★浙江大学控制科学与工程学院高山

★浙江农林大学数学与计算机科学学院胡爽

★浙江大学区块链与数据安全全国重点实验室，杭州高新区（滨江）区块链与数据安全研究院张秉晟

工业控制系统（Industrial Control System，ICS）的应用范围非常广泛，涵盖了电力、能源、交通、制造、环保等多个领域。工控编程平台是ICS的核心，负责在工业制造和生产过程中使用计算机编程技术和软件工具来设计、实施和监控机械和流程的自动化控制，从而提高生产效率、保证操作安全，以及增强系统可靠性。随着互联网和信息技术的发展，工控编程平台面临的安全风险日益多样化、复杂化。这些风险可能来自系统边界、ICS平台硬件、操作与应用软件、网络连接和通信协议等多方面。目前，基于传统固定边界防护和单一主机防护的工控安全体系已难以应对工业互联网开放网络环境下面临的安全挑战。

为解决工控系统的安全威胁，产业界和学术界展开了一系列研究^[1,2]，相继提出了多个安全方案，如对工控安全系统的关键资产-设备的分级安全分析^[3]、工控系统安全评估的一些方法和工具^[4]、为ICSs设备提供安全隔离的执行环境的ARM TrustZone等可信硬件技术^[5]、轻量级认证方案^[6,7]，以及工控系统用户授权的基于多属性决策的访问控制模型^[8]等。然而，现有的安全方案多集中在工控系统的各部分，未形成完整的工控系统防护框架，且大多数实现方案较复杂，在大规模设备的工控系统中使用效率较低。因此，有必要针对工控编程系统各方面的安全问题进行调研和分析，设计适用于工控编程平台的新型整体安全增强框架，实现全方位的安全保护。

1　工控编程平台背景知识及本文工作

1.1　现有工控编程平台架构及安全风险

一个典型的工控编程平台框架如图1所示，主要包含工控配置环境、工程师站、控制站、操作员站和历史站等模块。

工控编程平台以数据配置为中心，工控配置环境通过基础数据、外部数据、业务数据等初始化准备以及编程平台环境中集成的业务流程工具、数据集成工具、看板工具、HMI组态等工具来实现。管理员可通过工控编程平台对登录账户进行账户增加、删除、修改，系统的权限具备粗粒度的角色权限管理功能。编程平台登录后，下载工程组态图或通过编程平台提供的图形化操作界面或IEC编辑器进行组态编程。

工程师站包含编程平台、工作引擎、数据库和组态管理等模块，其主要功能是工程组态下装、生成工业系统应用程序、在线调试与监控、报表生成等。由工程主控调度不同的工作引擎完成工作任务，工作引擎之间通过消息服务机制进行通信。底层不同类型的数据库通过数据访问接口为编程平台运行时的组件提供数据存储与访问支撑。

操作员站与控制站通过点对点通信对控制器进行数据采集和操作。历史站提供丰富的历史数据，可与控制站通信，提供数据采集和冗余机制备份。操作员站和历史站的功能基本上工程师站都具备，只是在界面布置、访问方式、功能侧重点上不一致。工程师站一般仅在下装和调试时才会在线，而操作员站和历史站正常运行时一直处于在线状态。工程师站与控制站通过下装与监视通信，与历史站进行数据同步，与操作员站一般通过历史站进行信息传递。

通过分析现有工控编程平台的架构和实现方式，我们发现如下常见的安全风险：首先，一方面，无法安全地远程接入用户或设备；另一方面，远程设备或用户终端本身的数据和程序安全无法保障。其次，配置环境和工程师站、工作引擎及数据库的通信可能被篡改或假冒，工程师站、操作员站、控制站、历史站和数据库之间的两两通信也可能被篡改或假冒。另外，工作引擎和配置环境调用系统服务时无法实现精准的访问控制，可能会泄露部分系统服务数据。总的来说，可以归纳为无法安全地验证远程访问的用户或设备身份，访问系统服务过程中授权机制不够细化且存在数据泄露等问题。因此，工控编程平台亟需安全的身份认证、细粒度访问控制和数据传输机制来增强其安全性。

图1 现有工控编程平台框架图

1.2　本文工作

本文基于零信任模型讨论工控编程平台中的安全问题，既考虑了来自外部敌手的攻击，例如，通信监听、篡改、无授权访问、操纵目标流量等网络流量攻击，以及控制节点上的相关设备从而破坏通信保密性和匿名性等节点攻击，也考虑了来自内部敌手的恶意泄漏等攻击。针对外部攻击，采用国密加密和散列等算法、轻量级身份验证和密钥协商、动态细粒度访问控制、安全隔离认证网关等技术来确保外部攻击者难以获取到工控系统通信和流量数据。针对内部攻击，其基本思路是在每个关键节点增加可信硬件模块，确保其本身不泄露执行过程和存储的隐私数据，并结合双向安全隔离认证网关来确保内部攻击难以实现。通过上述抵御内外部攻击的手段，有机结合工控系统各主要模块的运行机制与运行流程，建立了较为完善的防御体系，能够应对常见的绝大多数工控系统安全风险。

更进一步，本文将该工控编程平台框架通用安全增强框架应用到煤矿主通风可编程逻辑控制器（Programmable Logic Controller，PLC）监控系统和己内酰胺生产分布式控制系统（Distributed  Control System，DCS）这两类常见应用系统中，并给出了完善的安全增强方案，并对DCS系统进行了性能和安全性测试。实验结果表明集成安全认证、加解密等安全方案后，DCS的运行时间并未显著增加，但其能抵抗多种通信协议，如HTTP、Ethernet、TCP等的链路攻击，其性能完全能够满足实际应用需要，从而表明本文的工控编程平台安全增强框架具有实用性。

2　两类典型工控系统中的安全风险

本章介绍两类常见的工控应用系统，煤矿主通风工控PLC监控系统和己内酰胺生产DCS系统的基本组成部分和存在的常见安全风险。

2.1　煤矿主通风工控PLC监控系统中的安全风险

图2为一个典型的煤矿主通风PLC监控系统场景部署图。该系统可大致分为地面监控中心、控制环网、PLC控制器和现场风机。根据行业习惯，该场景通常通过在监控中心网络中接入移动工控编程设备来对PLC系统进行编程或维护，主要使用PLC控制器来监控现场风机状态，并将数据反馈给操作站。

经过调研和分析，这类工控PLC系统存在如下常见安全风险：（1）工控编程平台以单机版软件形式部署在移动设备上，并且开发、装载、调试操作仅依靠简单的口令认证，缺乏安全防护措施；（2）PLC与操作站、PLC与风控温控传感器之间的通信都有可能被攻击者监听与篡改；（3）此类系统在运行过程中会不可避免地产生环网流量，攻击者可以通过分析环网流量来识别出系统操作员的身份信息，进而冒充操作员与其他工控设备进行非法通信；（4）此类系统中温控、风控传感器与PLC的通信流量使用不加密的明文传输，且没有消息认证机制，这会导致信息泄露和重放攻击等，如反复发送低温信号给PLC控制器对系统造成严重损害；（5）攻击者可以通过非法登录操作站来篡改数据，使得PLC返回的数据与操作站显示数据不一致，导致操作员下达错误的操作命令，引起PLC产生异常。

图2现有煤矿主通风PLC监控系统部署

图3现有己内酰胺DCS生产控制系统部署

2.2　己内酰胺DCS生产控制系统中的安全风险

图3展示了一个现有的典型化工厂己内酰胺DCS生产控制系统，其主要包括工厂管理网、工业控制网两部分。其中，工业控制网分为中央控制室（Central Control Room，CCR）和现场设备间（Field Assemble Room，FAR）两层。CCR中部署了EWS工程师站（Browser/Server，B/S方式访问）、OPS操作员站、HIS历史站、OPC通信站和IDM设备管理站。己内酰胺生产工艺复杂，其现场设备分布在不同的FAR里，形成不同的控制域。图3示例中选取硫铵装置子控制系统和脱硫装置子控制系统，它们都和CCR相连。CCR可直接或通过子控制系统对硫铵装置、脱硫装置就地进行组态配置和监控。

工业控制网和工厂管理网连接进行数据交互，一方面，工业控制网需要把生产控制相关状态信息传送给工厂管理网，另一方面，接入工厂管理网的工程师电脑以B/S方式远程登录工业控制网内的工程师站服务端，从而对生产控制网远程进行编程组态配置和维护。

通过对此类DCS生产控制系统的整体安全进行分析，我们发现其主要存在如下常见安全风险：（1）工厂管理网、CCR以及FAR中各模块的执行本身没有安全防护，可能受到攻击而出现执行错误或者不执行等问题。（2）CCR缺乏通信加密、消息完整性验证、身份认证、访问控制等安全防护措施。在移动状态下当CCR接入多个工厂管理网时，可能引入木马病毒等风险并篡改、阻断通信，进而可能影响现场生产运行。（3）CCR和本地FAR之间的远程通信，以及控制域FAR和非控制域FAR之间的跨域通信存在身份认证和访问控制机制不完善的问题，可能导致通信消息被截获、篡改、延迟，消息发送方被假冒，产生严重生产安全问题。（4）CCR和FAR的源代码、配置文件等关键数据缺乏分级细粒度安全管控，攻击者可能未经授权访问CCR、FAR关键数据而造成系统隐私信息泄露乃至系统失控等重大安全风险。

3　工控编程平台框架与应用系统的新型安全增强方案

3.1　工控编程平台安全增强框架

为解决现有工控编程平台存在的上文所述的安全问题，本文提出了安全增强的工控编程平台框架，如图4所示，其中标红部分表示安全增强方案，主要包含如下几部分：

首先，在工控配置环境模块，增加移动访问机制，改变编程平台原有单机系统为客户端-服务器（Client-Server，CS）模式，提升了工程配置效率，且集中管理工程组态有利于提升其安全性。此外，为员工PC和工控安全平台客户端应用软件等客户端安装可信硬件模块，确保其本身不泄露执行过程和存储的隐私数据。客户端可以远程访问工控编程平台进行环境配置，在远程访问过程中增加安全隔离认证装置集成多因子认证，如包括人脸识别在内的认证^[10]，确保远程客户端及外部设备不将其自身风险引入到工控编程平台，且实现了远程访问过程中的安全认证和细粒度访问权限管控。

图4 安全增强的新型工控编程平台框架设计图

其次，在工程师站模块：（1）使用多权限基于密文策略的属性基加密方案^[9]进行角色-行为-组件的权限建模，针对工控平台调用系统服务接口、命令执行接口等关键行为操作，进行分类授权，并对系统中的源文件、库文件、中间文件、调式文件等进行溯源分析，构建静动态结合的权限调整机制，对系统行为进行过滤和综合分析，确保系统运行和服务授权过程的一致性、安全性和灵活性。（2）增加细粒权限管控机制，基于系统运行状态的可信度量信息及日志信息、系统行为、账户授权信息等进行记录过滤和综合分析。（3）对于原有核心数据库，采用基于同态加密、可信执行环境和安全B+树结构等技术的加密数据库^[11]，加密存储组态关键信息，为编程平台运行时组件提供安全的数据存储与访问支持，同时对外围数据库管理接口运用国密算法进行国密化改造，确保其通信的安全性。（4）采用基于可信硬件和安全等级的关键组件可信动态度量机制，建立包含用户身份、操作行为、操作对象的动态度量模型及其策略库，所获得的可信度量信息和关键文件度量结果反馈给细粒度管控机制，实现工控编程平台的运行环境安全及关键组件安全等级度量，并实现工控系统前端控制设备、可信工控编程设备和安全管理系统一体化可信度量和设备安全。

最后，在控制站与工程师站、操作员站及历史站之间的通信模块，针对组态数据加载和外部访问，采用基于国密SM2、SM3、SM4算法的TLS/DTLS的通信协议进行，实现外部网络如控制站、历史站和工控编程平台之间通信数据的机密性、完整性和故障恢复能力。

综上，图4所示的新型工控编程平台框架实现了各模块内部通信和运行的安全性及各模块互联时的访问控制和身份认证安全性，从而实现了工控编程平台整体的安全防护。

3.2　工控PLC煤矿主通风控制系统安全增强方案

为解决上文所述现有工控PLC煤矿主通风控制系统中的安全问题，本文提出了安全增强的系统框架，如图5所示，其中红色部分均为新增安全增强组件，具体安全措施如下：

首先，将工程师站、移动工控编程平台、PLC控制器模块都升级为可信设备，该过程可以使用TPCM和UKey等可信设备和可信PLC等技术，确保它们各自的运行数据和运行过程不被攻击者窃取和篡改，保证基本模块的安全。

其次，在地面监控中心模块，针对PLC和传感器之间、操作站和PLC之间的认证机制缺乏、多设备环境下认证效率低、认证口令及关键数据易泄露等问题，面向PLC主通风控制系统的高可靠性、高确定性需求，增加关键行为提取审计系统，进行工控网络流量、设备属性和协议等工控系统关键特征提取，实现对PLC和传感器之间、操作站和PLC之间的通信的实时安全评估。另外，增加安全认证综合管理平台，采用“轻量级组认证+可信身份认证”机制，实现工控系统中普通设备及具备可信硬件的设备接入的身份认证功能[^12]，以及PLC与传感器之间通信的可认证性，并使用验签、密钥识别、指令审计等访问控制机制，确保系统中重要数据、核心数据，以及系统服务访问过程的可靠性。

图5安全增强的工控PLC监控系统部署

然后，在地面监控中心与控制环网的通信过程中，增加安全隔离认证装置，可以将地面监控中心等外部网络和工控PLC控制环网等网络资源的风险隔离，实现两者间的安全防护。

最后，针对地面监控中心的工程师站与PLC控制器之间，以及PLC控制器与传感器之间明文传输数据易被篡改的问题，针对嵌入式设备低功耗、低算力的特点，基于Feistel、SP、LFSR、Sponge、COFB等算法结构，设计轻量级分组、序列、杂凑、认证加密算法，并构建基于终端身份认证、群组认证、快速重认证、细粒度访问控制等技术的轻量级密码算法与协议体系^[13]，确保上述模块之间相互认证、密钥协商和数据传输等过程的安全性。

综上，图5所示的安全增强的工控PLC主通风系统实现了整体的动态安全防护。

3.3　己内酰胺DCS生产系统安全增强方案

针对上文所述工控DCS系统中存在的安全风险，本文提出了安全增强的DCS系统。如图6所示，DCS系统中集成了绝大部分本文所提出的工控编程平台安全增强技术，包括加密数据库、多因子认证、加密数据管控软件等。此外，相比图3，图6中增加的红色部分为改进的内容，红色实线表示对通信过程增加认证、保密及访问控制等安全机制，红色盾牌表示为设备增加可信执行模块。

图6安全增强的己内酰胺DCS生产控制系统

首先，为DCS系统内部各模块、工厂管理网、工业控制网以及FAR等的所有设备增加可信硬件模块，如TPCM、UKey等，确保这些设备本身的单独执行不受黑客监听、篡改等攻击，实现基础模块的安全可信计算。

其次，在工业控制网模块：（1）增加安全认证综合管理平台，该平台基于可信计算的身份认证技术，应用层细粒度管控技术，建立融合时空信息的多因子安全接入认证框架，并将CCR和FFR数据分为关键数据和一般数据进行“分级-分类”安全加固^[14]，使用基于属性的运行态访问许可关键技术实现数据访问控制，实现对工控协议、网络协议、加密流量监测机制^[15]、运行态访问策略配置及统一身份认证等的统一管理。（2）增加关键行为特征提取审计系统，提取CCR与FAR及工厂管理网的工控网络流量、设备属性和协议等工控系统关键特征，提取的数据反馈给安全认证管理平台用于实时安全策略调整。（3）增加安全隔离认证装置，使得CCR不受来自工厂管理网、安全管理中心及FAR的安全风险影响。

再次，在FAR模块：（1）增加面向CCR和窄带通信网络的国密化轻量级密码协议和跨域安全互联技术，包括不同域成员之间安全的密钥生成、协商、分发、存储、更新、撤销、销毁机制，跨域安全、高效、高耦合的动态访问控制机制和动态域间身份认证技术等，实现快速、准确、动态的域间身份认证和跨域低延时、低功耗、高安全的通信，并对重要信息资源进行细粒度数据访问权限控制。（2）增加关键行为特征提取审计系统，支持对CCR、FAR操作行为的动态度量模型，实时提取FAR设备通信的工控网络流量、设备属性和协议等工控系统关键特征，并反馈给安全认证综合管理平台，实现工控领域中私有协议流量的审计，防止合法流量恶意重放及潜在威胁预警，促进安全认证综合管理平台的实时安全策略调整。（3）增加安全隔离认证装置，可以隔离工控DCS系统的管理网、控制网和现场设备间等不同域之间的安全风险，实现工控DCS系统不同域的网间纵向安全防护。

最后，针对工控编程平台数据如CCR、FFR的源代码、配置文件、功能块缺乏安全访问控制、安全管控机制的问题，设计工控数据全生命周期管控体系，开展工控编程平台数据从产生到销毁的全流程的安全风险评估，构建基于工控编程平台的数据安全防护体系。

综上，图6所示的安全增强的己内酰胺DCS生产控制系统实现了整体安全防护。

4　安全增强后的工控编程DCS系统性能测试与分析

由于改进的己内酰胺DCS系统集成了大部分工控编程平台安全性增强技术，我们对改进的己内酰胺DCS系统进行了多方面的性能测试，包括工控编程关键行为提取审计系统、安全认证综合管理平台、DCS工控安全编程平台等模块的典型性能测试。

在对DCS安全认证综合管理平台的测试中，我们发现员工个人电脑基于多因子认证方式访问一次DCS工控编程平台所需时间大概需要2s，如图7所示，详细可参考PCAP数据包建立会话的整个过程实践，其中，认证通过HTTP协议请求应答来实现。工程师站下装一次控制指令所需要的时间与工程规模有关，目前实测较大规模（几千个通讯点的数据）全量下装在1分钟以内，相比未采取安全增强措施的工控系统，该时间增量在20s以内，在DCS实际应用中性能在可接受的范围内。

图7多因子认证登录DCS工控编程平台的时间

此外，我们测试了监控中心与FAR设备（如控制器等）进行一次安全通信所需时间（在本文实验环境中，是指和利时研发的控制器指令下发软件AT与和利时CU12控制器之间通信的SM4加密时间），也是工程师站（或操作员站）与控制站（或历史站）基于国密算法TLS/DTLS进行一次加密通信所需时间，对于1000字节的数据加密或者解密，大概需要0.07~0.08ms，如图8所示。这说明改进的DCS系统中基于国密算法的通信加解密性能优秀。

图8 DCS监控中心与FAR设备基于国密算法一次安全通信时间

在对安全增强的己内酰胺DCS系统中的关键行为提取审计系统的实验测试中，基于多种通信协议下的加密流量检测测试，如图9和图10所示，我们发现该关键行为提取审计系统对HTTP、Ethernet、TCP、Netbios、KRBS、HTTP等多种类型的通信协议均能实现对异常链路流量的实时告警。即，如果一个异常流量之前没有发生过，则关键行为提取审计系统最早发现它的时间和告警时间（最近发现时间）是相同的，而如果一个异常流量上次发生过，最早发现它的时间就是上次告警的时间，最近发生点时间就是系统当前时间。

图9 HTTP、Ethernet通信协议下异常流量检测实验

图10 TCP通信协议下异常流量检测实验

在对系统的加密数据管控部分的实验测试中，我们采用sysbench工具测试工控系统加密数据库性能。在向数据库插入数据的测试中，每秒请求数量（Queries Per Second，QPS）约为10500，即每秒插入10500条数据，查询延迟的95分位为20ms，即95%的查询，均在20ms内完成，与普通数据库相比时间大约只慢3~4ms，性能损失很小，如图11所示。这证明了本文所采用的加密数据库性能高效。

图11访问加密数据库的时间测试

此外，在对改进的DCS系统的功能测试中，我们发现DCS工控平台安全支持可配置策略的运行态访问许可，支持100种网络协议、30种工控协议；支持加密流量检测；支持统一身份认证；支持自适应生成honeyword；支持密码泄露检测；支持可信静态启动，启动增加时间不超过15s；支持抗DOS攻击的安全策略配置。

综上实验数据表明，本文所提出的安全增强的工控编程平台框架在实现系统整体安全性增强的情况下，具有较高的性能，能较好地满足实际应用的安全和性能需求。

5　结论

（1）本文提出了完整的工控系统安全增强防护框架，该框架运用安全隔离认证网关、国密算法、轻量级身份验证与密钥协商、可信硬件与可信计算技术、加密数据库、动态细粒度访问控制等技术，实现了对现有工控编程平台的全方位安全增强。

（2）本文针对两个常见工控系统应用场景提出了针对性的安全增强方案，实现了对现有工控编程平台应用的整体安全性增强，促进了安全工控应用的发展。

（3）本文对提出的安全增强的DCS系统进行性能测试，测试结果表明在使用多因子认证、加密数据库、国密算法等安全增强技术后，系统性能降低很小，能够较好地满足工控平台实际应用需求。

★基金项目：国家重点研发计划资助项目（2021YFB3101601），浙江农林大学科研发展基金（人才启动项目2024LFR126）。

作者简介：

高　山（1980-），男，山东烟台人，高级工程师，硕士，现于浙江大学控制科学与工程学院博士在读，研究方向是工业信息安全。

胡　爽（1993-），女，讲师，博士，现就职于浙江农林大学数学与计算机科学学院，研究方向是密码学与隐私保护。（本文通信作者）

张秉晟（1984-），男，研究员，博士，现就职于浙江大学区块链与数据安全全国重点实验室、杭州高新区（滨江）区块链与数据安全研究院，研究方向是密码学与隐私保护。

参考文献：

[1] BHAMARE D, ZOLANVARI M, ERBAD A, et al. Cybersecurity for industrial control systems: A survey[J]. Computers & Security, 2020, 89 : 101677.

[2] LI K, ROUDAUT A, RASHID A. Usable security model for industrial control systems authentication and authorisation workflow [C]// ACM EuroUSEC, 2023 : 205 - 217.

[3] VARGAS C, LANGFINGER M, VOGEL-H B. A tiered security analysis of Industrial Control System Devices [C]// IEEE INDIN, 2017 : 399 - 404.

[4] GERVAIS A. Security Analysis of Industrial Control Systems [D].Switzerland, ETH Zurich, 2012 : 4.

[5] LESJAK C, HEIN D, WINTER J. Hardware-security technologies for industrial IoT: TrustZone and security controller [C]// IEEE IECON, 2015 : 2589 - 2595.

[6] WONG K, ZHENG Y, CAO J, et al. A dynamic user authentication scheme for wireless sensor networks [C]// IEEE SUTC, 2016 : 1 – 8.

[7] KHAN M, ALGHATHBAR K. Cryptanalysis and security improvements of 'two-factor user authentication in wireless sensor networks' [J]. Sensors, 2010, 10 (3) : 2450 – 2459.

[8] DONG R, XU T, ZHANG Q. Access Control Model of Industrial Control System Based on Multi-attribute Decision Making[J]. Int J Netw Secur, 2021 : 23 (6) : 1037 - 1048.

[9] YANG Y, SUN J, LIU Z, et al. Practical revocable and multi-authority CP-ABE scheme from RLWE for cloud computing[J]. JISA, 2022,65, 103108.

[10] QI C, HUANG J, ZHAO X, et al. .Lightweight network structure face recognition method based on cloud-edge collaboration[J]. Journal of Southeast University (Natural Science Edition), 2023, 53 (1) : 1 - 13.

[11] SUN Y, WANG S, LI H, et al. Building enclave-native storage engines for practical encrypted databases [J]. PROC VLDB ENDOW, 2021, 14 (6) : 1019 - 1032.

[12] ZHANG S, HUANG J, QI C, et al. Online IoT device identification method based on SOINN[J]. Journal of Southeast University (Natural Science Edition), 2021, 51 (4) : 715 - 723.

[13] GAO S, CHEN J, ZHANG B, et al. Privacy-preserving Industrial Control System Anomaly Detection Platform [J]. SCN, 2023, 7010155 : 1 - 12.

[14] ZHANG H, CHEN L, YANG B, et al. Secure lightweight data using scheme in 5G industrial Internet systems[J]. Journal of Southeast University (Natural Science Edition), 2024, 54 (3) : 772 - 780.

[15] GAO S, CHEN J, ZHANG B, et al. A General authentication and key agreement framework for industrial control system [J]. Chin J Electron, 2024, 33 (5) : 1 – 17.

摘自《自动化博览》2025年5月刊