宫亚峰 中国互联网协会网络与信息安全工作委员会

张格 程宇 工业和信息化部电子科学技术情报研究所

摘要：工业控制系统是运用信息技术、电子技术、通信技术和计算机技术等，实现工业生产管理过程自动化的技术应用系统。随着工业自动控制和信息化技术的发展，工业控制系统在冶金、电力、石化、铁路、航空、航天和国防工业等各个领域得到了广泛的应用。由于工业自动控制系统重点解决的是工业生产过程的自动化、高效率、低能耗等问题，较少地关注工业自动控制系统中的信息对生产安全和工业控制系统本身安全的影响。近年来，国内外不断暴露出工业控制系统信息安全的事故、隐患等问题，其对工业生产的影响和对国家重要工业基础设施的严重破坏，直接威胁到国家和企业的安全。因此，广泛地从理论和应用方面深入开展工业控制系统网络安全问题研究具有十分重要和深远的国家战略意义。

为此，在分析国、内外工业控制系统网络安全状况基础上，进一步研究梳理工业控制系统脆弱点、安全隐患和可能存在的安全风险，简要介绍刚刚发布的国家标准GB/T32919-2016《信息安全技术工业控制系统安全控制应用指南》的主要内容，希望从物理和环境安全、网络安全（通信协议防护）、身份鉴别、访问控制、安全审计（监控环节）、系统与信息完整性、应急计划等方面给工业控制系统建设、管理和运维人员提供一个可参考、可操作的安全基线，以及基本的安全控制策略和应对措施。

关键词：工业控制系统；网络安全；安全控制；标准规范

宫亚峰 

中国互联网协会网络与信息安全工作委员会委员

（1956-）男，吉林人，高级工程师，中国互联网协会网络与信息安全工作委员会委员，中国信息安全服务认证专业技术委员会委员。长期从事国家网络安全战略和信息技术安全研究，参与了大量国防科研和大型计算机网络、信息安全系统的规划、建设、科研和运行管理工作。组织承担了多项重大科研和工程建设项目，负责了多项国家标准编制研究、国家863课题研究和国家信息安全专项工程建设。曾获科技进步成果奖十余项。

1　引言

工业控制系统是运用信息技术、电子技术、通信技术和计算机技术等，实现工业生产管理过程自动化的技术应用系统。随着人类社会生产活动的进步，工业自动控制和信息化技术的发展，工业控制系统在冶金、电力、石化、铁路、航空、航天和国防工业等各个领域得到了广泛的应用。在工业生产过程自动化控制系统中大量应用了数据采集与监视控制系统（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统（ICS）。

工业自动控制系统在工业生产中的应用，首先解决的是工业生产过程的自动化、精准度和高效率、低能耗，以及减轻劳动强度和降低人工成本等问题，主要追求产品的高品质、高质量和高速度等目标，较少关注工业自动控制系统中的信息对生产安全和工业控制系统本身的影响，对工业控制系统设计有关信息安全防护体系的关注更是少之又少。近年来，国内外不断暴露出工业控制系统信息安全的事故、隐患等问题，其对工业生产的影响和对工业控制系统等国家重要工业基础设施的严重破坏，直接威胁到国家和企业的安全。因此，广泛深入研究工业控制系统的信息安全问题具有十分重要和深远的国家战略意义，维护国家工业控制系统网络安全是实现强国梦的重要保证。

2　工业控制系统网络安全状况

2.1　工业控制系统发展

工业控制系统起源于西方发达国家的工业革命和信息化时代，并在这些国家的工业领域得到了普遍应用。目前，随着自动控制理论及技术的发展，先进控制、模糊控制、人工神经网络、人工智能技术和专家系统已开始应用于新一代工业控制系统产品中，除个别行业、个别工业控制技术外，整体来看，西方发达国家在工控系统领域始终处于工业生产、控制的统治和领先地位。

在世界范围特别是发达国家，工业控制系统应用十分广泛，目前在运行的工业控制系统已达到数千万套，涉及电力的生产、传输和使用，水处理与使用，石油、天然气的精炼与传输，化学制品的生产与处理，交通运输等各个领域。

我国工业控制系统研究起步较晚，但发展迅速。“九五”期间，我国工业控制系统建设已初具规模。“十五”期间，工业控制系统建设进入了大发展时期。石化行业，从大型油气田到数万公里的原油、天然气和成品油输送管线，大规模采用工业控制系统；电力行业，工业控制系统进入发电、调度、变电、配电和用电等各个环节；铁路行业，全国电气化铁路已部署工业控制系统，基本实现了牵引电力的自动化调度，北京、上海、广州和深圳等大城市的地铁或城铁均采用了工业控制系统；水利行业，国家防汛指挥系统更新改造大量水情分中心，采用工业控制系统进行区域和全国联网；公用事业行业，大中城市的燃气输配，供水、供热、排水、污水处理等均普及了工业控制系统。随着基础产业领域内网络化、系统化、自动化、集成化程度的不断提高，工业控制系统在国民经济和社会生活中的基础性、全局性作用日益增强，工业控制系统在我国的应用范围和部署规模快速追赶发达国家。

随着信息化技术的进步，以自动化为代表的自动控制技术在工业生产领域得到了广泛的应用。在现代工业生产过程中大量使用的工业控制系统包括数据采集与监视控制系统（SCADA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）、远程终端（RTU）、智能电子设备（IED）等，其依托专用或公共通信网络，以采集生产过程数据为依据，对生产过程进行自动控制。工业控制系统已经成为普遍应用于现代电力、石油、天然气、铁路、供水、化工等大规模基础产业生产系统的典型自动控制生产系统。

2.2　工业控制系统的网络安全问题

目前在用的大多数工业控制系统的设计迎合了工业生产的可行性、可靠性、安全性和灵活性的要求。一般情况下，这些系统都与公共网络物理分离，它们建立的基础是专用硬件、软件和具备基本纠错功能的通信协议，而这些通信协议则缺少互联网络环境下系统所需的网络安全保障。尽管对数据运行的可靠性、可维护性及其适用性有所考虑，但还未考虑到该系统内部对于网络安全措施的需要。

一段时间以来，工业控制系统的安全性似乎就仅指安全的物理进入网络和系统控制台。从20世纪80年代和90年代，工业控制系统伴随着信息处理器、个人电脑和网络技术演变而发展。尤其是20世纪90年代末，互联网技术开始进入到了工业控制系统的设计中。这些变化使工业控制系统暴露于大量的攻击威胁中，大大增加了工业控制系统被损害的可能性。而目前工业控制系统安全防护水平还难以有效应对日益增长的各类安全威胁。

从当前网络黑客所掌握的攻击技术来看，存有恶意企图的攻击者可能会利用一些工业控制系统的安全漏洞获取诸如石油、天然气管道以及其他大型设备的控制权并进行致瘫攻击，必将直接使国家基础设施和重要系统的生产和设备蒙受重大损失。

2.3　发达国家工业控制系统网络安全状况

由于工业控制系统安全关乎国民经济和社会生活，有关方面并不愿意详细披露相关安全事件。随着伊朗震网事件后，国外工业控制系统安全事件才逐渐被各方关注，一些案例陆续见诸于公开报道，但实际发生的事件远不止被报道公布的数量，业界估计每年未报道的攻击事件约达千例数量级。近年来，对工业控制系统的攻击呈快速增长趋势，据有关资料反映，2000年以来对工业控制系统的有效攻击数量增长了近10倍，2002年上半年就有70%的能源与电力公司经历了网络攻击。2004年，美国国土安全部发现了1700余个SCADA设施存有可被外部攻击的漏洞，这些设施包括化工厂、购物中心、水坝和桥梁等。美国能源部国家实验室举行的针对电网SCADA系统的演习，多次成功地控制了多个地区的电力公司。人们对由工业控制系统支撑的基础设施可能遭遇的攻击表示担忧，并将这种前景描述为：将来某一天可能会发生“数字滑铁卢”或“电子珍珠港”事件。

从以上安全事件可见发达国家工业控制系统运营使用早、安全意识强，即便如此，这些发达国家的工业控制系统也存在诸多安全问题，在工业控制系统平台、网络、运行、管理等方面均存在脆弱性。

2.4　我国工业控制系统网络安全状况

我国工业控制系统发展历史不长，但发展速度快，产业规模大。不容否认我国工控系统安全防护体系建设明显滞后于系统建设，在防护意识、防护策略、防护机制、法规标准、检查检测、应急处置等方面都存在不少问题，很多领域的工控系统网络安全保障还基本处于空白状态，很难抵御类似乌克兰电网遭受的攻击。面对现实或潜在的威胁，我国工业控制系统网络安全存在较大的安全风险。

（1）关键资产底数不清。我国工业控制系统应用和部署在多个条块分割的垂直体系中，哪些资产和多少资产被列为国家重点防护对象，底数不清。

（2）漏洞与威胁情况不明。目前尚未建立工业控制系统漏洞挖掘、脆弱性分析和威胁监测等工作体系，对工业控制系统的安全性缺乏全面的认识和了解。

（3）关键防护技术开发滞后。大面积采用无线电方式进行组网，但又缺乏相应密码技术的保护，发达国家大力开发的工业控制密码在我国还是空白。

（4）安全防护各自为战。不同领域的工业控制系统关系紧密，但安全防护并没有作为相对独立的领域进行建设。

（5）社会力量后援不足。工业控制系统安全防护问题没有像互联网安全那样受到全社会关注，缺乏科研院所、大专院校乃至公众的参与和后援。

（6）缺乏网络空间对抗准备。工业控制系统的部署方式缺乏防护意识，要害部位没有针对网络空间作战进行设防，武装力量在关键基础设施防护工作中的职责不够明确。

3　工业控制系统网络安全分析

3.1　工业控制系统面临的威胁

工业控制系统是现代电力、石油、天然气、铁路、供水、化工、国防军工等关系国家命脉的基础产业的神经中枢。随着工业控制系统网络化、系统化、自动化、集成化的不断提高，其面临的安全威胁日益增长。从发生的典型事件看，工业控制系统面临着诸多的安全威胁，其中包括敌对势力、恐怖组织、工业间谍、心怀不满的员工、恶意入侵者，以及人为错误、意外事故、设备故障和自然灾害等。与传统的IT系统一样，系统面临着黑客、恶意代码、外力破坏、自然灾害、软硬件故障、电力故障等传统威胁。系统一旦发生安全事件，损害程度将非常严重。

3.2　工业控制系统网络安全隐患

工业控制系统体系结构不同于互联网，一方面高度集中的纵向多层机构使得脆弱性高度集中，另一方面网络安全事件能直接导致物理上的有形损失或伤害。因此，工业控制系统安全又具有特殊性。在发达国家或地区，工业控制系统安全是网络安全保障中相对独立的领域。工业控制系统网络安全隐患常见于：明文通信，特权用户管理不严，弱鉴权、甚至无鉴权，弱口令、默认口令、全网统一口令、从未修改口令，编码漏洞（缓冲器溢出等），无用服务（系统中开放过多不需要的服务和端口），网络地址欺骗或旁路，脚本和接口编程，大量的通讯基于一两个端口，基于Windows平台的控制中心存在大量已知和未知漏洞，固化的RTU设备系统难于升级，关键数据基于公网传输，未及时补丁的组件，WEB服务器安全，系统分散边界保护不足，应用、服务的敏感信息泄露，管理和调度网络间界限不明晰，进口设备系统面临废型停产，大量应用系统开发于20年前，设计上未考虑安全问题等。

3.3　工业控制系统网络安全脆弱性

随着计算机和网络技术的迅猛发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统设备、产品越来越多地采用通用协议、通用硬件和通用软件，通过各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制设备、产品的信息系统扩散。另一方面，传统工业控制系统采用专用的硬件、软件和通信协议，设计上基本没有考虑互联互通所必须考虑的信息安全问题。而业务和技术的发展，使工业控制网络与企业管理网络间互联互通的数据交换、信息共享越来越普遍。

因此，工业控制系统受到的网络安全威胁越来越严重。工业控制系统网络安全风险来源主要包括：网络、设备、产品的漏洞和脆弱性；采用无任何防护的专用硬件、软件和通信协议；信息安全重视不够、连接无序、数据保护和应急管理不足；设计上考虑工控系统的封闭性，主要以传统生产安全和可靠性为主；默认配置、连接、组网、采购升级无序；主要基于工业应用的场景和执行效率等。其脆弱性表现为：

（1）策略与规程脆弱性

策略与规程脆弱性：指安全策略或安全规程不健全。例如：缺乏安全策略，缺乏正规安全培训，系统设计阶段没有从体系结构上考虑安全，缺乏有效的管理机制去落实安全制度，对安全状况没有进行审计，没有容灾和应急预案以及配置管理缺失等。

（2）平台脆弱性

平台脆弱性：指工控系统平台的漏洞、配置不当和维护缺失所导致的脆弱性。这类脆弱性进一步分为配置脆弱性、硬件脆弱性、软件脆弱性和恶意软件防护脆弱性等。

（3）网络脆弱性

网络脆弱性：指工控系统网络的漏洞、配置不当以及网络管理水平低下所导致的脆弱性。这类脆弱性进一步分为配置脆弱性、硬件脆弱性、边界脆弱性、监视与日志脆弱性、通信脆弱性、无线连接脆弱性等。

（4）安全管理、标准和人才的脆弱性

安全管理、标准和人才的脆弱性：缺乏完整有效安全管理，过多的强调网络边界的防护、内部环境的封闭，让内部安全管理变得混乱。另外，既了解工控系统原理和业务操作又懂信息安全的人才少之又少，为工控系统安全管理的脆弱埋下了伏笔。内网审计、监控、准入、认证、终端管理等缺失也是造成工控系统安全威胁的重要原因。如：使用U盘、光盘导致的病毒传播、笔记本电脑的随意接入与拨号、ICS缺少监控和审计等问题。

3.4　工业控制系统与IT系统信息安全脆弱性对比

工业控制系统与互联网为基础的信息技术系统有许多不同。传统工业控制系统出现于台式计算机和国际互联网之前，使用专用的硬件、软件和通信协议，物理上与外部网络世界隔离，设计上以物理安全为主，基本上没有考虑互联互通所必需考虑的通信安全等问题。上个世纪90年代末，互联网技术进入工控领域，传统信息系统与工控系统集成，在赋予工控系统许多传统信息系统能力的同时打开了工控系统封闭的疆界，使得工控系统安全发生了重大变化。

然而，传统信息系统安全措施或手段却很难完全照搬过来解决工控系统的安全问题。在安全问题上，工控系统与IT系统在需求上存在差异。工控系统高度集中的纵向多层结构使得脆弱性高度集中，而且网络安全事件能直接导致物理上的有形损失或伤害。从安全角度出发，二者不同之处如下：

（1）性能方面：工控系统对信息传递实时性要求高而带宽要求低，IT系统则相反。

（2）可用性方面：IT系统在遇到程序故障后可以重启，而对于处于实时运行的工控系统，中断运行是不能接受的，一旦宕机将会影响业务的执行，甚至导致大规模的灾难性事件。因此，在工控系统中进行软件更新或者补丁安装要十分谨慎，必须提前进行严格的测试，保证不会影响系统的正常运行。

（3）风险管理方面：IT系统优先考虑数据的保密性和完整性，而工控系统则是人身安全和系统容错。

（4）架构的安全关注点：IT系统注重保护设备资产和存储/传输的数据安全；工控系统关注远端现场设备。关注点不同，安全等级的划分和采取的措施强度也不相同。

（5）对响应时间要求严格：工控系统对通信的一个主要要求是实时，因此采用的访问控制方法不能过于复杂（而IT系统从安全角度考虑，往往采用公钥认证或高强度口令实现访问控制），以免影响紧急事件的响应速度。比如在发生紧急状况时，由于管理员一时紧张而忘记长而复杂的口令，不能及时对事件进行处理，可能会导致严重的灾害。

（6）设备生命周期：IT系统的设备生命周期为3~5年；工控系统的设备生命周期为15~20年。IT系统设备更新快，便于新技术的普及与使用，而工控系统在这方面就受到了限制。

（7）处理能力有限：通常工控系统和它的实时操作系统都是资源受限系统，有限的处理能力导致在工控系统设备上使用复杂的IT系统加密、Hash计算等安全手段有难度。

（8）通信协议专有：工控系统采用私有协议进行通信，这些协议在设计之初并没有考虑安全因素，加之IT系统所采用的通信安全技术无法应用在工控通信协议中，导致控制报文很容易被窃听或攻击。

进一步分析，工控系统与IT系统有质的差别：

一是网络边缘不同。工控系统在地域上分布广阔，其边缘部分是智能程度不高的含传感和控制功能的远动装置，而不是IT系统边缘的通用计算机，两者之间在物理安全需求上差异很大。

二是体系结构不同。工控系统结构纵向高度集成，主站节点和终端节点之间是主从关系，IT系统则是扁平的对等关系，两者之间在脆弱节点分布上差异很大。

三是传输内容不同。IT系统是公共和个人的信息，安全问题大多集中在语义层面；工控系统则是工业设备的“四遥信息”，安全问题大多集中于物理层面，安全防护要延伸到物理层并防止复杂的控制关系所产生的联锁效应。

3.5　IT系统网络安全威胁与防护措施对工业控制系统的影响

工业控制系统运行引发出许多与大多数IT系统不同的安全挑战。例如大多数安全措施是为对付互联网上黑客制定的。互联网环境与工业控制系统运行环境差异较大。所以在安全行业中对安全需求以及安全措施可能影响工业控制系统运行的特殊要求。

（1）拒绝服务的影响：IT系统所制定的安全服务和技术主要是为了并不具有严格性能和可靠性要求的应用和行业，而这些恰恰是工业控制系统运行所需要的。例如：与授权客户不能访问其银行帐户相比，使授权调度员无法访问工业控制系统远端站场控制有可能造成更为严重的后果。所以拒绝服务的威胁远比许多典型互联网交易更为巨大。

（2）加密传输：工业控制系统在应用中，许多通信信道是窄带的，而且端设备经常受到内存和计算机能力的限制，从而由于某些安全措施所需的开销会受到限制，如加密和密钥交换。

（3）密钥管理：大多数工业控制系统和设备是位于地域广大而分散、无人的远方场所，且根本没有接入到互联网。这使得密钥管理、证书撤消和其它一些安全措施难于实现。

（4）公网联接：许多系统都由公共线路通信通道连接（条件所限无专网），由于协议不兼容，所以工业通用的网络安全措施（协议）不能被接受。

（5）无线通信的影响：虽然无线通信得到广泛地应用，但工业控制系统实施这些无线技术的场所和所实现的功能，有较多限制；部分是因为远端站场恶劣的电磁环境对可用性的潜在影响（如变电站的高电噪声环境）；部分是因为一些应用要求非常快速且极其可靠的响应（吞吐量），即使许多无线系统使用了安全措施，然而这些措施可能增加开销（尽管开销是类似于有线介质）。

4　《工业控制系统安全控制应用指南》简介

国家标准GB/T32919-2016《信息安全技术工业控制系统安全控制应用指南》是我国工业控制系统网络安全标准体系中的一项重要标准。

该标准是在深入研究国外工业控制系统相关标准的基础上，充分调研国内工业控制系统应用的安全状况，认真分析总结有关行业工业控制系统网络安全应用管理经验，广泛听取专家意见基础上完成的。它结合我国工业控制系统应用和网络安全实际情况，遵循国家对工业控制系统网络安全管理的相关政策要求，吸收国外的一些先进管理思想和技术方法，规范了工业控制系统网络安全控制应用前提、安全控制的选择与规约、安全控制的应用步骤、安全控制的应用范围和安全控制的监控等内容。

此标准针对各行业使用的工业控制系统给出的安全控制应用基本方法，可以指导组织选择、裁剪、补偿和补充工业控制系统安全控制，获取适合组织需要的、应允的安全控制基线，以满足组织对工业控制系统安全需求，帮助组织实现对工业控制系统进行有效的风险控制管理。

工业控制系统的安全控制措施：

（1）物理和环境安全；

（2）网络安全（通信协议防护）；

（3）身份鉴别；

（4）访问控制；

（5）安全审计（监控环节）；

（6）系统与信息完整性；

（7）应急计划；

（8）系统和通讯保护；

（9）人员安全；

（10）配置管理；

（11）维护；

（12）学习与培训；

（13）事件响应；

（14）风险评估；

（15）规划；

（16）系统和服务获取；

（17）安全评估与授权。

具体内容请详见GB/T32919-2016《信息安全技术工业控制系统安全控制应用指南》。

参考文献：

[1]GB/T18336.1-2001,信息技术安全技术信息技术安全性评估准则[S].

[2]GB/T22080-2008,信息技术安全技术信息安全管理体系要求[S].

[3]NISTSP800-53,RecommendedSecurityControlsforFederalInformationSystemsandOrganizations[S].

[4]NISTSP800-82,GuidetoIndustrialControlSystems(ICS)Security[S].

[5]IEC62443,工业过程测量、控制和自动化网络与系统信息安全[S].

[6]美国国土安全部.控制系统安全程序－国家网络安全部分[R].2011,4.

[7]2014中国工业控制系统信息安全蓝皮书[Z].

[8]2012世界网络与信息安全发展年度报告[R].北京:工业和信息化部电子科学技术情报所,2012：121-151.

[9]2013世界网络与信息安全发展年度报告[R].北京:工业和信息化部电子科学技术情报所，2013：119-135.

[10]李颖.中国IT产业发展报告（2014-2015）[R].北京:社会科学文献出版社,2015：87-95.

[11]高洋.工业控制系统信息安全威胁分类[J].北京:中国信息安全,2016,（4）：66-68.

[12]范科峰.工业控制系统信息安全管理标准研究[J].北京:中国信息安全,2016,（4）：76-79.

[13]邸丽清.工业控制系统信息安全与功能安全结合之探讨[J].北京：中国信息安全,2016,（4）：62-65.

[14]尹丽波.我国亟需建立工控安全保障体系[J].北京:中国信息安全,2016,（4）:54-56.

摘自《工业控制系统信息安全》专刊第三辑