信息安全热点探讨:工业控制系统安全

    工业控制系统是系统的系统，其中的计算成分与物理成分、底层的过程和控制这些系统的策略之间是蜜耦合的。工业控制系统普遍存在于几乎所有的工业领域和关键基础设施中，包括电力、石油和天然气、交通运输、供水和污水处理、化工、制药、造纸、食品加工以及机械制造等。

    因此，对工业控制系统的安全威胁对人类健康和安全形成重大风险，对环境预示着严重的破坏并且可能对经济施以负面的影响。文章以工业控制系统的典型安全事件为例，分析工业控制系统保护的全危险本性，从而准备、预防、预警、响应和恢复等工业控制系统安全管理过程都需要以全危险的方式，全方位地考虑物理、网络和人的风险因素。

工业控制系统简介

    一个工业控制系统通常包含几种类型的控制系统：

    1)监视控制与数据采集(SCADA)系统。

    2)分布式控制系统(DCS)。

    3)可编程逻辑控制器(PLC)。

    PLC是基于计算机的控制工业设备和过程的半导体装置。在为离散过程提供操作控制的小型控制系统中，例如汽车装配线等，PLC是常用的主要部件；在SCADA和DCS系统中广泛使用PLC作为控制系统的部件。几乎在所有工业过程中都广泛地使用PLC。

    DCS用于控制工业过程。DCS是一个综合的体系结构，其中包含多个综合的负责局部过程任务控制的子系统和一个监视这些子系统的控制管理层。按控制功能的需要，特殊的PLC用于现场并且按需要对其进行设置。DCS广泛地用于基于过程的工业。

    SCADA系统是高度分布式的计算机系统，用于控制地理上分散的资产，这些资产有时分散于数千平方公理范围内，集中的数据采集和控制是系统运行的关键。一个SCADA控制中心通过长途通信网络对场地实行集中监视和控制，包括监视警报和过程状态数据。基于从远程工作站点收到的数据，自动的或者由操作员发出的管

    理指令能够推动远程站点的控制设备。现场设备控制本地操作，例如开启和关闭阀门及断路器，采集数据和监视警报条件的本地环境。

    SCADA、DCS和PLC的一个主要区别是：DCS和PLC控制的子系统通常位于更有限的工厂或车间的中心区域，而SCADA场地是地理分散的。DCS和PLC通信通常使用LAN技术实现，这比SCADA系统使用的长途通信系统更可靠和高速。SCADA系统的设计特别要处理长途通信的问题，例如由于各种通信介质所造成的延迟和数据损失。由于工业过程的控制比分布式过程的监视控制实际上更复杂，DCS和PLC系统通常比SCADA系统使用更大程度的闭环控制。

    以上描述可以归纳为：DCS和PLC系统是面向过程的，由过程驱动，能够实现闭环实时过程的控制；而SCADA系统是面向数据采集的，由事件驱动，SCADA系统总被认为是一个协同配合系统，但是一般没有以实时的方式控制过程。需要注意的是，工业控制系统的实际实现可能合并DCS和SCADA系统的特征而使两者的界线模糊，比如一个较小城市的供水系统就可能不区分DCS和SCADA系统。

工业控制系统安全的几个典型案例

    1．2010年6月的“震网”病毒事件

    “震网”病毒的攻击目标针对伊朗在纳坦兹的浓缩铀工厂和布什尔核电厂汽轮机控制。在2010年的攻击中，第二个目标没有启动，也可能是没有完成。“震网”病毒就是利用了7个漏洞进行网络攻击，其中包括Windows系统及其第三方产品(打印机)中的5个漏洞和西门子WinCC系统中的2个漏洞。利用这些漏洞就可以恶意篡改伊朗铀分离机控制系统可编成逻辑控制器(PLC)的控制逻辑，进而使分离机电动机的速度周期性地异常变换，引起分离机异常运转甚至造成物理破坏。

    2．2008年初我国南方的“冰雪”事件

    2008年1月中旬到2月上旬，我国南方地区连续遭受4次低温雨雪冰冻极端天气过程袭击，总体强度为50年一遇，其中贵州、湖南等地为百年一遇。这场极端灾害性天气影响范围广，持续时间长，灾害强度大。根据2008年4月22日《国务院关于抗击低温雨雪冰冻灾害及灾后重建工作情况的报告》，这次“冰雪”事件对电力系统和交通运输所造成的影响及其连锁反应如下：

    1)电力设施损毁严重。持续的低温雨雪冰冻造成电网大面积倒塔断线，13个省(区、市)输配电系统受到影响，170个县(市)的供电被迫中断，3．67万条线路、2018座变电站停运；湖南500千伏电网除湘北、湘西外基本停运，郴州电网遭受毁灭性破坏；贵州电网500千伏主网架基本瘫痪，西电东送通道中断江西、浙江电网损毁也十分严重。

    2)交通运输严重受阻。京广、沪昆铁路因断电运输受阻，京珠高速公路等“五纵七横”干线近2万公里瘫痪，22万公里普通公路交通受阻。

    3)电煤供应告急。由于电力中断和交通受阻，加上一些煤矿提前放假和检修等因素，部分电厂电煤库存急剧下降。缺煤停机最多时达4200万千瓦，19个省(市、区)出现不同程度的拉闸限电。

    4)工业企业大面积停产。电力中断、交通运输受阻等因素导致灾区工业生产受到很大影响，其中湖南83％以上的工业企业、江西90％的工业企业一度停产。有600多处矿井被淹。

    5)居民生活受到严重影响。灾区城镇水、电、气管线(网)及通信等基础设施受到不同程度的破坏，人民群众的生命安全受到严重威胁。据民政部初步核定，此次灾害共造成129人死亡，4人失踪；紧急转移安置166万人；倒塌房屋48．5万间，损坏房屋168．6万问；因灾直接经济损失1516．5亿元人民币。

    3．2011年“7·23”甬温线特别重大铁路交通事故

    2011年7月23日20时30分05秒，甬温线浙江省温州市境内，由北京南站开往福州站的D301次列车与杭州站开往福州南站的D3115次列车发生动车组列车追尾事故，造成4O人死亡、172人受伤，中断行车32小时35分，直接经济损失19371．65万元人民币。根据国务院“7·23”甬温线特别重大铁路交通事故调查组2011年12月25日公布的《“7·23”甬温线特别重大铁路交通事故调查报告》显示，2011年7月23日19时30分左右，雷击温州南站沿线铁路牵引供电接触网或附近大地，通过大地的阻性耦合或空间感性耦合在信号电缆上产生浪涌电压，在多次雷击浪涌电压和直流电流共同作用下，温州南站列控中心设备采集驱动单元采集电路电源回路中的保险管F2熔断。根据《“7·23”甬温线特别重大铁路交通事故调查报告》显示，事故发生的过程大致如下：

    1)当温州南站列控中心采集驱动单元采集电路电源回路中保险管F2遭雷击熔断后，采集数据不再更新，错误地控制轨道电路发码及信号显示，使行车处于不安全状态。

    2)雷击也造成5829AG轨道电路发送器与列控中心通信故障，使从永嘉站出发驶向温州南站的D3115次列车超速防护系统自动制动，在5829AG区段内停车。

    3)由于轨道电路发码异常，导致其3次转目视行车模式起车受阻，7分4O秒后才转为目视行车模式，以低于20公里／小时的速度向温州南站缓慢行驶，未能及时驶出5829闭塞分区。

    4)因温州南站列控中心未能采集到前行D3115次列车在5829AG区段的占用状态信息，使温州南站列控中心管辖的5829闭塞分区及后续两个闭塞分区防护信号错误地显示绿灯，向D301次列车发送无车占用码，导致D301次列车驶向D3115次列车并发生追尾。

    5)上海铁路局有关作业人员安全意识不强，在设备故障发生后，未认真正确地履行职责，故障处置工作不得力，未能起到可能避免事故发生或减轻事故损失的作用。

工业控制系统面临高级持续威胁的风险

    高级持续威胁(Advanced Persistent Threat，APT)是针对特定目标跨越长时间段的(即“持续”)复杂的(即“高级”)网络攻击。检测APT威胁有时可能需要数月的时间，如何有效地防范APT是目前信息安全普遍面临的难题。APT攻击具有以下4个特征：

    1)有目标的。APT针对特定组织以窃取特殊数据或导致特殊破坏为目的。例如，上述“震网”病毒的攻击目标是伊朗在纳坦兹的浓缩铀工厂，目的是物理地破坏铀分离机从而延缓伊朗核工业的发展。

    2)持续的。APT通过跨越长时间的多阶段才结束，可能是数月甚至数年。例如，早在2009年7月，“震网”病毒就已经出现在网络上了，当时设法与西门子SCADA系统相连接和窃取数据。在2010年攻击事件发生的前几个月，增加了更复杂的技术以逃避防病毒检测并且自安装到Windows系统上。

    3)逃避的。APT使用伪装、多级包装等技术和其他策略。传统的防火墙、入侵预防系统、防病毒软件未能阻止未知、针对目标的APT威胁。例如，“震网”病毒的活动非常隐蔽，代码短小精妙，具备极强的自我保护功能。“震网”病毒可以把自己隐藏起来，特别是发动攻击侵入离心机操控系统后，会首先记录正常离心机的正常运转数据，攻击成功后，离心机运转速度失控，但监控设备收到的却是“震网”病毒发送的“正常数据”，令监控人员无法及时察觉，从而可最大限度地达到破坏效果。

    4)复杂的。APT针对目标组织内的多个漏洞进行复杂混合攻击方法。例如，“震网”病毒就是利用了7个漏洞进行网络攻击，其中包括Windows系统及其第三方产品(打印机)中的5个漏洞和西门子WinCC系统中的2个漏洞。利用这些漏洞就可以恶意篡改伊朗铀分离机控制系统PLC的控制逻辑，进而使分离机电动机的速度周期性地异常变换，引起分离机异常运转甚至造成物理破坏。

    通过以上分析可见，“震网”病毒事件是典型的APT攻击，工业控制系统面临APT攻击的风险。

工业控制系统处于全危险的环境中

    网络一物理协同攻击(Coordinated Cyber—Physical Attacks)包括使用网络和物理手段攻击一个目标。例如，网络攻击首先使安全系统失效从而推动针对公共服务基础设施的物理攻击。“震网”病毒首先利用微软Windows操作系统的漏洞监控伊朗铀分离机PLC控制系统，进而恶意篡改PLC的控制逻辑，导致分离机电动机的速度周期性地异常变换，最终造成分离机异常运转甚至造成物理破坏。这就是一种网络一物理攻击。因此，“震网”病毒事件是基于APT模式网络一物理协同攻击的典型案例。

    如果由内部人员或服务商有意或无意地将一个基于APT模式网络一物理协同攻击的恶意病毒植入一个工业控制系统之中，那么这个恶意病毒就可能长时期地潜伏在系统之中，逐步释放其隐藏的能力，最终发起破坏性的攻击。由于其代码是多级包装和加密的甚至具有自删除行动轨迹的能力，只有实时监视才能在其行动过程中及时捕获恶意代码和证据，从而逐步识别恶意代码和增强态势感知以使在其没有发起恶意破坏之前就将其遏制或删除。一些APT威胁可能持续数月甚至数年。因此，基于APT模式网络一物理协同攻击构成对工业控制系统最危险的挑战之一。

    影响网络安全防御的7个重要因素之一是“攻击规则，灾害的规则也类似”。物理和网络攻击是很少相互排斥的，非网络事件可能影响网络的功能性，自然灾害或物理攻击影响网络基础设施和网络中断，可以具有严重的物理后果。因此，自然灾害也可能引起与网络一物理协同攻击类似的效果。例如，在“7·23”甬温线特别重大铁路交通事故中，首先由于雷电引起列车运行控制系统操作失灵，同时由于缺乏针对控制系统故障有效的响应措施而导致一系列调度管理上的失误，最终造成两组列车高速碰撞而导致机车严重破坏和40人死亡的严重事件。因此，“7·23”事件可以看作是与自然灾害相关联的网络一物理协同攻击。这是一个非常重要的警示，工业控制系统的网络安全管理必须综合考虑人为的网络攻击和自然灾害的威胁和危险。

    2008年初的“冰雪”事件，首先由于冰雪引起电力供应中断、公路交通运输受阻，同时京广、沪昆铁路也因断电运输受阻，由于铁路和公路交通受阻进一步导致部分电厂缺煤停机，从而造成部分地区工业企业大面积停产，最终使居民生活受到严重影响。由于工业领域和关键基础设施的互连通性和互依赖性，“冰雪”直接引起了多领域连锁的物理破坏。然而，对“冰雪”事件后果的思考不能只限于自然灾害“冰雪”，类似的后果也可能由网络攻击引起，比如，对电网控制系统的网络攻击也可能引起电力供应中断，断电使铁路运输受阻，交通受阻又导致相关联的电厂缺煤停机，进一步造成相关联的工业企业停产。因此，网络一物理协同攻击也可能是多领域的协同攻击。美国网络风暴II演练的主要目的就是检查网络响应团体面对通过全球网络基础设施多领域协同攻击响应的过程、程序、手段和组织。

    人为的网络攻击和自然灾害都可能引起网络一物理协同攻击。人为的物理攻击，比如战争、恐怖攻击和自然灾害等也都可能直接造成工业控制系统严重的物理破坏，甚至多领域的连锁反应。因此，工业控制系统处于全危险(A11一Hazards)的环境中，_丁业控制系统安全管理需要全危险的方式。重要的工业控制系统属于国家的关键基础设施，美国的《国家基础设施保护计划》(NIPP)和《国家准备指南》值得我国工业控制系统安全管理借鉴。参考文献详细地论述了美国政府怎样将全危险方式用于国家关键基础设施的保护及制定与维护应急行动计划中。参考文献[61对全危险描述如下：“全危险是包括环境的或人为的所有情形的分类分级，其具有潜能引起伤害、疾病或死亡，设备、基础设施服务或财产的破坏或丧失，或者说引起社会、经济或环境方面的功能降级”。因此，全危险方式是适合于预防、保护、准备、响应和恢复的一种方法，其综合处理全方位的威胁和危险，包括敌对者的网络攻击、自然和人为的灾害、意外的中断以及其他紧急事件。

关于工业控制系统安全管理的特殊考虑

    1．工业控制系统特别需要防范物理攻击的威胁和风险

    如参考文献所述，工业控制系统与传统信息系统在结构安全的焦点上有很大的不同。在传统的信息系统中，安全的主要焦点是保护集中或分布式的信息技术资产的操作和存储，或者在这些资产之间传播的信息。在一些结构中，集中存储和处理的信息是更重要的和更值得保护的。对于工业控制系统，因为边缘客户机(例如PLC、操作员工作站、DCS控制器)直接负责终端过程的控制，必须充分地保护这些设备。因为中心服务器可能会反向影响每个边缘设备，在工业控制系统中，中心服务器的保护仍然是非常重要的。因此，工业控制系统安全的最终保护目标是终端生产设备及其操作过程。

    由于工业控制系统最终控制的是终端生产设备，并且广泛采用的PLC是可编程的，因此，一个网络攻击可以恶意篡改PLC的控制过程而使被控制的生产设备遭受物理破坏。“震网”恶意事件就充分证明了这种可能性并且使其成为现实。另外，由于工业控制系统所使用的许多设备是专用的，通常是设备厂家所专有的，更换设备的成本会很高。

    并且，对于某些领域的工业控制系统，不但需要考虑物理破坏的直接后果，而且需要考虑其间接影响，比如，化工厂的物理破坏可能引起有害气体的泄漏而危害人的生命；对于那些具有高连通性和互依赖性的领域，在一个领域工业控制系统的物理破坏可能会波及其他领域而导致连锁的物理破坏，例如，2008年的“冰雪”事件就是一个典型的案例。因此，在传统信息系统中的保护一检测一响应模式不能简单地用于工业控制系统中。由于可能造成工业生产设备的物理破坏，传统信息安全风险评估和信息安全演练中所广泛采用的渗透性测试也不可能直接用于工业控制系统中。

    在9·11事件之后，由于担心网络攻击国家电力系统基础设施，美国启动了国家SCADA试验床和控制系统安全计划。SCADA试验床计划的目的是帮助识别控制系统中的安全漏洞，包括发电厂、配电系统、油气输送管道、供水系统、运输系统、水坝等的控制系统，将所发现的安全漏洞报告给供应商，以采取补救措施，并且成为将来采购清单的一部分。美国国土安全部网络安全局所主导的网络风暴I和II都主要是针对关键基础设施行业(比如电信、能源和交通运输等)安全保护而进行的网络演练，也是基于试验床进行的。

    另外，由于可能造成物理破坏并且设备也可能存在物理漏洞，对于工业控制系统，传统上对软件漏洞打补丁的方式是必要的然而是不充分的。以“震网”病毒攻击伊朗铀分离机为例：分离机电动机的正常转速应该在807转／分钟到1210转／分钟之间；而“震网”病毒攻击使伊朗铀分离机电动机的转速从1410转／分钟到2转／分钟到1064转／分钟，周期性地快速变换，从而造成分离机的物理破坏。因此，即使修补了“震网”病毒所利用的7个漏洞，仍然不能阻止攻击者发现和利用其他未知漏洞进行类似的攻击。如果对未被破坏的分离机增加防电动机异常变速的措施，或者增强分离机的物理安全标准，使新分离机能够自动地阻止这种异常变换，即使控制系统遭受类似的网络攻击，由于设备自身就可以阻止设备的物理破坏，从而就可以遏制潜在的网络一物理协同攻击。

    2．工业控制系统的安全管理是多领域和多学科的

    “震网”病毒攻击是针对工业生产和控制系统进行网络一物理协同攻击的一个典型案例。评估网络一物理协同攻击的影响将需要对信息安全、物理安全和工业系统基础设施的专门知识和技术。既然攻击可能是网络一物理协同的，安全解决方案也应该是网络一物理协同的。另外，在全危险的环境下，不但需要防范敌对的网络攻击而且需要特别关注自然或人为灾害的破坏。

    工业控制系统的自身结构涉及机械工程、电气与电子工程、信息工程等，生产原材料和产品涉及物理、化学和生物等，自然灾害涉及气象(比如洪水、飓风、冰雪和雷电等)、地质(比如地震)等多学科的专业知识和技术。不同学科的专业技术人员通常只熟悉或感兴趣自己所擅长的技术解决方案。根据参考文献[1]的分析，当前工业控制系统保护的问题是作为一个网络安全问题来处理。然而适合于网络安全问题的解决方案不总是能够转化为工业控制系统保护方案。例如，对化工厂、污水系统、水坝控制和电力一个成功攻击的物理力度变化和效果可能是真实和直接的。对于信息系统，可能实行相反的补偿，例如，如果信用卡被盗，可以取消对应的账号和发给新卡。可是，一旦一个水坝被破坏，或有毒的化学制品和气体被释放，补偿是非常困难的(如果不是不可能的)，并且对生命和财产的真实损害几乎是不可避免的。

    因此，工业控制系统的安全管理不但需要多学科的专业技术人员，而且需要多领域的管理和技术人员的协作。信息共享对解决工业控制系统安全是至关重要的。目前，这种多学科多领域的协作和信息共享仍然存在许多问题。如参考文献所述，由于以下几个原因导致工业控制系统安全解决方案的缺乏：

    1)缺乏适合于保护工业控制系统的网络和物理两方面的综合方法。

    2)工业控制系统典型地使用嵌入式实时操作系统和执行程序，但是为了保持低成本和商l生能，这种软件的供应商普遍没有在其软件架构中建造固有安全(Safety)和安全保障(Security)机制。

    3)工业控制系统的设计、建设和运营需要多种技能，然而安全保障专家常常趋向于信息专家，而不是从事于工业控制系统领域的专家或工程师。

    3．浅议工业控制系统安全演练及试验床

    借鉴参考文献中对美国“国家演练计划(NEP)”的描述：NEP保证在全危险环境中，国家做好响应的准备和测试由NIPP所提出的保护计划和项目的稳定状态，以及它们向在国家响应框架(NRF)中所确定的事件管理框架的转换。由于工业控制系统是运营于全危险的环境中，工业控制系统的安全演练也必须是基于全危险方式的。

    参考文献分析了工业控制系统与传统信息系统的区别，其中工业控制系统的以下3个特点对演练提出了更高的需求：

    1)实时性能需求。工业控制系统通常时间是关键的，有些系统需要实时地传送信息和运行系统，信息流必须不被中断和受到危害。对这些系统的访问应该受严格的物理安全控制所限制。

    2)高可用性需求。通常，工业控制系统所控制的过程具有连续的本性，不可能容忍不期望的系统中断。在保证工业控制系统高可用性彻底的部署前，测试是必要的。一些情况下，在生产的产品和使用的设备比被延迟的信息更重要。因此，由于对工业控制系统高可用性、可靠性和可维护性需求的不利影响，传统的信息技术战略通常是不可接受的，比如重新启动一个部件。

    3)物理的交互作用。一个工业控制系统从物理环境获得输入和可能的反馈，与物理环境的交互作用可能是复杂的，因果关系可以出现在物理事件中。综合到工业控制系统的所有安全功能必须进行测试以证明它们不会危害正常的工业控制系统功能。

    工业控制系统的试验床不但能够提供安全攻防演练的基地，而且可能用于测试安全措施对系统性能和功能的影响。另外，在全危险的环境下，需要全危险的事件响应和恢复、全危险的风险评估和全危险的安全攻防演练，这就需要全危险的试验床。按参考文献对全危险的描述，需要分类分级地模拟各种类型网络攻击和自然与人为灾害．并且能够用于测试发生的可能性及其跨多领域后果的等级和在安全演练中各种响应对工业控制系统性能和功能的影响。这不但需要机械工程、电气与电子工程、信息工程、物理、化学和生物等多学科的专业知识和技术，而且需要关于灾害的相关专业知识和防范措施。因此，试验床必须有说服力地、实时地仿真物理动力学和效果。这些试验床也必须支持构成完整工业控制系统的多领域和学科。

    根据参考文献[1]的描述，在现今的工业控制系统中缺乏对风险的共同理解。风险常常按领域为基础的特别方式进行评估；量化和控制风险的一致方案是不可用的。例如，具有分布式覆盖区而非常广泛的用户基地的电力网比集中定位而具有较少邻近人口的化工厂，是更危险还是更不危险?同样根据参考文献的描述，在不同领域的工业控制系统中不存在一致的安全性能量度。虽然在工业领域生产力和产出量度是可用的，关于综合网络连通性和系统级安全的量度尚没有可用的，能够跨越多工业控制系统领域的性能和风险评估的试验床也没有出现。构建多个领域特定的试验床可能是令人望而却步的昂贵。

    文章初步讨论了在全危险环境中工业控制系统安全管理面临的一些关键挑战，并且着重分析了工业控制系统安全管理不同于传统信息系统安全管理的独特特征。全危险的安全演练对制定工业控制系统保护计划和安全事件响应计划是非常关键和不可缺少的，因此，全危险的试验床是必须的。开发全危险的试验床需要许多技术创新，不可能一蹴而就；无论是认识还是研究和开发都必须遵循由浅人深、由简单到复杂，分阶段不断完善的过程。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：信息安全热点探讨:工业控制系统安全

本文网址：http://www.toberp.com/html/consultation/1083953106.html