随着我国工业化和信息化的深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，并以各种方式与互联网等公共网络连接；在工业控制系统愈发智能的同时，其网络也变得更加透明、开放、互联。病毒、木马等威胁开始向工业控制系统扩散，信息安全问题日益突出。工业控制系统信息安全是多行业、多领域和多学科融合的新兴领域，我国关于工业控制系统信息安全研究仍然处于起步发展阶段。

1　工业控制系统（ICS）简介

工业控制系统（Industrial Control Systems，ICS）是由各种自动化组件和对实时数据进行采集、监测的过程控制组件，共同构成的对工业生产过程实现检测、控制、优化、调度、管理和决策的生产流程管控系统，用以实现增加产量、提高质量、降低消耗等目的。ICS包括数据采集与监控系统（Supervisory Control And Data Acquisition，SCADA）、分布式控制系统（Distributed Control Systems，DCS）、可编程逻辑控制器（Programmable Logic Controller，PLC）以及其他控制系统等，目前已广泛应用于电力、水力、钢铁、石化、医药、食品以及汽车、航天等工业领域，成为国家关键基础设施的重要组成部分，是这些基础设施运行的“中枢”和“大脑”。

2　ICS信息安全典型案例

最为著名的ICS信息安全案例就是“震网（Stuxnet）”病毒袭击事件。“震网”病毒于2010年6月首次被检测出来，是第一个专门定向攻击真实世界中基础设施的“蠕虫”病毒，比如核电站、水坝、国家电网等。2011年2月，伊朗突然宣布暂时推迟首座核电站——布什尔核电站的使用，原因就是核设施遭到“震网”病毒攻击，病毒侵入了西门子公司为核电站设计的工业控制软件，并夺取了一系列核心生产设备的关键控制权，1/5的离心机报废。“震网”病毒使用了4个未公开漏洞、1个Windows Rootkit、一个可编程逻辑控制器（PLC）Rootkit、防病毒免杀技术、P2P更新，从可信认证中心（Certificate Authority，CA）窃取证书，并不断演变进化；该病毒是通过移动存储设备进入到同其他网络物理隔离的计算机中，自动查找西门子的SIMATIC WinCC工控系统软件，使用PLCRootkit修改控制系统参数并隐藏PLC变动，从而对真实物理设备和系统造成物理损害。“震网”病毒的出现和传播，威胁的不仅是自动化系统的安全，而且使自动化系统的安全性上升到国家安全的高度。

ICS信息安全事件数量逐年大幅上升，据来源于美国国土安全部的工业控制系统网络应急响应小组（ICS-CERT）的数据表明，如图1所示，自2010年起，重大ICS信息安全事件呈爆炸式增长，由2010年的39起增加到2013年的256起。

图1 ICS-CERT历年的 ICS信息安全事件统计（按财年）

3　产生ICS信息安全问题的原因

对ICS的信息安全攻击是对传统IT攻击的一种自然发展。近十年来，随着信息技术的迅猛发展，ICS网络和企业管理网络的联系越来越紧密，信息化在我们企业中的应用取得了飞速发展，互联网、物联网技术的出现，使得工业控制网络中大量采用通用TCP/IP技术。此外，传统工业控制系统采用专用的硬件、软件和通信协议，设计上基本没有考虑互联互通所必须考虑的通信安全问题。企业管理网与工业控制网的防护功能都很弱，甚至几乎没有隔离功能，因此在ICS开放的同时，也减弱了控制系统与外界的隔离，ICS的安全隐患问题日益严峻。系统中任何一点受到攻击都有可能导致整个系统的瘫痪。在当前ICS标准化和互联互通的趋势下，采用信息安全攻击对攻击者来说更便宜、风险更低、不受地理限制，并且更容易复制和操作，因而导致了ICS信息安全问题近些年来频频发生。ICS系统安全问题严峻的主要原因有以下几点：

（1）管理缺失

没有足够健全的安全政策、管理制度，人员安全意识缺乏。由于ICS不像互联网或与传统企业IT网络那样备受黑客的关注，在2010年“震网”事件发生之前，很少有黑客攻击工业控制网络的事件发生；ICS在设计时多考虑系统的可用性，普遍对安全性问题考虑不足，更不用提制定完善的ICS安全政策、管理制度以及对人员的安全意识培养了，天长日久造成人员的信息安全意识淡薄。其中，人员安全意识薄弱、缺乏定期安全培训是造成ICS信息安全风险的一个重要因素，特别是重要岗位人员容易沦为外部威胁入侵的跳板。

（2）网络设计不完善，深度保护不够

相较于传统的网络与信息系统，大多数的ICS在开发设计时，需要兼顾应用环境、控制管理等多方面因素，首要考虑效率和实时特性。因此，ICS普遍缺乏有效的工业信息安全防御及数据通信保密措施。ICS早期和企业管理系统是隔离的，但近年来为了实现实时的数据采集与生产控制，满足“两化融合”的需求以及管理的方便，通过逻辑隔离的方式，使ICS和企业管理系统可以直接进行通信，而企业管理系统一般直接连接Internet。在这种情况下，ICS接入的范围不仅扩展到了企业网，而且面临着来自Internet的威胁。

（3）ICS的自身特点所致

ICS的设计开发之初并未将系统防护、数据保密等安全指标纳入其中。两化融合和物联网的发展使得TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工业控制网络中，随之而来的通信协议漏洞问题也日益突出。而且ICS网络与企业网络连接，防护措施的薄弱（如TCP/1P协议缺陷、工业应用漏洞等）导致攻击者很容易通过企业网络间接入侵ICS。

（4）ICS设备的通用性在ICS中多采用通用协议、通用软件、通用硬件，这些通用设备的漏洞给系统的信息安全带来极大隐患。

通信网络是ICS中连接监测层与控制层的纽带，目前ICS多采用IEC 61158中提供的20种工业现场总线标准，例如Modbus系列、Profibus系列等。如利用这些通用协议的缺陷、漏洞即可入侵ICS，获得控制器的控制权，进而破坏整个系统。

组态软件作为ICS监控层的软件平台和开发环境，针对不同的控制器设备，其应用具有一定的通用性。目前使用比较广泛的有WinCC、InTouch、iFix等。“震网”病毒即利用了西门子WinCC的漏洞。

通用控制器硬件设备主要采用西门子、罗克韦尔自动化、施耐德电气等公司产品，因此这些通用控制器所具有的漏洞极易成为恶意攻击的突破口。如施耐德电气Quantum以太网模块漏洞可以使任何人全方位地访问设备的硬编码密码。

4　ICS信息安全问题的应对措施

要提高整个ICS的信息安全，必须从技术和管理两个方面来综合解决问题。一般采用的关键技术为信息安全风险评估，具体实施采用纵深防御体系。

4.1　ICS信息安全风险评估

ICS信息安全风险评估属于风险评估范畴，因此它在风险概念、风险评估的基本流程方面基本继承了通用信息安全风险评估中的相关内容；但另一方面，ICS是工业领域的生产运行系统，在生产运行系统中执行传统IT信息安全技术测试（如漏洞扫描、渗透测试）可能会对生产运行系统造成损害甚至引发安全事故，因此在风险评估实施指南方面的工作都要具体指出ICS风险评估实施的特点。

安全风险评估最为常用的是定性和定量风险评估技术方法。定性风险评估技术方法是在确定风险时采用高、中、低等定性分级方法，定量风险评估技术方法是使用数值定量计算的评估技术和方法。

在风险评估中，确定风险总的来说就是回答三个问题：什么会出错？出错的可能性有多大？后果会是什么？定性风险评估方法主要是凭借评估者和专家的经验、直觉来主观判断，对这些问题给出高、中、低等定性分析与判断，定性方法通常操作简单、直观、容易掌握。但其评价结果通常很大程度依赖于评估者和专家的经验，更具主观性，对负面事件发生的可能性和后果不能给出量化结果。定量风险评估技术方法也称概率风险评估，它主要是对负面事件的可能性用概率或频率表达，并给出后果的数字化值，从而得出风险的量化值。概率风险评估包括故障树分析、攻击树分析、事件树分析、漏洞树分析、失效模式和影响分析、失效模式影响和关键性分析、因果分析等方法，以及一些基于这些方法的扩展或组合等。定量风险评估技术和方法能从数量上说明评估对象的危险程度、精确描述系统的危险性，因此它也是当前ICS信息安全风险评估的主要研究方向。

ICS信息安全研究，采用树、图等图形化方式，能够更加可视化、结构化地进行定性/定量（特别是定量方法）风险评估研究，这是当前ICS风险评估研究和实践的两个热点。根据具体方法不同，树、图等图形化方法可以从攻击者、防御者和中立第三方等不同用户视角可视化、结构化地展示ICS的攻击路径、系统漏洞、防御措施和消控措施等，还可以进一步进行定性或定量风险分析和评价。最为人熟知的图形化风险建模和分析方法是攻击树（Attack trees）方法，它是一种基于攻击的、形式化分析系统和子系统安全风险的方法。攻击树已经在各种不同ICS风险评估工作中得以应用，例如美国专家使用攻击树对SCADA系统进行了漏洞分析和测试，其实验结果表明，攻击树方法极大改进了研究人员发现SCADA系统新漏洞利用和危害评估的能力。

4.2　ICS信息安全纵深防御体系

ICS环境和传统IT环境之间存在着一些关键性的不同之处，如高实时性、高可用性、有限的资源、专用的协议、较长的生命周期等。正是由于这些不同，导致了ICS信息安全问题的复杂性，仅依赖于单一的安全技术和解决方案，简单地将IT信息安全技术配置到ICS中并不是高效可行的解决方案，必须综合多种安全技术，分层分域地部署各种安全防护措施，才能提升系统的整体防御能力。国际行业标准ANSI/ISA-99明确提出目前工业控制领域普遍认可的安全防御措施要求：将具有相同功能和安全要求的控制设备划分到同一区域，区域之间执行管道通信，通过控制区域间管道中的通信内容来确保ICS信息安全，也就是要建立纵深防御体系。

建立纵深防御体系有两个主要目的：

（1）即使在某一点发生信息安全事故，也能保证网络的其他区域正常安全稳定运行。该防护目标在于当工业网络的某个局部存在病毒感染或其它不安全因素时，不会向其它设备或网络扩散。

（2）维护人员能够及时准确地确认故障点，并排除问题。能够及时发现网络中存在的信息安全问题并准确找到故障点，是维护控制系统信息安全的前提。

一般来说，工业系统网络从总体结构上可分为三个层次：企业管理层、数采信息层和控制层。企业管理层主要是办公自动化系统，一般使用通用以太网通讯，可以从数采信息层提取有关生产数据用于制定综合管理决策；数采信息层主要是从控制层获取数据，完成各种控制、运行参数的监测、报警和趋势分析等功能。控制层负责A/D转换、数字滤波、温度压力补偿、PID控制、数据采集等各种功能。系统的每一个安全漏洞都会导致不同的后果，所以将它们单独隔离防护十分必要。

将企业系统结构划分成不同的区域可以帮助企业有效地建立“纵深防御”体系。结合ICS的信息安全需要，可以将ICS网络划分为以下不同的安全区域：企业IT网络区域、过程信息/历史数据区域、管理/HMI区域、DCS/PLC控制区域和第三方控制系统区域（如安全仪表系统SIS），如图2所示。

图2 工业系统网络安全区域划分

针对企业流程的特点，同时结合ICS的网络结构，基于纵深防御体系，工业控制网络需要以下五个层面的安全防护，如图3中A、B、C、D、E所示。

图3 工业控制系统信息安全的纵深防御

（1）企业管理层和数采信息层之间的安全防护

这里是IT信息系统与工业信息系统的分界线，其重要程度不言而喻，所以采取了常规IT防火墙加上入侵检测系统（Intrusion Detection System，IDS）的双重防护措施。防火墙是第一道防线，串接在网络中，只允许两个网络之间合法的数据交换，阻挡企业管理层对数采信息层的未经授权的非法访问，同时也防止管理层网络的病毒扩散到数采信息网络。IDS置于数采信息层的网络交换机上，主动收集、分析网内的数据是否有异常，以防止内部攻击的发生。

（2）数采信息层和控制层之间的安全防护

数采信息层与控制层之间要交互大量的设备机组生产数据及工艺参数数据，要求较高的通讯带宽，对此部位的信息安全防护使用常规的IT防火墙。加入防火墙，一方面提升了网络的区域划分，另一方面保证只有被允许的流量才能通过防火墙。

（3）关键控制器的安全防护

控制器通常使用工业专用通讯协议，使用传统的IT防火墙进行防护时，不得不开放大规模范围内的端口号。在这种情况下，防火墙提供的安全保障被降至最低。因此，在控制器的前端应安装专业的工业防火墙，才能够解决该类安全防护问题。工业防火墙一方面是对工业专用通讯协议的支持，目前主要通过规则更新的方式进行兼容；另一方面，由于ICS对实时性要求较高，传统基于包过滤和应用层网关的IT防火墙技术无法满足实时性要求，而工业防火墙采用了类似深度报文检测（Deep Packet Inspection，DPI）的技术，它对封装在TCP/IP协议负载内的信息进行检测，然后进行识别、分类，对连接的状态进行动态维护和分析，一旦发现异常的流量或连接，就动态生成过滤规则，在提高准确率的同时，也降低了工作负载。

（4）隔离工程师站，保护APC先控站

考虑到工程师站和APC先控站在项目实施阶段通常需要接入第三方设备（U盘、笔记本电脑等），而且是在整个控制系统试运行的情况下实施，受到病毒入侵和攻击的概率很大，存在较高的信息安全隐患。在工程师站和APC先控站前端增加IT防火墙，可以将工程师站和APC先控站单独隔离，防止病毒扩散，保证网络安全。

（5）与第三方控制系统之间的安全防护

使用工业防火墙将SIS安全仪表系统等第三方控制系统和网络进行隔离，主要是为了确保两个区域之间数据交换的安全，管控通讯数据，保证只有合法可信的、经过授权的访问和通讯才能通过网络通信管道。

5　结语

随着工业化和信息化的深度融合以及网络技术的不断进步，ICS信息安全的重要性与其普遍存在的安全防护措施不足的矛盾日渐突出，加强ICS信息安全工作无疑是一项非常艰巨的任务。在参考IT信息安全业内的最佳实践基础上，结合ICS自身的特点，从技术和管理上双管齐下，才能切实提升运维部门的管理效率和服务技能，有效降低ICS所面临的信息安全问题。

作者简介

李云峰（1977-），男，内蒙古赤峰人，工程师，硕士学位，现就职于北京首钢冷轧薄板有限公司，主要从事冷轧薄板工业生产信息化技术管理工作。

畅通（1976-），男，工程师，硕士学位，现就职于北京首钢冷轧薄板有限公司，主要负责信息化项目、维护、安全管理工作。

参考文献：

[1] Eric D.Knapp.工业网络安全——智能电网，SCADA和其他工业控制系统等关键基础设施的网络安全[M].国防工业出版社, 2014.

[2]蔡皖东.工业控制系统安全等级保护方案与应用[M].国防工业出版社, 2015.

[3]向宏,傅鹂,詹榜华.信息安全测评与风险评估[M].电子工业出版社, 2014.

[4]彭勇,江常青,谢丰,戴忠华,熊琦,高洋.工业控制系统信息安全研究进展[J].清华大学学报（自然科学版）, 2012, (52)10: 1396 -1408.

[5]刘威,李冬,孙波.工业控制系统安全分析[J].信息网络安全, 2012, (8): 41 -43.

摘自《工业控制系统信息安全专刊（第二辑）》