李鵬程 王浩

【摘要】工業(yè)控制系統(tǒng)（Industrial control system，ICS）在關乎國計民生的行業(yè)中占據(jù)重要地位，近年來ICS高速信息化發(fā)展遭受的網(wǎng)絡攻擊頻發(fā)，本文揭示ICS的網(wǎng)絡結構并針對性地進行脆弱性分析，同時總結開發(fā)場景中的風險，使得ICS防御策略研究更具有效性和針對性。

【關鍵詞】ICS；信息安全；網(wǎng)絡攻擊

【DOI編碼】10.3969/j.issn.1674-4977.2023.04.058

Structured Risk Analysis Was Carried Out on the Informationization Development of Industrial Control system

LI Pengcheng， WANG Hao

（Liaoning Institute of Measurement， Shenyang 110004， China）

Abstract： Industrial control system， occupy the important in matters of national economy and peoples livelihood industry.In recent years， frequent ICS high-speed informationization development of the network attack. Article reveals vulnerability in a network structure and the analysis of the ICS， summarizes the risk of the development scenarios at the same time， make the ICS more defensive strategy research.

Key words： ICS； information safety； network attack

工業(yè)控制系統(tǒng)高度信息化發(fā)展，但與傳統(tǒng)的IT（Information Technology）系統(tǒng)還是存在差別，工業(yè)控制系統(tǒng)遭受的網(wǎng)絡攻擊究其根本是為了破壞現(xiàn)有正常的生產(chǎn)作業(yè)，使得生產(chǎn)停滯或降低、達不到生產(chǎn)要求，更為嚴重可能會造成人員傷亡、環(huán)境污染、財產(chǎn)損失等。工業(yè)控制系統(tǒng)中器件設備功能繁多、數(shù)目龐大，通過信息網(wǎng)絡協(xié)同成為一個整體來達成控制要求。信息網(wǎng)絡統(tǒng)籌全局的同時，也隨之而來諸多安全隱患。

1工業(yè)控制系統(tǒng)安全事件

全球范圍內(nèi)ICS的攻擊事件頻發(fā)，每年會發(fā)生幾百起且呈上升趨勢，每次事件都會造成巨大的經(jīng)濟損失和嚴重的影響。我國作為制造業(yè)大國同樣面臨著ICS信息安全威脅，在2010年和2011年我國的石化行業(yè)煉油廠的ICS發(fā)生了兩起感染Conficker病毒的事件，使得系統(tǒng)內(nèi)部通信受阻。此外在2017年也發(fā)生過WannaCry勒索病毒侵襲安全事件，導致某大型石油公司的加油站在支付時不能使用銀行卡和網(wǎng)上支付。

放眼全球范圍，2010年震網(wǎng)病毒感染了伊朗的布什爾核電站的工業(yè)網(wǎng)絡，控制了多臺離心機使其超速并報廢，造成了伊朗核電計劃的推遲和有毒放射性物質(zhì)的泄漏。這是一次影響極其深遠的工業(yè)網(wǎng)絡安全事件，由此開始，公眾開始關注工業(yè)網(wǎng)絡安全問題，震網(wǎng)病毒也成了工業(yè)控制領域安全威脅的代名詞。2015年末，烏克蘭的多個能源企業(yè)遭受到了網(wǎng)絡惡意攻擊，其中對電力系統(tǒng)的攻擊最為嚴重，黑客通過入侵手段得到了發(fā)電站的部分控制網(wǎng)絡權限，進而造成了數(shù)個小時的大范圍的停電，并在同一時間對石油、煤炭等重要能源設施進行了攻擊，造成了不可估量的經(jīng)濟損失[1]。之后的分析指出，很有可能是國家背景的高級持續(xù)性威脅組織實施了本次網(wǎng)絡惡意攻擊。2017年出現(xiàn)的WannaCry病毒是目前為止影響范圍最廣，造成危害最大的勒索病毒。勒索病毒是一類非法入侵用戶計算機，加密重要文件并以解密的私鑰威脅用戶，達到勒索目的的病毒。WannaCry勒索病毒以“永恒之藍”漏洞利用程序?qū)τ嬎銠C進行入侵，對世界范圍內(nèi)超過100個國家和地區(qū)進行了攻擊，許多個人電腦陷入癱瘓，一部分國內(nèi)的工業(yè)服務器也受到了影響，導致了工業(yè)生產(chǎn)停擺，給企業(yè)帶來了嚴重的經(jīng)濟損失。

目前，ICS中安裝組態(tài)軟件和人機交互界面的工控機出于對生產(chǎn)穩(wěn)定性和軟件兼容性的考慮，多數(shù)以非最新版的Windows作為基本操作系統(tǒng)，且很少對操作系統(tǒng)等軟件進行升級，導致無法及時對已知漏洞進行補救，讓“勒索”病毒能在較長時間里以重大漏洞作為跳板進行傳播，其危害范圍之廣可想而知。在這次事件中我們能夠發(fā)現(xiàn)，傳統(tǒng)IT網(wǎng)絡和ICS間的界限已經(jīng)逐漸模糊，工業(yè)控制網(wǎng)絡已經(jīng)逐步開放并受到公網(wǎng)環(huán)境的影響。當?shù)貢r間2019年3月7日，委內(nèi)瑞拉境內(nèi)最大水電站遭到網(wǎng)絡攻擊，造成了持續(xù)5天的大規(guī)模停電，給正常生活和工作造成了極大的影響。雖然具體的攻擊手段目前并未公開，但這次事件充分說明，ICS在接入公網(wǎng)后存在嚴重的安全隱患，可能遭受惡意攻擊。

對ICS為代表的重點設施進行網(wǎng)絡攻擊和防護，已成為國家間博弈和對抗的重要場景，強化工業(yè)及其相關物聯(lián)網(wǎng)設備的防御和應急響應能力已上升為國家安全層次。

2工業(yè)控制系統(tǒng)的網(wǎng)絡結構

整個工業(yè)控制系統(tǒng)中的信息數(shù)據(jù)由工業(yè)控制計算機進行統(tǒng)一分析處理，將設備控制和信息數(shù)據(jù)統(tǒng)籌兼顧，并設置用戶權限等級界定管理權限來確保信息安全。實現(xiàn)上述功能需要監(jiān)控與數(shù)據(jù)采集系統(tǒng)、可編程邏輯控制器、傳感器件等一起工作，使得現(xiàn)場設備的狀態(tài)信息、溫度壓強等監(jiān)控變量可以傳輸給上位機，并以圖文形式展現(xiàn)給操作人員，操作人員也可以遠程控制現(xiàn)場設備的狀態(tài)。ICS從網(wǎng)絡結構一般可以分為四層：企業(yè)層、監(jiān)控層、控制層和物理層[2]。接下來將以錦州加納芬高塔復合肥工業(yè)控制系統(tǒng)為例逐層分析，其網(wǎng)絡結構如圖1所示。

將工業(yè)控制系統(tǒng)按照網(wǎng)絡層次可以劃分為企業(yè)層監(jiān)控層、控制層以及物理層。接下來將逐層進行介紹，每一層級的功能和主要組成設備器件，以及層級之間的交互關系。

2.1企業(yè)層

企業(yè)層位于整個網(wǎng)絡系統(tǒng)的最上層，利用工業(yè)網(wǎng)關與監(jiān)控層建立連接，從而可以對位于控制層中的控制設備收發(fā)指令，進而對物理層中的現(xiàn)場設備監(jiān)控和決策，由此可見企業(yè)層是掌控全局的存在，也被稱為控制決策層，具有權限和功能調(diào)度整個控制流程的所有運行器件。為了實現(xiàn)上述功能，該層涵蓋信息管理系統(tǒng)、對外網(wǎng)絡服務器系統(tǒng)、制造執(zhí)行系統(tǒng)等，對整個工藝生產(chǎn)的質(zhì)量、產(chǎn)能、安全等進行控制與決策。

2.2監(jiān)控層

監(jiān)控層是整個系統(tǒng)的核心，該層的存在使得操作人員可以遠離工業(yè)一線現(xiàn)場，在監(jiān)控室便可以對整個工業(yè)生產(chǎn)過程的全局進行實時監(jiān)控。主要功能是對現(xiàn)場的監(jiān)控數(shù)據(jù)進行收集整理轉發(fā)給上層的企業(yè)層，也將企業(yè)層的控制指令轉發(fā)給控制層，起到一個上傳下達的作用。一般由操作員站、工程師站和人機交互界面三種設備組成，操作員站和工程師站的區(qū)別在于管理權限的界定，操作員站由操作員進行操作監(jiān)控現(xiàn)場，工程師站在此功能基礎上還可以對人機界面進行整改、組態(tài)的開發(fā)利用、控制程序的更新和改正等。

2.3控制層

控制層借助分布式控制系統(tǒng)、遠程終端單元和可編程控制器等控制設備完成監(jiān)控層預設程序中的控制要求，該層控制網(wǎng)絡中基于不同的控制設備要采用特定的通信協(xié)議，才能完成和現(xiàn)場設備以及監(jiān)控層順利進行數(shù)據(jù)傳輸。

2.4物理層

整個網(wǎng)絡系統(tǒng)的最底層就是物理層，也可以稱之為現(xiàn)場設備層。該層級所有的設備幾乎都位于現(xiàn)實中的工業(yè)現(xiàn)場，直接致力于工業(yè)生產(chǎn)，例如斗提機、攪拌機、計量傳輸皮帶、刮板機等；也有一些負責數(shù)據(jù)采集的設備，例如溫度傳感器、氣體流量計、液位傳感器、閥門開度傳感器等；還有一些現(xiàn)場的交互設備，工作人員在現(xiàn)場就可以完成對設備的交互功能。以上幾類設備協(xié)同作用，將物理層工業(yè)現(xiàn)場的數(shù)據(jù)移交上層。

3工業(yè)控制系統(tǒng)的脆弱性分析

信息化浪潮在工業(yè)控制系統(tǒng)內(nèi)席卷而來，工業(yè)現(xiàn)場的操作人員從一線作業(yè)中抽身出來，操作方式越來越人性化，細節(jié)控制面面俱到，在管理層面也更加便利和簡明，原有的傳統(tǒng)管理方式不復存在?；谛畔⒒瘞淼闹T多良處，早先的生產(chǎn)過程效率大幅度提升，也可以滿足更高的控制目標。但信息化這把雙刃劍也帶來了負面影響，打破了ICS的封閉，使得信息系統(tǒng)的安全隱患奪門而入沖擊了工控網(wǎng)絡，原本ICS中的漏洞隱患也愈加不可遏制，成了各種網(wǎng)絡攻擊的切入點。在管理ICS的過程中，管理人員的首要任務是保證工業(yè)生產(chǎn)的順利進行，這就需要系統(tǒng)中的數(shù)據(jù)保證實時性、可用性和不可中斷，而基于當前的形勢下，還需要著重考慮信息安全問題。而在操作過程中，操作人員也需要對當前控制網(wǎng)絡中的流量情況、運行狀態(tài)、系統(tǒng)報警日志進行實時監(jiān)控，一旦發(fā)現(xiàn)異常及時上報，這些與安全相關的信息也變得尤為重要。

接下來將對工業(yè)控制系進行結構化風險分析，首先從各個層級的脆弱性逐一分析，再從安全的需求和目標角度進行分析，較為全面地討論工業(yè)控制系統(tǒng)的脆弱性所在之處，以及安全防護的著手點[3]。

由于物理環(huán)境受限、工控系統(tǒng)封閉及高可用性等原因，ICS最初設計過程中沒有對安全性進行充分考慮，導致ICS的脆弱性無法避免。如今的ICS為了更好的發(fā)展，不斷融合新興信息技術，特別是工業(yè)互聯(lián)網(wǎng)及人工智能技術的廣泛應用，潛在安全問題逐漸被暴露出來。針對ICS的脆弱性進行分析，為針對性防御工作的研究夯實基礎[4]。根據(jù)現(xiàn)代ICS層次架構，工業(yè)控制系統(tǒng)脆弱性主要包括以下三個方面。

1）物理層脆弱性

物理層設備往往位于生產(chǎn)第一線，不恰當?shù)娜藶椴僮?，將直接破壞原有的正常生產(chǎn)作業(yè)，現(xiàn)實中甚至還存在人為的惡意操作，導致生產(chǎn)事故的發(fā)生。為了提高ICS的靈活性，打破物理環(huán)境中距離的影響，將工業(yè)無線傳感器納入系統(tǒng)內(nèi)，在出色地發(fā)揮作用的同時，很容易被竊聽。工業(yè)中的生產(chǎn)活動周期長，甚至長達一個月不間斷生產(chǎn)，不能夠及時發(fā)現(xiàn)問題隱患并立刻解決處理。工業(yè)通信協(xié)議的設計優(yōu)先考慮傳輸有效性，不但缺乏安全認證和授權保護，而且通信過程中的缺少防護措施，給了攻擊者機會去截取數(shù)據(jù)從而分析出系統(tǒng)內(nèi)的敏感信息。

2）監(jiān)控層和控制層脆弱性

監(jiān)控網(wǎng)絡中的主要核心設備是工程師站和操作員站，大部分由高性能的計算機充當，不能及時對系統(tǒng)安裝補丁杜絕漏洞。專業(yè)的工程師在對監(jiān)控層的上位機的維護更新過程中，以及對控制層工控設備檢修的過程中，不夠嚴謹和遵守規(guī)范，使用個人工作站或者遠程連接的方式，都可能將系統(tǒng)之外的威脅夾帶到系統(tǒng)之內(nèi)。

高權限的操作人員，可能熟知工藝流程的專業(yè)知識和時間經(jīng)驗，但是往往缺乏信息安全的理念，相關的風險意識薄弱，無法在出現(xiàn)信息安全問題的時候及時發(fā)現(xiàn)并作出正確的應對舉措。還有大部分威脅來源于軟件的方面，各類工控專用協(xié)議在設計之初只為了能夠滿足工控系統(tǒng)對數(shù)據(jù)傳輸高實時低延遲的要求，之前的封閉網(wǎng)絡環(huán)境，讓設計者沒有綜合考慮安全性的問題，所以在開放的環(huán)境下就暴露了諸多的缺陷，這樣的漏洞就為外部環(huán)境攻擊者提供了可乘之機。ICS有循環(huán)和非循環(huán)兩種通信方式，通信過程中的傳輸數(shù)據(jù)量較小，所以對網(wǎng)絡需求也就不像IT系統(tǒng)那么龐大，如洪泛攻擊、拒絕服務攻擊等一些通過網(wǎng)絡流量層面進行的攻擊也威脅很大。

3）企業(yè)管理網(wǎng)絡脆弱性

企業(yè)層發(fā)展的大勢所趨是連入互聯(lián)網(wǎng)，從而增加更多的功能，對內(nèi)部數(shù)據(jù)進行云存儲、云分析、云控制等。但是互聯(lián)網(wǎng)帶來的沖擊也不容小覷，如果系統(tǒng)內(nèi)的防火墻沒有正確配置、缺乏安全邊界管理等防護失誤，一些普通計算機中存在的潛在病毒、惡意程序都會沖擊ICS的安全性。

4開發(fā)場景中的風險

工程師在對工業(yè)控制系統(tǒng)進行開發(fā)時，需要根據(jù)不同的工控設備采用不同的方式進行開發(fā)，接下來將討論兩種應用廣泛最為常見的工控設備PLC和SCADA。PLC設備一般會布置在工業(yè)現(xiàn)場，所以當PLC工程師想要進行程序更新、設備檢修維護時必須前往現(xiàn)場，工作站由便于攜帶的筆記本電腦擔任，通過串口或者連入以太網(wǎng)的方式和PLC建立連接，工程師操作工作站預先安裝的組態(tài)軟件便可以對PLC進行開發(fā)調(diào)試。上位機中搭載著通用操作系統(tǒng)，負責SCADA系統(tǒng)開發(fā)的工程師想要對HMI等大多數(shù)SCADA系統(tǒng)的組件進行開發(fā)調(diào)試，可以對上位機進行遠程控制，不用親自到場便可以完成系統(tǒng)的升級和調(diào)整。結合本人的實際工程項目經(jīng)驗和調(diào)研，由于一些人為因素和現(xiàn)實情況，發(fā)現(xiàn)在開發(fā)場景中存在著幾點不規(guī)范的地方，可能會成為工控信息安全的定時炸彈。

4.1忽視密碼設置

生產(chǎn)管理過程中對操作人員的管理級別作出界定，高級的操作人員需要具有對整個工藝流程的熟稔于心，在各種情況下都具有迅速準確的判斷能力，而對于授權的方式需要存在密碼控制功能。但現(xiàn)實情況下，操作人員會擔心忘記密碼需要進行重置，只有設備廠商的工程師才可以進行密碼重置，過程會比較煩瑣，為了避免浪費人力財力而選擇不對設備設置管理密碼。

4.2上位機系統(tǒng)固件不升級

生產(chǎn)廠商只追求ICS的可用性，不會注重考慮其他因素，由于上位機系統(tǒng)和固件需要定期升級，可是升級后的系統(tǒng)會與組態(tài)軟件不兼容，這樣的沖突自然會影響到生產(chǎn)過程的長期穩(wěn)定，所以在配置上位機后有很長時間不會對操作系統(tǒng)進行升級，系統(tǒng)漏洞也就會長期存在。

4.3使用盜版軟件

在工控設備選型時除了考慮是否能滿足控制要求，還需要考慮控制成本，不同品牌的產(chǎn)品除了功能存在差異，還需要配置對應獨有的組態(tài)開發(fā)軟件，這些軟件都是生產(chǎn)商自主研發(fā)的，所以在使用時還需要額外支付一筆費用，大部分廠商為了降低控制成本而使用非正規(guī)的破解版，這些破解版軟件可以免費在網(wǎng)上下載，完全存在捆綁病毒和惡意程序的風險，從而進入到工控系統(tǒng)內(nèi)部。

5結論

隨著兩化融合的推進，ICS不僅打破了原有封閉的網(wǎng)絡，還兼并支持通用的TCP/IP協(xié)議及辦公操作系統(tǒng)，對計算機網(wǎng)絡及信息系統(tǒng)的依賴程度與日俱增的同時，接踵而至的是多樣頻發(fā)的信息安全問題。文章開篇梳理近年來的國內(nèi)外ICS安全事件，揭示ICS面對的安全態(tài)勢不容樂觀，接下來以錦州加納芬高塔復合肥工廠為實例對ICS的結構進行深度剖析，對應網(wǎng)絡結構詳細闡釋每部分的器件組成和實現(xiàn)功能，逐層著重分析其脆弱性；并結合實際工程項目經(jīng)驗總結開發(fā)場景中的風險。旨在揭露工業(yè)控制系統(tǒng)高速信息化發(fā)展下忽視的短板，為防御策略的研究提供方向。

【參考文獻】

[1] LIANG G Q，WELLER S R，ZHAO J H，et al. The 2015 Ukraine Blackout：Implications for False Data Injection Attacks[J]. IEEE Transactions on Power Systems，2017，32（4）：3317-3318.

[2]徐海洲.基于軟件定義網(wǎng)絡的工業(yè)控制系統(tǒng)信息安全防護設計及實現(xiàn)[D].武漢：華中科技大學，2019.

[3] MALATJI M，MARNEWICK A L，SOLMS S V. Cybersecurity capabilities for critical infrastructure resilience[J].Information and Computer Security，2022，30（2）：255-279.

[4]賴英旭，劉靜，劉增輝，等.工業(yè)控制系統(tǒng)脆弱性分析及漏洞挖掘技術研究綜述[J].北京工業(yè)大學學報，2020，46（6）：571-582.

【作者簡介】

李鵬程，男，1996年出生，碩士，研究方向為溫度計量。

王浩，男，1983年出生，高級工程師，碩士，研究方向為熱學計量。

（編輯：謝飛燕）