伍锦荣

(中国石油化工股份有限公司 广州分公司，广东 广州 510726)

工业控制系统网络安全现状及解决方案

伍锦荣

(中国石油化工股份有限公司 广州分公司，广东 广州 510726)

工业控制系统广泛应用于工业生产的各个领域且起着重要的作用,工业控制系统网络的信息化和通用化使系统面临前所未有的威胁。通过对当前工业控制系统网络安全的现状分析，总结工业控制系统的网络安全特点，对工业控制系统网络的安全策略展开研究，给出当前工业控制系统网络安全的具体解决方案。

工业控制系统 信息化 网络安全 解决方案

自从2010年伊朗布什尔核电站的“震网病毒”事件影响后，工业控制系统的网络安全问题开始成为网络安全领域的焦点。工业控制系统从发展的开始就着眼于系统的可靠性和可用性，随着应用和相关技术的不断发展，工业控制系统越来越多地采用通用的计算机硬件和软件技术及以信息技术(IT)为基础的通用通信协议。同时，工业控制系统通过各种数据采集网络与生产执行系统(MES)等管理系统网络相联。工业控制系统已从原来封闭的“信息孤岛”逐步发展成为互联互通的系统，网络安全面临着巨大的威胁。由于工业控制系统已被广泛应用于社会生产的各个领域，特别是能源、石化、冶金、水利、交通等关乎国家安全和国计民生的行业，当系统受到病毒、木马感染或网络攻击而发生事故时所产生的经济、环境和社会影响都是十分巨大的。因此，必须按照有关法规和规范，结合工业控制系统网络安全的特点，加快研究和实施行之有效的防范措施和解决方案，切实保障生产安全。

1 工业控制系统网络安全现状

工业控制系统通常是指分散控制系统(DCS)、数据采集与监控系统(SCADA)、可编程控制器系统(PLC)、工业控制计算机系统(IPC)、机组控制系统(CCS)、安全仪表系统(SIS)、先进控制(APC)等控制系统[1]。由于应用领域、行业规范、使用习惯以及工控系统厂商等众多不同，工业控制系统呈现出多样化和复杂化的特点。同时，IT化和网络互联的快速发展，使得工控系统网络安全的形势更趋严峻。当前，工业控制系统网络的威胁来源主要有： 系统存在的高危漏洞、工业网络病毒、关键设备的“后门”、高级持续性威胁(APT)以及无线技术应用的风险等。

1.1 安全设计缺失

工业控制系统被攻击的行为出现较大增长是近十年的事情，对于大量的存量工业控制系统，存在网络安全设计严重缺失的问题。制造厂商在设计时主要考虑的是工业控制系统的可靠性与可用性，容易忽略控制系统本身的安全性，系统没有有效的安全防护策略或方法，普遍存在网络架构“无纵深”、系统应用“无防护”和“无监测”的状态。系统的应用平台、控制器的固件程序、通用的通信协议以及操作管理界面软件(HMI)等都存在各种漏洞或缺陷，使得系统对网络的安全防护严重不足，容易感染网络病毒、木马等，甚至被利用和攻击。公开的统计数据表明,2010年后新发现的工业控制系统漏洞呈快速增长的趋势。石化行业常用的国外工业控制系统,如西门子(Siemens)、研华(Advantech)、施耐德(Schneider)、罗克韦尔自动化(Rockwell Automation)产品漏洞数量占前4名,国产工业控制系统的漏洞问题也开始引起注意。

1.2 工业控制系统网络安全规范尚未完善

企业在应用工业控制系统时缺乏明确的安全设计、测试和验收标准，而且工业控制系统的安全测估体系也不够健全。缺少专业的工业控制系统网络安全检测机构，对不同行业、不同应用、不同软件固件版本等的工业控制系统缺乏有说服力的检测和评测依据。

当前，国家已加紧制定相关的标准，结合国际的标准体系,如IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》和ISO/IEC 27000《信息安全管理系统》等，制定了GB/T 30976—2014《工控系统信息安全》标准。针对不同行业工业控制系统差异大的特点，部分行业如电力、核电等也在制定具有行业特点的安全标准、规范或规定，中石化在2011年制定了《中国石化信息系统安全管理办法》，并在2015年作了修订。这些标准、规定或办法对实际的工业控制系统运行、维护有一定的帮助，但指导性和可操作性仍然明显不足。

1.3 缺少对工业控制系统网络有效的隔离方案和设备

由于工业控制系统网络的多样性和复杂性，针对具体的应用，如不同的操作系统和应用软件版本、控制器和通信接口卡固件版本等，缺乏第三方的加固、网络隔离设备。同时，对加固、网络隔离设备的适用性也缺乏有效的评估、验证依据。对出现的一些工业控制系统的安全加固、网络隔离设备，也由于病毒、木马和网络攻击的隐蔽性和不确定性而缺乏适用性以及稳定性的测试、考验和经验，使用效果难以评定而推广应用缓慢。

1.4 安全管理意识不够

许多企业对工业控制系统网络安全的意识薄弱，还没有建立全生命周期安全管理的理念，特别是在建设、运行和维护过程中缺乏安全管理意识，没有制订合理的工业控制系统安全防护方案和管理制度，缺乏对设计、维护和操作人员在网络安全方面的安全意识培训，容易出现随意和违规操作等问题，给工业控制系统的安全埋下安全隐患。典型的现象有： 随意增加系统的通信接口或互联；应用工业控制系统时忽视加固措施和防护技术手段；没有防止“后门”的意识；对高级持续性威胁缺乏认识；随意删减系统安全加固环节；通信协议缺乏安全审计和权限校验；使用简单、默认的用户名和密码；没有限制移动介质的使用；系统维护过程中没有安全方面的监管；操作系统和应用软件不做必要的补丁升级和漏洞修复；远程访问缺乏限制和防护手段；机房、控制室等重点场所管理监管混乱等。

2 工业控制系统网络安全解决方案

2.1 安全特点

虽然工业控制系统采用大量IT技术，但与传统的IT系统相比，工业控制系统网络安全有自身的特点。主要有：

1) 系统功能、网络架构和应用软件相对固定。由于被控对象的功能、应用范围和规模等相对固定，系统建成投用后不会轻易或频繁变动。

2) 可靠性和可用性高。工业控制系统的生命周期长，通常达到15 a及以上，大多采用连续运行的工作模式，即每天24 h连续运行3～5 a，期间不允许因系统本身的问题引起停工。出现故障后恢复时间要求短。

3) 系统功能失效或发生故障时损失大、影响大，甚至引发重大安全事故。

4) 控制器层及以下仍较多使用私有协议，系统运行环境相对落后等。

2.2 安全策略

随着工业控制系统IT化和通用化的不断发展以及各种病毒、木马和网络攻击技术的快速演变，加上工业控制系统网络安全特点和重要性，使得工业控制系统面临前所未有的网络安全威胁，单一的防护技术，如防火墙、病毒查杀等已难以有效地全面保护工业控制系统的安全[2-4]。因此，工业控制系统网络安全应按全生命周期进行管理，在防护规范和有关规定的指导下，从防护技术和安全管理上进行综合研究，在设计、运行维护管理、异常监测、变更管理等各个方面，制订完善的、可操作的防护对策和实施方案，既要按照IT系统的要求保障数据安全、内容安全，更要对工业控制系统进行安全风险评估，通过对系统漏洞的检测，并采取有效的加固、防护措施，确保系统的网络安全以保障系统的可靠运行。

1) 安全策略的发展。工业控制系统的安全防护策略在不断发展之中，先后经历了隔离、建立纵深防御体系、系统“免疫”机制和国家层面的攻防战略研究等过程。

a) 隔离是最早使用的方法，指采取防火墙、网关、网闸等设备实现隔离并进行防护，属于被动防御策略。隔离措施无法全面防御现代的高级持续性威胁。

b) 建立纵深防御体系是在隔离的基础上，建立隔离区和入侵防护系统(IPS)，并配置有效的安全策略和事件响应机制等，是当前主要的网络防护策略，有主动防御的能力。

c) 系统“免疫”机制是指在工业控制系统内部，通过硬件和软件实现可定制的、可靠的持续性的防御策略。目前只有个别工控系统厂商提供相关的产品和方案。

d) 国家层面的攻防战略研究是指在国家层面上，全面注重攻击技术的研究、实验和突破，建立攻防演示实验室，以攻击技术的提高，带动防御技术的提高，以提高攻击威慑力来换取系统安全性的策略。

2) 企业安全策略[5-7]。工业控制系统网络安全解决方案目前主要是结合系统各层次的网络安全需求，建立结合工业控制系统网络安全特点的纵深防护架构。工业控制系统网络通常分为五层，即从下到上分别为现场设备层、控制层、过程监控管理层、MES层和企业管理层。石化行业典型的系统网络安全防护架构如图1所示。除DCS，SIS一体化系统外，其他SIS、专用控制系统应通过RS-485，RS-422接口与Modbus协议，或通过硬接线与控制系统相连。SIS不应与MES或数据采集系统直接相连[8]。其核心是：

a) 纵向层与层之间进行隔离，横向通过把工业控制系统网络按照控制区域、装置、单元功能等要求划分，在相互隔离的区域内独立进行隔离，共同防御来自网络的病毒感染和网络攻击。

b) 加强过程监控设备防护，控制移动介质的使用来防止内部病毒、木马通过移动介质侵入系统。

c) 建立安全监测系统实现主动的入侵安全监控，及时发现、报警、拦截和终止入侵。同时，采用“白名单”和“黑名单”结合、深度包检测(DPI)、监测审计的方法，识别工控系统网络中存在的非法操作、异常事件、外部攻击等，并对其进行记录、报警和阻断[9]。

图1 石化行业典型的系统网络安全防护架构示意

2.3 解决方案

1) 应用工业防火墙和智能保护设备。应用防火墙和智能保护设备是目前IT网络边界防护和终端防护的常用方法。工业防火墙除了包括传统防火墙的访问控制、地址转换、应用代理、流量控制等功能外，还能对TCP/IP等协议进行安全过滤，对工业控制系统应用层的主要协议如OPC，Modbus TCP，IEC 60870-5-104，IEC 61850 MMS，DNP3等进行深度解释，实现对控制指令识别、操作地址和参数的提取等。智能保护设备是布置在各个终端节点上的网络保护设备，防御来自外部、内部其他区域及终端的威胁。在企业管理层、MES层、过程监控管理层之间分别部署工业防火墙和智能保护设备，可以有效地保障系统的安全性和可靠性。

2) 过程监控设备防护。过程监控设备是指工业控制系统中使用的计算机，包括工程师站、操作站、历史站、数采站和服务器等，也称为工控主机。由于过程监控设备直接与控制器相连，因而过程监控设备的防护十分关键。防护的主要目的就是防止病毒、木马通过过程监控设备侵入系统，措施有： 操作系统和应用软件最小化安装，减少不必要的应用；应用基于“白名单”和“黑名单”相结合的防护技术，在系统稳定运行后通过规则匹配、机器学习算法等方法获取合法的“白名单”，有效发现病毒和网络攻击的异常情况；限制端口的使用，使用USB端口管控工具控制外部移动存储设备的准入和应用，并对所有接入的移动存储设备生成日志记录；安装系统允许的杀毒软件，并定期升级病毒库以保障病毒查杀的有效性；对操作系统软件和应用软件的补丁有效管理，使补丁修复及时、严密和风险可控。

3) 控制移动介质使用。移动介质包括U盘、移动硬盘、光盘、存储卡等，体积小、容量大、使用便捷，在系统维护、数据备份等方面使用广泛。控制移动介质的使用，就是对移动介质进行有效管控，防止病毒感染和传播，防止恶意代码通过移动介质实现摆渡渗透、潜伏并利用系统漏洞实现攻击。

4) 部署工业控制系统安全监测系统。在工业控制网络系统上部署主动的、智能的入侵防护系统，以旁路方式接入，通过数据流镜像，主动采集工业控制系统的网络数据进行分析，实时查找网络的异常情况和攻击线索，监测网络的通信状况，及时发现网络攻击和病毒的异常传播，拦截所有可疑的数据包，终止入侵，保护系统不受攻击。

5) 完善管理措施。完善有效的工业控制系统网络安全管理措施是实现安全防护的关键。要建立相应的组织机构负责系统网络的安全防护工作，制订安全方针，明确职责，按照国家法规和有关规定对工业控制系统实行全生命周期管理，持续开展工业控制系统网络安全风险评估，落实系统安全项目、系统安全升级等技术方案，采取切实可行的综合防控措施，确保工业控制系统的安全稳定运行。同时，不断总结有效防护经验，全面培训相关技术人员，制订应急预案并进行演练，不断提升安全防御水平。

3 结束语

工业控制系统网络安全问题是当前工控安全领域的焦点，要结合IT技术和工业控制系统的特点，加快安全标准和规范的制定，按工业控制系统网络安全的全生命管理来完善相关的管理制度和防护措施，提高工业控制系统网络安全意识和防护水平，不断解决工业控制系统网络存在的问题，保障系统的安全运行和生产安全。结合工控系统的运行情况和应用维护经验，有以下建议：

1) 建立管理机构并充分发挥其组织和实施协调作用，针对安全标准规范的滞后性和安全威胁的快速演变，加快完善具有行业特点、可操作性强的管理制度和规定并实施。

2) 对新建工控系统，要按新标准同时建设、同时部署、同时投用网络隔离设备。对存量系统，应在安全风险评估的基础上，根据系统的信息安全等级制定防护措施，并实现对应的防护要求。

3) 网络隔离设备的应用、操作系统和应用软件升级、固件程序漏洞补丁升级和病毒库更新等必须经过严格的测试、验证后才能实施。所有的加固措施和监测手段都不能影响系统的实时性和稳定性。

4) 结合行业系统网络安全的特点和应用经验，总结经过实践证明的网络隔离设备、解决方案进行推广，进一步保障工业控制系统网络和生产运行的安全。

[1] 中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/T 30976—2014 工业控制信息安全 第1部分： 评估规范[S].北京： 中国标准出版社，2014.

[2] 欧阳劲松，丁露.IEC 62443 工控网络与系统信息安全标准综述[J]. 信息技术与标准化，2012(03)： 26-29.

[3] 朱世顺，黄益彬，朱应飞，等．工业控制系统信息安全防护关键技术研究[J]．电力信息与通信技术，2013(11)： 106-109.

[4] 张同光.信息安全技术实用教程[M].3版.北京： 电子工业出版社，2017.

[5] 张波．西门子纵深防御DCS信息安全方案在青岛炼化项目的应用[J]．自动化博览，2015(02)： 42-45.

[6] 陈绍望，罗琪，陆晓鹏．海洋石油平台工业控制系统信息安全现状及策略[J].自动化与仪器仪表，2015(05)： 4-5.

[7] 梁潇，高昆仑，徐志博，等．美国电力行业信息安全工作现状与特点分析[J]．电网技术，2011，35(12)： 221-228.

[8] 中华人民共和国住房和城乡建设部，中华人民共和国国家质量监督检验检疫总局.GB/T 50770—2013 石油化工安全仪表系统设计规范[S].北京： 中国计划出版社，2013.

[9] 中华人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会.GB/T 30976—2014 工业控制信息安全 第2部分： 验收规范[S].北京： 中国标准出版社，2014.

Current Situation and Solutions of Industrial Control System’s Network Security

Wu Jinrong

(Sinopec Guangzhou Company, Guangzhou, 510726, China)

s： Industrial control system(ICS) is now widely used in various fields of industrial manufacture. It plays an important role. The informatization and generalization of ICS network make it encounters unprecedented threats.Through discussion on current situation of ICS’s network security, the characteristics of ICS’s network security are summarized.The network security strategies of ICS are studied. Specific solutions for current ICS’s network security are provided.

industrial control system; informatization; network security; solutions

伍锦荣(1964—)，男，1995年毕业于广东工业大学工业自动化专业，获工学硕士学位，现就职于中国石化广州分公司仪控中心，从事仪表自动化专业技术管理工作，任高级主任工程师。

TP 273

B

1007-7324(2017)04-0001-04

稿件收到日期： 2017-03-20，修改稿收到日期： 2017-06-06。