高学臣，李万平

（天津水利电力机电研究所，天津301900）

0 引言

泵站作为水利工程不可缺少的重要组成部分，它承担泵站所在地区的调水灌溉以及生产生活供水、防洪防涝等任务。通过对泵站的不断更新改造，其自动化水平不断提高；近年来随着互联网技术的普及，越来越多的计算机和网络技术应用于泵站控制系统，但大多泵站在建造和改造阶段对网络安全的防护问题考虑不够，这就使网络技术在为泵站生产带来极大推动作用的同时，也为泵站的安全运行带来了极大的隐患。

1 背景

近年来，我国的互联网技术得到快速发展，并逐渐应用到各个领域，网络技术在工业控制中的应用也越来越广泛，提高了系统智能化程度，使决策者实时了解重要信息，提高了工作效率，但由于原有的自动化控制系统没有很好的安全防护措施，近年来，针对工业控制系统的各种网络攻击事件日益增多，暴露出工业控制系统在安全防护方面的严重不足，如2000年3月，澳大利亚马卢奇污水处理厂遭到黑客非法入侵，致使自动化控制系统出现故障，无线连接信号丢失，污水泵工作异常，报警器也没有报警，给污水处理厂造成极大损失。由此可见，黑客已将工业自动化控制系统做为主要攻击的目标。

为加强对工控网络安全工作的指导，2014年2月中央网络安全和信息化领导小组成立，习近平总书记在会上强调：“网络安全和信息化是事关国家安全、国家发展和百姓生活的重大战略问题，要创新发展，努力把我国建设成网络强国”，中央网络安全和信息化领导小组着眼国家安全和长远发展，统筹指导中国迈向网络强国发展战略，将网络安全提升到国家战略高度；2016年11月颁发了《中华人民共和国网络安全法》，自2017年6月1日起正式实施，这标志着我国实现了网络安全立法顶层设计；在水利行业，2017年5月，水利部印发《水利网络安全顶层设计》，结合水利行业网络安全现状，提出了统一水利网络安全策略，建立和完善水利网络安全体系，保障水利信息化健康发展。

2 泵站网络安全现状

由于“网络安全”问题近几年才被人们重视，而绝大多数泵站都是原来建设起来的，在建设初期以及后期改造过程中业主对设备的选型都没有考虑过网络安全问题，包括设计部门也没有设计系统防护、数据加密等功能；再加上工业控制系统网络中大量使用TCP/IP技术，TCP/IP协议本身的漏洞往往被一些攻击者利用，给系统安全留下了许多隐患，而且管理者也没有建立完善的网络安全管理体制，缺乏专业技术人员，造成各个方面防护都比较薄弱，致使控制系统很容易遭到黑客非法攻击。

（1）目前泵站大部分控制设备均采用施耐德、西门子等产品，而这些品牌的设备通信协议一般都是采用MODBUS和PROFIBUS，MODBUS和PROFIBUS通信协议都是开放式的，自身存在很多漏洞，不法分子通过这些漏洞很容易入侵自动化控制系统，窃取机密数据或植入某种病毒。

（2）泵站工控系统软件升级问题，软件供应商为降低维护成本，通常只是会定期在网上发布工业控制软件补丁，泵站通常没有专业软件维护人员，造成更新不及时；另外软件升级过程中由于补丁自身或人为误操作也会产生不确定性，致使系统软件出现不稳定、卡顿等现象，造成整个系统不能正常工作，给泵站日常运维造成麻烦甚至带来巨大的财产损失。

（3）泵站通常没有专业维护人员，对病毒入侵没有预防性，即使发现设备感染病毒也不能采取有效手段进行查杀，以致于病毒在系统中迅速传播，甚至造成系统瘫痪，给生产工作带来不可预测的后果。

（4）设备的多样性，泵站系统结构复杂，设备种类数量多，各个设备都具有各自不同的性能和特点，而且由不同厂家供货，设备的安全等级也不一样，也没有专人负责统计这些数据，这就给设备的安全防护带来很大困难。

由此可见，泵站工业控制系统网络安全问题日益加剧。泵站工控系统遭入侵途径以透过企业广域网及商用网络方式为主，利用IED、PLC、RTU、控制器、通信处理机等通用设备的漏洞植入恶意代码，进行破坏活动，可对泵站造成巨大的损失。

3 泵站工业控制系统网络安全漏洞

大多数泵站控制网络中在运行的电脑，基本不能及时安装或更新防病毒软件。另外，控制器的优化升级基本以I/O性能为主，而对网络安全防护方面的能力没有加强。由于控制系统缺乏安全性设计，所以泵站工控系统非常容易受到攻击。并且当前泵站控制设备系统基本上被国外厂商垄断，协议都是公开透明的，设备都存在漏洞，核心技术受制于人，增加了诸多不可控因素。

（1）通信协议存在漏洞，TCP/IP协议作为联网结构的核心，已经成为网络最流行的通信协议。TCP/IP和OPC等通用协议也越来越广泛地应用在工业控制网络中，但TCP/IP协议本身的漏洞却往往被一些攻击者利用，给网络安全留下了许多隐患。

（2）操作系统存在漏洞，目前大多数泵站自动化控制系统的工程师站/操作站都是Windows平台的，泵站通常没有专业维护人员，一般都不会对Windows平台安装补丁，造成系统漏洞不能及时消除，容易遭到黑客攻击。

（3）安全意识和管理流程存在漏洞，业主缺乏安全意识，认为设备能用就可以了，而不去关注设备的安全性，另外也没有能力建立一套完善的管理流程，这都给系统信息安全带来了一定的威胁。

（4）病毒防护存在漏洞，没有专业维护人员，通常只保证系统软件的可用性，一般不会安装杀毒软件。即便安装了杀毒软件，也不会对病毒库进行更新，这尤其不适合于工业控制环境。

（5）应用软件漏洞，由于应用软件多种多样，很难形成统一的防护规范以应对安全问题；另外当应用软件面向网络应用时，就必须开放其应用端口。因此，常规的IT防火墙等安全设备很难保障其安全性。

（6）通用硬件漏洞，在泵站工业控制系统中，台套数最多的是PLC系统。系统多由国外供货，主要包括西门子、施耐德、GE等。这些厂商也是全球PLC领域的主要供货商，各PLC产品中均存在一些安全漏洞。泵站主流厂商西门子、施耐德、GE 3个供货商在2011～2013年公安部网络安全执法检查时，PLC漏洞暴露情况如图1所示。

图1 PLC漏洞暴露情况

4 泵站工业控制系统网络安全风险

（1）网络防护安全问题，除了横向隔离和纵向加密装置外，基本没有其他防护措施；有的单位虽然在生产大区之间部署了传统防火墙，但是电力系统的工控协议是专有的，防火墙不能识别这些工控协议，也就失去了防火墙作用。

（2）防病毒软件没有专人进行维护升级，存在的漏洞使非法分子轻易入侵，从而造成系统瘫痪。

（3）行为安全问题，缺乏对操作人员非授权行为的安全监管能力；当网络受到攻击后也无法及时检测到，并对攻击源IP地址、攻击类型等信息进行识别、记录。

（4）管理和运维安全问题，未能建立完善的信息安全制度。

5 泵站工业控制系统网络安全防护

5.1 防护理念

根据当前国内外工控网络安全领域的发展形势，采用“4+1”的工控安全战略，以“结构安全性、本体安全性、行为安全性、基因安全性+时间持续性安全”为核心，搭建全生命周期的工控安全产品和服务体系，为泵站工控系统网络安全保驾护航。泵站工控系统网络安全防护理念如图2所示。

图2 泵站工控系统网络安全防护理念

（1）结构安全即网络结构安全，根据业务及工艺要求合理划分网络区域和层次，明确网络边界，设定合理的访问规则，而现实是多数生产网络的结构不够安全。

（2）本体安全即工业系统的安全，工业设备及软件在设计之初以满足工业生产工艺要求为主，甚少考虑网络安全因素，面临网络或恶意病毒攻击时极其脆弱，需要充分评估其脆弱性并通过补偿性措施防护。

（3）行为安全即网络和操作行为的安全，工业网络自身的特殊性对工业网络中接入设备是相信的，缺乏认证和加密措施，所有行为认为是合法的，需要通过对行为的综合分析、监控和审计来识别恶意行为。

（4）基因安全即设备的自主可控，其内容包括涵盖工业系统全生命周期的完整性保护，从工业系统的可信设计，到工业系统的可信生产、交付、维护以及下线整个生命周期的安全可信，实现难度较大。

（5）时间持续性安全是工控安全的基础，建立工控系统长效的安全机制，能够持续应对恶意非恶意的攻击，在面对APT攻击时能够保障工控系统的安全，及时发现、响应和恢复。

5.2 防护策略

泵站控制系统网络安全与传统的互联网安全具有本质区别。因此，较传统的信息安全问题，需要采取新的策略应对。识别系统存在的风险与隐患，实施相应的防护策略是确保泵站自动化控制系统安全运行的有效手段；安全防护部署如图3所示。

图3 泵站工业自动化控制系统网络安全防护部署图

（1）设备安全防护，通过智能保护终端对工控系统现地层的关键LCU、RTU等进行安全防护，对利用已公开漏洞的攻击行为和流量信息进行有效识别和拦截。

（2）网络安全隔离，通过智能工业防火墙抵御来自外界伪基站接入渗透控制系统的风险。能够对控制源身份的合法性进行有效判断，对非法IP发送的数据包进行有效甄别和拦截。

（3）主机安全防护，在主控层的工程师站、操作员站、服务器部署工控卫士，防止用户的违规操作和误操作，阻止不明程序、移动存储介质和网络通信的滥用。

（4）网络监测审计，在生产控制大区通信层环网、LCU子网旁路部署监测审计平台，对网络通信流量进行有效监视和威胁检测。

（5）集中安全监管，安全监管平台对部署在整个工控系统的安全设备实现统一化安全监管和运维。

6 结语

我国已经进入信息化时代，这是历史发展的必然，随着科技不断发展，工业控制系统将会融合更多先进的信息安全技术，如可信计算、云安全等，工业控制系统网络安全成为关系政治稳定、经济发展的重要因素。因此，需不断加强对工业控制领域的整体安全部署，完善和提供整体的安全解决方案，我们愿为工控领域自动化系统网络安全做出应有的贡献。