1概述

　　眾所周知，工業(yè)控制系統(tǒng)（Industrial and Control System—ICS或簡稱工控系統(tǒng)）廣泛應(yīng)用于國家關(guān)鍵生產(chǎn)設(shè)施和基礎(chǔ)設(shè)施,，它是系統(tǒng)運行的“中樞”,。從工控系統(tǒng)自身來看，隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展,，尤其是信息化與工業(yè)化深度融合,，在工業(yè)4.0、智能制造的背景下,，工控系統(tǒng)越來越多地采用通用協(xié)議,、通用硬件和通用軟件，通過互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接的業(yè)務(wù)系統(tǒng)也越來越普遍,，這使得針對工控系統(tǒng)的攻擊行為大幅度增長,，也使得工控系統(tǒng)的脆弱性正在逐漸顯現(xiàn)，面臨的信息安全問題日益突出,。

　　作為國家重要支柱產(chǎn)業(yè)的化工（包括石油,、石化,、基礎(chǔ)化工、煤化工等）行業(yè),，由于其行業(yè)的高溫,、高壓、易燃,、易爆,、易腐蝕等特殊性，其工控系統(tǒng)信息安全的重要性更顯得尤為突出,。

　　2化工行業(yè)工控系統(tǒng)信息安全面臨的形勢

　　2.1化工行業(yè)生產(chǎn)制造模型

　　化工行業(yè)普遍采用基于ERP,、MES和PCS三層架構(gòu)的管控一體化模型?；ば袠I(yè)智能制造的典型框架如圖1所示,。

　　化工生產(chǎn)過程控制大多采用DCS/PLC/SIS/SCADA等系統(tǒng)進行控制，生產(chǎn)上更注重安全和平穩(wěn)運行,，安全,、穩(wěn)定、長周期,、滿負荷,、優(yōu)質(zhì)綠色生產(chǎn)是行業(yè)追求的目標。除了常規(guī)控制外,，還通過軟儀表,、先進控制和優(yōu)化控制等手段，在保證生產(chǎn)平穩(wěn)的基礎(chǔ)上獲取更大的經(jīng)濟效益,。

　　一般情況下,，利用實時數(shù)據(jù)庫通過PCS層的DCS等控制系統(tǒng)采集生產(chǎn)過程的實時數(shù)據(jù)，作為生產(chǎn)管理或稱生產(chǎn)制造執(zhí)行系統(tǒng)MES的統(tǒng)一數(shù)據(jù)平臺,。MES包含生產(chǎn)計劃,、生產(chǎn)調(diào)度、操作管理,、質(zhì)量管理,、物料管理、生產(chǎn)統(tǒng)計,、設(shè)備狀態(tài)管理,、能源管理等功能模塊構(gòu)成。

　　經(jīng)營管理層ERP系統(tǒng)主要對企業(yè)的人,、財,、資產(chǎn)、供銷等資源進行有效,、協(xié)同,、合規(guī)的管理,，并為企業(yè)的經(jīng)營決策提供支撐。

　　MES在其中起到了承上啟下的作用,，上連ERP,，下連PCS。MES將ERP下發(fā)的生產(chǎn)計劃分解成作業(yè)計劃,，通過調(diào)度管理下達給PCS層的操作人員，控制系統(tǒng)的結(jié)果通過實時數(shù)據(jù)庫的數(shù)據(jù)采集將生產(chǎn)過程反饋到MES,，由MES完成相關(guān)的數(shù)據(jù)分類,、加工、處理,，實現(xiàn)生產(chǎn)過程的物料,、質(zhì)量、成本,、能源等的管理,，最后將統(tǒng)計結(jié)果返回到ERP系統(tǒng)。

　　目前大多應(yīng)用場合,，基本是在邊界設(shè)置防火墻,，即在PCS與MES間設(shè)置數(shù)據(jù)采集工業(yè)網(wǎng)關(guān)及防火墻，起到一定的邊界防護與安全隔離作用,。

　　2.2化工行業(yè)面臨的工控系統(tǒng)信息安全形勢

　　近年來,，世界范圍內(nèi)工控系統(tǒng)發(fā)生的信息安全事件數(shù)量呈幾何倍數(shù)上升態(tài)勢，其主要威脅來源于個人黑客,、民間組織,、國家政府及企業(yè)員工誤操作等。

　　據(jù)有關(guān)材料報道,，卡巴斯基實驗室基于OSINT（公開資源情報計劃）和公共來源信息（如ICS CERT-美國工控系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組）研究2015年ICS受威脅狀況,。調(diào)查了170個國家，發(fā)現(xiàn)如下主要問題,，數(shù)據(jù)非常觸目驚心,。

　　（1）在互聯(lián)網(wǎng)上,，可掃描發(fā)現(xiàn)188,019臺工控系統(tǒng)（ICS）設(shè)備主機,；

　　（2）可遠程訪問的ICS主機中,，92%包含漏洞,。其中，87%包含中等風險漏洞,，7%包含高危漏洞,；

　?。?）過去五年中，ICS設(shè)備中的漏洞數(shù)量增長了五倍：從2010年的19個漏洞增長到2015年的189個漏洞,。包含漏洞最多的ICS設(shè)備為人機界面（HMI）,、電子設(shè)備和SCADA系統(tǒng)；

　?。?）所有能夠外部訪問的ICS設(shè)備中,，有91.6%使用了較弱的互聯(lián)網(wǎng)連接協(xié)議，讓攻擊者有機可乘,，能夠?qū)嵤爸虚g人”攻擊,。

　　另外，OSVDB（開源漏洞數(shù)據(jù)庫）及ICS-Cert的資料表明,，各行業(yè)工控系統(tǒng)的信息安全事件發(fā)生頻率統(tǒng)計數(shù)據(jù)表明化工（石化）行業(yè)的事件數(shù)是最大的,，占比為23%，如圖3所示,。

　　下列事件是國內(nèi)化工行業(yè)工控系統(tǒng)信息安全的典型案例,。

　　2011年，大慶石化,、齊魯石化,、西南管線廣東調(diào)控中心及多個場站感染病毒，導致控制器通信中斷,。

　　2015年6月,，國內(nèi)某石化央企發(fā)生“內(nèi)鬼”事件，系統(tǒng)內(nèi)部技術(shù)人員,，通過該企業(yè)其華東公司SCADA系統(tǒng)開發(fā)了一套病毒程序,，病毒爆發(fā)致使系統(tǒng)癱瘓，無法運行,。

　　2016年1月29日,，中石化洛陽分公司發(fā)現(xiàn)工控網(wǎng)絡(luò)E網(wǎng)內(nèi)存在蠕蟲病毒，導致部分DCS數(shù)據(jù)采集頻繁歸零,。

　　2016年4月13日,，國家工信部電子科學技術(shù)情報研究所發(fā)布第2期工業(yè)控制系統(tǒng)信息安全風險提示：工業(yè)控制設(shè)備默認密碼清單被公布，該清單涉及西門子,、施耐德電氣等國內(nèi)外48個廠商134個工程設(shè)備型號,。

　　由以上數(shù)據(jù)可見，化工行業(yè)工控系統(tǒng)信息安全形勢非常嚴峻,。隨著網(wǎng)絡(luò)技術(shù),、無線技術(shù)發(fā)展，開放標準普及，管理控制一體化理念深入,，特別是在“互聯(lián)網(wǎng)+”,、互聯(lián)互通、“工業(yè)4.0”下的化工智能制造的大環(huán)境背景下,，工控系統(tǒng)接入范圍擴展到企業(yè)內(nèi)網(wǎng),，甚至互聯(lián)網(wǎng)，再到“互聯(lián)網(wǎng)+”,，面臨更大的信息安全威脅,。

　　2.3化工行業(yè)工控系統(tǒng)信息安全威脅分析

　　我們可以通過以下幾個維度分析化工行業(yè)工控系統(tǒng)信息安全的威脅。

　?。?）PCS層本身,，由封閉走向開放所導致

　　·操作站

　　信息技術(shù)的高速發(fā)展使DCS、PLC和SCADA等控制系統(tǒng)在過去幾十年的發(fā)展中呈現(xiàn)出整體開放的趨勢,。以DCS為例，過去的DCS廠商基本上是以自主開發(fā)為主,，提供的系統(tǒng)是封閉的系統(tǒng),。當今的DCS廠商為了追求市場的占有率，更強調(diào)開放性與集成性,，廠商不再把開發(fā)組態(tài)軟件或制造各種硬件單元視為核心技術(shù),，而是紛紛把DCS的各個組成部分采用第三方集成方式或OEM方式，幾乎清一色采用PC+Windows的技術(shù)架構(gòu),。

　　·先進控制等站點（上位機）

　　為了提高生產(chǎn)的穩(wěn)定性與效益,，對于精細化管理的企業(yè)大多采用軟儀表、先進控制（APC）,、在線優(yōu)化控制等技術(shù)手段,，而這些技術(shù)的安裝、調(diào)試一般需要較長的時間,，在此期間,，工控系統(tǒng)經(jīng)常需要頻繁與外界進行數(shù)據(jù)交換。

　　·控制網(wǎng)絡(luò)

　　過去,，通信技術(shù)相對落后,，控制系統(tǒng)的互連是件非常困難的事情，現(xiàn)在,，網(wǎng)絡(luò)技術(shù)開放體現(xiàn)在DCS可以從多個層面與第三方系統(tǒng)互聯(lián),，同時支持多種網(wǎng)絡(luò)協(xié)議。目前在與企業(yè)管理網(wǎng)信息平臺互聯(lián)時,，大多采用基于TCP（UDP）/IP協(xié)議的以太網(wǎng)通信技術(shù),，使用OPC等開放接口標準。

　　·無線通信儀表及無線通信設(shè)備

　　無線設(shè)備地接入，盡管極大地方便了互通互連并提高了投資回報率,，但同時也打開了安全隱患之門,。

　　·遠程維護

　　將工控系統(tǒng)建設(shè)與實施、維護,，分包給第三方,，已成為趨勢。另外,，“云應(yīng)用”遠程診斷技術(shù)支持已逐漸成為關(guān)鍵設(shè)備管理的重要手段,。

　　·部分工控主設(shè)備

　　部分廠商的工控產(chǎn)品存在后門風險，如2011年發(fā)現(xiàn)的施耐德電氣PLC存在多種不同權(quán)限的后門賬號,。

　　·工控系統(tǒng)的特殊性

　　工控系統(tǒng)具有連續(xù)不可間斷的高可用性與不可延遲的高實時性要求,，使得傳統(tǒng)IT的防護方法不適用。開放性為用戶帶來的好處毋庸置疑,，但由此引發(fā)的各種安全漏洞與傳統(tǒng)的封閉系統(tǒng)相比卻大大增加,。

　　（2）MES/ERP層面,，從無到有,，從小到大產(chǎn)生處于生產(chǎn)管理與經(jīng)營層MES/ERP系統(tǒng)，其應(yīng)用場合區(qū)域更廣,，人員更多,，網(wǎng)絡(luò)安全更加復雜。在此,，集中關(guān)注其對工控系統(tǒng)的安全威脅,。

　　綜上所述，對于一個相對開放的工業(yè)控制系統(tǒng),，產(chǎn)生安全漏洞的因素是多方面的,，主要的原因有下列幾方面。

　?。?）操作系統(tǒng)安全漏洞

　　作為主流操作系統(tǒng)的Windows,，其漏洞大部分危害巨大，惡意代碼通過這些漏洞,，甚至可以獲得操作站的完全控制權(quán),。因此，操作系統(tǒng)的補丁修補是個關(guān)鍵問題,。

　?。?）網(wǎng)絡(luò)通信協(xié)議安全漏洞

　　為了追求實用性和時效性，大多工控系統(tǒng)的網(wǎng)絡(luò)協(xié)議P R O F I N E T ,、O P C,、DNP 3 ,、M O D B U S 、PROFIBUS,、IEC-104等都存在安全漏洞,。特別是化工行業(yè)使用頻繁的OPC協(xié)議，首先它構(gòu)筑于Windows平臺上,，Windows與生具有的漏洞與缺陷依然存在的同時,，為了實現(xiàn)信息交互的便利性，一般情況下,，所有的client端使用相同的用戶名與密碼讀取OPC server端的數(shù)據(jù),，因此，MES層受到攻擊的情況下,，如果MES環(huán)境設(shè)置的不合理,，就會導致OPC的參數(shù)被修改，威脅到控制系統(tǒng)的安全,。同樣,，MODBUS等協(xié)議由于更多地考慮時效性與實用性，在使用過程中,，犧牲了很多安全性,，成為黑客攻擊的主要目標。

　?。?）病毒軟件及其病毒庫升級、更新漏洞

　　由于殺毒軟件可能查殺ICS的部分軟件,，且其病毒庫需要不定期的升級,、更新，因此大多上位機/操作站未安裝防病毒軟件,，勢必造成病毒感染的風險,。

　　（4）安全策略與管理漏洞

　　技術(shù)與管理特別是人員信息安全意識缺乏是最大的漏洞,。如安全策略與管理流程的梳理,、移動設(shè)備使用管理、訪問控制策略部署等,。如上位機/操作站用戶名,、密碼管理與控制，上位機/操作站多余端口的管理,，外部技術(shù)支持與運維的審計與監(jiān)管等,。

　　（5）硬件產(chǎn)品漏洞

　　工控產(chǎn)品因軟,、硬件更新,、升級限制，漏洞不能得到及時修補。

　?。?）應(yīng)用軟件漏洞

　　工控系統(tǒng)應(yīng)用軟件產(chǎn)生的漏洞是最直接,、最致命的。一方面應(yīng)用軟件形式多樣,，很難形成統(tǒng)一的防護規(guī)范以應(yīng)對安全問題,；另一方面最嚴重的是，當應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時,，就必須開放其應(yīng)用端口,。

　　2.4化工行業(yè)工控系統(tǒng)信息安全防范措施建議

　　綜上分析，隨著兩化融合,、智能制造的推進,，化工工控系統(tǒng)環(huán)境趨于更加復雜，聯(lián)網(wǎng)需求大幅增加,，多種互聯(lián)接入方式并行存在,，物理邊界模糊，安全風險指數(shù)大為增加,，業(yè)務(wù)識別,、防范壓力則在不斷增大。盡管目前一些主流的工控產(chǎn)品供應(yīng)商采取了一些措施,，如Honeywell在其PKS系統(tǒng)的控制器中集成了防火墻,、西門子在網(wǎng)絡(luò)交換機上嵌入了防火墻、ROCKWELL Automation推出了深度數(shù)據(jù)包檢測（DPI）技術(shù),，但這些還遠遠不夠,。目前由于沒有統(tǒng)一的標準，對于企業(yè)而言,，應(yīng)在管理與技術(shù)上,，特別是人員信息安全意識上建立工控系統(tǒng)信息安全的“縱深防御”體系。建議如下文,。

　　2.4.1　建立企業(yè)自己的工控系統(tǒng)信息安全實施操作指南

　　根據(jù)國家標準與相關(guān)規(guī)范,，針對企業(yè)自身結(jié)構(gòu)，制定相關(guān)的管理流程與信息安全管理策略,，并修訂相關(guān)的管理制度,。指南中應(yīng)包括的主要要素：工控系統(tǒng)生命周期內(nèi)的安全問題管理；企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)及其與工控系統(tǒng)的邏輯隔離管理,；相關(guān)工控設(shè)備端口與服務(wù)的管理,；工控系統(tǒng)權(quán)限管理；移動設(shè)備（包括U盤）的使用管理,；訪問策略管理,；外部技術(shù)支持與運維的審計與跟蹤管理等等,。重點在網(wǎng)絡(luò)安全接入控制與資源共享。

　　2.4.2　建立工控系統(tǒng)信息安全的評估制度

　　利用企業(yè)的力量或社會的第三方專業(yè)機構(gòu),，對存量的工控系統(tǒng),，進行定期或不定期的信息安全評估，對新項目在設(shè)計端就組織好工控系統(tǒng)信息安全的評估與確認,。對存在的風險與隱患,，能夠得到及時發(fā)現(xiàn)與整改，消除隱患與漏洞,。

　　2.4.3　設(shè)置企業(yè)信息安全縱深防御體系

　?。?）互聯(lián)網(wǎng)網(wǎng)絡(luò)出口：安全防護防火墻、行為管理,、防病毒,、防入侵；

　?。?）內(nèi)網(wǎng)安全（MES/ERP層）：企業(yè)版的殺毒,、EAD終端準入控制系統(tǒng)、DHCP的嗅探功能,、廣播風暴抑制等,；

　　（3）工控系統(tǒng)安全（PCS層）：采取“邊界-區(qū)域-終端-綜合監(jiān)控管理”策略,。

　　邊界及現(xiàn)場防護：采用防火墻及網(wǎng)關(guān)/網(wǎng)閘以及運維審計和WIFI入侵檢測與防護,，配置安全隔離防護設(shè)備。應(yīng)該強調(diào),，隔離與防護設(shè)備應(yīng)具有動態(tài)端口監(jiān)控與防御的功能,。

　　區(qū)域保護：將該區(qū)域設(shè)置重點保護區(qū)域，防御來自其他區(qū)域的威脅,。

　　終端保護：DCS/PLC/SCADA操作站與上位機配備信息安全管理系統(tǒng)及防病毒軟件。

　　綜合監(jiān)控管理平臺：通過該平臺實現(xiàn)動態(tài)端口監(jiān)控,、實時報警阻斷,、白名單規(guī)則與漏洞防護策略下發(fā)、用戶及權(quán)限管理,、日志管理,、變更管理、補丁管理,、備份與恢復等功能,，如PAS的產(chǎn)品在此方面就非常有其特色。

　　3結(jié)語

　　工控信息安全形勢非常嚴峻,，已引起了一定的重視,，但從筆者的觀察發(fā)現(xiàn),，還相差甚遠，特別是在危險性及影響性較大的化工行業(yè),，盡管功能安全方面做得相對較好（國家有標準及相關(guān)的整改時間要求是一方面）,，但是在信息安全方面最簡單的工控系統(tǒng)的用戶名與密碼管理，形同虛設(shè)的情況非常多,。因此,，理念和意識的問題是關(guān)鍵，由于其復雜性遠高于傳統(tǒng)IT,，工控系統(tǒng)信息安全工作任重而道遠,。