启明星辰集团公司 孟雅辉

携手共进工控系统信息安全之路

启明星辰集团公司 孟雅辉

1　工控系统信息安全形势

据权威工业安全事件信息库RISI统计，截止到2016年初，全球已发生300余起针对工业控制系统的攻击事件。如图1所示。

图1 公开的ICS漏洞数的年度变化趋势

图2为各行业发生的工控信息安全事件占比情况，涉及我国关键的国计民生行业。

图2 各行业发生的工控信息安全事件占比

图3为2011～2014年公开漏洞涉及的主要工业控制系统厂商。其中，以西门子、施耐德电气等为代表的工业设备在我国各工业领域被广泛使用，对其安全防护不容忽视。

图3 公开漏洞涉及的主要工业控制系统厂商

图4为工控系统漏洞占比情况，SCADA/HMI系统漏洞占比超过40%，PLC漏洞接近30%，DCS及OPC漏洞占到将近10%。

图4 工控系统漏洞占比情况

2　工控系统信息安全特点

（1）工业控制系统固有漏洞

• 各大厂商工控产品都或多或少存在着漏洞，工业领域存在着软、硬件的更新、升级、换代困难等问题。

• 工业控制系统协议在设计之初就缺乏安全性考虑，存在明文设计、缺乏认证、功能码滥用等安全威胁。

• 缺乏完善信息安全管理规定，存在U盘管理、误操作、恶意操作等安全威胁。

（2）工业控制系统建设周期长

一般一个大型工业项目建设周期长达5～10年，一套工业系统建设调试到稳定需要的周期很长，无法频繁升级。

（3）各种其他原因

两化融合使得工控系统面临着更多传统IT网络的威胁。

3　工业控制系统面临的脆弱性示例

3.1工业控制系统产品漏洞

工业控制系统产品漏洞，如Emerson RS3漏洞，SIEMENS PLC漏洞。工业领域因软、硬件更新、升级、换代困难，漏洞不能得到及时修补。

3.2Modbus自身协议缺陷

不单是Modbus，像IEC104，PROFINET等主流的工控协议，都存在一些通用问题。为了追求实用性和时效性，牺牲了很多安全性，因此会导致黑客的攻击。

3.3OPC协议自身的脆弱性

OPC协议目前广泛应用于石油炼化、炼钢厂、发电、精密制造领域。OPC协议在为大家带来便利的同时，存在着非常大的安全隐患。首先，OPC协议架构基于Windows平台，Windows系统所具有的漏洞和缺陷在OPC部属环境下依然存在。并且，为了实现信息交互的便捷性，所有的Client端使用相同的用户名和密码来读取OPC server所采集的数据。另外，只要Client端连接，所有的数据都会公布出去，极易造成信息的泄露。更有甚者，在某些不太规范的部属环境下，OPC server一方面是为现场所采集的实时数据提供展示，另一方面又为MES层提供数据。相当于MES和现场数据共用一个OPC数据库，MES一旦被攻击，就会导致OPC的某个参数被修改，致使现场操作也会随之变动。

4　工控系统面临的信息安全问题

4.1工控系统面临的信息安全问题-石化行业

（1）操作站、工程师站、服务器采用通用Windows系统，基本不更新补丁。

（2）DCS在与操作站、工程师站系统通信时，基本不使用身份认证、规则检查、加密传输、完整性检查等信息安全措施。

（3）生产执行层的MES服务器和监督控制层的OPC服务器之间缺少对OPC端口的动态识别，OPC服务器可以允许任何OPC客户端连接获取任何数据。

图5 石化行业的工控系统结构图

（4）工程师站权限非常大，有些是通用的工程师站，只要接入生产网络，就可以对控制系统进行运维。

（5）多余的网络端口未封闭，工控网络互连时缺乏安全边界控制。

（6）外部运维操作无审计监管措施。

4.2工控系统面临的信息安全风险-先进制造

（1）某些工控系统的默认口令问题，如SUNRISE，CUSTOMER，EVENING。

（2）通过操作站感染病毒。

（3）串口网口转换，定制协议过于简单，缺乏校验，串口传输环境的风险。业务指令异常无法发现。

（4）数据传输，NC代码等文件传输存在安全隐患。

（5）DNC服务器等与办公网放在一起，都是Windows系统安装的传统数据库，大量使用FTP等进行数据交互，操作有被渗透的可能。

（6）第三方运维人员在运维设备时缺乏审计记录，存在数据泄密或病毒侵入的威胁。

图6 先进制造工控系统结构图

4.3工控系统面临的信息安全风险-电网和发电

4.3.1电网安全建设现状

（1）当前正探索智能变电站的信息安全防护。

（2）建立可信计算密码平台，更新调度数字证书、纵向加密认证、横向隔离装置、防火墙、入侵检测系统，搭建安全仿真平台。

（3）智能变电站技术、分布式能源智能大电网，不仅有监视，还有控制。用电信息在互联网上传输，需要加密；用户的智能电器暴露在电力系统中，可能受到攻击。

（4）安全区II的电厂和省调之间采用IEC104规约，框架确定，但是存在协议格式在实际应用中出现混乱的问题。

4.3.2发电（水电或者火电）面临的风险

（1）所有发电控制系统连接在一区，无任何安全防护措施。

（2）随着发电全厂一体化建设的推进，因联通导致的风险越来越大。

（3）操作站采用通用操作系统，未安装补丁，会感染病毒。

（4）OPC问题一样突出。

（5）远程运维问题依然存在，安全运维审计装置缺失。

4.4工业控制系统信息安全风险途径

通过以上分析，会发现像先进制造、发电、石油石化等行业，信息安全风险基本上是通过几个典型的端口进入工控系统。

（1）“两网连接”带来的风险。生产网与办公网相连，虽然控制系统是一个个单独的系统，但是要建立全厂一体化控制，主控制系统和辅助控制系统全部连接到一个网络中，由于网络互连带来的风险非常显著。

（2）通过操作站带来的风险。如安装软件、U盘的使用，人为的某些误操作，都是通过操作站和工程师站端口进来的。如工程师站经常会被值班人员随意操作，出现参数被误修的情况。

（3）现场与远程运维带来的风险。

（4）工业无线带来的风险。这种风险在轨道交通行业中非常明显。

图8 工业控制系统信息安全风险途径

5　工控系统信息安全防护建设

5.1工控安全防护建设参考标准

（1）以451号文为基准。

（2）参考国际国内标准。

（3）结合行业生产特点。

5.2工控安全防护体系建设思路

工控安全防护思路依据“垂直分层、横向分区、边界防护 、内部监测 ”的总体策略。把工控系统分区、分域，进行边界防护，内部监控。

5.3融合秩序的工控系统信息安全产品体系

在工业控制领域，整个流程秩序是非常严谨的，因此启明星辰在考虑研发安全产品时，结合了工业控制系统特点，目前包括以下几大支柱产品。

（1）旁路检测

旁路检测包括工控异常监测系统和工控网络流秩序分析诊断。

工控异常监测系统：除了发现传统的网络入侵、病毒等特征之外，针对工控系统自身业务指令的异常，以及协议所固有的一些脆弱性，可以被利用的攻击方式等，将这些规则整理到系统中进行监测。

工控网络流秩序分析诊断：主要针对工业控制网络内部，梳理每个设备之间的交互信息数据流特点，通过学习整理，了解通常是以多少屏和多少M的流量来发送信息，据此发现数据流是否出现异常。如果有积塞则展示出来。另一种情况是，在一应用场景会发现经常有向国外某个IP发送信息的情况，通过协助用户方查询，发现原来是在开发系统时引用了一个插件的问题。类似以上情况均可以通过网络流量的分析展示出来。

（2）串联防护

串联防护产品包括工业防火墙和工业网闸，主要应用在两网之间的隔离防护。其中工业网闸是结合工业现场情况，支持OPC。工业防火墙，除了做IP端口方面的访问控制，具体的操作指令和功能码都需要做细粒度的控制。

（3）操作站管理

操作站管理包括操作站安全管理系统和防病毒系统。

（4）现场防护

现场防护包括工控运维审计系统和WIFI入侵检测与防护设备。

以上这些设备的监控数据均在工业控制系统信息安全管理系统中统一进行展现和管理，能够统一地呈现工控系统的安全风险情况。数据的导入方式也可以是多种多样的。

图9 工控系统信息安全产品体系

此外，启明星辰还建立了结合工控系统全生命周期的工控安全风险评估平台，包括工控漏洞扫描、模糊测试工具，以及工控安全静态检查，安全配置基线核查的工具。目标是达到风险的可知、可防和可预测。

安全产品体系覆盖了整个安全事件发生的全生命周期，包括事前的防护、事中的检测和事后的审计、处理；覆盖过程控制、生产控制、现场控制三个层面；集防护监测为一体的统一体系。安全防护产品可以部署在网络边界处、公共交换机的旁路接触栏或者网络安全防护的专用区域。

从国家的层面来说，我国正在积极倡导“工业4.0”、工业互联网和《中国制造2025》。我国是工业制造大国，在这种发展趋势下，工业制造中的互连互通将会越来越频繁，信息安全问题不容忽视。我们必须携手推进工业控制系统信息安全防护，联合用户、监管机构、自动化集成厂商、信息安全厂商、高校等一切力量共建威胁情报监测平台，构建工控系统信息安全生态圈。

（文章整理自孟雅辉在2016年4月22日“工业控制系统信息安全风险信息共享研讨会”上的报告）

孟雅辉（1981-），女，河北安平人，硕士，现任启明星辰集团工控安全营销部技术总监，承担过多项大型信息安全和工控信息安全咨询、产品研发、产品实施项目。