李鵬程 王浩

【摘要】工業(yè)控制系統(tǒng)（Industrial control system，ICS）在關(guān)乎國計(jì)民生的行業(yè)中占據(jù)重要地位，近年來ICS高速信息化發(fā)展遭受的網(wǎng)絡(luò)攻擊頻發(fā)，本文揭示ICS的網(wǎng)絡(luò)結(jié)構(gòu)并針對性地進(jìn)行脆弱性分析，同時(shí)總結(jié)開發(fā)場景中的風(fēng)險(xiǎn)，使得ICS防御策略研究更具有效性和針對性。

【關(guān)鍵詞】ICS；信息安全；網(wǎng)絡(luò)攻擊

【DOI編碼】10.3969/j.issn.1674-4977.2023.04.058

Structured Risk Analysis Was Carried Out on the Informationization Development of Industrial Control system

LI Pengcheng， WANG Hao

（Liaoning Institute of Measurement， Shenyang 110004， China）

Abstract： Industrial control system， occupy the important in matters of national economy and peoples livelihood industry.In recent years， frequent ICS high-speed informationization development of the network attack. Article reveals vulnerability in a network structure and the analysis of the ICS， summarizes the risk of the development scenarios at the same time， make the ICS more defensive strategy research.

Key words： ICS； information safety； network attack

工業(yè)控制系統(tǒng)高度信息化發(fā)展，但與傳統(tǒng)的IT（Information Technology）系統(tǒng)還是存在差別，工業(yè)控制系統(tǒng)遭受的網(wǎng)絡(luò)攻擊究其根本是為了破壞現(xiàn)有正常的生產(chǎn)作業(yè)，使得生產(chǎn)停滯或降低、達(dá)不到生產(chǎn)要求，更為嚴(yán)重可能會(huì)造成人員傷亡、環(huán)境污染、財(cái)產(chǎn)損失等。工業(yè)控制系統(tǒng)中器件設(shè)備功能繁多、數(shù)目龐大，通過信息網(wǎng)絡(luò)協(xié)同成為一個(gè)整體來達(dá)成控制要求。信息網(wǎng)絡(luò)統(tǒng)籌全局的同時(shí)，也隨之而來諸多安全隱患。

1工業(yè)控制系統(tǒng)安全事件

全球范圍內(nèi)ICS的攻擊事件頻發(fā)，每年會(huì)發(fā)生幾百起且呈上升趨勢，每次事件都會(huì)造成巨大的經(jīng)濟(jì)損失和嚴(yán)重的影響。我國作為制造業(yè)大國同樣面臨著ICS信息安全威脅，在2010年和2011年我國的石化行業(yè)煉油廠的ICS發(fā)生了兩起感染Conficker病毒的事件，使得系統(tǒng)內(nèi)部通信受阻。此外在2017年也發(fā)生過WannaCry勒索病毒侵襲安全事件，導(dǎo)致某大型石油公司的加油站在支付時(shí)不能使用銀行卡和網(wǎng)上支付。

放眼全球范圍，2010年震網(wǎng)病毒感染了伊朗的布什爾核電站的工業(yè)網(wǎng)絡(luò)，控制了多臺離心機(jī)使其超速并報(bào)廢，造成了伊朗核電計(jì)劃的推遲和有毒放射性物質(zhì)的泄漏。這是一次影響極其深遠(yuǎn)的工業(yè)網(wǎng)絡(luò)安全事件，由此開始，公眾開始關(guān)注工業(yè)網(wǎng)絡(luò)安全問題，震網(wǎng)病毒也成了工業(yè)控制領(lǐng)域安全威脅的代名詞。2015年末，烏克蘭的多個(gè)能源企業(yè)遭受到了網(wǎng)絡(luò)惡意攻擊，其中對電力系統(tǒng)的攻擊最為嚴(yán)重，黑客通過入侵手段得到了發(fā)電站的部分控制網(wǎng)絡(luò)權(quán)限，進(jìn)而造成了數(shù)個(gè)小時(shí)的大范圍的停電，并在同一時(shí)間對石油、煤炭等重要能源設(shè)施進(jìn)行了攻擊，造成了不可估量的經(jīng)濟(jì)損失[1]。之后的分析指出，很有可能是國家背景的高級持續(xù)性威脅組織實(shí)施了本次網(wǎng)絡(luò)惡意攻擊。2017年出現(xiàn)的WannaCry病毒是目前為止影響范圍最廣，造成危害最大的勒索病毒。勒索病毒是一類非法入侵用戶計(jì)算機(jī)，加密重要文件并以解密的私鑰威脅用戶，達(dá)到勒索目的的病毒。WannaCry勒索病毒以“永恒之藍(lán)”漏洞利用程序?qū)τ?jì)算機(jī)進(jìn)行入侵，對世界范圍內(nèi)超過100個(gè)國家和地區(qū)進(jìn)行了攻擊，許多個(gè)人電腦陷入癱瘓，一部分國內(nèi)的工業(yè)服務(wù)器也受到了影響，導(dǎo)致了工業(yè)生產(chǎn)停擺，給企業(yè)帶來了嚴(yán)重的經(jīng)濟(jì)損失。

目前，ICS中安裝組態(tài)軟件和人機(jī)交互界面的工控機(jī)出于對生產(chǎn)穩(wěn)定性和軟件兼容性的考慮，多數(shù)以非最新版的Windows作為基本操作系統(tǒng)，且很少對操作系統(tǒng)等軟件進(jìn)行升級，導(dǎo)致無法及時(shí)對已知漏洞進(jìn)行補(bǔ)救，讓“勒索”病毒能在較長時(shí)間里以重大漏洞作為跳板進(jìn)行傳播，其危害范圍之廣可想而知。在這次事件中我們能夠發(fā)現(xiàn)，傳統(tǒng)IT網(wǎng)絡(luò)和ICS間的界限已經(jīng)逐漸模糊，工業(yè)控制網(wǎng)絡(luò)已經(jīng)逐步開放并受到公網(wǎng)環(huán)境的影響。當(dāng)?shù)貢r(shí)間2019年3月7日，委內(nèi)瑞拉境內(nèi)最大水電站遭到網(wǎng)絡(luò)攻擊，造成了持續(xù)5天的大規(guī)模停電，給正常生活和工作造成了極大的影響。雖然具體的攻擊手段目前并未公開，但這次事件充分說明，ICS在接入公網(wǎng)后存在嚴(yán)重的安全隱患，可能遭受惡意攻擊。

對ICS為代表的重點(diǎn)設(shè)施進(jìn)行網(wǎng)絡(luò)攻擊和防護(hù)，已成為國家間博弈和對抗的重要場景，強(qiáng)化工業(yè)及其相關(guān)物聯(lián)網(wǎng)設(shè)備的防御和應(yīng)急響應(yīng)能力已上升為國家安全層次。

2工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)

整個(gè)工業(yè)控制系統(tǒng)中的信息數(shù)據(jù)由工業(yè)控制計(jì)算機(jī)進(jìn)行統(tǒng)一分析處理，將設(shè)備控制和信息數(shù)據(jù)統(tǒng)籌兼顧，并設(shè)置用戶權(quán)限等級界定管理權(quán)限來確保信息安全。實(shí)現(xiàn)上述功能需要監(jiān)控與數(shù)據(jù)采集系統(tǒng)、可編程邏輯控制器、傳感器件等一起工作，使得現(xiàn)場設(shè)備的狀態(tài)信息、溫度壓強(qiáng)等監(jiān)控變量可以傳輸給上位機(jī)，并以圖文形式展現(xiàn)給操作人員，操作人員也可以遠(yuǎn)程控制現(xiàn)場設(shè)備的狀態(tài)。ICS從網(wǎng)絡(luò)結(jié)構(gòu)一般可以分為四層：企業(yè)層、監(jiān)控層、控制層和物理層[2]。接下來將以錦州加納芬高塔復(fù)合肥工業(yè)控制系統(tǒng)為例逐層分析，其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

將工業(yè)控制系統(tǒng)按照網(wǎng)絡(luò)層次可以劃分為企業(yè)層監(jiān)控層、控制層以及物理層。接下來將逐層進(jìn)行介紹，每一層級的功能和主要組成設(shè)備器件，以及層級之間的交互關(guān)系。

2.1企業(yè)層

企業(yè)層位于整個(gè)網(wǎng)絡(luò)系統(tǒng)的最上層，利用工業(yè)網(wǎng)關(guān)與監(jiān)控層建立連接，從而可以對位于控制層中的控制設(shè)備收發(fā)指令，進(jìn)而對物理層中的現(xiàn)場設(shè)備監(jiān)控和決策，由此可見企業(yè)層是掌控全局的存在，也被稱為控制決策層，具有權(quán)限和功能調(diào)度整個(gè)控制流程的所有運(yùn)行器件。為了實(shí)現(xiàn)上述功能，該層涵蓋信息管理系統(tǒng)、對外網(wǎng)絡(luò)服務(wù)器系統(tǒng)、制造執(zhí)行系統(tǒng)等，對整個(gè)工藝生產(chǎn)的質(zhì)量、產(chǎn)能、安全等進(jìn)行控制與決策。

2.2監(jiān)控層

監(jiān)控層是整個(gè)系統(tǒng)的核心，該層的存在使得操作人員可以遠(yuǎn)離工業(yè)一線現(xiàn)場，在監(jiān)控室便可以對整個(gè)工業(yè)生產(chǎn)過程的全局進(jìn)行實(shí)時(shí)監(jiān)控。主要功能是對現(xiàn)場的監(jiān)控?cái)?shù)據(jù)進(jìn)行收集整理轉(zhuǎn)發(fā)給上層的企業(yè)層，也將企業(yè)層的控制指令轉(zhuǎn)發(fā)給控制層，起到一個(gè)上傳下達(dá)的作用。一般由操作員站、工程師站和人機(jī)交互界面三種設(shè)備組成，操作員站和工程師站的區(qū)別在于管理權(quán)限的界定，操作員站由操作員進(jìn)行操作監(jiān)控現(xiàn)場，工程師站在此功能基礎(chǔ)上還可以對人機(jī)界面進(jìn)行整改、組態(tài)的開發(fā)利用、控制程序的更新和改正等。

2.3控制層

控制層借助分布式控制系統(tǒng)、遠(yuǎn)程終端單元和可編程控制器等控制設(shè)備完成監(jiān)控層預(yù)設(shè)程序中的控制要求，該層控制網(wǎng)絡(luò)中基于不同的控制設(shè)備要采用特定的通信協(xié)議，才能完成和現(xiàn)場設(shè)備以及監(jiān)控層順利進(jìn)行數(shù)據(jù)傳輸。

2.4物理層

整個(gè)網(wǎng)絡(luò)系統(tǒng)的最底層就是物理層，也可以稱之為現(xiàn)場設(shè)備層。該層級所有的設(shè)備幾乎都位于現(xiàn)實(shí)中的工業(yè)現(xiàn)場，直接致力于工業(yè)生產(chǎn)，例如斗提機(jī)、攪拌機(jī)、計(jì)量傳輸皮帶、刮板機(jī)等；也有一些負(fù)責(zé)數(shù)據(jù)采集的設(shè)備，例如溫度傳感器、氣體流量計(jì)、液位傳感器、閥門開度傳感器等；還有一些現(xiàn)場的交互設(shè)備，工作人員在現(xiàn)場就可以完成對設(shè)備的交互功能。以上幾類設(shè)備協(xié)同作用，將物理層工業(yè)現(xiàn)場的數(shù)據(jù)移交上層。

3工業(yè)控制系統(tǒng)的脆弱性分析

信息化浪潮在工業(yè)控制系統(tǒng)內(nèi)席卷而來，工業(yè)現(xiàn)場的操作人員從一線作業(yè)中抽身出來，操作方式越來越人性化，細(xì)節(jié)控制面面俱到，在管理層面也更加便利和簡明，原有的傳統(tǒng)管理方式不復(fù)存在?；谛畔⒒瘞淼闹T多良處，早先的生產(chǎn)過程效率大幅度提升，也可以滿足更高的控制目標(biāo)。但信息化這把雙刃劍也帶來了負(fù)面影響，打破了ICS的封閉，使得信息系統(tǒng)的安全隱患奪門而入沖擊了工控網(wǎng)絡(luò)，原本ICS中的漏洞隱患也愈加不可遏制，成了各種網(wǎng)絡(luò)攻擊的切入點(diǎn)。在管理ICS的過程中，管理人員的首要任務(wù)是保證工業(yè)生產(chǎn)的順利進(jìn)行，這就需要系統(tǒng)中的數(shù)據(jù)保證實(shí)時(shí)性、可用性和不可中斷，而基于當(dāng)前的形勢下，還需要著重考慮信息安全問題。而在操作過程中，操作人員也需要對當(dāng)前控制網(wǎng)絡(luò)中的流量情況、運(yùn)行狀態(tài)、系統(tǒng)報(bào)警日志進(jìn)行實(shí)時(shí)監(jiān)控，一旦發(fā)現(xiàn)異常及時(shí)上報(bào)，這些與安全相關(guān)的信息也變得尤為重要。

接下來將對工業(yè)控制系進(jìn)行結(jié)構(gòu)化風(fēng)險(xiǎn)分析，首先從各個(gè)層級的脆弱性逐一分析，再從安全的需求和目標(biāo)角度進(jìn)行分析，較為全面地討論工業(yè)控制系統(tǒng)的脆弱性所在之處，以及安全防護(hù)的著手點(diǎn)[3]。

由于物理環(huán)境受限、工控系統(tǒng)封閉及高可用性等原因，ICS最初設(shè)計(jì)過程中沒有對安全性進(jìn)行充分考慮，導(dǎo)致ICS的脆弱性無法避免。如今的ICS為了更好的發(fā)展，不斷融合新興信息技術(shù)，特別是工業(yè)互聯(lián)網(wǎng)及人工智能技術(shù)的廣泛應(yīng)用，潛在安全問題逐漸被暴露出來。針對ICS的脆弱性進(jìn)行分析，為針對性防御工作的研究夯實(shí)基礎(chǔ)[4]。根據(jù)現(xiàn)代ICS層次架構(gòu)，工業(yè)控制系統(tǒng)脆弱性主要包括以下三個(gè)方面。

1）物理層脆弱性

物理層設(shè)備往往位于生產(chǎn)第一線，不恰當(dāng)?shù)娜藶椴僮鳎瑢⒅苯悠茐脑械恼Ｉa(chǎn)作業(yè)，現(xiàn)實(shí)中甚至還存在人為的惡意操作，導(dǎo)致生產(chǎn)事故的發(fā)生。為了提高ICS的靈活性，打破物理環(huán)境中距離的影響，將工業(yè)無線傳感器納入系統(tǒng)內(nèi)，在出色地發(fā)揮作用的同時(shí)，很容易被竊聽。工業(yè)中的生產(chǎn)活動(dòng)周期長，甚至長達(dá)一個(gè)月不間斷生產(chǎn)，不能夠及時(shí)發(fā)現(xiàn)問題隱患并立刻解決處理。工業(yè)通信協(xié)議的設(shè)計(jì)優(yōu)先考慮傳輸有效性，不但缺乏安全認(rèn)證和授權(quán)保護(hù)，而且通信過程中的缺少防護(hù)措施，給了攻擊者機(jī)會(huì)去截取數(shù)據(jù)從而分析出系統(tǒng)內(nèi)的敏感信息。

2）監(jiān)控層和控制層脆弱性

監(jiān)控網(wǎng)絡(luò)中的主要核心設(shè)備是工程師站和操作員站，大部分由高性能的計(jì)算機(jī)充當(dāng)，不能及時(shí)對系統(tǒng)安裝補(bǔ)丁杜絕漏洞。專業(yè)的工程師在對監(jiān)控層的上位機(jī)的維護(hù)更新過程中，以及對控制層工控設(shè)備檢修的過程中，不夠嚴(yán)謹(jǐn)和遵守規(guī)范，使用個(gè)人工作站或者遠(yuǎn)程連接的方式，都可能將系統(tǒng)之外的威脅夾帶到系統(tǒng)之內(nèi)。

高權(quán)限的操作人員，可能熟知工藝流程的專業(yè)知識和時(shí)間經(jīng)驗(yàn)，但是往往缺乏信息安全的理念，相關(guān)的風(fēng)險(xiǎn)意識薄弱，無法在出現(xiàn)信息安全問題的時(shí)候及時(shí)發(fā)現(xiàn)并作出正確的應(yīng)對舉措。還有大部分威脅來源于軟件的方面，各類工控專用協(xié)議在設(shè)計(jì)之初只為了能夠滿足工控系統(tǒng)對數(shù)據(jù)傳輸高實(shí)時(shí)低延遲的要求，之前的封閉網(wǎng)絡(luò)環(huán)境，讓設(shè)計(jì)者沒有綜合考慮安全性的問題，所以在開放的環(huán)境下就暴露了諸多的缺陷，這樣的漏洞就為外部環(huán)境攻擊者提供了可乘之機(jī)。ICS有循環(huán)和非循環(huán)兩種通信方式，通信過程中的傳輸數(shù)據(jù)量較小，所以對網(wǎng)絡(luò)需求也就不像IT系統(tǒng)那么龐大，如洪泛攻擊、拒絕服務(wù)攻擊等一些通過網(wǎng)絡(luò)流量層面進(jìn)行的攻擊也威脅很大。

3）企業(yè)管理網(wǎng)絡(luò)脆弱性

企業(yè)層發(fā)展的大勢所趨是連入互聯(lián)網(wǎng)，從而增加更多的功能，對內(nèi)部數(shù)據(jù)進(jìn)行云存儲、云分析、云控制等。但是互聯(lián)網(wǎng)帶來的沖擊也不容小覷，如果系統(tǒng)內(nèi)的防火墻沒有正確配置、缺乏安全邊界管理等防護(hù)失誤，一些普通計(jì)算機(jī)中存在的潛在病毒、惡意程序都會(huì)沖擊ICS的安全性。

4開發(fā)場景中的風(fēng)險(xiǎn)

工程師在對工業(yè)控制系統(tǒng)進(jìn)行開發(fā)時(shí)，需要根據(jù)不同的工控設(shè)備采用不同的方式進(jìn)行開發(fā)，接下來將討論兩種應(yīng)用廣泛最為常見的工控設(shè)備PLC和SCADA。PLC設(shè)備一般會(huì)布置在工業(yè)現(xiàn)場，所以當(dāng)PLC工程師想要進(jìn)行程序更新、設(shè)備檢修維護(hù)時(shí)必須前往現(xiàn)場，工作站由便于攜帶的筆記本電腦擔(dān)任，通過串口或者連入以太網(wǎng)的方式和PLC建立連接，工程師操作工作站預(yù)先安裝的組態(tài)軟件便可以對PLC進(jìn)行開發(fā)調(diào)試。上位機(jī)中搭載著通用操作系統(tǒng)，負(fù)責(zé)SCADA系統(tǒng)開發(fā)的工程師想要對HMI等大多數(shù)SCADA系統(tǒng)的組件進(jìn)行開發(fā)調(diào)試，可以對上位機(jī)進(jìn)行遠(yuǎn)程控制，不用親自到場便可以完成系統(tǒng)的升級和調(diào)整。結(jié)合本人的實(shí)際工程項(xiàng)目經(jīng)驗(yàn)和調(diào)研，由于一些人為因素和現(xiàn)實(shí)情況，發(fā)現(xiàn)在開發(fā)場景中存在著幾點(diǎn)不規(guī)范的地方，可能會(huì)成為工控信息安全的定時(shí)炸彈。

4.1忽視密碼設(shè)置

生產(chǎn)管理過程中對操作人員的管理級別作出界定，高級的操作人員需要具有對整個(gè)工藝流程的熟稔于心，在各種情況下都具有迅速準(zhǔn)確的判斷能力，而對于授權(quán)的方式需要存在密碼控制功能。但現(xiàn)實(shí)情況下，操作人員會(huì)擔(dān)心忘記密碼需要進(jìn)行重置，只有設(shè)備廠商的工程師才可以進(jìn)行密碼重置，過程會(huì)比較煩瑣，為了避免浪費(fèi)人力財(cái)力而選擇不對設(shè)備設(shè)置管理密碼。

4.2上位機(jī)系統(tǒng)固件不升級

生產(chǎn)廠商只追求ICS的可用性，不會(huì)注重考慮其他因素，由于上位機(jī)系統(tǒng)和固件需要定期升級，可是升級后的系統(tǒng)會(huì)與組態(tài)軟件不兼容，這樣的沖突自然會(huì)影響到生產(chǎn)過程的長期穩(wěn)定，所以在配置上位機(jī)后有很長時(shí)間不會(huì)對操作系統(tǒng)進(jìn)行升級，系統(tǒng)漏洞也就會(huì)長期存在。

4.3使用盜版軟件

在工控設(shè)備選型時(shí)除了考慮是否能滿足控制要求，還需要考慮控制成本，不同品牌的產(chǎn)品除了功能存在差異，還需要配置對應(yīng)獨(dú)有的組態(tài)開發(fā)軟件，這些軟件都是生產(chǎn)商自主研發(fā)的，所以在使用時(shí)還需要額外支付一筆費(fèi)用，大部分廠商為了降低控制成本而使用非正規(guī)的破解版，這些破解版軟件可以免費(fèi)在網(wǎng)上下載，完全存在捆綁病毒和惡意程序的風(fēng)險(xiǎn)，從而進(jìn)入到工控系統(tǒng)內(nèi)部。

5結(jié)論

隨著兩化融合的推進(jìn)，ICS不僅打破了原有封閉的網(wǎng)絡(luò)，還兼并支持通用的TCP/IP協(xié)議及辦公操作系統(tǒng)，對計(jì)算機(jī)網(wǎng)絡(luò)及信息系統(tǒng)的依賴程度與日俱增的同時(shí)，接踵而至的是多樣頻發(fā)的信息安全問題。文章開篇梳理近年來的國內(nèi)外ICS安全事件，揭示ICS面對的安全態(tài)勢不容樂觀，接下來以錦州加納芬高塔復(fù)合肥工廠為實(shí)例對ICS的結(jié)構(gòu)進(jìn)行深度剖析，對應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)詳細(xì)闡釋每部分的器件組成和實(shí)現(xiàn)功能，逐層著重分析其脆弱性；并結(jié)合實(shí)際工程項(xiàng)目經(jīng)驗(yàn)總結(jié)開發(fā)場景中的風(fēng)險(xiǎn)。旨在揭露工業(yè)控制系統(tǒng)高速信息化發(fā)展下忽視的短板，為防御策略的研究提供方向。

【參考文獻(xiàn)】

[1] LIANG G Q，WELLER S R，ZHAO J H，et al. The 2015 Ukraine Blackout：Implications for False Data Injection Attacks[J]. IEEE Transactions on Power Systems，2017，32（4）：3317-3318.

[2]徐海洲.基于軟件定義網(wǎng)絡(luò)的工業(yè)控制系統(tǒng)信息安全防護(hù)設(shè)計(jì)及實(shí)現(xiàn)[D].武漢：華中科技大學(xué)，2019.

[3] MALATJI M，MARNEWICK A L，SOLMS S V. Cybersecurity capabilities for critical infrastructure resilience[J].Information and Computer Security，2022，30（2）：255-279.

[4]賴英旭，劉靜，劉增輝，等.工業(yè)控制系統(tǒng)脆弱性分析及漏洞挖掘技術(shù)研究綜述[J].北京工業(yè)大學(xué)學(xué)報(bào)，2020，46（6）：571-582.

【作者簡介】

李鵬程，男，1996年出生，碩士，研究方向?yàn)闇囟扔?jì)量。

王浩，男，1983年出生，高級工程師，碩士，研究方向?yàn)闊釋W(xué)計(jì)量。

（編輯：謝飛燕）