1概述

　　众所周知，工业控制系统（Industrial and Control System—ICS或简称工控系统）广泛应用于国家关键生产设施和基础设施，它是系统运行的“中枢”。从工控系统自身来看，随着计算机和网络技术的发展，尤其是信息化与工业化深度融合，在工业4.0、智能制造的背景下，工控系统越来越多地采用通用协议、通用硬件和通用软件，通过互联网等公共网络连接的业务系统也越来越普遍，这使得针对工控系统的攻击行为大幅度增长，也使得工控系统的脆弱性正在逐渐显现，面临的信息安全问题日益突出。

　　作为国家重要支柱产业的化工（包括石油、石化、基础化工、煤化工等）行业，由于其行业的高温、高压、易燃、易爆、易腐蚀等特殊性，其工控系统信息安全的重要性更显得尤为突出。

　　2化工行业工控系统信息安全面临的形势

　　2.1化工行业生产制造模型

　　化工行业普遍采用基于ERP、MES和PCS三层架构的管控一体化模型。化工行业智能制造的典型框架如图1所示。

　　化工生产过程控制大多采用DCS/PLC/SIS/SCADA等系统进行控制，生产上更注重安全和平稳运行，安全、稳定、长周期、满负荷、优质绿色生产是行业追求的目标。除了常规控制外，还通过软仪表、先进控制和优化控制等手段，在保证生产平稳的基础上获取更大的经济效益。

　　一般情况下，利用实时数据库通过PCS层的DCS等控制系统采集生产过程的实时数据，作为生产管理或称生产制造执行系统MES的统一数据平台。MES包含生产计划、生产调度、操作管理、质量管理、物料管理、生产统计、设备状态管理、能源管理等功能模块构成。

　　经营管理层ERP系统主要对企业的人、财、资产、供销等资源进行有效、协同、合规的管理，并为企业的经营决策提供支撑。

　　MES在其中起到了承上启下的作用，上连ERP，下连PCS。MES将ERP下发的生产计划分解成作业计划，通过调度管理下达给PCS层的操作人员，控制系统的结果通过实时数据库的数据采集将生产过程反馈到MES，由MES完成相关的数据分类、加工、处理，实现生产过程的物料、质量、成本、能源等的管理，最后将统计结果返回到ERP系统。

　　目前大多应用场合，基本是在边界设置防火墙，即在PCS与MES间设置数据采集工业网关及防火墙，起到一定的边界防护与安全隔离作用。

　　2.2化工行业面临的工控系统信息安全形势

　　近年来，世界范围内工控系统发生的信息安全事件数量呈几何倍数上升态势，其主要威胁来源于个人黑客、民间组织、国家政府及企业员工误操作等。

　　据有关材料报道，卡巴斯基实验室基于OSINT（公开资源情报计划）和公共来源信息（如ICS CERT-美国工控系统网络应急响应小组）研究2015年ICS受威胁状况。调查了170个国家，发现如下主要问题，数据非常触目惊心。

　　（1）在互联网上，可扫描发现188,019台工控系统（ICS）设备主机；

　　（2）可远程访问的ICS主机中，92%包含漏洞。其中，87%包含中等风险漏洞，7%包含高危漏洞；

　　（3）过去五年中，ICS设备中的漏洞数量增长了五倍：从2010年的19个漏洞增长到2015年的189个漏洞。包含漏洞最多的ICS设备为人机界面（HMI）、电子设备和SCADA系统；

　　（4）所有能够外部访问的ICS设备中，有91.6%使用了较弱的互联网连接协议，让攻击者有机可乘，能够实施“中间人”攻击。

　　另外，OSVDB（开源漏洞数据库）及ICS-Cert的资料表明，各行业工控系统的信息安全事件发生频率统计数据表明化工（石化）行业的事件数是最大的，占比为23%，如图3所示。

　　下列事件是国内化工行业工控系统信息安全的典型案例。

　　2011年，大庆石化、齐鲁石化、西南管线广东调控中心及多个场站感染病毒，导致控制器通信中断。

　　2015年6月，国内某石化央企发生“内鬼”事件，系统内部技术人员，通过该企业其华东公司SCADA系统开发了一套病毒程序，病毒爆发致使系统瘫痪，无法运行。

　　2016年1月29日，中石化洛阳分公司发现工控网络E网内存在蠕虫病毒，导致部分DCS数据采集频繁归零。

　　2016年4月13日，国家工信部电子科学技术情报研究所发布第2期工业控制系统信息安全风险提示：工业控制设备默认密码清单被公布，该清单涉及西门子、施耐德电气等国内外48个厂商134个工程设备型号。

　　由以上数据可见，化工行业工控系统信息安全形势非常严峻。随着网络技术、无线技术发展，开放标准普及，管理控制一体化理念深入，特别是在“互联网+”、互联互通、“工业4.0”下的化工智能制造的大环境背景下，工控系统接入范围扩展到企业内网，甚至互联网，再到“互联网+”，面临更大的信息安全威胁。

　　2.3化工行业工控系统信息安全威胁分析

　　我们可以通过以下几个维度分析化工行业工控系统信息安全的威胁。

　　（1）PCS层本身，由封闭走向开放所导致

　　·操作站

　　信息技术的高速发展使DCS、PLC和SCADA等控制系统在过去几十年的发展中呈现出整体开放的趋势。以DCS为例，过去的DCS厂商基本上是以自主开发为主，提供的系统是封闭的系统。当今的DCS厂商为了追求市场的占有率，更强调开放性与集成性，厂商不再把开发组态软件或制造各种硬件单元视为核心技术，而是纷纷把DCS的各个组成部分采用第三方集成方式或OEM方式，几乎清一色采用PC+Windows的技术架构。

　　·先进控制等站点（上位机）

　　为了提高生产的稳定性与效益，对于精细化管理的企业大多采用软仪表、先进控制（APC）、在线优化控制等技术手段，而这些技术的安装、调试一般需要较长的时间，在此期间，工控系统经常需要频繁与外界进行数据交换。

　　·控制网络

　　过去，通信技术相对落后，控制系统的互连是件非常困难的事情，现在，网络技术开放体现在DCS可以从多个层面与第三方系统互联，同时支持多种网络协议。目前在与企业管理网信息平台互联时，大多采用基于TCP（UDP）/IP协议的以太网通信技术，使用OPC等开放接口标准。

　　·无线通信仪表及无线通信设备

　　无线设备地接入，尽管极大地方便了互通互连并提高了投资回报率，但同时也打开了安全隐患之门。

　　·远程维护

　　将工控系统建设与实施、维护，分包给第三方，已成为趋势。另外，“云应用”远程诊断技术支持已逐渐成为关键设备管理的重要手段。

　　·部分工控主设备

　　部分厂商的工控产品存在后门风险，如2011年发现的施耐德电气PLC存在多种不同权限的后门账号。

　　·工控系统的特殊性

　　工控系统具有连续不可间断的高可用性与不可延迟的高实时性要求，使得传统IT的防护方法不适用。开放性为用户带来的好处毋庸置疑，但由此引发的各种安全漏洞与传统的封闭系统相比却大大增加。

　　（2）MES/ERP层面，从无到有，从小到大产生处于生产管理与经营层MES/ERP系统，其应用场合区域更广，人员更多，网络安全更加复杂。在此，集中关注其对工控系统的安全威胁。

　　综上所述，对于一个相对开放的工业控制系统，产生安全漏洞的因素是多方面的，主要的原因有下列几方面。

　　（1）操作系统安全漏洞

　　作为主流操作系统的Windows，其漏洞大部分危害巨大，恶意代码通过这些漏洞，甚至可以获得操作站的完全控制权。因此，操作系统的补丁修补是个关键问题。

　　（2）网络通信协议安全漏洞

　　为了追求实用性和时效性，大多工控系统的网络协议P R O F I N E T 、O P C、DNP 3 、M O D B U S 、PROFIBUS、IEC-104等都存在安全漏洞。特别是化工行业使用频繁的OPC协议，首先它构筑于Windows平台上，Windows与生具有的漏洞与缺陷依然存在的同时，为了实现信息交互的便利性，一般情况下，所有的client端使用相同的用户名与密码读取OPC server端的数据，因此，MES层受到攻击的情况下，如果MES环境设置的不合理，就会导致OPC的参数被修改，威胁到控制系统的安全。同样，MODBUS等协议由于更多地考虑时效性与实用性，在使用过程中，牺牲了很多安全性，成为黑客攻击的主要目标。

　　（3）病毒软件及其病毒库升级、更新漏洞

　　由于杀毒软件可能查杀ICS的部分软件，且其病毒库需要不定期的升级、更新，因此大多上位机/操作站未安装防病毒软件，势必造成病毒感染的风险。

　　（4）安全策略与管理漏洞

　　技术与管理特别是人员信息安全意识缺乏是最大的漏洞。如安全策略与管理流程的梳理、移动设备使用管理、访问控制策略部署等。如上位机/操作站用户名、密码管理与控制，上位机/操作站多余端口的管理，外部技术支持与运维的审计与监管等。

　　（5）硬件产品漏洞

　　工控产品因软、硬件更新、升级限制，漏洞不能得到及时修补。

　　（6）应用软件漏洞

　　工控系统应用软件产生的漏洞是最直接、最致命的。一方面应用软件形式多样，很难形成统一的防护规范以应对安全问题；另一方面最严重的是，当应用软件面向网络应用时，就必须开放其应用端口。

　　2.4化工行业工控系统信息安全防范措施建议

　　综上分析，随着两化融合、智能制造的推进，化工工控系统环境趋于更加复杂，联网需求大幅增加，多种互联接入方式并行存在，物理边界模糊，安全风险指数大为增加，业务识别、防范压力则在不断增大。尽管目前一些主流的工控产品供应商采取了一些措施，如Honeywell在其PKS系统的控制器中集成了防火墙、西门子在网络交换机上嵌入了防火墙、ROCKWELL Automation推出了深度数据包检测（DPI）技术，但这些还远远不够。目前由于没有统一的标准，对于企业而言，应在管理与技术上，特别是人员信息安全意识上建立工控系统信息安全的“纵深防御”体系。建议如下文。

　　2.4.1　建立企业自己的工控系统信息安全实施操作指南

　　根据国家标准与相关规范，针对企业自身结构，制定相关的管理流程与信息安全管理策略，并修订相关的管理制度。指南中应包括的主要要素：工控系统生命周期内的安全问题管理；企业网络结构及其与工控系统的逻辑隔离管理；相关工控设备端口与服务的管理；工控系统权限管理；移动设备（包括U盘）的使用管理；访问策略管理；外部技术支持与运维的审计与跟踪管理等等。重点在网络安全接入控制与资源共享。

　　2.4.2　建立工控系统信息安全的评估制度

　　利用企业的力量或社会的第三方专业机构，对存量的工控系统，进行定期或不定期的信息安全评估，对新项目在设计端就组织好工控系统信息安全的评估与确认。对存在的风险与隐患，能够得到及时发现与整改，消除隐患与漏洞。

　　2.4.3　设置企业信息安全纵深防御体系

　　（1）互联网网络出口：安全防护防火墙、行为管理、防病毒、防入侵；

　　（2）内网安全（MES/ERP层）：企业版的杀毒、EAD终端准入控制系统、DHCP的嗅探功能、广播风暴抑制等；

　　（3）工控系统安全（PCS层）：采取“边界-区域-终端-综合监控管理”策略。

　　边界及现场防护：采用防火墙及网关/网闸以及运维审计和WIFI入侵检测与防护，配置安全隔离防护设备。应该强调，隔离与防护设备应具有动态端口监控与防御的功能。

　　区域保护：将该区域设置重点保护区域，防御来自其他区域的威胁。

　　终端保护：DCS/PLC/SCADA操作站与上位机配备信息安全管理系统及防病毒软件。

　　综合监控管理平台：通过该平台实现动态端口监控、实时报警阻断、白名单规则与漏洞防护策略下发、用户及权限管理、日志管理、变更管理、补丁管理、备份与恢复等功能，如PAS的产品在此方面就非常有其特色。

　　3结语

　　工控信息安全形势非常严峻，已引起了一定的重视，但从笔者的观察发现，还相差甚远，特别是在危险性及影响性较大的化工行业，尽管功能安全方面做得相对较好（国家有标准及相关的整改时间要求是一方面），但是在信息安全方面最简单的工控系统的用户名与密码管理，形同虚设的情况非常多。因此，理念和意识的问题是关键，由于其复杂性远高于传统IT，工控系统信息安全工作任重而道远。