基于等級保護2.0新標準的工業控制系統安全現狀分析

◆王珂

基于等級保護2.0新標準的工業控制系統安全現狀分析

◆王珂

（山東維平信息安全測評技術有限公司 山東 250101）

文章簡述了工控系統的重要性，以等級保護2.0基本要求為安全基線，結合工控安全調研掌握的安全現狀，從安全管理和安全技術兩個方面共10個維度描述了工控系統存在的主要安全問題和可能造成的后果。

等級保護2.0；工控安全現狀；工控安全風險

網絡安全等級保護制度是在以習近平同志為核心的黨中央的堅強領導下，我國網絡安全工作取得的重大成就，是我國網絡安全保障工作的偉大創舉[1]。自2019年5月起，等級保護2.0系列標準陸續發布，特別是《基本要求》[2]和《測評要求》[3]的發布，為新時代網絡安全等級保護工作的開展指明了道路。

工控系統涉及國家能源、交通、水利、電力、智能制造等諸多行業領域，是我國工業領域生產自動化的重要組成部分。近年來，境外敵對勢力和黑客組織為了實現其政治私利，開發了大量針對工控系統的惡意程序，對國家工業制造和經濟發展安全造成了巨大威脅。然而受科技實力的限制、工控安全標準缺失、人員安全意識薄弱等諸多因素影響，工控系統正變得越來越脆弱。本文以等級保護2.0新標準為視角，從基本要求的10個維度來分析工控系統可能面臨的安全風險。

1 安全管理方面風險分析

1.1 安全管理制度方面

完善的網絡安全管理制度是保障生產安全、生命安全甚至國家安全的基石。在安全調研中發現，很多企業沒有制定網絡安全工作的總體方針和策略，更沒有明確各機構、各部門網絡安全工作的總體目標、范圍、原則和安全框架，導致網絡安全工作沒有標準，沒有方向。此外，安全管理制度制定的不細致、不全面也是導致網絡安全工作無法真正落地的原因。例如：某單位制定了密碼管理制度，要求不能使用弱口令且需定期更換，但對密碼的長度、復雜度、定期更換時間等沒有給出明確要求，導致該項制度失去了可操作性。

針對工控系統，需要由專門的部門或者人員負責建立由安全策略、管理制度、操作規程、記錄表單等一系列制度文檔構成的全面的網絡安全管理制度體系，并針對某些制度執行中所暴露出的合理性和實用性方面的問題，定期組織論證和評審修訂。

1.2 安全管理機構方面

2014年2月27日，習近平總書記主持召開中央網絡安全和信息化領導小組第一次會議，并親自擔任中央網絡安全和信息化領導小組組長。這體現了網絡安全工作的重要性，也明確了網絡安全工作必須是一把手負責制。然而，工控系統的責任單位多為生產部門，但是生產部門重生產、輕安全的思想嚴重，在網絡安全關鍵崗位上配備的人員數量明顯不足，往往是系統管理員、審計管理員、安全管理員等崗位均由一人兼職擔任。甚至，直到今日還有很多單位還沒有成立指導和管理網絡安全工作的委員會或領導小組，沒有設立網絡安全管理工作的職能部門。

1.3 安全管理人員方面

工控系統的專業性、特殊性和重要性決定了我們必須提高安全管理人員的水平。在企業中，安全管理制度執行不到位的情況時有發生，懂生產的人不一定懂安全，懂安全的人又不一定懂工控，這些實際情況給我們的工控系統帶來很大的安全風險。

在人員錄用時，很多企業沒有針對人員的身份、背景、專業資格進行審查，沒有對關鍵崗位人員的專業技術能力進行考核并簽署保密協議與崗位責任協議。在工作中，沒有面向全員開展網絡安全意識教育和崗位技能培訓，針對工控系統網絡安全運維及管理部門也沒有著重提升其專業技術水平。當人員離崗時，很多企業沒有及時終止離崗人員的全部權限，收回各種身份證件、鑰匙以及機構提供的各種軟硬件設備，也沒有簽署離崗保密承諾書等。

1.4 安全建設管理方面

當前，絕大多數的工控系統還沒有按照等級保護制度要求，確定等級保護對象，開展等保定級、備案以及測評等工作。有的企業雖然開展了測評工作，但是沒有針對測評中發現的問題進行整改，導致測評工作失去了意義。特別是新建工控系統，如果在規劃設計階段沒有按照等級保護相應級別的要求選擇對應的安全防護措施，那么在后續整改時將會付出巨大的代價。

很多工業企業進行項目外包時，沒有與外包公司及控制設備提供商簽署保密協議或合同，項目重要建設過程及內容被用于宣傳及案例復用，造成企業敏感信息被泄露。在工控設備采購時，企業缺少針對工控產品進行安全檢測的途徑和手段，無法準確判斷系統固件、程序是否存在后門及惡意代碼。在網絡安全產品、密碼產品和服務的采購及使用方面，也沒有選擇經過國家專業機構或部門檢測、認定的產品。

在軟件開發方面，很多系統存在開發環境和生產環境沒有隔離的問題，交付前也沒有委托第三方進行安全檢測。在外包開發時，開發單位既沒有提供應用系統安全的證明文件，也沒有提供應用系統的源代碼，從而導致無法進行代碼安全審計工作。

1.5 安全管理機構方面

安全運維工作是保障工控系統安全平穩運行的關鍵。但是，很多企業并沒有按照安全管理制度的要求，安排專人定期對機房物理環境、設備運行情況、通信線路等進行安全巡檢，并形成紙質或者電子記錄以備后查。很多單位雖然進行了巡檢工作，但巡檢內容較少，導致運維工作不夠全面、細致。

在應對可能出現的風險和隱患時，還缺少安全事件報告和處置制度。同時，很多企業沒有制定完備的網絡安全應急預案，或有應急預案但缺乏必要的演練測試環境。在外包運維時，則缺少與外包運維服務商簽訂的保密協議，或合同中沒有明確雙方的責任與義務等。在數據安全管理方面，沒有定期對各種配置信息、業務信息、系統數據等進行安全備份，導致重要數據在系統故障時損壞或者丟失。

2 安全技術方面風險分析

2.1 安全物理環境方面

工控系統的機房一般都位于生產車間，物理環境相比傳統信息系統機房要差，主要存在以下幾個共性問題。首先，工控機房未安裝電子門禁也未安排專人值守，無法鑒別、記錄進出機房的人員。其次，機房內未部署火災自動消防系統，無法在火災發生時自動滅火。再次，部分機房不具備溫濕度調節功能，也未安裝環境監測系統，無法及時感知機房環境的變化。

在室外，部分RTU（遠程終端單元）等現場控制設備存在物理防護不到位的情況。部分設備放置在簡易裝置中，不具備防火、防雨、防盜和抵御電磁干擾的能力，對控制設備的安全運行帶來嚴重威脅。

2.2 安全通信網絡方面

隨著兩化融合的不斷推進，工控系統也逐漸朝著規模化、網絡化發展，工控網絡的數據也需要向企業其他系統進行傳遞，很多工控設備不但支持工控協議，還支持以太網和基于TCP/IP的通信標準，在方便的同時也為工控系統帶來了更大的安全威脅。

（1）從協議上看，工控系統大多使用專用的協議進行數據傳輸，為了提高數據傳輸效率，保證網絡的高效性，工控協議在設計時一般都忽略了安全性。以Modbus TCP協議為例，協議本身沒有認證機制、沒有權限區分，數據傳輸也是明文的，在特定的情形下還存在拒絕服務攻擊漏洞。最危險的是，大多數工控協議是為編程控制器設計的，通過修改功能碼，可以用來向PLC或RTU發送各種控制指令，也包括惡意代碼。

（2）從網絡架構上看，原則上工控系統的數據只允許單向傳遞給企業其他系統，而企業其他系統不能向工控系統傳輸控制指令或數據。然而實際上很多工控系統與企業其他系統沒有劃分不同的區域，區域間缺少必要的技術隔離手段，黑客可以從互聯網直接入侵到工控網絡。在工控系統內部，很多企業沒有按照功能和業務的特點劃分不同的安全域，安全域間也未采用安全設備或虛擬局域網等技術進行隔離，一旦工控系統的某一點被帶入類似“震網（ Stuxnet）”病毒一樣的惡意代碼，將會感染整個工控網絡。

（3）從通信傳輸上看，石油化工、供水、供氣等行業領域大量使用SCADA（數據采集與監控）系統進行遠程監視控制。這類系統一般分布范圍較廣，遠距離管道運輸甚至高達幾千公里。這些管道上部署的控制設備、儀器儀表的控制指令和數據就要依托于廣域網絡進行傳輸，但實際上通信鏈路和數據本身都缺少必要的身份認證、訪問控制和加密手段，導致非授權用戶可以進入工業控制網絡，篡改控制指令，竊取通信數據。

2.3 安全區域邊界方面

安全區域邊界在等級保護1.0時代歸屬于網絡安全部分，現在單獨成類足以證明邊界安全的重要性。在工控系統中，符合要求的安全區域邊界不僅要部署齊全的邊界安全防護設備，更重要的是結合安全管理制度，配置最優的訪問控制策略。

（1）在安全設備選擇上，很多企業在工控系統中使用傳統信息網絡中的安全設備，這是不可行的。以防火墻設備為例：為了提高安全防護能力，傳統防火墻在發展過程中增加了很多新的功能，這些新功能的應用必然會影響到防火墻的性能和速度。防火墻的安全性越高，需要對數據包拆包檢查的項目就越多，對CPU、內存等資源的消耗就越大，從而導致防火墻整體性能的衰減，這一點與工控系統低延時、高可靠性的要求是相背離的。

工控系統內部承載著大量的工控協議，傳統的網絡安全設備無法識別這些協議。此外，某些工控協議的端口是隨機的，例如：OPC的遠程通信依賴DCOM配置，DCOM通信是基于TCP/UDP的，所使用的端口是動態的，傳統防火墻無法實現這種狀態下的策略配置。

（2）在入侵防范上，很多工控系統沒有針對工控協議的入侵檢測或入侵防御的能力。按照等保2.0要求，需要在關鍵網絡節點處檢測、防止或限制從內部或外部發起的攻擊行為。這就要求不但要提防來自外部的攻擊，也不能忽視來自內部違反安全策略的操作行為。

（3）在無線通信方面，隨著無線通信技術的發展和應用，很多工控系統都采用了無線通信技術，但是無線網絡沒有建立身份認證機制、通信線路不安全、通信報文沒有進行加密處理等問題，都直接影響無線通信網絡數據的機密性和完整性。

此外，在日常環境中還存在著大量的無線信號干擾源，例如：2.4GHz為工業、科學和醫學ISM開放頻段，使用此頻段的設備如微波爐、藍牙、紅外傳感器甚至熒光燈鎮流器等都會產生干擾。而5GHz頻段的干擾雖然目前較少，但越來越多的設備開始使用此頻段，如雷達、無線傳感器、數字衛星等。如何識別、規避這些干擾，也是工控領域無線通信亟待解決的問題。

2.4 安全計算環境方面

工控系統內部除了具有工程師站、操作員站、各種服務器等傳統設備外，還包含各種工業控制設備和儀器儀表。既部署了各種傳統應用系統和數據庫，也運行了大量的工控專用組態軟件。無論哪個部分，都存在著諸多安全隱患。

（1）在工控設備層面，工控系統使用的各種控制設備和儀器儀表大部分都是西門子、施耐德、羅克韋爾等國外廠商的產品。設備本身的固件、程序是否安全，目前還缺少專業機構安全檢測。同時，這些設備并不是按照我國的安全標準開發設計的，很多固件本身就無法實現等級保護中關于身份鑒別、訪問控制和安全審計等方面的要求。

近年來，各種工控設備在固件和程序上都爆出了不少的安全漏洞，想要修復這些漏洞就需要向廠家支付高額的升級費用，而自行升級又可能給工控系統帶來兼容性、穩定性方面的問題，很多企業為了保證生產，選擇了“帶病”運行。

（2）在系統和應用層面，很多工程師站、操作員站以及各種服務器還在使用Windows XP、Windows Server 2003等老舊操作系統，這些系統上部署了各種組態軟件、數據庫等應用系統。為了確保操作系統和應用系統兼容性，一般不會對這些系統進行更新、升級等操作。

在工控系統中，還缺少“白名單”機制的安全防護手段或者主動免疫可信驗證機制。目前，很多企業采用傳統的殺毒軟件進行主機安全防護，這些軟件資源占用大，且無法及時更新病毒庫，針對組態軟件和工控應用還存在誤殺、誤報的風險。

（3）在接口安全層面，很多控制設備、上位機等都沒有關閉或拆除軟驅、光驅、USB口、多余網口等物理接口。也沒有部署相應的安全產品來實現對這些接口的管控，稍有不慎就會將病毒、木馬等惡意代碼帶入到工控網絡中。

2.5 安全管理中心方面

等級保護2.0提出了“一個中心，三重防護”的安全規劃，一個中心就是安全管理中心。通過安全管理中心我們要實現整個系統的統一管理、統一運維、統一審計等核心功能。但是，目前來看很多工控系統在網絡架構和硬件配備上都不能滿足安全管理中心的要求。

（1）在網絡架構方面，大多數工控系統都沒有規劃安全管理中心這一特定的區域，沒有通過防火墻、交換機等設備建立起一條安全的信息傳輸路徑，從而實現對網絡中各種設備和組件的安全管控。

（2）在統一管理方面，大多數工控系統都沒有部署綜合網管系統，不能實現對物理環境、網絡運行情況、設備運行狀態的集中監測；沒有部署集中安全管控系統，不能實現對服務器、終端等設備的安全策略配置、補丁升級、病毒查殺等安全事項的集中管理。

（3）在統一運維方面，很多企業都沒有部署網絡安全監測系統，無法實時檢測針對工控協議的網絡攻擊、惡意代碼傳播、用戶的誤操作等行為，無法在出現上述情況時進行及時報警；沒有部署運維管理系統，不能實現管理員操作權限的分配和身份鑒別，也不能實現對整個運維管理過程中操作過程的記錄。

（4）在統一審計方面，很多企業沒有部署日志審計系統，認為日志審計僅僅是為了滿足《網絡安全法》[4]中日志保存不少于6個月的條款要求。其實這樣的觀點是錯誤的，安全審計不僅可以幫助我們分析系統中各種設備的運行狀況，還可以在違規操作或攻擊行為發生后提供有效的事后追溯手段和攻擊證據。更重要的是，可以對攻擊者起到震懾或警告的作用，同時海量的審計數據還可以為我們提供新型網絡攻擊行為的安全態勢感知。

3 結束語

當前，工業控制系統面臨著巨大的安全風險，如何將等級保護2.0的安全理念融入工控系統的建設、整改中去，減少后續安全改造的投入，降低系統運行后的網絡安全風險，是我們需要關注的重點。本文以等級保護2.0基本要求和工業控制系統安全擴展要求為基礎，結合實際情況從管理和技術兩方面共10個維度來分析當前工控系統存在的主要安全問題，對于今后工控系統的規劃建設、安全檢查、自查自糾等工作都具有現實參考意義。

[1]郭啟全. 網絡安全等級保護制度中國網絡安全保障工作的偉大創舉[R].北京：公安部第三研究所、公安部第一研究所，2019.

[2]GB/T 22239-2019 信息安全技術網絡安全等級保護基本要求[S].北京：中國標準出版社，2019.

[3]GB/T 28448-2019 信息安全技術網絡安全等級保護測評要求[S].北京：中國標準出版社，2019.

[4]全國人民代表大會常務委員會.中華人民共和國網絡安全法[Z].2016-11-07.