南京华盾电力信息安全测评有限公司 张五一 李圣泉

能源行业工控系统信息安全分析与防护

南京华盾电力信息安全测评有限公司 张五一 李圣泉

工控系统已广泛的应用于电力、煤炭、石油、天然气等能源行业的各个领域。在推动该领域技术进步的同时也面临着日益严重的信息安全问题。能源行业工控系统信息安全事关我国国家经济安全和人民生命财产安全，工控系统的信息安全已引起业界高度的关注。2011年9月，工业和信息化部专门发文《关于加强工业控制系统信息安全管理的通知》，要求加强国家重点领域主要工业基础设施控制系统的安全保护工作，强调加强工业信息安全的重要性和紧迫性。工业和信息化部发布的《信息安全产业“十二五”发展规划》中，已将“工控系统安全技术”作为“十二五”发展重点，并将“工控系统安全技术”列入“信息安全关键技术”加以扶持和重点建设。因此，能源行业作为我国国民经济发展中最重要的基础产业，其工控系统信息安全工作将成为当前乃至今后很长一段时间内的重中之重。为此，密切关注国内外工控系统信息安全发展态势，结合能源行业工控系统安全防护及等级保护要求，充分了解能源行业工控系统信息安全现状，深刻分析安全风险产生的原因及带来的影响，建立有针对性的安全防护措施，为能源行业工控系统安全稳定运行保驾护航。

能源行业工控系统信息安全形势及现状分析

1.工控系统的基本概念

工控系统(Industrial Control Systems,ICS)是由各种自动化控制组件以及对实时数据进行采集、检测的过程控制组件，共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统（SCADA，supervisory control and data acquisition）、分布式控制系统（distributed control systems，DCS），可编程逻辑控制器（programmable logic controller，PLC）、远程终端（Remote Terminal Unit，RTU）、智能电子设备（Intelligent Electronic Device ，IED）以及确保各组件通信的接口技术。工控系统利用工业控制自动化技术对传统工业进行改造，实现工业控制自动化的三个主要层次：基础自动化、过程自动化和管理自动化。

2.能源行业工控系统信息安全形势

能源行业是国民经济发展中最重要的基础产业，也是国家的支柱性产业，主要包括电力、煤炭、石油、天然气等。其基础信息网络和重要信息系统已成为国家关键基础设施的重要组成部分。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，能源行业工控系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工控系统扩散，工控系统信息安全问题日益突出。尤其是2010年震惊全球的“震网”病毒事件之后，相继出现“毒区”、“火焰”等超级病毒，能源行业首当其冲成为他们攻击的目标。

能源行业工控系统的安全分析

1.工控系统安全风险产生的原因分析

工控系统风险产生的原因主要有：

（1）工控系统自身存在的风险。例如，操作系统的安全漏洞，杀毒软件安装、升级、更新，U盘、光盘等移动存储介质的使用导致的病毒传播、设备维修或组态变更时笔记本电脑的随意接入，工控系统被有意或无意的控制，工控系统终端、服务器、网络设备故障没有及时发现而响应延迟等等问题。

（2）工控系统采用通用软硬件带来的风险

使用Microsoft Windows和Unix-like等开放式系统以及TCP/IP等标准化技术和OPC等开放的协议标准虽具有经济性和技术优势，但也增加了工控系统的网络事件的脆弱性。在工控系统中，大量使用了工业以太环网和OPC通信协议进行工控系统的集成，大量使用了PC服务器和终端产品，以及通用的操作系统和数据库，很容易遭到来自企业管理网或互联网的病毒、木马、黑客的攻击。

2.工控系统的威胁分析

工控系统面临的威胁是多样化的：首先，敌对政府、恐怖组织、商业间谍、内部不法人员、外部非法入侵者等对系统虎视眈眈。国家关键基础设施所依赖的很多重要信息系统从技术特征上讲是工控系统而不是传统上我们熟悉的TCP/IP网络，其安全是国家经济稳定运行的关键，是信息战中敌方的重要攻击目标，一旦受到攻击，后果极其严重。其次，系统复杂性、人为事故、操作失误、设备故障和自然灾害等也会对工控系统造成破坏。在现代计算机和网络技术融合进工控系统后，传统TCP/IP网络上常见的安全问题已经纷纷转移出现在工控系统之上。例如，如果不采取措施控制用户随意安装、运行各类应用软件，访问各类网站信息，就会影响工作效率、浪费系统资源，而且还是病毒木马蠕虫等恶意代码进入系统的主要原因和途径。

3.工控系统的漏洞分析

工控系统的漏洞大致可划分成策略与程序类、平台和网络类等。这些漏洞具体来说可能存在于物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各个方面。根据参考相关国际标准，给出以下工控系统的漏洞分类与描述。

（1）安全策略与管理流程：工控系统的安全意识欠缺和缺少培训，缺少安全策略、架构与设计；缺少规范的安全流程、设备安全部署实施指南，缺少针对性的工控系统配置变更指南、业务连续性与灾难恢复计划；安全审计机制的缺失等。

（2）工控系统平台方面

1)平台硬件：关键系统没有物理防护，无线与电磁干扰，缺乏电源、关键组件的备份，缺少环境控制，未授权人员访问物理设备，不安全的远程访问组件，双网卡连接多个网络，安全变更测试准备不充分等。

2)平台软件：软件OPC通信依赖于RPC和DCOM或不安全的工控系统协议，没有定义或定义不清或非法的输入处理不当，软件已安装的功能未开启，启用多余的服务，采用明文方式，采用易获取其关键信息资料的软件、缓冲区溢出、拒绝服务攻击，缺少入侵检测与防护，缺乏有效的认证、鉴别与访问控制机制，缺乏安全日志维护和安全事件的检测。

3)平台配置：对已知的系统与应用补丁缺少维护和测试，已知的系统与软件漏洞未提供相应的补丁，采用相关的默认配置，关键配置信息未备份，数据存储在没有受安全保护的移动介质中，缺少必要的口令策略、口令缺失、口令泄露、口令易猜解，使用不规范、不充分的访问控制规则。

4)恶意代码：缺少防恶意代码的程序，防恶意代码程序未及时升级更新，恶意防护程序存在兼容性问题。

（3）工控系统网络方面

1)网络结构：工控系统网络架构设计不合理，未进行VLAN的划分、利用网桥连接两个网络等，未能有效防止广播风暴等。

2)网络硬件：网络设备物理安全防护缺乏或不充分，物理端口缺少防护，环境控制缺失，非相关人员访问设备、连接网络，缺少关键设施的容错、冗余、备份。

3)网络配置：网络安全设备配置不当，关键设备配置信息没有存储或备份，网络安全架构设计有缺陷，设备口令不经常更换。

4)网络边界：安全边界缺失，边界防护设备缺少或配置不当，缺少对流量的管控。

5)网络通信：采用明文传输的协议，缺少对数据、设备、用户、实体等的规范的认证机制，通信完整性检查缺失。

6)网络监控与日志：工控系统网络缺少安全监控审计，网络设备的日志记录不充分。

7)无线连接：缺少对无线AP与客户端间的数据保护或认证不充分。

能源行业工控系统安全防护

1.工控系统安全防护相关标准和规范

为了规范和指导工控系统的安全防护，国内外相关机构和组织先后出台了工控系统安全标准和规范。美国标准计算研究所（NIST）制定的《工业控制系统安全指南》（NIST SP 800-82）（Guide to Industrial Control Systems（ICS）Security），该指南概述了工控系统和典型的系统拓扑结构，指出了对于这些系统的典型威胁和脆弱点所在，为消减相关风险提供了建议性的安全对策。我国国家标准化委员会于2011年1月，发布《工业控制网络安全风险评估规范》，制定了工业控制网络安全风险评估的规范。2011年9月29日，工信部发布《关于加强工业控制系统信息安全管理的通知》（工信部【2011】451号）。《通知》要求，加强重点领域工控系统关键设备的信息安全测评工作，建立工控系统信息安全检查制度，建立信息安全漏洞信息发布制度，落实连接管理、组网管理、配置管理、设备选择与升级管理、数据管理和应急管理等管理要求。2012年，国务院发布《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号），要求确保能源、交通等涉及国计民生的重要信息系统和基础信息网络安全，保障电力、水力、石油石化、油气管网等重要领域工控系统安全。

目前，国内在编的工控系统相关标准有《工业控制系统专用防火墙技术要求》、《工业控制系统安全管理基本要求》、《工业控制系统安全检查指南》、《工业控制系统测控终端安全要求》、《工业控制系统安全防护技术要求和测试评价方法》、《工业控制系统安全分级指南》、《工业控制系统信息安全评估规范》、《工业控制系统信息安全验收规范》、《工业通信网络 网络和系统安全 第1-1部分：术语、概念和模型》、《工业过程测量和控制安全 第 3 部分 ：网络和系统信息安全》、《工业通信网络 网络和系统安全 第3-1部分：工业自动化和控制系统信息安全技术》等。这些标准的发布和实施，将为我国能源行业工控系统信息安全提供有力的技术支撑。

2 工控系统安全防护措施要求

根据国家《信息系统安全等级保护基本要求》（GB/T 22239-2008）标准及各行业标准和相关规定，结合单位、企业所处的实际情况开展工控系统的安全防护。例如电力行业，需要根据等级保护及电力二次系统防护遵循的“安全分区、网络专用、横向隔离、纵向认证”原则等要求和规范开展电力行业的工控系统安全防护措施建设。国际标准ANSI/ISA-99也指出目前工业控制领域普遍认可的安全防御措施要求包括：区域划分、管道建立、通信管控。

区域划分：即将具有相同功能和安全要求的控制设备划分到同一区域，达到安全等级分区的目标。

管道建立：即区域之间执行管道通信，便于控制。

通信控制：通过控制区域间管道中的通信管理控制来实现设备保护，使数据通信可控。

另外，在对工控系统进行安全防护体系建设时可参考IEC 62443工业通信网络信息安全系列标准。

电力行业于2004年发布《电力二次系统安全防护规定》（电监会5号令），2007年发布《电力行业信息系统安全等级保护定级工作指导意见》，2012年发布《电力行业信息系统安全等级保护基本要求》、2014年发布《电力监控系统安全防护规定》（发改委14号令）等一系列行业政策规范性文件，并在贯彻落实中培养了一批专业的信息安全支撑队伍，积累了丰富的信息安全保障经验，提升了信息安全服务能力和水平。

3 工控系统安全防护的思考和建议

能源行业工控系统作为国家经济命脉的重要基础设施，其信息安全问题已迫在眉睫。为此，从技术及管理等方面提出如下思考和建议:

技术方面：

1）实现工控系统安全域的划分与隔离, 严格控制移动存储介质和无线通信网络的接入, 及时更新经测试过的安全补丁和增强安全策略的配置，升级各种防护设备的规则。

2）对网络拓扑结构进行深入研究和分析，及时发现网络结构设计上的薄弱环节和设备功能缺陷，并采取必要的结构调整和技术改进措施。

3）针对工控系统投产已久，网络设备老化问题，建议根据设备的使用年限、技术参数、性能指标等相关标准进行定期检测，排查安全隐患，做到提前预防，避免设备老化引发信息安全事件。

4）加强主要网络设备的日志监控管理，尽可能采用第三方日志审计系统进行集中监控，并对日志记录进行长期保存和定期分析，发现异常后能够及时报警。

管理方面：

1）围绕工控系统的生命周期从源头抓起，做到系统设计时提前规划，系统上线前、变更后按时检测，系统运行后定期测评，系统测评后及时整改，确保把安全隐患消除在萌芽状态。

2）以等级保护工作为抓手，以工控设备安全检测为切入点，开展工控设备的摸底调查，全面掌握设备的运行状况，并根据国内外工控系统发生的安全事件进行威胁和脆弱性分析，建立工控设备漏洞库。通过等级测评、风险评估、安全检测等手段，及时发现存在的安全隐患和薄弱环节，针对突出问题，要根据难易程度制定整改优先级，逐一解决；针对技术难题，要求加强技术攻关，逐步解决；针对共性问题，要采取集中解决。

3）加强日常运维管理、人员培训管理和人才队伍建设。针对不同类型的网络设备制定相应的运维标准和规范；定期组织信息安全方面的知识培训，提高信息安全意识，提升运维服务技能；并设立专门岗位，明确职责，责任到人。

4）加强应急预案管理，对特定的安全事件（如安全风险不可控、成本高等）制定具体的应急预案和处置方案，并加强日常培训和演练。及时开展信息安全专项检查行动，定期进行应急演练，检验指挥协调机制和保障能力。

5）加强第三方外包服务管理，建立变更管理制度，以制度规范行为，明确安全责任。在系统发生重要变更时，制定相应的变更方案，建立变更的管控流程，并对变更影响进行分析，记录变更的实施过程。

总之，工控系统信息安全不是一个单纯的技术问题，而是涉及到技术、管理、流程、人员意识等各方面的系统工程，需要组建包括控制工程师、工控设备供应商、系统集成商、信息安全专家等成员的工控系统信息安全队伍。结合工控系统自身的体系结构和功能特点，在监控级（如：工程师站、操作员站、历史站等）和网络层面可采取现有等级保护的相关标准和规范开展等级测评；在控制级，应加强对Modbus、OPC等通信协议的使用管理，对其用户身份进行鉴别和认证；在现场级，应实现对设备、控制元件的准入检测，加快建立工控设备的检测标准和规范；在管理上，应建立完善的工控系统安全运维方案、策略和计划，加强日常安全培训，严控处理流程，防止内部攻击，实现终端安全防护，操作使用安全，针对现阶段难以解决的技术问题应通过管理手段进行弥补，切实提高工控系统的安全防护能力。工控系统信息安全是一个动态过程，需要在整个工业基础设施生命周期的各个阶段中持续实施，不断完善改进。