1　工业控制系统的特点

工业控制系统的特点应该说可以归纳为以下三个方面，多、杂、高、难。如图1所示。

图1　工业控制系统特点

为什么说第一个特点是“多”呢？实际上“多”包含了很多方面。第一，设备数量多。众所周知，我们现在任何一个企业中所应用到的工业控制系统的设备数量都很多。比如一个中型冶金企业的工业控制系统数量可以达到上千个，又比如一个汽车企业中应用的工业控制系统数量也可以达到数百个。所以，可想而知，数量达到成百上千的工业控制系统对于整个企业的运营产生着重要的作用，如果这些工业控制系统的安全受到威胁，那将会对企业的正常生产运营产生非常严重的后果。第二，产品供应商多。目前国内很多企业的工控系统都会涉及多家产品供应商的产品，每一个品牌又有很多个产品系列，每个产品系列带来的风险和信息安全隐患完全不同，这就导致应用的信息安全防护方案完全不同，为工业控制系统信息安全整改带来很大的难度。除此之外，我们还看到工业控制系统的通讯协议有很多，虽然每种协议都是通用的标准协议，但实际上每家厂商支持的以太网协议都不一样，而所有通用协议都没有任何信息安全防护功能。因此，如果一个企业内部采用多个厂家的通讯协议，对于为所有产品做防护是很难的。另外为了将来维护方便，每一个工业控制系统里都开放了很多以太网服务，而这些以太网服务也会为企业带来信息安全的风险。最后，不同的工业行业，目前对于工控系统选型、应用等要求都不同，导致不同行业的信息安全防护方案可能有很大差异。

工业控制系统的第二个特点就是“杂”。第一是指以太网服务“杂”，这一点在前文已经提过，由于供应商多导致产品多，所以企业内工控系统的协议类型非常杂。第二是指区域分布广。举一个简单的例子，众所周知石化行业有很多的管线，如天然气、原油、成品油等管线。目前最长的西气东输的管线，全长4000多公里，大概应用了约200余套PLC及RTU产品。第三，就是通讯类型杂。比如分布很广的石油管线、市政管网，大量采用通用的通讯方式实现数据交换，将来一旦引发信息安全问题，可能会导致整条管线的运营产生严重影响。

工业控制系统的第三个特点就是“高”。对工业控制系统的要求有“三高”——实时性高、可靠性高、可用性高。对于信息系统而言，要求的最高级别是机密性，而对于工业控制系统而言，最高级则是可用性。由此可知，信息系统的信息安全和工业控制系统的信息安全其实完全不同，简单的将信息系统的信息安全要求和解决方案直接套用在工业控制系统信息安全要求上显然是不合适的。

正是由于工控系统具备上述“多、杂、高”三个特点，同时又不能在线对工控系统进行信息安全评测，因此，设计一套适合于工控系统的信息安全整体防护方案非常难。

这里有一点需要强调，很多人认为工业控制系统之所以面临着信息安全的问题，主要就是因为它采用了大量的通用以太网协议。甚至有人认为，如果没有两化融合，没有物联网、工业4.0，工业控制系统就不会存在信息安全的风险。其实不然，工业控制系统中除了存在通用以太网协议外，还大量存在着控制设备、通讯组件、应用软件、操作系统等四类设备或资产，而这些设备或资产本身也会存在信息安全风险和隐患，从而导致整个工控系统存在信息安全风险或隐患，震网病毒事件就是一个很好的例子，虽然核电厂里的控制系统与其办公自动化系统和信息系统是隔离的，但是事实证明，还是依然存在信息安全的隐患。

2　信息安全现状

在与一些企业接触的过程中，发现他们对于工业控制系统信息安全整改和提升有着很多疑问，比如“我的控制系统已经与外网进行隔离，是否还需要防御？”、“整个企业运行的系统没有受到任何影响，那我是不是不需要防护了？”、“信息安全防御方案太多，如何选择？”、“企业投入是否太大？”、 “没有专业技术人员，如何维护？”等等。

由此可见，很多人在提到工业控制系统信息安全的问题时，首先想到的只是“去防”，或者有了问题，就针对这个问题来解决诸如此类的思路。但其实我们更应该提升主动防御和全面防御的理念，而不只是被动地防御，被动地发现问题、解决问题。

3　信息安全的风险

事实上，信息安全的风险可能会隐藏在你的系统里，有可能潜伏很多年也不会被发现。那么什么是信息安全的风险呢？主要由两部分组成。第一是信息安全发生入侵以后对企业产生的危害有多大，第二个就是企业存在这种被入侵的可能性有多大。

风险= 危害程度 × 发生频率 （1）

所以对于企业来说，虽然信息安全问题还没有发生，并不代表就不存在这方面的风险，一旦发生入侵或攻击，对企业的造成的后果将是重大的。这也就是说为什么现在没发生，也要开始做信息安全的整改。
从（1）中可看出，风险不仅与危害程度有关，与发生的频率也是密切相关的。所以从信息安全的防护解决方案来讲，实际上有两种方案。第一种是减少工控系统本身可能存在着的风险和隐患引发的失效概率，第二种就是降低控制系统受到攻击以后可能对企业产生的危害程度。

4　常见的信息安全解决方案

目前，多数安全服务供应商的解决方案是“自上而下”的，侧重于管理级、系统级安全功能的强化。但这种模式有四点缺陷。

首先，优先实现管理级、系统级的安全功能，对于绝大多数此前没有相应的软硬件设备准备的工业企业来说，意味着需要投入大量的成本来进行从无到有的建设，其间投入的人力物力也会比较多。

其次，对于本身存在信息安全缺陷的工控设备来说，“自上而下”的防护只是一些外围措施，并没有从根源上消除信息安全的隐患，相关工控设备实际上还是处在“带病上岗”的状态下。

其三，工业企业内部涉及的工控设备类型很多、数量很大，完全依靠管理级、系统级的防护很难保证照顾到每一台单体设备，而如果顾此失彼，也称不上真正实现了安全保障。最后，每个工业企业使用的现场设备的类型和数量都不一样，这决定了管理级、系统级的信息安全解决方案，其定制化、私有化程度将是非常高的，一套方案即使在集团企业旗下的各个分公司中间也无法推广，更不要说在某个行业，甚至整个工业领域中推广了。这种可复制性差的缺陷同样意味着成本将居高不下，尤其是对于大型的集团性企业来说，每个下属单位的方案都要独立定制，投入压力之大显然是难以接受的。

5　施耐德电气的信息安全解决方案

而施耐德电气的工业信息安全解决方案之所以不同，就在于施耐德电气主张采取“自下而上”的防护策略，更加侧重设备级防御、辅以系统级和管理级的三级防御体系，也就是说从设备级的防护入手来构建工业信息安全系统。

工控设备的停运、损坏导致生产活动中断无疑是工业企业最为忧心的信息安全事故，那么如何防止这种情况的发生呢？施耐德电气给出的答案是，让关注的焦点回归到工业信息安全威胁的“靶心”，即工控设备本身上来，设法提升工控产品自身的信息安全防护能力，从根源上消除工控产品的信息安全漏洞。具体的做法是，在不影响工控设备功能与性能的前提下，将信息安全的功能集成到每一个单体设备上。对于工业企业来说，实现了这种设备级的信息安全防护，意味着已经获得了完整的多层次工业信息安全防护中最核心的部分功能；此后根据自身情况，在具备了相应的条件和能力时，逐步完善系统级、管理级的辅助策略即可。这种“自下而上”的模式，初期因为不需要额外采购软硬件设备，因此需要的投入少，工业企业只需要针对自身使用的工控设备进行建设，实施的难度也不高，对工业企业内部的技术人员的能力要求也不高。

（1）设备级防御方案

对于工业控制系统而言，主要涉及四类设备——控制设备、通讯组件、应用软件和操作系统。这四类设备都各自存在着信息安全的风险和漏洞，最终会导致整个工业控制系统存在信息安全的风险。那么我们如何对设备级进行防护呢？施耐德电气提倡增加每一个单体设备的信息安全防护能力，当这些小设备放到一起组成一个大系统的时候，这个大系统就具备了信息安全防护的最基本的能力。

从2013年初起，施耐德电气提供给客户的所有工控产品都已经具备了信息安全的功能，工业企业使用这样的工控产品，不必依赖其它的保护措施就已经获得了符合国际国内相关法规要求的、过硬的信息安全保障。最近，施耐德电气全球首款ePAC产品——莫迪康M580(Modicon M580)通过了中国电力科学研究院的信息技术产品安全性检测，这是继2012年施耐德电气莫迪康昆腾PLC产品成功获得国家权威信息安全测评机构的安全性认证之后，旗下的最新PLC产品再次获得权威检测机构的认可。另一方面，对于此前已经在应用的工控设备，施耐德电气也可提供相应的服务，帮助工业企业获得同等的保障。

对于降低信息安全危害发生的概率，施耐德电气也有很多的解决方案。比如对于控制类产品，在控制系统发生失效后，产品内置的故障状态预置功能，可以让所有受控的设备全部处于安全状态，不会对系统产生更大规模的次生灾害。如果事故发生了，产品完善的故障诊断、带电插拔等维护特性又可以大大缩短系统恢复的时间。

（2）系统级防御方案

所有的工业控制系统都不是独立的信息孤岛，它们之间会组成一个大的系统，通过网络连接在一起。所以我们还需要增强整个控制系统的系统架构的信息安全防护功能。如施耐德电气可以提供通讯组件设备中所需完善的以太网交换机、防火墙等专门产品，来增强整个信息安全的系统级信息安全功能。为了减少信息安全发生的概率，施耐德电气也有很多解决方案，从前期的全网络评估，发现潜在的弱点，到网络分隔、边界保护、网段分离等。通过修改网络架构，来减少网络风险。

（3）管理级防御方案

市场上有很多安全型的管理软件，其实可以将它们分成等级。最基本的就是监控解决方案，它可以完善管理制度，建立完善的IDS/IPS体系和资产管理系统以及监控、日志体系，安全策略管理和执行功能。更高一级的就是集成更多防护功能的防护解决方案。防护解决方案中除了有前面提到的所有功能外，还可以做到软件补丁的自动更新。当然软件补丁的自动化更新并不是没有任何验证的自动下载，而是完成验证后，再下载。另一个更为重要的手段就是帮助企业建立完善的数据备份和灾难恢复机制。同时，这种防护解决方案可以同时对整个工控系统中的计算机部署应用安全策略，这就可以完全避免外部人员利用非法设备接入到工业控制系统，从而导致系统崩溃。

施耐德电气除了可以提供设备级、系统级和管理级的防御方案外，还可以提供完善的信息安全服务。目前，在施耐德电气的官方网站上，公开了施耐德所有的信息安全解决方案，上面有一些详细的信息安全部署方案和完善的手册，可以免费下载。施耐德电气对于信息安全防护，从前期的评估，解决方案的设计、集成到培训等各个方面，都可以提供完善的解决方案。

作者简介

王斌（1974-），男，汉，毕业于北京航空航天大学自动控制专业，现任施耐德电气工业事业部工业信息安全首席专家，曾编写《Quantum PLC设备信息安全解决方案操作手册》和《Quantum PLC设备信息安全解决方案简明手册》，被国家电力监管委员会和国家能源局推广到所有电力企业。

摘自《工业控制系统信息安全专刊（第一辑）》