★机械工业仪器仪表综合技术经济研究所刘瑶，张亚彬，张鑫，王麟琨，熊文泽

★国家石油天然气管网集团有限公司油气调控中心孙铁良

1　引言

随着工业控制系统智能化、网络化的推进，信息物理加速融合，工控系统面临更多的网络安全挑战。然而，工控网络安全与传统的IT安全存在显著差异，主要体现在实时性、可用性、技术寿命、打补丁、抗病毒能力等方面。本文分析了当前工控系统网络安全面临的主要问题和新形势下的安全需求，旨在为工业控制系统网络安全防护提供参考和建议。

2　工业控制系统定义与范围

2.1　工业控制系统定义

工业控制系统是以工业实体为调控对象，可完成数据采集、自动控制、终端执行等多种功能任务的软硬件组件、设备的集成系统，包括但不限于传感器、仪器仪表、数据采集和监控系统、集散控制系统、可编程逻辑控制器、专用控制器、人机界面、远程终端单元等。

2.2　IEC 62264-1视角下的工业控制系统范围

IEC 62264-1里给出了一种制造企业视角下的企业控制系统通用模型^[1]，如图1所示，分4层。工业控制系统涵盖第0层、第1层、第2层以及部分的第3层：第0层是工业控制系统的控制对象；第1层和第2层主要完成工业现场控制和过程监控，是工业控制系统的核心功能，可分为连续控制、离散控制和批控制三类；第3层中与工业现场控制紧密关联的部分，如工作流程/配方控制、生产过程优化等。第3层大部分功能及第4层所有功能不属于工业控制系统范畴，但仍属于业务相关系统

在电力、油气等工业领域实际工业控制系统架构与这个模型存在一定差异，一些层次可能不适用或需要扁平化。除了企业视角，装备视角下工业控制系统范围更广，几乎无处不在，在工业领域应用的各类机电类装备都会有控制系统，如PLC或专用控制器组成的控制系统。

图1IEC 62264-1中定义的功能层次模型

3　工业控制系统安全概念

安全在英文中有safety和security两个词，表示安全的不同维度。通常来说，security表示恶意的、由于外界对系统的影响导致的事故；safety表示偶然发生的、由于内在错误（如设备故障、误动作）导致系统对外界影响引发的事故。因此，“网络安全”是Cyber Security，“功能安全”是Functional Safety，其代表的就是系统安全的不同维度。

3.1　工控网络安全

根据IEC 62443-1-1，工控系统网络安全security的定义是：

（1）为保护系统采取的措施；

（2）建立和维护系统的保护措施而产生的系统状态；

（3）能够使系统资源免受未经授权的访问，以及未经授权或意外的修改、破坏或丢失；

（4）基于计算机的系统能够提供足够的能力，确保未经授权的人员和系统既不能修改软件及其数据，也不能访问系统功能，同时确保授权人员和系统不会被拒绝；

（5）防止对工业自动化和控制系统非法或多余的渗透，或干扰工业自动化和控制系统正常和预期运行^[2]。

与IT系统网络安全事件相比，工业控制系统的入侵者在获取到系统权限后，除可能会盗取企业用户敏感信息外，还可能对工业生产过程产生破坏，目标是影响工厂正常运转，甚至损毁设备或造成重大生产事故，引发人员伤亡、经济损失等。

3.2　功能安全

功能安全是指避免由系统功能失效导致的不可接受风险，主要关注当系统发生功能失效后，如何将系统导入安全可控的状态^[2]。在工业领域，工业生产系统通过功能安全设计和固有安全设计共同实现本质安全目标：达到故障安全（即使系统中设备发生故障，系统也能及时检测到并导入或保持安全状态）和失误安全（即使人员操作错误，系统也能及时导入或保持安全状态）。基于电气/电子/可编程电子技术实现的功能安全，在石油、化工、汽车、电力、轨道交通等领域得到了广泛应用，在生产安全保障方面发挥了重要作用，基础标准是IEC 61508（GB/T20438）。

3.3　工控网络安全和功能安全的关系

随着IT和操作技术（OT）的深度融合，网络安全威胁逐渐突破自身边界，对功能安全相关系统及其保护对象产生威胁，工控网络安全与功能安全技术间的冲突消解和协同防护成为工业控制系统安全相关领域热点问题和前沿技术。

国际电工委员会（IEC）成立TC65/WG20工作小组，其任务是在工业过程测量控制和自动化领域搭建功能安全和网络安全的桥梁。该小组以IEC 61508和IEC 62443系列标准为基础，结合工业控制系统应用需求，提出了功能安全和网络安全协调框架，于2019年5月完成IEC 63069标准制定。该标准除对可能产生歧义的两安（safety和security）相关概念进行统一定义和解释以外，还提出了功能安全和网络安全交互框架。交互框架为二者融合过程中可能出现的冲突提供了解决方案，该标准认为网络安全是为系统功能和功能安全提供一个安全执行环境。基于目前对于功能安全和网络安全的差异分析，本文从基本概念出发，对于两个安全的基本联系如图2所示。

图2功能安全和网络安全的关系

从功能安全视角，工业控制系统可划分为安全相关系统和基本过程控制系统，基本过程控制系统发生失效将对安全相关系统产生一次要求；这两种系统都可能发生网络安全问题。从功能安全角度，安全相关系统发生故障若未能及时控制（例如未设计冗余）将导致功能失效，如果此时产生动作要求（系统处于要求模式）或系统处于连续模式，将产生危险事件；网络安全方面：任何子系统的脆弱性被威胁利用并执行攻击，将导致网络安全事故。事故影响分三种：无安全影响；成为基本过程控制子系统的新故障源；或成为安全相关系统的新故障源。功能安全与网络安全既存在联系又有冲突^[3]：

（1）安全导向的冲突：在一些时候safety和security要求的导向可能完全相反。以防火门为例，从功能安全的角度对于防火门或防火门控制系统要求打开操作简单、明显，这样在发生火灾（对防火门产生一次要求）时可确保轻易打开；而从安全防护（Security）的角度，防火门应设置开启权限，防止外部侵入。

（2）冗余冲突：冗余在safety中可提高可靠性、可用性，而从security的角度更多的冗余意味着更多的漏洞或接口，可能产生的脆弱性也更多。

（3）设计冲突：某些加强一个安全方面的设计可能是另一个安全方面的缺陷。一个经典的例子是某汽车设计为车顶受到巨大压力时（即翻车的时候）可以自动打开车门从而保证车内人员逃生，但这个特性却为偷车贼提供了便利，前者是Safety问题，后者是Security问题。

（4）运维冲突：功能安全要求变更受控，网络安全需及时更新。

因此，工控系统的网络安全需兼顾生产控制系统和安全相关系统的防护，与功能安全实现协同并化解冲突。

4　工业控制系统网络安全特点

4.1　工控网络安全威胁

工业控制系统网络安全威胁主要源于操作系统、软件、硬件和协议漏洞，攻击者常利用这些漏洞入侵系统。设备普遍使用过时系统，存在未修补漏洞和默认密码。威胁来源还包括内部无意事件、第三方后门和内部恶意攻击。随着工业智能化、数字化和网络化的推进，系统从封闭转向开放，增加了攻击路径和面。黑客可能针对关键设施发起APT攻击，如乌克兰电网和沙特石化厂事件。在工业企业内各层级，常见的攻击类型和影响分析如表1所示。

表1工业企业内各层级攻击类型和影响

与IT网络安全不同，工控安全的底线是保证生产和不出事故。对于工控系统来说，隐性攻击和未知病毒是两类目前难以通过现有网络安全防护措施抑制的攻击，需要依赖功能安全等其他保护措施来控制风险。

从伊朗“震网”病毒攻击等案例可知，工业控制系统攻击分两部分：一是网络攻击，探测、入侵信息网络，获取数据修改权限；二是利用系统设计和业务流程篡改指令或数据，造成异常运行或阻止安全响应。第一部分类似常规网络攻击，第二部分体现工业生产特殊性，攻击者结合业务逻辑和保护机制设计策略，使系统达特定状态并隐藏攻击行为，这些事件具信息物理耦合与攻击隐蔽特点。传统工业生产系统因封闭和专用通信难被攻击，随着向网络化、智能化演进，系统开放互联，信息域与物理域深度耦合。针对此类系统的攻击需考虑业务流程和物理约束，其破坏力依赖这些条件。工业生产系统有针对自然故障的安全机制，但攻击者常长期潜伏，获取系统知识以避开监控，最终针对特定业务流程和安全机制制定策略，利用网络攻击技术协同攻击多目标，绕过物理防护，破坏工业生产过程和设备，影响工厂正常运转，甚至造成重大生产事故。这种潜伏性与协同性是工业攻击与传统互联网攻击的主要区别。

4.2　工控网络安全和IT网络安全差异

相比传统信息系统，工控系统首要目标是完成测量、控制、监控等业务，与工业相关，在安全需求等方面有特殊性。相比IT网络安全，工控网络安全需适应特殊物理环境、实时性、可靠性、连续性等需求及工业协议特征，防护更复杂、成本更高、难度更大。ISATR84.00.09给出了工控security和ITsecurity的对照^[4]，如表2所示。

表2工控security和ITsecurity差异对照表

5　工业控制系统网络安全需求及挑战分析

5.1　工控系统网络安全现存问题

结合工控系统网络安全特点，当前存在以下几方面问题：

（1）大量在役工业控制系统为老旧系统，网络安全考量有限。因其生命周期长、可靠性高，大量运行系统仍用十余年前产品技术，部署时较少考量网络安全风险与防护措施。此外，对现有系统进行网络安全升级，需全面评估对现行系统的影响。

（2）网络安全防护产品的生命周期与可靠性可能和工控系统不适应，若部署时未与工控系统同步生命周期或无法适应工业应用环境，就无法为工控系统长期提供防护，还可能成为系统新的故障点或风险点。如部分工控系统可靠性要求99.99%，安全防护产品一般难以达到。

（3）工业领域场景复杂、设备多样，防护技术通用性面临挑战。工业设备系统定制化，组合多、差异大、通信协议通用性低，同一设备也有配置差异，厂商间存在技术壁垒，攻防技术难通用。设备系统问题多需特定厂商处理，厂商远程维护升级还可能致机密信息泄露。

（4）工控系统接入设备多、供应商分散，发现和控制漏洞后门困难。接入设备全生命周期不断变化，需防御新攻击、缓解新漏洞风险。供应商分散致供应链管理追溯难，我国大量使用的国外专用软硬件设备采取“黑盒”操作，难发现安全隐患。

（5）传统IT安全技术在实时性方面不能满足工业现场需求。IT系统对响应实时性要求低，短暂的重启或中断可以接受；而工控系统对实时性要求极高，高时延可能引发生产事故。

（6）工控系统对可用性要求高，更新升级管理难。其设计重点在于完成生产过程所需的动作，因此工控系统网络安全需优先保障企业生产过程的稳定性和可用性。传统IT安全产品需及时更新特征库，否则无法有效防护。多数工业企业为减少外界扰动，不允许工控系统直连互联网，升级需提前规划、专业操作和全面测试，导致更新特征库滞后，防护能力减弱。

（7）工业设备计算资源受限，抗病毒能力弱。老旧工业硬件设备无额外资源支持病毒查杀与库升级，安装杀毒软件可能影响生产，目前缺少针对工控系统的抗病毒工具或软件。

（8）IT网络安全风险评估方法不完全适用于工控网络。工业生产系统高危受攻击可能导致严重后果，网络安全风险评估需结合生产安全风险融合评估。

5.2　工控系统新技术带来的新挑战

新技术的应用也为工控系统带来新的安全挑战：

（1）信息物理融合带来新的问题：传统工业生产系统与外界隔离，监控和控制操作大多在本地执行。信息物理融合后，原本封闭的工业控制系统增加了更多的接入设备和互联系统，企业之间和工厂内部各层级间互联互通，数据交互频繁复杂，为外部攻击提供了更多类型的渠道和更广泛的攻击面，固有脆弱性进一步增加，且系统呈现出扁平化趋势，至底层生产过程的攻击链路进一步缩短。攻击者可以利用漏洞，篡改控制系统（包括功能安全相关系统）的功能逻辑或数据，使系统受控/失控，进而对物理域生产系统实施破坏，引发严重的生产安全事故。此外，工业现场针对高危后果设置的功能安全相关系统（如安全仪表系统）如何部署网络安全防护以及网络安全防护如何不影响安全功能执行的问题尚未得到很好解决^[5]。

（2）智能化新技术也带来新的安全挑战，如大规模人工智能（AI）的应用：AI学习框架和组件存在安全漏洞风险，可引发工业控制系统安全问题；AI技术可提升网络攻击能力，对现有网络安全防护体系构成威胁与挑战；AI算法能够通过逆向攻击获取并记录训练数据和运行时采集数据的细节；AI技术可加强数据挖掘分析能力，加大工业敏感信息泄露风险。

6　工业控制系统网络安全防护现状和趋势

6.1　工控网络安全技术

当前，工业控制系统安全防护技术主要借鉴优化信息技术领域现有技术。我国“十三五”和“十四五”规划期间启动相关项目，初步构建防护技术体系，开发相应设备与系统^[6]。目前，常用网络安全防护技术及发展趋势包括：网络分段与隔离，用工业防火墙等实现隔离和过滤；升级安全协议，推动新一代协议应用；入侵检测与响应，部署专业设备、分析流量并利用人工智能；工业控制蜜罐用于诱捕威胁；强化身份认证，采用零信任架构；漏洞管理与补丁，更新修补高危漏洞、用虚拟补丁缓解风险；对相关人员进行OT安全培训；制定应急响应计划，含预案、演练和数据备份；还有构建攻击图等其他技术。这些技术依防护策略分被动和主动两类，被动防护是受攻击后采取措施，主动防护是攻击前消除潜在威胁。目前防护重点倾向边界防护，但传统防御技术难抵御新型攻击，工业控制系统网络安全防护正从边界、被动向纵深、主动转变。此外，防护要兼顾工业生产系统本体和功能安全，简单对功能安全系统增加网络安全防护措施可能破坏原有保护功能，所以要考虑多种安全技术兼容性，结合多方面因素研究建立新型防护技术体系和解决方案。

6.2　工控网络安全管理

当前，工业生产企业的工控网络安全管理主要由单位信息化部门承担。但因信息化部门人员知识结构受限，推进工控网络安全管理有一定障碍，专业人才匮乏制约企业提升防护能力。此外，工控网络安全事件应急预案普遍不完善甚至缺失，少数单位虽有预案也难与安全生产事故应急预案有效对接，系统受攻击致生产中断时，企业难以迅速恢复生产并降低损失。工业控制系统网络安全与安全生产紧密相关，需将传统网络安全管理策略与流程融入生产安全管理体系。最后，国内工业控制系统网络安全标准碎片化，企业实践中可能无标准可依或无法系统获取适用标准，不利于构建有效管理体系。综上，工业控制系统网络安全在管理制度、人才培养、体系构建、标准完善等方面问题诸多，亟需解决。

6.3　工控网络安全防护发展趋势

（1）纵深防护、主动防护：当前工业控制系统防护的重点仍偏向于边界防护，如电力系统实行“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略。但基于已知攻击特征封堵的传统防御技术已无法有效抵御新型网络攻击，如以APT为代表的高级可持续攻击，攻击者常利用隐蔽复杂手段，通过持久渗透发动针对性攻击，表现出强烈隐蔽性、潜伏性和长期纠缠性。因此，新形势下工业控制系统网络安全防护正在从单纯的边界防护、被动防护向纵深防护、主动防护转变。

（2）融合防护：工业控制系统网络安全防护技术需兼顾工业生产系统本体和功能安全。传统上，针对工业生产系统本体都建立有相对完善的功能安全系统，以保证工业过程出现故障、失效、失误甚至自然灾害时依然维持安全。但在新形势下，网络攻击作为一种新的危险源，传统的功能安全系统大多没有考虑，简单加上网络安全措施，可能会破坏安全功能（如阻碍保护功能执行、降低保护功能动作及时性、增加保护系统负荷等），从而导致工业生产系统面临的安全风险显著上升。因此，在面对工业系统时，应充分考虑多种安全技术之间的兼容性问题，不能孤立地考虑系统的网络安全防护，还应该考虑部署在OT系统的网络安全防护设施是否会对生产系统的可用性、可靠性、实时性、确定性、耐久性、连续性、鲁棒性等固有属性造成影响，避免为了实现网络安全最终导致功能安全的问题，从而造成对工业生产系统正常运行甚至是资产、人员、环境的影响。

综上，工业控制系统网络安全防护需结合工控系统网络攻击特点、应用场景需求、生产业务特点、多安全兼容性要求等各方面的考虑研究建立新型防护技术体系和解决方案

7　结论

未来，随着工业数字化和智能化的深入推进，工控系统的网络安全问题将更加复杂。因此，需持续关注工控系统的特点和需求，推动技术创新与管理优化相结合，构建多层次、全方位的防护体系，确保工业生产的安全稳定运行。

★基金项目：国家重点研发计划项目（2023YFB3107703）。

作者简介：

刘　瑶（1987-），女，江苏泰州人，正高级工程师，学士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为功能安全、工控信息安全及安全一体化。

张亚彬（1986-），男，河北保定人，高级工程师，博士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为智能制造与工控安全共性关键技术及标准研制。

张　鑫（1990-），男，山东聊城人，高级工程师，博士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为风险评估等共性关键技术研究及标准研制。

王麟琨（1974-），男，黑龙江人，教授级高工，博士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为现场总线、机电控制。

熊文泽（1986-），男，四川渠县人，正高级工程师，硕士，现就职于机械工业仪器仪表综合技术经济研究所，主要研究方向为复杂系统安全和可靠性分析评价。

孙铁良（1967-），男，山东德州人，高级工程师，学士，现就职于国家石油天然气管网集团有限公司油气调控中心，主要研究方向为自动化控制、通信和工控系统网络安全等。

参考文献：

[1] IEC 62264-1-2013, Enterprise- [2] IEC/TS 62443-1-1-2009, Industrial control system communication integration-Part 1: Models and networks-Network and system terminology[S]. security-Part 1-1: Terminology, concepts and

models[S].

[3] 熊文泽, 王麟琨, 刘瑶. 信息物理生产系统(CPPS)安全一体化设计与工程[J]. 中国仪器仪表, 2024, (4) : 74 - 79.

[4] ISA-TR84.00.09-2017, Cyber security Related to the Functional Safety Lifecycle[S].

[5] 刘瑶, 张鑫, 王麟琨. 信息物理生产系统(CPPS)面临的安全挑战与解决思路[J]. 中国仪器仪表, 2024, (2) : 78 - 83.

[6] 孙彦斌, 汪弘毅, 田志宏, 等. 工业控制系统安全防护技术发展研究[J]. 中国工程科学, 2023, 25 (6) : 126 - 136.

摘自《自动化博览》2025年8月刊