工業控制系統是系統的系統，其中的計算成分與物理成分、底層的過程和控制這些系統的策略之間是蜜耦合的。工業控制系統普遍存在于幾乎所有的工業領域和關鍵基礎設施中，包括電力、石油和天然氣、交通運輸、供水和污水處理、化工、制藥、造紙、食品加工以及機械制造等。

    因此，對工業控制系統的安全威脅對人類健康和安全形成重大風險，對環境預示著嚴重的破壞并且可能對經濟施以負面的影響。文章以工業控制系統的典型安全事件為例，分析工業控制系統保護的全危險本性，從而準備、預防、預警、響應和恢復等工業控制系統安全管理過程都需要以全危險的方式，全方位地考慮物理、網絡和人的風險因素。

工業控制系統簡介

    一個工業控制系統通常包含幾種類型的控制系統：

    1)監視控制與數據采集(SCADA)系統。

    2)分布式控制系統(DCS)。

    3)可編程邏輯控制器(PLC)。

    PLC是基于計算機的控制工業設備和過程的半導體裝置。在為離散過程提供操作控制的小型控制系統中，例如汽車裝配線等，PLC是常用的主要部件；在SCADA和DCS系統中廣泛使用PLC作為控制系統的部件。幾乎在所有工業過程中都廣泛地使用PLC。

    DCS用于控制工業過程。DCS是一個綜合的體系結構，其中包含多個綜合的負責局部過程任務控制的子系統和一個監視這些子系統的控制管理層。按控制功能的需要，特殊的PLC用于現場并且按需要對其進行設置。DCS廣泛地用于基于過程的工業。

    SCADA系統是高度分布式的計算機系統，用于控制地理上分散的資產，這些資產有時分散于數千平方公理范圍內，集中的數據采集和控制是系統運行的關鍵。一個SCADA控制中心通過長途通信網絡對場地實行集中監視和控制，包括監視警報和過程狀態數據�；�于從遠程工作站點收到的數據，自動的或者由操作員發出的管

    理指令能夠推動遠程站點的控制設備�，F場設備控制本地操作，例如開啟和關閉閥門及斷路器，采集數據和監視警報條件的本地環境。

    SCADA、DCS和PLC的一個主要區別是：DCS和PLC控制的子系統通常位于更有限的工廠或車間的中心區域，而SCADA場地是地理分散的。DCS和PLC通信通常使用LAN技術實現，這比SCADA系統使用的長途通信系統更可靠和高速。SCADA系統的設計特別要處理長途通信的問題，例如由于各種通信介質所造成的延遲和數據損失。由于工業過程的控制比分布式過程的監視控制實際上更復雜，DCS和PLC系統通常比SCADA系統使用更大程度的閉環控制。

    以上描述可以歸納為：DCS和PLC系統是面向過程的，由過程驅動，能夠實現閉環實時過程的控制；而SCADA系統是面向數據采集的，由事件驅動，SCADA系統總被認為是一個協同配合系統，但是一般沒有以實時的方式控制過程。需要注意的是，工業控制系統的實際實現可能合并DCS和SCADA系統的特征而使兩者的界線模糊，比如一個較小城市的供水系統就可能不區分DCS和SCADA系統。

工業控制系統安全的幾個典型案例

    1．2010年6月的“震網”病毒事件

    “震網”病毒的攻擊目標針對伊朗在納坦茲的濃縮鈾工廠和布什爾核電廠汽輪機控制。在2010年的攻擊中，第二個目標沒有啟動，也可能是沒有完成。“震網”病毒就是利用了7個漏洞進行網絡攻擊，其中包括Windows系統及其第三方產品(打印機)中的5個漏洞和西門子WinCC系統中的2個漏洞。利用這些漏洞就可以惡意篡改伊朗鈾分離機控制系統可編成邏輯控制器(PLC)的控制邏輯，進而使分離機電動機的速度周期性地異常變換，引起分離機異常運轉甚至造成物理破壞。

    2．2008年初我國南方的“冰雪”事件

    2008年1月中旬到2月上旬，我國南方地區連續遭受4次低溫雨雪冰凍極端天氣過程襲擊，總體強度為50年一遇，其中貴州、湖南等地為百年一遇。這場極端災害性天氣影響范圍廣，持續時間長，災害強度大。根據2008年4月22日《國務院關于抗擊低溫雨雪冰凍災害及災后重建工作情況的報告》，這次“冰雪”事件對電力系統和交通運輸所造成的影響及其連鎖反應如下：

    1)電力設施損毀嚴重。持續的低溫雨雪冰凍造成電網大面積倒塔斷線，13個省(區、市)輸配電系統受到影響，170個縣(市)的供電被迫中斷，3．67萬條線路、2018座變電站停運；湖南500千伏電網除湘北、湘西外基本停運，郴州電網遭受毀滅性破壞；貴州電網500千伏主網架基本癱瘓，西電東送通道中斷江西、浙江電網損毀也十分嚴重。

    2)交通運輸嚴重受阻。京廣、滬昆鐵路因斷電運輸受阻，京珠高速公路等“五縱七橫”干線近2萬公里癱瘓，22萬公里普通公路交通受阻。

    3)電煤供應告急。由于電力中斷和交通受阻，加上一些煤礦提前放假和檢修等因素，部分電廠電煤庫存急劇下降。缺煤停機最多時達4200萬千瓦，19個省(市、區)出現不同程度的拉閘限電。

    4)工業企業大面積停產。電力中斷、交通運輸受阻等因素導致災區工業生產受到很大影響，其中湖南83％以上的工業企業、江西90％的工業企業一度停產。有600多處礦井被淹。

    5)居民生活受到嚴重影響。災區城鎮水、電、氣管線(網)及通信等基礎設施受到不同程度的破壞，人民群眾的生命安全受到嚴重威脅。據民政部初步核定，此次災害共造成129人死亡，4人失蹤；緊急轉移安置166萬人；倒塌房屋48．5萬間，損壞房屋168．6萬問；因災直接經濟損失1516．5億元人民幣。

    3．2011年“7·23”甬溫線特別重大鐵路交通事故

    2011年7月23日20時30分05秒，甬溫線浙江省溫州市境內，由北京南站開往福州站的D301次列車與杭州站開往福州南站的D3115次列車發生動車組列車追尾事故，造成4O人死亡、172人受傷，中斷行車32小時35分，直接經濟損失19371．65萬元人民幣。根據國務院“7·23”甬溫線特別重大鐵路交通事故調查組2011年12月25日公布的《“7·23”甬溫線特別重大鐵路交通事故調查報告》顯示，2011年7月23日19時30分左右，雷擊溫州南站沿線鐵路牽引供電接觸網或附近大地，通過大地的阻性耦合或空間感性耦合在信號電纜上產生浪涌電壓，在多次雷擊浪涌電壓和直流電流共同作用下，溫州南站列控中心設備采集驅動單元采集電路電源回路中的保險管F2熔斷。根據《“7·23”甬溫線特別重大鐵路交通事故調查報告》顯示，事故發生的過程大致如下：

    1)當溫州南站列控中心采集驅動單元采集電路電源回路中保險管F2遭雷擊熔斷后，采集數據不再更新，錯誤地控制軌道電路發碼及信號顯示，使行車處于不安全狀態。

    2)雷擊也造成5829AG軌道電路發送器與列控中心通信故障，使從永嘉站出發駛向溫州南站的D3115次列車超速防護系統自動制動，在5829AG區段內停車。

    3)由于軌道電路發碼異常，導致其3次轉目視行車模式起車受阻，7分4O秒后才轉為目視行車模式，以低于20公里／小時的速度向溫州南站緩慢行駛，未能及時駛出5829閉塞分區。

    4)因溫州南站列控中心未能采集到前行D3115次列車在5829AG區段的占用狀態信息，使溫州南站列控中心管轄的5829閉塞分區及后續兩個閉塞分區防護信號錯誤地顯示綠燈，向D301次列車發送無車占用碼，導致D301次列車駛向D3115次列車并發生追尾。

    5)上海鐵路局有關作業人員安全意識不強，在設備故障發生后，未認真正確地履行職責，故障處置工作不得力，未能起到可能避免事故發生或減輕事故損失的作用。

工業控制系統面臨高級持續威脅的風險

    高級持續威脅(Advanced Persistent Threat，APT)是針對特定目標跨越長時間段的(即“持續”)復雜的(即“高級”)網絡攻擊。檢測APT威脅有時可能需要數月的時間，如何有效地防范APT是目前信息安全普遍面臨的難題。APT攻擊具有以下4個特征：

    1)有目標的。APT針對特定組織以竊取特殊數據或導致特殊破壞為目的。例如，上述“震網”病毒的攻擊目標是伊朗在納坦茲的濃縮鈾工廠，目的是物理地破壞鈾分離機從而延緩伊朗核工業的發展。

    2)持續的。APT通過跨越長時間的多階段才結束，可能是數月甚至數年。例如，早在2009年7月，“震網”病毒就已經出現在網絡上了，當時設法與西門子SCADA系統相連接和竊取數據。在2010年攻擊事件發生的前幾個月，增加了更復雜的技術以逃避防病毒檢測并且自安裝到Windows系統上。

    3)逃避的。APT使用偽裝、多級包裝等技術和其他策略。傳統的防火墻、入侵預防系統、防病毒軟件未能阻止未知、針對目標的APT威脅。例如，“震網”病毒的活動非常隱蔽，代碼短小精妙，具備極強的自我保護功能�！罢鹁W”病毒可以把自己隱藏起來，特別是發動攻擊侵入離心機操控系統后，會首先記錄正常離心機的正常運轉數據，攻擊成功后，離心機運轉速度失控，但監控設備收到的卻是“震網”病毒發送的“正常數據”，令監控人員無法及時察覺，從而可最大限度地達到破壞效果。

    4)復雜的。APT針對目標組織內的多個漏洞進行復雜混合攻擊方法。例如，“震網”病毒就是利用了7個漏洞進行網絡攻擊，其中包括Windows系統及其第三方產品(打印機)中的5個漏洞和西門子WinCC系統中的2個漏洞。利用這些漏洞就可以惡意篡改伊朗鈾分離機控制系統PLC的控制邏輯，進而使分離機電動機的速度周期性地異常變換，引起分離機異常運轉甚至造成物理破壞。

    通過以上分析可見，“震網”病毒事件是典型的APT攻擊，工業控制系統面臨APT攻擊的風險。

工業控制系統處于全危險的環境中

    網絡一物理協同攻擊(Coordinated Cyber—Physical Attacks)包括使用網絡和物理手段攻擊一個目標。例如，網絡攻擊首先使安全系統失效從而推動針對公共服務基礎設施的物理攻擊�！罢鹁W”病毒首先利用微軟Windows操作系統的漏洞監控伊朗鈾分離機PLC控制系統，進而惡意篡改PLC的控制邏輯，導致分離機電動機的速度周期性地異常變換，最終造成分離機異常運轉甚至造成物理破壞。這就是一種網絡一物理攻擊。因此，“震網”病毒事件是基于APT模式網絡一物理協同攻擊的典型案例。

    如果由內部人員或服務商有意或無意地將一個基于APT模式網絡一物理協同攻擊的惡意病毒植入一個工業控制系統之中，那么這個惡意病毒就可能長時期地潛伏在系統之中，逐步釋放其隱藏的能力，最終發起破壞性的攻擊。由于其代碼是多級包裝和加密的甚至具有自刪除行動軌跡的能力，只有實時監視才能在其行動過程中及時捕獲惡意代碼和證據，從而逐步識別惡意代碼和增強態勢感知以使在其沒有發起惡意破壞之前就將其遏制或刪除。一些APT威脅可能持續數月甚至數年。因此，基于APT模式網絡一物理協同攻擊構成對工業控制系統最危險的挑戰之一。

    影響網絡安全防御的7個重要因素之一是“攻擊規則，災害的規則也類似”。物理和網絡攻擊是很少相互排斥的，非網絡事件可能影響網絡的功能性，自然災害或物理攻擊影響網絡基礎設施和網絡中斷，可以具有嚴重的物理后果。因此，自然災害也可能引起與網絡一物理協同攻擊類似的效果。例如，在“7·23”甬溫線特別重大鐵路交通事故中，首先由于雷電引起列車運行控制系統操作失靈，同時由于缺乏針對控制系統故障有效的響應措施而導致一系列調度管理上的失誤，最終造成兩組列車高速碰撞而導致機車嚴重破壞和40人死亡的嚴重事件。因此，“7·23”事件可以看作是與自然災害相關聯的網絡一物理協同攻擊。這是一個非常重要的警示，工業控制系統的網絡安全管理必須綜合考慮人為的網絡攻擊和自然災害的威脅和危險。

    2008年初的“冰雪”事件，首先由于冰雪引起電力供應中斷、公路交通運輸受阻，同時京廣、滬昆鐵路也因斷電運輸受阻，由于鐵路和公路交通受阻進一步導致部分電廠缺煤停機，從而造成部分地區工業企業大面積停產，最終使居民生活受到嚴重影響。由于工業領域和關鍵基礎設施的互連通性和互依賴性，“冰雪”直接引起了多領域連鎖的物理破壞。然而，對“冰雪”事件后果的思考不能只限于自然災害“冰雪”，類似的后果也可能由網絡攻擊引起，比如，對電網控制系統的網絡攻擊也可能引起電力供應中斷，斷電使鐵路運輸受阻，交通受阻又導致相關聯的電廠缺煤停機，進一步造成相關聯的工業企業停產。因此，網絡一物理協同攻擊也可能是多領域的協同攻擊。美國網絡風暴II演練的主要目的就是檢查網絡響應團體面對通過全球網絡基礎設施多領域協同攻擊響應的過程、程序、手段和組織。

    人為的網絡攻擊和自然災害都可能引起網絡一物理協同攻擊。人為的物理攻擊，比如戰爭、恐怖攻擊和自然災害等也都可能直接造成工業控制系統嚴重的物理破壞，甚至多領域的連鎖反應。因此，工業控制系統處于全危險(A11一Hazards)的環境中，_丁業控制系統安全管理需要全危險的方式。重要的工業控制系統屬于國家的關鍵基礎設施，美國的《國家基礎設施保護計劃》(NIPP)和《國家準備指南》值得我國工業控制系統安全管理借鑒。參考文獻詳細地論述了美國政府怎樣將全危險方式用于國家關鍵基礎設施的保護及制定與維護應急行動計劃中。參考文獻[61對全危險描述如下：“全危險是包括環境的或人為的所有情形的分類分級，其具有潛能引起傷害、疾病或死亡，設備、基礎設施服務或財產的破壞或喪失，或者說引起社會、經濟或環境方面的功能降級”。因此，全危險方式是適合于預防、保護、準備、響應和恢復的一種方法，其綜合處理全方位的威脅和危險，包括敵對者的網絡攻擊、自然和人為的災害、意外的中斷以及其他緊急事件。

關于工業控制系統安全管理的特殊考慮

    1．工業控制系統特別需要防范物理攻擊的威脅和風險

    如參考文獻所述，工業控制系統與傳統信息系統在結構安全的焦點上有很大的不同。在傳統的信息系統中，安全的主要焦點是保護集中或分布式的信息技術資產的操作和存儲，或者在這些資產之間傳播的信息。在一些結構中，集中存儲和處理的信息是更重要的和更值得保護的。對于工業控制系統，因為邊緣客戶機(例如PLC、操作員工作站、DCS控制器)直接負責終端過程的控制，必須充分地保護這些設備。因為中心服務器可能會反向影響每個邊緣設備，在工業控制系統中，中心服務器的保護仍然是非常重要的。因此，工業控制系統安全的最終保護目標是終端生產設備及其操作過程。

    由于工業控制系統最終控制的是終端生產設備，并且廣泛采用的PLC是可編程的，因此，一個網絡攻擊可以惡意篡改PLC的控制過程而使被控制的生產設備遭受物理破壞。“震網”惡意事件就充分證明了這種可能性并且使其成為現實。另外，由于工業控制系統所使用的許多設備是專用的，通常是設備廠家所專有的，更換設備的成本會很高。

    并且，對于某些領域的工業控制系統，不但需要考慮物理破壞的直接后果，而且需要考慮其間接影響，比如，化工廠的物理破壞可能引起有害氣體的泄漏而危害人的生命；對于那些具有高連通性和互依賴性的領域，在一個領域工業控制系統的物理破壞可能會波及其他領域而導致連鎖的物理破壞，例如，2008年的“冰雪”事件就是一個典型的案例。因此，在傳統信息系統中的保護一檢測一響應模式不能簡單地用于工業控制系統中。由于可能造成工業生產設備的物理破壞，傳統信息安全風險評估和信息安全演練中所廣泛采用的滲透性測試也不可能直接用于工業控制系統中。

    在9·11事件之后，由于擔心網絡攻擊國家電力系統基礎設施，美國啟動了國家SCADA試驗床和控制系統安全計劃。SCADA試驗床計劃的目的是幫助識別控制系統中的安全漏洞，包括發電廠、配電系統、油氣輸送管道、供水系統、運輸系統、水壩等的控制系統，將所發現的安全漏洞報告給供應商，以采取補救措施，并且成為將來采購清單的一部分。美國國土安全部網絡安全局所主導的網絡風暴I和II都主要是針對關鍵基礎設施行業(比如電信、能源和交通運輸等)安全保護而進行的網絡演練，也是基于試驗床進行的。

    另外，由于可能造成物理破壞并且設備也可能存在物理漏洞，對于工業控制系統，傳統上對軟件漏洞打補丁的方式是必要的然而是不充分的。以“震網”病毒攻擊伊朗鈾分離機為例：分離機電動機的正常轉速應該在807轉／分鐘到1210轉／分鐘之間；而“震網”病毒攻擊使伊朗鈾分離機電動機的轉速從1410轉／分鐘到2轉／分鐘到1064轉／分鐘，周期性地快速變換，從而造成分離機的物理破壞。因此，即使修補了“震網”病毒所利用的7個漏洞，仍然不能阻止攻擊者發現和利用其他未知漏洞進行類似的攻擊。如果對未被破壞的分離機增加防電動機異常變速的措施，或者增強分離機的物理安全標準，使新分離機能夠自動地阻止這種異常變換，即使控制系統遭受類似的網絡攻擊，由于設備自身就可以阻止設備的物理破壞，從而就可以遏制潛在的網絡一物理協同攻擊。

    2．工業控制系統的安全管理是多領域和多學科的

    “震網”病毒攻擊是針對工業生產和控制系統進行網絡一物理協同攻擊的一個典型案例。評估網絡一物理協同攻擊的影響將需要對信息安全、物理安全和工業系統基礎設施的專門知識和技術。既然攻擊可能是網絡一物理協同的，安全解決方案也應該是網絡一物理協同的。另外，在全危險的環境下，不但需要防范敵對的網絡攻擊而且需要特別關注自然或人為災害的破壞。

    工業控制系統的自身結構涉及機械工程、電氣與電子工程、信息工程等，生產原材料和產品涉及物理、化學和生物等，自然災害涉及氣象(比如洪水、颶風、冰雪和雷電等)、地質(比如地震)等多學科的專業知識和技術。不同學科的專業技術人員通常只熟悉或感興趣自己所擅長的技術解決方案。根據參考文獻[1]的分析，當前工業控制系統保護的問題是作為一個網絡安全問題來處理。然而適合于網絡安全問題的解決方案不總是能夠轉化為工業控制系統保護方案。例如，對化工廠、污水系統、水壩控制和電力一個成功攻擊的物理力度變化和效果可能是真實和直接的。對于信息系統，可能實行相反的補償，例如，如果信用卡被盜，可以取消對應的賬號和發給新卡�？墒�，一旦一個水壩被破壞，或有毒的化學制品和氣體被釋放，補償是非常困難的(如果不是不可能的)，并且對生命和財產的真實損害幾乎是不可避免的。

    因此，工業控制系統的安全管理不但需要多學科的專業技術人員，而且需要多領域的管理和技術人員的協作。信息共享對解決工業控制系統安全是至關重要的。目前，這種多學科多領域的協作和信息共享仍然存在許多問題。如參考文獻所述，由于以下幾個原因導致工業控制系統安全解決方案的缺乏：

    1)缺乏適合于保護工業控制系統的網絡和物理兩方面的綜合方法。

    2)工業控制系統典型地使用嵌入式實時操作系統和執行程序，但是為了保持低成本和商l生能，這種軟件的供應商普遍沒有在其軟件架構中建造固有安全(Safety)和安全保障(Security)機制。

    3)工業控制系統的設計、建設和運營需要多種技能，然而安全保障專家常常趨向于信息專家，而不是從事于工業控制系統領域的專家或工程師。

    3．淺議工業控制系統安全演練及試驗床

    借鑒參考文獻中對美國“國家演練計劃(NEP)”的描述：NEP保證在全危險環境中，國家做好響應的準備和測試由NIPP所提出的保護計劃和項目的穩定狀態，以及它們向在國家響應框架(NRF)中所確定的事件管理框架的轉換。由于工業控制系統是運營于全危險的環境中，工業控制系統的安全演練也必須是基于全危險方式的。

    參考文獻分析了工業控制系統與傳統信息系統的區別，其中工業控制系統的以下3個特點對演練提出了更高的需求：

    1)實時性能需求。工業控制系統通常時間是關鍵的，有些系統需要實時地傳送信息和運行系統，信息流必須不被中斷和受到危害。對這些系統的訪問應該受嚴格的物理安全控制所限制。

    2)高可用性需求。通常，工業控制系統所控制的過程具有連續的本性，不可能容忍不期望的系統中斷。在保證工業控制系統高可用性徹底的部署前，測試是必要的。一些情況下，在生產的產品和使用的設備比被延遲的信息更重要。因此，由于對工業控制系統高可用性、可靠性和可維護性需求的不利影響，傳統的信息技術戰略通常是不可接受的，比如重新啟動一個部件。

    3)物理的交互作用。一個工業控制系統從物理環境獲得輸入和可能的反饋，與物理環境的交互作用可能是復雜的，因果關系可以出現在物理事件中。綜合到工業控制系統的所有安全功能必須進行測試以證明它們不會危害正常的工業控制系統功能。

    工業控制系統的試驗床不但能夠提供安全攻防演練的基地，而且可能用于測試安全措施對系統性能和功能的影響。另外，在全危險的環境下，需要全危險的事件響應和恢復、全危險的風險評估和全危險的安全攻防演練，這就需要全危險的試驗床。按參考文獻對全危險的描述，需要分類分級地模擬各種類型網絡攻擊和自然與人為災害．并且能夠用于測試發生的可能性及其跨多領域后果的等級和在安全演練中各種響應對工業控制系統性能和功能的影響。這不但需要機械工程、電氣與電子工程、信息工程、物理、化學和生物等多學科的專業知識和技術，而且需要關于災害的相關專業知識和防范措施。因此，試驗床必須有說服力地、實時地仿真物理動力學和效果。這些試驗床也必須支持構成完整工業控制系統的多領域和學科。

    根據參考文獻[1]的描述，在現今的工業控制系統中缺乏對風險的共同理解。風險常常按領域為基礎的特別方式進行評估；量化和控制風險的一致方案是不可用的。例如，具有分布式覆蓋區而非常廣泛的用戶基地的電力網比集中定位而具有較少鄰近人口的化工廠，是更危險還是更不危險?同樣根據參考文獻的描述，在不同領域的工業控制系統中不存在一致的安全性能量度。雖然在工業領域生產力和產出量度是可用的，關于綜合網絡連通性和系統級安全的量度尚沒有可用的，能夠跨越多工業控制系統領域的性能和風險評估的試驗床也沒有出現。構建多個領域特定的試驗床可能是令人望而卻步的昂貴。

    文章初步討論了在全危險環境中工業控制系統安全管理面臨的一些關鍵挑戰，并且著重分析了工業控制系統安全管理不同于傳統信息系統安全管理的獨特特征。全危險的安全演練對制定工業控制系統保護計劃和安全事件響應計劃是非常關鍵和不可缺少的，因此，全危險的試驗床是必須的。開發全危險的試驗床需要許多技術創新，不可能一蹴而就；無論是認識還是研究和開發都必須遵循由淺人深、由簡單到復雜，分階段不斷完善的過程。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：信息安全熱點探討:工業控制系統安全

本文網址：http://www.guhuozai8.cn/html/consultation/1083953106.html