1概述

　　眾所周知，工業(yè)控制系統(tǒng)（Industrial and Control System—ICS或簡(jiǎn)稱工控系統(tǒng)）廣泛應(yīng)用于國(guó)家關(guān)鍵生產(chǎn)設(shè)施和基礎(chǔ)設(shè)施，它是系統(tǒng)運(yùn)行的“中樞”。從工控系統(tǒng)自身來(lái)看，隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，尤其是信息化與工業(yè)化深度融合，在工業(yè)4.0、智能制造的背景下，工控系統(tǒng)越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，通過(guò)互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接的業(yè)務(wù)系統(tǒng)也越來(lái)越普遍，這使得針對(duì)工控系統(tǒng)的攻擊行為大幅度增長(zhǎng)，也使得工控系統(tǒng)的脆弱性正在逐漸顯現(xiàn)，面臨的信息安全問(wèn)題日益突出。

　　作為國(guó)家重要支柱產(chǎn)業(yè)的化工（包括石油、石化、基礎(chǔ)化工、煤化工等）行業(yè)，由于其行業(yè)的高溫、高壓、易燃、易爆、易腐蝕等特殊性，其工控系統(tǒng)信息安全的重要性更顯得尤為突出。

　　2化工行業(yè)工控系統(tǒng)信息安全面臨的形勢(shì)

　　2.1化工行業(yè)生產(chǎn)制造模型

　　化工行業(yè)普遍采用基于ERP、MES和PCS三層架構(gòu)的管控一體化模型?；ば袠I(yè)智能制造的典型框架如圖1所示。

　　化工生產(chǎn)過(guò)程控制大多采用DCS/PLC/SIS/SCADA等系統(tǒng)進(jìn)行控制，生產(chǎn)上更注重安全和平穩(wěn)運(yùn)行，安全、穩(wěn)定、長(zhǎng)周期、滿負(fù)荷、優(yōu)質(zhì)綠色生產(chǎn)是行業(yè)追求的目標(biāo)。除了常規(guī)控制外，還通過(guò)軟儀表、先進(jìn)控制和優(yōu)化控制等手段，在保證生產(chǎn)平穩(wěn)的基礎(chǔ)上獲取更大的經(jīng)濟(jì)效益。

　　一般情況下，利用實(shí)時(shí)數(shù)據(jù)庫(kù)通過(guò)PCS層的DCS等控制系統(tǒng)采集生產(chǎn)過(guò)程的實(shí)時(shí)數(shù)據(jù)，作為生產(chǎn)管理或稱生產(chǎn)制造執(zhí)行系統(tǒng)MES的統(tǒng)一數(shù)據(jù)平臺(tái)。MES包含生產(chǎn)計(jì)劃、生產(chǎn)調(diào)度、操作管理、質(zhì)量管理、物料管理、生產(chǎn)統(tǒng)計(jì)、設(shè)備狀態(tài)管理、能源管理等功能模塊構(gòu)成。

　　經(jīng)營(yíng)管理層ERP系統(tǒng)主要對(duì)企業(yè)的人、財(cái)、資產(chǎn)、供銷等資源進(jìn)行有效、協(xié)同、合規(guī)的管理，并為企業(yè)的經(jīng)營(yíng)決策提供支撐。

　　MES在其中起到了承上啟下的作用，上連ERP，下連PCS。MES將ERP下發(fā)的生產(chǎn)計(jì)劃分解成作業(yè)計(jì)劃，通過(guò)調(diào)度管理下達(dá)給PCS層的操作人員，控制系統(tǒng)的結(jié)果通過(guò)實(shí)時(shí)數(shù)據(jù)庫(kù)的數(shù)據(jù)采集將生產(chǎn)過(guò)程反饋到MES，由MES完成相關(guān)的數(shù)據(jù)分類、加工、處理，實(shí)現(xiàn)生產(chǎn)過(guò)程的物料、質(zhì)量、成本、能源等的管理，最后將統(tǒng)計(jì)結(jié)果返回到ERP系統(tǒng)。

　　目前大多應(yīng)用場(chǎng)合，基本是在邊界設(shè)置防火墻，即在PCS與MES間設(shè)置數(shù)據(jù)采集工業(yè)網(wǎng)關(guān)及防火墻，起到一定的邊界防護(hù)與安全隔離作用。

　　2.2化工行業(yè)面臨的工控系統(tǒng)信息安全形勢(shì)

　　近年來(lái)，世界范圍內(nèi)工控系統(tǒng)發(fā)生的信息安全事件數(shù)量呈幾何倍數(shù)上升態(tài)勢(shì)，其主要威脅來(lái)源于個(gè)人黑客、民間組織、國(guó)家政府及企業(yè)員工誤操作等。

　　據(jù)有關(guān)材料報(bào)道，卡巴斯基實(shí)驗(yàn)室基于OSINT（公開(kāi)資源情報(bào)計(jì)劃）和公共來(lái)源信息（如ICS CERT-美國(guó)工控系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組）研究2015年ICS受威脅狀況。調(diào)查了170個(gè)國(guó)家，發(fā)現(xiàn)如下主要問(wèn)題，數(shù)據(jù)非常觸目驚心。

　?。?）在互聯(lián)網(wǎng)上，可掃描發(fā)現(xiàn)188,019臺(tái)工控系統(tǒng)（ICS）設(shè)備主機(jī)；

　?。?）可遠(yuǎn)程訪問(wèn)的ICS主機(jī)中，92%包含漏洞。其中，87%包含中等風(fēng)險(xiǎn)漏洞，7%包含高危漏洞；

　?。?）過(guò)去五年中，ICS設(shè)備中的漏洞數(shù)量增長(zhǎng)了五倍：從2010年的19個(gè)漏洞增長(zhǎng)到2015年的189個(gè)漏洞。包含漏洞最多的ICS設(shè)備為人機(jī)界面（HMI）、電子設(shè)備和SCADA系統(tǒng)；

　?。?）所有能夠外部訪問(wèn)的ICS設(shè)備中，有91.6%使用了較弱的互聯(lián)網(wǎng)連接協(xié)議，讓攻擊者有機(jī)可乘，能夠?qū)嵤爸虚g人”攻擊。

　　另外，OSVDB（開(kāi)源漏洞數(shù)據(jù)庫(kù)）及ICS-Cert的資料表明，各行業(yè)工控系統(tǒng)的信息安全事件發(fā)生頻率統(tǒng)計(jì)數(shù)據(jù)表明化工（石化）行業(yè)的事件數(shù)是最大的，占比為23%，如圖3所示。

　　下列事件是國(guó)內(nèi)化工行業(yè)工控系統(tǒng)信息安全的典型案例。

　　2011年，大慶石化、齊魯石化、西南管線廣東調(diào)控中心及多個(gè)場(chǎng)站感染病毒，導(dǎo)致控制器通信中斷。

　　2015年6月，國(guó)內(nèi)某石化央企發(fā)生“內(nèi)鬼”事件，系統(tǒng)內(nèi)部技術(shù)人員，通過(guò)該企業(yè)其華東公司SCADA系統(tǒng)開(kāi)發(fā)了一套病毒程序，病毒爆發(fā)致使系統(tǒng)癱瘓，無(wú)法運(yùn)行。

　　2016年1月29日，中石化洛陽(yáng)分公司發(fā)現(xiàn)工控網(wǎng)絡(luò)E網(wǎng)內(nèi)存在蠕蟲(chóng)病毒，導(dǎo)致部分DCS數(shù)據(jù)采集頻繁歸零。

　　2016年4月13日，國(guó)家工信部電子科學(xué)技術(shù)情報(bào)研究所發(fā)布第2期工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)提示：工業(yè)控制設(shè)備默認(rèn)密碼清單被公布，該清單涉及西門子、施耐德電氣等國(guó)內(nèi)外48個(gè)廠商134個(gè)工程設(shè)備型號(hào)。

　　由以上數(shù)據(jù)可見(jiàn)，化工行業(yè)工控系統(tǒng)信息安全形勢(shì)非常嚴(yán)峻。隨著網(wǎng)絡(luò)技術(shù)、無(wú)線技術(shù)發(fā)展，開(kāi)放標(biāo)準(zhǔn)普及，管理控制一體化理念深入，特別是在“互聯(lián)網(wǎng)+”、互聯(lián)互通、“工業(yè)4.0”下的化工智能制造的大環(huán)境背景下，工控系統(tǒng)接入范圍擴(kuò)展到企業(yè)內(nèi)網(wǎng)，甚至互聯(lián)網(wǎng)，再到“互聯(lián)網(wǎng)+”，面臨更大的信息安全威脅。

　　2.3化工行業(yè)工控系統(tǒng)信息安全威脅分析

　　我們可以通過(guò)以下幾個(gè)維度分析化工行業(yè)工控系統(tǒng)信息安全的威脅。

　　（1）PCS層本身，由封閉走向開(kāi)放所導(dǎo)致

　　·操作站

　　信息技術(shù)的高速發(fā)展使DCS、PLC和SCADA等控制系統(tǒng)在過(guò)去幾十年的發(fā)展中呈現(xiàn)出整體開(kāi)放的趨勢(shì)。以DCS為例，過(guò)去的DCS廠商基本上是以自主開(kāi)發(fā)為主，提供的系統(tǒng)是封閉的系統(tǒng)。當(dāng)今的DCS廠商為了追求市場(chǎng)的占有率，更強(qiáng)調(diào)開(kāi)放性與集成性，廠商不再把開(kāi)發(fā)組態(tài)軟件或制造各種硬件單元視為核心技術(shù)，而是紛紛把DCS的各個(gè)組成部分采用第三方集成方式或OEM方式，幾乎清一色采用PC+Windows的技術(shù)架構(gòu)。

　　·先進(jìn)控制等站點(diǎn)（上位機(jī)）

　　為了提高生產(chǎn)的穩(wěn)定性與效益，對(duì)于精細(xì)化管理的企業(yè)大多采用軟儀表、先進(jìn)控制（APC）、在線優(yōu)化控制等技術(shù)手段，而這些技術(shù)的安裝、調(diào)試一般需要較長(zhǎng)的時(shí)間，在此期間，工控系統(tǒng)經(jīng)常需要頻繁與外界進(jìn)行數(shù)據(jù)交換。

　　·控制網(wǎng)絡(luò)

　　過(guò)去，通信技術(shù)相對(duì)落后，控制系統(tǒng)的互連是件非常困難的事情，現(xiàn)在，網(wǎng)絡(luò)技術(shù)開(kāi)放體現(xiàn)在DCS可以從多個(gè)層面與第三方系統(tǒng)互聯(lián)，同時(shí)支持多種網(wǎng)絡(luò)協(xié)議。目前在與企業(yè)管理網(wǎng)信息平臺(tái)互聯(lián)時(shí)，大多采用基于TCP（UDP）/IP協(xié)議的以太網(wǎng)通信技術(shù)，使用OPC等開(kāi)放接口標(biāo)準(zhǔn)。

　　·無(wú)線通信儀表及無(wú)線通信設(shè)備

　　無(wú)線設(shè)備地接入，盡管極大地方便了互通互連并提高了投資回報(bào)率，但同時(shí)也打開(kāi)了安全隱患之門。

　　·遠(yuǎn)程維護(hù)

　　將工控系統(tǒng)建設(shè)與實(shí)施、維護(hù)，分包給第三方，已成為趨勢(shì)。另外，“云應(yīng)用”遠(yuǎn)程診斷技術(shù)支持已逐漸成為關(guān)鍵設(shè)備管理的重要手段。

　　·部分工控主設(shè)備

　　部分廠商的工控產(chǎn)品存在后門風(fēng)險(xiǎn)，如2011年發(fā)現(xiàn)的施耐德電氣PLC存在多種不同權(quán)限的后門賬號(hào)。

　　·工控系統(tǒng)的特殊性

　　工控系統(tǒng)具有連續(xù)不可間斷的高可用性與不可延遲的高實(shí)時(shí)性要求，使得傳統(tǒng)IT的防護(hù)方法不適用。開(kāi)放性為用戶帶來(lái)的好處毋庸置疑，但由此引發(fā)的各種安全漏洞與傳統(tǒng)的封閉系統(tǒng)相比卻大大增加。

　?。?）MES/ERP層面，從無(wú)到有，從小到大產(chǎn)生處于生產(chǎn)管理與經(jīng)營(yíng)層MES/ERP系統(tǒng)，其應(yīng)用場(chǎng)合區(qū)域更廣，人員更多，網(wǎng)絡(luò)安全更加復(fù)雜。在此，集中關(guān)注其對(duì)工控系統(tǒng)的安全威脅。

　　綜上所述，對(duì)于一個(gè)相對(duì)開(kāi)放的工業(yè)控制系統(tǒng)，產(chǎn)生安全漏洞的因素是多方面的，主要的原因有下列幾方面。

　?。?）操作系統(tǒng)安全漏洞

　　作為主流操作系統(tǒng)的Windows，其漏洞大部分危害巨大，惡意代碼通過(guò)這些漏洞，甚至可以獲得操作站的完全控制權(quán)。因此，操作系統(tǒng)的補(bǔ)丁修補(bǔ)是個(gè)關(guān)鍵問(wèn)題。

　　（2）網(wǎng)絡(luò)通信協(xié)議安全漏洞

　　為了追求實(shí)用性和時(shí)效性，大多工控系統(tǒng)的網(wǎng)絡(luò)協(xié)議P R O F I N E T 、O P C、DNP 3 、M O D B U S 、PROFIBUS、IEC-104等都存在安全漏洞。特別是化工行業(yè)使用頻繁的OPC協(xié)議，首先它構(gòu)筑于Windows平臺(tái)上，Windows與生具有的漏洞與缺陷依然存在的同時(shí)，為了實(shí)現(xiàn)信息交互的便利性，一般情況下，所有的client端使用相同的用戶名與密碼讀取OPC server端的數(shù)據(jù)，因此，MES層受到攻擊的情況下，如果MES環(huán)境設(shè)置的不合理，就會(huì)導(dǎo)致OPC的參數(shù)被修改，威脅到控制系統(tǒng)的安全。同樣，MODBUS等協(xié)議由于更多地考慮時(shí)效性與實(shí)用性，在使用過(guò)程中，犧牲了很多安全性，成為黑客攻擊的主要目標(biāo)。

　?。?）病毒軟件及其病毒庫(kù)升級(jí)、更新漏洞

　　由于殺毒軟件可能查殺ICS的部分軟件，且其病毒庫(kù)需要不定期的升級(jí)、更新，因此大多上位機(jī)/操作站未安裝防病毒軟件，勢(shì)必造成病毒感染的風(fēng)險(xiǎn)。

　?。?）安全策略與管理漏洞

　　技術(shù)與管理特別是人員信息安全意識(shí)缺乏是最大的漏洞。如安全策略與管理流程的梳理、移動(dòng)設(shè)備使用管理、訪問(wèn)控制策略部署等。如上位機(jī)/操作站用戶名、密碼管理與控制，上位機(jī)/操作站多余端口的管理，外部技術(shù)支持與運(yùn)維的審計(jì)與監(jiān)管等。

　?。?）硬件產(chǎn)品漏洞

　　工控產(chǎn)品因軟、硬件更新、升級(jí)限制，漏洞不能得到及時(shí)修補(bǔ)。

　　（6）應(yīng)用軟件漏洞

　　工控系統(tǒng)應(yīng)用軟件產(chǎn)生的漏洞是最直接、最致命的。一方面應(yīng)用軟件形式多樣，很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問(wèn)題；另一方面最嚴(yán)重的是，當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí)，就必須開(kāi)放其應(yīng)用端口。

　　2.4化工行業(yè)工控系統(tǒng)信息安全防范措施建議

　　綜上分析，隨著兩化融合、智能制造的推進(jìn)，化工工控系統(tǒng)環(huán)境趨于更加復(fù)雜，聯(lián)網(wǎng)需求大幅增加，多種互聯(lián)接入方式并行存在，物理邊界模糊，安全風(fēng)險(xiǎn)指數(shù)大為增加，業(yè)務(wù)識(shí)別、防范壓力則在不斷增大。盡管目前一些主流的工控產(chǎn)品供應(yīng)商采取了一些措施，如Honeywell在其PKS系統(tǒng)的控制器中集成了防火墻、西門子在網(wǎng)絡(luò)交換機(jī)上嵌入了防火墻、ROCKWELL Automation推出了深度數(shù)據(jù)包檢測(cè)（DPI）技術(shù)，但這些還遠(yuǎn)遠(yuǎn)不夠。目前由于沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，對(duì)于企業(yè)而言，應(yīng)在管理與技術(shù)上，特別是人員信息安全意識(shí)上建立工控系統(tǒng)信息安全的“縱深防御”體系。建議如下文。

　　2.4.1　建立企業(yè)自己的工控系統(tǒng)信息安全實(shí)施操作指南

　　根據(jù)國(guó)家標(biāo)準(zhǔn)與相關(guān)規(guī)范，針對(duì)企業(yè)自身結(jié)構(gòu)，制定相關(guān)的管理流程與信息安全管理策略，并修訂相關(guān)的管理制度。指南中應(yīng)包括的主要要素：工控系統(tǒng)生命周期內(nèi)的安全問(wèn)題管理；企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)及其與工控系統(tǒng)的邏輯隔離管理；相關(guān)工控設(shè)備端口與服務(wù)的管理；工控系統(tǒng)權(quán)限管理；移動(dòng)設(shè)備（包括U盤）的使用管理；訪問(wèn)策略管理；外部技術(shù)支持與運(yùn)維的審計(jì)與跟蹤管理等等。重點(diǎn)在網(wǎng)絡(luò)安全接入控制與資源共享。

　　2.4.2　建立工控系統(tǒng)信息安全的評(píng)估制度

　　利用企業(yè)的力量或社會(huì)的第三方專業(yè)機(jī)構(gòu)，對(duì)存量的工控系統(tǒng)，進(jìn)行定期或不定期的信息安全評(píng)估，對(duì)新項(xiàng)目在設(shè)計(jì)端就組織好工控系統(tǒng)信息安全的評(píng)估與確認(rèn)。對(duì)存在的風(fēng)險(xiǎn)與隱患，能夠得到及時(shí)發(fā)現(xiàn)與整改，消除隱患與漏洞。

　　2.4.3　設(shè)置企業(yè)信息安全縱深防御體系

　?。?）互聯(lián)網(wǎng)網(wǎng)絡(luò)出口：安全防護(hù)防火墻、行為管理、防病毒、防入侵；

　?。?）內(nèi)網(wǎng)安全（MES/ERP層）：企業(yè)版的殺毒、EAD終端準(zhǔn)入控制系統(tǒng)、DHCP的嗅探功能、廣播風(fēng)暴抑制等；

　　（3）工控系統(tǒng)安全（PCS層）：采取“邊界-區(qū)域-終端-綜合監(jiān)控管理”策略。

　　邊界及現(xiàn)場(chǎng)防護(hù)：采用防火墻及網(wǎng)關(guān)/網(wǎng)閘以及運(yùn)維審計(jì)和WIFI入侵檢測(cè)與防護(hù)，配置安全隔離防護(hù)設(shè)備。應(yīng)該強(qiáng)調(diào)，隔離與防護(hù)設(shè)備應(yīng)具有動(dòng)態(tài)端口監(jiān)控與防御的功能。

　　區(qū)域保護(hù)：將該區(qū)域設(shè)置重點(diǎn)保護(hù)區(qū)域，防御來(lái)自其他區(qū)域的威脅。

　　終端保護(hù)：DCS/PLC/SCADA操作站與上位機(jī)配備信息安全管理系統(tǒng)及防病毒軟件。

　　綜合監(jiān)控管理平臺(tái)：通過(guò)該平臺(tái)實(shí)現(xiàn)動(dòng)態(tài)端口監(jiān)控、實(shí)時(shí)報(bào)警阻斷、白名單規(guī)則與漏洞防護(hù)策略下發(fā)、用戶及權(quán)限管理、日志管理、變更管理、補(bǔ)丁管理、備份與恢復(fù)等功能，如PAS的產(chǎn)品在此方面就非常有其特色。

　　3結(jié)語(yǔ)

　　工控信息安全形勢(shì)非常嚴(yán)峻，已引起了一定的重視，但從筆者的觀察發(fā)現(xiàn)，還相差甚遠(yuǎn)，特別是在危險(xiǎn)性及影響性較大的化工行業(yè)，盡管功能安全方面做得相對(duì)較好（國(guó)家有標(biāo)準(zhǔn)及相關(guān)的整改時(shí)間要求是一方面），但是在信息安全方面最簡(jiǎn)單的工控系統(tǒng)的用戶名與密碼管理，形同虛設(shè)的情況非常多。因此，理念和意識(shí)的問(wèn)題是關(guān)鍵，由于其復(fù)雜性遠(yuǎn)高于傳統(tǒng)IT，工控系統(tǒng)信息安全工作任重而道遠(yuǎn)。