加強(qiáng)工業(yè)控制系統(tǒng)安全防護(hù)的認(rèn)識(shí)與思考

王偉

一、工業(yè)控制系統(tǒng)架構(gòu)與安全威脅

工業(yè)控制系統(tǒng)是類似互聯(lián)網(wǎng)技術(shù)的一種通用信息技術(shù)，是由計(jì)算機(jī)設(shè)備與工業(yè)過(guò)程控制部件構(gòu)成的網(wǎng)絡(luò)化控制系統(tǒng)，廣泛應(yīng)用于工業(yè)部門和基礎(chǔ)設(shè)施中。抽象的工業(yè)控制系統(tǒng)一般具備五層結(jié)構(gòu)；

最底層（0層）為工業(yè)過(guò)程基礎(chǔ)設(shè)施，第1層為可編程邏輯控制器/遠(yuǎn)程控制終端（PLC/RTU），第2層為中心站與PLC遠(yuǎn)程終端組成的局域網(wǎng)規(guī)模的分布式控制系統(tǒng)（DCS），第3層為中心站與RTU遠(yuǎn)程終端或DCS組成的廣域網(wǎng)規(guī)模的數(shù)據(jù)采集與監(jiān)控系統(tǒng)（ SCADA），第4層則是包括SCADA或DCS在內(nèi)的企業(yè)級(jí)信息管理系統(tǒng)。

工業(yè)控制系統(tǒng)的安全與因特網(wǎng)安全既有共性之處也有異性之別，共性在于都要防病毒等惡意軟件和黑客入侵，異性在于兩者體系結(jié)構(gòu)截然不同，一是工業(yè)控制系統(tǒng)是高度集中的縱向多層次結(jié)構(gòu)，傳輸內(nèi)容與因特網(wǎng)不同，全部是直接控制工業(yè)設(shè)備的指令信息；二是安全問(wèn)題，因特網(wǎng)大多集中在信息交互層面，而工業(yè)控制系統(tǒng)則大多集中在物理層面。

表1 工業(yè)控制系統(tǒng)五層結(jié)構(gòu)

工業(yè)控制系統(tǒng)一經(jīng)應(yīng)用，就出現(xiàn)各種各樣的安全威脅，主要表現(xiàn)為三類：

1、來(lái)自自然環(huán)境因素和系統(tǒng)本身脆弱性。2003年8月，北美發(fā)生大停電事件，起因于俄亥俄州電廠高壓電線觸及路旁樹枝而造成局部跳電，但監(jiān)控電廠運(yùn)行狀態(tài)的軟件有設(shè)計(jì)錯(cuò)誤，關(guān)鍵時(shí)刻并未報(bào)警，致使操作員未能及時(shí)發(fā)現(xiàn)并處理跳電以至負(fù)載失衡擴(kuò)散，造成鄰近電廠接連跳電，導(dǎo)致空前大停電，影響5000萬(wàn)人生活，造成100多億美元的經(jīng)濟(jì)損失。

2、來(lái)自病毒等惡意軟件和黑客的攻擊。2000年，美國(guó)一男童通過(guò)網(wǎng)絡(luò)侵入亞利桑納州羅斯福水壩的 SCADA系統(tǒng)，并能控制水壩閘門提升，該水壩儲(chǔ)水一旦被瀉出，足以淹沒下游的菲尼克斯城，幸好被工程師及時(shí)發(fā)現(xiàn)，才沒有導(dǎo)致災(zāi)難發(fā)生；2011年1月，美國(guó)和以色列聯(lián)合研制名為“震網(wǎng)”的電腦蠕蟲病毒，成功襲擊了伊朗的納坦茲鈾濃縮工廠等核設(shè)施，延遲了伊朗核計(jì)劃的順利實(shí)施。

3、來(lái)自信息對(duì)抗層次甚至是國(guó)家級(jí)的信息戰(zhàn)攻擊。1982年6月，美國(guó)中情局通過(guò)利用美國(guó)給前蘇聯(lián)的控制軟件中的缺陷，對(duì)前蘇聯(lián)的輸油管線系統(tǒng)進(jìn)行了一次災(zāi)難性的打擊，編程軟件在人為設(shè)定的時(shí)間間隔后出現(xiàn)故障，使得管線壓力超過(guò)管道焊接點(diǎn)焊縫能承受的最大壓力，結(jié)果導(dǎo)致前蘇聯(lián)西伯利亞一條天然氣管線發(fā)生爆炸，據(jù)稱是有史以來(lái)最大的非核爆炸。

業(yè)界專家對(duì)由工業(yè)控制系統(tǒng)支撐的基礎(chǔ)設(shè)施可能遭遇的攻擊表示相當(dāng)擔(dān)憂，并將其前景描述為：將來(lái)某一天可能會(huì)發(fā)生“數(shù)字滑鐵盧”或“電子珍珠港”事件。

二、揚(yáng)州市工業(yè)控制系統(tǒng)調(diào)查現(xiàn)狀

按照工信部《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》要求，揚(yáng)州市自去年1月起，在全市范圍內(nèi)啟動(dòng)重點(diǎn)行業(yè)重要工業(yè)控制系統(tǒng)基本情況調(diào)查，今年又將揚(yáng)州市第五水廠申報(bào)為全省工業(yè)控制系統(tǒng)安全管理試點(diǎn)，江蘇省專家組對(duì)五水廠工業(yè)控制系統(tǒng)進(jìn)行現(xiàn)場(chǎng)調(diào)研并針對(duì)安全隱患提出具體整改建議。

統(tǒng)計(jì)顯示，全市2市（高郵、儀征）、1縣（寶應(yīng)）、3區(qū)（廣陵、邗江、江都）和2園區(qū)（市經(jīng)濟(jì)技術(shù)開發(fā)區(qū)、市化工園區(qū)）24個(gè)企業(yè)共計(jì)1213個(gè)重點(diǎn)工業(yè)控制系統(tǒng)，主要分屬化工、電力行業(yè)和城市公用事業(yè)服務(wù)領(lǐng)域。德國(guó)西門子公司生產(chǎn)的可編程控制器（PLC）和我國(guó)浙江浙大中控公司生產(chǎn)的分布式控制系統(tǒng)（DCS）在揚(yáng)州市工業(yè)企業(yè)應(yīng)用廣泛，其中德國(guó)西門子公司生產(chǎn)的可編程控制器占全部調(diào)查企業(yè)工業(yè)控制系統(tǒng)總數(shù)的87%，占全部調(diào)查企業(yè)可編程控制器應(yīng)用總數(shù)的95%以上；浙江浙大中控公司生產(chǎn)的分布式控制系統(tǒng)占全部調(diào)查企業(yè)分布式控制系統(tǒng)應(yīng)用總數(shù)的半數(shù)以上。

1、按企業(yè)所屬地區(qū)分：

3、按企業(yè)經(jīng)濟(jì)類型分：

4、按系統(tǒng)應(yīng)用行業(yè)分：

5、按系統(tǒng)制造商國(guó)別分：

6、按系統(tǒng)類型分：

調(diào)查發(fā)現(xiàn)，揚(yáng)州市多數(shù)企業(yè)對(duì)工業(yè)控制系統(tǒng)信息安全認(rèn)識(shí)與防護(hù)能力相當(dāng)薄弱。對(duì)工業(yè)控制系統(tǒng)信息安全問(wèn)題重視不夠，管理制度不健全，相關(guān)標(biāo)準(zhǔn)規(guī)范缺失，技術(shù)防護(hù)措施不到位，安全防護(hù)能力和應(yīng)急處置能力不高；絕大多數(shù)企業(yè)工業(yè)控制系統(tǒng)主要軟硬件依賴進(jìn)口，技術(shù)受制于人；廣泛使用無(wú)線電通信，存在安全隱患；借用公共電信網(wǎng)絡(luò)和因特網(wǎng)組網(wǎng)，增加了安全風(fēng)險(xiǎn)，威脅著工業(yè)生產(chǎn)安全和社會(huì)正常運(yùn)轉(zhuǎn)；部屬、省屬駐揚(yáng)單位以及民航、水利等重要系統(tǒng)網(wǎng)絡(luò)信息安全工作“屬地化”管理迫切需要進(jìn)一步優(yōu)化完善相關(guān)機(jī)制；工業(yè)控制系統(tǒng)設(shè)備的源頭廠商管理無(wú)序，迫切需要加強(qiáng)監(jiān)管并嚴(yán)把進(jìn)口關(guān)，通過(guò)源頭治理、政企協(xié)作、形成合力，實(shí)施有效有力地防范保障。

三、加強(qiáng)工業(yè)控制系統(tǒng)安全防護(hù)的幾點(diǎn)思考

切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)安全防護(hù)，須從國(guó)家戰(zhàn)略層面和企業(yè)戰(zhàn)術(shù)層面雙輪驅(qū)動(dòng)、雙管齊下。

1、國(guó)家在戰(zhàn)略層面強(qiáng)化頂層設(shè)計(jì)、統(tǒng)籌規(guī)劃和標(biāo)準(zhǔn)規(guī)范。

（1）推進(jìn)工業(yè)控制系統(tǒng)防護(hù)體系建設(shè)。加強(qiáng)對(duì)工業(yè)控制系統(tǒng)安全防護(hù)工作的組織領(lǐng)導(dǎo)和宏觀規(guī)劃，組織力量進(jìn)行跨部門、跨行業(yè)的調(diào)查研究，深入研究設(shè)計(jì)工業(yè)控制系統(tǒng)防護(hù)體系框架結(jié)構(gòu)，制定安全防護(hù)整體策略。

（2）建立工業(yè)控制系統(tǒng)安全保障技術(shù)標(biāo)準(zhǔn)體系。借鑒國(guó)際上已經(jīng)建立的相關(guān)標(biāo)準(zhǔn)（如ANSI/ISA-99《工業(yè)自動(dòng)化和控制系統(tǒng)的安全性》等）抓緊制定我國(guó)工業(yè)控制系統(tǒng)安全保障的技術(shù)標(biāo)準(zhǔn)規(guī)范。

（3）加強(qiáng)工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)的研發(fā)。推進(jìn)官產(chǎn)學(xué)研四位一體、引導(dǎo)全社會(huì)科研力量關(guān)注工業(yè)控制系統(tǒng)安全領(lǐng)域基礎(chǔ)理論、關(guān)鍵技術(shù)等重大課題，吸引社會(huì)資源深入研發(fā)安全防護(hù)手段和技術(shù)產(chǎn)品，逐步以國(guó)產(chǎn)化替代進(jìn)口。

（4）建立工業(yè)控制系統(tǒng)安全防護(hù)預(yù)警機(jī)制，提高信息戰(zhàn)防御能力。針對(duì)工業(yè)、能源、交通、水利以及市政等領(lǐng)域生產(chǎn)設(shè)備的特點(diǎn)，集中組織攻關(guān)，完善預(yù)警、響應(yīng)機(jī)制，削減或化解可能被信息戰(zhàn)所利用的脆弱性，提高工業(yè)控制系統(tǒng)信息戰(zhàn)的防御能力。

2、企業(yè)在戰(zhàn)術(shù)層面注重細(xì)節(jié)管理、員工培訓(xùn)和行為規(guī)范。

伴隨信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散。必須明確工業(yè)控制系統(tǒng)信息安全管理的重點(diǎn)領(lǐng)域和重點(diǎn)環(huán)節(jié)，切實(shí)落實(shí)以下具體要求：

（1）連接管理。斷開工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)之間的所有不必要連接；對(duì)確實(shí)需要的連接逐一進(jìn)行登記，采取設(shè)置防火墻、單向隔離等措施加以防護(hù)，并定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，不斷完善防范措施；嚴(yán)格控制在工業(yè)控制系統(tǒng)和公共網(wǎng)絡(luò)之間交叉使用移動(dòng)存儲(chǔ)介質(zhì)以及便攜式計(jì)算機(jī)。

（2）組網(wǎng)管理。工業(yè)控制系統(tǒng)組網(wǎng)時(shí)要同步規(guī)劃、同步建設(shè)、同步運(yùn)行安全防護(hù)措施，切實(shí)加強(qiáng)對(duì)關(guān)鍵工業(yè)控制系統(tǒng)遠(yuǎn)程通信的保護(hù)；對(duì)無(wú)線組網(wǎng)采取嚴(yán)格的身份認(rèn)證和安全監(jiān)測(cè)，防止經(jīng)無(wú)線網(wǎng)絡(luò)進(jìn)行惡意入侵。

（3）配置管理。建立控制服務(wù)器等工業(yè)控制系統(tǒng)關(guān)鍵設(shè)備安全配置和審計(jì)制度；嚴(yán)格賬戶管理和口令管理，定期對(duì)賬戶、口令、端口、服務(wù)等進(jìn)行檢查，及時(shí)清理不必要的用戶和管理員賬戶，停止無(wú)用的后臺(tái)程序和進(jìn)程，關(guān)閉無(wú)關(guān)的端口和服務(wù)。

（4）設(shè)備選擇與升級(jí)管理。慎重選擇工業(yè)控制系統(tǒng)設(shè)備，確保產(chǎn)品安全可控；加強(qiáng)對(duì)技術(shù)服務(wù)的信息安全管理，在安全得不到保證的情況下禁止采取遠(yuǎn)程在線服務(wù)；關(guān)鍵工業(yè)控制系統(tǒng)軟件升級(jí)、補(bǔ)丁安裝前要請(qǐng)專業(yè)技術(shù)機(jī)構(gòu)進(jìn)行安全評(píng)估和驗(yàn)證。

（5）應(yīng)急管理。制定工業(yè)控制系統(tǒng)信息安全應(yīng)急預(yù)案，明確應(yīng)急處置流程和臨機(jī)處置權(quán)限，落實(shí)應(yīng)急技術(shù)支撐隊(duì)伍，根據(jù)實(shí)際情況采取必要的備機(jī)備件等容災(zāi)備份措施。