01 工業控製係統典型架構與現狀

工業控製係統典型架構

工控係統的主要目標是實現工業自動化生產線的物流控製
、設備信息監控及診斷處理，其主要功能包括設備管理

、任務管理
、日誌管理
、調度管理、診斷管理、係統仿真等。

工控係統通常包括，製造執行係統（MES），監控和數據采集（SCADA）係統，分布式控製係統（DCS），可編程邏輯控製器（PLC）等組件。MES係統主要對生產過程進行管理，如製造數據管理
、生產調度管理
、計劃排程管理等。SCADA係統通常使用中心化的數據采集和監控手段來控製分散的設施。DCS係統通常用於控製本地區域內的生產係統

，例如監控和調節本地工廠。PLC通常用於特定的離散設備，提供相應的調節控製。工控係統還涉及遠程終端（RTU）
，智能電子設備（IED）以及確保各組件通信的接口技術。

工控係統還包含控製循環
、人機接口（HMIs），和使用一係列網絡協議構建的遠程診斷和維護工具。工控係統廣泛應用於各行各業

，如電力、能源
、化工行業、運輸
、製造（汽車、航空航天和耐用品）
、製藥、造紙
、食品加工等。

由於工控係統應用的技術領域、行業特點以及承載業務類型的差異
，工控係統的架構亦會不同。在典型的工控係統中，一般包括四個層級：現場設備層

，現場控製層，過程監控層和生產管理層（層級0-層級3）。其最上層生產管理層與企業資源層中的ERP軟件對接（圖一）。

工控係統的信息安全隱患分布於工控係統架構的所有層級。攻擊者可能通過嗅探、欺騙
、物理攻擊及病毒傳播的方式，進行以下未授權或非法操作，影響企業正常生產：

• 獲取並分析各層級設備中的信息；
• 修改存儲於工控係統組件中的敏感信息
  ；
• 獲得存儲於工控係統組件中的用戶憑證
  ，冒充合法用戶
  ；
• 發布錯誤指令或進行錯誤配置
  ；
• 傳播惡意代碼造成不必要的係統停機和數據破壞；
• 通過社會工程(Social Engineering)獲取用戶信息。

工控係統不同於傳統IT係統。相比於IT係統，工控係統擁有以下特性：

• 係統對延時的忍耐度較低
  ，對可靠性要求高
  ，大多需要全年不間斷工作；
• 部分工控係統仍舊使用陳舊的操作係統（OS），因此對此類係統的安全管理要求更高
  ；
• 由於工控係統涉及軟件、硬件、固件及工藝流程，因此其變更管理更為複雜；
• 係統通訊協議更為混雜，包括各種工業總線
  ，工業以太網，無線接入
  
  ，射頻和衛星等；
• 係統整體架構更為繁雜
  ，企業安全認知度和安全意識相對較低；
• 從風險角度看，除了傳統信息安全以外
  ，工控係統安全還需要關注人身
  
  、環境、生產以及物理等方麵的安全
  ；
• 係統生命周期更長，對係統設計完備性
  
  、工藝集成性要求更高等。

綜上，相比IT係統
，建立涵蓋工控係統各層級的信息安全體係更為複雜，需要企業管理層的重視和監管
，以及企業內跨部門的協作。

工業控製係統安全現狀

一直以來，企業信息安全的防護措施主要集中傳統IT係統，特別是麵向公眾的係統和服務。針對工控係統的信息安全問題
，企業往往采取模糊即安全（security by obscurity ）的被動方式，未給予足夠的關注和重視。

根據CVE（Common Vulnerabilities and Exposures）的統計顯示（詳見圖二），2011年起工控係統漏洞的發布數量顯著增加，並且發生針對工控係統的安全事件，其中影響較大有：2010年伊朗核電站的震網病毒攻擊導致鈾濃縮設備故障事件，2015年的烏克蘭大規模停電事件
，2018年台積電生產基地被攻擊的事件
，以及2019年委內瑞拉的電網被攻擊導致全國大部分地區斷電事件。這些事件都造成了十分嚴重的後果。

根據2015年美國國家標準技術研究所（National Institute of Standards and Technology，NIST）的調查結果*，工業控製係統可能麵臨的安全事件主要有：

• 阻塞或延遲通過工控係統網絡的信息流，中斷工控係統的運行；
• 未經授權的篡改指令、命令或警報閾值
  ，損壞或關閉設備，造成環境影響以及威脅人身安全；
• 向係統管理員發送不當信息，以掩蓋未經授權的更改，或引起操作員采取不適當行動；
• 工控係統軟件或配置被非授權修改，或軟件被病毒或惡意軟件感染
  ；
• 幹擾設備保護係統的運行，危及昂貴且難以更換的設備；
• 幹擾安全係統的運行，危及人身安全。

（*Source：Guide to Industrial Control Systems Security，2015，NIST）

依據普華永道中國的追蹤和研究

，我們發現企業缺乏有效的管理和技術措施保障工控係統的安全，存在較多安全隱患。諸如：

• 操作係統的安全漏洞；
• 防病毒及惡意軟件的管控漏洞；
• 使用U盤、光盤等外接設備的管控缺失；
• 設備維修時，筆記本電腦存在隨意接入的情況；
• 工控係統網絡邊界防護不充分；
• 訪問和接觸控製（包括遠程訪問、管理維護）薄弱；
• 工控軟件生命周期的安全管理漏洞
  ；
• 缺乏安全事件應急響應機製。

企業如何應對

mianduishangshugongkongxitonganquanweixie

，womenjianyiqiyetongguofengxianpinggujichajufenxidengfangfa，shibieqiyezaiguanlihejishulianggecengmianshangdeguankongquekou，bingtongguoluodixiangguanzhenggaicuoshi，tishengqiyegongkongxitongdezhengtianquan
，diyulaizineiwaibudeanquanweixie。

作為首要任務，我們建議企業管理層開始思考以下問題：

1. 生產過程麵臨的安全風險是什麼——shifouyishibiechusuoyougongkongxitongxiangguanzichan
？shifouduizichanjinxingleyouxianpaixu，bingmingqueleshoudaosunhaideqianzaihouguo？zaixinxianquanshijianfashenghou，qiyenengfouweichishengchanheguanjianyewuliuchengdeyunzuo
？

2. 是否已組建工控係統安全管理團隊和負責人？

3. 企業員工是否對工控係統安全有充分的認知和意識？

4. 是否已建立工控係統的安全管理製度和流程？

5. 工控係統維護及其安全是否依賴外部第三方支持？是否建立了有效的第三方管理機製？

6. 工控係統網絡是否連入企業網絡/互聯網，是否建立有效措施防護其在聯網狀態下的安全？

7. 是否實施有效的安全防護措施，如防病毒、防惡意軟件、外設控製等？

8. 工控係統網絡是否支持遠程訪問
？遠程訪問能否得到保護和監控？

9. 企業是否建立了工控係統安全警報機製及應急預案？

10. 企業是否選擇了合適的標準
，建立了完備的工控係統安全管理體係

？

此外，美國

、歐盟及中國等已陸續發布了針對工控係統的安全標準和建議（詳見表1所示），可供企業參考。

普華永道中國持續關注和追蹤工控安全事件
，分析潛在威脅及風險。我們將在後續“工業控製係統安全係列”中
，解析工控係統安全事件，介紹工控係統安全標準和建議。

02 解析工業控製係統安全事件

我(wo)們(men)追(zhui)蹤(zong)了(le)近(jin)幾(ji)年(nian)工(gong)控(kong)係(xi)統(tong)安(an)全(quan)趨(qu)勢(shi)和(he)重(zhong)大(da)安(an)全(quan)事(shi)件(jian)，並(bing)選(xuan)取(qu)和(he)分(fen)析(xi)了(le)近(jin)期(qi)發(fa)生(sheng)的(de)工(gong)控(kong)安(an)全(quan)事(shi)件(jian)，希(xi)望(wang)借(jie)此(ci)協(xie)助(zhu)企(qi)業(ye)進(jin)一(yi)步(bu)了(le)解(jie)工(gong)控(kong)係(xi)統(tong)安(an)全(quan)威(wei)脅(xie)和(he)隱(yin)患(huan)。

工業控製係統漏洞發布逐年遞增

近年來國內外工控係統安全的事件頻頻發生。根據國家信息安全漏洞共享平台（CNVD）的追蹤和統計（詳見圖一），自2011年起
，工控領域發現和發布的漏洞呈現逐年遞增趨勢。

依據CNVD公開披露的工控係統漏洞數據的統計分析（詳見圖二），截至2019年4月已識別2,743個工控係統漏洞
，其中高危漏洞907個(占比為33%)，中危漏洞1,163個(占比為42%)。

工業控製係統重大安全事件回顧

震網病毒攻擊伊朗核電站，致使鈾濃縮設備出現故障

伊朗

2010年6月yue，伊yi朗lang布bu什shen爾er核he電dian站zhan鈾you濃nong縮suo設she備bei出chu現xian故gu障zhang
，致zhi使shi伊yi朗lang核he計ji劃hua推tui遲chi。經jing調tiao查zha，是shi由you於yu受shou到dao了le一yi種zhong新xin型xing蠕ru蟲chong病bing毒du的de攻gong擊ji，該gai病bing毒du代dai碼ma中zhong出chu現xian了le特te征zheng字zi“stux”，此後Stuxnet也被命名為震網病毒。Stuxnet被認為是第一個專門定向攻擊真實世界中基礎設施（能源）的惡意代碼。

烏克蘭電網遭攻擊，造成大範圍停電

烏克蘭

2015年12月23日
，烏克蘭電網電力中斷
，致使烏克蘭城市伊萬諾弗蘭科夫斯克將近一半的家庭（約140萬人）經jing曆li了le數shu小xiao時shi的de電dian力li癱tan瘓huan。經jing調tiao查zha，此ci次ci事shi件jian是shi由you木mu馬ma惡e意yi軟ruan件jian攻gong擊ji所suo致zhi，由you於yu其qi影ying響xiang範fan圍wei較jiao廣guang，促cu使shi工gong業ye控kong製zhi係xi統tong的de安an全quan問wen題ti受shou到dao更geng廣guang泛fan關guan注zhu。

勒索病毒WannaCry肆虐全球

全球

2017年5月12日
，WannaCry勒索病毒利用MS17-010漏洞襲擊全球，至少150個國家、30萬名用戶中招
，造成損失達80億(yi)美(mei)元(yuan)，已(yi)經(jing)影(ying)響(xiang)到(dao)金(jin)融(rong)，能(neng)源(yuan)，醫(yi)療(liao)等(deng)眾(zhong)多(duo)行(xing)業(ye)。中(zhong)國(guo)部(bu)分(fen)普(pu)通(tong)用(yong)戶(hu)和(he)企(qi)事(shi)業(ye)單(dan)位(wei)受(shou)到(dao)感(gan)染(ran)，導(dao)致(zhi)大(da)量(liang)文(wen)件(jian)被(bei)加(jia)密(mi)
，無(wu)法(fa)正(zheng)常(chang)工(gong)作(zuo)
，影(ying)響(xiang)巨(ju)大(da)。

台積電三大工廠接連遭病毒感染, 導致大規模生產線停擺

台灣

2018年8月3日(ri)，台(tai)積(ji)電(dian)部(bu)分(fen)生(sheng)產(chan)設(she)備(bei)相(xiang)繼(ji)遭(zao)到(dao)病(bing)毒(du)感(gan)染(ran)
，導(dao)致(zhi)其(qi)在(zai)台(tai)灣(wan)地(di)區(qu)三(san)大(da)生(sheng)產(chan)基(ji)地(di)的(de)部(bu)分(fen)工(gong)廠(chang)相(xiang)繼(ji)停(ting)擺(bai)。台(tai)積(ji)電(dian)作(zuo)為(wei)全(quan)球(qiu)最(zui)大(da)的(de)芯(xin)片(pian)代(dai)工(gong)廠(chang)
，一(yi)直(zhi)都(dou)是(shi)黑(hei)客(ke)重(zhong)點(dian)關(guan)注(zhu)目(mu)標(biao)，每(mei)年(nian)都(dou)遭(zao)受(shou)大(da)量(liang)的(de)網(wang)絡(luo)攻(gong)擊(ji)。但(dan)此(ci)為(wei)首(shou)次(ci)導(dao)致(zhi)如(ru)此(ci)大(da)規(gui)模(mo)的(de)生(sheng)產(chan)線(xian)停(ting)擺(bai)。

委內瑞拉停電事件, 導致持續6天大規模停電

委內瑞拉

2019年3月7日，委內瑞拉全國發生大規模停電事件，影響23個州中的18個州。截止2019年4月底尚未明確導致此次事件的原因。

委內瑞拉停電事件分析

本文選取委內瑞拉停電事件進行剖析，深入分析其潛在原因。

事件回顧

據新華社報道2019年3月7日傍晚5時（當地時間）開始，委內瑞拉國內包括首都加拉加斯在內的大部分地區停電超過24小時，在委內瑞拉23個州中
，一度超過18個州全麵停電，停電導致加拉加斯地鐵無法運行，造成大規模交通擁堵，學校、醫院

、工廠、機場等都受到嚴重影響

，多數地區的供水和通信網絡受到影響。

8日淩晨，加拉加斯部分地區開始恢複供電，隨後其他地區電力供應也逐步恢複，但是9日中午
、10日再次停電
，給人們帶來巨大恐慌。長時間大範圍的電力故障給委內瑞拉造成嚴重損失，此次停電是委內瑞拉自2012年以來時間最長、影響地區最廣的停電。

威脅可能性分析

針對此次大規模的停電事故，業界存在各種不同的分析觀點，尚無統一定論，本文將從八個方麵（詳見圖三）逐一解析可能造成此次大規模停電事故的潛在安全隱患。

1
、現場控製層威脅

委內瑞拉古裏水電站的控製係統是由ABB公司為電廠設計的分布式控製係統（DCS）。ABB是位居全球500強之列的電力和自動化技術領域的領導廠商，但目前ABB係統已被爆出存在較多高危漏洞，例如（CNVD-2016-10592）ABB RobotWare遠程代碼執行漏洞、（CNVD-2014-08129）多個ABB產品本地代碼執行漏洞。

攻擊者可以通過分析並利用公開發布的漏洞


，編寫惡意代碼製作病毒，針對ABB控(kong)製(zhi)係(xi)統(tong)進(jin)行(xing)惡(e)意(yi)攻(gong)擊(ji)。由(you)於(yu)委(wei)內(nei)瑞(rui)拉(la)古(gu)裏(li)水(shui)電(dian)站(zhan)使(shi)用(yong)的(de)控(kong)製(zhi)設(she)備(bei)時(shi)間(jian)較(jiao)為(wei)久(jiu)遠(yuan)，如(ru)若(ruo)沒(mei)有(you)及(ji)時(shi)升(sheng)級(ji)相(xiang)關(guan)安(an)全(quan)補(bu)丁(ding)或(huo)其(qi)他(ta)有(you)效(xiao)的(de)防(fang)範(fan)措(cuo)施(shi)
，可(ke)能(neng)導(dao)致(zhi)係(xi)統(tong)存(cun)在(zai)較(jiao)多(duo)漏(lou)洞(dong)被(bei)攻(gong)擊(ji)者(zhe)利(li)用(yong)，從(cong)而(er)造(zao)成(cheng)大(da)規(gui)模(mo)停(ting)電(dian)。

2、過程監控層威脅

SCADA係統（Supervisory Control and Data Acquisition）是工業控製係統架構中的數據采集與監視控製係統。在電力係統中，SCADA係統應用較為廣泛，據新聞報道委內瑞拉古裏水電站目前使用SCADA係統對現場的運行設備進行監視和控製。

SCADA目前已被爆出許多SCADA係統高危漏洞（詳見圖四）
，涉及工控係統架構內的軟件、硬件、gujiandenggegefangmian。kaolvduigongkongxitongshengjihuobiangengxuyaohuafeijiaochangdeshijianjinxingzhunbeiheceshi，duirenyuannengliyaoqiujiaogao，jiduichixushengchandeyingxiang，muqianqiyeduiloudongxiufujiaoduocaiyongbaoshoutaidu，daozhizhexiewentiyinzangzaiSCADA係統中
，一旦被攻擊者利用將可能造成不可預計的影響和損失。

3、網絡與通信威脅

諸如其他工業控製係統，委內瑞拉古裏水電站也可能采用了不同的通信協議和介質。例如ModuleBus通信協議
，用於通過塑料光纜直接與本地I/O群集通信。攻擊者可以通過分析ModuleBus協議報文，截獲控製協議報文，注入惡意代碼，篡改報文或者惡意破壞造成事故。

4、生產管理層威脅

生sheng產chan管guan理li係xi統tong所suo在zai的de操cao作zuo係xi統tong如ru未wei及ji時shi更geng新xin安an全quan補bu丁ding
，則ze可ke能neng存cun在zai諸zhu多duo風feng險xian漏lou洞dong被bei攻gong擊ji者zhe利li用yong
，導dao致zhi生sheng產chan設she備bei和he運yun行xing遭zao到dao破po壞huai，無wu法fa正zheng常chang工gong作zuo。如ru前qian文wen中zhong提ti到dao的deWannaCry勒索病毒，就是利用Windows係統SMB漏洞導致係統無法正常工作。再比如（ms08-067）Windows Server服務RPC請求緩衝區溢出漏洞
，攻擊者可遠程利用此漏洞運行任意代碼
，如用於進行蠕蟲攻擊等。

此ci外wai
，操cao作zuo員yuan安an全quan意yi識shi薄bo弱ruo，設she置zhi弱ruo口kou令ling等deng問wen題ti
，也ye可ke能neng導dao致zhi攻gong擊ji者zhe可ke以yi滲shen透tou進jin生sheng產chan係xi統tong環huan境jing
，進jin而er執zhi行xing非fei授shou權quan操cao作zuo
，破po壞huai正zheng常chang生sheng產chan秩zhi序xu。

5
、管理缺失威脅

chuxianrucidaguimotingdianshigu，yekenengshiyouyuanquanguanlidequeshisuozaochengde。liruquefagongkongxitonganquanguanlifuzerenduigongkongxitongjinxingjianduheguanli，yuangonganquanyishiboruo
；未建立有效的工控係統安全製度和流程
，導致工控係統未及時升級，缺乏有效防護
；工控係統網絡與企業網絡/互聯網未有效隔離；外接設備隨意接入，包含移動U盤和光盤等存儲介質
；對安全事件的應急處置工作重視不足，缺乏有效的應急預案及演練等。

6
、現場設備層威脅

鑒(jian)於(yu)委(wei)內(nei)瑞(rui)拉(la)當(dang)前(qian)局(ju)麵(mian)
，及(ji)相(xiang)關(guan)國(guo)際(ji)形(xing)勢(shi)
，存(cun)在(zai)人(ren)為(wei)破(po)壞(huai)的(de)可(ke)能(neng)性(xing)。由(you)於(yu)電(dian)力(li)係(xi)統(tong)是(shi)現(xian)代(dai)社(she)會(hui)的(de)關(guan)鍵(jian)支(zhi)撐(cheng)

，易(yi)成(cheng)為(wei)攻(gong)擊(ji)者(zhe)首(shou)選(xuan)的(de)攻(gong)擊(ji)目(mu)標(biao)；其次電力係統的高複雜度以及係統暴露麵多
，也增加了被攻擊的可能性，如發電廠、電站
、輸變電設備、線路層麵均可能遭到物理、電磁等層麵的攻擊。

7、設備維護缺失威脅

出(chu)現(xian)此(ci)次(ci)大(da)規(gui)模(mo)停(ting)電(dian)事(shi)故(gu)，設(she)備(bei)自(zi)身(shen)老(lao)化(hua)也(ye)是(shi)隱(yin)患(huan)之(zhi)一(yi)。據(ju)新(xin)聞(wen)報(bao)道(dao)委(wei)內(nei)瑞(rui)拉(la)所(suo)使(shi)用(yong)的(de)控(kong)製(zhi)設(she)備(bei)可(ke)能(neng)已(yi)經(jing)使(shi)用(yong)了(le)幾(ji)十(shi)年(nian)的(de)時(shi)間(jian)，如(ru)果(guo)缺(que)乏(fa)有(you)效(xiao)維(wei)護(hu)
，可(ke)能(neng)導(dao)致(zhi)電(dian)路(lu)短(duan)路(lu)，造(zao)成(cheng)火(huo)災(zai)等(deng)事(shi)故(gu)。

8、0day攻擊威脅

0dayloudongshizhiyijingbeishaoshurenfaxian，danshizanshiweibeigongkai
，qieguanfangshangweifabuxiangguanbudingdeloudong。muqianyijingfaxiandegongkongxitonganquanwentijinzhibingshanyijiao

，haiyouxuduoqianzaiweizhideanquanloudongheweixie，suoyicicidaguimotingdianshijianyekenengshiyouyu0day漏洞所造成的。

03 全球工業控製安全標準及合規

美國

2015年5月，美國國家標準技術研究所（NIST）在《聯邦信息安全現代化法案》（Federal Information Security Modernization Act）的要求下

，發布了《工業控製係統安全指南》（Guide to Industrial Control Systems Security，NIST SP 800-82）
，為工控係統及其組件（監控和數據采集係統SCADA，分布式控製係統DCS

，可編程邏輯控製器PLC，以及其他執行控製功能的終端和智能電子設備）提供安全指導，幫助企業降低工控係統信息安全相關風險。

該指南概述了工控係統組件及架構，指出了工控係統麵臨的威脅和漏洞，並從以下四個方麵為企業提供了可供參考的方法

、框架和實施步驟：

• 工控係統風險評估與管理；
• 工控係統安全項目開發和實施；
• 工控係統安全架構；
• 工控係統安全控製。

該指南並非針對企業的合規要求，但對企業建立和實施工控係統安全管理具較強參考意義。

歐洲

2010年的“震網”病毒被發現可感染工控係統
，引發對工控係統安全的關注。歐盟及其成員國為加強工控係統安全

，歐盟網絡與信息安全局（European Union Agency for Network and Information Security, ENISA）於2011年12月發布了《保護工業控製係統-給歐洲及其成員國的建議》（Protecting Industrial Control Systems Recommendations for Europe and Member States）。該gai建jian議yi書shu闡chan述shu了le工gong控kong係xi統tong麵mian臨lin的de安an全quan威wei脅xie，風feng險xian和he挑tiao戰zhan，並bing建jian議yi歐ou盟meng成cheng員yuan國guo通tong過guo製zhi定ding國guo家jia層ceng麵mian工gong控kong係xi統tong安an全quan戰zhan略lve，設she立li工gong控kong安an全quan認ren證zheng框kuang架jia以yi及ji建jian立li工gong控kong安an全quan最zui佳jia實shi踐jian等deng頂ding層ceng設she計ji，改gai進jin現xian有you的de工gong控kong係xi統tong中zhong的de安an全quan薄bo弱ruo環huan節jie。

在該建議書的指引下，各歐盟國家陸續出台了相關的安全指南，如：2013年11月德國聯邦信息辦公室（The German Federal Office for Information Security）發布了《工業控製係統安全綱要》（ICS Security Compendium）介紹了工控係統及其組件，麵臨的信息安全威脅以及工控係統安全的最佳實踐；2015年1月，法國國家安全局（French Network and Information Security Agency
，ANSSI）發布了《工業控製係統安全指南》（Managing Cybersecurity for Industrial Control System）為企業應對工控係統安全風險提供支持。並於2017年9月進一步發布針對具體行業的工控係統實踐指引——《ICS網絡安全：隧道案例研究》（ICS Cybersecurity : A Road Tunnel Case Study）。

歐盟國家陸續建立起工控係統安全標準和最佳實踐，為歐盟境內企業應對工控安全風險提供指引。

中國

2011年10月，受到“震網”病毒事件影響，中國工業和信息化部（以下簡稱工信部或MIIT）認為工業控製係統信息安全麵臨嚴峻的形勢，印發第451號文《關於加強工業控製係統信息安全管理的通知》

，對工控係統的連接管理、組網管理
、配置管理、設備選擇與升級管理、數據管理、應急管理做出了一係列要求。

2016年10月，隨著工業4.0的推進
，國務院要求進一步推進製造業與互聯網融合發展，工信部印發了《工業控製係統信息安全防護指南》，要求工業控製係統應用企業應從十一個方麵做好工控安全防護工作，涉及安全軟件選擇與管理、配置和補丁管理
、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全

、安全監測和應急預案演練、資產安全
、數據安全、供應鏈管理及落實責任。

2016年11月，中國第12屆全國人民代表人大常委會第24次會議通過了《中華人民共和國網絡安全法》（以下簡稱網安法）
，並於2017年6月1日起施行。該法律明確國家實行網絡安全等級保護製度，強調對關鍵信息基礎設施的安全防護。

2017年5月
，在《國務院關於深化製造業與互聯網融合發展的指導意見》的要求下，工信部進一步印發《工業控製係統信息安全事件應急管理工作指南》
，指(zhi)出(chu)工(gong)業(ye)企(qi)業(ye)負(fu)有(you)工(gong)控(kong)安(an)全(quan)主(zhu)體(ti)責(ze)任(ren)
，應(ying)建(jian)立(li)健(jian)全(quan)工(gong)控(kong)安(an)全(quan)責(ze)任(ren)製(zhi)，負(fu)責(ze)本(ben)單(dan)位(wei)工(gong)控(kong)安(an)全(quan)應(ying)急(ji)管(guan)理(li)工(gong)作(zuo)，落(luo)實(shi)人(ren)財(cai)物(wu)保(bao)障(zhang)。並(bing)且(qie)要(yao)求(qiu)工(gong)業(ye)企(qi)業(ye)對(dui)於(yu)可(ke)能(neng)發(fa)生(sheng)或(huo)已(yi)經(jing)發(fa)生(sheng)的(de)工(gong)控(kong)安(an)全(quan)事(shi)件(jian)，能(neng)夠(gou)立(li)即(ji)開(kai)展(zhan)應(ying)急(ji)處(chu)置(zhi)
，力(li)爭(zheng)將(jiang)損(sun)失(shi)降(jiang)到(dao)最(zui)小(xiao)。該(gai)工(gong)作(zuo)指(zhi)南(nan)還(hai)要(yao)求(qiu)工(gong)業(ye)企(qi)業(ye)製(zhi)定(ding)工(gong)控(kong)安(an)全(quan)事(shi)件(jian)應(ying)急(ji)預(yu)案(an)，定(ding)期(qi)組(zu)織(zhi)應(ying)急(ji)演(yan)練(lian)。

2017年7月，工信部發布了《工業控製係統信息安全防護能力評估工作管理辦法》（及其附件《工業控製係統信息安全防護能力評估方法》）
，從評估管理組織

、評估機構和人員要求、評估工具要求、評估工作程序
、監督管理幾個方麵規範了對工業企業開展的工控安全防護能力評估活動

，涵蓋了工業企業工業控製係統在規劃、設計、建設、運行、維(wei)護(hu)等(deng)全(quan)生(sheng)命(ming)周(zhou)期(qi)各(ge)階(jie)段(duan)的(de)安(an)全(quan)防(fang)護(hu)能(neng)力(li)評(ping)價(jia)工(gong)作(zuo)。根(gen)據(ju)相(xiang)關(guan)要(yao)求(qiu)，重(zhong)要(yao)工(gong)業(ye)企(qi)業(ye)每(mei)年(nian)需(xu)要(yao)由(you)第(di)三(san)方(fang)機(ji)構(gou)對(dui)工(gong)控(kong)係(xi)統(tong)安(an)全(quan)防(fang)護(hu)能(neng)力(li)進(jin)行(xing)評(ping)估(gu)，其(qi)他(ta)工(gong)業(ye)企(qi)業(ye)則(ze)至(zhi)少(shao)每(mei)年(nian)一(yi)次(ci)開(kai)展(zhan)評(ping)估(gu)（自評估或第三方評估）。

2017年12月，工信部發布了《工業控製係統信息安全行動計劃（2018-2020年）》，要求落實企業主體責任，依據《網安法》建立工控安全責任製，明確企業法人代表

、經營負責人第一責任者的責任，組建管理機構
，完善管理製度。該《行動計劃》還要求建立健全標準體係
，製定工控安全分級、安全要求
、安全實施、安全測評類標準。

2019年5月13日，為落實《網安法》要求，全國信息安全標準化技術委員會（SAC/TC 260）聯合公安部等機構發布了《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239-2019）, 該標準規範了工控係統等級保護的原則和要求，以確保係統組件及整體安全。

上述由工信部、公安部

、SAC/TC260發布的通知

、指南以及《網安法》共同構成了應用工控係統企業的合規要求。此外，企業還可以借鑒由SAC/TC260發布的一係列國家推薦標準
，如《信息安全技術 - 工業控製係統安全控製應用指南-GB/T 32919-2016》
，《工業控製係統風險評估實施指南-GB/T 36466-2018》，《工業控製網絡安全隔離與信息交換係統安全技術要求》（征求意見稿），《工業控製係統信息安全檢查指南》（征求意見稿）等。

國際標準

2009年7月至2018年1月期間
，國際電氣化委員會（IEC）陸續發布了工控係統相關安全標準《工業通信網絡-網絡和係統安全》（IEC-62443）
，包括：

• 第一部分：術語
  、概念和模型（IEC TS 62443-1-1:2009 Industrial communication networks - Network and system security - Part 1-1: Terminology, concepts and models）
  ；
• 第二部分：建立工業自動化和控製係統安全程序（IEC 62443-2-1:2010 Industrial communication networks - Network and system security - Part 2-1: Establishing an industrial automation and control system security program）；
• 第三部分：工業自動化和控製係統的安全技術（IEC TR 62443-3-1:2009 Industrial communication networks - Network and system security - Part 3-1: Security technologies for industrial automation and control systems）；
• 第四部分：安全產品開發生命周期要求（IEC 62443-4-1:2018 Security for industrial automation and control systems - Part 4-1: Secure product development lifecycle requirements）。

該標準體係範圍較廣，涉及工控係統的各個組成方麵，並從風險評估、人員架構
、係統架構
、網絡設計、安全工具和軟件、shujubaohudengfangmianxiangxichanshuleqiyekeyizunxundeanquanyaoqiuyijixiangyingdeanquanyuanli。gaibiaozhuntixiyeshigeguojianliqigongkongxitonganquanbiaozhuntixidezhongyaocanzhaobiaozhun。

從(cong)世(shi)界(jie)範(fan)圍(wei)內(nei)來(lai)看(kan)，近(jin)年(nian)來(lai)工(gong)控(kong)係(xi)統(tong)安(an)全(quan)相(xiang)關(guan)的(de)標(biao)準(zhun)和(he)指(zhi)南(nan)發(fa)布(bu)頻(pin)率(lv)越(yue)發(fa)密(mi)集(ji)。隨(sui)著(zhe)主(zhu)要(yao)製(zhi)造(zao)業(ye)大(da)國(guo)轉(zhuan)型(xing)升(sheng)級(ji)的(de)推(tui)進(jin)，工(gong)控(kong)係(xi)統(tong)安(an)全(quan)被(bei)提(ti)到(dao)越(yue)發(fa)重(zhong)要(yao)的(de)地(di)位(wei)。應(ying)用(yong)工(gong)控(kong)係(xi)統(tong)企(qi)業(ye)有(you)必(bi)要(yao)對(dui)其(qi)工(gong)控(kong)係(xi)統(tong)安(an)全(quan)給(gei)予(yu)相(xiang)當(dang)的(de)關(guan)注(zhu)，以(yi)應(ying)對(dui)轉(zhuan)型(xing)升(sheng)級(ji)中(zhong)麵(mian)臨(lin)的(de)威(wei)脅(xie)和(he)挑(tiao)戰(zhan)。

工控係統安全體係建議

綜合上述主流國家和地區以及國際組織發布的關於工控係統安全的要求、標biao準zhun和he指zhi南nan，普pu華hua永yong道dao中zhong國guo建jian議yi應ying用yong工gong控kong係xi統tong的de企qi業ye
，建jian立li和he實shi施shi適shi合he的de工gong控kong係xi統tong安an全quan防fang護hu體ti係xi以yi應ying對dui工gong業ye控kong製zhi係xi統tong安an全quan風feng險xian。企qi業ye建jian立li工gong控kong係xi統tong安an全quan體ti係xi可ke參can考kao以yi下xia模mo型xing（圖二）。

04 工業控製係統安全風險與防護

工控係統安全脆弱性

依據《信息安全技術 網絡安全等級保護基本要求》( GB/T 22239-2019)，工控係統分為生產管理層、過程監控層、現場控製層和現場設備層，涉及多種組件、應用和通信協議等
，若一個環節保護不到位，就有可能導致整個工控係統被攻擊而影響生產。脆弱性涉及管理層麵和技術層麵：

• 管理層麵脆弱性包含：安全策略和製度不完善、安全職責不明確
  
  、安全意識薄弱、安全宣傳與培訓不完善、管理監督不到位、供應鏈管理機製欠缺
  、數據保護和備份管理不足、應急響應機製缺乏等
  ；
• 技術層麵脆弱性包含：安全架構設計不合理
  、操作係統陳舊、安全補丁不及時
  、訪問控製不恰當
  、病毒或惡意程序防護不當、通信協議不安全、網絡邊界防護不足、係統配置不恰當、物理和環境保護薄弱
  、日誌缺失或保留時間過短等。

工控係統安全威脅

威脅可能來自企業外部或內部，可能是惡意行為或非惡意行為，可能由人為因素或非人為因素（如自然災害）導致。

就人為因素而言，來自外部的威脅主要是指攻擊者利用工控係統的脆弱性，通過病毒（如震網病毒、勒索病毒）、釣魚等方式發起攻擊（比如高級持續性威脅APT - Advanced Persistent Threat攻擊），滲透進工控係統網絡
，進行非授權操作或者惡意破壞。攻擊者可能包含惡意軟件發布者、釣魚或垃圾郵件發送者
、僵屍網絡操縱者、犯罪集團等。

laizineibuderenweiyinsuweixiezhuyaoshizhixinhuaibumandeneibuyuangonghuozhegongyejiandie
，liyonggongkongxitongguanlihuojishufangmiandequexian，weieyibaofuershanchuqiyehexinshuju，huoweizishenliyiqiequqiyehexinjimishoumaigeijingzhengduishou。ciwai，youyugongkongxitongkeguancunzaidecuiruoxing，renyuanzaifangwenhuocaozuogongkongxitongshi
，yekenengyinweifeieyizhuguanyiyuan，ruwucaozuo，duigongkongxitongzaochengpohuaiheyingxiang。

工控係統安全防護

對(dui)於(yu)上(shang)述(shu)脆(cui)弱(ruo)性(xing)和(he)威(wei)脅(xie)，企(qi)業(ye)可(ke)通(tong)過(guo)建(jian)立(li)適(shi)當(dang)的(de)安(an)全(quan)防(fang)護(hu)體(ti)係(xi)，降(jiang)低(di)安(an)全(quan)風(feng)險(xian)
，以(yi)保(bao)護(hu)工(gong)控(kong)資(zi)產(chan)安(an)全(quan)和(he)正(zheng)常(chang)生(sheng)產(chan)秩(zhi)序(xu)。普(pu)華(hua)永(yong)道(dao)中(zhong)國(guo)建(jian)議(yi)企(qi)業(ye)可(ke)參(can)考(kao)以(yi)下(xia)五(wu)個(ge)方(fang)麵(mian)
，建(jian)立(li)和(he)完(wan)善(shan)工(gong)控(kong)安(an)全(quan)防(fang)護(hu)體(ti)係(xi)：

安全戰略與合規

• 安全戰略規劃：從企業自身業務戰略和IT戰略出發，規劃工控安全戰略與目標；
• 安全合規：根據企業所在行業和地區，梳理相應監管要求並追蹤更新，開展差距分析，整改問題發現，以滿足合規要求。

風險評估與管理

• 資產識別：識別設備設施、硬件、軟件、數據、通信協議、文檔等工控相關資產
  ，並確定資產價值；
• 風險識別：識別工控管理層麵和技術層麵脆弱性
  ，考慮來自內部和外部的威脅；
• 風險評估：基於所確定的工控資產價值，及識別的脆弱性和威脅，判斷風險發生的可能性與影響
  ，對風險進行排序；
• 風險應對：依據風險評估的結果，規劃適當的應對措施，將風險控製在可接受的範圍之內。

安全治理與架構

• 組織架構：建立工控安全管理機構和安全管理負責人，明確並落實安全管理職責，監督安全管理措施的有效運行
  ；
• 製度與流程：製定工控安全管理製度與流程
  
  ，包括軟硬件管理、身份認證與訪問控製管理、數據保護與備份管理
  、配置與補丁管理
  、網絡與通信管理
  、設備管理、物理與環境管理
  、供應鏈管理、安全審計等；
• 技術措施：建立全麵的工控安全技術架構，包含網絡與設備監控、入侵檢測與防護、係統配置與更新、邊界防護、通信保護、安全域劃分
  、應用安全
  、數據安全
  、日誌管理、病毒與惡意代碼防範、物理與環境安全等；
• 安全意識：建立工控安全培訓機製
  ，提升企業整體安全意識，包括法律法規、企業安全製度與流程、安全事件、安全技術等。

威脅與脆弱性管理

• 情報收集：持續收集與企業工控係統安全相關的新聞、事件及漏洞等信息，作為安全防護的參考和依據
  ；
• 漏洞掃描：通過專業工具，設計掃描窗口期，對工控係統網絡內的設備
  、組件、係統
  
  、通信協議等執行掃描，識別工控係統中的漏洞，並對其風險進行評估和排序，采取相應的應對措施
  ；
• 滲透性測試：通過專業設計，模擬真實黑客攻擊
  ，嚐試突破現有安全管控，評估係統抗攻擊能力；
• 通信協議脆弱性分析：通過專業工具，識別工控係統中的通信協議
  
  ，分析和評估通信協議的脆弱性。

安全應急管理

• 應急團隊建立：組建應急團隊
  ，管理和協調企業工控安全應急工作
  ；
• 風險場景識別：確定工控安全風險場景，包含數據丟失
  、設備損壞
  、通信中斷
  、生產停電、自然災害等；
• 預案建立：依據所確定的風險場景
  ，結合企業實際情況
  ，製定工控安全事件應急預案；
• 應急演練：針對應急預案開展演練
  
  ，並根據演練效果更新應急預案。
• 隨著企業業務戰略
  、生產管理模式，以及信息通信技術等方麵的不斷發展，工控安全防護體係也應隨之調整。此外，工業4.0在推動智能製造的同時，也將推動新興科技應用於現代化生產，包含物聯技術
  、5G
  、AI、大數據
  、雲計算等。

05 西門子、GE
、Bosch等巨頭的工業未來

工業4.0概覽

自18世紀末，人類用了200多年的時間，將工業生產從蒸汽時代曆經電氣和信息時代演變到工業4.0智能時代。2011年漢諾威博覽會
，德國首次提出工業4.0概念，通過將互聯網、大數據

、雲計算
、物聯網等新興技術與工業生產相結合，以實現生產智能化。

在工業4.0概念被推出後
，引起了世界主流國家和地區的關注及響應，也紛紛根據國情製定了各自的“工業4.0”發展戰略
，如美國工業互聯網和中國製造2025。

德國工業4.0致力於製定以信息物理係統（Cyber-Physical System, CPS）為核心的智能生產標準，推動製造業向智能化轉型。

美國工業互聯網倡導將人、數據和機器通過物聯技術和設備進行連接和管理
，實現產品全生命周期的管理和服務，重構產業鏈各環節的價值體係。

中國製造2025是針對中國國情而提出的戰略，綜合了創新驅動、綠色發展、結構優化、人才為本的發展戰略，推進兩化融合（工業化和信息化）

，圍繞控製係統
、工業軟件、工業網絡
、工業雲服務和工業大數據平台等，加強信息物理係統的研發與應用

，向工業強國轉型。

企業轉型

全球部分先進企業已率先依據各自國家和地區的戰略，規劃和製定了本企業的工業4.0或類似發展計劃。2019年4月
，德國漢諾威舉辦了工業展
，依據其官方網站顯示
，來自全球70多個國家和地區的5000多家廠商參展，分享了各自工業4.0產品及解決方案
，包括基於物聯技術的智能設備
、智能工廠和安全服務等。

美國提出工業互聯網概念後
，五家龍頭企業於2014年成立了工業互聯網聯盟（Industrial Internet Consortium, IIC），分別是GE, IBM, Cisco, Intel和AT&T。宗旨是規劃發展路徑、科技賦能、降低技術壁壘、加速產品市場化、促進工業互聯網健康發展。依據IIC官方網站顯示
，截止2019年4月底，全球已有超過200多家企業加入該聯盟。以下為部分聯盟領先企業當前的一些轉型舉措：

西門子

• 工廠數字化轉型，利用新興技術
  ，如人工智能（Artificial Intelligence, AI）
  、邊緣計算（Edge Computing）等，對生產設備進行智能化升級；
• Mindsphere（PaaS）物聯網開放雲端平台
  ，實現虛擬和現實的互聯，提供工業應用與數字服務；
• 工業設備物聯
  ，旗下Sinamics產品係列，可通過其通訊模塊
  ，將變頻器、驅動鏈和機器設備與Mindsphere相聯，實現物理世界和數字世界的互聯，以優化分析過程和維護策略
  ；
• 工業數據化服務
  ，幫助客戶實施數字化轉型。

博世

• Bosch IoT Suite博世物聯網套件，提供設備接入、設備管理
  、訪問控製、軟件升級、第三方對接以及IoT數據分析等服務；
• 旗下Escrypt公司提供嵌入式安全產品和解決方案。

GE

• 2018年底，GE宣布計劃成立一家新公司，專注開發工業物聯網軟件及相關業務，旨在整合GE工業物聯網解決方案
  ，包括Predix平台、資產績效管理(APM)、Historian、自動化(HMI/SCADA)、製造執行係統、運營績效管理等方案。

Intel

• 企業智能化解決方案，幫助工業企業應用大數據、推動信息技術（Information Technology, IT）和運維技術（Operational Technology, OT）的融合、應對信息安全威脅。

此外，IBM

、Amazon、Microsoft和Hitachi等企業也相繼推出了物聯相關解決方案。

綜上，我們可以看出
，在工業4.0大環境下，企業已朝著智能生產
、智能工廠、智能產品


、數(shu)字(zi)化(hua)轉(zhuan)型(xing)服(fu)務(wu)的(de)方(fang)向(xiang)發(fa)展(zhan)，推(tui)動(dong)工(gong)業(ye)製(zhi)造(zao)和(he)互(hu)聯(lian)網(wang)技(ji)術(shu)的(de)深(shen)度(du)融(rong)合(he)。同(tong)時(shi)，隨(sui)著(zhe)物(wu)聯(lian)戰(zhan)略(lve)的(de)擴(kuo)展(zhan)，物(wu)聯(lian)安(an)全(quan)問(wen)題(ti)也(ye)將(jiang)變(bian)得(de)更(geng)為(wei)複(fu)雜(za)和(he)嚴(yan)峻(jun)
，企(qi)業(ye)需(xu)要(yao)花(hua)費(fei)更(geng)多(duo)的(de)時(shi)間(jian)和(he)精(jing)力(li)來(lai)保(bao)障(zhang)智(zhi)能(neng)生(sheng)產(chan)的(de)安(an)全(quan)運(yun)作(zuo)。

國內，在工業和信息化部（簡稱工信部）的指導下
，2016年2月由工業

、信息通信業、互聯網等領域百餘家單位共同發起成立了工業互聯網產業聯盟（Alliance of Industrial Internet, AII），旨(zhi)在(zai)促(cu)進(jin)相(xiang)關(guan)主(zhu)體(ti)之(zhi)間(jian)的(de)交(jiao)流(liu)和(he)深(shen)度(du)合(he)作(zuo)
，促(cu)進(jin)供(gong)需(xu)對(dui)接(jie)和(he)知(zhi)識(shi)共(gong)享(xiang)
，形(xing)成(cheng)優(you)勢(shi)互(hu)補(bu)，有(you)效(xiao)推(tui)進(jin)工(gong)業(ye)互(hu)聯(lian)網(wang)產(chan)業(ye)發(fa)展(zhan)，切(qie)實(shi)解(jie)決(jue)企(qi)業(ye)現(xian)實(shi)問(wen)題(ti)。自(zi)成(cheng)立(li)以(yi)來(lai)，會(hui)員(yuan)數(shu)量(liang)已(yi)超(chao)過(guo)900家

，分別從工業互聯網頂層設計
、技術研發、標準研製、產業實踐等領域開展工作，發布多項研究成果，為政府決策和產業發展提供支撐。

未來工業展望

隨著工業的快速發展，新興科技如大數據分析(Big Data Analysis)、雲計算(Cloud Computing)、邊緣計算、5G網絡、物聯技術
、AI和3D打印技術也將隨之大範圍應用於工業領域。

傳統工業係統架構中
，OT與IT設備是獨立的

，信息是分開的。未來，工業4.0將推動實現物物互聯，OT與IT信息互聯，促進OT
、IT和CT（Communication Technology）的融合，極大程度優化工廠資源配置。

在zai此ci進jin程cheng中zhong，物wu聯lian技ji術shu將jiang成cheng為wei不bu可ke或huo缺que的de一yi部bu分fen。當dang下xia物wu聯lian技ji術shu較jiao多duo應ying用yong在zai消xiao費fei領ling域yu，並bing且qie已yi有you諸zhu多duo安an全quan隱yin患huan被bei識shi別bie，例li如ru利li用yong特te斯si拉la車che載zai物wu聯lian設she備bei的de安an全quan漏lou洞dong，實shi現xian遠yuan程cheng操cao控kong行xing車che狀zhuang態tai和he門men鎖suo等deng攻gong擊ji。因yin此ci，物wu聯lian技ji術shu在zai帶dai來lai諸zhu多duo便bian利li的de同tong時shi，也ye引yin入ru了le諸zhu多duo安an全quan風feng險xian。相xiang比bi較jiao消xiao費fei領ling域yu，在zai更geng為wei複fu雜za的de工gong業ye智zhi能neng生sheng產chan領ling域yu更geng應ying重zhong視shi物wu聯lian技ji術shu與yu設she備bei安an全quan問wen題ti。

針對物聯技術和產品
，各國正在研究或已出台物聯設備的合規要求和管理指南
，如美國已於2019年提交國會審議The IoT Cybersecurity Improvement Act of 2019，中國信息通信研究院於2018年出台了《物聯網安全白皮書》

、2019年5月中國發布的等保2.0中新增了物聯網安全擴展要求，都可以看出全球對於物聯安全的重視正不斷提升。

普華永道中國認為，除上述生產和產品的數字化轉型外，工業4.0亦將推動企業經營理念
、管理架構與職能
、管理製度與流程等方麵的轉型和變化。例如，隨著OT和IT的融合

，IT部門與OT部門在信息安全工作方麵將深化協作；隨著智能產品的推出，安全管控將被納入產品全生命周期管理，如產品研發階段的安全設計
、推出市場前的安全測試，以及使用過程中的安全升級等；隨著領先企業數字化轉型的推進
，其將借鑒自身的經驗和技術積累，以服務的形式推向市場，協助其他企業加速數據化轉型。

人類將邁入萬物互聯時代，協同物聯安全將是未來長期需要關注的領域。