破解“工业控制系统信息安全”迷局

本刊记者/宋慧欣

如果说2010年9月，“震网”病毒攻击伊朗核电站工控系统，给全球工业界控制系统的信息安全问题敲响了警钟，那么2011年11月，在拉斯维加斯举行的黑客大会上，对于如何进攻中国重要基础行业正在使用的工控系统的演示无疑进一步表明了我国工控系统信息安全所面临的紧迫形势。

当前，国内外工业企业都把工业控制系统安全防护建设提上了日程。2011年10月，工信部印发《关于加强工业控制系统信息安全管理的通知》，明确提出：“重点加强核设施、钢铁、有色、化工、石油石化、电力、天然气、先进控制、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关领域的工业控制系统信息安全管理，落实安全管理要求。”问题已摆在面前，如何解决？当然首要问题就是拨开迷雾，探寻问题实质。

本期专题策划，本刊记者特邀来自西门子、施耐德电气、霍尼韦尔、ABB、和利时五家控制系统供应商的信息安全专家共同破解工业控制系统的信息安全迷局。

工业自动化生产领域在享受开放、互联技术带来的技术进步、生产率提高与竞争实力大大增强的利益的同时，也面临着越来越严重的安全威胁。

——西门子

每个用户的应用不尽相同，因此需要分别评估各自的安全风险并找出其系统中的最大隐患，以便基于这些因素来构建信息安全策略。

——David Doggett

传统IT领域的影响范围主要在虚拟的数字空间，需要借助人的作用才会对真实世界造成影响，工业领域是真实世界的重要组成部分，是现代人类文明的基础，工业领域的信息安全问题直接对人类社会造成威胁。

——朱毅明

MES系统对信息安全的防护措施要更加严谨，既要保证各系统之间实时可靠的数据传输，也要限制企业管理系统网络对下层控制网的不良影响。

——钱浩

建立企业安全管理长效机制，充分认识到安全防卫是一个旅程，而不是一个目的地(Security is a journey not a destination)含义。

——黄天煌

破题一：为什么近来工业控制系统信息安全问题频繁发生?

国家互联网应急中心(CNCERT)日前发布《2011年中国互联网网络安全态势报告》，指出： 2011年国家信息安全漏洞共享平台收录了100多个对我国影响广泛的工业控制系统软件安全漏洞，较2010年大幅增长近10倍，对正常生产秩序形成严重威胁。毫无疑问，工业控制系统的信息安全威胁环境正处于急速变化的阶段。正如施耐德电气工业事业部全球网络安全项目总监David Doggett所说：“过去，网络安全仅仅是IT和管理系统的问题，而就新的攻击和威胁来看，物理设备和关键基础设施都可能成为攻击的目标。资产所有人和供应商必须尽快适应这种环境。”

分析其中原因，和利时科技集团技术总监朱毅明认为网络技术的深入应用使得当前工业控制系统信息安全问题日益突出：“目前在役的工业控制系统大多是上个世纪末期开始研制的，由于当时的工业控制系统大多采用专用实时操作系统、Arcnet、FDDI等网络设备和令牌环、令牌总线等特殊的网络协议，整个系统相对封闭，受到入侵的可能性不大，同时设计人员缺乏信息安全的意识，在系统架构方面基本上没有考虑信息安全设计。随着计算机和网络的广泛应用，不少厂家都对原系统进行升级，PC Base系统、COTS软件、TCP/IP和以太网逐渐引入到工业控制系统中，但这些升级大多属于局部修改，未能全面考虑信息安全问题，导致了信息安全风险的逐步扩大。”

西门子（中国）有限公司信息安全专家对此观点表示认同并给予了具体分析：“为了提高生产率和生产的灵活性，标准的自动化技术与联系自动化“孤岛”的网络技术正得到日益广泛的应用。具体表现在工业自动化控制系统正逐渐从封闭、孤立的系统转化为开放互联，工业自动化生产开始在所有网络层次上横向与垂直集成；将工业自动化控制网络与IT网络相连，以及为实现远程维护与Internet连接；越来越多地采用开放标准以及基于PC的系统。工业自动化生产领域在享受开放、互联技术带来的技术进步、生产率提高与竞争实力大大增强的利益的同时，也面临着越来越严重的安全威胁。包括：未授权人员的非法访问；间谍活动、非法操纵控制数据，由于恶意软件导致的数据丢失、损坏，等等。”

破题二：工业控制系统信息安全漏洞有哪些?

近年来，越来越多的工业自动化控制系统安全事件的出现充分说明了自动化工厂存在着安全脆弱性，而要面对这一挑战，首先应当充分了解潜在的安全威胁到底出自何处。对此，各位专家从不同的角度给予了解读。

霍尼韦尔中国公司高级系统顾问黄天煌认为工业控制系统安全漏洞来自管理、工业控制系统供应商、工业控制系统本身多个方面：“从管理来说，决策部门不够重视，企业没有制定安全政策，没有安全管理机制，技术人员严重缺乏安全知识；而目前有相当一部分工业控制系统供应商没有完整的工业安全解决方案也是造成信息安全问题的原因所在；另外，工业控制系统自身存在安全漏洞，包括：过程控制网络架构混乱，控制网络与IT网络隔离不正确，缺少防病毒保护和及时更新，缺少Windows安全补丁更新，个人账号或角色管理不合理等。”

ABB控制技术部高级工程师钱浩认为工业控制系统是由软件与硬件构成的，理论上，这些软件与硬件都有被攻击的危险：“常见的安全漏洞包括操作系统平台的漏洞例如Windows操作系统、工业控制系统的漏洞；硬件例如PLC控制器、电脑工作站、网络设备如交换机、路由器等。”

和利时科技集团技术总监朱毅明则认为：“目前工业控制系统信息安全主要有两个关注点，一是在网络传输过程中的保密信息泄漏；二是外部入侵影响系统可靠运行。工业控制系统由于对于传输的实时性要求很高，网络数据传输一般不采用加密的方式，在数据格式、传输协议方面的特点，也造成了基本上无安全性可言。”

西门子（中国）有限公司信息安全专家表示：“到目前为止，真正的网络攻击还是比较罕见的。在大多数情况下，人们多数谈论的是潜在的工业控制系统安全漏洞。目前已知的典型ICS漏洞主要包括，拒绝服务（Denial of Service)，易受暴力攻击的弱口令，以及基于PC的Windows系统易受病毒感染等。这些安全漏洞使得ICS系统暴露于安全攻击之下，因此应当尽快采取安全措施。”

施耐德电气工业事业部全球网络安全项目总监David Doggett则认为：“在最终用户的系统中，主要安全漏洞来自于工厂物理设备，因此在工厂内加强厂级安全策略尤为重要。然而，每个用户的应用不尽相同，因此需要分别评估各自的安全风险并找出其系统中的最大隐患，以便基于这些因素来构建信息安全策略。”

破题三：工业控制系统信息安全问题发生有何特点?在哪些领域易于发生?

工业控制系统信息安全问题的发生有其必然性，这其中也必然有规律可循，西门子（中国）有限公司信息安全专家分析近些年出现的工控系统安全问题认为：“除少数特别复杂的攻击外，主要的问题还是集中在工业PC感染IT病毒后导致工业应用失效，或影响到工业以太网，其次是各种工控设备、应用在部署中普遍采用弱口令、空口令、静态口令，再有就是利用工程师站上网或从事其他无关用途等管理脆弱性所带来的安全问题。”

从应用领域上来看，西门子（中国）有限公司信息安全专家表示：“联网程度高、复杂的（存在大量的子网与控制单元）工控系统，特别是过程控制系统，与企业IT办公网有直接、间接互联的工控系统，存在（通过Internet或其他公共网络）远程维护接口的工控系统，一旦管理不善，都更易于发生安全问题。”

虽然有一定规律可循，但工业控制系统信息安全问题是一个普遍问题，不存在避风港，不能存有侥幸心理，因为工业控制系统信息安全问题可能造成控制器的性能受影响，或瘫痪，也可能造成控制策略混乱或输出错误，从而造成生产安全故障。正如霍尼韦尔中国公司高级系统顾问黄天煌所言：“只要是使用开放的以太网、基于微软Windows操作系统的数据采集与监控（SCADA）系统、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC），基于控制系统的高级应用等等，都是易于发生信息安全问题的领域。”

ABB控制技术部高级工程师钱浩也持相同观点：“由于工控系统广泛应用于如电力、石化、钢铁、造纸、水泥等各种工业行业，只要企业的安全措施没有做到位，都有可能发生上述信息安全事故。”

而和利时科技集团技术总监朱毅明则表示工业控制系统信息安全问题不但在能源、化工、石化、交通运输等国民经济关键领域要关注，对于中小型制造企业方面更要引起重视：“中小型制造业信息安全问题可能相对影响较小，但由于中小型企业技术能力较大型企业相对不足，如果出现信息安全问题，容易出现危险失控或大面积扩散。”

破题四：相比IT信息安全，工业控制系统信息安全提出了哪些新需求？

其实信息安全问题已经不是一个新的话题，但在过去信息安全问题一直是IT领域所关注的热点，也针对此问题提出了一系列的应对策略。但对于工业控制系统来说，其信息传输具有特殊性，工业控制系统信息安全与IT系统信息安全自然也存在着差别，霍尼韦尔中国公司高级系统顾问黄天煌认为：“最大的区别是造成的后果不同，工业控制系统的信息安全不仅可能造成信息的丢失，还可能造成工业过程生产故障的发生，从而造成人员损害及设备损坏，其直接财产的损失是巨大的，甚至有可能引起环境问题和社会问题。”

与其持相同观点的还有和利时科技集团技术总监朱毅明：“传统IT领域与工业领域相比最大的不同在于：传统IT领域的影响范围主要在虚拟的数字空间，需要借助人的作用才会对真实世界造成影响，工业领域是真实世界的重要组成部分，是现代人类文明的基础，工业领域的信息安全问题直接对人类社会造成威胁。”

目前，已经有许多安全产品可以用于实现工业控制系统的“纵深防御”，如最新的病毒扫描软件及防火墙、网关等。但安全产品需要充分考虑工业控制系统的特殊性，包括工控领域使用的是特殊的网络协议，工控设备多为嵌入式系统，以及SCADA、DCS等工控应用的特点，才能提供有效的防护，简单地将原先纯粹为IT领域设计的安全产品原封不动地引入到工业控制领域，具有相当大的局限性，有时甚至会带来新的问题。西门子（中国）有限公司信息安全专家就此分析认为两者之间需求不同是首先需要考虑的问题：“在办公IT领域中，其数据的最重要的安全需求是机密性。但在工业控制领域，更关键的需求是实时通信或99.99%的工厂可用性，所以在工控领域，首要的安全需求是可用性。”

ABB控制技术部高级工程师钱浩认为工业控制系统对信息安全的要求会更严格，对系统数据的完整性、可用性以及实时访问均有高要求：“首先，工控系统的受控对象是物理的生产过程，生产受到影响会导致财务、人员、环境等方面的损失，也会受国家法规约束；其次，工控系统信息安全的重点是保护受控对象的高度稳定性，其可用性要达到99.9%以上；再次，一旦发生信息安全的事故，工控系统要求很短时间内解决，手段包括冗错机制，在线修复等等。”

施耐德电气工业事业部全球网络安全项目总监David Doggett则从更具体的角度给予了分析，他认为：“首先，对于IT领域来说，已装机系统的更换或升级频率一般是两到三年，此外每个月还要进行例行补丁安装或修正；而对于工业控制系统来说，系统一旦安装完毕投入运行，将进行10-20年不间断的可靠运行。但是，由于外部环境的信息安全威胁不断变化，某些年代久远的已装机系统在更换之前必须不断升级改造以确保其安全性。越来越多工业控制系统的安全性不断提高，而这些系统的生命周期将比之前预计的更短，以跟上不断变化的外部威胁环境的步伐。工业控制系统的升级或补丁安装过程也与IT领域有很大差别，系统只能接受很短的计划停机时间。其次，最终用户工业控制部门的工作人员所掌握的安全技能往往是比较有限的，所以在设计与实施安全系统时往往要求低维护率。”

破题五：作为现代工厂三层结构中承上启下的MES系统，其信息安全防范有何特殊性？

在现代工厂三层网络架构中，承上启下的MES作为联接工业控制系统与企业管理系统之间的桥梁，使得底层工控系统与上层的企业管理系统进行信息交互，其信息安全防范又需有哪些特殊考虑？各位专家提出了具有针对性的策略。

西门子（中国）有限公司信息安全专家表示：“MES其特殊性在于既要考虑与工业控制系统通信的高可靠性方面的需求，保证MES系统本身的故障、安全问题不会波及到工业控制系统；还要考虑企业管理系统在机密性方面的需求，采用VPN、强认证等技术保护企业生产的关键性数据。因此，在实际中可以考虑将企业管理系统、MES、工业控制系统划分为不同的安全域，并采用防火墙、安全网关等技术将其隔离，并在不同的安全域根据其需求的不同定义不同的安全策略（包括边界防火墙、网关的策略），部署不同的安全产品进行防护。”

ABB控制技术部高级工程师钱浩认为：“ MES系统对信息安全的防护措施要更加严谨，既要保证各系统之间实时可靠的数据传输，也要限制企业管理系统网络对下层控制网的不良影响。例如在不同网络之间架设硬件防火墙、采用域策略进行管理并给予用户相应的访问策略、外网的连接采用VPN技术、服务器与客户端需要有软件防火墙及杀毒软件、完善的数据备份机制、必要时可对数据库文件进行加密等措施。”

霍尼韦尔中国公司高级系统顾问黄天煌表示：“MES与控制系统不同，它没有与生产过程直接连接，只是通过网络及软件接口，如实时数据库，OPC接口等连接，所以MES除了本身必须具备信息安全的防护以外，还必须注意与控制系统接口安全问题。MES应用不要直接访问控制系统，最好通过由控制厂商提供的专门实时数据库，再由该实时数据库使用厂商提供的专用通讯接口与控制系统进行通讯。同时在网络架构上，实时数据库必须通过专门的网络隔离设备进行隔离，如网络防火墙。”

施耐德电气工业事业部全球网络安全项目总监David Doggett则提出具有针对性的DMA策略：“保护三层结构的最常见的解决方案是采用DMZ策略，即安全隔离区策略。这对桥接工厂控制层和管理层的MES来说，特别有效。把数据放在DMZ安全隔离区可以保证数据通讯不会直接在企业层和工厂控制层之间发生。防火墙也会放在安全隔离区的两侧来阻止未授权的冲突。如果安全隔离区计算机被采用，则会把工厂生产隔离开，以阻止可能的潜在隐患。”

破题六：IT系统供应商、用户、工业控制系统供应商、设计院如何协同应对？

由于工业控制系统所涵盖的产品广泛，其信息安全问题是一项综合性的方案，因此需要用户、IT系统供应商及控制系统厂商紧密地协作。正如施耐德电气工业事业部全球网络安全项目总监David Doggett表示：“IT供应商和IT公司应对信息安全问题多年，对于技术、威胁和部署方法十分熟悉，能够确保企业、网络和计算机数据的安全。IT供应商通常不了解工控系统客户对于所需的系统集成性和可靠性的敏感程度。最好的办法就是各部门协作，集合掌握技术、了解环境、了解潜在隐患及其解决办法的人员，从而确保系统的可用性和集成性。”

西门子（中国）有限公司信息安全专家认为工业控制系统的信息安全涉及到工控系统的管理者、运营者、系统集成商和产品厂商，需要多方协作才能保护工业控制系统免受各种安全威胁的侵害，其具体分析到：“对工业控制系统的管理者，其安全需求包括：采取措施与流程防止对工厂的未经授权的访问、提供对关键自动化组件物理访问的防护等等；而对运营者安全需求，则包括：在运营过程中建立并贯彻安全指南与流程规范，实施安全风险管理 ，重视信息与文档的管理使得安全审计成为可能等等；对系统集成商，需要在建立工业控制系统之初就考虑：访问控制、用户控制，数据完整性与机密性，可控的数据流等安全需求；而对工业控制系统厂商，则需要考虑自动化系统组件的安全需求：建立并贯彻安全产品开发流程、产品功能安全等等。 ”

ABB控制技术部高级工程师钱浩则以ABB公司为例告诉我们IT系统供应商、用户、工业控制系统供应商如何协同应对：“所有与ABB的控制系统有直接联系的软硬件均需要通过ABB Industrial IT认证，该认证能够最小化用户在使用ABB控制系统过程中的信息安全风险；同时，ABB与Microsoft、IBM、Lenovo、HP、DELL、Cisco、Hirschmann、MOXA、Phoenix、Westermo、McAfee等软硬件厂商有密切联系，定期发布经过ABB研发部门测试过的安全补丁与认证产品列表供用户选择，用户也能通过信息反馈与ABB工程师进行及时沟通。”

破题七：应对工业控制系统信息安全，当前最紧迫的问题是什么？

尽管工业控制系统信息安全已成为一个全球性的问题，但是我国用户与发达国家相比，在安全意识和防范措施等方面仍存在着巨大的差距，标准与法规尚未健全，第三方认证机构没有得到系统管理。应对当前日益严重的信息安全形势，最紧迫的问题是什么？培养人的安全意识和完善安全风险评估机制成为诸位专家的共识。

ABB控制技术部高级工程师钱浩认为：“工业控制系统的正常运行离不开人的因素，因此，其信息安全与人员因素息息相关。明确信息安全目标、制订信息安全政策、划分信息安全区域都是当前的首要问题。”

西门子（中国）有限公司信息安全专家认为：“对于人的安全意识的培养，不仅要意识到工业控制系统信息安全问题的迫切性，后果的严重性，更要了解工业控制系统信息安全不是一个单纯的技术问题，而是一个从意识培养开始，涉及到管理、流程、架构、技术、产品等各方面的系统工程；以及工业控制系统信息安全是一个动态过程，需要在整个工业基础设施生命周期的各个阶段中持续实施，不断改进的理念，不可能一蹴而就，也不可能一劳永逸。”

和利时科技集团技术总监朱毅明则认为：“面对越来越频繁发生的工业控制系统信息安全问题，当前最紧迫的事情认识到其严重性，新建或改造的工控系统应该具备信息安全特性，全面满足信息安全需求；对于在役系统，应该针对各企业的工业控制系统的实际情况进行安全风险评估，设计出符合不同工业企业实际情况的工业控制系统安全解决方案，分期分步开展工控信息安全升级，从隔离危险源、切断危险进入和扩散的路径入手逐步提升工控系统的信息安全水平。

霍尼韦尔中国公司高级系统顾问黄天煌给出的五大紧迫任务正是对以上的最好总结：目前当务之急就是大力进行安全教育，特别是各级领导及技术人员要有安全隐患意识，应从以下方面着手：参照IEC 62443 / ISA99标准，由工信部牵头制定相应国家标准；要求企业建立信息安全专业小组，制定企业控制系统信息安全政策(Policies)和实践(practices)；对已有工业控制系统进行全面评估，及早发现安全隐患，并采取安全保护措施；对新上工业控制系统项目必须要求充分考虑安全保护；建立企业安全管理长效机制，充分认识到安全防卫是一个旅程，而不是一个目的地(Security is a journey not a destination)含义。

工业控制系统供应商信息安全应对策略

对于新建或升级改造的工控系统，面对不同的应用场合和利时提供不同等级的信息安全解决方案。对于大型SCADA系统，由于地理上分散部署，网络节点数量多，部分通讯链路采用无线通讯或公网，使用COTS软件较多，信息安全风险较大，在系统架构设计上就要重点考虑信息安全问题，在设计实现方面，采用权限认证、传输加密、完整性检查、安全分区、主动行为检查、漏洞扫描等手段降低信息安全风险。对于PLC和DCS，地理分散度相对SCADA较低，网络以电缆和光缆介质为主，COTS软件主要用于非关键系统，主要采用广播风暴抑制、通讯流量控制、过滤特殊报文、封闭空闲端口、关键代码和数据加密冗余存储等信息安全措施。

☆ 保证自动化工厂的物理安全；

☆ 建立安全策略与流程；

☆ 进行网络分区与（控制单元间的）边界防护；

☆ 建立安全的单元间通信；

☆ 系统加固与补丁管理；

☆ 恶意软件的检测与防护；

☆ 访问控制与账号管理；

☆ 记录设备访问日志，并进行必要的审计。

简而言之，就是要确保只有绝对必要的人员才能在物理上接触到关键工控系统，将工控设备在网络上与其他不必要相联的系统断开，维护防火墙的完整性，坚持打上最新的软件安全补丁，等等。

西门子将向客户提供全面的工业控制系统信息安全支持，包括产品、系统、解决方案，以及专业的咨询服务。

与此同时，西门子还在全球的重点国家建立了安全专家网络。目前，西门子安全网络的中心设立在德国，并在美国、中国、俄罗斯、法国建立了分支，并计划在英国、印度设立另外两个分支。西门子安全专家职责是第一时间掌握安全漏洞与网络攻击的相关信息，与本地客户、工业合作伙伴、以及政府权威机构密切合作，共同分析问题，控制问题的影响范围，尽快提供相应的解决方案。

☆ Honeywell已经建立起一个独立的业务部门，主动帮助用户实现安全与防卫 ；

☆ 与全球重要客户密切合作，共同研究安全策略；

☆ 参与在标准委员会的领导层工作，包括：ISA-SP99、IEC-65C、MS-MUG；

☆ 在Honeywell工厂内部，不断进行控制系统弱点攻击测试 ；

☆ 计划对所有用户实施工厂实现综合纵深“防御计划”。

Honeywell 自动化控制系统实行纵深安全防卫策略：

☆ 在控制系统内部的每一层内置安全防护功能，包括：

（1）安全可靠且具有完整的网络安全性：网络分层分区（FTE社区），每一层具备不同安全特性。Level1连接使用Honeywell专用的的控制防火墙，保证过程控制器绝对安全。每一FTE社区采用虚拟专用网络，私有IP地址，FTE社区只允许通过路由器互联。充分使用智能交换机安全机制，压制大量广播/组播/单播通讯，实行过程控制信号优先级通讯，保证监控信息传输在任何不被中断。与工厂信息网络使用单一网络防火墙进行隔离。

（2）PC机安全防护：基于角色的安全管理，保护重要文件,注册键, 目录；要求使用域服务器，根据用户角色，预先设定好域用户组(Group)，和角色安全模板。

（3）保持控制统处于最新的安全防护状态：强制要求防病毒软件，建立防病毒数据自动更新服务器，及系统安全补丁自动更新服务器。

☆ 提供《控制系统安全最优实践(Best Practices)》正式文本资料；

☆ 保持警戒(Maintain vigilance)，定期进行安全评估与测试，不断维持安全旅程(security journey)；

☆ 提供灾难性故障的恢复工具与程序 ；

☆ 与我们的客户与用户保持密切合作 ；

☆ 集成化的安全防卫方案， 包括物理(Physical), 电子(electronic)和计算机(cyber)。