聯(lián)盟旨在搭建政府、產(chǎn)、學、研、用之間的交流平臺，推進我國工業(yè)安全產(chǎn)業(yè)發(fā)展，保障關鍵基礎設施安全穩(wěn)定運行，支撐中國工業(yè)健康可持續(xù)發(fā)展。此賬號用于發(fā)布聯(lián)盟成果、專家視點及工業(yè)安全前沿動態(tài)等內(nèi)容。

　　隨著信息化與工業(yè)自動化的深度融合，以及物聯(lián)網(wǎng)技術的快速發(fā)展，工業(yè)自動化與控制網(wǎng)絡也向著分布式、智能化的方向迅速發(fā)展，越來越多基于TCP/IP的通信協(xié)議和接口被采用，從而實現(xiàn)了自管理信息層延伸至現(xiàn)場設備的一致性識別、通訊和控制。然而，在工控系統(tǒng)越來越開放的同時，也同步削弱了控制系統(tǒng)與外界的隔離和安全保護。因此，行業(yè)/企業(yè)在享受網(wǎng)絡互連帶來的種種好處的同時也面臨著各種來源的信息安全威脅，包括病毒、木馬向控制網(wǎng)絡的擴散等，國內(nèi)工控系統(tǒng)（ICS）的安全隱患問題日益嚴峻，應給予足夠的重視。

　　軌道交通中的自動化系統(tǒng)一般分為：與列車運行控制直接相關的系統(tǒng)（如信號系統(tǒng)與電力SCADA系統(tǒng)等）、為列車運行提供輔助、支撐的系統(tǒng)（如綜合監(jiān)控系統(tǒng)、設備監(jiān)控系統(tǒng)、火災報警系統(tǒng)等）以及輔助于安全管理的系統(tǒng)（如門禁系統(tǒng)等）。這些系統(tǒng)存在著共同的特點：一般系統(tǒng)分為信息管理層、控制執(zhí)行層和現(xiàn)場操作層三層架構；系統(tǒng)以采集與執(zhí)行控制器（如PLC）和工業(yè)控制網(wǎng)絡為核心開展工作；工業(yè)控制網(wǎng)絡要求有更好的實時性、更高的傳輸速率以及可靠性。

　　工業(yè)控制網(wǎng)絡中的現(xiàn)場總線由于技術的局限性已經(jīng)不能滿足快速發(fā)展的工業(yè)控制網(wǎng)絡的需求，當前應用最為廣泛的是工業(yè)以太網(wǎng)技術。具有如下優(yōu)點：

　?。?1 ） 幾乎所有的編程語言都支持以太網(wǎng)；

　?。?2 ） 軟硬件資源豐富，成本低廉（可降低系統(tǒng)的整體成本）；

　?。?3 ） 通信速率高（ 百兆設備已被廣泛使用，千兆、萬兆逐漸成為工業(yè)骨干網(wǎng)的主流）；

　　（ 4 ） 由于基于TCP/IP開放式標準，不同設備很容易互聯(lián)，具有很好的發(fā)展?jié)摿Γ?/p>

　?。?5 ） 易于實現(xiàn)一體化的管理與控制；

　?。?6 ） 工業(yè)產(chǎn)品設計，提供其它自動化組件相同的MTBF（平均故障間隔時間）值，通常是10年以上（相比之下，典型商用產(chǎn)品在建造時，最多實現(xiàn)5年平均壽命）；

　?。?7 ） 方便安裝：通常采用DIN-Rail導軌安裝，或者直接用螺栓連接到機器上；

　?。?8 ） 無風扇設計，實現(xiàn)被動散熱；

　　（ 9 ） 冗余電源，冗余鏈路，支持采取冗余設備以保證全天候正常運行時間；

　　（ 10 ） 符合特定行業(yè)標準[包括軌道交通行業(yè)普遍認可EN50121-4認證（軌旁應用）以及EN50155認證（車載應用）]，以保證能在極端的現(xiàn)場條件下正常運作，如濕度、防塵、防腐蝕、溫度、振動、沖擊和電磁干擾。但無法掩蓋一個事實，工業(yè)控制網(wǎng)絡是工控系統(tǒng)安全隱患中的主要因素。

　　工控系統(tǒng)信息安全現(xiàn)狀以及對軌交安全的影響

　　現(xiàn)實情況的調(diào)研說明了工業(yè)控制系統(tǒng)信息安全問題日趨嚴重。

　　近兩年，在工業(yè)網(wǎng)絡信息安全領域有幾個影響較大的實例：

　?。?1 ） 2010年7月首次檢測出以某公司的ICS/SCADA為攻擊目標的Stuxnet震網(wǎng)病毒；三個月后，全球已有十萬臺主機計算機受到感染。這是世界上首個專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒，由此引發(fā)了工業(yè)界對信息安全的特別關注。

　?。?2 ） 2012年8月，BBC技術版報道，在西門子旗下的羅杰康平臺交換機中發(fā)現(xiàn)了后門，這個程序讓黑客可以容易的侵入網(wǎng)絡，竊取信息。該設備主要應用在美國的國家發(fā)電廠中，得到美國國土安全局的高度重視。

　?。?3 ） 2013年底，“棱鏡門”事件的主角斯諾登曝光了一份材料，顯示美國在2008年研制了48種間諜工具，可以實現(xiàn)對與互聯(lián)網(wǎng)隔離的計算機的隔空打擊。這一情況對人們存在將工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)隔離、ICS不存在信息安全問題的想法構成顛覆性沖擊。

　　根據(jù)統(tǒng)計數(shù)據(jù)顯示，在工業(yè)最為發(fā)達的美國，2010年工業(yè)控制系統(tǒng)信息安全事件數(shù)量統(tǒng)計僅為39條，到了2013年，這一數(shù)據(jù)增至256條。其中在2013年，工業(yè)控制系統(tǒng)的安全事件在能源、關鍵制造、供水、交通、核工業(yè)等直接關系到國民生計以及人身安全的行業(yè)都有涉及。其中交通行業(yè)工業(yè)控制系統(tǒng)安全事件的比例達到5%。

　　中國的工業(yè)發(fā)展暫落后于美國。因此，可以預見到未來中國的工業(yè)控制系統(tǒng)安全事件也將呈現(xiàn)覆蓋范圍廣、增長速度快的趨勢。交通行業(yè)，尤其是軌道交通行業(yè)，工業(yè)基礎設施中的關鍵ICS系統(tǒng)的安全事件可能造成的影響包括：

　　（ 1 ） 軌道交通子系統(tǒng)性能的下降，影響系統(tǒng)的可用性；

　?。?2 ） 關鍵控制數(shù)據(jù)被篡改或者喪失；

　?。?3 ） 失去控制（2008年一少年攻擊了波蘭的Lodz的城鐵系統(tǒng)，用一個遙控器改變軌道扳道器，導致4節(jié)列車出軌）；

　?。?4 ） 嚴重甚至導致人員傷亡；

　?。?5 ） 軌道運輸單位聲譽受損，信任度降低；

　?。?6 ） 基礎設施破壞；

　?。?7 ） 嚴重的經(jīng)濟損失等。

　　工業(yè)以太網(wǎng)信息安全威脅的主要原因

　　從業(yè)者一般認為工業(yè)控制網(wǎng)絡通信協(xié)議相對私有，與更廣范圍的網(wǎng)絡存在隔離的特性，加上設備自身的優(yōu)勢，使得他們對于工業(yè)網(wǎng)絡的安全性很有信心。但在如今不斷變化、更廣互聯(lián)的網(wǎng)絡世界中，許多工業(yè)運營商甚至都沒有意識到他們的系統(tǒng)已經(jīng)被暴露在互聯(lián)網(wǎng)上，必須要進行一些特別的安全漏洞處理。在近期的一則報道中反映，美國國土安全部顧問InfraCritical僅僅通過監(jiān)控引擎就發(fā)現(xiàn)了50萬個暴露在網(wǎng)絡中的SCADA設備，其中7200個設備控制著關鍵的基礎設施，比如說水利、能源以及其它領域的設備。因此，安全研究人員描述工業(yè)控制系統(tǒng)的狀態(tài)“很安全”，就聽起來很可笑了。

　　現(xiàn)有的工業(yè)自動化網(wǎng)絡中漏洞存在主要體現(xiàn)在以下三方面：

　　（ 1 ） 工業(yè)基礎協(xié)議Modbus TCP/IP 協(xié)議數(shù)據(jù)包存在安全隱患

　　Modbus TCP/IP 協(xié)議被廣泛應用于工業(yè)通信中，但由于缺乏內(nèi)置的安全處置，使得協(xié)議應用時相對脆弱。具體地說，即使當傳送一個檢測過源IP地址的TCP/IP的數(shù)據(jù)包時，看起來似乎是合法的，但由于它可能包涵有惡意的Modbus TCP 通信數(shù)據(jù)包，讓整個通信過程存在疑慮。假設讓系統(tǒng)對Modbus的源設備ID、功能碼或者命令類型進行檢測時，這種惡意的數(shù)據(jù)包將無處遁形。同時由于工業(yè)設備幾乎沒有應用層的安全防護方式，因此這樣的關鍵任務應用的安全保護將落地在網(wǎng)絡安全設備，如硬件防火墻等，而傳統(tǒng)防火墻的解決方案中很少有掃描Modbus TCP等工業(yè)協(xié)議的機制。

　　（ 2 ） 自動化控制中對時序的要求很嚴格，存在傳輸延遲的安全隱患

　　SCADA和自動化控制對受控對象的直接操作是具有高度時效性的，比如說變電站運作對時間非常敏感，觸發(fā)電路開關的延遲可以導致功率波動甚至停電。操作的高時效性要求工業(yè)網(wǎng)絡不能存在重大的延遲問題。然而，惡意攻擊者使用一個常見請求程序去攻擊一個網(wǎng)絡，即便防火墻可以阻止一個未經(jīng)授權的請求，也會造成網(wǎng)絡延遲。同時防火墻在處理數(shù)據(jù)時也存在能力不足、帶寬不夠的情況，同樣也會在關鍵時刻導致網(wǎng)絡的延遲，無法滿足實時性傳輸要求。

　　另外，隨著需求的不斷增長，工業(yè)網(wǎng)絡將集成更多的系統(tǒng)，如視頻、語音和數(shù)據(jù)網(wǎng)絡等；網(wǎng)絡設備需要更大的帶寬和吞吐量來支持更高級的應用程序，并不影響網(wǎng)絡安全，也不會造成其它工業(yè)操作的延遲。

　　（ 3 ） 嚴苛的現(xiàn)場環(huán)境促使網(wǎng)絡設備被動適應，存在適應性安全隱患

　　軌交現(xiàn)場機電機械和工業(yè)控制設備都部署在較為嚴苛的環(huán)境中。采用傳統(tǒng)的IT網(wǎng)絡安全設備很難在這些嚴苛的環(huán)境中穩(wěn)定運行并保障工業(yè)網(wǎng)絡及系統(tǒng)的信息安全。這些嚴苛的環(huán)境條件包括如極端的溫度、EMC、EMI等，對傳統(tǒng)IT網(wǎng)絡安全設備造成的損壞也許比黑客刻意程序工具的攻擊更加嚴重。因此，確保工業(yè)網(wǎng)絡免受黑客的攻擊，保障信息安全，首要任務是確保這些設備能夠在這些嚴苛工業(yè)環(huán)境下持續(xù)、穩(wěn)定地運行。

　　消除以上漏洞的思路，第一步是確認漏洞、關閉漏洞；第二步至關重要，必須將安全漏洞完全處理掉。

　　工控網(wǎng)信息安全解決方案探討

　　3.1　軌交行業(yè)信息安全的總體考慮

　　軌交業(yè)務總體可以分為自動化控制和管理信息兩大類。劃分為三個安全域：生產(chǎn)網(wǎng)域、管理網(wǎng)域和互聯(lián)網(wǎng)域。上海在處置信息安全時，一般有以下做法：

　?。?1 ） 同區(qū)域訪問、各不同區(qū)域之間實行受控訪問或禁止訪問。安全域之間的訪問控制策略見表1。

　　表1 訪問控制策略表

　　（ 2 ） 自動化控制系統(tǒng)按照既有的建設安全體系進行防護的同時，與列車運行控制直接相關的系統(tǒng)（如信號系統(tǒng)和SCADA系統(tǒng)）級別應定為非常重要，對應安全等級保護體系的第三級；為列車運行提供輔助、支撐的系統(tǒng)級別應定為重要，對應安全等級保護體系的第二級；

　?。?3 ） 僅供軌交行業(yè)內(nèi)部使用的管理、決策、辦公類系統(tǒng)級別應定為一般，對應安全等級保護體系的第一級。

　　3.2　工控網(wǎng)信息安全的考慮

　　針對以上的分析，建議從硬件以及軟件兩個方面實現(xiàn)工業(yè)以太網(wǎng)的信息安全。

　?。?1 ） 硬件實現(xiàn)多層次網(wǎng)絡信息安全防護

　　針對軌道交通自動化系統(tǒng)構成特征，將現(xiàn)場級系統(tǒng)分解成多層結構（如圖1所示），在各層網(wǎng)絡中根據(jù)不同情況（如連接設備數(shù)目、帶寬以及性能要求等），設置合適的工業(yè)級網(wǎng)絡安全產(chǎn)品。以Moxa公司的EDR-810系列為例，隨著集成技術發(fā)展，在市場上推出了一體化的防火墻交換機，主要面對最底層需連接多個終端設備，必須放置一臺交換機的情況；該集成設備集合了二層網(wǎng)管交換功能以及防火墻/NAT/VPN的功能，具有千兆上聯(lián)口以及多個快速以太網(wǎng)口，在滿足現(xiàn)場設備接入的同時，還可利用網(wǎng)管的功能，有效防止由于現(xiàn)場設備故障導致的廣播風暴對于其它關鍵設備的影響；對于現(xiàn)場不被使用的端口，在物理封存的同時系統(tǒng)可以將其關閉，從而防止利用現(xiàn)場設備接入交換機進行的惡意篡改以及非法入侵。另外，該設備的防火墻策略控制不同信任區(qū)域之間的網(wǎng)絡流量以及網(wǎng)絡地址轉換（NAT）防御內(nèi)部局域網(wǎng)免受未經(jīng)授權從外部主機傳來的活動，能夠執(zhí)行深度的Modbus TCP數(shù)據(jù)包檢測，從而有效地防止對于現(xiàn)場PLC等關鍵設備的非法控制，確保關鍵設備的可靠性。

　　在最上層對接辦公網(wǎng)絡時，宜選擇設置工業(yè)級千兆防火墻/VPN安全路由器設備，同時應考慮滿足帶寬需求高、對外連線需要有備份鏈路的要求。以Moxa公司的EDR-G903系列為例，其具備冗余的WAN接口，千兆的寬帶性能，吞吐量能夠達到500Mbps，能夠建立的Firewall/NAT規(guī)則數(shù)為512/256以上，從而確保企業(yè)信息網(wǎng)與自動化網(wǎng)絡之間的安全通信；同時，支持VPN三層隧道協(xié)議IPSec可達100條，能夠滿足遠端的多通道安全通訊。

　?。?2 ） 在網(wǎng)管軟件中設置信息安全的選項

　　工業(yè)網(wǎng)絡管理套件可以實現(xiàn)簡易配置、智能可視化管理、簡便的備份管理以及快速故障排除，將整個網(wǎng)絡生命周期都結合到了一個工具包內(nèi)。為了回應工業(yè)網(wǎng)絡對于信息安全的重視，須基于ISA與IEC共同制定的針對工業(yè)網(wǎng)絡分隔的工業(yè)自動化系統(tǒng)和控制信息系統(tǒng)的標準IEC 62443標準，分別在安裝、運行和診斷三個階段來確保網(wǎng)絡安全。

　　在安裝階段，要從軟件上可以批量部署設備的安全功能，可選擇不同的設備安全級別，規(guī)范不同的安全條款，以滿足不同的應用需要。

　　在運行階段，軟件可在可視化的網(wǎng)絡拓撲結構中，用不同顏色來標注設備的不同安全等級，方便進行設備管理。在偵測到安全異常情況后，有相應的界面輸出警告，通知操作人員，進行及時處理。

　　案例與結語

　　案例：美國亨利科縣交通控制系統(tǒng)的安全處置

　　弗吉尼亞州亨利科縣交通部門按NEMA TS2交通控制規(guī)范升級現(xiàn)有的公路交通信號控制系統(tǒng)，使其成為先進交通管理系統(tǒng)（ATMS）。亨利科縣現(xiàn)有的交通控制系統(tǒng)是由140個信號控制的十字路口組成，但只有25個十字路口是相互連接的，其余115個十字路口的信號控制電路隔離。該系統(tǒng)將采用一個集中的網(wǎng)絡架構，使得中央指揮中心可以與每一個現(xiàn)場交通信號控制器進行數(shù)據(jù)通信?，F(xiàn)場的交通控制器也可以調(diào)整和安排每天不同時間段的交通信號配時參數(shù)，以此來提高交通車流量。從中央指揮中心，運營商將能夠訪問交通信號的實時監(jiān)控和應急響應遠程流量控制的位置。這種先進的交通控制網(wǎng)絡將通過公用網(wǎng)絡進行部署，不只需要一個高度可靠的連接，同時也保護了網(wǎng)絡安全，禁止未經(jīng)授權的訪問。

　　圖1 現(xiàn)場系統(tǒng)的多層結構圖

　　為了使交通控制器能夠將數(shù)據(jù)傳送到交通指揮中心，系統(tǒng)集成商需要利用現(xiàn)有的ISP公共網(wǎng)絡。然而，在公共網(wǎng)絡中存在可能的安全性問題，會直接威脅到交通控制網(wǎng)絡的通信。所以，采用VPN和現(xiàn)場及核心防火墻來保證數(shù)據(jù)通信的安全就顯得至關重要。

　　2011年，工業(yè)和信息化部頒發(fā)了451號文《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，從國家層面強調(diào)了加強工業(yè)控制系統(tǒng)信息安全工作的重要性和緊迫性，而軌道交通的核心生產(chǎn)系統(tǒng)正屬于此通知范圍內(nèi)。因此希望通過上述討論，提請相關人士重視對軌道交通現(xiàn)有的、各個層次系統(tǒng)部署狀況、網(wǎng)絡架構及主要安全問題的分析，形成一套有效的信息安全架構方案，推動軌道交通信息安全基礎建設，完善軌道交通信息安全技術防護體系、信息安全管理體系，提升軌交行業(yè)的信息安全預警能力、信息安全保障能力、信息安全檢測能力、信息安全應急能力和信息安全恢復能力。