【工控安全】工业控制系统安全

2011年德国在汉诺威工业博览上首次推出工业4.0战略，“万物互联”概念深入人心。随着工业4.0的普及，工业控制系统逐渐被公众认识和了解，近几年更是发生了针对部分国家和地区关键信息基础设施工业控制系统的重大攻击事件，对国计民生甚至国家安全造成了威胁，也促使工业控制系统的安全问题日渐被各国政府和企业所重视。

中国与时俱进，在网络安全法的大背景下，发布了一系列关于工业控制系统安全的监管与合规要求，其中于2019年5月13日正式发布的网络安全等级保护2.0中，专门增加了对工业控制系统安全的扩展要求。

普华永道中国撰写了“ 工业控制系统安全 ”系列文章，借此协助企业深入了解工业控制系统的潜在安全威胁和隐患，分享国际和地区的安全标准，及应对方案。

普华永道中国工业控制系统安全系列：

1.提升工业控制系统安全，助力工业4.0

2.解析工业控制系统安全事件

3.概览工业控制系统安全标准及合规

4.洞察工业控制系统安全风险与防护

5.展望万物互联，协同物联安全

随着工业4.0推进，越来越多的企业开始思考将信息通信技术（ICT）与制造业相结合，即两化融合，使生产端和消费端相连接，推进制造业数字化、网络化和智能化，从生产型制造转向服务型制造。

工业控制系统（以下简称：工控系统或ICS）是对物理世界有直接影响的控制系统，其安全漏洞既可能导致财务上的损失，还可能对人类健康和环境安全带来重大风险。

与企业日常使用的IT系统相比，工控系统有自身的特性，比如由于更强调对生产目标的服务，停机需要提早规划，系统升级可能涉及较多组件间的兼容性问题，因此较难及时通过停机更新等传统IT方法来保护该系统的安全。此外，企业内部IT人员由于知识背景和职责的因素，也很少对工控系统的安全进行评估和维护。

长久以来，工控系统安全一直处于企业运维安全（Operation Security，OT）中较为薄弱的环节，在工业互联网和智能制造的大趋势和推动下，对工控系统安全的关注正被逐步提升。

工控系统的主要目标是实现工业自动化生产线的物流控制、设备信息监控及诊断处理，其主要功能包括设备管理、任务管理、日志管理、调度管理、诊断管理、系统仿真等。

工控系统通常包括，制造执行系统（MES），监控和数据采集（SCADA）系统，分布式控制系统（DCS），可编程逻辑控制器（PLC）等组件。MES系统主要对生产过程进行管理，如制造数据管理、生产调度管理、计划排程管理等。SCADA系统通常使用中心化的数据采集和监控手段来控制分散的设施。DCS系统通常用于控制本地区域内的生产系统，例如监控和调节本地工厂。PLC通常用于特定的离散设备，提供相应的调节控制。工控系统还涉及远程终端（RTU），智能电子设备（IED）以及确保各组件通信的接口技术。

工控系统还包含控制循环、人机接口（HMIs），和使用一系列网络协议构建的远程诊断和维护工具。工控系统广泛应用于各行各业，如电力、能源、化工行业、运输、制造（汽车、航空航天和耐用品）、制药、造纸、食品加工等。

由于工控系统应用的技术领域、行业特点以及承载业务类型的差异，工控系统的架构亦会不同。在典型的工控系统中，一般包括四个层级：现场设备层，现场控制层，过程监控层和生产管理层（层级0-层级3）。其最上层生产管理层与企业资源层中的ERP软件对接（图一）。

工控系统的信息安全隐患分布于工控系统架构的所有层级。攻击者可能通过嗅探、欺骗、物理攻击及病毒传播的方式，进行以下未授权或非法操作，影响企业正常生产：

工控系统不同于传统IT系统。相比于IT系统，工控系统拥有以下特性：

综上，相比IT系统，建立涵盖工控系统各层级的信息安全体系更为复杂，需要企业管理层的重视和监管，以及企业内跨部门的协作。

一直以来，企业信息安全的防护措施主要集中传统IT系统，特别是面向公众的系统和服务。针对工控系统的信息安全问题，企业往往采取模糊即安全（security by obscurity ）的被动方式，未给予足够的关注和重视。

根据CVE（Common Vulnerabilities and Exposures）的统计显示（详见图二），2011年起工控系统漏洞的发布数量显著增加，并且发生针对工控系统的安全事件，其中影响较大有：2010年伊朗核电站的震网病毒攻击导致铀浓缩设备故障事件，2015年的乌克兰大规模停电事件，2018年台积电生产基地被攻击的事件，以及2019年委内瑞拉的电网被攻击导致全国大部分地区断电事件。这些事件都造成了十分严重的后果。

根据2015年美国国家标准技术研究所（National Institute of Standards and Technology，NIST）的调查结果*，工业控制系统可能面临的安全事件主要有：

依据普华永道中国的追踪和研究，我们发现企业缺乏有效的管理和技术措施保障工控系统的安全，存在较多安全隐患。诸如：

面对上述工控系统安全威胁，我们建议企业通过风险评估及差距分析等方法，识别企业在管理和技术两个层面上的管控缺口，并通过落地相关整改措施，提升企业工控系统的整体安全，抵御来自内外部的安全威胁。

作为首要任务，我们建议企业管理层开始思考以下问题：

1. 生产过程面临的安全风险是什么——是否已识别出所有工控系统相关资产？是否对资产进行了优先排序，并明确了受到损害的潜在后果？在信息安全事件发生后，企业能否维持生产和关键业务流程的运作？

2. 是否已组建工控系统安全管理团队和负责人？

3. 企业员工是否对工控系统安全有充分的认知和意识？

4. 是否已建立工控系统的安全管理制度和流程？

5. 工控系统维护及其安全是否依赖外部第三方支持？是否建立了有效的第三方管理机制？

6. 工控系统网络是否连入企业网络/互联网，是否建立有效措施防护其在联网状态下的安全？

7. 是否实施有效的安全防护措施，如防病毒、防恶意软件、外设控制等？

8. 工控系统网络是否支持远程访问？远程访问能否得到保护和监控？

9. 企业是否建立了工控系统安全警报机制及应急预案？

10. 企业是否选择了合适的标准，建立了完备的工控系统安全管理体系？

此外，美国、欧盟及中国等已陆续发布了针对工控系统的安全标准和建议（详见表1所示），可供企业参考。

普华永道中国持续关注和追踪工控安全事件，分析潜在威胁及风险。我们将在后续“工业控制系统安全系列”中，解析工控系统安全事件，介绍工控系统安全标准和建议。

参考文献

1) NIST Special Publication 800-82----Guide to Industrial Control Systems (ICS) Security

2)《工业控制系统信息安全事件应急管理工作指南》

3)《工业控制系统信息安全防护指南》

4) 信息安全技术 网络安全等级保护基本要求  第5部分：工业控制系统安全扩展要求

5)《工业4.0 - 正在发生的未来 》  夏妍娜   赵胜著

工业控制系统（以下简称：工控系统或ICS）是水力、电力、能源、石油、化工、制造、航空航天、交通运输等国家命脉行业的重要基础设施，亦是制造企业重要的生产控制、监测和管理系统。工业控制系统一旦受到攻击，可能会对人员、财产和环境安全造成重大威胁，更严重者甚至威胁到国家安全和社会秩序。

本文追踪了近几年工控系统安全趋势和重大安全事件，并选取和分析了近期发生的工控安全事件，希望借此协助企业进一步了解工控系统安全威胁和隐患。

近年来国内外工控系统安全的事件频频发生。根据国家信息安全漏洞共享平台（CNVD）的追踪和统计（详见图一），自2011年起，工控领域发现和发布的漏洞呈现逐年递增趋势。

依据CNVD公开披露的工控系统漏洞数据的统计分析（详见图二），截至2019年4月已识别2,743个工控系统漏洞，其中高危漏洞907个(占比为33%)，中危漏洞1,163个(占比为42%)。

工业控制系统重大安全事件回顾

震网病毒攻击伊朗核电站，致使铀浓缩设备出现故障

伊朗

2010年6月，伊朗布什尔核电站铀浓缩设备出现故障，致使伊朗核计划推迟。经调查，是由于受到了一种新型蠕虫病毒的攻击，该病毒代码中出现了特征字“stux”，此后Stuxnet也被命名为震网病毒。Stuxnet被认为是第一个专门定向攻击真实世界中基础设施（能源）的恶意代码。

乌克兰电网遭攻击，造成大范围停电

乌克兰

2015年12月23日，乌克兰电网电力中断，致使乌克兰城市伊万诺弗兰科夫斯克将近一半的家庭（约140万人）经历了数小时的电力瘫痪。经调查，此次事件是由木马恶意软件攻击所致，由于其影响范围较广，促使工业控制系统的安全问题受到更广泛关注。

勒索病毒WannaCry肆虐全球

全球

2017年5月12日，WannaCry勒索病毒利用MS17-010漏洞袭击全球，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业。中国部分普通用户和企事业单位受到感染，导致大量文件被加密，无法正常工作，影响巨大。

台积电三大工厂接连遭病毒感染, 导致大规模生产线停摆

台湾

2018年8月3日，台积电部分生产设备相继遭到病毒感染，导致其在台湾地区三大生产基地的部分工厂相继停摆。台积电作为全球最大的芯片代工厂，一直都是黑客重点关注目标，每年都遭受大量的网络攻击。但此为首次导致如此大规模的生产线停摆。

委内瑞拉停电事件, 导致持续6天大规模停电

委内瑞拉

2019年3月7日，委内瑞拉全国发生大规模停电事件，影响23个州中的18个州。截止2019年4月底尚未明确导致此次事件的原因。

本文选取委内瑞拉停电事件进行剖析，深入分析其潜在原因。

事件回顾

据新华社报道2019年3月7日傍晚5时（当地时间）开始，委内瑞拉国内包括首都加拉加斯在内的大部分地区停电超过24小时，在委内瑞拉23个州中，一度超过18个州全面停电，停电导致加拉加斯地铁无法运行，造成大规模交通拥堵，学校、医院、工厂、机场等都受到严重影响，多数地区的供水和通信网络受到影响。

8日凌晨，加拉加斯部分地区开始恢复供电，随后其他地区电力供应也逐步恢复，但是9日中午、10日再次停电，给人们带来巨大恐慌。长时间大范围的电力故障给委内瑞拉造成严重损失，此次停电是委内瑞拉自2012年以来时间最长、影响地区最广的停电。

威胁可能性分析

针对此次大规模的停电事故，业界存在各种不同的分析观点，尚无统一定论，本文将从八个方面（详见图三）逐一解析可能造成此次大规模停电事故的潜在安全隐患。

本文将介绍全球主流国家自2009年起，陆续出台的关于 工业控制系统 （以下简称：工控系统或ICS）的安全要求、标准和指南（详见图一），协助企业了解相关标准及合规要求，建立符合自身发展的合规的工业控制系统安全体系。

2015年5月，美国国家标准技术研究所（NIST）在《联邦信息安全现代化法案》（Federal Information Security Modernization Act）的要求下，发布了《工业控制系统安全指南》（Guide to Industrial Control Systems Security，NIST SP 800-82），为工控系统及其组件（监控和数据采集系统SCADA，分布式控制系统DCS，可编程逻辑控制器PLC，以及其他执行控制功能的终端和智能电子设备）提供安全指导，帮助企业降低工控系统信息安全相关风险。

该指南概述了工控系统组件及架构，指出了工控系统面临的威胁和漏洞，并从以下四个方面为企业提供了可供参考的方法、框架和实施步骤：

该指南并非针对企业的合规要求，但对企业建立和实施工控系统安全管理具较强参考意义。

2010年的“震网”病毒被发现可感染工控系统，引发对工控系统安全的关注。欧盟及其成员国为加强工控系统安全，欧盟网络与信息安全局（European Union Agency for Network and Information Security, ENISA）于2011年12月发布了《保护工业控制系统-给欧洲及其成员国的建议》（Protecting Industrial Control Systems Recommendations for Europe and Member States）。该建议书阐述了工控系统面临的安全威胁，风险和挑战，并建议欧盟成员国通过制定国家层面工控系统安全战略，设立工控安全认证框架以及建立工控安全最佳实践等顶层设计，改进现有的工控系统中的安全薄弱环节。

在该建议书的指引下，各欧盟国家陆续出台了相关的安全指南，如：2013年11月德国联邦信息办公室（The German Federal Office for Information Security）发布了《工业控制系统安全纲要》（ICS Security Compendium）介绍了工控系统及其组件，面临的信息安全威胁以及工控系统安全的最佳实践；2015年1月，法国国家安全局（French Network and Information Security Agency，ANSSI）发布了《工业控制系统安全指南》（Managing Cybersecurity for Industrial Control System）为企业应对工控系统安全风险提供支持。并于2017年9月进一步发布针对具体行业的工控系统实践指引——《ICS网络安全：隧道案例研究》（ICS Cybersecurity : A Road Tunnel Case Study）。

欧盟国家陆续建立起工控系统安全标准和最佳实践，为欧盟境内企业应对工控安全风险提供指引。

2011年10月，受到“震网”病毒事件影响，中国工业和信息化部（以下简称工信部或MIIT）认为工业控制系统信息安全面临严峻的形势，印发第451号文《关于加强工业控制系统信息安全管理的通知》，对工控系统的连接管理、组网管理、配置管理、设备选择与升级管理、数据管理、应急管理做出了一系列要求。

2016年10月，随着工业4.0的推进，国务院要求进一步推进制造业与互联网融合发展，工信部印发了《工业控制系统信息安全防护指南》，要求工业控制系统应用企业应从十一个方面做好工控安全防护工作，涉及安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理及落实责任。

2016年11月，中国第12届全国人民代表人大常委会第24次会议通过了《中华人民共和国网络安全法》（以下简称网安法），并于2017年6月1日起施行。该法律明确国家实行网络安全等级保护制度，强调对关键信息基础设施的安全防护。

2017年5月，在《国务院关于深化制造业与互联网融合发展的指导意见》的要求下，工信部进一步印发《工业控制系统信息安全事件应急管理工作指南》，指出工业企业负有工控安全主体责任，应建立健全工控安全责任制，负责本单位工控安全应急管理工作，落实人财物保障。并且要求工业企业对于可能发生或已经发生的工控安全事件，能够立即开展应急处置，力争将损失降到最小。该工作指南还要求工业企业制定工控安全事件应急预案，定期组织应急演练。

2017年7月，工信部发布了《工业控制系统信息安全防护能力评估工作管理办法》（及其附件《工业控制系统信息安全防护能力评估方法》），从评估管理组织、评估机构和人员要求、评估工具要求、评估工作程序、监督管理几个方面规范了对工业企业开展的工控安全防护能力评估活动，涵盖了工业企业工业控制系统在规划、设计、建设、运行、维护等全生命周期各阶段的安全防护能力评价工作。根据相关要求，重要工业企业每年需要由第三方机构对工控系统安全防护能力进行评估，其他工业企业则至少每年一次开展评估（自评估或第三方评估）。

2017年12月，工信部发布了《工业控制系统信息安全行动计划（2018-2020年）》，要求落实企业主体责任，依据《网安法》建立工控安全责任制，明确企业法人代表、经营负责人第一责任者的责任，组建管理机构，完善管理制度。该《行动计划》还要求建立健全标准体系，制定工控安全分级、安全要求、安全实施、安全测评类标准。

2019年5月13日，为落实《网安法》要求，全国信息安全标准化技术委员会（SAC/TC 260）联合公安部等机构发布了《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）, 该标准规范了工控系统等级保护的原则和要求，以确保系统组件及整体安全。

上述由工信部、公安部、SAC/TC260发布的通知、指南以及《网安法》共同构成了应用工控系统企业的合规要求。此外，企业还可以借鉴由SAC/TC260发布的一系列国家推荐标准，如《信息安全技术 - 工业控制系统安全控制应用指南-GB/T 32919-2016》，《工业控制系统风险评估实施指南-GB/T 36466-2018》，《工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿），《工业控制系统信息安全检查指南》（征求意见稿）等。

2009年7月至2018年1月期间，国际电气化委员会（IEC）陆续发布了工控系统相关安全标准《工业通信网络-网络和系统安全》（IEC-62443），包括：

• 第一部分：术语、概念和模型 （IEC TS 62443-1-1:2009 Industrial communication networks - Network and system security - Part 1-1: Terminology, concepts and models）；

• 第二部分：建立工业自动化和控制系统安全程序 （IEC 62443-2-1:2010 Industrial communication networks - Network and system security - Part 2-1: Establishing an industrial automation and control system security program）；

• 第三部分：工业自动化和控制系统的安全技术 （IEC TR 62443-3-1:2009 Industrial communication networks - Network and system security - Part 3-1: Security technologies for industrial automation and control systems）；

• 第四部分：安全产品开发生命周期要求 （IEC 62443-4-1:2018 Security for industrial automation and control systems - Part 4-1: Secure product development lifecycle requirements）。

该标准体系范围较广，涉及工控系统的各个组成方面，并从风险评估、人员架构、系统架构、网络设计、安全工具和软件、数据保护等方面详细阐述了企业可以遵循的安全要求以及相应的安全原理。该标准体系也是各国建立其工控系统安全标准体系的重要参照标准。

从世界范围内来看，近年来工控系统安全相关的标准和指南发布频率越发密集。随着主要制造业大国转型升级的推进，工控系统安全被提到越发重要的地位。应用工控系统企业有必要对其工控系统安全给予相当的关注，以应对转型升级中面临的威胁和挑战。

综合上述主流国家和地区以及国际组织发布的关于工控系统安全的要求、标准和指南，普华永道中国建议应用工控系统的企业，建立和实施适合的工控系统安全防护体系以应对工业控制系统安全风险。企业建立工控系统安全体系可参考以下模型（图二）。

普华永道中国持续关注和追踪工控安全事件，分析潜在威胁及风险。我们将在后续“工业控制系统安全系列”中，介绍工业控制系统架构中的安全威胁及相应的防范措施。

参考文献

1) NIST Special Publication 800-82----Guide to Industrial Control Systems (ICS) Security

2)《工业控制系统信息安全事件应急管理工作指南》

3)《工业控制系统信息安全防护指南》

4)《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)

5)《工业4.0 - 正在发生的未来》   夏妍娜   赵胜著

6) Federal Information Security Modernization Act

7) Protecting Industrial Control Systems Recommendations for Europe and Member States

8) ICS Security Compendium

9) Managing Cybersecurity for Industrial Control System

10) ICS CYBERSECURITY : A ROAD TUNNEL CASE STUDY

11)《关于加强工业控制系统信息安全管理的通知》

12)《工业控制系统信息安全防护指南》

13)《国务院关于深化制造业与互联网融合发展的指导意见》

14)《工业控制系统信息安全防护能力评估工作管理办法》

15)《工业控制系统信息安全防护能力评估方法》

16)《工业控制系统信息安全行动计划（2018-2020年）》

17)《工业通信网络-网络和系统安全》（IEC-62443）

工业控制系统（以下简称工控系统），相比传统IT系统，具有繁杂的架构，众多的组件，更多的层级，应用多种专用通信协议，并紧密结合生产，使得其安全防护难度增大。此外，企业对工控系统安全意识薄弱，对攻击手法认知有限，亦可能导致工控系统存在较大的安全隐患。

本文将从脆弱性与威胁两个层面探讨工控安全风险，并介绍工控系统安全防护措施，协助企业提升对工控安全的认识和防护水平。

普华永道中国工业控制系统安全系列：

1.提升工业控制系统安全，助力工业4.0

2.解析工业控制系统安全事件

3.概览工业控制系统安全标准及合规

4.洞察工业控制系统安全风险与防护

5.展望万物互联，协同物联安全

依据《信息安全技术 网络安全等级保护基本要求》( GB/T 22239-2019)，工控系统分为生产管理层、过程监控层、现场控制层和现场设备层，涉及多种组件、应用和通信协议等，若一个环节保护不到位，就有可能导致整个工控系统被攻击而影响生产。脆弱性涉及管理层面和技术层面：

• 管理层面脆弱性包含： 安全策略和制度不完善、安全职责不明确、安全意识薄弱、安全宣传与培训不完善、管理监督不到位、供应链管理机制欠缺、数据保护和备份管理不足、应急响应机制缺乏等；

  
  

• 技术层面脆弱性包含： 安全架构设计不合理、操作系统陈旧、安全补丁不及时、访问控制不恰当、病毒或恶意程序防护不当、通信协议不安全、网络边界防护不足、系统配置不恰当、物理和环境保护薄弱、日志缺失或保留时间过短等。

威胁可能来自企业外部或内部，可能是恶意行为或非恶意行为，可能由人为因素或非人为因素（如自然灾害）导致。

就人为因素而言，来自外部的威胁主要是指攻击者利用工控系统的脆弱性，通过病毒（如震网病毒、勒索病毒）、钓鱼等方式发起攻击（比如高级持续性威胁APT - Advanced Persistent Threat攻击），渗透进工控系统网络，进行非授权操作或者恶意破坏。攻击者可能包含恶意软件发布者、钓鱼或垃圾邮件发送者、僵尸网络操纵者、犯罪集团等。

来自内部的人为因素威胁主要是指心怀不满的内部员工或者工业间谍，利用工控系统管理或技术方面的缺陷，为恶意报复而删除企业核心数据，或为自身利益窃取企业核心机密售卖给竞争对手。此外，由于工控系统客观存在的脆弱性，人员在访问或操作工控系统时，也可能因为非恶意主观意愿，如误操作，对工控系统造成破坏和影响。

对于上述脆弱性和威胁，企业可通过建立适当的安全防护体系，降低安全风险，以保护工控资产安全和正常生产秩序。普华永道中国建议企业可参考以下五个方面，建立和完善工控安全防护体系：

• 安全战略规划： 从企业自身业务战略和IT战略出发，规划工控安全战略与目标；

• 安全合规： 根据企业所在行业和地区，梳理相应监管要求并追踪更新，开展差距分析，整改问题发现，以满足合规要求。