一前言

研究背景及意義

隨著工業化
與信息化進程的不斷交叉融合，越來越多的信息技術應用到了工業領域。目 前，工業控制系統已廣泛應用于電力、水力、石化、醫藥、食品制造、交通運輸、航空航天 等工業領域，其中，超過 80%的涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動 化作業。工業控制系統已經成為國家關鍵基礎設施的重要組成部分，工業控制系統的安全關 系到國家的戰略安全。與此同時，由于工業控制系統廣泛采用通用軟硬件和網絡設施，以及與企業管理信息系 統的集成，導致工業控制系統越來越開放，并且與企業內網，甚至是與互聯網產生了數據交 換。也就是說以前工業控制系統在物理環境上的相對封閉性以及工業控制系統軟、硬件的專 用性將會被打破，通過互聯網或企業內網將有可能獲取相關工業控制系統較為詳細的信息， 再加上運營工業控制系統的企業安全意識普遍較差，這樣就給敵對政府、恐怖組織、商業間 諜、內部不法人員、外部非法入侵者等創造了可乘之機。尤其是 2010 年伊朗布什爾核電站遭 到“震網病毒”（Stuxnet）攻擊后，一系列工業控制系統安全事件
被陸續曝光，并呈現飛速 增長趨勢。在這些安全事件中，攻擊者普遍采用被稱為高級持續性威脅Stuxnet是一種計算機蠕蟲病毒，這種蠕蟲病毒可以在連接互聯網
的電腦中傳播擴散，同時感染移動 存儲設備，包括U盤、移動硬盤，甚至帶有USB裝置的手機、相機等。一旦通過存儲設備進入內部計算機， 就會在內網中快速傳播，直到侵入安裝了西門子WinCC/PCS 7 SCADA控制軟件的主機，展開破壞性攻擊。賽門鐵克公司的研究表明，在感染初期主要受影響的國家主要包括伊朗、印度尼西亞和印度[Symantec]。 賽門鐵克安全響應中心高級總監凱文霍聲稱，多數受感染的系統在伊朗（約60％）[Robert]。它可能是專門針 對伊朗的“高價值基礎設施”而設計的，例如布什爾核電廠或納坦茲的核設施。據ISIS（Institute for Science and International Security）研究所估計，納坦茲因此而發生故障的離心機可能多達1000臺，占總數的 10％。
Stuxnet 利用了四個 Windows 系統未公開的零日漏洞 [Microsoft]，并使用兩個盜取的數字證書對軟件進行 數字簽名。部分專家認為，在惡意軟件的歷史上，研發 Stuxnet 可能是投入規模最大的一次。它的許多功 能都需要完整的項目團隊實現，并且要對工業生產過程有深入的了解[Gregg]。賽門鐵克估計，Stuxnet 開發 團隊至少包括五至三十個人，并且需要 6 個月的準備時間[Halliday]。多家新聞和研究機構認為，它可能是以 色列或美國研制，以遏制伊朗核計劃的一次嘗試[Beaumont] [Reals]。[BWLZ]
（Advanced Persistent Threat，簡稱 APT）[BWLZ]的新型攻擊手段，攻擊者不僅具有明確的攻 擊目標，而且在攻擊時也多采用有組織的多攻擊協同模式。為達成 APT 攻擊需要長時間的集 中高端人才和技術，需要具備無孔不入的情報收集能力，往往掌握最新的 0-day 漏洞，擁有 能夠規避當時檢測工具的傳播和控制程序，以及利用所掌握資源快速展開連鎖行動的組織力 和行動力[BWLZ]。顯然這樣的攻擊不是能夠依靠單一技術實現防范和檢測的，需要多層面安 全措施的綜合防御。顯然，這對安全廠商及相關研究機構的安全服務能力提出了更高的挑戰。
工業控制系統安全事件
2009年 2010年 2011年
工業控制系統安全事件
圖 1.1 ICS-CERT 統計工業控制系統安全事件
備注：根據 ICS-CERT（US-CERT 下屬的專門負責工業控制系統的應急響應小組）的統 計，2011 年度共上報工業控制系統相關 ICS 事件 198 起，較 2009 和 2010 年均有較大上升 （2009 和 2010 年分別為 9 起和 41 起），其安全事件集中于能源、水利、化工、政府機構以 及核設施等領域，其中能源行業的安全事件在三年間共 52 起，占安全事件總數的 21%。*
雖然針對 ICS 的安全事件與互聯網上的攻擊事件相比，數量少得多，但由于 ICS 對于國 計民生的重要性，每一次事件都會帶來巨大的影響和危害。
工業控制系統的重要性、脆弱的安全狀況以及日益嚴重的攻擊威脅，已引起了世界各國 的高度重視，并在政策、標準、技術、方案等方面展開了積極應對。
從全球范圍來看，信息技術較為發達的美國在工業控制系統安全保障領域走在世界的前 列，美國作為信息化和工業自動化最發達的國家，擁有信息技術和工業自動化技術的主導權 和話語權，在工業控制系統的信息安全管理體制、技術體系、以及相關資金投入上平都居世 界領先水平。美國政府早在 2002 年起重視工業控制系統信息安全問題，十年來在工控安全領 域進行了大量的工作，已經形成了完整的工控系統信息安全管理體制和技術體系[LHC]。
在工業控制系統信息安全研究方面，以石油化工、電力等能源行業為重點；在管理體制、 技術體系和標準法規方面，美國國土安全部、能源部、國家實驗室共同推動了美國工業控制 系統信息安全工作的開展。
在工業控制系統管理體制方面，美國主要由國土安全部（DHS）和能源部（DOE）牽頭， 分別在工業控制系統信息安全領域制定專門的專項計劃，開展工業控制系統信息安全工作。 在美國能源部和國土安全部等部門支持下，愛達荷國家實驗室 INL 于 2003 年開始建設，并在 2005 年正式投入運行了關鍵基礎設施測試靶場（CITR），其中就包括了 SCADA/控制系統測 試床和電力網測試床。這為工業控制系統安全保障工作的順利開展奠定了良好的基礎。美國 國土安全部的國家網際安全處（NCSD）制訂了控制系統安全計劃（CSSP），其目標是消除 所有關鍵基礎設施和重要資源行業領域的工業控制系統安全風險；美國能源部電力調度與能 源可靠性辦公室（DOE-OE）制訂了國家 SCADA 測試床計劃（NSTB），該測試床提供各種 工控系統的真實測試環境，幫助工業界和政府評估工業控制系統的脆弱性和測試工業控制系 統軟硬件的安全性[NSTB]。
在工業控制系統技術研究方面，美國建立了依托模擬仿真平臺、綜合采用現場檢查測評 與實驗室測評相結合的測評方法。以模擬仿真平臺為基礎的驗證服務和自主可控測評服務已 成為當前工業控制系統信息安全的一種必然趨勢。美國國土安全部下屬的工業控制系統應急 響應小組（ICS-CERT）同 US-CERT 協作，以工業控制系統安全為關注點，開展相關技術工 作，包括響應和分析控制系統相關事故、執行漏洞和惡意代碼分析、為事故響應和取證分析 提供現場支持、以可行動情報形式提供態勢感知、協調漏洞、防范措施的可靠披露、通過信 息產品和告警共享和協調漏洞信息和威脅分析。
在在工業控制系統標準法規方面，美國形成了從國家法規標準到行業化標準規范的一整 套標準規范。國家相關法規戰略包括國土安全總統令 HSPD-7、《聯邦信息安全管理法》 （FISMA）、國家基礎設施保護計劃（NIPP）等。此外，美國國家標準與技術研究所（NIST） 發布了一系列指南，包括《工業控制系統安全指南》（NIST SP 800-82）[NIST-1]、《聯邦信息 系統和組織的安全控制推薦》（NIST SP 800-53）等[NIST-2]。
而我國正處于工業化和信息化深度融合階段，這就對工業控制系統安全防護策略和技術 提出了更高的要求。但以前國內工業控制系統的安全問題由于種種原因并沒有得到高度的重 視，在這種背景下，國內信息安全產業和科研機構的核心工作，以前也主要集中在互聯網環 境下的安全問題，對工業控制系統領域的安全同樣關注不夠。
自從“震網”病毒事件爆發以及美國發布“國家網絡空間安全戰略”政策之后，工業控 制系統安全才引起國家的高度重視，并把工業控制系統的安全提到了國家安全戰略的地步。 工業和信息化部發布了《關于加強工業控制系統信息安全管理的通知》（工信部協[2011]451 號），強調加強工業信息安全的重要性、緊迫性，并明確了重點領域工業控制系統信息安全 的管理要求[GXB451]。隨后，國務院又發布了《關于大力推進信息化發展和切實保障信息安全的 若干意見》（國發〔2012〕23 號），意見要求建立國家信息安全保障體系，提升網絡與信息 安全保障水平，確保重點領域信息安全，并且明確提出要“保障工業控制系統安全”。同時， 國家發展和改革委等部門也開始從政策和科研層面上積極部署工業控制系統的安全保障工作， 研究和制定相關規范及要求。在有利政策、用戶需求及工業控制系統安全事件的驅動下，國 內安全界對工業控制安全方面的研究工作也已開始展開，并已有部分研究文檔問世[BWLZ]、[LHC]、 [XB]、[CJ]、[ZFG]、[HYX] 、[ZS]、[TW]、[ZSP]、[GB26333]。
顯然，基于工業控制系統安全的高度戰略意義以及國內工業控制界與信息安全界對工業 控制領域安全技術研究不足的現實，及時開展工業控制系統的安全問題分析，并結合公司在 安全攻防及漏洞挖掘方面的技術優勢，重點開展工業控制系統的協議安全性分析、相關漏洞 的分析以及攻擊場景的分析研究具有重要的現實意義。為公司后面提供具備對工業控制系統 安全防護能力的行業版安全產品與有效的解決方案奠定基礎。

研究目標及內容

本報告是一篇關于工業控制系統基本知識及其安全性分析的綜述性技術報告。期望報告 的內容可以供工業控制系統的安全管理人員以及相關安全產品的規劃及研發人員參考所用。
為方便讀者的閱讀，下面對報告的內容組織邏輯進行簡單介紹。

• 首先，我們對工業控制系統的基本概念和系統體系架構進行了概要介紹，并從多個 角度探討了工業控制系統與傳統 IT 信息系統的差異性。這可以讓不熟悉工業控制系 統的讀者能夠對工業控制系統有一個初步了解，并有助于理解后續章節的內容。（第 二章）
• 其次，我們從安全威脅、安全防護以及安全管理等多個角度討論工業控制系統所面 臨的安全問題及安全威脅，并與傳統 IT 信息系統所面臨的安全問題與威脅做了較為 詳細的差異化對比分析。并重點選擇具有較大差異性的工業控制系統專有通信協議 的安全性、專有的安全漏洞情況進行詳細地分析研究。所得到的研究成果有助于讀 者更深入地了解當前工業控制系統所面臨的安全威脅。（第三章）
• 再次，為便于讀者對工業控制系統所面臨的安全威脅有一個直觀的認識；我們還虛 構了兩個攻擊案例，來描述從不同攻擊途徑對工業控制系統進行入侵攻擊的過程（第 四章）。
• 最后，在上述研究的基礎上，對當前工業控制系統所面臨的安全威脅及問題進行分 析總結，并提出了針對性的安全建議（第五章）。

二工業控制系統概述

工業控制系統（ICS-Industrial control system）（也稱工業自動化與控制系統）是由計算 機設備與工業過程控制部件組成的自動控制系統，工業控制系統被廣泛的應用于在電力、水 處理、石油與天然氣、樓宇自動化、化工、交通運輸、制造業等行業，在震網病毒爆發后， 工業控制系統作為國家關鍵基礎設施（CIP）的重要組成部分逐漸成為了國家空間安全和信息 安全的關注熱點。國際自動化協會（ISA）與 IEC/TC65/WG 整合后發布 IEC 62443 《工業過 程測量、控制和自動化 網絡與系統信息安全》對工業控制系統給出了定義，即：“工業控制 系統包括了制造和加工廠站和設施、建筑環境控制系統、地理位置上具有分散操作性質的公 共事業設施（如電力、天然氣）、石油生產以及管線等進行自動化或遠程控制的系統.”
如圖 2.1 所示，通常情況下工業控制系統的子系統或功能組件包括但不限于：

• 數據采集與監控系統（SCADA）、分布式過程控制系統（DCS）、可編程邏輯控制 器（PLC）、遠程測控單元（RTU）、網絡電子傳感/監視/控制/診斷系統等
• 相關信息系統，如圖形化界面、過程歷史庫、制造執行系統（MES）以及廠站信息 管理系統

工業控制系統的體系架構

工業控制系統通過工業控制網絡結合計算機技術實現了計算機系統向工業自動化控制領 域的延伸；作為一系列組成元素（組件）的總稱，工業控制系統這一稱呼涵蓋了可對工業過 程安全性、可靠性操作產生影響的一系列、硬件和軟件。在計算機技術、工業控制與自動化 技術、微電子技術共同的演進和融合的前提下，很多組件如 DCS 和 SCADA、PLC 和 RTU 在功能和使用場景上的界限已經逐漸模糊，為了能夠清晰的理解其功能特點和安全屬性，將 著重介紹一些相對關鍵的工業控制組件：
圖 2.1 工業控制系統（ICS）部署圖

• 控制器：作為直接控制設備、獲取設備狀況的控制系統，控制器隨著嵌入式計算技 術的卓越性能和軟邏輯控制器在工業控制領域的成熟應用。典型的控制器如 PLC（可 編程邏輯控制器）、PAC（可編程自動化控制器）以及 RTU（遠程控制單元）等， 早期的生產過程自動化領域里，PLC 的應用較為廣泛，利用遠程 I/O 卡件與控制室 實現通過單根電纜的通訊信息交換。80 年代初期，一些相對生產規模小一些的廠家 利用它們在數據采集轉換及通訊方面的優勢，以 RTU 等組件結合 PLC 構建了當前 的 SCADA 系統。以當前最為常見的控制器 PLC 和 RTU 為例：
  可編程邏輯控制器（Programmable Logic Controller ，簡稱 PLC）實質是一 種專用于工業控制的計算機，其硬件結構基本上與微型計算機相同，具有電源、CPU、 存儲器等計算機組件 SIMATIC S7 控制器的外型示意圖）。PLC 由于其具備價格便宜、編程簡單等特點，作為 SCADA 和 DCS 系統中的現場控制 組件，被應用于幾乎所有的工業過程控制領域。針對 PLC 的進行編程控制和診斷 通常通過下位機軟件（即常見的 WINCC、Unity Pro）來實現，下位機軟件存在的 安全漏洞將直接導致 PLC 產生安全風險，特定的可編程邏輯控制器（如西門子 6ES7-417 、6ES7-315-2）也面臨諸如拒絕服務等風險 。

遠程終端單元（RTU——Remote Terminal Unit 的縮寫），有的行業也稱之為 遠程測控終端，是 SCADA 系統的基本組成單元，負責對現場信號、工業設備的監 測和控制。和 PLC 相比，RTU 具有通訊距離較長、通訊接口多樣、存儲容量大、 適應更加惡劣的溫濕度環境等特點，通過經濟、性能、環境等角度考慮，部分行業 的客戶選擇利用 RTU 來進行數據采集、處理和傳輸（網絡通信），以智能化變電 站舉例，為了實現電網調度自動化的現代化管理，RTU 作為遠動終端部署在變電站 側，負責采集所在變電站電力運行狀態的模擬量和狀態量，監視并向調度中心傳送 這些模擬量和狀態量，執行調度中心發往所在變電站的控制和調度命令。由于 RTU 更多吸收了通信技術的發展，其應用更多側重在廣域環境，如石油天然氣長輸管線 和油氣田領域。應該說 PLC 是為了傳統工廠基礎自動化的發展需求而出設計的， RTU 在分布式和遠程能力上對 PLC 進行補充，更適用當前 ICS 系統的特點。

• 組態編程軟件：針對 PLC 進行組態編程以實現基本自動化功能的軟件，又被稱之為 下位機軟件（下位機的稱呼是相對于上位機提出的，從概念上看，下位機處于被控 制者和被服務者的位置，而上位機和下位機如何通訊，一般取決于下位機，可能采 用 TCP/IP 通訊或者采用更為私有的通訊協議實現。）典型的下位機軟件如 SIMATIC Step7，通過特定接口和線纜，如 RS232C 與 PLC 的 MPI 接口相連，可對 PLC 代 碼塊進行配置/編譯，替換軟件核心文件即可實現 PLC 感染和隱藏（Rootkit 功能）， 從而改變工業生產控制系統的行為，如通過改變某些工藝參數，如混合工藝的原材 料配比，最終改變工藝過程的溫度、壓力、流量、液位和時間值以及機械過程中馬 達的運動速度等。
• 數據采集與監視控制系統（Supervisory Control And Data Acquisition** ，簡寫為 SCADA），國內也稱之為組態監控軟件，通過 SCADA 可以實現廣域環境的生產過
  程和事物管理，其大部分控制工作依賴控制器等現場設備實現（如 PLC/RTU）。因 此，SCADA 也被認為并不是完整的控制系統，而是位于控制設備之上側重上位功能 的應用軟件。通常 SCADA 系統分為兩個層面，即客戶/服務器體系結構。服務器與 硬件設備通信，進行數據處理何運算。而客戶用于人機交互，如用文字、動畫顯示 現場的狀態，并可以對現場的開關、閥門進行操作。而上位機（HMI）與下位機（控 制設備）結合的 SCADA 系統，作為操作員平臺和中央監控系統，通過分布式的數 據采集和控制系統，集中了 PLC 在現場測控和 DCS 組網通訊的優勢，已經在各個 領域中被廣泛應用，如電力調度用于掌握運行狀態和故障診斷。
• 人機界面（Human Machine Interface，簡稱 HMI），SCADA 系統的核心組件，通 過良好的人機界面反映全面的過程信息，從而達到實時的動態數據處理（如圖 2.3 所示）。基于嵌入式技術的人機交互設備一般會包括繪圖軟件，可以讓系統維護者 修改系統在 HMI 中的呈現方式，并且通過組態和編程對生產過程與設備調度進行設 計與配置，利用大量的通信接口和開放的程序結構連接到自動化環境，從而實現了 對現場設備的監視與控制。典型的解決方案如西門子的 WinCC（包括 WINCC Flexible），均可實現對 HMI 設備、PLC 等控制器的組態功能。在震網病毒的案例 里，攻擊者即通過 WinCCConnect 賬戶的默認密碼連接 Siemens Simatic Wincc， 通過硬編碼的 SQL 語句讀取數據庫數據，一方面查找感染系統的工業控制軟件如 Step7、WinCC 的安裝狀態信息，從而精確定位工業網絡目標，避免不必要的主機 感染和暴露；一方面嘗試從數據庫中讀取與工業控制網絡設計相關的敏感信息，從 而為后續可能發起的下一波攻擊提供信息資源。
  圖 2.3 SCADA 的人機界面
• 分布式過程控制系統（Distributed Control Systems，簡稱 DCS）：通常被應用于 工業過程控制，如發電、煉油廠、污水處理、化工等，也被稱為集散控制系統。DCS 系統通過調用 PLC 為分布式業務提供基本的操作控制（PLC 的功能實際相當于一個 小型的計算機系統，通過配置該 PLC，可以向控制器中寫入新的控制邏輯，從而完 成不同的功能，最終實現工業設備的具體操作與工藝控制），適用于測控點數多、 精度高且反應速度快的工業現場；和 SCADA 相比，DCS 和 PLC 通信通常使用更 加高速可靠的局域網技術（工業以太網），而 SCADA 則通常側重于遠程長距離的 監測和控制（如電力調度的遠動控制）。目前從發展趨勢上來看，SCADA 和 DCS， 以及 PLC/RTU 在功能上進行著不斷的相互滲透和整合，同時也分別由于其獨特、 不可取代的特性，共同作為工業控制系統在工業企業里同時扮演著不可替代的角色， 如 SCADA 作為調度管理手段側重于生產管理的上位監控，DCS 實現工業過程的復 雜控制，而 PLC 在工業作業現場環境內實現單機及簡單控制。 通過上面對工業控制系統體系架構和核心系統組件的介紹可知，工業控制系統是由工業
  控制組件通過通信網絡互聯的一個分布式控制系統，因此考慮工業控制系統安全時，除了重 視其核心系統組件的安全屬性外，也要了解并重視其網絡環境的安全相關屬性的影響，如網 絡開放程度、網絡結構、協議安全性等。據此我們對工業控制系統所涉及到的相關網絡也作 了初步的調研，當前的工業控制系統在具體部署時通常要涉及如下的幾個網絡部分（如圖 2.1 所示）：
• 企業資源網絡：
  主要涉及企業應用，如 ERP、CRM 和 OA 等與企業運營息息相關的系統，根據風 險敏感程度和企業應用場景的不同，工業企業可能存在于外部的互聯網通信邊界，而一 旦存在互聯網通信，通常也具有較完備的典型安全邊界防護措施，如防火墻等。一般情 況下，工業控制系統的監控采集數據信息需要被企業內部的系統和人員訪問，該訪問過 程需要企業資源網作為工業企業信息化應用體系最上層直達工業控制層，甚至現場總線 層，其中由于實時性和協議私有性的局限，可能其訪問過程未能實現基本的訪問控制。 除了典型的企業應用資源，部分工業企業還存在 MES（制造執行系統，）作為中間層負 責生產制造執行過程的管理，是工業企業的核心系統。
• 過程控制和監控網絡（簡稱為控制網絡）：
  SCADA 服務器、歷史數據庫、實時數據庫以及人機界面等關鍵工業控制組件主要部 署在控制網絡內部，通過 SCADA 服務器（MTU）與遠程終端單元（RTU）組成遠程傳 輸鏈路，現場總線的控制和采集設備（PLC 或者 RTU），依照需求傳送設備狀態至監控 系統。數據通常具有特定格式，操作員通過人機界面（HMI）了解系統狀態，人機界面 （HMI）以圖形化顯示的方式對實際系統的運行狀態進行模擬，操作員通過待控制系統 的示意圖決定是否要調整 RTU（或 PLC）的控制。數據通常也會傳送到歷史數據服務器 （一般是商用關系數據庫），供趨勢追蹤和分析。
• 控制系統網絡：
  作為自動化系統與現場設別相連的唯一網絡，控制系統網絡利用總線技術 (如 PROFIBUS 等)將傳感器/計數器等設備與 PLC 以及其他控制器相連，PLC 或者 RTU 可 以自行處理一些簡單的邏輯程序，不需要主系統的介入即能完成現場的大部分控制功能 和數據采集功能，如控制流量和溫度或者讀取傳感器數據，使得信息處理工作實現了現 場化。控制系統網絡由于通常處于作業現場，因此環境復雜，部分控制系統網絡采用各 種接入技術作為現有網絡的延伸，如無線和微波，這也將引入一定的安全風險。 從廠商解決方案的角度，西門子（ Siemens）、通用電氣（ GE）、施耐德電氣
  （Schneider-Electric.）均針對各工業領域，如制造業、石油天然氣、石化提出了成熟的解決 方案，如西門子 SIMATIC PCS 7/WINCC/STEP 7/S7，通用電氣 CIMPLICITY/iFIX/ PACSystems 等，而國內的亞控（Kingview）、三維力控在國內也就占有較高的市場份額。 當前的工業控制系統由于開放性的需要，已經逐漸從專用轉向為通用，廠商之間通過 ODBC、 OLE 等標準接口，通過以太網、PROFIBUS 現場總線等開放網絡，可以實現管理系統和控制
  系統的互連。

參考資料

綠盟 2013年工業控制系統及其安全性研究報

友情鏈接

浙江省數字經濟促進條例 2020

總結

以上是生活随笔為你收集整理的研究背景及意义的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。