工业控制系统信息安全防护措施

工业控制系统信息安全防护措施

摘要

随着中国制造2025的持续推进、制造业与互联网融合的快速发展，工业控

制系统(IndustrialControlSystem)被更加广泛地应用于能源、电力、水利、油气、

化工、冶金、制药、食品和装备制造等各个行业。工业生产中最核心的一大环

节是工业控制系统，在工业化以及信息化合为一体后，其产生了一定的隐患，

这对工业控制系统的安全性是一个巨大的挑战，这篇文章主要说明了工业控制

系统的具体应用场景以及工业控制系统的特点，并对其自身所存在的各类问题

进行剖释，整理时下信息安全技术，为其安全性的研究以及应用提供了相应的

解决方案。

关键词：工业控制；需求分析；网络安全；系统信息；防护建设

目录

摘要..............................................................................1

目录..............................................................................1

前言..............................................................................2

1.工业控制系统概述.............................................................3

2.工业控制系统信息安全特点....................................................3

3.安全防护的主要内容..........................................................4

4.工业控制系统全生命周期主要阶段信息安全防护的对策..........................5

4.1.需求分析及系统设计阶段信息安全防护的对策................................5

4.2.运行阶段信息安全防护的对策...............8

4.3.维护阶段信息安全防护的对策..............................................9

5.工业控制系统信息安全面临的自然和人为方面的威胁..............................9

5.1.病毒防控.................................................................9

5.2.主机的安全风险...........................9

5.3.系统漏洞................................................................10

6.工业控制系统信息安全面临的敌意的主客观威胁................................10

7.工业控制系统信息安全防护措施...............................................10

7.1.管理方面采取的措施.......................10

第1页共15页

7.2.技术方面采取的措施......................................................11

7.2.1.网络攻击的应对措施..................................................11

7.2.2.组态攻击应对........................................................11

7.2.3.恶意代码防护技术....................................................12

7.2.4.主机外设管理:技术....................................................13

7.2.5.漏洞发掘和安全监测..................................................13

7.2.6.加强政府在网络信息中的监管.........................................13

8.结语..........................................................................13

参考文献.........................................................................14

前言

近年来，随着社会的进步，工业控制系统已广泛应用于各种关系到国计民

生的安全关键系统中c物联网的普及以及两化融合的推进.使得大量IT技术被

应用到工业生产中，工业控制系统已从传统孤立、封闭，向着大规模、开放性、

互联互通的方向发展。然而，在控制系统发展的初期，主要考虑系统的可用性

和可靠性，对系统的信息安全并未提出很高的要求，这就不可避免地导致系统

存在安全缺陷。这些缺陷如果被人利用，将会导致大量的工业控制系统信息安

全事件，如2010年发生的“震网”病毒事件。工业控制系统是信息域和物理域

交互的复杂系统，信息攻击导致物理系统故障，甚至可以引发重大安全事故，

造成严重经济损失和社会负面效应。据美国工业控制系统信息安全应急响应小

组(IndustrialControlSystemsCyberEmergencyResponseTeam)统计，工业控制

系统信息安全事件呈现愈演愈烈、逐年急剧上升的态势，并且几乎涉及关乎国

家安全和国民生计的所有行业领域。因此，工业控制系统信息安全防护问题是

一个亟待解决的、无法避免，也不能避免的关键问题。

工业控制系统信息安全面临越来越严峻的威胁，遭受的恶意攻击也时有发

生⑴：

1)2000年，澳大利亚昆士兰一名被解雇的工程师通过无线网络侵入水厂控

制系统，造成水处理厂发生46次控制设备异常事件，导致大量污水进入供水系

统；

2)2003年，美国俄亥俄州Davis-Besse核电站受到SQLSlammer蠕虫病毒

第2页共15页

攻击，导致该核电站不能正常运行;

3)2006年，美国阿拉巴马州的BrownsFerry核电站3号机组受到网络攻击,

导致3号机组被迫关闭；

4)2010年，网络超级武器“Stuxnet”病毒入侵伊朗布什尔核电站的控制系

统，威胁核反应堆的安全运行；

5)2011年，“Dupu”病毒侵多过个工业控制系统收集数据，导致大量信息

泄漏。

1.工业控制系统概述

自动化的^备，信息采集存储器，计算设备以及生产线上的管理与监督等

手段组成了工业控制系统。而这一工业系统主要由远程计算机控制系统，工业

管理的整体控制系统，工'业基础设备的控制管理系统，分布式工业管理系统、

生产线上数据的采集与监督管理系统等组成。在互联网技术的发展成型后，以

往的多系统体系会逐渐转化为一种新型的控制系统，即生产管理监督一体化的

控制系统，这种控制系统优化了在工业生产中流水线上的问题处理效率，并对

工艺制造流程中作为监管使用，这样不仅极大节省人员方面的消耗而且使臃肿

的工业控制系统得到提升。

2.工业控制系统信息安全特点

与IT系统不同，工业控制系统功能、结构相对固定，IT领域信息安全解决

方案并不能完全满足工业控制系统信息安全需求。工业控制系统是具有较长生

命周期的生产运行系统，系统组件一般要求能够运行15~20年，对其可靠性和

可用性要求很高。在信息安全方面不仅要保障IT领域所重点关注的数据安全、

内容安全，更重要的是保障其物理安全和系统的运行安全。作为实时关键系统，

其工作方式和运行特点(24/7/365)决定了信息安全三个安全属性中可用性优先

于完整性和机密性。因此，系统意外停机是不允许的，必须提前数天或数周进

行通知和计戈人软件的更新和数据库的升级必须经过严格的测试才能应用于工

业控制系统。

工业控制系统是集深度嵌入网络通信、计算控制、物理过程于一体的复杂

信息物理融合系统。与物理过程的复杂交互，如现场PLC直接控制最终生产过

第3页共15页

阶段的信息安全防护对策，保障在生命周期主要阶段过程中工业控制系统信息

安全防护始终处于较高水平，这是工业控制系统信息安全防护的有效手段之一。

本文拟从需求分析及系统设计、系统运行和系统维护三个阶段分析工业控制系

统信息安全防护的对策。图2所示为主要阶段的信息安全防护关键技术间的逻

辑关系。

i-

求

需

析

分

系统识别

系

及

设

统

阶

计

安全保妒及

—

系

＞控制决策统

运

系统检测响应恢赁行

阶

段

工业控制系统

系统评估

图2工业控制系统信息安全防护主要关键技术间逻辑关系

在需求分析及系统设计阶段，在系统识别的基础上，制定安全防护措施及

方法，进行安全保护。在系统运行阶段，基于“系统检测-控制决策-响应恢复”

的容忍入侵方法，将闭环反馈控制的思想引入动态信息安全防护中，实现具有

一定安全弹性的实时动态调节能力的容忍入侵信息安全防护。在系统维护阶段,

评估运行阶段积累遗留的问题及系统需求的变更，改善系统，使之达到预期效

果。

4.工业控制系统全生命周期主要阶段信息安全防护的对策

4.1.需求分析及系统设计阶段信息安全防护的对策

信息安全防护作为主要的非功能性需求，在系统需求分析与系统设计阶段

需要重点考虑。确定工业控制系统信息安全防护主体，分析系统潜在威胁和风

险，拟定其信息安全需求规范。由于系统功能需求规范、信息安全需求规范以

第5页共15页

及其他非功能需求规范往往存在冲突，故需对多种需求规范进行协调控制，最

终确定系统整体需求规范。图3所示为工业控制系统信息安全需求分析流程。

在进行各方需求协调时，需要考虑工业控制系统多方面的约束条件，如性能约

束、资源约束、成本约束以及风险约束等。在控制系统资源受限、成本有限的

环境下，寻求最佳的系统性能，并保持系统风险控制在可接受的范围之内。

图3工业控制系统信息安全需求分析流程

典型的工业控制系统可分为三层：企业层、监控层和现场控制层。结合系

统各层信息安全需求，建立深度融合工业控制系统特点的纵深防御体系已成为

工业控制系统信息安全防护的主流形式。图4所示为典型的工业控制系统信息

安全纵深防御体系结构。

第6页共15页

门'信息安

全防护

监n

n

控WI

层■1

wx

1^

n

功JI过峥制外

I>

场分区、分

*

■1级防护：

控n

■■n™第Q*忍入侵

制1

n信息安全

层n豁

nli丁mn口fr工躁制素统

ia

nrtk1.用总安生产业联盟

图4典型工业控制系统信息安全纵深防御体系结构

企业层的信息交互一般通过Internet进行，其功能包括数据管理、客户管

理、生产调度等。其信息安全需求与IT系统类似，可用诸如工业防火墙、访问

控制等防护手段进行安全防护。监控层，一般结合具体的应用特点，采取专用

的工业通信协议。其信息安全防护需求不同于IT系统，制定针对性的访问控制

策略和通信管控策略等是实现监控层主动防御的有效方法。现场控制层的信息

安全是工业控制系统佶息安全防护的重中之重，也是实现本质信息安全的重要

保障。针对现场控制层的入侵攻击众多，攻击后果严重。并且，控制系统结构

复杂、工艺过程复杂，采用分区、分级的信息安全防护可有效地阻断攻击影响

传播，保护系统重要组件和工艺流程。此外，由于工业控制系统属于信息物理

融合系统，信息攻击可导致物理故障，甚至引发重大安全事故，而造成人员伤

亡和社会负面效应。故现场控制层信息安全防护需具备容忍入侵的能力，以保

证入侵攻击卜，系统仍能降级运行或安全停机。

因此，该阶段需要结合系统功能需求，分析工业控制系统资产及其运行环

境，检测系统的漏洞，及其面临的安全威胁，进行系统信息安全需求分析；在

此基础上进行静态攻击预测分析和静态的风险分析，制定风险管理策略。针对

系统风险，对系统进行分层、分区、分级，建立纵深防御体系，拟定常见的保

护措施如访问控制、通信管控、关键任务容错、容忍入侵的防护等，提升系统

第7页共15页

安全运行能力。

4.2.运行阶段信息安全防护的对策

工业控制系统是一个生产运行的实时关键系统，对可用性和可靠性要求极

高，需具备容忍入侵的信息安全防护能力。图5所示为运行阶段工业控制系统

容忍入侵的信息安全防护控制结构示意图。

图5运行阶段容忍入侵的信息安全防护控制结构示意图

该防护架构采用基于风险、状态、时间的多级信息安全闭环控制结构。外

层采取风险控制闭环，将系统的风险控制在可接受范围内。中间层的状态控制

闭环，保证系统运行状态的安全可控。内层的时间控制闭环，完成安全策略的

实施以及效果反馈调节。以此实现具备高度容忍入侵能力的工业控制系统信息

安全防护。

工业控制系统实时入侵检测是容忍入侵信息安全防护的感知环节。通过部

署系统资源探针，采集并分析全方位系统实时数据，进行攻击特征识别和在线

自学习，实现基于特征和基于异常相结合的入侵检测。对检测结果进行警报融

合和攻击辨识，识别并预测入侵攻击信息，实现系统的实时在线监控。

基于风险的安全策略决策是容忍入侵的信息安全防护的控制环节。根据系

统实时入侵检测的结果，结合系统运行状态，进行系统安全态势感知，评估系

统的实时风险。结合系统风险控制需求，进行系统状态控制和动态安全策略决

策，给出最佳安全策略及其优化方案，使系统风给处于可接受范围之内。

实时控制是容忍入侵的信息安全防护的实施环节，是系统的安全响应恢复

过程。根据控制决策中产生的最佳安全策略，生成相应的安全任务集。结合原

本系统任务集，分别从系统级和节点级进行任务可调度性分析，并构建新的系

统任务集。然后进行任务一体化实时调度，实施该任务集，及时地进行系统恢

第8页共15页

复。同时评估并反馈策略执行效果，以进行优化设计，保障系统信息安全。

4.3.维护阶段信息安全防护的对策

设计开发之时难免会有一部分隐藏的安全缺陷。系统在交付使用后，这些

脆弱性在某些特定的情况下会暴露出来，需要进行维护完善。同时，为了适应

环境的变化，如系统因入侵攻击而积累的安全缺陷或者系统安全需求的变更等,

系统也需做出相应的调整，使系统更长久的运行。故首先需要对系统各方面进

行评估，然后进行有A对性的改善。

系统评估期间，首先统计系统运行环境或安全需求变更，分析实施信息安

全后系统运行反馈效果。同时，需评估资产状态和系统状态，如有无组件损害

或失效，系统性能是否降低、数据库是否需要更新等。评估系统受损情况以及

安全状态，判断系统风险是否处于可接受范围内。

系统改善过程中，依据上述分析评估结果，拟定系统变更方案，并逐步、

有序地实施该方案。变更方案实施完毕后，需进行系统安全合格性检验。如果

不满足要求，则需要重新修改变更方案，再实施，再检验，直至达到所预期的

效果。

5.工业控制系统信息安全面临的自然和人为方面的威胁

5.1.病毒防控

1）一般来说，部分工业控制系统不会去安装杀毒软件，因为其会与杀毒软

件造成冲突，导致其功能无法正常使用于工控软件，而且安装了杀毒软件也无

法起到很大作用，因为杀毒软件的病毒库需要时常更新，而工业控制系统并不

会连接互联网，这就导致了杀毒软件的版本无法跟上时代，其防范的力度也大

幅减少，而且杀毒软件运行起来也大量占用系统资源，会影响工业控制系统的

运行速度，但是维持反应速度对于工业系统来说是必不可少的⑵。

2）病毒以及木马都是恶意代码，目的就是搜集到需要的信息，对系统进行

破坏，这些恶意代码可以利用网络窃听语音通话，视频通话和聊天文字，捕捉

键盘的敲击内容进而盗取密码，还可以删除硬盘数据，甚至还可以利用蓝牙功

能窃取与主机相连的笔记本，手机等智能移动设备的数据。

5.2.主机的安全风险

第9页共15页

1）病毒，蠕虫，木马等恶意代码，以及从移动外设引入的攻击使主机安全

受到威胁的因素。

2）大多数的主机用户都会选择杀毒软件进行对主机的保护。

3）但是杀毒软件也有其局限性，它主要是防护病毒库中存在的病毒，对于

专门设计的病毒无法有效抵御。

4）而有一些使用者为了快速传输资料，开启工业控制网站的连接接口，如

USB接口，蓝牙连接等，这就导致了主机会受到其他网络传递的攻击，发生信

息安全危险。

5.3.系统漏洞

现今，大部分的工业控制系统是windows,但是基于工业控制系统对于联

网的控制以及考虑到系统功能的稳定，工业控制系统通常不会对系统安装补丁,

而且还有很多设备使用更老的系统，所以微软停止了补丁维护，但是漏洞还存

在着。

6.工业控制系统信息安全面临的敌意的主客观威胁

1）主观威胁主要是人为的、蓄意的攻击，可能来自内部员工、商业间谍、

网络黑客、反社会的犯罪分子或恐怖分子、敌对势力等⑶。

2）通过物理侵入或网络侵入等手段，篡改或盗取系统运行数据，进而窃取

关系国家安全和经济状况的重要信息，篡改程序、阈值、参数设置或者植入恶

意软件、病毒软件导致系统不能正常工作甚至摧毁工业装置⑶。

3）客观威胁主要指不是人为故意造成的，损害信息安全的威胁，通常包括

工程技术人员失误、设备缺陷故障和自然灾害等。

7.工业控制系统信息安全防护措施

工业控制系统信息安全防护应覆盖全生命周期各个阶段，同时要从管理和

技术上分别采取防护措施⑸。

7.1.管理方面采取的措施

在管理方面要设置一些技术手段，防止未经授权的人员接触、登录系统，

篡改内容和窃取信息等。一般应采取的措施包括

第10页共15页

(1)设置门禁系统和设备柜上锁等手段控制人员与设备之间的物理接触；

(2)设置用户策略，防止未授权人员登录，篡改程序和窃取数据；

(3)采用物理隔离方式杜绝外部访问，如果不能物理隔离，则配置专门的防

火墙控制未经授权的远程访问；

(4)为系统内所有设备和开发工具安装病毒防护软件，及时升级病毒库，保

证病毒库是最新版本；

(5)建立项目文件管理体系，保证设计过程文件处于绝对安全受控状态，杜

绝未经授权的篡改和拷贝等。

7.2.技术方面采取的措施

7.2.1.网络攻击的应对措施

工业控制系统各层之间和系统与外部网络之间都有物理连接，随时传输大

量的数据，针对这一现状，可以在不改变工业控制系统基础架构的前提下，通

过配置与工业控制系统高度集成的信息安全组件提升系统的信息安全防护能力。

具体的做法是⑺：

(1)在系统与外部网络的连接处设置工业控制防火墙；

(2)在系统的控制层(一层)、监测层(二层)之间，安装工业控制防火墙；

(3)在一层控制网与控制器之间增加工业控制防火墙。

，业控制系统与外部网络之间的，业控制防火墙，需要基于，业控制协议，

与厂家合作定制开发；工业控制系统内部防火墙，需要作为控制系统的专用模

块，集成到控制系统中。

7.2.2.组态攻击应对

1)当外部入侵跨越所有防护手段最终进入工业控制系统控制器时，如果仅

仅使控制器停止工作，系统将立即启动故障保护模式，切换到冗余控制器，不

会对工业设备和过程造成损坏⑹；

2)如果导致篡改系统中输入输出数据，可以比较期望输出与实际输出(实际

输出可能遭受攻击被篡改)，通过偏差检测到外部入侵。异常处理的程序如图6

所示。

第11页共15页

S101

S102

否S1O3

图6工业控制的异常处理的程序

针对重要的控制对象，还要采取防止攻击/欺骗的逻辑设计，对检测到的偏差进行判断，当

偏差进行判断，当发现外部攻击导致行为异常时，进入相应的保护程序。被控对象遭受攻

对象遭受攻击判断逻辑图如

1）图7所示。

第12页共15页

是否

〈条件〉?

图7重要的控制对象遭受攻击判断逻辑图

7.2.3.恶意代码防护技术

工控信息安全防护的基础与重点是恶意代码防护技术。传统的“黑名单查

杀病毒模式”防病毒查杀模式在，业控制系统中容易出现误删，误杀等严重问

题，并且对于主机的硬件要求较高，系统负担较重，而且工业控制主机安装的

程序都具有一定的固定性，所以采用“白名单查杀病毒模式”的防护软件匕较

适用于工业控制的大环境。

7.2.4.主机外设管理技术

在工业控制系统的使用过程中，存在着一些违规现象，导致了严重的后果。

虽然很多工控系统自身不连接互联网，但有些工作人员存在将主机连接移动存

储设备的恶劣现象。比如将U盘，手机，甚至移动电脑等移动存储设备，这样

为木马病毒，计算机病毒，等恶意代码入侵系统提供了途径。因此，我们除了

应该改革制度，加大监督处罚力度，还需要应用安全防护技术对工业控制系统

的主机进行实时监控，保障主机的安全。

7.2.5.漏洞发掘和安全监测

需要主动找到漏洞来避免产生严重后果，可以聘请具有专业性的专家进行

安全监测，还可以部署漏洞扫描系统对设备扫描，进行风险评估，以及时修复

漏洞。还可以部署流量监测系统对超量的异常的流量进行监测，同时部署专业

人员对数据进行实时分析。在发生严重后果前发现攻击行为，并找到攻击源头，

及时运用技术切断，防止更大更严重的后果产生，并针对系统防御的弱点进行

进一步的更新加强。

第13页共15页

7.2.6.加强政府在网络信息中的监管

随着我国网络技术，互联网技术的不断发展，网络警察也是应运而生，网

络警察俗称“网警”。网警主要负责监督并控制一些在互联网中传播的不良暴

力信息以及具有传播感染性的病毒代码，这些恶劣信息与代码会严重危害现实

社会安全以及互联网秩序。

当我们遇到问题时可以及时寻求网络警察的帮助，申请网警对工业控制系

统进行监督检查与保护，把可能会出现的攻击扼杀在襁褓之中，维护工业生产

的正常运行。但网警需要处理的信息很多，不能把时刻关注我们，打铁还需自

身硬，我们需要自身建立一套安全性，稳定性高的防护体系。保障工业的信息

安全。

8.结语

工业控制系统应用广泛，开放需求越来越强烈，工业