漏洞多多，工控安全防护刻不容缓

导读：随着物理控制和电子系统的高度集成，在严峻的安全威胁形势下，工业控制系统安全事关国家关键基础设施安全和民生安全，必须大力加强安全管理。针对工业控制系统面临的网络安全问题提供解决思路和落地技术手段，提高工控信息安全防护技术水平刻不容缓。

从工业控制系统自身来看，随着计算机和网络技术的发展，尤其是信息化与工业化的深度融合，工业控制系统越来越多地采用通用协议、通用硬件和通用软件，通过互联网等公共网络连接的业务系统也越来越普遍，这使得针对工业控制系统的攻击行为大幅度增长，也使得工业控制系统的脆弱性正在逐渐显现，面临的信息安全问题日益突出。

2010年的“震网”病毒、2012年的超级病毒“火焰”、2014年的Havex病毒等专门针对工业控制系统的病毒给用户带来了巨大的损失，同时也直接或间接地威胁到国家安全。从2015年发生的乌克兰电力遭受攻击事件我们可以看到，在不需要利用复杂攻击手段、不需要完整还原业务系统运行过程的情况下，就可以对工控系统的运行造成影响。

随着各方对工控系统的关注，近年来工控系统被挖掘的漏洞呈现总体上升的趋势，但由于工业控制系统漏洞具有更高的价值，仍有大量的工控漏洞已被发现，却未被曝光，因此，实际的工控漏洞数量应超出已有统计数，同时，SCADA、HMI、PLC、工业交换机等占曝光的漏洞数的前几位。从分布的厂商来看，Siemens、advantech、scheider仍是漏洞大户，他们的漏洞总和占全体工控漏洞总数的近30%。

我国同样遭受着工业控制系统信息安全漏洞的困扰，比如2010年齐鲁石化、2011年大庆石化炼油厂，工控系统分别感染Conficker病毒，都造成控制系统服务器与控制器通讯不同程度地中断。

伴随着国家政策的指引以及行业内对工控安全的行业引导，在相关因素驱动下，工控安全产品应用实例的增多及实际应用效果得到业界的认可，预计在不久的将来，工业控制系统的安全必将迅猛发展。

IEC 62443是在国际上被广泛采纳和认可的工控系统标准。各国、各行业制定工控相关标准政策都会参考和吸收该标准提供的概念、方法、模型。不论是想系统地了解工控安全问题及其应对措施，还是想了解部分内容，都可以从该标准入手。

IEC62443针对工控系统信息安全的定义是：

A、保护系统所采取的措施；

B、由建立和维护保护系统的措施所得到的系统状态；

C、能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失；

D、基于计算机系统的能力，能够保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能，却保证授权人员和系统不被阻止；

E、防止对工控系统的非法或有害入侵，或者干扰其正确和计划的操作。

纵观国际工控安全的发展态势，美国是最早开始研究和执行工控安全标准的国家，北美电力可靠性公司给予 CIP系列标准的要求开展在北美电力开展针对电力企业安全安全检查（包含核电）；欧洲已经按照 WIB标准来检测工控产品安全，并且以德国为代表的国家，已经开始基于 ISO 27000系列的ISO 27009 进行工控安全的建设；日本基于 IEC 62443要求结合阿基里斯认证要求，从 2013年起规定所有工控产品必须通过国家标准认证才能在国内使用，并且已经在一些重点行业如能源和化工行业开始了工控安全检查和建设；以色列已成立国家级工控产品安全检测中心，用于工控安全产品入网前的安全检测。

2011年，工信部出台了《关于加强工业控制系统信息安全管理的通知》（工信部协［2011］451号）文件，第一次对工控安全管理工作提出了具体要求。近年来随着信息技术与工业生产活动的不断融合，工控安全形势日益严峻，原451号文件在指导开展工控安全防护工作上存在操作性不强、技术性不够等不足之处。工控安全主管部门和工业控制系统应用单位，都急需一个简单明了、措施化、易于落地的防护指导手册。

2016年对于我国工业控制系统信息安全市场来说，应该是收获颇为丰厚的一年。尤其是在相关法律法规、标准等方面都取得了突破性的进展。

2016年10月，工业和信息化部印发的《工业控制系统信息安全防护指南》，其中指出，工业控制系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任11个方面做好工控安全防护工作。《指南》的发布是对国家关键信息基础设施安全保护要求的充分落实，也为新时期、新形势下做好工控安全防护工作提供了重要的参考。

《指南》在充分考虑可操作性、务实性、实施便利性等基础上，提出了11大项、30小项工控安全防护措施，为相关单位开展工控安全防护工作提供了有效参考。

对大型分布式控制系统（DCS）实施信息安全比可编程控制器（PLC）系统要容易得多，因为它们多数部署在大型厂内，且DCS系统的设计安装要依据最佳工程实践，有一致性的标准和验收流程。而多数安装在工厂的PLC系统，则没有统一的设计、规划、实施和验收，因为购买金额相对较小，安装和调试的管理相对简单粗狂，因此留下诸多隐患。

为了防止网络攻击，信息安全项目需要一种有效和切实可行的机制，包括人员、规程和技术。我们不能指望多数制造商很快就对他们的自动化系统实施网络信息安全项目。

从性质上看，工控安全是生产经营安全，工业企业承担工控安全防护的主体责任。企业要建立健全企业的工控安全生产责任制，不断完善企业工控安全管理制度、加强企业人员管理、供应链管理及系统运维管理。

工业企业认真研究和讨论IEC62443标准和《工业控制系统信息安全防护指南》，检查工厂的自动化系统，对工厂整体的运行情况进行评估，发现可能存在的隐含漏洞，和你的有关团队一起讨论信息安全策略和解决方案，这不仅能提高工厂运行的效率，而且随时防止有一天可能出现的网络攻击，保护工厂的资产、人员和环境。

要从工控系统全生命周期做好安全防护。由于工业生产各业务环节及相关系统之间的连接越来越紧密，工业控制系统在设计、选型、建设、测试、运行、检修、废弃各阶段均需要做好防护工作，《指南》中的防护措施贯穿了工控系统的整个生命周期。

工控安全防护要从系统与设备安全、网络安全、主机安全和数据安全方面建立综合防护能力。传统的单点防护已经不能应对日益严峻的安全形势，《指南》提出要在工控系统与设备、工业网络、工业主机、工业数据各核心要素上都建立防护能力，大幅提高黑客攻击工控系统的难度，切实提升工控系统安全水平。

要加快培养工控安全专业技术队伍。当前我国在工控安全方面的风险评估、防护方案规划与实施方面的人才存在较大缺口，工业企业在落实《指南》中的防护措施时，急需相关专业技术人员来实施有关工作。相关主管部门要通过专业建设、人才培育等多种措施，加快工控安全人才力量的建设。

小结：随着信息化网络化等技术的不断发展，控制系统接入互联网也是大势所趋，所以对于控制系统的信息安全和抵御黑客攻击能力会要求更高。工业企业可参照《指南》选择工控安全防护产品或解决方案，促进企业落实工控安全防护措施，切实提升工控系统安全水平。