孫士赫

摘要：長期以來，工業(yè)控制系統(tǒng)獨立封閉，存在天然的安全性，因而其網(wǎng)絡安全隱患被忽視了。隨著工業(yè)信息化的發(fā)展，自 動化領域也開始大量采用現(xiàn)場總線、工業(yè)以太網(wǎng)以及無線技術，控制系統(tǒng)越來越開放，系統(tǒng)互聯(lián)也越來越多。為工業(yè)生產帶 來極大推動，隨之而來的，各種威脅和脆弱性也被引入了工業(yè)控制系統(tǒng)。本文主要介紹工控系統(tǒng)網(wǎng)絡安全主要風險分析和如 何做好工控系統(tǒng)安全防護工作。

關鍵詞： 工業(yè)控制系統(tǒng)；漏洞；網(wǎng)絡安全；安全評估

中圖分類號：F239.2 文獻標識碼：A 文章編號：2095-3178（2018）06-0348-01

1.概述

長期以來，工業(yè)控制系統(tǒng)獨立封閉，存在天然的安全性，因而

其網(wǎng)絡安全隱患一直被忽視了。隨著“兩化融合”的推進，APC、實 時數(shù)據(jù)庫、報警管理等系統(tǒng)的部署實施，使得工業(yè)控制系統(tǒng)不再獨 立；同時工控系統(tǒng)伴隨著 IT 技術的發(fā)展而發(fā)展，工業(yè)控制系統(tǒng)技術 由專用性向通用性演進，大量采用 IT 通用軟硬件，如PC、操作系統(tǒng)、 數(shù)據(jù)庫系統(tǒng)、以太網(wǎng)、TCP/IP 協(xié)議等。隨之而來的，各種威脅和脆 弱性也被引入了工業(yè)控制系統(tǒng)，互聯(lián)網(wǎng)中的病毒、網(wǎng)絡黑客等威脅 通過開放的網(wǎng)絡連接正在向工業(yè)控制系統(tǒng)擴散，威脅到煉油化工裝 置的控制運行和安全生產，工業(yè)控制系統(tǒng)網(wǎng)絡安全問題日益突出。

2.工控系統(tǒng)網(wǎng)絡安全風險分析 2.1 平臺方面的安全漏洞

2.1.1 平臺配置方面

目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站/操作站都是 Windows 平

臺的，操作系統(tǒng)安全漏洞被發(fā)現(xiàn)后供應商可能沒有開發(fā)出相應的補 丁程序，導致操作系統(tǒng)和應用軟件補丁程序沒有及時安裝；由于工 控系統(tǒng)軟件及操作系統(tǒng)更新的復雜性、實時性、可靠性，導致不能 輕易“打補丁”，補丁程序的更新必須面對廣泛的回歸測試，從測試 到最終發(fā)布之間有較長的漏洞暴露周期；同時微軟對windowXP 停止 技術支持，而目前工控系統(tǒng)中操作站平臺以 windowXP居多，存在重 大安全漏洞；使用缺省配置可能會導致不安全或不必要的端口或服 務沒有關閉；關鍵配置文件沒有存儲備份措施。

2.1.2 平臺軟件和硬件方面

信息安全意識缺失導致產品/系統(tǒng)在設計、實現(xiàn)和運維上嚴重安

全漏洞，大量工控產品和工控協(xié)議在設計上存在安全缺陷：無身份 認證、無訪問控制、無數(shù)據(jù)加密、無安全審計…產品上線前未做信 息安全測試。工控漏洞多，且很難在生產系統(tǒng)中修補。

用于控制系統(tǒng)的硬件是脆弱的，對于關鍵設備如果沒有備用電 源，電力不足將關閉工控系統(tǒng)，并可能產生不安全的情況。環(huán)境控 制的缺失可能會導致處理器過熱，有些處理器將關閉以自我保護； 有些可能會繼續(xù)工作，但在輸出功率較小，產生間歇性的錯誤；關 鍵設備沒有冗余備份可能導致嚴重故障的發(fā)生等安全漏洞。

2.1.3 平臺惡意軟件防護方面

工業(yè)控制網(wǎng)絡中，為了各種專用軟件的穩(wěn)定性和兼容性，許多

工控系統(tǒng)操作站通常不會安裝殺毒軟件，操作系統(tǒng)一旦部署完畢也 基本不再打系統(tǒng)補丁。即使安裝了殺毒軟件，在使用過程中也有很 大的局限性。防惡意軟件版本或特征碼未更新以及防惡意軟件安裝 前未進行廣泛的測試都可能會對工控系統(tǒng)正常運轉產生影響。

2.2 網(wǎng)絡方面的安全漏洞

網(wǎng)絡方面的漏洞可分為網(wǎng)絡配置漏洞；網(wǎng)絡硬件漏洞；網(wǎng)絡邊

界漏洞；網(wǎng)絡監(jiān)控和記錄漏洞 ；通信中的漏洞；無線連接中的漏洞 等等。

網(wǎng)絡基礎架構常常根據(jù)業(yè)務和運營環(huán)境的變化而發(fā)展變化，但 很少考慮潛在的安全影響的變化。內部無監(jiān)測，對網(wǎng)絡行為“一無 所知”，不能及時發(fā)現(xiàn)安全威脅，也無法取證分析。內部未劃分安全 域，無防護措施，容易出現(xiàn)“一點突破、全線失守”的情況病毒可 能會感染全網(wǎng)系統(tǒng)。

2.3 管理方面策略和程序的安全漏洞

管理上，職責不清晰，人員安全意識薄弱，工業(yè)控制系統(tǒng)網(wǎng)絡

安全經(jīng)常屬于“三不管地帶”，未納入生產安全范疇；工業(yè)控制系統(tǒng) 沒有明確具體、書面的安全策略或程序文件或安全策略不當，追求 可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完 整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)信息安全帶來了一 定的威脅。沒有正式的工業(yè)控制系統(tǒng)安全培訓和安全意識培養(yǎng)；安 全架構和設計不足；工業(yè)控制系統(tǒng)設備操作指南缺失或不足；沒有 明確的工控系統(tǒng)連續(xù)性計劃或災難恢復計劃；沒有明確具體的配置 變更管理程序等安全漏洞。

3.工控系統(tǒng)安全防護策略

在工控安全防護措施選擇上，既要考慮工控系統(tǒng)的特點，又要

考慮不同行業(yè)系統(tǒng)差異性（網(wǎng)絡結構、通信協(xié)議等）。新建項目在建 設初期，項目概算中要增加工控系統(tǒng)的網(wǎng)絡安全部分資金投入，增 加工控信息安全總體設計，“同步規(guī)劃同步建設”，新系統(tǒng)上線前進 行安全測試和風險評估。對于老的工控系統(tǒng)，由于系統(tǒng)陳舊、安全 防護基本為零并處于生產運行狀態(tài)，所以在不影響生產運行情況下，

建立一個基本的安全基線，完善設備管理制度，有計劃的進行更新 改進。

3.1 分區(qū)隔離、分層防御

在工控網(wǎng)內部劃分邏輯層次，每一層次進一步劃分安全區(qū)域，

不同層次、不同區(qū)域之間限制數(shù)據(jù)流訪問，將病毒限制在一個區(qū)域 內，避免全網(wǎng)蔓延。

分區(qū)隔離—將全廠劃分操作區(qū)域、相互獨立為網(wǎng)絡隔離基礎。 石油化工自動化系統(tǒng)網(wǎng)絡結構橫向按生產裝置分成LAN 1到LAN N， 小生產裝置或公用工程共用一個或幾個 LAN，確保每個生產裝置獨 立開停車。

分層防御—采用防火墻、網(wǎng)絡服務器進行縱深防御，不同位置 能對抗不同的威脅，但也隱含著不同的風險，同時對設備性能和功 能要求也不同。如 管理網(wǎng)-生產網(wǎng)邊界、生產網(wǎng)-控制網(wǎng)邊界、上位 機-下位機PLC 之間。

3.2 管理制度

工控系統(tǒng)安全防護管理制度亟待完善、落實。建立健全工控系

統(tǒng)相關管理制度，建立網(wǎng)絡安全制度、配備安全人員、培訓使用人 員。健全、完善的管理制度是保障工控系統(tǒng)平穩(wěn)運行的前提條件， 嚴格執(zhí)行各項管理制度才能確保工控系統(tǒng)處于安全的工作狀態(tài)。需 要結合企業(yè)自身特點摸索出行之有效的管理辦法并且狠抓落實，才 能有效降低工控系統(tǒng)安全風險、減少故障發(fā)生概率、提升日常維護 質量。

3.3 網(wǎng)絡安全監(jiān)測

在工業(yè)控制網(wǎng)絡部署網(wǎng)絡安全監(jiān)測設備，可以及時發(fā)現(xiàn)、報告

并處理網(wǎng)絡攻擊或異常行為。因為工控系統(tǒng)特點是通信行為相對固 定、流量規(guī)律性強、設備變動小，容易建立正常的工控網(wǎng)絡安全基 線（網(wǎng)絡白名單），所以很適合于網(wǎng)絡安全監(jiān)測。

3.4 網(wǎng)絡安全評估

網(wǎng)絡安全評估是防災減災的基本方法，根據(jù)企業(yè)的情況評估出

預測可能風險和可承受的風險，當預測可能風險高于可承受風險的 情況，采取相應的網(wǎng)絡安全措施，使預測可能風險降低到可承受風 險以下。網(wǎng)絡安全評估僅僅能起到建立健全網(wǎng)絡安全體系、促進和 完善制度、配置合理的網(wǎng)絡結構的作用。網(wǎng)絡安全的根本在于嚴格 管理、運行防范。

4.總結：隨著“兩化融合”不斷推進，工控系統(tǒng)與管理信息系統(tǒng)的聯(lián)系將越來越緊密，工控系統(tǒng)網(wǎng)絡安全防護也愈發(fā)重要，在當前新形勢 下，如何對工控系統(tǒng)進行防護，防止來自內部、外部的安全威脅和 惡意攻擊，是信息安全領域面臨的重大挑戰(zhàn)。工業(yè)控制系統(tǒng)應該實行全壽命周期管理，安全防護設施建設應 堅持同時設計、同時施工和同時投用的原則。控制系統(tǒng)安全工作不 是一勞永逸的工作，是一項持續(xù)性工作，要定期開展工業(yè)控制系統(tǒng) 網(wǎng)絡安全風險評估，制定針對性的安全防護策略。注重防護要求、 方法的科學性、合理性和可操作性，從管理和技術兩方面實現(xiàn)系統(tǒng) 的防護要求?？偨Y學習有效防護經(jīng)驗，完善整體安全防護措施，不 斷提升防御水平。

參考文獻

[1]張方舟.計算機網(wǎng)絡與信息安全.哈爾濱工業(yè)大學出版

社.