1　引言

　　工业控制系统（ICS）是包括监控和数据采集系统（SCADA）、分布控制系统（DCS）等多种类型控制系统的总称[1]。随着计算机网络技术的发展，尤其是工业化和信息化的深度融合以及物联网的快速推进，现代工业控制系统已经成为电力、石油化工、核工业、航天、铁路、水处理等国家关键基础设施领域的核心控制系统、中枢神经。与此同时，随着企业管理层对生产过程数据的日益关注，工业控制系统广泛采用通用软硬件和网络设施，以及与企业管理信息系统的集成，传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁已经逐步向工业控制系统扩散，工业控制系统固有漏洞和攻击面日益增加，另外，工业控制系统漏洞发现、攻击技术和攻击人员能力正不断增强，工业控制系统信息安全形势越发严峻。本文在分析工业控制系统层次结构及安全因素的基础上，结合典型工业控制系统安全事件，对该领域的现状及未来发展趋势做出了详细阐述和分析。

　　2　工业控制系统层次结构

　　目前，典型的工业控制系统层次结构可分为三层：企业管理层、数据信息层和现场设备层，如图1所示。企业管理层主要是办公自动化系统，一般使用通用以太网，可以从数据信息层提取有关生产数据用于制定综合管理决策。数据信息层主要是从现场层获取数据，完成各种控制、运行参数的监测、报警和趋势分析等功能。现场设备层负责通过组态设汁，完成工业现场的数据采集、A/D转换、数字滤波、温度压力补偿、PID控制等各种功能[2]。

　　图1 工业控制系统层次结构图

　　现代工业控制系统网络中大量采用通用TCP/IP技术，ICS网络和企业管理网的越来越紧密。另一方面，传统工业控制系统采用专用的硬件、软件和通信协议，设计上基本没有考虑互联互通所必须考虑的通信安全问题。从工业控制系统的层次结构看，公用网络连接处均是安全威胁的切入点，传统工业控制系统普遍缺乏有效的工业安全防御及数据通信保密措施。特别是随着信息化的推动和工业化进程的加速，越来越多的计算机和网络技术应用于工业控制系统，在为工业生产带来极大推动作用的同时也带来了诸如木马、病毒、网络攻击等安全问题。企业管理网与工业控制网的防护功能都很弱或者甚至几乎没有隔离功能，因此在工控系统开放的同时，也减弱了控制系统与外界的隔离，工控系统的安全隐患问题日益严峻。

　　3　工业控制系统信息安全现状

　　3.1　现状分析

　　根据工业安全事件信息库RISI（Repository of Industrial Security Incidents）的统计，截止2011年，全球已发生200余起针对工业控制系统的重大攻击事件，尤其在2000年之后，随着通用协议、通用硬件、通用软件在工业控制系统中的应用，对过程控制和数据采集监控系统的攻击增长了近10倍[3]。

　　针对工业控制系统的攻击主要威胁其物理安全、功能安全和系统信息安全，以达到直接破坏控制器、通信设备，篡改工业参数指令或入侵系统破坏生产设备和生产工艺、获取商业信息等目的。

　　对于工业控制系统破坏主要来自于对工控系统的非法入侵，目前此类事件已频繁发生在电力、水利、交通、核能、制造业等领域，给相关企业造成重大的经济损失，甚至威胁国家的战略安全。以下是各行业典型的工业控制系统（ICS）遭入侵事件。

　　2000年，黑客在加斯普罗姆（Gazprom）公司（俄罗斯国营天然气工业股份公司）内部人员的帮助下突破了该公司的安全防护网络，通过木马程序修改了底层控制指令，致使该公司的天然气流量输出一度控制在外部用户手中，对企业和国家造成了巨大的经济损失。

　　2000年3月，澳大利亚昆士兰新建的Maroochy污水处理厂出现故障，无线连接信号丢失，污水泵工作异常，控制系统被一位前工程师通过一台手提电脑和一个无线发射器侵入，控制了150个污水泵站，前后三个多月，总计有100万公升的污水未经处理直接经雨水渠排入自然水系，导致当地环境受到严重破坏。

　　2003年，美国俄亥俄州的戴维斯-贝斯（Davis Besse）核电站进行维修时，由于施工商在进行常规维护时，自行搭接对外连接线路，以方便工程师在厂外进行维护工作，结果当私人电脑接入核电站网络时，将电脑上携带的SQL Server蠕虫病毒传入核电站网络，致使核电站的控制网络全面瘫痪，系统停机将近5小时。

　　2005年，13家美国汽车厂（尤其是佳士拿汽车工厂）由于被蠕虫感染而被迫关闭，50000名生产工人被迫停止工作，直接经济损失超过140万美元[3]。

　　2006年8月，美国Browns Ferry核电站，因其控制网络上的通信信息过载，导致控制水循环系统的驱动器失效，使反应堆处于“高功率，低流量”的危险状态，核电站工作人员不得不全部撤离，直接经济损失达数百万美元。

　　2007年，攻击者入侵加拿大的一个水利SCADA控制系统，通过安装恶意软件破坏了用于控制萨克拉门托河河水调度的控制计算机系统。

　　2008年，攻击者入侵波兰罗兹（LodZ）市的城市铁路系统，用一个电视遥控器改变了轨道扳道器的运行，导致四节车厢脱轨。

　　2010年6月，德国安全专家发现可攻击工业控制系统的Suxnet病毒，截止9月底，该病毒感染了全球超过45000个网络，其中伊朗zui为严重，直接造成其核电站推迟发电。

　　我国同样遭受着工业控制系统信息安全漏洞的困扰，比如2010年齐鲁石化、2011年大庆石化炼油厂，某装置控制系统分别感染Conficker病毒，都造成控制系统服务器与控制器通讯不同程度的中断[5]。

　　通过相关工控事件案例分析可以发现，导致工业控制系统安全问题日益加剧的原因有以下几点。

　　（1）工业控制系统自身有漏洞、防护措施薄弱

　　工业控制系统的设计开发并未将系统防护、数据保密等安全指标纳入其中，另外，工业控制系统使用的现场控制设备中大量使用了标准的信息网络技术或产品。这些技术和产品并没有针对工控系统的应用环境进行优化和专门设计，导致为工控系统引入了大量的漏洞。经统计，相关厂商设备漏洞中，罗克韦尔自动化公司相关设备高危漏洞4个，西门子公司相关设备高危漏洞7个，横河公司相关设备高危漏洞6个。Windows XP操作系统截至SP3补丁更新时高危漏洞239个，在2014年4月8日停止服务支持后，发现的高危漏洞为119个，共计358个[5]。

　　很多企业中，由于工业控制系统类型多样化，安全管理意识和职责不明确，导致网络间的数据传输和授权管理未实施明确的安全策略。另一方面企业管理层连接互联网，从而导致互联网用户可以利用企业管理网络系统的漏洞，对工业控制系统运行带来造成重大安全隐患。经统计，工控系统遭入侵的方式多样，其入侵途径以透过企业广域网及商用网络方式为主，除此之外还包括通过工控系统与因特网的直接连接等方式。

　　（2）终端安全管理问题突出

　　工业控制终端具有远程维护或诊断功能，但不具有严格的安全措施，可能导致系统的非授权访问。同时移动终端自身的安全问题（如病毒、木马等恶意程序），也可能感染整个系统。

　　（3）入侵、攻击手段的隐蔽

　　大多对工业控制系统的入侵和攻击手段极为隐蔽、木马和蠕虫病毒的潜伏周期较长，待发现时已对企业国家造成严重损失。据金山网络安全事业部的统计报告显示，一般的防御机制需要2个月的时间才能确认针对工业控制系统的攻击行为，对于更为隐蔽的Stunet及Duqu病毒，则需要长达半年之久。

　　3.2　应对情况

　　自Stuxnet病毒爆发以来，工业控制系统的安全就成为各国所关注的焦点。工控系统信息安全成为新的关注点主要有两个方面的原因：一方面，过去的工业控制系统是使用专业的系统、专业的队伍、专业的设备，只有小范围人群了解和掌握。随着计算机技术的发展，很多专业的系统实现了通用化，现在的工控系统开始在通用技术的基础上做专业的系统设计，如操作系统、数据库软件、通讯协议等计算机通用产品和协议，这样一来，存在于计算机信息系统中的漏洞被带到了工控系统里。另一方面，长期以来工控系统并没有因为信息安全问题发生大的事故，人们普遍存在“病毒很少能对工业控制系统造成危害”的意识。但是，伊朗的“震网”事件，给了全世界一个警示，计算机病毒不仅可以感染到工控系统，而且可以对控制对象进行物质破坏。

　　针对越发严重的工业系统入侵等安全事件，世界各国都在积极研究相应的应对措施。欧美先后制定了IEC62443《工业过程测量、控制和自动化网络与系统信息安全》、SP800-82《工业控制系统（ICS）安全指南》等标准。

　　美国成立了工业控制系统网络应急小组（Industrial Control Systems Cyber Emergency Response Team，ICS-CERT），专注于协助美国计算机应急相应小组US-CERT处理工业控制系统安全方面的事宜，其职能包括：对已发生的工控安全事件进行处理分析，以便将来避免发生类似的安全事件；引导系统脆弱性分析和恶意软件分析；提供对事件相应和取证分析的现场支持等。同时美国国土安全局建立了工业控制系统联合工作小组（Industrial Control Systems Joint Working Group，ICSJWG），主要是促进国家工业控制系统的信息共享，降低系统风险。

　　目前，我国工控系统的安全形势非常严峻。调查发现，约80%的企业从来不对工控系统进行升级和漏洞修补，有52%的工控系统与企业的管理系统、内网甚至互联网连接；此外，一些存在漏洞的国外工控产品依然在国内的某些重要装置上使用。更为严重的问题还在于，我们对于发现风险源头缺乏手段，对控制风险的技术与方法缺乏必要的研究。对此，我国先后发布了《关于加强工业控制系统信息安全管理的通知》（[2011]451号）、《关于大力推进信息化发展和切实保障信息安全的若干意见（国发[2012]23号）》 等文件，促进工业控制系统信息安全体系的建设，但大部分对口标准都在编制过程中。

　　4　工业控制系统信息安全发展趋势

　　工业控制系统漏洞攻击正向着简单控制器受攻击增大、利用网络协议进行攻击、专业攻击人员进行攻击、利用病毒进行攻击、工业控制系统漏洞挖掘与发布同时增长的趋势发展。当前，美国和欧盟都从国家战略的层面在开展各方面的工作，积极研究工业控制系统信息安全的应对策略。我国也在政策层面和研究层面积极开展工作，但我国工业控制系统信息安全工作起步晚，总体上技术研究尚属起步阶段，管理制度不健全，相关标准规范不完善，技术防护措施不到位，安全防护能力和应急处理能力不高，这些问题都威胁着工业生产安全和社会正常运作。因此，整合各方面优势资源，促进工业控制系统信息安全产业的形成，是未来工业控制系统网络信息安全发展的基本趋势。

　　工业控制系统信息安全技术的发展，将随着工业自动化系统的发展而不断演化。目前自动化系统发展的趋势就是数字化、智能化、网络化和人机交互人性化。同时将更多的IT技术应用到传统的逻辑控制和数字控制中。工业控制系统信息安全技术未来也将进一步借助传统IT技术，使其更加智能化、网络化，成为控制系统不可缺少的一部分。与传统IP互联网的信息安全产品研发路线类似，工业控制系统信息安全产品将在信息安全与工业生产控制之间找到契合点，形成工业控制系统特色鲜明的安全输入、安全控制、安全输出类产品体系。值得指出的是，随着工业控制系统信息安全认识和相关技术的不断深化，必将产生一系列与工业控制系统功能安全、现场应用环境紧密，特色鲜明的工业控制系统安全防护工具、设备及系统。

　　5　总结与展望

　　从总体上看，我国工业控制系统信息安全防护体系建设滞后于系统本身的建设，还处于初级阶段，需要根据工业控制系统信息安全保障体系建设需求，基于国家信息安全标准体系框架，建立工业控制系统信息安全标准体系总体框架。自2013年开始，康拓工控先后对城市轨道、铁路以及城市供水等工业控制系统进行了大量的系统安全性分析，逐步梳理现有信息安全标准在上述工业控制系统建设中的应用关系，以实现工业控制系统“可发现、可防范、可替代”的目标，提升工控安全核心竞争力，为我国两化的深度融合、实施制造强国战略提供可靠的信息安全保障。