工控安全 | 工业控制系统安全，从零基础到精通，收藏这篇就够了！

最新推荐文章于 2025-04-26 17:20:37 发布

黑客大白

最新推荐文章于 2025-04-26 17:20:37 发布

阅读量1.2k

点赞数 28

分类专栏：计算机程序员互联网文章标签：安全汽车人工智能

本文链接：https://blog.csdn.net/Libra1313/article/details/145417843

版权

程序员同时被 3 个专栏收录

1101 篇文章

订阅专栏

互联网

1093 篇文章

订阅专栏

计算机

1088 篇文章

订阅专栏

中机电协质标委

工业控制系统安全系列之一：提升工业控制系统安全，助力工业4.0

2011年德国在汉诺威工业博览上首次推出工业4.0战略，“万物互联”概念深入人心。随着工业4.0的普及，工业控制系统逐渐被公众认识和了解，近几年更是发生了针对部分国家和地区关键信息基础设施工业控制系统的重大攻击事件，对国计民生甚至国家安全造成了威胁，也促使工业控制系统的安全问题日渐被各国政府和企业所重视。

中国与时俱进，在网络安全法的大背景下，发布了一系列关于工业控制系统安全的监管与合规要求，其中于2019年5月13日正式发布的网络安全等级保护2.0中，专门增加了对工业控制系统安全的扩展要求。

工业控制系统安全日益显著

随着工业4.0推进，越来越多的企业开始思考将信息通信技术（ICT）与制造业相结合，即两化融合，使生产端和消费端相连接，推进制造业数字化、网络化和智能化，从生产型制造转向服务型制造。

工业控制系统（以下简称：工控系统或ICS）是对物理世界有直接影响的控制系统，其安全漏洞既可能导致财务上的损失，还可能对人类健康和环境安全带来重大风险。

与企业日常使用的IT系统相比，工控系统有自身的特性，比如由于更强调对生产目标的服务，停机需要提早规划，系统升级可能涉及较多组件间的兼容性问题，因此较难及时通过停机更新等传统IT方法来保护该系统的安全。此外，企业内部IT人员由于知识背景和职责的因素，也很少对工控系统的安全进行评估和维护。

长久以来，工控系统安全一直处于企业运维安全（Operation Security，OT）中较为薄弱的环节，在工业互联网和智能制造的大趋势和推动下，对工控系统安全的关注正被逐步提升。

什么是工业控制系统

工控系统的主要目标是实现工业自动化生产线的物流控制、设备信息监控及诊断处理，其主要功能包括设备管理、任务管理、日志管理、调度管理、诊断管理、系统仿真等。

工控系统通常包括，制造执行系统（MES），监控和数据采集（SCADA）系统，分布式控制系统（DCS），可编程逻辑控制器（PLC）等组件。MES系统主要对生产过程进行管理，如制造数据管理、生产调度管理、计划排程管理等。SCADA系统通常使用中心化的数据采集和监控手段来控制分散的设施。DCS系统通常用于控制本地区域内的生产系统，例如监控和调节本地工厂。PLC通常用于特定的离散设备，提供相应的调节控制。工控系统还涉及远程终端（RTU），智能电子设备（IED）以及确保各组件通信的接口技术。

工控系统还包含控制循环、人机接口（HMIs），和使用一系列网络协议构建的远程诊断和维护工具。工控系统广泛应用于各行各业，如电力、能源、化工行业、运输、制造（汽车、航空航天和耐用品）、制药、造纸、食品加工等。

由于工控系统应用的技术领域、行业特点以及承载业务类型的差异，工控系统的架构亦会不同。在典型的工控系统中，一般包括四个层级：现场设备层，现场控制层，过程监控层和生产管理层（层级0-层级3）。其最上层生产管理层与企业资源层中的ERP软件对接（图一）。

工控系统的信息安全隐患分布于工控系统架构的所有层级。攻击者可能通过嗅探、欺骗、物理攻击及病毒传播的方式，进行以下未授权或非法操作，影响企业正常生产：

获取并分析各层级设备中的信息；
修改存储于工控系统组件中的敏感信息；
获得存储于工控系统组件中的用户凭证，冒充合法用户；
发布错误指令或进行错误配置；
传播恶意代码造成不必要的系统停机和数据破坏；
通过社会工程(Social Engineering)获取用户信息。

图1 工控系统典型架构

工控系统不同于传统IT系统。相比于IT系统，工控系统拥有以下特性：

系统对延时的忍耐度较低，对可靠性要求高，大多需要全年不间断工作；
部分工控系统仍旧使用陈旧的操作系统（OS），因此对此类系统的安全管理要求更高；
由于工控系统涉及软件、硬件、固件及工艺流程，因此其变更管理更为复杂；
系统通讯协议更为混杂，包括各种工业总线，工业以太网，无线接入，射频和卫星等；
系统整体架构更为繁杂，企业安全认知度和安全意识相对较低；
从风险角度看，除了传统信息安全以外，工控系统安全还需要关注人身、环境、生产以及物理等方面的安全；
系统生命周期更长，对系统设计完备性、工艺集成性要求更高等。

综上，相比IT系统，建立涵盖工控系统各层级的信息安全体系更为复杂，需要企业管理层的重视和监管，以及企业内跨部门的协作。

工业控制系统安全现状

一直以来，企业信息安全的防护措施主要集中传统IT系统，特别是面向公众的系统和服务。针对工控系统的信息安全问题，企业往往采取模糊即安全（security by obscurity ）的被动方式，未给予足够的关注和重视。

根据CVE（Common Vulnerabilities and Exposures）的统计显示（详见图二），2011年起工控系统漏洞的发布数量显著增加，并且发生针对工控系统的安全事件，其中影响较大有：2010年伊朗核电站的震网病毒攻击导致铀浓缩设备故障事件，2015年的乌克兰大规模停电事件，2018年台积电生产基地被攻击的事件，以及2019年委内瑞拉的电网被攻击导致全国大部分地区断电事件。这些事件都造成了十分严重的后果。

图2 工控系统漏洞

根据2015年美国国家标准技术研究所（National Institute of Standards and Technology，NIST）的调查结果*，工业控制系统可能面临的安全事件主要有：

阻塞或延迟通过工控系统网络的信息流，中断工控系统的运行；
未经授权的篡改指令、命令或警报阈值，损坏或关闭设备，造成环境影响以及威胁人身安全；
向系统管理员发送不当信息，以掩盖未经授权的更改，或引起操作员采取不适当行动；
工控系统软件或配置被非授权修改，或软件被病毒或恶意软件感染；
干扰设备保护系统的运行，危及昂贵且难以更换的设备；
干扰安全系统的运行，危及人身安全。

（*Source：Guide to Industrial Control Systems Security，2015，NIST）

依据普华永道中国的追踪和研究，我们发现企业缺乏有效的管理和技术措施保障工控系统的安全，存在较多安全隐患。诸如：

操作系统的安全漏洞；
防病毒及恶意软件的管控漏洞；
使用U盘、光盘等外接设备的管控缺失；
设备维修时，笔记本电脑存在随意接入的情况；
工控系统网络边界防护不充分；
访问和接触控制（包括远程访问、管理维护）薄弱；
工控软件生命周期的安全管理漏洞；
缺乏安全事件应急响应机制。

企业如何应对

面对上述工控系统安全威胁，我们建议企业通过风险评估及差距分析等方法，识别企业在管理和技术两个层面上的管控缺口，并通过落地相关整改措施，提升企业工控系统的整体安全，抵御来自内外部的安全威胁。

作为首要任务，我们建议企业管理层开始思考以下问题：

1. 生产过程面临的安全风险是什么——是否已识别出所有工控系统相关资产？是否对资产进行了优先排序，并明确了受到损害的潜在后果？在信息安全事件发生后，企业能否维持生产和关键业务流程的运作？

2. 是否已组建工控系统安全管理团队和负责人？

3. 企业员工是否对工控系统安全有充分的认知和意识？

4. 是否已建立工控系统的安全管理制度和流程？

5. 工控系统维护及其安全是否依赖外部第三方支持？是否建立了有效的第三方管理机制？

6. 工控系统网络是否连入企业网络/互联网，是否建立有效措施防护其在联网状态下的安全？

7. 是否实施有效的安全防护措施，如防病毒、防恶意软件、外设控制等？

8. 工控系统网络是否支持远程访问？远程访问能否得到保护和监控？

9. 企业是否建立了工控系统安全警报机制及应急预案？

10. 企业是否选择了合适的标准，建立了完备的工控系统安全管理体系？

此外，美国、欧盟及中国等已陆续发布了针对工控系统的安全标准和建议（详见表1所示），可供企业参考。

表1 工控系统安全标准和建议

普华永道中国持续关注和追踪工控安全事件，分析潜在威胁及风险。我们将在后续“工业控制系统安全系列”中，解析工控系统安全事件，介绍工控系统安全标准和建议。

参考文献

NIST Special Publication 800-82----Guide to Industrial Control Systems (ICS) Security

2)《工业控制系统信息安全事件应急管理工作指南》

3)《工业控制系统信息安全防护指南》

信息安全技术网络安全等级保护基本要求第5部分：工业控制系统安全扩展要求

5)《工业4.0 - 正在发生的未来》夏妍娜赵胜著

工业控制系统安全系列之二：解析工业控制系统安全事件

工业控制系统（以下简称：工控系统或ICS）是水力、电力、能源、石油、化工、制造、航空航天、交通运输等国家命脉行业的重要基础设施，亦是制造企业重要的生产控制、监测和管理系统。工业控制系统一旦受到攻击，可能会对人员、财产和环境安全造成重大威胁，更严重者甚至威胁到国家安全和社会秩序。

本文追踪了近几年工控系统安全趋势和重大安全事件，并选取和分析了近期发生的工控安全事件，希望借此协助企业进一步了解工控系统安全威胁和隐患。

工业控制系统漏洞发布逐年递增

近年来国内外工控系统安全的事件频频发生。根据国家信息安全漏洞共享平台（CNVD）的追踪和统计（详见图一），自2011年起，工控领域发现和发布的漏洞呈现逐年递增趋势。

图1 ICS漏洞统计。来源CNVD官网

依据CNVD公开披露的工控系统漏洞数据的统计分析（详见图二），截至2019年4月已识别2,743个工控系统漏洞，其中高危漏洞907个(占比为33%)，中危漏洞1,163个(占比为42%)。

图2 ICS漏洞等级分布。来源CNVD官网

工业控制系统重大安全事件回顾

震网病毒攻击伊朗核电站，致使铀浓缩设备出现故障

伊朗

2010年6月，伊朗布什尔核电站铀浓缩设备出现故障，致使伊朗核计划推迟。经调查，是由于受到了一种新型蠕虫病毒的攻击，该病毒代码中出现了特征字“stux”，此后Stuxnet也被命名为震网病毒。Stuxnet被认为是第一个专门定向攻击真实世界中基础设施（能源）的恶意代码。

乌克兰电网遭攻击，造成大范围停电

乌克兰

2015年12月23日，乌克兰电网电力中断，致使乌克兰城市伊万诺弗兰科夫斯克将近一半的家庭（约140万人）经历了数小时的电力瘫痪。经调查，此次事件是由木马恶意软件攻击所致，由于其影响范围较广，促使工业控制系统的安全问题受到更广泛关注。

勒索病毒WannaCry肆虐全球

全球

2017年5月12日，WannaCry勒索病毒利用MS17-010漏洞袭击全球，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业。中国部分普通用户和企事业单位受到感染，导致大量文件被加密，无法正常工作，影响巨大。

台积电三大工厂接连遭病毒感染, 导致大规模生产线停摆

台湾

2018年8月3日，台积电部分生产设备相继遭到病毒感染，导致其在台湾地区三大生产基地的部分工厂相继停摆。台积电作为全球最大的芯片代工厂，一直都是黑客重点关注目标，每年都遭受大量的网络攻击。但此为首次导致如此大规模的生产线停摆。

委内瑞拉停电事件, 导致持续6天大规模停电

委内瑞拉

2019年3月7日，委内瑞拉全国发生大规模停电事件，影响23个州中的18个州。截止2019年4月底尚未明确导致此次事件的原因。

委内瑞拉停电事件分析

本文选取委内瑞拉停电事件进行剖析，深入分析其潜在原因。

事件回顾

据新华社报道2019年3月7日傍晚5时（当地时间）开始，委内瑞拉国内包括首都加拉加斯在内的大部分地区停电超过24小时，在委内瑞拉23个州中，一度超过18个州全面停电，停电导致加拉加斯地铁无法运行，造成大规模交通拥堵，学校、医院、工厂、机场等都受到严重影响，多数地区的供水和通信网络受到影响。

8日凌晨，加拉加斯部分地区开始恢复供电，随后其他地区电力供应也逐步恢复，但是9日中午、10日再次停电，给人们带来巨大恐慌。长时间大范围的电力故障给委内瑞拉造成严重损失，此次停电是委内瑞拉自2012年以来时间最长、影响地区最广的停电。

威胁可能性分析

针对此次大规模的停电事故，业界存在各种不同的分析观点，尚无统一定论，本文将从八个方面（详见图三）逐一解析可能造成此次大规模停电事故的潜在安全隐患。

图3 ICS安全威胁

1. 现场控制层威胁

委内瑞拉古里水电站的控制系统是由ABB公司为电厂设计的分布式控制系统（DCS）。ABB是位居全球500强之列的电力和自动化技术领域的领导厂商，但目前ABB系统已被爆出存在较多高危漏洞，例如（CNVD-2016-10592）ABB RobotWare远程代码执行漏洞、（CNVD-2014-08129）多个ABB产品本地代码执行漏洞。

攻击者可以通过分析并利用公开发布的漏洞，编写恶意代码制作病毒，针对ABB控制系统进行恶意攻击。由于委内瑞拉古里水电站使用的控制设备时间较为久远，如若没有及时升级相关安全补丁或其他有效的防范措施，可能导致系统存在较多漏洞被攻击者利用，从而造成大规模停电。

2. 过程监控层威胁

SCADA系统（Supervisory Control and Data Acquisition）是工业控制系统架构中的数据采集与监视控制系统。在电力系统中，SCADA系统应用较为广泛，据新闻报道委内瑞拉古里水电站目前使用SCADA系统对现场的运行设备进行监视和控制。

SCADA目前已被爆出许多SCADA系统高危漏洞（详见图四），涉及工控系统架构内的软件、硬件、固件等各个方面。考虑对工控系统升级或变更需要花费较长的时间进行准备和测试，对人员能力要求较高，及对持续生产的影响，目前企业对漏洞修复较多采用保守态度，导致这些问题隐藏在SCADA系统中，一旦被攻击者利用将可能造成不可预计的影响和损失。

图4 SCADA系统漏洞。来源CNVD官网

3. 网络与通信威胁

诸如其他工业控制系统，委内瑞拉古里水电站也可能采用了不同的通信协议和介质。例如ModuleBus通信协议，用于通过塑料光缆直接与本地I/O群集通信。攻击者可以通过分析ModuleBus协议报文，截获控制协议报文，注入恶意代码，篡改报文或者恶意破坏造成事故。

4. 生产管理层威胁

生产管理系统所在的操作系统如未及时更新安全补丁，则可能存在诸多风险漏洞被攻击者利用，导致生产设备和运行遭到破坏，无法正常工作。如前文中提到的WannaCry勒索病毒，就是利用Windows系统SMB漏洞导致系统无法正常工作。再比如（ms08-067）Windows Server服务RPC请求缓冲区溢出漏洞，攻击者可远程利用此漏洞运行任意代码，如用于进行蠕虫攻击等。

此外，操作员安全意识薄弱，设置弱口令等问题，也可能导致攻击者可以渗透进生产系统环境，进而执行非授权操作，破坏正常生产秩序。

5. 管理缺失威胁

出现如此大规模停电事故，也可能是由于安全管理的缺失所造成的。例如缺乏工控系统安全管理负责人对工控系统进行监督和管理，员工安全意识薄弱；未建立有效的工控系统安全制度和流程，导致工控系统未及时升级，缺乏有效防护；工控系统网络与企业网络/互联网未有效隔离；外接设备随意接入，包含移动U盘和光盘等存储介质；对安全事件的应急处置工作重视不足，缺乏有效的应急预案及演练等。

6. 现场设备层威胁

鉴于委内瑞拉当前局面，及相关国际形势，存在人为破坏的可能性。由于电力系统是现代社会的关键支撑，易成为攻击者首选的攻击目标；其次电力系统的高复杂度以及系统暴露面多，也增加了被攻击的可能性，如发电厂、电站、输变电设备、线路层面均可能遭到物理、电磁等层面的攻击。

7. 设备维护缺失威胁

出现此次大规模停电事故，设备自身老化也是隐患之一。据新闻报道委内瑞拉所使用的控制设备可能已经使用了几十年的时间，如果缺乏有效维护，可能导致电路短路，造成火灾等事故。

8. 0day攻击威胁

0day漏洞是指已经被少数人发现，但是暂时未被公开，且官方尚未发布相关补丁的漏洞。目前已经发现的工控系统安全问题仅只冰山一角，还有许多潜在未知的安全漏洞和威胁，所以此次大规模停电事件也可能是由于0day漏洞所造成的。

参考文献

NIST Special Publication 800-82----Guide to Industrial Control Systems (ICS) Security

2)《工业控制系统信息安全事件应急管理工作指南》

3)《工业控制系统信息安全防护指南》

4)《信息安全技术网络安全等级保护基本要求》

5)《工业4.0 - 正在发生的未来》夏妍娜赵胜著

6)《分析称伊朗首座核电站遭受震网蠕虫病毒攻击》https://news.qq.com/a/20110227/000790.htm

7)《乌克兰电网遭遇黑客攻击有何警示意义？》

http://www.chinapower.com.cn/information&jzqb/20160222/15629.html

8)《WannaCry勒索病毒横行安防实力企业如何快速应对》

http://www.afzhan.com/news/detail/55366.html

9)《台积电三大工厂接连遭病毒感染，敲响工控安全的警钟》

https://www.freebuf.com/news/179766.html

10)《委内瑞拉发生大规模停电》

http://www.sohu.com/a/299918514_120046625

CNVD: http://ics.cnvd.org.cn/

工业控制系统安全系列之三：概览工业控制系统安全标准及合规

本文将介绍全球主流国家自2009年起，陆续出台的关于工业控制系统（以下简称：工控系统或ICS）的安全要求、标准和指南（详见图一），协助企业了解相关标准及合规要求，建立符合自身发展的合规的工业控制系统安全体系。

图1 工控系统安全要求、标准和指南

美国

2015年5月，美国国家标准技术研究所（NIST）在《联邦信息安全现代化法案》（Federal Information Security Modernization Act）的要求下，发布了《工业控制系统安全指南》（Guide to Industrial Control Systems Security，NIST SP 800-82），为工控系统及其组件（监控和数据采集系统SCADA，分布式控制系统DCS，可编程逻辑控制器PLC，以及其他执行控制功能的终端和智能电子设备）提供安全指导，帮助企业降低工控系统信息安全相关风险。

该指南概述了工控系统组件及架构，指出了工控系统面临的威胁和漏洞，并从以下四个方面为企业提供了可供参考的方法、框架和实施步骤：

工控系统风险评估与管理；
工控系统安全项目开发和实施；
工控系统安全架构；
工控系统安全控制。

该指南并非针对企业的合规要求，但对企业建立和实施工控系统安全管理具较强参考意义。

欧洲

2010年的“震网”病毒被发现可感染工控系统，引发对工控系统安全的关注。欧盟及其成员国为加强工控系统安全，欧盟网络与信息安全局（European Union Agency for Network and Information Security, ENISA）于2011年12月发布了《保护工业控制系统-给欧洲及其成员国的建议》（Protecting Industrial Control Systems Recommendations for Europe and Member States）。该建议书阐述了工控系统面临的安全威胁，风险和挑战，并建议欧盟成员国通过制定国家层面工控系统安全战略，设立工控安全认证框架以及建立工控安全最佳实践等顶层设计，改进现有的工控系统中的安全薄弱环节。

在该建议书的指引下，各欧盟国家陆续出台了相关的安全指南，如：2013年11月德国联邦信息办公室（The German Federal Office for Information Security）发布了《工业控制系统安全纲要》（ICS Security Compendium）介绍了工控系统及其组件，面临的信息安全威胁以及工控系统安全的最佳实践；2015年1月，法国国家安全局（French Network and Information Security Agency，ANSSI）发布了《工业控制系统安全指南》（Managing Cybersecurity for Industrial Control System）为企业应对工控系统安全风险提供支持。并于2017年9月进一步发布针对具体行业的工控系统实践指引——《ICS网络安全：隧道案例研究》（ICS Cybersecurity : A Road Tunnel Case Study）。

欧盟国家陆续建立起工控系统安全标准和最佳实践，为欧盟境内企业应对工控安全风险提供指引。

中国

2011年10月，受到“震网”病毒事件影响，中国工业和信息化部（以下简称工信部或MIIT）认为工业控制系统信息安全面临严峻的形势，印发第451号文《关于加强工业控制系统信息安全管理的通知》，对工控系统的连接管理、组网管理、配置管理、设备选择与升级管理、数据管理、应急管理做出了一系列要求。

2016年10月，随着工业4.0的推进，国务院要求进一步推进制造业与互联网融合发展，工信部印发了《工业控制系统信息安全防护指南》，要求工业控制系统应用企业应从十一个方面做好工控安全防护工作，涉及安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理及落实责任。

2016年11月，中国第12届全国人民代表人大常委会第24次会议通过了《中华人民共和国网络安全法》（以下简称网安法），并于2017年6月1日起施行。该法律明确国家实行网络安全等级保护制度，强调对关键信息基础设施的安全防护。

2017年5月，在《国务院关于深化制造业与互联网融合发展的指导意见》的要求下，工信部进一步印发《工业控制系统信息安全事件应急管理工作指南》，指出工业企业负有工控安全主体责任，应建立健全工控安全责任制，负责本单位工控安全应急管理工作，落实人财物保障。并且要求工业企业对于可能发生或已经发生的工控安全事件，能够立即开展应急处置，力争将损失降到最小。该工作指南还要求工业企业制定工控安全事件应急预案，定期组织应急演练。

2017年7月，工信部发布了《工业控制系统信息安全防护能力评估工作管理办法》（及其附件《工业控制系统信息安全防护能力评估方法》），从评估管理组织、评估机构和人员要求、评估工具要求、评估工作程序、监督管理几个方面规范了对工业企业开展的工控安全防护能力评估活动，涵盖了工业企业工业控制系统在规划、设计、建设、运行、维护等全生命周期各阶段的安全防护能力评价工作。根据相关要求，重要工业企业每年需要由第三方机构对工控系统安全防护能力进行评估，其他工业企业则至少每年一次开展评估（自评估或第三方评估）。

2017年12月，工信部发布了《工业控制系统信息安全行动计划（2018-2020年）》，要求落实企业主体责任，依据《网安法》建立工控安全责任制，明确企业法人代表、经营负责人第一责任者的责任，组建管理机构，完善管理制度。该《行动计划》还要求建立健全标准体系，制定工控安全分级、安全要求、安全实施、安全测评类标准。

2019年5月13日，为落实《网安法》要求，全国信息安全标准化技术委员会（SAC/TC 260）联合公安部等机构发布了《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）, 该标准规范了工控系统等级保护的原则和要求，以确保系统组件及整体安全。

上述由工信部、公安部、SAC/TC260发布的通知、指南以及《网安法》共同构成了应用工控系统企业的合规要求。此外，企业还可以借鉴由SAC/TC260发布的一系列国家推荐标准，如《信息安全技术 - 工业控制系统安全控制应用指南-GB/T 32919-2016》，《工业控制系统风险评估实施指南-GB/T 36466-2018》，《工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿），《工业控制系统信息安全检查指南》（征求意见稿）等。

国际标准

2009年7月至2018年1月期间，国际电气化委员会（IEC）陆续发布了工控系统相关安全标准《工业通信网络-网络和系统安全》（IEC-62443），包括：

第一部分：术语、概念和模型（IEC TS 62443-1-1:2009 Industrial communication networks - Network and system security - Part 1-1: Terminology, concepts and models）；
第二部分：建立工业自动化和控制系统安全程序（IEC 62443-2-1:2010 Industrial communication networks - Network and system security - Part 2-1: Establishing an industrial automation and control system security program）；
第三部分：工业自动化和控制系统的安全技术（IEC TR 62443-3-1:2009 Industrial communication networks - Network and system security - Part 3-1: Security technologies for industrial automation and control systems）；
第四部分：安全产品开发生命周期要求（IEC 62443-4-1:2018 Security for industrial automation and control systems - Part 4-1: Secure product development lifecycle requirements）。

该标准体系范围较广，涉及工控系统的各个组成方面，并从风险评估、人员架构、系统架构、网络设计、安全工具和软件、数据保护等方面详细阐述了企业可以遵循的安全要求以及相应的安全原理。该标准体系也是各国建立其工控系统安全标准体系的重要参照标准。

从世界范围内来看，近年来工控系统安全相关的标准和指南发布频率越发密集。随着主要制造业大国转型升级的推进，工控系统安全被提到越发重要的地位。应用工控系统企业有必要对其工控系统安全给予相当的关注，以应对转型升级中面临的威胁和挑战。

工控系统安全体系建议

综合上述主流国家和地区以及国际组织发布的关于工控系统安全的要求、标准和指南，普华永道中国建议应用工控系统的企业，建立和实施适合的工控系统安全防护体系以应对工业控制系统安全风险。企业建立工控系统安全体系可参考以下模型（图二）。

图2 普华永道中国工业控制系统安全模型

普华永道中国持续关注和追踪工控安全事件，分析潜在威胁及风险。我们将在后续“工业控制系统安全系列”中，介绍工业控制系统架构中的安全威胁及相应的防范措施。

参考文献

NIST Special Publication 800-82----Guide to Industrial Control Systems (ICS) Security

2)《工业控制系统信息安全事件应急管理工作指南》

3)《工业控制系统信息安全防护指南》

4)《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)

5)《工业4.0 - 正在发生的未来》夏妍娜赵胜著

Federal Information Security Modernization Act
Protecting Industrial Control Systems Recommendations for Europe and Member States
ICS Security Compendium
Managing Cybersecurity for Industrial Control System
ICS CYBERSECURITY : A ROAD TUNNEL CASE STUDY

11)《关于加强工业控制系统信息安全管理的通知》

12)《工业控制系统信息安全防护指南》

13)《国务院关于深化制造业与互联网融合发展的指导意见》

14)《工业控制系统信息安全防护能力评估工作管理办法》

15)《工业控制系统信息安全防护能力评估方法》

16)《工业控制系统信息安全行动计划（2018-2020年）》

17)《工业通信网络-网络和系统安全》（IEC-62443）

工业控制系统安全系列之四：洞察工业控制系统安全风险与防护

工业控制系统（以下简称工控系统），相比传统IT系统，具有繁杂的架构，众多的组件，更多的层级，应用多种专用通信协议，并紧密结合生产，使得其安全防护难度增大。此外，企业对工控系统安全意识薄弱，对攻击手法认知有限，亦可能导致工控系统存在较大的安全隐患。

本文将从脆弱性与威胁两个层面探讨工控安全风险，并介绍工控系统安全防护措施，协助企业提升对工控安全的认识和防护水平。

工控系统安全脆弱性

依据《信息安全技术网络安全等级保护基本要求》( GB/T 22239-2019)，工控系统分为生产管理层、过程监控层、现场控制层和现场设备层，涉及多种组件、应用和通信协议等，若一个环节保护不到位，就有可能导致整个工控系统被攻击而影响生产。脆弱性涉及管理层面和技术层面：

**管理层面脆弱性包含：**安全策略和制度不完善、安全职责不明确、安全意识薄弱、安全宣传与培训不完善、管理监督不到位、供应链管理机制欠缺、数据保护和备份管理不足、应急响应机制缺乏等；
**技术层面脆弱性包含：**安全架构设计不合理、操作系统陈旧、安全补丁不及时、访问控制不恰当、病毒或恶意程序防护不当、通信协议不安全、网络边界防护不足、系统配置不恰当、物理和环境保护薄弱、日志缺失或保留时间过短等。

工控系统安全威胁

威胁可能来自企业外部或内部，可能是恶意行为或非恶意行为，可能由人为因素或非人为因素（如自然灾害）导致。

就人为因素而言，来自外部的威胁主要是指攻击者利用工控系统的脆弱性，通过病毒（如震网病毒、勒索病毒）、钓鱼等方式发起攻击（比如高级持续性威胁APT - Advanced Persistent Threat攻击），渗透进工控系统网络，进行非授权操作或者恶意破坏。攻击者可能包含恶意软件发布者、钓鱼或垃圾邮件发送者、僵尸网络操纵者、犯罪集团等。

来自内部的人为因素威胁主要是指心怀不满的内部员工或者工业间谍，利用工控系统管理或技术方面的缺陷，为恶意报复而删除企业核心数据，或为自身利益窃取企业核心机密售卖给竞争对手。此外，由于工控系统客观存在的脆弱性，人员在访问或操作工控系统时，也可能因为非恶意主观意愿，如误操作，对工控系统造成破坏和影响。

工控系统安全防护

对于上述脆弱性和威胁，企业可通过建立适当的安全防护体系，降低安全风险，以保护工控资产安全和正常生产秩序。普华永道中国建议企业可参考以下五个方面，建立和完善工控安全防护体系：

安全战略与合规

安全战略规划：从企业自身业务战略和IT战略出发，规划工控安全战略与目标；
安全合规：根据企业所在行业和地区，梳理相应监管要求并追踪更新，开展差距分析，整改问题发现，以满足合规要求。

风险评估与管理

资产识别：识别设备设施、硬件、软件、数据、通信协议、文档等工控相关资产，并确定资产价值；
风险识别：识别工控管理层面和技术层面脆弱性，考虑来自内部和外部的威胁；
风险评估：基于所确定的工控资产价值，及识别的脆弱性和威胁，判断风险发生的可能性与影响，对风险进行排序；
风险应对：依据风险评估的结果，规划适当的应对措施，将风险控制在可接受的范围之内。

安全治理与架构

组织架构：建立工控安全管理机构和安全管理负责人，明确并落实安全管理职责，监督安全管理措施的有效运行；
制度与流程：制定工控安全管理制度与流程，包括软硬件管理、身份认证与访问控制管理、数据保护与备份管理、配置与补丁管理、网络与通信管理、设备管理、物理与环境管理、供应链管理、安全审计等；
技术措施：建立全面的工控安全技术架构，包含网络与设备监控、入侵检测与防护、系统配置与更新、边界防护、通信保护、安全域划分、应用安全、数据安全、日志管理、病毒与恶意代码防范、物理与环境安全等；
安全意识：建立工控安全培训机制，提升企业整体安全意识，包括法律法规、企业安全制度与流程、安全事件、安全技术等。

威胁与脆弱性管理

情报收集：持续收集与企业工控系统安全相关的新闻、事件及漏洞等信息，作为安全防护的参考和依据；
漏洞扫描：通过专业工具，设计扫描窗口期，对工控系统网络内的设备、组件、系统、通信协议等执行扫描，识别工控系统中的漏洞，并对其风险进行评估和排序，采取相应的应对措施；
渗透性测试：通过专业设计，模拟真实黑客攻击，尝试突破现有安全管控，评估系统抗攻击能力；
通信协议脆弱性分析：通过专业工具，识别工控系统中的通信协议，分析和评估通信协议的脆弱性。

安全应急管理

应急团队建立：组建应急团队，管理和协调企业工控安全应急工作；
风险场景识别：确定工控安全风险场景，包含数据丢失、设备损坏、通信中断、生产停电、自然灾害等；
预案建立：依据所确定的风险场景，结合企业实际情况，制定工控安全事件应急预案；
应急演练：针对应急预案开展演练，并根据演练效果更新应急预案。

随着企业业务战略、生产管理模式，以及信息通信技术等方面的不断发展，工控安全防护体系也应随之调整。此外，工业4.0在推动智能制造的同时，也将推动新兴科技应用于现代化生产，包含物联技术、5G、AI、大数据、云计算等。我们将在后续文章中展望万物互联，探讨物联安全。

参考文献

NIST Special Publication 800-82 – Guide to Industrial Control Systems (ICS) Security

2)《工业控制系统信息安全事件应急管理工作指南》

3)《工业控制系统信息安全防护指南》

4)《信息安全技术网络安全等级保护基本要求》( GB/T 22239-2019)

5)《工业4.0-正在发生的未来》夏妍娜赵胜著

工业控制系统安全系列之五：展望万物互联，协同物联安全

工业4.0概览

自18世纪末，人类用了200多年的时间，将工业生产从蒸汽时代历经电气和信息时代演变到工业4.0智能时代。2011年汉诺威博览会，德国首次提出工业4.0概念，通过将互联网、大数据、云计算、物联网等新兴技术与工业生产相结合，以实现生产智能化。

在工业4.0概念被推出后，引起了世界主流国家和地区的关注及响应，也纷纷根据国情制定了各自的“工业4.0”发展战略，如美国工业互联网和中国制造2025。

德国工业4.0致力于制定以信息物理系统（Cyber-Physical System, CPS）为核心的智能生产标准，推动制造业向智能化转型。

美国工业互联网倡导将人、数据和机器通过物联技术和设备进行连接和管理，实现产品全生命周期的管理和服务，重构产业链各环节的价值体系。

中国制造2025是针对中国国情而提出的战略，综合了创新驱动、绿色发展、结构优化、人才为本的发展战略，推进两化融合（工业化和信息化），围绕控制系统、工业软件、工业网络、工业云服务和工业大数据平台等，加强信息物理系统的研发与应用，向工业强国转型。

企业转型

全球部分先进企业已率先依据各自国家和地区的战略，规划和制定了本企业的工业4.0或类似发展计划。2019年4月，德国汉诺威举办了工业展，依据其官方网站显示，来自全球70多个国家和地区的5000多家厂商参展，分享了各自工业4.0产品及解决方案，包括基于物联技术的智能设备、智能工厂和安全服务等。

美国提出工业互联网概念后，五家龙头企业于2014年成立了工业互联网联盟（Industrial Internet Consortium, IIC），分别是GE, IBM, Cisco, Intel和AT&T。宗旨是规划发展路径、科技赋能、降低技术壁垒、加速产品市场化、促进工业互联网健康发展。依据IIC官方网站显示，截止2019年4月底，全球已有超过200多家企业加入该联盟。以下为部分联盟领先企业当前的一些转型举措：

西门子

工厂数字化转型，利用新兴技术，如人工智能（Artificial Intelligence, AI）、边缘计算（Edge Computing）等，对生产设备进行智能化升级；
Mindsphere（PaaS）物联网开放云端平台，实现虚拟和现实的互联，提供工业应用与数字服务；
工业设备物联，旗下Sinamics产品系列，可通过其通讯模块，将变频器、驱动链和机器设备与Mindsphere相联，实现物理世界和数字世界的互联，以优化分析过程和维护策略；
工业数据化服务，帮助客户实施数字化转型。

博世

Bosch IoT Suite博世物联网套件，提供设备接入、设备管理、访问控制、软件升级、第三方对接以及IoT数据分析等服务；
旗下Escrypt公司提供嵌入式安全产品和解决方案。

2018年底，GE宣布计划成立一家新公司，专注开发工业物联网软件及相关业务，旨在整合GE工业物联网解决方案，包括Predix平台、资产绩效管理(APM)、Historian、自动化(HMI/SCADA)、制造执行系统、运营绩效管理等方案。

Intel

企业智能化解决方案，帮助工业企业应用大数据、推动信息技术（Information Technology, IT）和运维技术（Operational Technology, OT）的融合、应对信息安全威胁。

此外，IBM、Amazon、Microsoft和Hitachi等企业也相继推出了物联相关解决方案。

综上，我们可以看出，在工业4.0大环境下，企业已朝着智能生产、智能工厂、智能产品、数字化转型服务的方向发展，推动工业制造和互联网技术的深度融合。同时，随着物联战略的扩展，物联安全问题也将变得更为复杂和严峻，企业需要花费更多的时间和精力来保障智能生产的安全运作。

国内，在工业和信息化部（简称工信部）的指导下，2016年2月由工业、信息通信业、互联网等领域百余家单位共同发起成立了工业互联网产业联盟（Alliance of Industrial Internet, AII），旨在促进相关主体之间的交流和深度合作，促进供需对接和知识共享，形成优势互补，有效推进工业互联网产业发展，切实解决企业现实问题。自成立以来，会员数量已超过900家，分别从工业互联网顶层设计、技术研发、标准研制、产业实践等领域开展工作，发布多项研究成果，为政府决策和产业发展提供支撑。

未来工业展望

随着工业的快速发展，新兴科技如大数据分析(Big Data Analysis)、云计算(Cloud Computing)、边缘计算、5G网络、物联技术、AI和3D打印技术也将随之大范围应用于工业领域。

传统工业系统架构中，OT与IT设备是独立的，信息是分开的。未来，工业4.0将推动实现物物互联，OT与IT信息互联，促进OT、IT和CT（Communication Technology）的融合，极大程度优化工厂资源配置。

在此进程中，物联技术将成为不可或缺的一部分。当下物联技术较多应用在消费领域，并且已有诸多安全隐患被识别，例如利用特斯拉车载物联设备的安全漏洞，实现远程操控行车状态和门锁等攻击。因此，物联技术在带来诸多便利的同时，也引入了诸多安全风险。相比较消费领域，在更为复杂的工业智能生产领域更应重视物联技术与设备安全问题。

针对物联技术和产品，各国正在研究或已出台物联设备的合规要求和管理指南，如美国已于2019年提交国会审议The IoT Cybersecurity Improvement Act of 2019，中国信息通信研究院于2018年出台了《物联网安全白皮书》、2019年5月中国发布的等保2.0中新增了物联网安全扩展要求，都可以看出全球对于物联安全的重视正不断提升。

普华永道中国认为，除上述生产和产品的数字化转型外，工业4.0亦将推动企业经营理念、管理架构与职能、管理制度与流程等方面的转型和变化。例如，随着OT和IT的融合，IT部门与OT部门在信息安全工作方面将深化协作；随着智能产品的推出，安全管控将被纳入产品全生命周期管理，如产品研发阶段的安全设计、推出市场前的安全测试，以及使用过程中的安全升级等；随着领先企业数字化转型的推进，其将借鉴自身的经验和技术积累，以服务的形式推向市场，协助其他企业加速数据化转型。

人类将迈入万物互联时代，协同物联安全将是未来长期需要关注的领域。