工业控制系统的安全现状及风险分析

工控安全专题

导语:本文将从IT领域熟悉的信息安全管理体系的基本理论和潜在威胁的角度,

借鉴国际上有关工业控制系统安全保护规定及原则，分析目前我国工业控制系统存

在的风险，并提出一套基于ICS系统的威胁发现与识别模型。

工业控制系统安全现实状况与风险分析一ICS工业控制系统安全风险分析

之一

张帅

2023年11月12日彳寺测伊朗弹道导弹收到控制指令后忽然爆炸。事故经媒体

披露，迅速引起各国政府与安全机构的）广泛关注，对真凶的）质疑直指曾袭击布什尔核

电站工业控制系统的Stuxnct蠕虫病毒。截至目前，事故真相与细节并未公布，但工

业控制系统长期存在日勺风险隐患却已是影响国家关键基础设施稳定运行重要原因，

甚至威胁到国家安全战略实行。为此工信部于2023年10月份公布文件，规定加强

国家重要工业领域基础设施控制系统与SCADA系统日勺安全保护工作八

1工业控制系统简介

工业控制系统（IndustrialControlSystems,ICS，是由多种自动化控制组件以及对

实时数据进行采集、监测日勺过程控制组件，共同构成确实保工业基础设施自动化运

行、过程控制与监控日勺业务流程管控系统。其关键组件包括数据采集与监控系统

（SCADA、分布式控制系统（DCS、可编程逻辑控制器（PLC、远程终端（RTU、智

能电子设备（IED,以及保证各组件通信的接口技术°

目前工业控制系统广泛地应用于我国电力、水利、污水处理、石油天然气、

化工、交通运送、制药以及大型制造行业，其中超过80%的波及国计民生的关键基

础设施依托工业控制系统来实现自动化作业，工业控制系统已是国家安全战略的重

要构成部分。

一次经典的ICS控制过程一般由控制回路、HMI、远程诊断与维护工具三

部分组件共同完毕,控制回路用以控制逻辑运算,HMI执行信息交互,远程诊断与维

护工具保证出现异常日勺操作时进行诊断和恢复。见图1。

图1经典日勺ICS操作过程

SCADA（SupervisoryControlAndDataAcquisition数据采集与监控系统，是工业

控制系统日勺重要组件，通过与数据传播系统和HMI交互,SCADA可以对现场的运

行设备进行实时监视和控制，以实现数据采集、设备控制、测量、参数调整以及各

类信号报警等各项功能。目前,SCADA广

"9姓|crAcademicJouma!Eleele

computer

security工控安全专题

泛应用于水利、电力、石油化工、电气化、铁路等

分布式工业控制系统中。

图2SCADA系统总体布局

DCS（DistributcdControlSystems分布式控制系统，广泛应用于基于流程控制的）

行业，例如电力、石化等行业分布式作业,实现对各个子系统运行过程的整顿管控。

PLC(ProgrammableLogicControllers可编程逻辑控制器，用以实现工业设备的

详细操作与工艺控制。一般SCADA或DCS系统通过调用各PCL组件来为其分

布式业务提供基本曰勺操作控制，例如汽车制造流水线等。

2工业控制系统安全现实状况

与老式的信息系统安全需求不一样,1CS系统设计需要兼顾应用场景与控制管

理等多方面原因，以优先保证系统的高可用性和业务持续性。在这种设计理念日勺影

响下，缺乏有效日勺工业安全防御和数据通信保密措施是诸多工业控制系统所面临日勺

诵病C

据权威工业安全事件信息库RISI(RepositoryofSecurityIncidents记录，截止

2023年10月，全球已发生200余起针对工业控制系统的袭击事件。见图3。

图31982-2023工业系统袭击事件

由上图可见,2023年后,通用开发原则与互联网技术的广泛使用,使得针对ICS

系统日勺袭击行为出现大幅度增长JCS系统对于信念安全管理日勺需求变得愈加迫

切。

纵观我国工业控制系统的整体现实状况,西门子、洛克韦尔、1GSS等国际著

名厂商生产日勺工控设备占据积极地位,由于缺乏关键知识产权和有关行业

管理实行原则，在愈发智能开放日勺ICS系统架构与参差不齐日勺网络运维现实前,

存储于控制系统、数据采集与监控系统、现场总线以及有关联的ERP、CRM、

SCM系统中日勺关键数据、控制指令、机密信息随时也许被袭击者窃取或篡改破

坏。作为一项复杂而繁琐日勺系统工程,保障工业系统日勺信息安全除了需要波及工业

自动化过程中所波及到B勺产品、技术、操作系统、网络架构等原因,企业自身的管

理水平更直接决定了ICS系统的整体运维效果。遗憾的是目前我国网络运维现实,

决定了国内ICS系统日勺安全运维效果并不理想，安全风险存在于管理、配置、架构

日勺各个环节。

借鉴1T安全领域IS027001信息安全管理体系和风险控制的成功经验,综合工

业控制网络特点以及工业环境业务类型、组织职能、位置、资产、技术等客观原

因,对工业控制系统构建ICS信息安全管理体系,是保证工业控制系统高效稳定运行

日勺理论根据。

3工业控制系统安全风险分析

3.1风险分析

工业控制系统是我国重要基础设施自动化生产日勺基础组件,安全日勺重要性可见

一斑，然而受到核

心技术限制、系统构造复杂、缺乏安全与管理原则等诸多原因影响,运行在

ICS系统中的数据及操作指令随时也许遭受来自敌对势力、商业间谍、网络

犯罪团伙日勺破坏。艰据工信部《有关加强工业控制

computersecurity工控安全专题

系统信息安全管理B勺告知》规定.我国工业控制系统信息安全管理的重点领域

包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢

纽、环境保护、铁路、都市轨道交通、民航、都市供水供气供热以及其他与国计

民生紧密相关日勺领域。这些领域中日勺工业控制系统一旦遭到破坏，不仅会影响产业

经济的持续发展，更会对国家安全导致巨大的损害。

经典工业控制系统入侵事件：

(12023年，袭击者入侵加拿大的一种水利SCADA控制系统，通过安装恶意软件

破坏了用于取水调度日勺控制计算机；

(22023年，袭击者入侵波兰某都市的地铁系统通过电视遥控器变化轨道扳道

器，导致4节车厢脱轨；

(32023年，“网络超级武器"Stuxnet病毒通过针对性日勺入侵ICS系统，严重威胁

到伊朗布什尔核电站核反应堆口勺安全运行；

(42023年，黑客通过入侵数据采集与监控系统SCADA,使得美国伊利诺伊州都

市供水系统的供水泵遭到破坏。

通过度析可以发现，导致工业控制系统安全风险加剧日勺重要原因有两方面：

第一,老式工业控制系统日勺出现时间要早于互跌网,它需要采用专用日勺硬件、软

件和通信协议,设计上以武力安全为主，基本没有考虑互联互通所必须考虑的通信安

全问题。

第二,互联网技术日勺出现，导致工业控制网络中大量采用通用TCP/IP枝术，工业

控制系统与各种业务系统日勺协作成为也许,愈加智能日勺ICS网络中多种应用、工控

设备以及办公用PC系统逐渐形成一张复杂日勺网络拓扑。

仅基于工控协议识别与控制的安全处理方案在两方面原因的合力下，已无法满

足新形势下ICS网络运维规定，保证应用层安全是目前ICS系统稳定运行日勺基本前

提。运用工控设备漏洞、TCP/IP协议缺陷、工业应用漏洞，袭击者可以针对性地构

建愈加隐蔽日勺袭击通道。以Stuxnet蠕虫为例，其充分运用了伊朗布什尔核电站工

控网络中工业PC与控制系统存在的安全漏洞（LIK文献处理漏洞、打印机漏洞、

RPC漏洞、WinCC漏洞、S7项目文献漏洞以及Autorun.inf漏洞，为袭击者入侵提

供了七条隐蔽日勺通道。

图4Stuxnet蠕虫病毒传播日勺七条途径

3.2脆弱性分析

工业控制系统的安全性和重要性直接影响到国家战略安全实行，但为兼顾工业

应用的场景和执行效率,在追求ICS系统高可用性和业务持续性日勺过程中,顾客往

往会被动地减少ICS系统的安全防御需求。识别ICS存在的风险与安全隐患，实行

对应的安全保障方略是保证ICS系统稳定运行日勺有效手段。

1安全方略与管理流程的脆弱性

追求可用性而牺牲安全，这是诸多工业控制系统存在普遍现象，缺乏完整有效日勺

安全方略与管理流程是目前我国工业控制系统日勺最大难题,诸多已经实行了安全防

御措施口勺ICS网络仍然会由丁管理或操作上口勺失误，导致ICS系统出现潜在的安全

短板。例如，工业控制系统中日勺移动存储介质日勺使用和不严格日勺访问控制方略，

作为信息安全管理口勺重要构成部分，制定满足

,，坪用

computer

security工控安全专题

业务场景需求的安全方略，并根据方略制定管理流程,是保证ICS系统稳定运行

日勺基础。参照NERCCIP、ANSI/ISA-99、IEC62443等国际原贝IJ,目前我国安全方

略与管理流程日勺脆弱性体现为：

(1缺乏ICS日勺安全方略;

(2缺乏ICS日勺安全培训与意识培养；

(3缺乏安全架构与设计

(4缺乏根据安全方略制定日勺正规、可立案日勺安全流程;

(5缺乏ICS安全审计机制；

(6缺乏针对ICS日勺业务持续性与劫难恢复计划；

(7缺乏针对ICS配置变更管理。

2工控平台的脆弱性

伴随TCP/IP等通用协议与开发原则引入工业控制系统,开放、透明的工业控制

系统同样为物联网、云计算、移动互联网等新兴技术领域开辟出广阔日勺想象空

间。理论上，绝对日勺物理隔离网络正因为需求和业务模式日勺变化而不再切实可行。

目前，多数ICS网络仅通过布署防火墙来保证工业网络与办公网络的）相对隔

离,各个工业自动化单元之间缺乏可靠的安全通信机制，例如基于DCOM编程规范

日勺OPC接口几乎不也许使用老式的IT防火墙来保证其安全性。数据加密效昊不

佳,工业控制协议的识别能力不理想，加之缺乏行业标准规范与管理制度，工业挖制

系统日勺安全防御能力十分有限。

意在保护电力生产与交通运送控制系统安全的）国际原则NERCCIP明确规定，

实行安全方略确保资产安全是保证控制系统稳定运行日勺最基本规定。将具有相似

功能和安全规定日勺控制设备划分到同一区域，区域之间执行管道通信,通过控制区域

间管道中日勺通信内容是目前工业控制领域普遍被承认日勺安全防御措施。

另一种轻易忽视口勺状况是，由于不一样行业日勺应用场景不一样，其对于功能区域

日勺划分和安全防御的规定也各不相似，而对于运用针对性通信协议与应用层协议日勺

漏洞来传播的）恶意袭击行为更是无能为力。更为严重日勺是，工业控制系统的J补丁管

理效果一直无法令人满意,考虑到ICS补丁升级所存在日勺运行平台与软件版本限制,

以及系统可用性与持续性日勺硬性规定,1CS系统管理员绝不会轻易安装非ICS设

备制造商指定日勺升级补丁。与此同步，工业系统补丁动辄六个月日勺补丁公布周期，也

让袭击者有较多日勺时间来运用已存在日勺漏洞发起袭击。著名日勺工业自动化与控制

设备提供商西门子就曾因漏洞公布不及时而饱受质疑。

据金山网络企业安全事业部记录,2023-2023年间,已确认的针对工业控制系统

袭击，从袭击代码传播到样本被检测确认，老式的安全防御机制通常需要两个月左右

日勺时间，而对于例如Stuxnet或更隐蔽的Duqu病毒，其潜伏期更是长达六个月之

久。无论是针对工业系统日勺袭击事件，还是更隐蔽且持续威胁日勺APT袭击行为，基

于黑名单或单一特性比对口勺信息安全处理方案都无法有效防御,更不要说运用Oday

漏洞日勺袭击行为。而IT领域广泛采用的积极防御技术，由于其存在较大的1误杀风险,

并不合用于工业控制系统日勺高性能作业。目前，惟有基于白名单机制日勺安全监测技

术是被工业控制系统顾客普遍任何的处理方案。

3网络的脆弱性

通用以太网技术口勺引入让ICS变得智能，也让工业控制网络愈发透明、开

放、互联,TCP/IP存在的威胁同样会在工业网络中重现。此外，工业控制网络的专

属控制协议更为袭击者提供了理解工业控制网络底部环境的机会。保证工业网络

日勺安全稳定运行，必须针对ICS网络环境进行实时异常行为日勺“发现、检测、清

除、恢复、审计“一体化的保障机制。目前ICS网络重要日勺脆弱性集中体现为:

(^ww.n$c,org,

computersecurity工控安全专题

(I边界安全方略缺失;

(2系统安全防御机制缺失；

(3管理制度缺失或不完善；

(4网络配置规范缺失；

(5监控与应急响应制度缺失；

(6网络通信保障机制缺失；

(7无线网络接入认证机制缺失;

(8基础设施可用性保障机制缺失。

4潜在威胁分析

作为国家关键基础设施自动化控制的)基本构成部分,由于其承载着海量日勺操作

数据,并可以通过篡改谡辑控制器控制指令而实现对目日勺控制系统的袭击.针对工业

控制网络日勺定向袭击目前正成为敌对势力和网络犯罪集团实行渗透攫取利益的重

点对象。稍有不慎就有也许对波及国计民生日勺重要基础设施导致损害。可导致

ICS系统遭受破坏的威胁重要有：

(1控制系统发生拒绝服务；

(2向控制系统注入恶意代码；

(3对可编程控制器进行非法操作；

(4对无线AP进行渗透；

(5工业控制系统存在漏洞；

(6错误日勺方略配置；

(7人员及流程控制方略缺失。

参照文献：

[l]KeithStoufferJoeFalco,KarenScarfone,GuidetoIndustrialControlSystems

(ICSSecurity,]une2023.

|2]贾东耀，汪仁煌.工业控制网络构造的发展趋势.工业仪表与自动化妆

置,2023年（5.

[3]EricM.Hutchins.MichaclJ.Cloppcrty,RohanM.Amin,Ph.D.,Intelligence-

DrivenComputerNetworkDefenseInformedbyAnalysisofAdversaryCampaignsand

IntrusionKillChains

EricByres,P.Eng.,WhatDoesStuxnetMeanforIndustrialControlSystem

[4]唐文.工业基础设施信息安全.西门子中国研究院信息安所有,2023.

卡巴斯基预测2023年网络威胁三大特性

著名信息安全厂商卡巴斯基近日公布了2023年网络威胁预测汇报，指出2023

年网络威胁具有三大特性。预测一：针对性袭击集中

到2023年，全球的政府机构以及大型企业将面I缶更多的网络威胁。不仅钎对

政府机构和大型企业日勺针对性袭击数量会明显上升，很也许更广范围日勺组织都会遭

受此类袭击的危害。卡巴斯基日勺专家警告说广目前，此类安全事件重要波及那些从

事武器生产、金融交易或高科技研发日勺企业和政府机构。不过到2023年，这一影

响范围将扩大到从事资源采集、能源、运送、食品和制药行业的企业以及互联网

服务和信息安全企业。”针对性袭击发动的范围将遍及全球，包括西欧和美国，并将

波及东欧、中东和东南亚。卡巴斯基实验室专家预测,网络袭击者会变换袭

击手段，从而应对众多IT安全企业对他们所发动的针对性袭击的调查以及所

提供日勺防御手段。此外,公众日

益意识到安全的重要性,也使得

网