宮亞峰 中國互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)

張格 程宇 工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所

摘要：工業(yè)控制系統(tǒng)是運(yùn)用信息技術(shù)、電子技術(shù)、通信技術(shù)和計(jì)算機(jī)技術(shù)等，實(shí)現(xiàn)工業(yè)生產(chǎn)管理過程自動(dòng)化的技術(shù)應(yīng)用系統(tǒng)。隨著工業(yè)自動(dòng)控制和信息化技術(shù)的發(fā)展，工業(yè)控制系統(tǒng)在冶金、電力、石化、鐵路、航空、航天和國防工業(yè)等各個(gè)領(lǐng)域得到了廣泛的應(yīng)用。由于工業(yè)自動(dòng)控制系統(tǒng)重點(diǎn)解決的是工業(yè)生產(chǎn)過程的自動(dòng)化、高效率、低能耗等問題，較少地關(guān)注工業(yè)自動(dòng)控制系統(tǒng)中的信息對生產(chǎn)安全和工業(yè)控制系統(tǒng)本身安全的影響。近年來，國內(nèi)外不斷暴露出工業(yè)控制系統(tǒng)信息安全的事故、隱患等問題，其對工業(yè)生產(chǎn)的影響和對國家重要工業(yè)基礎(chǔ)設(shè)施的嚴(yán)重破壞，直接威脅到國家和企業(yè)的安全。因此，廣泛地從理論和應(yīng)用方面深入開展工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題研究具有十分重要和深遠(yuǎn)的國家戰(zhàn)略意義。

為此，在分析國、內(nèi)外工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全狀況基礎(chǔ)上，進(jìn)一步研究梳理工業(yè)控制系統(tǒng)脆弱點(diǎn)、安全隱患和可能存在的安全風(fēng)險(xiǎn)，簡要介紹剛剛發(fā)布的國家標(biāo)準(zhǔn)GB/T32919-2016《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》的主要內(nèi)容，希望從物理和環(huán)境安全、網(wǎng)絡(luò)安全（通信協(xié)議防護(hù)）、身份鑒別、訪問控制、安全審計(jì)（監(jiān)控環(huán)節(jié)）、系統(tǒng)與信息完整性、應(yīng)急計(jì)劃等方面給工業(yè)控制系統(tǒng)建設(shè)、管理和運(yùn)維人員提供一個(gè)可參考、可操作的安全基線，以及基本的安全控制策略和應(yīng)對措施。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；網(wǎng)絡(luò)安全；安全控制；標(biāo)準(zhǔn)規(guī)范

宮亞峰 

中國互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)委員

（1956-）男，吉林人，高級工程師，中國互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)委員，中國信息安全服務(wù)認(rèn)證專業(yè)技術(shù)委員會(huì)委員。長期從事國家網(wǎng)絡(luò)安全戰(zhàn)略和信息技術(shù)安全研究，參與了大量國防科研和大型計(jì)算機(jī)網(wǎng)絡(luò)、信息安全系統(tǒng)的規(guī)劃、建設(shè)、科研和運(yùn)行管理工作。組織承擔(dān)了多項(xiàng)重大科研和工程建設(shè)項(xiàng)目，負(fù)責(zé)了多項(xiàng)國家標(biāo)準(zhǔn)編制研究、國家863課題研究和國家信息安全專項(xiàng)工程建設(shè)。曾獲科技進(jìn)步成果獎(jiǎng)十余項(xiàng)。

1　引言

工業(yè)控制系統(tǒng)是運(yùn)用信息技術(shù)、電子技術(shù)、通信技術(shù)和計(jì)算機(jī)技術(shù)等，實(shí)現(xiàn)工業(yè)生產(chǎn)管理過程自動(dòng)化的技術(shù)應(yīng)用系統(tǒng)。隨著人類社會(huì)生產(chǎn)活動(dòng)的進(jìn)步，工業(yè)自動(dòng)控制和信息化技術(shù)的發(fā)展，工業(yè)控制系統(tǒng)在冶金、電力、石化、鐵路、航空、航天和國防工業(yè)等各個(gè)領(lǐng)域得到了廣泛的應(yīng)用。在工業(yè)生產(chǎn)過程自動(dòng)化控制系統(tǒng)中大量應(yīng)用了數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等工業(yè)控制系統(tǒng)（ICS）。

工業(yè)自動(dòng)控制系統(tǒng)在工業(yè)生產(chǎn)中的應(yīng)用，首先解決的是工業(yè)生產(chǎn)過程的自動(dòng)化、精準(zhǔn)度和高效率、低能耗，以及減輕勞動(dòng)強(qiáng)度和降低人工成本等問題，主要追求產(chǎn)品的高品質(zhì)、高質(zhì)量和高速度等目標(biāo)，較少關(guān)注工業(yè)自動(dòng)控制系統(tǒng)中的信息對生產(chǎn)安全和工業(yè)控制系統(tǒng)本身的影響，對工業(yè)控制系統(tǒng)設(shè)計(jì)有關(guān)信息安全防護(hù)體系的關(guān)注更是少之又少。近年來，國內(nèi)外不斷暴露出工業(yè)控制系統(tǒng)信息安全的事故、隱患等問題，其對工業(yè)生產(chǎn)的影響和對工業(yè)控制系統(tǒng)等國家重要工業(yè)基礎(chǔ)設(shè)施的嚴(yán)重破壞，直接威脅到國家和企業(yè)的安全。因此，廣泛深入研究工業(yè)控制系統(tǒng)的信息安全問題具有十分重要和深遠(yuǎn)的國家戰(zhàn)略意義，維護(hù)國家工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全是實(shí)現(xiàn)強(qiáng)國夢的重要保證。

2　工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全狀況

2.1　工業(yè)控制系統(tǒng)發(fā)展

工業(yè)控制系統(tǒng)起源于西方發(fā)達(dá)國家的工業(yè)革命和信息化時(shí)代，并在這些國家的工業(yè)領(lǐng)域得到了普遍應(yīng)用。目前，隨著自動(dòng)控制理論及技術(shù)的發(fā)展，先進(jìn)控制、模糊控制、人工神經(jīng)網(wǎng)絡(luò)、人工智能技術(shù)和專家系統(tǒng)已開始應(yīng)用于新一代工業(yè)控制系統(tǒng)產(chǎn)品中，除個(gè)別行業(yè)、個(gè)別工業(yè)控制技術(shù)外，整體來看，西方發(fā)達(dá)國家在工控系統(tǒng)領(lǐng)域始終處于工業(yè)生產(chǎn)、控制的統(tǒng)治和領(lǐng)先地位。

在世界范圍特別是發(fā)達(dá)國家，工業(yè)控制系統(tǒng)應(yīng)用十分廣泛，目前在運(yùn)行的工業(yè)控制系統(tǒng)已達(dá)到數(shù)千萬套，涉及電力的生產(chǎn)、傳輸和使用，水處理與使用，石油、天然氣的精煉與傳輸，化學(xué)制品的生產(chǎn)與處理，交通運(yùn)輸?shù)雀鱾€(gè)領(lǐng)域。

我國工業(yè)控制系統(tǒng)研究起步較晚，但發(fā)展迅速。“九五”期間，我國工業(yè)控制系統(tǒng)建設(shè)已初具規(guī)模。“十五”期間，工業(yè)控制系統(tǒng)建設(shè)進(jìn)入了大發(fā)展時(shí)期。石化行業(yè)，從大型油氣田到數(shù)萬公里的原油、天然氣和成品油輸送管線，大規(guī)模采用工業(yè)控制系統(tǒng)；電力行業(yè)，工業(yè)控制系統(tǒng)進(jìn)入發(fā)電、調(diào)度、變電、配電和用電等各個(gè)環(huán)節(jié)；鐵路行業(yè)，全國電氣化鐵路已部署工業(yè)控制系統(tǒng)，基本實(shí)現(xiàn)了牽引電力的自動(dòng)化調(diào)度，北京、上海、廣州和深圳等大城市的地鐵或城鐵均采用了工業(yè)控制系統(tǒng)；水利行業(yè)，國家防汛指揮系統(tǒng)更新改造大量水情分中心，采用工業(yè)控制系統(tǒng)進(jìn)行區(qū)域和全國聯(lián)網(wǎng)；公用事業(yè)行業(yè)，大中城市的燃?xì)廨斉洌┧⒐帷⑴潘⑽鬯幚淼染占傲斯I(yè)控制系統(tǒng)。隨著基礎(chǔ)產(chǎn)業(yè)領(lǐng)域內(nèi)網(wǎng)絡(luò)化、系統(tǒng)化、自動(dòng)化、集成化程度的不斷提高，工業(yè)控制系統(tǒng)在國民經(jīng)濟(jì)和社會(huì)生活中的基礎(chǔ)性、全局性作用日益增強(qiáng)，工業(yè)控制系統(tǒng)在我國的應(yīng)用范圍和部署規(guī)模快速追趕發(fā)達(dá)國家。

隨著信息化技術(shù)的進(jìn)步，以自動(dòng)化為代表的自動(dòng)控制技術(shù)在工業(yè)生產(chǎn)領(lǐng)域得到了廣泛的應(yīng)用。在現(xiàn)代工業(yè)生產(chǎn)過程中大量使用的工業(yè)控制系統(tǒng)包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、遠(yuǎn)程終端（RTU）、智能電子設(shè)備（IED）等，其依托專用或公共通信網(wǎng)絡(luò)，以采集生產(chǎn)過程數(shù)據(jù)為依據(jù)，對生產(chǎn)過程進(jìn)行自動(dòng)控制。工業(yè)控制系統(tǒng)已經(jīng)成為普遍應(yīng)用于現(xiàn)代電力、石油、天然氣、鐵路、供水、化工等大規(guī)模基礎(chǔ)產(chǎn)業(yè)生產(chǎn)系統(tǒng)的典型自動(dòng)控制生產(chǎn)系統(tǒng)。

2.2　工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題

目前在用的大多數(shù)工業(yè)控制系統(tǒng)的設(shè)計(jì)迎合了工業(yè)生產(chǎn)的可行性、可靠性、安全性和靈活性的要求。一般情況下，這些系統(tǒng)都與公共網(wǎng)絡(luò)物理分離，它們建立的基礎(chǔ)是專用硬件、軟件和具備基本糾錯(cuò)功能的通信協(xié)議，而這些通信協(xié)議則缺少互聯(lián)網(wǎng)絡(luò)環(huán)境下系統(tǒng)所需的網(wǎng)絡(luò)安全保障。盡管對數(shù)據(jù)運(yùn)行的可靠性、可維護(hù)性及其適用性有所考慮，但還未考慮到該系統(tǒng)內(nèi)部對于網(wǎng)絡(luò)安全措施的需要。

一段時(shí)間以來，工業(yè)控制系統(tǒng)的安全性似乎就僅指安全的物理進(jìn)入網(wǎng)絡(luò)和系統(tǒng)控制臺。從20世紀(jì)80年代和90年代，工業(yè)控制系統(tǒng)伴隨著信息處理器、個(gè)人電腦和網(wǎng)絡(luò)技術(shù)演變而發(fā)展。尤其是20世紀(jì)90年代末，互聯(lián)網(wǎng)技術(shù)開始進(jìn)入到了工業(yè)控制系統(tǒng)的設(shè)計(jì)中。這些變化使工業(yè)控制系統(tǒng)暴露于大量的攻擊威脅中，大大增加了工業(yè)控制系統(tǒng)被損害的可能性。而目前工業(yè)控制系統(tǒng)安全防護(hù)水平還難以有效應(yīng)對日益增長的各類安全威脅。

從當(dāng)前網(wǎng)絡(luò)黑客所掌握的攻擊技術(shù)來看，存有惡意企圖的攻擊者可能會(huì)利用一些工業(yè)控制系統(tǒng)的安全漏洞獲取諸如石油、天然氣管道以及其他大型設(shè)備的控制權(quán)并進(jìn)行致癱攻擊，必將直接使國家基礎(chǔ)設(shè)施和重要系統(tǒng)的生產(chǎn)和設(shè)備蒙受重大損失。

2.3　發(fā)達(dá)國家工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全狀況

由于工業(yè)控制系統(tǒng)安全關(guān)乎國民經(jīng)濟(jì)和社會(huì)生活，有關(guān)方面并不愿意詳細(xì)披露相關(guān)安全事件。隨著伊朗震網(wǎng)事件后，國外工業(yè)控制系統(tǒng)安全事件才逐漸被各方關(guān)注，一些案例陸續(xù)見諸于公開報(bào)道，但實(shí)際發(fā)生的事件遠(yuǎn)不止被報(bào)道公布的數(shù)量，業(yè)界估計(jì)每年未報(bào)道的攻擊事件約達(dá)千例數(shù)量級。近年來，對工業(yè)控制系統(tǒng)的攻擊呈快速增長趨勢，據(jù)有關(guān)資料反映，2000年以來對工業(yè)控制系統(tǒng)的有效攻擊數(shù)量增長了近10倍，2002年上半年就有70%的能源與電力公司經(jīng)歷了網(wǎng)絡(luò)攻擊。2004年，美國國土安全部發(fā)現(xiàn)了1700余個(gè)SCADA設(shè)施存有可被外部攻擊的漏洞，這些設(shè)施包括化工廠、購物中心、水壩和橋梁等。美國能源部國家實(shí)驗(yàn)室舉行的針對電網(wǎng)SCADA系統(tǒng)的演習(xí)，多次成功地控制了多個(gè)地區(qū)的電力公司。人們對由工業(yè)控制系統(tǒng)支撐的基礎(chǔ)設(shè)施可能遭遇的攻擊表示擔(dān)憂，并將這種前景描述為：將來某一天可能會(huì)發(fā)生“數(shù)字滑鐵盧”或“電子珍珠港”事件。

從以上安全事件可見發(fā)達(dá)國家工業(yè)控制系統(tǒng)運(yùn)營使用早、安全意識強(qiáng)，即便如此，這些發(fā)達(dá)國家的工業(yè)控制系統(tǒng)也存在諸多安全問題，在工業(yè)控制系統(tǒng)平臺、網(wǎng)絡(luò)、運(yùn)行、管理等方面均存在脆弱性。

2.4　我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全狀況

我國工業(yè)控制系統(tǒng)發(fā)展歷史不長，但發(fā)展速度快，產(chǎn)業(yè)規(guī)模大。不容否認(rèn)我國工控系統(tǒng)安全防護(hù)體系建設(shè)明顯滯后于系統(tǒng)建設(shè)，在防護(hù)意識、防護(hù)策略、防護(hù)機(jī)制、法規(guī)標(biāo)準(zhǔn)、檢查檢測、應(yīng)急處置等方面都存在不少問題，很多領(lǐng)域的工控系統(tǒng)網(wǎng)絡(luò)安全保障還基本處于空白狀態(tài)，很難抵御類似烏克蘭電網(wǎng)遭受的攻擊。面對現(xiàn)實(shí)或潛在的威脅，我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全存在較大的安全風(fēng)險(xiǎn)。

（1）關(guān)鍵資產(chǎn)底數(shù)不清。我國工業(yè)控制系統(tǒng)應(yīng)用和部署在多個(gè)條塊分割的垂直體系中，哪些資產(chǎn)和多少資產(chǎn)被列為國家重點(diǎn)防護(hù)對象，底數(shù)不清。

（2）漏洞與威脅情況不明。目前尚未建立工業(yè)控制系統(tǒng)漏洞挖掘、脆弱性分析和威脅監(jiān)測等工作體系，對工業(yè)控制系統(tǒng)的安全性缺乏全面的認(rèn)識和了解。

（3）關(guān)鍵防護(hù)技術(shù)開發(fā)滯后。大面積采用無線電方式進(jìn)行組網(wǎng)，但又缺乏相應(yīng)密碼技術(shù)的保護(hù)，發(fā)達(dá)國家大力開發(fā)的工業(yè)控制密碼在我國還是空白。

（4）安全防護(hù)各自為戰(zhàn)。不同領(lǐng)域的工業(yè)控制系統(tǒng)關(guān)系緊密，但安全防護(hù)并沒有作為相對獨(dú)立的領(lǐng)域進(jìn)行建設(shè)。

（5）社會(huì)力量后援不足。工業(yè)控制系統(tǒng)安全防護(hù)問題沒有像互聯(lián)網(wǎng)安全那樣受到全社會(huì)關(guān)注，缺乏科研院所、大專院校乃至公眾的參與和后援。

（6）缺乏網(wǎng)絡(luò)空間對抗準(zhǔn)備。工業(yè)控制系統(tǒng)的部署方式缺乏防護(hù)意識，要害部位沒有針對網(wǎng)絡(luò)空間作戰(zhàn)進(jìn)行設(shè)防，武裝力量在關(guān)鍵基礎(chǔ)設(shè)施防護(hù)工作中的職責(zé)不夠明確。

3　工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全分析

3.1　工業(yè)控制系統(tǒng)面臨的威脅

工業(yè)控制系統(tǒng)是現(xiàn)代電力、石油、天然氣、鐵路、供水、化工、國防軍工等關(guān)系國家命脈的基礎(chǔ)產(chǎn)業(yè)的神經(jīng)中樞。隨著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化、系統(tǒng)化、自動(dòng)化、集成化的不斷提高，其面臨的安全威脅日益增長。從發(fā)生的典型事件看，工業(yè)控制系統(tǒng)面臨著諸多的安全威脅，其中包括敵對勢力、恐怖組織、工業(yè)間諜、心懷不滿的員工、惡意入侵者，以及人為錯(cuò)誤、意外事故、設(shè)備故障和自然災(zāi)害等。與傳統(tǒng)的IT系統(tǒng)一樣，系統(tǒng)面臨著黑客、惡意代碼、外力破壞、自然災(zāi)害、軟硬件故障、電力故障等傳統(tǒng)威脅。系統(tǒng)一旦發(fā)生安全事件，損害程度將非常嚴(yán)重。

3.2　工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全隱患

工業(yè)控制系統(tǒng)體系結(jié)構(gòu)不同于互聯(lián)網(wǎng)，一方面高度集中的縱向多層機(jī)構(gòu)使得脆弱性高度集中，另一方面網(wǎng)絡(luò)安全事件能直接導(dǎo)致物理上的有形損失或傷害。因此，工業(yè)控制系統(tǒng)安全又具有特殊性。在發(fā)達(dá)國家或地區(qū)，工業(yè)控制系統(tǒng)安全是網(wǎng)絡(luò)安全保障中相對獨(dú)立的領(lǐng)域。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全隱患常見于：明文通信，特權(quán)用戶管理不嚴(yán)，弱鑒權(quán)、甚至無鑒權(quán)，弱口令、默認(rèn)口令、全網(wǎng)統(tǒng)一口令、從未修改口令，編碼漏洞（緩沖器溢出等），無用服務(wù)（系統(tǒng)中開放過多不需要的服務(wù)和端口），網(wǎng)絡(luò)地址欺騙或旁路，腳本和接口編程，大量的通訊基于一兩個(gè)端口，基于Windows平臺的控制中心存在大量已知和未知漏洞，固化的RTU設(shè)備系統(tǒng)難于升級，關(guān)鍵數(shù)據(jù)基于公網(wǎng)傳輸，未及時(shí)補(bǔ)丁的組件，WEB服務(wù)器安全，系統(tǒng)分散邊界保護(hù)不足，應(yīng)用、服務(wù)的敏感信息泄露，管理和調(diào)度網(wǎng)絡(luò)間界限不明晰，進(jìn)口設(shè)備系統(tǒng)面臨廢型停產(chǎn)，大量應(yīng)用系統(tǒng)開發(fā)于20年前，設(shè)計(jì)上未考慮安全問題等。

3.3　工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全脆弱性

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)設(shè)備、產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，通過各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制設(shè)備、產(chǎn)品的信息系統(tǒng)擴(kuò)散。另一方面，傳統(tǒng)工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議，設(shè)計(jì)上基本沒有考慮互聯(lián)互通所必須考慮的信息安全問題。而業(yè)務(wù)和技術(shù)的發(fā)展，使工業(yè)控制網(wǎng)絡(luò)與企業(yè)管理網(wǎng)絡(luò)間互聯(lián)互通的數(shù)據(jù)交換、信息共享越來越普遍。

因此，工業(yè)控制系統(tǒng)受到的網(wǎng)絡(luò)安全威脅越來越嚴(yán)重。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)來源主要包括：網(wǎng)絡(luò)、設(shè)備、產(chǎn)品的漏洞和脆弱性；采用無任何防護(hù)的專用硬件、軟件和通信協(xié)議；信息安全重視不夠、連接無序、數(shù)據(jù)保護(hù)和應(yīng)急管理不足；設(shè)計(jì)上考慮工控系統(tǒng)的封閉性，主要以傳統(tǒng)生產(chǎn)安全和可靠性為主；默認(rèn)配置、連接、組網(wǎng)、采購升級無序；主要基于工業(yè)應(yīng)用的場景和執(zhí)行效率等。其脆弱性表現(xiàn)為：

（1）策略與規(guī)程脆弱性

策略與規(guī)程脆弱性：指安全策略或安全規(guī)程不健全。例如：缺乏安全策略，缺乏正規(guī)安全培訓(xùn)，系統(tǒng)設(shè)計(jì)階段沒有從體系結(jié)構(gòu)上考慮安全，缺乏有效的管理機(jī)制去落實(shí)安全制度，對安全狀況沒有進(jìn)行審計(jì)，沒有容災(zāi)和應(yīng)急預(yù)案以及配置管理缺失等。

（2）平臺脆弱性

平臺脆弱性：指工控系統(tǒng)平臺的漏洞、配置不當(dāng)和維護(hù)缺失所導(dǎo)致的脆弱性。這類脆弱性進(jìn)一步分為配置脆弱性、硬件脆弱性、軟件脆弱性和惡意軟件防護(hù)脆弱性等。

（3）網(wǎng)絡(luò)脆弱性

網(wǎng)絡(luò)脆弱性：指工控系統(tǒng)網(wǎng)絡(luò)的漏洞、配置不當(dāng)以及網(wǎng)絡(luò)管理水平低下所導(dǎo)致的脆弱性。這類脆弱性進(jìn)一步分為配置脆弱性、硬件脆弱性、邊界脆弱性、監(jiān)視與日志脆弱性、通信脆弱性、無線連接脆弱性等。

（4）安全管理、標(biāo)準(zhǔn)和人才的脆弱性

安全管理、標(biāo)準(zhǔn)和人才的脆弱性：缺乏完整有效安全管理，過多的強(qiáng)調(diào)網(wǎng)絡(luò)邊界的防護(hù)、內(nèi)部環(huán)境的封閉，讓內(nèi)部安全管理變得混亂。另外，既了解工控系統(tǒng)原理和業(yè)務(wù)操作又懂信息安全的人才少之又少，為工控系統(tǒng)安全管理的脆弱埋下了伏筆。內(nèi)網(wǎng)審計(jì)、監(jiān)控、準(zhǔn)入、認(rèn)證、終端管理等缺失也是造成工控系統(tǒng)安全威脅的重要原因。如：使用U盤、光盤導(dǎo)致的病毒傳播、筆記本電腦的隨意接入與撥號、ICS缺少監(jiān)控和審計(jì)等問題。

3.4　工業(yè)控制系統(tǒng)與IT系統(tǒng)信息安全脆弱性對比

工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)為基礎(chǔ)的信息技術(shù)系統(tǒng)有許多不同。傳統(tǒng)工業(yè)控制系統(tǒng)出現(xiàn)于臺式計(jì)算機(jī)和國際互聯(lián)網(wǎng)之前，使用專用的硬件、軟件和通信協(xié)議，物理上與外部網(wǎng)絡(luò)世界隔離，設(shè)計(jì)上以物理安全為主，基本上沒有考慮互聯(lián)互通所必需考慮的通信安全等問題。上個(gè)世紀(jì)90年代末，互聯(lián)網(wǎng)技術(shù)進(jìn)入工控領(lǐng)域，傳統(tǒng)信息系統(tǒng)與工控系統(tǒng)集成，在賦予工控系統(tǒng)許多傳統(tǒng)信息系統(tǒng)能力的同時(shí)打開了工控系統(tǒng)封閉的疆界，使得工控系統(tǒng)安全發(fā)生了重大變化。

然而，傳統(tǒng)信息系統(tǒng)安全措施或手段卻很難完全照搬過來解決工控系統(tǒng)的安全問題。在安全問題上，工控系統(tǒng)與IT系統(tǒng)在需求上存在差異。工控系統(tǒng)高度集中的縱向多層結(jié)構(gòu)使得脆弱性高度集中，而且網(wǎng)絡(luò)安全事件能直接導(dǎo)致物理上的有形損失或傷害。從安全角度出發(fā)，二者不同之處如下：

（1）性能方面：工控系統(tǒng)對信息傳遞實(shí)時(shí)性要求高而帶寬要求低，IT系統(tǒng)則相反。

（2）可用性方面：IT系統(tǒng)在遇到程序故障后可以重啟，而對于處于實(shí)時(shí)運(yùn)行的工控系統(tǒng)，中斷運(yùn)行是不能接受的，一旦宕機(jī)將會(huì)影響業(yè)務(wù)的執(zhí)行，甚至導(dǎo)致大規(guī)模的災(zāi)難性事件。因此，在工控系統(tǒng)中進(jìn)行軟件更新或者補(bǔ)丁安裝要十分謹(jǐn)慎，必須提前進(jìn)行嚴(yán)格的測試，保證不會(huì)影響系統(tǒng)的正常運(yùn)行。

（3）風(fēng)險(xiǎn)管理方面：IT系統(tǒng)優(yōu)先考慮數(shù)據(jù)的保密性和完整性，而工控系統(tǒng)則是人身安全和系統(tǒng)容錯(cuò)。

（4）架構(gòu)的安全關(guān)注點(diǎn)：IT系統(tǒng)注重保護(hù)設(shè)備資產(chǎn)和存儲/傳輸?shù)臄?shù)據(jù)安全；工控系統(tǒng)關(guān)注遠(yuǎn)端現(xiàn)場設(shè)備。關(guān)注點(diǎn)不同，安全等級的劃分和采取的措施強(qiáng)度也不相同。

（5）對響應(yīng)時(shí)間要求嚴(yán)格：工控系統(tǒng)對通信的一個(gè)主要要求是實(shí)時(shí)，因此采用的訪問控制方法不能過于復(fù)雜（而IT系統(tǒng)從安全角度考慮，往往采用公鑰認(rèn)證或高強(qiáng)度口令實(shí)現(xiàn)訪問控制），以免影響緊急事件的響應(yīng)速度。比如在發(fā)生緊急狀況時(shí)，由于管理員一時(shí)緊張而忘記長而復(fù)雜的口令，不能及時(shí)對事件進(jìn)行處理，可能會(huì)導(dǎo)致嚴(yán)重的災(zāi)害。

（6）設(shè)備生命周期：IT系統(tǒng)的設(shè)備生命周期為3~5年；工控系統(tǒng)的設(shè)備生命周期為15~20年。IT系統(tǒng)設(shè)備更新快，便于新技術(shù)的普及與使用，而工控系統(tǒng)在這方面就受到了限制。

（7）處理能力有限：通常工控系統(tǒng)和它的實(shí)時(shí)操作系統(tǒng)都是資源受限系統(tǒng)，有限的處理能力導(dǎo)致在工控系統(tǒng)設(shè)備上使用復(fù)雜的IT系統(tǒng)加密、Hash計(jì)算等安全手段有難度。

（8）通信協(xié)議專有：工控系統(tǒng)采用私有協(xié)議進(jìn)行通信，這些協(xié)議在設(shè)計(jì)之初并沒有考慮安全因素，加之IT系統(tǒng)所采用的通信安全技術(shù)無法應(yīng)用在工控通信協(xié)議中，導(dǎo)致控制報(bào)文很容易被竊聽或攻擊。

進(jìn)一步分析，工控系統(tǒng)與IT系統(tǒng)有質(zhì)的差別：

一是網(wǎng)絡(luò)邊緣不同。工控系統(tǒng)在地域上分布廣闊，其邊緣部分是智能程度不高的含傳感和控制功能的遠(yuǎn)動(dòng)裝置，而不是IT系統(tǒng)邊緣的通用計(jì)算機(jī)，兩者之間在物理安全需求上差異很大。

二是體系結(jié)構(gòu)不同。工控系統(tǒng)結(jié)構(gòu)縱向高度集成，主站節(jié)點(diǎn)和終端節(jié)點(diǎn)之間是主從關(guān)系，IT系統(tǒng)則是扁平的對等關(guān)系，兩者之間在脆弱節(jié)點(diǎn)分布上差異很大。

三是傳輸內(nèi)容不同。IT系統(tǒng)是公共和個(gè)人的信息，安全問題大多集中在語義層面；工控系統(tǒng)則是工業(yè)設(shè)備的“四遙信息”，安全問題大多集中于物理層面，安全防護(hù)要延伸到物理層并防止復(fù)雜的控制關(guān)系所產(chǎn)生的聯(lián)鎖效應(yīng)。

3.5　IT系統(tǒng)網(wǎng)絡(luò)安全威脅與防護(hù)措施對工業(yè)控制系統(tǒng)的影響

工業(yè)控制系統(tǒng)運(yùn)行引發(fā)出許多與大多數(shù)IT系統(tǒng)不同的安全挑戰(zhàn)。例如大多數(shù)安全措施是為對付互聯(lián)網(wǎng)上黑客制定的。互聯(lián)網(wǎng)環(huán)境與工業(yè)控制系統(tǒng)運(yùn)行環(huán)境差異較大。所以在安全行業(yè)中對安全需求以及安全措施可能影響工業(yè)控制系統(tǒng)運(yùn)行的特殊要求。

（1）拒絕服務(wù)的影響：IT系統(tǒng)所制定的安全服務(wù)和技術(shù)主要是為了并不具有嚴(yán)格性能和可靠性要求的應(yīng)用和行業(yè)，而這些恰恰是工業(yè)控制系統(tǒng)運(yùn)行所需要的。例如：與授權(quán)客戶不能訪問其銀行帳戶相比，使授權(quán)調(diào)度員無法訪問工業(yè)控制系統(tǒng)遠(yuǎn)端站場控制有可能造成更為嚴(yán)重的后果。所以拒絕服務(wù)的威脅遠(yuǎn)比許多典型互聯(lián)網(wǎng)交易更為巨大。

（2）加密傳輸：工業(yè)控制系統(tǒng)在應(yīng)用中，許多通信信道是窄帶的，而且端設(shè)備經(jīng)常受到內(nèi)存和計(jì)算機(jī)能力的限制，從而由于某些安全措施所需的開銷會(huì)受到限制，如加密和密鑰交換。

（3）密鑰管理：大多數(shù)工業(yè)控制系統(tǒng)和設(shè)備是位于地域廣大而分散、無人的遠(yuǎn)方場所，且根本沒有接入到互聯(lián)網(wǎng)。這使得密鑰管理、證書撤消和其它一些安全措施難于實(shí)現(xiàn)。

（4）公網(wǎng)聯(lián)接：許多系統(tǒng)都由公共線路通信通道連接（條件所限無專網(wǎng)），由于協(xié)議不兼容，所以工業(yè)通用的網(wǎng)絡(luò)安全措施（協(xié)議）不能被接受。

（5）無線通信的影響：雖然無線通信得到廣泛地應(yīng)用，但工業(yè)控制系統(tǒng)實(shí)施這些無線技術(shù)的場所和所實(shí)現(xiàn)的功能，有較多限制；部分是因?yàn)檫h(yuǎn)端站場惡劣的電磁環(huán)境對可用性的潛在影響（如變電站的高電噪聲環(huán)境）；部分是因?yàn)橐恍?yīng)用要求非常快速且極其可靠的響應(yīng)（吞吐量），即使許多無線系統(tǒng)使用了安全措施，然而這些措施可能增加開銷（盡管開銷是類似于有線介質(zhì)）。

4　《工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》簡介

國家標(biāo)準(zhǔn)GB/T32919-2016《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》是我國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系中的一項(xiàng)重要標(biāo)準(zhǔn)。

該標(biāo)準(zhǔn)是在深入研究國外工業(yè)控制系統(tǒng)相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，充分調(diào)研國內(nèi)工業(yè)控制系統(tǒng)應(yīng)用的安全狀況，認(rèn)真分析總結(jié)有關(guān)行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)用管理經(jīng)驗(yàn)，廣泛聽取專家意見基礎(chǔ)上完成的。它結(jié)合我國工業(yè)控制系統(tǒng)應(yīng)用和網(wǎng)絡(luò)安全實(shí)際情況，遵循國家對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理的相關(guān)政策要求，吸收國外的一些先進(jìn)管理思想和技術(shù)方法，規(guī)范了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全控制應(yīng)用前提、安全控制的選擇與規(guī)約、安全控制的應(yīng)用步驟、安全控制的應(yīng)用范圍和安全控制的監(jiān)控等內(nèi)容。

此標(biāo)準(zhǔn)針對各行業(yè)使用的工業(yè)控制系統(tǒng)給出的安全控制應(yīng)用基本方法，可以指導(dǎo)組織選擇、裁剪、補(bǔ)償和補(bǔ)充工業(yè)控制系統(tǒng)安全控制，獲取適合組織需要的、應(yīng)允的安全控制基線，以滿足組織對工業(yè)控制系統(tǒng)安全需求，幫助組織實(shí)現(xiàn)對工業(yè)控制系統(tǒng)進(jìn)行有效的風(fēng)險(xiǎn)控制管理。

工業(yè)控制系統(tǒng)的安全控制措施：

（1）物理和環(huán)境安全；

（2）網(wǎng)絡(luò)安全（通信協(xié)議防護(hù)）；

（3）身份鑒別；

（4）訪問控制；

（5）安全審計(jì)（監(jiān)控環(huán)節(jié)）；

（6）系統(tǒng)與信息完整性；

（7）應(yīng)急計(jì)劃；

（8）系統(tǒng)和通訊保護(hù)；

（9）人員安全；

（10）配置管理；

（11）維護(hù)；

（12）學(xué)習(xí)與培訓(xùn)；

（13）事件響應(yīng)；

（14）風(fēng)險(xiǎn)評估；

（15）規(guī)劃；

（16）系統(tǒng)和服務(wù)獲取；

（17）安全評估與授權(quán)。

具體內(nèi)容請?jiān)斠奊B/T32919-2016《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》。

參考文獻(xiàn)：

[1]GB/T18336.1-2001,信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則[S].

[2]GB/T22080-2008,信息技術(shù)安全技術(shù)信息安全管理體系要求[S].

[3]NISTSP800-53,RecommendedSecurityControlsforFederalInformationSystemsandOrganizations[S].

[4]NISTSP800-82,GuidetoIndustrialControlSystems(ICS)Security[S].

[5]IEC62443,工業(yè)過程測量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信息安全[S].

[6]美國國土安全部.控制系統(tǒng)安全程序－國家網(wǎng)絡(luò)安全部分[R].2011,4.

[7]2014中國工業(yè)控制系統(tǒng)信息安全藍(lán)皮書[Z].

[8]2012世界網(wǎng)絡(luò)與信息安全發(fā)展年度報(bào)告[R].北京:工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)所,2012：121-151.

[9]2013世界網(wǎng)絡(luò)與信息安全發(fā)展年度報(bào)告[R].北京:工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)所，2013：119-135.

[10]李穎.中國IT產(chǎn)業(yè)發(fā)展報(bào)告（2014-2015）[R].北京:社會(huì)科學(xué)文獻(xiàn)出版社,2015：87-95.

[11]高洋.工業(yè)控制系統(tǒng)信息安全威脅分類[J].北京:中國信息安全,2016,（4）：66-68.

[12]范科峰.工業(yè)控制系統(tǒng)信息安全管理標(biāo)準(zhǔn)研究[J].北京:中國信息安全,2016,（4）：76-79.

[13]邸麗清.工業(yè)控制系統(tǒng)信息安全與功能安全結(jié)合之探討[J].北京：中國信息安全,2016,（4）：62-65.

[14]尹麗波.我國亟需建立工控安全保障體系[J].北京:中國信息安全,2016,（4）:54-56.

摘自《工業(yè)控制系統(tǒng)信息安全》專刊第三輯