近年來，隨著兩化深度融合戰略的持續推進，以及物聯網等新興技術在工業領域的應用，工業控制系統安全也倍受企業關注。工業控制系統作為能源、制造、軍工等國家命脈行業的重要基礎設施，在信息攻防戰的陰影下面臨著安全風險持續攀升的運行環境。據統計，過去一年，國家信息安全漏洞共享平臺收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內外知名工業控制系統制造商的產品。安全漏洞的涌現，無疑為工業控制系統增加了風險，進而影響正常的生產秩序，甚至會危及人員健康和公共財產安全。

　　一、工業控制系統安全現狀及挑戰

　　兩化融合和物聯網的發展使得TCP/IP協議和OPC協議等通用協議越來越廣泛地應用在工業控制網絡中，隨之而來的通信協議漏洞問題也日益突出。例如，OPCClassic協議(OPCDA，OPCHAD和OPCA&E)基于微軟的D協議，D協議是在網絡安全問題被廣泛認識之前設計的，極易受到攻擊，并且OPC通訊采用不固定的端口號，導致目前幾乎無法使用傳統的IT防火墻來確保其安全性。因此確保使用OPC通訊協議的工業控制系統的安全性和可靠性給工程師帶來了極大的挑戰。

　　工業控制系統安全不是“老系統碰上新問題”，而是傳統信息安全問題在工業控制領域的延伸。當前信息技術已廣泛應用于石油、化工、電力等眾多領域，為傳統工業控制系統優化升級提供了重要的支撐，同時也帶來了網絡環境下的信息安全問題，蠕蟲、木馬、黑客攻擊等網絡威脅對工業控制系統的沖擊呈現出愈演愈烈的發展態勢。

　　提到工控安全問題，很多人可能會簡單地理解為直接用于控制的實時操作系統設備的安全。然而，從整個架構上看，工業控制系統是由服務器、終端、前端的實時操作系統等共同構成的網絡體系，同樣涉及物理層、網絡層、主機層、應用層等傳統信息安全問題。在整個工業控制系統中，大多數工控軟件都是運行在通用操作系統上，例如操作員站一般都是采用Linux或Windows平臺，由于考慮到系統運行的穩定性，一般系統運行后不會對Linux或Windows平臺打補丁；另外，大多工業控制網絡都屬于專用內部網絡，不與互聯網相連，即使安裝反病毒軟件，也不能及時地更新病毒數據庫，并且殺毒軟件對未知病毒和惡意代碼也無能為力。操作系統漏洞無法避免，加之傳統防御技術和方式的滯后性，給病毒、惡意代碼的傳染與擴散留下了空間。

　　據了解，在2010年爆發的“震網”事件中，病毒導致部分用于鈾濃縮的離心機無法運行，直擊伊朗核工業。由此可見，針對工業控制系統的攻擊行為，已經對國家經濟和社會發展產生深遠的影響。事實上，不僅僅是“震網(Stuxnet)”病毒，近年來相繼涌現出的著名惡意軟件如“毒區(Duqu)”、“火焰(Flame)”等等，也將攻擊重心向石油、電力等國家命脈行業領域傾斜，工業控制系統面臨的安全形勢越來越嚴峻。

　　二、工業控制系統安全風險分析

　　1、風險分析

　　工業控制系統是我國重要基礎設施自動化生產的基礎組件，安全的重要性可見一斑，然而受到核心技術限制、系統結構復雜、缺乏安全與管理標準等諸多因素影響，運行在 ICS系統中的數據及操作指令隨時可能遭受來自敵對勢力、商業間諜、網絡犯罪團伙的破壞。根據工信部 關于加強工業控制系統信息安全管理的通知)要求，我國工業控制系統信息安全管理的重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。這些領域中的工業控制系統一旦遭到破壞，不僅會影響產業經濟的持續發展，更會對國家安全造成巨大的損害。

　　通過分析可以發現，造成工業控制系統安全風險加劇的主要原因有兩方面：

　　第一，傳統工業控制系統的出現時間要早于互聯網，它需要采用專用的硬件、軟件和通信協議，設計上以武力安全為主，基本沒有考慮互聯互通所必須考慮的通信安全問題。

　　第二，互聯網技術的出現，導致工業控制網絡中大量采用通用 TCP／IP技術 ，工業控制系統與各種業務系統的協作成為可能，愈加智能的 ICS網絡中各種應用、工控設備以及辦公用 PC系統逐漸形成一張復雜的網絡拓撲。

　　僅基于工控協議識別與控制的安全解決方案在兩方面因素的合力下，已無法滿足新形勢下ICS網絡運維要求，確保應用層安全是當前 ICS系統穩定運營的基本前提。利用工控設備漏洞、TCP／IP協議缺陷、工業應用漏洞，攻擊者可以針對性地構建更加隱蔽的攻擊通道。以 Stuxnet蠕蟲為例 ，其充分利用了伊朗布什爾核電站工控網絡中工業 PC與控制系統存在的安全漏洞 (LIK文件處理漏洞、打印機漏洞、RPC漏洞、WinCC漏洞、S7項目文件漏洞以及 Autorun．inf漏洞)，為攻擊者入侵提供了七條隱蔽的通道。

　　2、脆弱性分析

　　工業控制系統的安全性和重要性直接影響到國家戰略安全實施，但為兼顧工業應用的場景和執行效率，在追求 ICS系統高可用性和業務連續性的過程中，用戶往往會被動地降低 ICS系統的安全防御需求。識別 ICS存在的風險與安全隱患，實施相應的安全保障策略是確保 ICS系統穩定運行的有效手段。

　　2.1安全策略與管理流程的脆弱性

　　追求可用性而犧牲安全，這是很多工業控制系統存在普遍現象，缺乏完整有效的安全策略與管理流程是當前我國工業控制系統的最大難題，很多已經實施了安全防御措施的ICS網絡仍然會因為管理或操作上的失誤，造成ICS系統出現潛在的安全短板。例如，工業控制系統中的移動存儲介質的使用和不嚴格的訪問控制策略。

　　作為信息安全管理的重要組成部分，制定滿足業務場景需求的安全策略，并依據策略制定管理流程，是確保ICS系統穩定運行的基礎。參照 NERCCIP、ANSI/ISA一99、IEC 62443等國際標準，目前我國安全策略與管理流程的脆弱性表現為：

　　(1)缺乏ICS的安全策略；

　　(2)缺乏ICS的安全培訓與意識培養；

　　(3)缺乏安全架構與設計

　　(4)缺乏根據安全策略制定的正規、可備案的安全流程；

　　(5)缺乏ICS安全審計機制；

　　(6)缺乏針對ICS的業務連續性與災難恢復計地

　　(7)缺乏針對ItS配置變更管理。

　　2.2工控平臺的脆弱性

　　隨著TCP／IP等通用協議與開發標準引入工業控制系統，開放、透明的工業控制系統同樣為物聯網、云計算、移動互聯網等新興技術領域開辟出廣闊的想象空間。理論上，絕對的物理隔離網絡正因為需求和業務模式的改變而不再切實可行。

　　目前，多數ICS網絡僅通過部署防火墻來保證工業網絡與辦公網絡的相對隔離，各個工業自動化單元之間缺乏可靠的安全通信機制，例如基于 DC0M 編程規范的 0PC接口幾乎不可能使用傳統的 IT防火墻來確保其安全性。數據加密效果不佳 ，工業控制協議的識別能力不理想，加之缺乏行業標準規范與管理制度，工業控制系統的安全防御能力十分有限。

　　旨在保護電力生產與交通運輸控制系統安全的國際標準NERC CIP明確要求，實施安全策略確保資產安全是確保控制系統穩定運行的最基本要求。將具有相同功能和安全要求的控制設備劃分到同一區域，區域之間執行管道通信，通過控制區域間管道中的通信內容是目前工業控制領域普遍被認可的安全防御措施。

　　另一種容易忽略的情況是，由于不同行業的應用場景不同，其對于功能區域的劃分和安全防御的要求也各不相同，而對于利用針對性通信協議與應用層協議的漏洞來傳播的惡意攻擊行為更是無能為力。更為嚴重的是，工業控制系統的補丁管理效果始終無法令人滿意，考慮到 ICS補丁升級所存在的運行平臺與軟件版本限制，以及系統可用性與連續性的硬性要求，ICS系統管理員絕不會輕易安裝非ICS設備制造商指定的升級補丁。與此同時，工業系統補丁動輒半年的補丁發布周期，也讓攻擊者有較多的時間來利用已存在的漏洞發起攻擊。著名的工業自動化與控制設備提供商西門子就曾因漏洞公布不及時而飽受質疑。

　　無論是針對工業系統的攻擊事件，還是更隱蔽且持續威脅的APT攻擊行為，基于黑名單或單一特征比對的信息安全解決方案都無法有效防御，更不要說利用 0day漏洞的攻擊行為。而 IT領域廣泛采用的主動防御技術，因為其存在較大的誤殺風險，并不適用于工業控制系統的高性能作業。目前，惟有基于白名單機制的安全監測技術是被工業控制系統用戶普遍任何的解決方案。

　　2.3網絡的脆弱性

　　通用以太網技術的引入讓ICS變得智能，也讓工業控制網絡愈發透明、開放、互聯，TCP／IP存在的威脅同樣會在工業網絡中重現。此外，工業控制網絡的專屬控制協議更為攻擊者提供了了解工業控制網絡內部環境的機會。確保工業網絡的安全穩定運營，必須針對 ICS網絡環境進行實時異常行為的 “發現 、檢測、清除、恢復、審計”一體化的保障機制。當前 ICS網絡主要的脆弱性集中體現為：

　　(1)邊界安全策略缺失；

　　(2)系統安全防御機制缺失；

　　(3)管理制度缺失或不完善；

　　(4)網絡配置規范缺失；

　　(5)監控與應急響應制度缺失；

　　(6)網絡通信保障機制缺失；

　　(7)無線網絡接入認證機制缺失；

　　(8)基礎設施可用性保障機制缺失。

　　2.4潛在威脅分析

　　作為國家關鍵基礎設施自動化控制的基本組成部分，由于其承載著海量的操作數據，并可以通過篡改邏輯控制器控制指令而實現對目標控制系統的攻擊，針對工業控制網絡的定向攻擊目前正成為敵對勢力和網絡犯罪集團實施滲透攫取利益的重點對象。稍有不慎就有可能對涉及國計民生的重要基礎設施造成損害。可導致 ICS系統遭受破壞的威脅主要有：

　　(1)控制系統發生拒絕服務；

　　(2)向控制系統注入惡意代碼；

　　(3)對可編程控制器進行非法操作；

　　(4)對無線 AP進行滲透；

　　(5)工業控制系統存在漏洞；

　　(6)錯誤的策略配置；

　　(7)人員及流程控制策略缺失。

　　三、工業控制系統安全防范策略

　　1、白名單機制

　　白名單主動防御技術是通過提前計劃好的協議規則來限制網絡數據的交換，在控制網到信息網之間進行動態行為判斷。通過對約定協議的特征分析和端口限制的方法，從根源上節制未知惡意軟件的運行和傳播。

　　“白名單”安全機制是一種安全規范，不僅應用于防火墻軟件的設置規則，也是在實際管理中要遵循的原則，例如在對設備和計算機進行實際操作時，需要使用指定的筆記本、U盤等，管理人員信任可識別的身份，未經授權的行為將被拒絕。

　　2、物理隔離

　　網絡物理隔離類技術誕生較早，最初是用來解決涉密網絡與非涉密網絡之間的安全數據交換問題。后來，網絡物理隔離由于其高安全性，開始被廣泛應用于政府、軍隊、電力、鐵道、金融等多個行業部門，其主要功能支持：文件數據交換、HTTP訪問、WWW服務、FTP訪問、收發電子郵件、關系數據庫同步以及TCP/UDP定制等。

　　在工業控制領域，網絡物理隔離也開始得到應用和推廣。通常采用“2+1”的三模塊架構，內置雙主機系統，隔離單元通過總線技術建立安全通道以安全地實現快速數據交換。網絡物理隔離提供的應用專門針對控制網絡的安全防護。因此，它只提供控制網絡常用通信功能，如OPC、Modbus等，而不提供通用互聯網功能，因此，更適合于控制網絡與辦公網絡，以及控制網絡各獨立子系統之間的隔離。

　　其主要特點有幾種：

　　1)獨立的運算單元和存儲單元，各自運行獨立的操作系統和應用系統；

　　2)安全隔離區采用私有加密的數據交換技術，數據交換不依靠TCP/IP協議；

　　3)工業通信協議，OPC/Modbus/60870-5-104等；

　　4)與信息層上傳數據時，可實現斷線緩存、續傳；

　　5)實時數據交換、延遲時間小于1ms；

　　6)訪問控制、身份認證以及安全審計與日志管理；

　　3、工業協議深度解析

　　商用防火墻是根據辦公網絡安全要求設計的一種防火墻，它可以對辦公網絡中傳輸使用的大部分通用網絡協議（如http、ftp等）進行完全包過濾，能給辦公網絡提供有效的保護。但是，對于工業網絡上使用的工業通信協議（如Modbus、OPC等應用層協議）的網絡包，商用防火墻只能做網絡層和傳輸層的淺層包過濾，它無法對網絡包中應用層數據進行身材檢查，因此，商用防火墻有一定的局限性，無法滿足工業網絡的要求。因此，自動化行業內迫切需要一款專用工業防火墻，可以針對工業通信協議進行有效的過濾檢查，以保證工業控制系統的運行安全。

　　4、漏洞掃描

　　通過對網絡的掃描，網絡管理員能了解網絡的安全設置和運行的應用服務，及時發現安全漏洞，客觀評估網絡風險等級。網絡管理員能根據掃描的結果更正網絡安全漏洞和系統中的錯誤設置，在黑客攻擊前進行防范。如果說防火墻和網絡監視系統是被動的防御手段，那么安全掃描就是一種主動的防范措施，能有效避免黑客攻擊行為，做到防患于未然。

　　5、云管理服務平臺

　　構建滿足工業控制系統的全廠級風險識別模型，除了需要細化工業控制系統的風險因素，還需要建立基于工業控制系統的安全管理域，實施分等級的基礎建設，兼顧包括中斷與鏈路、威脅與異常、安全與可用性等綜合因素的功能考慮。

　　安全管理私有云服務平臺的建立要求包括：

　　1)方便地對整個系統里所有的安全設備模塊、控制器和工作站，進行部署、監控和管理；

　　2)規則輔助生產，指導應用方便快捷地從權限、授權管理報告中，創建防火墻的規則；

　　3)自動阻止并報告任何與系統流量不匹配的規則；

　　4)接收、處理和記錄由安全模塊所上傳的報警信息；

　　5)全網流量是區及識別能力；

　　6)基于白名單的終端控制能力；

　　7)實時ICS協議與內容識別能力；

　　8)異常行為的仿真能力；

　　9)可視化配置、組態；

　　10)安全事件搜索、跟蹤和預處理能力；

　　四、總結

　　隨著以太網技術在工業控制網絡中的應用，以及兩化深入融合的持續推進，未來的工業控制系統將會融入更多的新興信息技術和安全技術。工業系統的安全關系到國家的安全發展和穩定。為此，政府應該不斷加強對工業控制領域安全法律法規的建設，同時國內的技術廠商應該借助新一輪IT發展浪潮，提升工控安全技術的自主研發創新能力，為企業的工業控制應用保駕護航。