軌道交通制造企業(yè)的工業(yè)控制系統(tǒng)信息安全問題及對策

軌道交通制造企業(yè)的工業(yè)控制系統(tǒng)信息安全問題及對策

中車戚墅堰機車有限公司 杜 蘭

1 引言

中車戚墅堰機車有限公司（以下簡稱戚墅堰公司或公司）是一家典型的軌道交通制造企業(yè)，主營內(nèi)燃機車新造及修理業(yè)務(wù)。作為國家重要的軌道交通裝備制造企業(yè)，戚墅堰公司承擔(dān)著國家內(nèi)燃機車的制造任務(wù)，為自身創(chuàng)造利潤，也為國家的內(nèi)燃機車走向世界付出努力。在不斷優(yōu)化生產(chǎn)結(jié)構(gòu)，提高生產(chǎn)力的同時，戚墅堰公司開展了兩化深度融合、智能制造工作，引進了一大批國內(nèi)外先進的數(shù)控設(shè)備和技術(shù)，如德國西門子的數(shù)控車床、數(shù)控磨床，日本馬扎克的數(shù)控加工中心等。公司發(fā)現(xiàn)企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)之間的數(shù)據(jù)交互越來越多，管理網(wǎng)與工業(yè)控制網(wǎng)之間完全隔離已不再可能；國外廠商對數(shù)控設(shè)備的遠程和現(xiàn)場運維存在著數(shù)據(jù)泄露的安全隱患；傳統(tǒng)IT系統(tǒng)面臨的信息安全問題，正在不斷延伸到工業(yè)控制系統(tǒng)中。此外，2010年“震網(wǎng)”病毒入侵伊朗核電站、2011年大慶石化煉油廠裝置控制系統(tǒng)感染Conficker病毒、2015年烏克蘭電網(wǎng)遭到攻擊等國內(nèi)外的一系列工業(yè)控制系統(tǒng)信息安全事件也給公司敲響了警鐘。基于此，戚墅堰公司針對企業(yè)自身特點，對工業(yè)控制系統(tǒng)信息安全問題進行了識別和分析并制定了相應(yīng)的對策。

2 工業(yè)控制系統(tǒng)信息安全問題和風(fēng)險分析

工業(yè)控制系統(tǒng)是由各種自動化控制組件和實時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構(gòu)成。其組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)、分布式控制系統(tǒng)、可編程邏輯控制器、遠程終端、智能電子設(shè)備，以及確保各組件通信的接口技術(shù)。工業(yè)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)的環(huán)境和應(yīng)用場景存在著許多不同，例如，工業(yè)控制系統(tǒng)資源有限，與物理世界存在交互關(guān)系，對穩(wěn)定性、可用性和實時性要求極高，生命周期長等。這些都導(dǎo)致企業(yè)無法將成熟的IT信息安全技術(shù)直接應(yīng)用于工業(yè)控制系統(tǒng)的信息安全保護。工業(yè)控制系統(tǒng)信息安全問題主要有：

（1）智能制造帶來的安全風(fēng)險問題。開展智能制造的工作過程中通常需要進行生產(chǎn)過程的實時數(shù)據(jù)采集和系統(tǒng)控制，企業(yè)會通過邏輯隔離的方式實現(xiàn)工業(yè)控制系統(tǒng)與企業(yè)管理系統(tǒng)之間的連接和數(shù)據(jù)交換，有時系統(tǒng)間還需要集成。企業(yè)管理網(wǎng)和工業(yè)控制網(wǎng)之間、工業(yè)控制網(wǎng)絡(luò)區(qū)域間如果沒有進行有效地分區(qū)、隔離、異常監(jiān)測、訪問控制等防護措施，很容易造成一點發(fā)生病毒或攻擊，影響全部車間甚至整個企業(yè)網(wǎng)絡(luò)。

（2）設(shè)備維修時筆記本電腦接入問題。工業(yè)控制系統(tǒng)進行運行維護時經(jīng)常會接入筆記本電腦，沒有達到一定安全基線的筆記本接入工業(yè)控制系統(tǒng)后會有很大的安全隱患。第三方人員（尤其是國外人員）在運維高精類機床等數(shù)控設(shè)備時可能會造成重要數(shù)據(jù)信息的泄露，對企業(yè)甚至是國家造成巨大損失。并且，相關(guān)人員的操作沒有進行審計記錄，一旦發(fā)生安全事件后很難取證。

（3）使用U盤、光盤導(dǎo)致病毒傳播問題。工控系統(tǒng)中的管理終端一般都沒有技術(shù)措施進行外設(shè)的有效管理，U盤和光盤的無序使用會引發(fā)數(shù)控等設(shè)備被感染病毒或惡意代碼，進而嚴重影響生產(chǎn)的產(chǎn)量、質(zhì)量及效率。

（4）操作系統(tǒng)的安全漏洞問題。目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站、操作站、HMI都是Windows操作系統(tǒng)，考慮到工控軟件與操作系統(tǒng)補丁的兼容性問題，工控系統(tǒng)開車后基本上不會對操作系統(tǒng)安裝任何補丁，操作系統(tǒng)存在的漏洞不能及時彌補，容易被攻擊。

（5）殺毒軟件安裝及升級更新問題。為了保證工控軟件的可用性，許多工控系統(tǒng)操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也基本不會進行更新，因為有些更新可能會違反控制系統(tǒng)的設(shè)定規(guī)則，造成控制系統(tǒng)無法正常運行。所以，工業(yè)控制系統(tǒng)抵御外界攻擊的能力較弱。

（6）通訊協(xié)議漏洞問題。OPC協(xié)議在工業(yè)控制系統(tǒng)中廣泛使用，而OPC協(xié)議是基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò)安全問題被廣泛認識之前設(shè)計的，極易受到攻擊。另外，OPC協(xié)議通訊采用不固定的端口號，導(dǎo)致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。

（7）工業(yè)無線網(wǎng)絡(luò)的安全風(fēng)險問題。無線網(wǎng)絡(luò)在工業(yè)現(xiàn)場大量使用，黑客可以通過無線網(wǎng)絡(luò)進行入侵，進而從生產(chǎn)控制服務(wù)器竊取資料，甚至可以通過生產(chǎn)控制系統(tǒng)入侵到企業(yè)管理系統(tǒng)進而竊取商業(yè)秘密數(shù)據(jù)。

3 工業(yè)控制系統(tǒng)信息安全問題對策

針對工業(yè)控制系統(tǒng)存在的安全問題和風(fēng)險，戚墅堰公司采取了積極的應(yīng)對措施，對工業(yè)控制網(wǎng)絡(luò)進行安全區(qū)域劃分，對工業(yè)控制系統(tǒng)進行安全防護，目標(biāo)是建立起企業(yè)的工業(yè)控制系統(tǒng)信息安全保障體系（如圖1所示），減少企業(yè)的信息安全事件，保障商業(yè)秘密不外泄。

圖1 戚墅堰公司工業(yè)控制系統(tǒng)信息安全保障體系

3.1 工業(yè)控制網(wǎng)絡(luò)安全區(qū)域劃分

公司進行了以機床為核心的工業(yè)控制網(wǎng)絡(luò)區(qū)域劃分，按照等級保護的基本要求，以“縱向分層、橫向分區(qū)”的主導(dǎo)思想，將縱向分為管理執(zhí)行層、生產(chǎn)控制層、現(xiàn)場設(shè)備層。橫向從網(wǎng)絡(luò)功能的角度進行分區(qū)，如技術(shù)中心為一個安全區(qū)，服務(wù)器區(qū)為一個安全區(qū)、辦公區(qū)為一個安全區(qū)。現(xiàn)場設(shè)備層的車間從地理區(qū)域的角度進行劃分，如車間1為一個安全區(qū)，車間2為一個安全區(qū)。在安全區(qū)域劃分的同時明確第三方運維人員的運維方式，明確運維連接的接口，遠程運維人員通過SSLVPN訪問現(xiàn)場故障設(shè)備。

3.2 工業(yè)控制系統(tǒng)信息安全防護

對安全區(qū)域劃分的縱向各層和橫向各區(qū)配備專業(yè)的工業(yè)控制安全設(shè)備和軟件進行安全防護，如圖2所示。

圖2 戚墅堰公司工業(yè)控制系統(tǒng)信息安全防護拓撲圖

現(xiàn)場設(shè)備層的安全防護。主要是針對數(shù)控機床進行安全防護，在數(shù)控機床前部署CNC防護裝置，拒絕對數(shù)控機床的不合法連接，阻止非法入侵與攻擊。對數(shù)控機床訪問進行控制，明確訪問的目的地址與源地址，防止非法訪問。在現(xiàn)場設(shè)備層部署設(shè)備運維審計系統(tǒng)，對公司內(nèi)部或遠程運維的行為進行記錄和審計，為發(fā)現(xiàn)和追溯信息安全問題提供有效手段，彌補短時期內(nèi)不能將國外數(shù)據(jù)機床等工控設(shè)備替換為國內(nèi)工控設(shè)備的風(fēng)險。

生產(chǎn)控制層的安全防護。對生產(chǎn)控制層的網(wǎng)絡(luò)安全防護主要是對邊界進行訪問控制，部署工業(yè)安全網(wǎng)關(guān)，對網(wǎng)絡(luò)內(nèi)部進行異常監(jiān)測，防止網(wǎng)絡(luò)邊界不清晰導(dǎo)致病毒進入工控網(wǎng)中，及時發(fā)現(xiàn)網(wǎng)絡(luò)異常行為。部署工控漏洞掃描系統(tǒng)，及時發(fā)現(xiàn)工控系統(tǒng)漏洞。對生產(chǎn)控制層的主機安全防護主要是對工作站主機進行保護。對工控系統(tǒng)的所有網(wǎng)絡(luò)設(shè)備、主機設(shè)備、中間件等進行基準(zhǔn)的安全要求核查。對生產(chǎn)控制層的數(shù)據(jù)的保護，主要是通過部署惡意代碼監(jiān)測系統(tǒng)和敏感信息檢測系統(tǒng)，對多種類型的文件、多種報警方式進行深度掃描和分析，識別出可能存在的0DAY漏洞和NDAY漏洞，進行相應(yīng)處置。

3.3 建立工業(yè)控制信息安全管理平臺

按照等級保護安全技術(shù)設(shè)計要求，建立工業(yè)控制信息安全管理平臺。平臺能夠直接收集工業(yè)交換機及工業(yè)控制應(yīng)用系統(tǒng)的信息，包括流量、時間、工控協(xié)議等元素，能夠分析工控網(wǎng)絡(luò)中的設(shè)備互聯(lián)情況，建立白名單規(guī)則，及時有效地發(fā)現(xiàn)異常并報警。與傳統(tǒng)的管理網(wǎng)絡(luò)安全管理平臺不同，工業(yè)控制信息安全管理平臺更加適應(yīng)工控網(wǎng)絡(luò)的特性，不再以日志為主要分析手段，而是采用“流行為”分析為主、事件分析為輔的技術(shù)路線，通過安全監(jiān)控、風(fēng)險分析、流秩序監(jiān)控三大方面來描述網(wǎng)絡(luò)安全狀況。

3.4 建立工業(yè)控制網(wǎng)絡(luò)攻防試驗室

攻防試驗室從結(jié)構(gòu)、功能、安全防護部署等幾個方面考慮，符合行業(yè)應(yīng)用現(xiàn)狀和使用模式，具有支撐主流數(shù)控系統(tǒng)或典型控制器、漏洞檢測服務(wù)、攻擊演示、檢測保護驗證等功能。

攻防試驗室可以模擬來自互聯(lián)網(wǎng)的或來自公司內(nèi)部網(wǎng)絡(luò)的攻擊。模擬的場景主要有：（1）內(nèi)部人員在公司網(wǎng)絡(luò)中的計算機上插入U盤，自動運行程序，修改DNC服務(wù)器數(shù)據(jù)庫中的NC代碼，導(dǎo)致機床產(chǎn)生不合格產(chǎn)品；竊取NC程序及與生產(chǎn)相關(guān)的保密信息。（2）遠程或現(xiàn)場運維人員通過網(wǎng)絡(luò)接口獲取到機床內(nèi)存儲的具有商業(yè)秘密的重要工藝數(shù)據(jù)。

當(dāng)加入安全防護設(shè)備后，重復(fù)以上兩種攻擊行為，兩種攻擊都會被阻斷。攻擊和阻斷的效果可以在大屏幕上直觀顯示，反映出生產(chǎn)場景的實際威脅。通過攻防演示，有效提高人們對工業(yè)控制系統(tǒng)信息安全的認識，增強主動防御意識。

3.5 安全意識培養(yǎng)和制度建設(shè)

除了采取相應(yīng)的安全防護技術(shù)，公司在管理上進行了大量的工作。一方面，通過宣傳和培訓(xùn)加強員工的安全意識，在日常工作中盡量避免操作上的不安全性，如在工控設(shè)備上隨意使用U盤、工作站不設(shè)置密碼或設(shè)置的密碼過于簡單等。另一方面，按照國際SP800-82標(biāo)準(zhǔn)和國家等級保護標(biāo)準(zhǔn)，在技術(shù)防護措施基礎(chǔ)上，建立相應(yīng)的安全管理制度，從組織人員、物理及環(huán)境、應(yīng)急預(yù)案、運維管理幾個方面保障在制度層面對工業(yè)控制系統(tǒng)有完整的保護措施。

4 結(jié)語

信息安全工作永無止境，戚墅堰公司還在不斷探索如何將工業(yè)控制系統(tǒng)信息安全的風(fēng)險進一步降低。安全無小事，工業(yè)控制系統(tǒng)信息安全更不是小事。企業(yè)的生產(chǎn)系統(tǒng)和管理系統(tǒng)中都包含著大量數(shù)據(jù)，有些甚至是商業(yè)秘密。這些數(shù)據(jù)中既有生產(chǎn)中涉及到的工藝配方，也有涉及到生產(chǎn)結(jié)果的數(shù)據(jù)。只有保證企業(yè)的工業(yè)控制系統(tǒng)信息安全，才能避免這些商業(yè)秘密不外泄。

杜蘭（1978-），女，高級工程師，碩士，現(xiàn)任中車戚墅堰機車有限公司信息管理部信息技術(shù)副主任，主要負責(zé)企業(yè)信息化規(guī)劃、管理信息系統(tǒng)建設(shè)和運維、兩化融合管理體系、工業(yè)控制系統(tǒng)信息安全等工作。