統(tǒng)生命周期內的安全問題管理；企業(yè)網(wǎng)絡結構及其與工控系統(tǒng)的邏輯隔離管理；相關工控設備端口與服務的管理；工控系統(tǒng)權限管理；移動設備（包括U盤）的使用管理；訪問策略管理；外部技術支持與運維的審計與跟蹤管理等等。重點在網(wǎng)絡安全接入控制與資源共享。

　　2.4.2　建立工控系統(tǒng)信息安全的評估制度

　　利用企業(yè)的力量或社會的第三方專業(yè)機構，對存量的工控系統(tǒng)，進行定期或不定期的信息安全評估，對新項目在設計端就組織好工控系統(tǒng)信息安全的評估與確認。對存在的風險與隱患，能夠得到及時發(fā)現(xiàn)與整改，消除隱患與漏洞。

　　2.4.3　設置企業(yè)信息安全縱深防御體系

　?。?）互聯(lián)網(wǎng)網(wǎng)絡出口：安全防護防火墻、行為管理、防病毒、防入侵；

　?。?）內網(wǎng)安全（MES/ERP層）：企業(yè)版的殺毒、EAD終端準入控制系統(tǒng)、DHCP的嗅探功能、廣播風暴抑制等；

　　（3）工控系統(tǒng)安全（PCS層）：采取“邊界-區(qū)域-終端-綜合監(jiān)控管理”策略。

　　邊界及現(xiàn)場防護：采用防火墻及網(wǎng)關/網(wǎng)閘以及運維審計和WIFI入侵檢測與防護，配置安全隔離防護設備。應該強調，隔離與防護設備應具有動態(tài)端口監(jiān)控與防御的功能。

　　區(qū)域保護：將該區(qū)域設置重點保護區(qū)域，防御來自其他區(qū)域的威脅。

　　終端保護：DCS/PLC/SCADA操作站與上位機配備信息安全管理系統(tǒng)及防病毒軟件。

　　綜合監(jiān)控管理平臺：通過該平臺實現(xiàn)動態(tài)端口監(jiān)控、實時報警阻斷、白名單規(guī)則與漏洞防護策略下發(fā)、用戶及權限管理、日志管理、變更管理、補丁管理、備份與恢復等功能，如PAS的產(chǎn)品在此方面就非常有其特色。

　　3結語

　　工控信息安全形勢非常嚴峻，已引起了一定的重視，但從筆者的觀察發(fā)現(xiàn)，還相差甚遠，特別是在危險性及影響性較大的化工行業(yè)，盡管功能安全方面做得相對較好（國家有標準及相關的整改時間要求是一方面），但是在信息安全方面最簡單的工控系統(tǒng)的用戶名與密碼管理，形同虛設的情況非常多。因此，理念和意識的問題是關鍵，由于其復雜性遠高于傳統(tǒng)IT，工控系統(tǒng)信息安全工作任重而道遠。