本文將從IT 領域熟悉的信息安全管理體系的基本理論和潛在威脅的角度，借鑒國際上有關工業控制系統安全保護要求及標準，分析當前我國工業控制系統存在的風險，并提出一套基于ICS 系統的威脅發現與識別模型。

　　一、工業控制系統介紹

　　工業控制系統（Industrial Control Systems, ICS），是由各種自動化控制組件以及對實時數據進行采集、監測的過程控制組件，共同構成的確保工業基礎設施自動化運行、過程控制與監控的業務流程管控系統。其核心組件包括數據采集與監控系統（SCADA）、分布式控制系統（DCS）、可編程邏輯控制器（PLC）、遠程終端（RTU）、智能電子設備（IED），以及確保各組件通信的接口技術。

　　目前工業控制系統廣泛的應用于我國電力、水利、污水處理、石油天然氣、化工、交通運輸、制藥以及大型制造行業，其中超過80%的涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業，工業控制系統已是國家安全戰略的重要組成部分。

　　一次典型的ICS 控制過程通常由控制回路、HMI、遠程診斷與維護工具三部分組件共同完成，控制回路用以控制邏輯運算，HMI 執行信息交互，遠程診斷與維護工具確保出現異常的操作時進行診斷和恢復。

圖1：典型的ICS 操作過程

　　SCADA（Supervisory Control And Data Acquisition）數據采集與監控系統，是工業控制系統的重要組件，通過與數據傳輸系統和HMI 交互，SCADA 可以對現場的運行設備進行實時監視和控制，以實現數據采集、設備控制、測量、參數調節以及各類信號報警等各項功能。目前，SCADA 廣泛應用于水利、電力、石油化工、電氣化、鐵路等分布式工業控制系統中。

圖2：SCADA 系統總體布局

　　DCS（Distributed Control Systems）分布式控制系統，廣泛應用于基于流程控制的行業，例如電力、石化等行業分布式作業，實現對各個子系統運行過程的整理管控。

　　PLC（Programmable Logic Controllers）可編程邏輯控制器，用以實現工業設備的具體操作與工藝控制。通常SCADA 或DCS 系統通過調用各PLC 組件來為其分布式業務提供基本的操作控制，例如汽車制造流水線等。

　　二、工業控制系統安全現狀

　　與傳統的信息系統安全需求不同，ICS 系統設計需要兼顧應用場景與控制管理等多方面因素，以優先確保系統的高可用性和業務連續性。在這種設計理念的影響下，缺乏有效的工業安全防御和數據通信保密措施是很多工業控制系統所面臨的通病。

　　據權威工業安全事件信息庫RISI（Repository of Security Incidents）統計，截止2011年10 月，全球已發生200 余起針對工業控制系統的攻擊事件。2001 年后，通用開發標準與互聯網技術的廣泛使用，使得針對ICS 系統的攻擊行為出現大幅度增長，ICS 系統對于信息安全管理的需求變得更加迫切。

圖3：1982-2009 工業系統攻擊事件

　　縱觀我國工業控制系統的整體現狀，西門子、洛克韋爾、IGSS 等國際知名廠商生產的工控設備占據主動地位，由于缺乏核心知識產權和相關行業管理實施標準，在愈發智能開放的ICS 系統架構與參差不齊的網絡運維現實前，存儲于控制系統、數據采集與監控系統、現場總線以及相關聯的ERP、CRM、SCM 系統中的核心數據、控制指令、機密信息隨時可能被攻擊者竊取或篡改破壞。作為一項復雜而繁瑣的系統工程，保障工業系統的信息安全除了需要涉及工業自動化過程中所涉及到的產品、技術、操作系統、網絡架構等因素，企業自身的管理水平更直接決定了ICS 系統的整體運維效果。遺憾的是當前我國網絡運維現實，決定了國內ICS 系統的安全運維效果并不理想，安全風險存在于管理、配置、架構的各個環節。

　　借鑒IT 安全領域ISO27001 信息安全管理體系和風險控制的成功經驗，綜合工業控制網絡特點以及工業環境業務類型、組織職能、位置、資產、技術等客觀因素，對工業控制系統構建ICS 信息安全管理體系，是確保工業控制系統高效穩定運行的理論依據。

　　三、工業控制系統安全風險分析

　　1、風險分析

　　工業控制系統是我國重要基礎設施自動化生產的基礎組件，安全的重要性可見一斑，然而受到核心技術限制、系統結構復雜、缺乏安全與管理標準等諸多因素影響，運行在ICS系統中的數據及操作指令隨時可能遭受來自敵對勢力、商業間諜、網絡犯罪團伙的破壞。根據工信部《關于加強工業控制系統信息安全管理的通知》要求，我國工業控制系統信息安全管理的重點領域包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域。這些領域中的工業控制系統一旦遭到破壞，不僅會影響產業經濟的持續發展，更會對國家安全造成巨大的損害。

　　典型工業控制系統入侵事件：

　　·2007年，攻擊者入侵加拿大的一個水利SCADA 控制系統，通過安裝惡意軟件破壞了用于取水調度的控制計算機；

　　·2008年，攻擊者入侵波蘭某城市的地鐵系統，通過電視遙控器改變軌道扳道器，導致4 節車廂脫軌；

　　·2010年，“網絡超級武器”Stuxnet 病毒通過針對性的入侵ICS 系統，嚴重威脅到伊朗布什爾核電站核反應堆的安全運營；

　　·2011年，黑客通過入侵數據采集與監控系統SCADA，使得美國伊利諾伊州城市供水系統的供水泵遭到破壞。

　　分析可以發現，造成工業控制系統安全風險加劇的主要原因有兩方面：

　　首先，傳統工業控制系統的出現時間要早于互聯網，它需要采用專用的硬件、軟件和通信協議，設計上以武力安全為主，基本沒有考慮互聯互通所必須考慮的通信安全問題。
　
　　其次，互聯網技術的出現，導致工業控制網絡中大量采用通用TCP/IP 技術，工業控制系統與各種業務系統的協作成為可能，愈加智能的ICS 網絡中各種應用、工控設備以及辦公用PC 系統逐漸形成一張復雜的網絡拓撲。

　　僅基于工控協議識別與控制的安全解決方案在兩方面因素的合力下，已無法滿足新形勢下ICS 網絡運維要求，確保應用層安全是當前ICS系統穩定運營的基本前提。利用工控設備漏洞、TCP/IP 協議缺陷、工業應用漏洞，攻擊者可以針對性的構建更加隱蔽的攻擊通道。以Stuxnet 蠕蟲為例，其充分利用了伊朗布什爾核電站工控網絡中工業PC 與控制系統存在的安全漏洞（LIK 文件處理漏洞、打印機漏洞、RPC 漏洞、WinCC 漏洞、S7 項目文件漏洞以及Autorun.inf 漏洞），為攻擊者入侵提供了七條隱蔽的通道。

圖4：Stuxnet 蠕蟲病毒傳播的七條途徑

　　2、脆弱性分析

　　工業控制系統的安全性和重要性直接影響到國家戰略安全實施，但為兼顧工業應用的場景和執行效率，在追求ICS 系統高可用性和業務連續性的過程中，用戶往往會被動的降低ICS 系統的安全防御需求。識別ICS 存在的風險與安全隱患，實施相應的安全保障策略是確保ICS 系統穩定運行的有效手段。