浅谈工业控制系统信息安全态势摘要进入21世纪，人类迈向信息化时代的步伐不断加快，随着信息技术的发展，信息安全也面临着严峻的现实考验。

近年来，针对工控系统的安全事件不断攀高。

本文介绍了石油工业控制系统的特点，分析当前安全形势下工控系统面临的安全威胁，提出应加强措施以应对安全威胁。

关键词工业控制系统石油工业SCDAD系统信息安全分析正文随着网络信息技术的发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，并以各种方式与互联网等公共网络连接。

在工业控制系统愈发智能的同时，其网络也变的更加透明、开放、互联，TCP/IP 存在威胁同样出现在工业网络中。

病毒、木马等威胁开始向工业控制系统扩散，信息安全问题日益突出。

进入21世纪，工业控制系统已经深入石油工业的每个重要部分，智能管控的方向已经渐入实际，随之带来的安全问题也令石油企业堪忧，作为石油高校的学子，我们有必要学习并认识工业控制系统运作中存在的问题。

同时，工控系统的健康发展需要软硬件的配合，在计算机综合实验课程学习的基础上，我们也有一定的能力去解释相关问题并找到相应的解决办法。

1 工业SCDAD系统与石油行业应用工业控制系统（Industrial Control Systems，ICS），是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件，共同构成的对工业生产过程实现检测、控制、优化、调度、管理和决策的业务流程管控系统，实现增加产量、提高质量、降低消耗、确保安全等目的。

其包括监控和数据采集系统（Supervisory Control and Data Acquisition，SCADA），分布式控制系统（Distributed Control Systems，DCS），以及其他更小的系统控制器，如可编程逻辑控制器（Programmable Logic Controllers，PLC）。

目前工业控制系统广泛应用于电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业，其中超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业，工业控制系统已是国家安全战略的重要组成部分。

SCADA系统，即数据采集与监视控制系统。

SCADA系统广泛应用于电力、石油、智能楼宇等行业中，对生产、管理的自动化提供现场数据以及控制的技术手段，也是所谓物联网的核心所在。

现代的SCADA系统主要都是由：以测控技术提供的现场传感器，现场采集动作单元，数据传输通道，以及计算机为中心的主站系统组成的。

工业控制系统安全保障框架油气田工业控制系统在结构上大致可分为总调指挥中心（GMC）、地区调度管理中心（DCC）、区域控制中心（RCC）、中心站监控室及部分井/ 站场监控系统等部分。

根据规划的功能结构，具体业务需求及实现的不同，按四级架构进行分层：即应用层、调度层、监控层和现场层。

而SCADA 系统作为油气田生产信息化建设的一个重要组成部分，只涉及调度层、监控层和现场层三层，不涉及应用层，SCADA 系统的数据在DCC 和非SCADA 系统的数据汇聚后，统一提供给应用层，便开发各种应用。

整条体系通过对数据采集传输、视频图像监视、数据存储转出、数据发布及网络浏览、生产调度及管理等的优化完善，实现工艺流程和管理流程进一步优化，提升生产效率。

油气田企业的工业控制系统一般分三个层级，上级站提供全局范围内各要素的遥测服务、采油生产分析；中继站负责数据的采集和指令的下发；底层RTU 实现现场数据采集和控制过程，并提供应急响应服务。

实现油井图像实时采集、油井状况分析，并可远程对抽油机进行启停控制，注水井远程配注监控。

一般由井场数据采集与控制系统、站点数据采集与控制系统、视频监控与闯入报警系统、以太网络传输系统及控制中心等系统组成。

主要对油压、套压、产油量、注水量、含水率等生产工艺参数进行监控和采集，并通过生产管理系统采用实时数据库、历史数据库为分析和管理平台，实现对监控子系统的数据采集、存储、处理、异常分析、远程管理、异常报警。

油气田工业控制系统示意图2研究背景传统的工业控制系统，是孤岛式、封闭式的结构，只是在本企业或者本行业内部建立相对应的生产流程。

同时，工业控制系统的要求，第一位是可用性，即生产设备能够完成生产所需；第二位是可靠性，就是要连续不间断的工作，而不会出现任何问题；第三位才是安全性。

但是，随着信息技术的不断发展，两网融合的契机，特别是不断地在工业控制领域的推广，原本封闭孤岛式的工业控制系统变成了开放的形式。

很多企业将生产环境转变为网络自动化形式，所有的设备都通过网络连接、搭建、管理和控制，很多工业生产现场都实现了完全的无人化，个别甚至将企业对外宣传和内部管理的网站同生产网络进行了互联，其间没有任何保护设备和防护措施。

只是单纯的增加防火墙、网闸便可以有效的保护工业网络安全的想法，是不切实际的。

从当前网络黑客所掌握的攻击技术来看，存有个人恶意企图的攻击者可能会利用一些大型SCADA 系统的安全漏洞获取诸如电力、石油、天然气管道以及其他大型设备的控制权，一旦这些控制权被黑客所掌握，进行致瘫攻击，将使这些国家基础行业的生产蒙受重大损失。

1999 年，在内部人员的配合下，黑客绕过了俄罗斯最大的一家天然气公司的网络防护系统，侵入该公司控制天然气输气管道的SCADA 系统，一度控制了总控制室; 2000 年，美国一名男童通过网络侵入亚利桑纳州罗斯福水坝的SCADA 系统，并能够控制水坝闸门提升，该水坝储水一旦被放出来，足以淹没下游的菲尼克斯城; 2000 年，在澳大利亚昆士兰，一名被解雇的工程师通过无线网络侵入水厂控制系统，造成水处理厂发生46 次控制设备功能异常事件，导致数百万公升污水进入地区供水系统；2003 年，震荡波蠕虫病毒在全球肆虐期间，美国俄亥俄州核电站企业网感染蠕虫并扩散到核电站的运行网，引发了网络堵塞，造成了监视核电厂关键安全指示的计算机控制板崩溃，最后导致核电厂处理计算机瘫痪；2010 年，“震网”病毒攻击伊朗核电站，病毒对西门子公司的数据采集与监控系统SIMATIC Win CC 进行攻击。

2000 年以后，在全球范围内，工控网络安全事件呈爆炸式增长。

尤其在中国网络遭受黑客攻击增长15倍以上，其中30% 是对国家基础设施，涉及天然气、运输、制造、医药、核设施以及汽车等众多行业，给国家和企业造成了大量的损失。

通过利用生产网络的漏洞，黑客轻而易举的入侵工控系统，轻而易举的进行漏洞挖掘和破坏，导致了很多安全事件的发生，而这些危险的发生主要由操作系统、应用系统、工控设备、网络通信协议、工业协议漏洞和移动介质等风险源造成。

为了保障工业控制系统的信息安全，2011年9月工业和信息化部专门发文《关于加强工业控制系统信息安全管理的通知》（工信部协[2011] 451 号），强调加强工业信息安全的重要性、紧迫性，并明确了重点领域工业控制系统信息安全的管理要求，其中特别提到了与国计民生紧密相关领域的控制系统，如核设施、钢铁、有色、化工、石油石化、电力等。

工业控制系统的信息安全被提到了一个新的高度，面临着严峻的安全威胁。

3 安全风险分析3.1 物理终端安全管理及工业通讯协议缺失与传统的信息系统相比，工业控制系统安全保护主要集中在于终端生产设备及其操作过程，作为最终的控制单元，直接控制生产运行，监控运行数据信息。

终端生产设备，例如PLC（可编程逻辑控制器）、RTU（远程测控终端）和IED （智能电子设备）可能存在逻辑炸弹或其他漏洞，部分设备采用国外的操作系统、控制组件，未实现自主可控，可能有安全漏洞，设备存在被恶意控制、中断服务、数据被篡改等风险。

对控制单元缺乏合适的终端物理安全保护的管理办法，无有效的边界完整性检查，存在未授权终端非法接入的风险。

工业通讯协议是整个系统安全的重要环节，修改工厂的运行过程并不需要破坏组件，只需要构造一个满足工业协议的IP 数据包然后将其发送给控制器即可。

在标准的PLC 中，没有任何安全校验和认证，它会接收任何满足IP 数据包格式的数据包并根据数据包中的请求信息来执行实际控制过程。

多数工业协议仅仅是对串行帧的简单封装如Modbus、DNP3 协议，整个过程缺乏加密认证的机制，故很容易被窃取、欺骗和篡改。

3.2 补丁更新不及时企业整个SCADA 系统数据服务器多数采用Unix 操作系统，工作站均采用Windows 操作系统，由于工业控制网络与互联网及企业网络的隔离，同时为保证过程控制系统的相对独立性，以及考虑到系统的稳定运行，现场工程师未对Windows 平台安装任何补丁，但是存在的问题是，不安装补丁系统就存在被攻击的可能，从而埋下安全隐患。

如Unix操作系统发布开发都是以打补丁（Patch）的方式进行，操作系统的程序可以动态链接包括I/O 驱动程序与系统服务，这些都为不法人员提供了可乘之机。

常见的0day 漏洞、UPNP 服务漏洞、RDP 漏洞等，不法人员轻易通过这些漏洞通过入侵、控制主机，进行破坏和窃取机密信息。

由于工业控制系统对可靠性要求较高，考虑到工控软件与操作系统补丁的兼容性问题，在更新系统补丁前需要在测试环境中进行严格测试，确认部署到生产环境中不产生影响后才能进行安装更新。

因此实际使用中，存在时间的滞后，导致各类严重等级安全漏洞未及时修补。

3.3 可移动存储介质导致的病毒木马传播在日常的资料文件共享中，操作人员大量使用U 盘、可移动磁盘等介质。

由于工控计算机并未全面安装杀毒软件，所以可移动存储介质的交叉使用为木马病毒的传播提供了可乘之机。

在物理隔离的工控环境中，利用此种“摆渡”方式可将木马病毒感染至系统内部。

由此引发的安全事件时有发生。

3.4 无完整的防病毒体系SCADA 系统包括SCADA 系统监控软件、数据服务器、操作员工作站、工程师工作站、磁盘阵列、授时系统、仿真软件、OPC 软件、网络管理软件等应用系统，由于应用软件多种多样，很难形成统一的防护规范以应对安全问题。

并且，从分公司到场站现场都采用NTP 授时服务，本地向远程NTP 服务器发送NTP 数据包，用的不可靠的UDP 协议，一方面会造成信息泄露，另一方面会被不法人员利用NTP Reply 洪水攻击，对整个系统或网络造成影响。

工控软件在正常运行过程中，可能会调用底层系统命令，而由于现有的杀毒软件利用行为监测，采用主动识别防御技术，会对工控软件的某些操作进行拦截和报警，同时也存在较高的误杀风险。

虽然管理员能采用设置白名单等方式允许工控软件的正常运行，但鉴于白名单配置前需要对工控软件的所有可能的行为进行完全测试，故存在较大的工作量。

种种原因导致工控系统中并没有全面实施安装防病毒软件。

3.5 缺乏有效的数据安全通信机制在油气田的现场，由于作业区域广阔，经常通过光传输网、DDN、卫星、GPRS/CDMA 等传输手段将数据传到控制中心的路由器，各传输信道间的通道切换使用HSRP 协议。