轨道交通制造企业的工业控制系统信息安全问题及对策

轨道交通制造企业的工业控制系统信息安全问题及对策

中车戚墅堰机车有限公司 杜 兰

1 引言

中车戚墅堰机车有限公司（以下简称戚墅堰公司或公司）是一家典型的轨道交通制造企业，主营内燃机车新造及修理业务。作为国家重要的轨道交通装备制造企业，戚墅堰公司承担着国家内燃机车的制造任务，为自身创造利润，也为国家的内燃机车走向世界付出努力。在不断优化生产结构，提高生产力的同时，戚墅堰公司开展了两化深度融合、智能制造工作，引进了一大批国内外先进的数控设备和技术，如德国西门子的数控车床、数控磨床，日本马扎克的数控加工中心等。公司发现企业管理网与工业控制网之间的数据交互越来越多，管理网与工业控制网之间完全隔离已不再可能；国外厂商对数控设备的远程和现场运维存在着数据泄露的安全隐患；传统IT系统面临的信息安全问题，正在不断延伸到工业控制系统中。此外，2010年“震网”病毒入侵伊朗核电站、2011年大庆石化炼油厂装置控制系统感染Conficker病毒、2015年乌克兰电网遭到攻击等国内外的一系列工业控制系统信息安全事件也给公司敲响了警钟。基于此，戚墅堰公司针对企业自身特点，对工业控制系统信息安全问题进行了识别和分析并制定了相应的对策。

2 工业控制系统信息安全问题和风险分析

工业控制系统是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统、分布式控制系统、可编程逻辑控制器、远程终端、智能电子设备，以及确保各组件通信的接口技术。工业控制系统与传统IT系统的环境和应用场景存在着许多不同，例如，工业控制系统资源有限，与物理世界存在交互关系，对稳定性、可用性和实时性要求极高，生命周期长等。这些都导致企业无法将成熟的IT信息安全技术直接应用于工业控制系统的信息安全保护。工业控制系统信息安全问题主要有：

（1）智能制造带来的安全风险问题。开展智能制造的工作过程中通常需要进行生产过程的实时数据采集和系统控制，企业会通过逻辑隔离的方式实现工业控制系统与企业管理系统之间的连接和数据交换，有时系统间还需要集成。企业管理网和工业控制网之间、工业控制网络区域间如果没有进行有效地分区、隔离、异常监测、访问控制等防护措施，很容易造成一点发生病毒或攻击，影响全部车间甚至整个企业网络。

（2）设备维修时笔记本电脑接入问题。工业控制系统进行运行维护时经常会接入笔记本电脑，没有达到一定安全基线的笔记本接入工业控制系统后会有很大的安全隐患。第三方人员（尤其是国外人员）在运维高精类机床等数控设备时可能会造成重要数据信息的泄露，对企业甚至是国家造成巨大损失。并且，相关人员的操作没有进行审计记录，一旦发生安全事件后很难取证。

（3）使用U盘、光盘导致病毒传播问题。工控系统中的管理终端一般都没有技术措施进行外设的有效管理，U盘和光盘的无序使用会引发数控等设备被感染病毒或恶意代码，进而严重影响生产的产量、质量及效率。

（4）操作系统的安全漏洞问题。目前大多数工业控制系统的工程师站、操作站、HMI都是Windows操作系统，考虑到工控软件与操作系统补丁的兼容性问题，工控系统开车后基本上不会对操作系统安装任何补丁，操作系统存在的漏洞不能及时弥补，容易被攻击。

（5）杀毒软件安装及升级更新问题。为了保证工控软件的可用性，许多工控系统操作站通常不会安装杀毒软件。即使安装了杀毒软件，在使用过程中也基本不会进行更新，因为有些更新可能会违反控制系统的设定规则，造成控制系统无法正常运行。所以，工业控制系统抵御外界攻击的能力较弱。

（6）通讯协议漏洞问题。OPC协议在工业控制系统中广泛使用，而OPC协议是基于微软的DCOM协议，DCOM协议是在网络安全问题被广泛认识之前设计的，极易受到攻击。另外，OPC协议通讯采用不固定的端口号，导致目前几乎无法使用传统的IT防火墙来确保其安全性。

（7）工业无线网络的安全风险问题。无线网络在工业现场大量使用，黑客可以通过无线网络进行入侵，进而从生产控制服务器窃取资料，甚至可以通过生产控制系统入侵到企业管理系统进而窃取商业秘密数据。

3 工业控制系统信息安全问题对策

针对工业控制系统存在的安全问题和风险，戚墅堰公司采取了积极的应对措施，对工业控制网络进行安全区域划分，对工业控制系统进行安全防护，目标是建立起企业的工业控制系统信息安全保障体系（如图1所示），减少企业的信息安全事件，保障商业秘密不外泄。

图1 戚墅堰公司工业控制系统信息安全保障体系

3.1 工业控制网络安全区域划分

公司进行了以机床为核心的工业控制网络区域划分，按照等级保护的基本要求，以“纵向分层、横向分区”的主导思想，将纵向分为管理执行层、生产控制层、现场设备层。横向从网络功能的角度进行分区，如技术中心为一个安全区，服务器区为一个安全区、办公区为一个安全区。现场设备层的车间从地理区域的角度进行划分，如车间1为一个安全区，车间2为一个安全区。在安全区域划分的同时明确第三方运维人员的运维方式，明确运维连接的接口，远程运维人员通过SSLVPN访问现场故障设备。

3.2 工业控制系统信息安全防护

对安全区域划分的纵向各层和横向各区配备专业的工业控制安全设备和软件进行安全防护，如图2所示。

图2 戚墅堰公司工业控制系统信息安全防护拓扑图

现场设备层的安全防护。主要是针对数控机床进行安全防护，在数控机床前部署CNC防护装置，拒绝对数控机床的不合法连接，阻止非法入侵与攻击。对数控机床访问进行控制，明确访问的目的地址与源地址，防止非法访问。在现场设备层部署设备运维审计系统，对公司内部或远程运维的行为进行记录和审计，为发现和追溯信息安全问题提供有效手段，弥补短时期内不能将国外数据机床等工控设备替换为国内工控设备的风险。

生产控制层的安全防护。对生产控制层的网络安全防护主要是对边界进行访问控制，部署工业安全网关，对网络内部进行异常监测，防止网络边界不清晰导致病毒进入工控网中，及时发现网络异常行为。部署工控漏洞扫描系统，及时发现工控系统漏洞。对生产控制层的主机安全防护主要是对工作站主机进行保护。对工控系统的所有网络设备、主机设备、中间件等进行基准的安全要求核查。对生产控制层的数据的保护，主要是通过部署恶意代码监测系统和敏感信息检测系统，对多种类型的文件、多种报警方式进行深度扫描和分析，识别出可能存在的0DAY漏洞和NDAY漏洞，进行相应处置。

3.3 建立工业控制信息安全管理平台

按照等级保护安全技术设计要求，建立工业控制信息安全管理平台。平台能够直接收集工业交换机及工业控制应用系统的信息，包括流量、时间、工控协议等元素，能够分析工控网络中的设备互联情况，建立白名单规则，及时有效地发现异常并报警。与传统的管理网络安全管理平台不同，工业控制信息安全管理平台更加适应工控网络的特性，不再以日志为主要分析手段，而是采用“流行为”分析为主、事件分析为辅的技术路线，通过安全监控、风险分析、流秩序监控三大方面来描述网络安全状况。

3.4 建立工业控制网络攻防试验室

攻防试验室从结构、功能、安全防护部署等几个方面考虑，符合行业应用现状和使用模式，具有支撑主流数控系统或典型控制器、漏洞检测服务、攻击演示、检测保护验证等功能。

攻防试验室可以模拟来自互联网的或来自公司内部网络的攻击。模拟的场景主要有：（1）内部人员在公司网络中的计算机上插入U盘，自动运行程序，修改DNC服务器数据库中的NC代码，导致机床产生不合格产品；窃取NC程序及与生产相关的保密信息。（2）远程或现场运维人员通过网络接口获取到机床内存储的具有商业秘密的重要工艺数据。

当加入安全防护设备后，重复以上两种攻击行为，两种攻击都会被阻断。攻击和阻断的效果可以在大屏幕上直观显示，反映出生产场景的实际威胁。通过攻防演示，有效提高人们对工业控制系统信息安全的认识，增强主动防御意识。

3.5 安全意识培养和制度建设

除了采取相应的安全防护技术，公司在管理上进行了大量的工作。一方面，通过宣传和培训加强员工的安全意识，在日常工作中尽量避免操作上的不安全性，如在工控设备上随意使用U盘、工作站不设置密码或设置的密码过于简单等。另一方面，按照国际SP800-82标准和国家等级保护标准，在技术防护措施基础上，建立相应的安全管理制度，从组织人员、物理及环境、应急预案、运维管理几个方面保障在制度层面对工业控制系统有完整的保护措施。

4 结语

信息安全工作永无止境，戚墅堰公司还在不断探索如何将工业控制系统信息安全的风险进一步降低。安全无小事，工业控制系统信息安全更不是小事。企业的生产系统和管理系统中都包含着大量数据，有些甚至是商业秘密。这些数据中既有生产中涉及到的工艺配方，也有涉及到生产结果的数据。只有保证企业的工业控制系统信息安全，才能避免这些商业秘密不外泄。

杜兰（1978-），女，高级工程师，硕士，现任中车戚墅堰机车有限公司信息管理部信息技术副主任，主要负责企业信息化规划、管理信息系统建设和运维、两化融合管理体系、工业控制系统信息安全等工作。