工业控制系统信息安全现状

徐达

摘要：工业控制系统遭受的黑客攻击呈现增长趋势，原因是工业生产的信息化和网络化。工业控制系统生产连续性、设备复杂性、行业工艺差异性、产品组件强耦合性、网络协议多样性、制造技术垄断性、人员安全信息意识淡漠等特点，导致工业控制系统信息安全防护工作困难重重。

关键词：工业控制系统;信息安全;黑客攻击;安全防护

中图分类号：TP311        文献标识码：A

文章编号：1009-3044（2019）26-0038-02

开放科学（资源服务）标识码（OSID）：

1 工业控制系统定义及分类

工业控制系统是指通过实时数据采集、分析、处理等过程控制组件实现工业生产自动化、半自动化的信息系统，包括数据采集与监控系统（SCADA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）、远程终端（RTU）、智能电子设备（IED）等。

2 工业控制系统特点

工业生产连续性：由于工业生产包含石油、金属冶炼、电力、水利、航空和轨道交通等国家的基础设施建设，直接关系民生，所以工业控制系统一经开启便不能轻易中断。否则将会导致生产原料积压、产品短缺和社會服务中断，引发恐慌。

设备复杂性和产品组件强耦合性：工业生产线是一个复杂而庞大的网络，包含各种各样的光、电磁、温湿度传感器、机械装置、电子电气装置、控制设备、监控设备和应急设备。这些设备之间关联极大，工业设备的用户不可能分别购置这些设备并自行组装，往往是由某一个设备生产商统一提供，这种统一提供的成套设备，模块间耦合很大。

行业工艺差异性：由于技术封锁，各大工业设备生产商的制造技术没有统一，不同厂商生产的设备差别巨大，呈现百花齐放、百家争鸣的局面。

网络协议多样性：工业控制系统不同于使用统一网络协议（如TCP/IP）的传统IT系统，它采用了工业控制特有的协议，包括MODBUS、DNP3、PROFINET、ControlNet等协议。出于技术保护，各个工业控制系统制造商制定了自己的私有协议，许多工业控制协议在设计之初并未考虑安全性。

无线网络接入缺乏认证和控制：随着信息化与工业化的深度融合，信息技术越来越多的应用于工业控制系统中。但是，工业控制网络中缺少有效的认证和控制机制，控制设备接入无线通信网，会将整个系统暴露。

工业设备升级困难：由于构成复杂，模块间耦合性大，生产商拒绝技术转让，非常高的维护开销，工业设备的升级换代很困难。往往是一套设备一直使用，仅对设备外围做小规模升级，不大规模升级，直到设备报废。

3 工业控制系统信息安全现状

我国国家信息安全漏洞共享平台（CNVD）公布了2010年至2016年发现的工业控制系统信息安全漏洞数据，如图1所示。

从图1看到，工业控制系统信息安全漏洞在2010年之后呈爆炸性增长，在之后几年内虽有下降趋势，但漏洞数量始终保持在一个较高的水平。并且，在2016年的漏洞数量同比2015年增加40.7%，出现上涨的趋势。原因是工业信息化的飞速发展，工业控制系统的环境变得更加开放、多元，增加了工业控制系统的信息安全脆弱性。

在这些披露出来的漏洞中，西门子、施耐德等知名厂商产品存在较多信息安全漏洞，如图2所示。目前看来，我国关键基础设施中涉及的工业控制系统重要组件大部分依赖进口，组件来源以外国知名厂商为主，我国未掌握关键技术，处于被动状态。这些外国厂商提供的重要组件中的漏洞以及后门对我国工业控制系统的信息安全构成巨大威胁。

我国国家信息安全漏洞共享平台（CNVD）公布的近年来工业控制系统信息安全漏洞各级别数量及占比，如图3所示。从图中可以看出近94%的漏洞属于高中危漏洞，其中高危漏洞占据了将近一半的比例。大部分攻击都利用了威胁较大的高中危漏洞。在工业控制系统信息化的大趋势下，工业控制设备直接暴露在互联网中，很容易被攻击者接触，并通过漏洞进行攻击。

对 2000-2016年之后新增漏洞类型进行分析，缓冲区溢出、信息泄露、输入验证等类型的漏洞数量居多，如图4所示。

根据图4展示的数据，缓冲区溢出类型的漏洞数量位于第一，达到165个，其次是信息泄露、输入验证、跨站脚本、权限问题等类型的漏洞。以上五种漏洞能够造成工业控制系统服务中断、系统停机、信息泄露等问题，因此常常被黑客、病毒以及恶意程序所利用。

4 工业控制系统信息安全脆弱的原因

人员信息安全意识淡薄：受传统工业生产安全意识的影响，工作人员普遍关注人员安全和设备安全，基本上不关注网络和信息安全。领导层未制定明确的信息安全工作方针和框架，忽视了员工信息安全意识和技能培训。一线工作人员不能从领导层得到约束和指导，自主学习意识又不强，导致信息安全观念严重不足。

缺乏专业的信息安全人才和专业的信息安全管理制度：缺乏必要的信息安全意识，导致缺乏必要的信息安全人才和信息安全管理制度。大部分工业控制系统中，未配备专职的信息安全管理员，信息安全管理未被放在重要的位置。工业控制系统都或多或少的包含信息安全管理制度，但是这些安全管理制度缺乏专业性，往往起不到实质性作用。

未提供统一的安全防护模型：不同行业的生产设备千差万别，相同行业的不同厂商生产的设备也不完全一样，这两种差异造成了一个结果，就是工业控制系统不能构建一个通用的信息安全模型。普通信息系统的安全技术，比如通用防火墙、入侵检测设备、日志审计设备不能很好地解决工业控制系统的信息安全问题，要根据行业特点定制专用安全模型。定制专用安全模型工作量巨大，而且需要设备生产商的大力支持，而设备生产商同样缺乏信息安全意识，导致安全模型和设备迟迟不能投入使用。

设备陈旧且未配备信息安全措施：工业控制设备长时间不升级，导致工业控制系统当中存在大量过时的技术和产品，目前国内发电厂和金属冶炼厂中存在有大量windows 2000和windows XP系统，而微软公司很久以前就停止对这两种操作系统的支持。此外早已过时的DCOM技术仍在使用，该技术的通信端口不固定，网络攻击很容易和DCOM技术混在一起，逃避追踪。

缺乏安全补丁和杀毒软件：鉴于业务的特殊性，很难为工业控制系统打安全补丁，补丁可能导致正常业务不能进行。同时这些正常业务很容易被杀毒软件识别为病毒程序，所以工业控制信息系统往往呈现既没有补丁，又没有杀毒软件的裸机状态。

设备生产商可能留有的访问后门：NSS实验室发现德国西门子公司的某些工业控制系统中存在“后门”，据西门子公司解释这些后门是为了便于系统维护和调试，后门通常拥有很大的访问权限，这些后门一旦被利用将对工业控制系统造成较大破坏。

缺乏有效的互联网和无线网隔离措施：随着互联网和无线网技术的发展，工业控制信息系统越来越多地与互联网和无线网接壤。在这个过程中，并未采取有效的隔离手段，隔离来自外部网络的威胁。外部网络的病毒和进攻可以畅通无阻地进入工业控制信息系统，并造成破坏。

电磁屏蔽和间谍程序识别技术缺乏：通过调查，目前我国正在使用的工业控制信息系统大部分核心设备均采用外国品牌。这些外国品牌设备当中很可能存在间谍程序，这些程序窃取核心数据并通过无线网络发送。我国工业控制信息系统普遍缺乏电磁屏蔽，不能阻断间谍程序发送数据，同时也未采用相关设备对间谍程序进行扫描。

5 总结

工业控制系统的构造决定了它易于受攻击，难于做防护的特点，请大家务必对工业控制系统信息安全予以足够的重视，亡羊补牢，为时未晚。

参考文献：

[1] 国家信息安全漏洞共享平台，2010年至2016年披露的工业控制安全漏洞数据[EB＼OL].（ 2017-05-05）.http：//www.cnvd.org.cn.

【通联编辑：唐一东】