浅谈工业控制系统网络安全问题与防护对策

孙士赫

摘要：长期以来，工业控制系统独立封闭，存在天然的安全性，因而其网络安全隐患被忽视了。随着工业信息化的发展，自 动化领域也开始大量采用现场总线、工业以太网以及无线技术，控制系统越来越开放，系统互联也越来越多。为工业生产带 来极大推动，随之而来的，各种威胁和脆弱性也被引入了工业控制系统。本文主要介绍工控系统网络安全主要风险分析和如 何做好工控系统安全防护工作。

关键词： 工业控制系统；漏洞；网络安全；安全评估

中图分类号：F239.2 文献标识码：A 文章编号：2095-3178（2018）06-0348-01

1.概述

长期以来，工业控制系统独立封闭，存在天然的安全性，因而

其网络安全隐患一直被忽视了。随着“两化融合”的推进，APC、实 时数据库、报警管理等系统的部署实施，使得工业控制系统不再独 立；同时工控系统伴随着 IT 技术的发展而发展，工业控制系统技术 由专用性向通用性演进，大量采用 IT 通用软硬件，如PC、操作系统、 数据库系统、以太网、TCP/IP 协议等。随之而来的，各种威胁和脆 弱性也被引入了工业控制系统，互联网中的病毒、网络黑客等威胁 通过开放的网络连接正在向工业控制系统扩散，威胁到炼油化工装 置的控制运行和安全生产，工业控制系统网络安全问题日益突出。

2.工控系统网络安全风险分析 2.1 平台方面的安全漏洞

2.1.1 平台配置方面

目前大多数工业控制系统的工程师站/操作站都是 Windows 平

台的，操作系统安全漏洞被发现后供应商可能没有开发出相应的补 丁程序，导致操作系统和应用软件补丁程序没有及时安装；由于工 控系统软件及操作系统更新的复杂性、实时性、可靠性，导致不能 轻易“打补丁”，补丁程序的更新必须面对广泛的回归测试，从测试 到最终发布之间有较长的漏洞暴露周期；同时微软对windowXP 停止 技术支持，而目前工控系统中操作站平台以 windowXP居多，存在重 大安全漏洞；使用缺省配置可能会导致不安全或不必要的端口或服 务没有关闭；关键配置文件没有存储备份措施。

2.1.2 平台软件和硬件方面

信息安全意识缺失导致产品/系统在设计、实现和运维上严重安

全漏洞，大量工控产品和工控协议在设计上存在安全缺陷：无身份 认证、无访问控制、无数据加密、无安全审计…产品上线前未做信 息安全测试。工控漏洞多，且很难在生产系统中修补。

用于控制系统的硬件是脆弱的，对于关键设备如果没有备用电 源，电力不足將关闭工控系统，并可能产生不安全的情况。环境控 制的缺失可能会导致处理器过热，有些处理器将关闭以自我保护； 有些可能会继续工作，但在输出功率较小，产生间歇性的错误；关 键设备没有冗余备份可能导致严重故障的发生等安全漏洞。

2.1.3 平台恶意软件防护方面

工业控制网络中，为了各种专用软件的稳定性和兼容性，许多

工控系统操作站通常不会安装杀毒软件，操作系统一旦部署完毕也 基本不再打系统补丁。即使安装了杀毒软件，在使用过程中也有很 大的局限性。防恶意软件版本或特征码未更新以及防恶意软件安装 前未进行广泛的测试都可能会对工控系统正常运转产生影响。

2.2 网络方面的安全漏洞

网络方面的漏洞可分为网络配置漏洞；网络硬件漏洞；网络边

界漏洞；网络监控和记录漏洞 ；通信中的漏洞；无线连接中的漏洞 等等。

网络基础架构常常根据业务和运营环境的变化而发展变化，但 很少考虑潜在的安全影响的变化。内部无监测，对网络行为“一无 所知”，不能及时发现安全威胁，也无法取证分析。内部未划分安全 域，无防护措施，容易出现“一点突破、全线失守”的情况病毒可 能会感染全网系统。

2.3 管理方面策略和程序的安全漏洞

管理上，职责不清晰，人员安全意识薄弱，工业控制系统网络

安全经常属于“三不管地带”，未纳入生产安全范畴；工业控制系统 没有明确具体、书面的安全策略或程序文件或安全策略不当，追求 可用性而牺牲安全，是很多工业控制系统存在的普遍现象，缺乏完 整有效的安全策略与管理流程也给工业控制系统信息安全带来了一 定的威胁。没有正式的工业控制系统安全培训和安全意识培养；安 全架构和设计不足；工业控制系统设备操作指南缺失或不足；没有 明确的工控系统连续性计划或灾难恢复计划；没有明确具体的配置 变更管理程序等安全漏洞。

3.工控系统安全防护策略

在工控安全防护措施选择上，既要考虑工控系统的特点，又要

考虑不同行业系统差异性（网络结构、通信协议等）。新建项目在建 设初期，项目概算中要增加工控系统的网络安全部分资金投入，增 加工控信息安全总体设计，“同步规划同步建设”，新系统上线前进 行安全测试和风险评估。对于老的工控系统，由于系统陈旧、安全 防护基本为零并处于生产运行状态，所以在不影响生产运行情况下，

建立一个基本的安全基线，完善设备管理制度，有计划的进行更新 改进。

3.1 分区隔离、分层防御

在工控网内部划分逻辑层次，每一层次进一步划分安全区域，

不同层次、不同区域之间限制数据流访问，将病毒限制在一个区域 内，避免全网蔓延。

分区隔离—将全厂划分操作区域、相互独立为网络隔离基础。 石油化工自动化系统网络结构横向按生产装置分成LAN 1到LAN N， 小生产装置或公用工程共用一个或几个 LAN，确保每个生产装置独 立开停车。

分层防御—采用防火墙、网络服务器进行纵深防御，不同位置 能对抗不同的威胁，但也隐含着不同的风险，同时对设备性能和功 能要求也不同。如 管理网-生产网边界、生产网-控制网边界、上位 机-下位机PLC 之间。

3.2 管理制度

工控系统安全防护管理制度亟待完善、落实。建立健全工控系

统相关管理制度，建立网络安全制度、配备安全人员、培训使用人 员。健全、完善的管理制度是保障工控系统平稳运行的前提条件， 严格执行各项管理制度才能确保工控系统处于安全的工作状态。需 要结合企业自身特点摸索出行之有效的管理办法并且狠抓落实，才 能有效降低工控系统安全风险、减少故障发生概率、提升日常维护 质量。

3.3 网络安全监测

在工业控制网络部署网络安全监测设备，可以及时发现、报告

并处理网络攻击或异常行为。因为工控系统特点是通信行为相对固 定、流量规律性强、设备变动小，容易建立正常的工控网络安全基 线（网络白名单），所以很适合于网络安全监测。

3.4 网络安全评估

网络安全评估是防灾减灾的基本方法，根据企业的情况评估出

预测可能风险和可承受的风险，当预测可能风险高于可承受风险的 情况，采取相应的网络安全措施，使预测可能风险降低到可承受风 险以下。网络安全评估仅仅能起到建立健全网络安全体系、促进和 完善制度、配置合理的网络结构的作用。网络安全的根本在于严格 管理、运行防范。

4.总结：随着“两化融合”不断推进，工控系统与管理信息系统的联系将越来越紧密，工控系统网络安全防护也愈发重要，在当前新形势 下，如何对工控系统进行防护，防止来自内部、外部的安全威胁和 恶意攻击，是信息安全领域面临的重大挑战。工业控制系统应该实行全寿命周期管理，安全防护设施建设应 坚持同时设计、同时施工和同时投用的原则。控制系统安全工作不 是一劳永逸的工作，是一项持续性工作，要定期开展工业控制系统 网络安全风险评估，制定针对性的安全防护策略。注重防护要求、 方法的科学性、合理性和可操作性，从管理和技术两方面实现系统 的防护要求。总结学习有效防护经验，完善整体安全防护措施，不 断提升防御水平。

参考文献

[1]张方舟.计算机网络与信息安全.哈尔滨工业大学出版

社.