導讀：近9年多時間裏
，我國在實施工控係統網絡安全各項工作的同時
，也遇到了與互聯網安全、信息係統安全完全不同的困難和挑戰

，仍很嚴峻……

一

、工控係統已成為網絡空間安全的重要戰場

2010年，伊朗發生了震驚世人的“震網”（Stuxnet）事件
，“震網”計算機病毒攻擊了伊朗納坦茲鈾濃縮基地和布什爾核電站使用的西門子PCS7控製係統，破壞了大量鈾濃縮離心機和布什爾核電站發電機組
，導致伊朗核計劃至少被延遲2年。

事件表明，網絡空間的安全威脅已從傳統的互聯網、計算機等虛擬空間迅速延伸擴展至物理世界的工業控製係統。即“計算機病毒”可以在不破壞工控係統本身的情況下，通過操控工業控製係統，引發生產中斷、管道泄漏
、環境汙染、裝(zhuang)備(bei)損(sun)毀(hui)，甚(shen)至(zhi)可(ke)以(yi)引(yin)發(fa)災(zai)難(nan)事(shi)故(gu)，導(dao)致(zhi)社(she)會(hui)動(dong)蕩(dang)，國(guo)家(jia)安(an)全(quan)就(jiu)會(hui)受(shou)到(dao)極(ji)大(da)威(wei)脅(xie)。工(gong)控(kong)係(xi)統(tong)已(yi)成(cheng)為(wei)網(wang)絡(luo)空(kong)間(jian)安(an)全(quan)越(yue)來(lai)越(yue)重(zhong)要(yao)的(de)新(xin)戰(zhan)場(chang)。人(ren)們(men)為(wei)區(qu)別(bie)於(yu)傳(chuan)統(tong)虛(xu)擬(ni)空(kong)間(jian)的(de)病(bing)毒(du)，把(ba)“震網”稱為“超級巡航導彈”、“軟件原子彈”

，等等。

自“震網”事件之後

，針對工控係統攻擊的這種“軟件原子彈”威脅越來越多
、離我們也越來越近，甚至原先我們認為物理隔離的工控係統也未能幸免：

（1）如2015年12月
，被認為使用專網的烏克蘭伊萬諾-弗蘭科夫斯克地區電力監控係統遭到“BlackEnergy”惡意代碼的攻擊。烏克蘭新聞媒體TSN報道稱：“至少有三個電力區域被攻擊
，導致了數小時的停電事故”；“攻擊者入侵了監控管理係統，超過一半的地區和部分伊萬諾-弗蘭科夫斯克地區斷電幾個小時。”Kyivoblenergo 電力公司發布公告稱：“公司因遭到入侵
，導致7 個110KV 的變電站和23 個35KV 的變電站出現故障，導致80000 用戶斷電。”

（2）2017年6月12日
，一款針對電力變電站係統進行惡意攻擊的工控網絡攻擊武器Industroyer被發現對烏克蘭電網發起了攻擊。與 BlackEnergy不同的是，Industroyer據稱沒有利用任何漏洞
，而是利用電力係統自身的工控協議，直接控製斷路器，導致變電站斷電。

（3）2017年12月，一種針對施耐德電氣公司的Triconex安全儀表係統控製器（SIS，Safety Instrument System）的惡意軟件TRITON被發現。TRITON據稱能修改安全儀表係統（SIS）的表決機製
，從而使安全保護功能失效。

此外，由於工控係統在操作人員的界麵軟件使用了微軟操作係統，因此針對互聯網、計算機操作係統攻擊的病毒（如勒索病毒WannaCry）對工控係統也多多少少產生了一些影響。

二、我國對工控係統網絡安全給予了前所未有的高度重視

自2010年震網事件發生後，我國從中央、各級部門，到各大企業對工業控製係統網絡安全給予了前所未有的高度重視:

（1）從國家層麵，中央不僅成立了網絡安全與信息化委員會
，而且先後發布了《關於加強工業控製係統信息安全管理的通知》（工信部協[2011]451號）、《國務院關於大力推進信息化發展和切實保障信息安全的若幹意見（國發〔2012〕23號）》等文件，全國人民代表大會常務委員會也於2016年11月7日批準發布了《網絡安全法》，自2017年6月1日起施行
，表明包括工控係統網絡安全在內的網絡空間安全已上升到黨和國家
、法律的高度；

（2）從國家機關職能上
，國家和地方各職能機關
、部門都已把工控安全放在十分重要的位置，不僅出台了相應的文件
，而且開展了各種形式的工控安全培訓、大賽等科普活動以及等級保護測評、安全評估
、安全檢測
、安全檢查等實質性工作；

（3）從標準層麵，全國信息安全標委會TC260、工業測量與控製標委會TC124


、全國電力係統管理及其信息交換標準化技術委員會TC82等都在工控安全領域開展了大量工作，發布了一係列與工控安全相關的國家標準
、行業標準。2019年 5月13日, 包括雲計算、移動互聯
、物聯網、工業控製以及大數據安全在內的網絡安全等級保護2.0標準(以下簡稱 等保2.0標準) 也在眾人期待下正式發布,並將於2019年12月1日開始實施。

（4）從科研組織上，教育部也新設立了網絡空間安全一級學科，各大高校也紛紛成立了相關學院和專業。

（5）從產業組織上，國家工業信息安全產業發展聯盟，工業控製係統信息安全產業聯盟
，中國信息安全技術產業聯盟、中國工業信息安全聯盟等發展也很迅猛。

（6）在具體落實層麵，各工業企業
，特別是各重點基礎設施企業無不紛紛成立了專門的信息安全機構

，可見其重視程度。

由此可見，我國已建立起了覆蓋從國家層麵、法律
、職能機構再到科研、標準
、產業和企業等所有層麵的工控安全體係
，足見對工控安全的重視程度。

三、工控係統麵臨的安全威脅仍很嚴峻

當前
，隨著“兩化融合”的不斷深入，我國電力係統、石油煉化
、水利、城市與軌道交通、輸油管線、國防裝備、以及其他公用工程仍在大量使用的國外控製係統
，很難做到與互聯網物理隔離；工控係統的維護、維修也仍然由這些工控係統的生產廠商所承擔
，因此麵臨的安全形勢依然嚴峻：

（1）來自網絡的遠程攻擊
，如通過互聯網、企業內部網

、無線網，黑客和攻擊者就可以遠程對工控係統實施攻擊；

（2）通過移動介質的帶入攻擊，如移動硬盤、U盤

、光盤


、移動終端等；

（3）預埋代碼的潛伏式攻擊

，典型的途徑有工程實施時的預埋、通過備品備件的預埋
、通過維修維護帶入的預埋。

四
、工控係統安全的主要威脅是有組織的專業化攻擊

從技術上看，工控係統所麵臨的網絡安全威脅來自於兩個方麵：一個是傳統的網絡安全威脅，即利用操作係統、應用軟件的漏洞發起的攻擊威脅。這類威脅主要是針對計算機所使用的計算機操作係統和應用軟件（如辦公軟件、網站軟件等）的漏洞
，獲取計算機操作權限，或竊取隱私或敏感信息。

另一個更重要的安全威脅來源於對工控係統及其所控製的生產裝置、生產工藝非常熟悉的有組織的攻擊。從公開的資料可以發現，“震網”雖然利用了操作係統的漏洞，但這些漏洞隻是被用於“震網”代碼的傳播，其核心代碼卻是利用了西門子PCS7控製係統和核設施的特性，而發起惡意操控

，同時向操作人員界麵軟件發送欺騙數據。

由此可見
，針對工控係統核心部件攻擊的“黑客”除了要具有一般的計算機操作係統和軟件知識外，更利用了工控係統本身的軟件硬件特性和通信協議、操作指令和基礎設施生產裝置的弱點，導致一般的互聯網安全技術人員難以發現
，即具有“高專業性、高隱蔽性、高複雜性、難以被發現
、難以被跟蹤”（即“三高兩難”）特性。

五、工控係統安全保護挑戰比一般信息係統大很多

從2010年的“震網”事件至今的近9年多時間裏
，我國在實施工控係統網絡安全各項工作的同時，也遇到了與互聯網安全
、信息係統安全完全不同的困難和挑戰，主要表現為以下幾個方麵：

（1）對工控安全的理解，更多還停留在互聯網安全和協議層麵

與互聯網係統、信息係統相比，工控係統大多是由傳感器
、控製裝置、執(zhi)行(xing)機(ji)構(gou)等(deng)多(duo)環(huan)節(jie)構(gou)成(cheng)的(de)閉(bi)環(huan)係(xi)統(tong)，其(qi)監(jian)控(kong)軟(ruan)件(jian)也(ye)是(shi)供(gong)操(cao)作(zuo)員(yuan)進(jin)行(xing)工(gong)況(kuang)監(jian)視(shi)和(he)簡(jian)單(dan)的(de)操(cao)作(zuo)
，工(gong)控(kong)協(xie)議(yi)用(yong)於(yu)傳(chuan)輸(shu)生(sheng)產(chan)過(guo)程(cheng)中(zhong)的(de)數(shu)據(ju)。因(yin)此(ci)，工(gong)控(kong)係(xi)統(tong)的(de)網(wang)絡(luo)安(an)全(quan)需(xu)要(yao)從(cong)以(yi)上(shang)所(suo)有(you)要(yao)素(su)以(yi)及(ji)生(sheng)產(chan)裝(zhuang)置(zhi)本(ben)身(shen)進(jin)行(xing)綜(zong)合(he)的(de)考(kao)慮(lv)。

（2）對工控安全惡意代碼攻擊原理和機製的了解有限

如今

，各種公開報道、微博等各種社交媒體文件，以及許多文章、報告對工控安全事件的報道較多、技術性分析較少；對工控安全網絡部分威脅的渲染較多，對工控內部的威脅分析較少；對操作係統“漏洞”介紹較多，對工控係統自身軟硬件漏洞分析較少；對操作係統
、郵件等的漏洞利用介紹較多
，對於工控惡意代碼“長什麼樣
，什麼時候來，什麼時候觸發
，如何觸發，什麼時候離開”等技術問題，研究較少，導致工控安全工作的開展難以深入。

（3）當前工控安全防護措施和產品的有效性有待檢驗

當前
，無論是針對工控係統的安全等級保護測評
、安全評估、安全檢測、安an全quan檢jian查zha，還hai是shi各ge種zhong工gong控kong安an全quan產chan品pin，雖sui然ran形xing式shi多duo樣yang，但dan其qi有you效xiao性xing還hai遠yuan未wei得de到dao用yong戶hu的de認ren可ke，尤you其qi是shi針zhen對dui工gong控kong係xi統tong終zhong端duan設she備bei麵mian臨lin的de安an全quan威wei脅xie，“對錯了症、下錯了藥”的問題至今還未真正得到解決。

（4）工控安全的標準難以在工控係統終端落地

當前

，關於工控安全的標準已有很多，如IEC 62443國際標準（美國國際自動化協會ISA的ISA 99）、美國NIST發布的SP-800.53
，以及我國的等保2.0標準GB/T22239-2019《信息安全技術 網絡安全等級保護基本要求》等。但在實施過程中，麵對運行中的工控係統（尤其是其核心部件的控製器）時，還會遇到“碰不得、摸不得”的尷尬。

（5）工控安全的實施難以得到工控設備生產廠商的配合

工控係統不同於互聯網係統
、信息係統，不僅要保證生產過程按工藝設計要求運行在預定的工況，同時還要避免安全事故的發生。換言之
，工控係統的生產廠商、集成廠商不僅要對生產過程的連續性

、可靠性負責，還需要對生產的安全負責。這是傳統信息安全廠商和安全產品難以做到的。

六、工控係統安全需要注意避免的幾個誤區

如上所述

，工控係統的網絡安全需要圍繞控製係統本身與生產裝置安全開展

，在實踐中
，要注意避免以下幾個誤區：

(1) 過於強調基於漏洞掃描的安全防護

如前所述，工控係統設計開發工程師關注的是如何使產品更可靠、可用性更高，所開發的控製算法如何使被控對象更穩定、對外界幹擾的魯棒性更高，對網絡安全關注較少
，因此其軟件
、硬件都存在著這樣或那樣的漏洞。

然而
，目前市場流通的漏洞掃描產品僅僅能發現引發工控係統溢出、宕機的漏洞，而像“震網”

、Industroyer、TRITON那樣所能利用的漏洞
，通過傳統的手段還難以發現。

（2）過於強調補丁升級管理

眾所周知，由於工控係統的軟件硬件之間的耦合非常緊密，使用了大量非私有的協議、技術和功能模塊，一旦沒有經過嚴格測試而給係統打補丁或者版本更新，輕則導致藍屏、重則導致這些組態監控軟件不再可用；而工控係統的重啟是一個極其複雜的過程
，一旦不慎



，極易導致生產中斷、或因生產設備工藝不匹配而導致裝置損毀。

因此，對於一些重要、尤其是核心基礎設施的工控係統，打補丁、軟件版本更新必須慎之又慎！

（3）過於依賴工控係統的隔離安全

如前所述，隨著“兩化融合”的de不bu斷duan推tui進jin，生sheng產chan係xi統tong與yu管guan理li係xi統tong的de互hu聯lian已yi經jing成cheng為wei工gong控kong係xi統tong的de基ji本ben架jia構gou，與yu外wai界jie完wan全quan隔ge離li幾ji乎hu不bu可ke能neng。另ling外wai，維wei護hu用yong的de移yi動dong設she備bei或huo移yi動dong電dian腦nao、備品備件，都可能成為代碼帶入的工具。“震網”據說就是利用U盤帶入的。

（4）過於高估工業防火牆等傳統防護產品的作用

congmuqiangongkongxitongdeshijilaikan，gongkongxitongchuletazhichidesiyouxieyihegongkaizhuanyongxieyizhiwai
，qitasuoyoudexieyidouhuibeiguolv
，buhuibeichuli。huanyanzhi，gongkongxitongyibandoujubeileyibanfanghuoqiangdenengli。congzhegeyiyishangkan，muqianshichangshangsuoweidegongyefanghuoqiang，yejinjinqidaoyingfujianzhadeziwoanweizuoyong。

(5) 過於依賴單向通信隔離裝置

如上所述，針對工控係統的攻擊途徑有多種，有通過網絡遠程實施的，有通過無線接入的，更有通過移動介質、工程實施與維保預埋、備品備件預埋等途徑，單向通信隔離裝置也隻能起到一部分作用。

七
、工業係統的網絡安全保護必須覆蓋工控係統本身、生產工藝與操作流程等所有方麵

從具體實踐來講，對工控係統的網絡安全防護和保護需要從以下幾個層麵綜合考慮：

第一層，對工控係統的網絡安全防護和保護，需要覆蓋工控係統軟件、硬件和網絡等所有部件。

第二層，對工控係統的網絡安全防護和保護，需要結合生產工藝與操作流程而開展。

第三層，針對工控係統的網絡安全防護和保護，還必須覆蓋工控係統的設計、生產、調試
、工程實施、維修、運行維護等全生命周期的所有環節。

工控係統的網絡安全防護和保護是一個極其複雜的係統工程
，需要回歸控製係統的初心、回歸控製係統的本質，從工控係統的軟件、硬件、網絡以及生產工藝
、生產流程、生產裝置等多方麵同時著手
，才能真正有效的對國家重要基礎設施安全進行保護。