1、2015 綠盟科技工控安?？蚣馨灼?015 NSFOCUS ICS Security Framework Whitepaper 2016 綠盟科技關于綠盟科技北京神州綠盟信息安全科技股份有限公司（簡稱綠盟科技）成立于 2000 年 4 月，總部位于北京。在國內外設有 30 多個分支機構，為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶，提供具有核心競爭力的安全產品及解決方案，幫助客戶實現業務的安全順暢運行?；诙嗄甑陌踩シ姥芯?，綠盟科技在網絡及終端安全、互聯網基礎安全、合規及安全管理等領域，為客戶提供入侵檢測 / 防護、抗拒絕服務攻擊、遠程安全評估以及 Web 安全防護等產品以及

2、專業安全服務。北京神州綠盟信息安全科技股份有限公司于 2014 年 1 月 29 日起在深圳證券交易所創業板上市交易。股票簡稱：綠盟科技 股票代碼：300369關于作者王曉鵬Email: 綠盟科技工控安全項目總監，長期從事工控安全研究，具有多年的工控安全項目經驗，參與多項國家工控安全標準的制定；工控安全產業聯盟理事、 國家工控安全工程實驗室技術專家委員。 侯云曉綠盟科技高級咨詢顧問，長期從事工控安全研究，參與并主持工業控制系統相關的安全服務解決方案開發，參與多項針對大型工控設施的安全評估和咨詢服務。 馮沖Email: 綠盟科技煙草行業資深安全顧問，主持和參與多項煙草行業的信息安全規劃和建設項目

3、。 王濤Email: 綠盟科技能源行業安全顧問，主持和參與多項能源行業的信息安全規劃和建設項目。目錄01 工業控制系統安全新態勢 11.1 工業信息化的新態勢 21.1.1工業 4.0 21.1.2能源互聯網 21.1.3“互聯網 +”時代的工控安全 31.2 工業控制系統安全的新態勢 31.2.1國際安全形式的變化 41.2.2國家政策的指引 51.2.3工業控制系統安全需求的變化 602 工業控制系統安全技術演進路線圖 72.1 攻擊技術路線 82.2 工控安全技術的發展 92.3 總體安全保障框架 112.4 電力行業工控安全解決思路 / 保障框架 122.4.1火電控制系統邏輯架構 1

4、22.4.2主要控制系統之間的邏輯關系 132.4.3發電控制系統面臨的主要安全威脅 142.4.4安全防護的原則 162.4.5安全防護的思路 172.5 石油、石化行業安全解決思路 / 保障框架 202.5.1石油石化行業綜述 202.5.2油氣田工業控制系統現狀 212.5.3安全風險分析 232.5.4安全防護思路 262.6 煙草行業安全解決思路 262.6.1卷煙生產應用系統架構 272.6.2煙草工業企業生產網架構 282.6.3煙草行業工業控制安全風險描述 292.6.4煙草工業控制網絡安全防護思路 3503 總結 403.1 工控安全發展綜述 4004 附錄 41縮略語中英文

5、對照41如果您需要了解更多信息，請聯系：綠盟科技歷次工控安全報告掃描二維碼，在線看報告根據 2014 年 ICS-CERT 發布的數據，工業控制系統硬件制造行業發生的網絡滲透事件高達65 例，占總比的 27%。其 2014 的年度報告顯示，在所有的攻擊事件中，55% 的被調查事件顯示，高級持續性威脅被用于攻擊工業控制系統的安全漏洞。另有部分安全風險來自黑客活動、網絡罪犯以及機構的內部威脅。從 2010 年震網病毒事件到 2015 年烏克蘭電力攻擊事件，綠盟科技持續跟蹤分析這些工控系統安全事件中，并陸續發布多份工控安全研究報告，同時持續與合作伙伴一起進行深入實踐。在多年沉淀和經驗積累后，綠盟科技

6、總結出工業控制系統的攻擊路線圖，并在此基礎上給出工控系統總體安全保障框架，該框架基于綠盟科技對工控系統安全需求的理解，結合國內工控安全的規范要求及國外相關標準內容，提出從技術、管理和運行三個維度來保障工控系統安全，這些維度包含網絡邊界防護、安全縱深防護、安全運行管理和安全管理制度要求等幾個方面， 涉及從上線前的安全檢測、 安全能力部署、 安全運行三個階段，覆蓋工業控制系統運行周期的安全保障。本次白皮書還著重分析了電力行業、石油石化行業、煙草行業工控安全面臨的主要威脅，并給出了解決思路及保障框架，為保障業務順利進行提供了建設性意見，強烈推薦該行業從業人員了解并探討。序列報告主題研究內容第 1 報

7、告工控安全問題漏洞及威脅第 2 報告工控安全性分析協議、漏洞及攻擊場景第 3 報告工控安全威脅APT 及變電站、自來水廠業務環境第 4 報告工控安全發展態勢政策、行業、廠商及生態環境本次報告工控安?？蚣芗夹g演進、電力、石油石化及煙草生產系統內容提要01 工業控制系統安全新態勢0122015綠 盟 科 技 工 控 安 保 框 架白皮書NSFOCUS ICS Security Framework Whitepaper1.1 工業信息化的新態勢1.1.1 工業 4.01.1.2 能源互聯網能源是現代社會賴以生存和發展的基礎，隨著社會的快速發展，建立在傳統石化能源基礎上的能源發展方式已經難以為繼， 從

8、當前和長遠看， 要實現能源的可持續發展， 研究和解決世界能源發展問題， 各國都在積極研究新型能源技術，以及對于可再生能源的有效利用方式，“能源互聯網”概念由此應運而生。目前對能源互聯網的普遍認識是綜合運用先進的電力電子技術、信息技術和智能管理技術，將大量由分布式能量采集裝置、分布式能量儲存裝置和各種類型負載構成的新型電力網絡、石油網絡、天然氣網絡等能源節點互聯起來 , 以實現能量雙向流動的能量對等交換與共享網絡。在 能源互聯網中將運用先進的傳感器、控制和軟件應用程序，將能源生產端、能源傳輸端、能源消費端的數以億計的設備、機器、系統連接起來，形成能源互聯網的“物聯基礎”。大數據分析、機器學習和預

9、測等技術將成為能源互聯網實現生命體特征的重要技術支撐，能源互聯網通過整合運行數據、天氣數據、氣象數據、電網數據、電力市場數據等多種類型的海量數據，進行大數據分析、負荷預測、發電預測、機器學習，打通并優化能源生產和能源消費端的運作效率，需求和供應將可以進行隨時的動態調整。能源互聯網目前還在規劃和嘗試建設階段，未來能源互聯網必將成為社會生活的重要組成部分，為社會的發展提供有力的推動。由于其對移動互聯網等 IT 技術的應用，以及其數據的巨大價值，其必將成為安全攻擊的重要目標，因此需要在規劃和建設的初期就對其可能面臨的安全風險進行分析，并同步規劃應對的安全防范措施。在 2011 年德國舉辦的工業設備展

10、覽會“漢諾威工業博覽會 2011”上“工業 4.0”的概念被首次提出，在兩年后的“漢諾威工業博覽會 2013”上發布了最終報告，開始實施“工業 4.0”的國家戰略。德國作為制造業大國，希望在未來制造業的各個環節中通過應用互聯網技術， 將數字信息與現實社會之間的聯系可視化， 將生產工藝與管理流程全面融合。由此實現智能工廠，并生產出智能產品。與此同時美國也提出了 “工業互聯網” 的概念， 其將關注點放在設備互聯、 數據分析、 以及數據基礎上對業務的洞察，希望利用互聯網使傳統的工業互聯互通，并著力關注云計算和大數據技術在此過程中的運用?？梢钥吹?，雖然德國的工業 4.0 與美國的工業物聯網的實施路徑、

11、邏輯思路、發展重點都有所區別，但究其根本他們的目標是一致的，就是實現智能制造，實現互聯網技術和工業的融合。我國政府在制定“中國制造 2025”的過程中，也緊盯新一輪產業發展的潮流，并結合我國國情選擇了更易實現的工業 4.0 路徑，與德國開展多領域的廣泛、豐富的合作，大力發展工業現代化，力求將我國的工業 2.0、3.0 一起并聯的到工業 4.0。隨著國際國內工業互聯網、工業 4.0、中國制造 2025 戰略的提出，工業生產的數字化已然成為一種不可阻擋的未來趨勢，高度融合 IT 技術的工業自動化應用將會得到迅速而廣泛的使用，對于工業控制系統的信息安全的關注也將達到前所未有的高度和廣度。2015 綠

12、 盟 科 技 工 控 安 保 框 架3白皮書1.2 工業控制系統安全的新態勢1.1.3 “互聯網 +”時代的工控安全工業控制系統廣泛用于冶金、 電力、 石油石化、 核能等工業生產領域， 以及航空、 鐵路、 公路、 地鐵等公共服務領域，是國家關鍵生產設施和基礎設施運行的“中樞”。從工業控制系統自身來看，隨著計算機和網絡技術的發展，尤其是信息化與工業化深度融合，工業控制系統越來越多地采用通用協議、通用硬件和通用軟件，通過互聯網等公共網絡連接的業務系統也越來越普遍， 這使得針對工業控制系統的攻擊行為大幅度增長， 也使得工業控制系統的脆弱性正在逐漸顯現，面臨的信息安全問題日益突出。2010 年的“震網

13、”病毒、2012 年的超級病毒“火焰”、2014 年的 Havex 病毒等等專門針對工業控制系統的病毒爆發給用戶帶來了巨大損失，同時直接或間接地威脅到國家安全。2015 年發生的烏克蘭電力遭受攻擊事件看到，在不需要利用復雜攻擊手段、不需要完整還原業務系統運行過程的情況下，就可以達到對工控系統的運行影響。從實際的攻擊過程看，攻擊的成本在降低，而攻擊所帶來的影響在進一步加重。我國政府在今年年初提出了“互聯網”行動計劃，推動生產制造模式的變革，產業的組織創新以及產業結構升級。隨著該計劃的推進網絡和信息技術將滲透到各個傳統的行業，使得傳統行業的基礎設施能夠進行遠程的智能化控制和操作。通過傳統行業與互聯

14、網技術的結合就形成了物聯網、工業互聯網、信息物理系統、智慧城市等新興領域，究其核心就是網絡互連。在網絡互連的大背景下，工業控制系統的互連已經成為不可避免的趨勢。通過網絡互連一方面可以提高生產力和創新能力，減少工業能源及資源消耗，助力產業模式轉型升級；但另一方面也會因為網絡互聯而誘發一系列網絡安全問題。工業控制系統設計之初是為了完成各種實時控制功能，并沒有考慮到安全防護方面的問題，通過網絡互聯將他們暴露在互聯網上，無疑將給他們所控制的關鍵基礎設施、重要系統等都帶來巨大的安全風險和隱患。從近幾年網絡攻擊的發展趨勢來看，目前工業控制系統遭受的網絡攻擊已經成為各國政府所面臨的最嚴重的國家安全挑戰之一。

15、2015 年 6 月 8 日，美國國家標準與技術研究院發布第二版工業控制系統（ICS）安全指南，該指南包括如何調整傳統 IT 安全控制系統以適應工業控制系統獨特的性能、 可靠性和安全性要求；同時對威脅與漏洞、 風險管理、實施方案、安全體系架構等部分進行了更新。ICS 安全指南自 2006 年首次發布以來下載量已達到300 萬次，ICS 安全指南提供了如何減少計算機漏洞控制工業系統遭受惡意攻擊，設備故障，錯誤，不充分的惡意軟件防護和其他威脅等方面的建議。大多數 ICS 最初都是專用的，采用獨立的軟硬件集合與其他部分隔開，并與外部威脅隔離。如今，大量的通用軟件應用，互聯網設備和其他非專用 IT 產

16、品已經被廣泛地集成到大多數 ICS 系統中。這種集成帶來了許多好處，但是同時也增加了這些 ICS 系統的脆弱性。由于獨特的性能，可靠性和安全性的要求，保護ICS 往往需要適應和擴展到 NIST 開發的安全標準和指導方針中以保護傳統 IT 系統。本次修訂的一個顯著內容是一個新的 ICS 覆蓋提供定制的指導，如何適應與應用安全控制及加強控制，特別出版物 SP800-53 包含了一個安全控制目錄，可定制以滿足特殊需求，某組織的使命，操作環境，或特定技術的使用。美國修訂 ICS 安全指南42015綠 盟 科 技 工 控 安 保 框 架白皮書NSFOCUS ICS Security Framework

17、Whitepaper1.2.1 國際安全形式的變化世界各國高度重視工業控制系統的信息安全，美國、歐盟、日本等發達國家紛紛加大力度研發涉及工業生產運行的相關設備和網絡的安全防護技術：美國總統發布了總統行政命令 13636 號，制定了“NIPP 2013 美國國家基礎設施保護預案”，旨在建立國家基礎設施的安全，維護網絡環境，管理網絡安全風險。2013 年 2 月卡塔爾國發布了國家 ICS 安全標準。國際標準 IEC62443 系列：這是國際電工標準委員會 IEC 制定的一套關于“工業通信網絡和控制系統供應鏈的網絡安全風險”的標準。2014 年 3 月歐盟發布了 COM (2013) 48關于 NI

18、S （Network and Information Security 網絡與信息安全）指令的提案，該提案在 2009/140/EC 指令的基礎上為網絡運營商建立了安全要求。歐盟 2009/140/EC 指令是“公共網絡運營商和服務商對安全風險和安全措施的管理”，以保障網絡和服務的安全性。2013 年IEC 將建立網絡安全評估，也就是檢測與認證計劃。這是針對產品生產商、供應商 / 系統集成商、運營商 / 資產擁有者的一套基于 IEC 62443 標準的網絡安全評估體系； 是對產品、流程和人員的網絡安全認證。對工控系統網絡安全的檢測與認證，能為資產擁有人提供保障，證明他們的產品符合 IEC 國際

19、標準，符合基本的安全要求；同時也意味著產品的認證報告將被全球 60 多個國家認可。2015 年根據日本情報處理推進機構 (IPA) 的數據顯示，在2014 財年，針對日本發電廠和其他核心基礎設施的網絡攻擊多達 1257 起，較上年猛增 200%。陡然增長的數字表明，日本正在成為最容易遭受攻擊的目標。日本經濟產業省下屬的日本控制系統安全中心（CSSC） 于2013年5月在日本宮城縣多賀城市建立了 “東北多賀城總部”，以日本控制系統安全中心（CSSC）為核心，由日立、東芝在內的 18 個團體共同發起，總共投入 20 多億日元，具備 7 種類型的控制裝置和系統。該總部內，模擬建設了各類火力發電站、化

20、工廠、汽車制造等工廠基礎設施中所使用的工業機器人、樓宇空調和照明系統。同時，單獨開設“紅隊房間”，讓技術人員模擬進行網絡攻擊，使生產設備錯誤操作或者中止。用以培訓技術人員維護工場、發電站等工業控制系統安全的技能。這個場所是日本首個實景網絡攻擊的模擬攻防場所，培訓人員通過體驗網絡攻擊，了解系統的弱點，從而掌握防御技能。攻擊軟件采用了美國國防部使用的網絡攻防演習系統，能夠進行 300 多種各類攻擊的實戰演練。日本還計劃在未來研究中每年為此投入 5 億日元。日本工控系統攻防實景模擬基地2015 綠 盟 科 技 工 控 安 保 框 架5白皮書政策法規工信部 451 號文關于加強工業控制系統信息安全管理

21、的通知國家發改委 14 號令電力監控系統安全防護規定國能安全 36 號文國家能源局關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知國家煙草局煙草工業企業生產區與管理區網絡互聯安全規范等國家標準2014 年 12 月 2 日，全國工業過程測量控制和自動化標準化技術委員會 (sac/tc124) 發布了工業控制系統推薦性國家標準 GB/t30976.1 .2-2014工業控制系統信息安全（2 個部分），主要包括：GB/t30976.1-2014工業控制系統信息安全第 1 部分：評估規范；指導針對工控系統進行安全評估。GB/t30976.22014工業控制系統信息安全第 2 部分：

22、驗收指南；指導對工控系統進行上線前的安全檢測。標準草案在安標委的指導下，正在草擬的工控安全相關標準主要包括：信息安全技術工業控制系統安全管理基本要求安全可控信息系統（電力系統）安全指標體系信息安全技術工業控制系統信息安全檢查指南信息安全技術工業控制系統安全防護技術要求和測試評價方法信息安全技術工業控制系統信息安全分級規范信息安全技術工業控制系統測控終端安全要求在公安部的指導下，正在草擬的工控安全相關標準主要包括：工業控制系統信息安全等級保護設計技術指南工業控制系統信息安全等級保護基本要求工業控制系統信息安全等級保護測評指南1.2.2 國家政策的指引自從工信部 451 號文發布之后，國內各行各業

23、都對工控系統安全的認識達到了一個新的高度，電力、石化、制造、煙草等多個行業，陸續制定了相應的指導性文件，來指導相應行業的工控安全檢查與整改活動。國家標準相關的組織TC260、TC124 等標準組也已經啟動了相應標準的研究制定工作。具體情況如下：與此同時，2014 年 12 月 1 日 “工業控制系統信息安全技術國家工程實驗室”在京正式揭牌成立。該實驗室是在中央將網絡安全和信息化上升到國家戰略的背景下建立的 , 由中國電子信息產業集團第六研究所承擔建設任務，針對我國工業控制系統面臨的日益嚴重的信息安全攻擊威脅等問題，圍繞涉及國計民生的重點工業和軍事領域，建設我國自主的工業控制系統信息安全技術研發

24、與工程化平臺，開展關鍵技術和產品的研發和產業化。通過實驗室開展工控信息安全關鍵技術研發、標準規范制定和課題研究，建立工控信息安全領域發展趨勢和重大問題研究機制 , 加強產、學、研、用在優勢資源上的協同與集成，促進技術創新與產業孵化，致力改變我國高端工控系統及核心部件由國外進口的現狀，實現工業控制系統“可發現、可防范、可替代”， 建立我國自主的工控安全防護體系，提升工控安全核心競爭力。62015綠 盟 科 技 工 控 安 保 框 架白皮書NSFOCUS ICS Security Framework Whitepaper1.2.3 工業控制系統安全需求的變化圖 1 FY-2015 Mid-Year

25、: Attempted Infection Vector. 引用自：ICS-CERT 的 2015 財年半年報圖 1 對 2015 年發生的工控安全事件中，入侵工業控制系統所使用的關鍵技術進行了統計，網絡釣魚仍然是被經常使用的攻擊方法，因為它是相對易于執行和有效的。通過弱身份驗證技術所發生的入侵仍處于一個比較高的比例，網絡掃描和SQL注入的嘗試也保持較高的比例。 作為資產所有者應確保他們的網絡防御措施能夠解決這些流行的入侵技術。11.10%4.4%7.7%30.28%21.19%23.21%12.11%0202 工業控制系統安全技術演進路線圖82015綠 盟 科 技 工 控 安 保 框 架白皮

26、書NSFOCUS ICS Security Framework Whitepaper2.1 攻擊技術路線結合 ICS-CERT 往年安全事件的統計數據分析的結果可知，近年來，工業控制系統相關的安全事件正在呈快速增長的趨勢，且這些事件多分布在能源、關鍵制造業、市政、交通等涉及國計民生的關鍵基礎行業。這與關鍵基礎行業對于現實社會的重要性及其工控系統的自動化、信息化程度較高有著緊密的關系。由于大部分工業控制系統安全事件的相關報道和曝光程度相對較低，根據公開的信息整理了部分近年來的工業控制系統安全事件列表如下，由此可以看出 ICS 攻擊技術路線大致演變過程：工業自動化控制系統正逐漸從封閉、孤立的系統轉

27、化為開放互聯的系統，工業自動化生產開始在所有網絡層次上橫向與垂直集成；將工業自動化控制網絡與 IT 網絡相連，以及為實現遠程維護與 Internet 連接；越來越多地采用開放標準以及基于PC的系統。 工業自動化生產領域在享受開放、 互聯技術帶來的技術進步、生產率提高與競爭實力大大增強的利益的同時，也面臨著越來越嚴重的安全威脅。時間事件簡介2000 年澳大利亞昆士蘭新建的馬盧奇污水處理廠出現故障，無線連接信號丟失，污水泵工作異常，報警器也沒有報警。本以為是新系統的磨合問題，后來發現是該廠前工程師 Vitek Boden 因不滿工作續約被拒而蓄意報復所為。2003 年美國俄亥俄州 Davis-Be

28、sse 核電站和其它電力設備受到 SQL Slammer 蠕蟲病毒攻擊，網絡數據傳輸量劇增，導致該核電站計算機處理速度變緩、安全參數顯示系統和過程控制計算機連續數小時無法工作。2006 年美國阿拉巴馬州的 Browns Ferry 核電站 3 號機組受到網絡攻擊，反應堆再循環泵和冷凝除礦控制器工作失靈，導致 3 號機組被迫關閉。2007 年攻擊者入侵加拿大一個水利 SCADA 控制系統，破壞了取水調度的控制計算機2008 年攻擊者入侵波蘭某城市地鐵系統，通過電視遙控器改變軌道扳道器，致四節車廂脫軌。2010 年西門子首次監測到專門攻擊該公司工業控制系統的 Stuxnet 病毒，也稱為震網病毒。

29、2010 年伊朗政府宣布布什爾核電站員工電腦感染 Stuxnet 病毒，嚴重威脅核反應堆安全運營。2011 年黑客入侵數據采集與監控系統，使美國伊利諾伊州城市供水系統的供水泵遭到破壞。2011 年微軟警告稱最新發現的“Duqu”病毒可從工業控制系統制造商收集情報數據。2012 年兩座美國電廠遭 USB 病毒攻擊，感染了每個工廠的工控系統，可被竊取數據。2012 年發現攻擊多個中東國家的惡意程序 Flame 火焰病毒，它能收集各行業的敏感信息。2013 年美國著名黑客巴納比杰克在舊金山突然神秘死亡，巴納比杰克生前的“明星事件”回顧：1. 利用他獨創黑客技術令自動提款機狂吐鈔票2. 掃描方圓 10

30、0 米之內的所有胰島素泵，識別它們的注冊碼，將這些注冊碼程序化，并將它們分配給全部 300 個單位的胰島素，對于一型糖尿病患者來說，這是很容易致命的。3. 9 米之外入侵植入式心臟起搏器等無線醫療裝置，然后向其發出一系列 830V 高壓電擊，從而令“遙控殺人”成為現實。2014 年“蜻蜓組織”利用惡意程序 Havex（與震網類似），對歐、美地區的一千多家能源企業進行了攻擊。2015 年表1 近年來發生的工控安全事件通過對大量工業控制系統信息安全事件的分析，我們發現大多數的工業控制系統信息安全事件影響范圍和危害程度較大，且在此類事件中顯露出來的攻擊思路和攻擊視野在一段時間內會帶來示范效應。結合傳

31、統 IT 系統的攻擊演變過程，總結出工業控制系統的攻擊路線圖。2015 綠 盟 科 技 工 控 安 保 框 架9白皮書2.2 工控安全技術的發展目前在役的工業控制系統大多是上個世紀末期開始研制的，由于當時的工業控制系統大多采用專用實時操作系統、Arcnet、FDDI 等網絡設備和令牌環、令牌總線等特殊的網絡協議，整個系統相對封閉，受到入侵的可能性不大。同時由于設計人員普遍缺乏信息安全的意識，在系統架構方面基本上沒有考慮信息安全設計。工業控制系統雖然長期“帶病運行”，直到 2010 年左右 Stuxnet 蠕蟲為代表的 ICS 信息安全事件使人們開始重視工業控制系統安全，也正是從這一時期開始，工

32、業控制系統安全逐步被重視，大多數安全組織特別是國家力量開始對工業控制系統的安全性進行研究，同時不少工業控制系統廠家都對原系統進行升級，但這些升級大多屬于局部修改，未能全面考慮信息安全問題，導致了信息安全風險的逐步擴大。工控系統安全技術的發展看，目前工控系統的安全防護主要以邊界防護為主。早期通過 IT 防火墻或者網閘等產品，通過基于 IP 的策略來為工控系統提供安全防護，同時部分工控系統輔以入侵檢測設備來對進入工控系統的流量進行審圖 2 工業控制系統攻擊路線圖攻擊目標演變：攻擊目標明確，通常針對關鍵基礎設施和重要機構。攻擊者水平：攻擊代碼愈加專業化，個人很難開展，黑客組織（競爭對手、工業間諜、尤

33、其是有某些國家幕后支持的黑客組織）已成為當前工控系統所面臨的主要攻擊發起者。攻擊時間演變：攻擊事件持續時間很長，甚至長達數年；攻擊態度演變：攻擊者逐步變為極具耐心，不斷嘗試，一步一步獲取目標系統的權限，然后長期蟄伏、收集信息，如此反復。攻擊手段演變：由破壞通信過程，引起上位機與下位機通信中斷，到通過控制上位機惡意下裝引起控制器運行邏輯問題，到通過綜合應用 IT 和 OT 結合的攻擊手段引起上位機和下午整體邏輯異常，到通過攻擊供應鏈提前預制惡意軟件達到對控制系統進行攻擊的目的。攻擊范圍擴大：攻擊者關注的范圍，由市政、電力等基礎設施擴大到油化、 冶金、 制造業、 智能部件、 物聯網等范圍。入侵者水

34、平物理破壞個人競爭對手工業間諜黑客組織國家力量惡意操作誤操作社會工程回放攻擊新型漏洞未知攻擊者變化102015綠 盟 科 技 工 控 安 保 框 架白皮書NSFOCUS ICS Security Framework Whitepaper計。從實際的應用的效果看，通過基于訪問控制規則的防火墻技術可以在邊界處有效的過濾對工控系統的訪問流量，但是，通過 IT 防火墻缺乏對控制系統包的深度過濾，針對工控系統的攻擊流量在加入到正常通信流量中時，往往缺乏有效的識別，一旦攻擊流量進行工控系統基本是可以在系統中“肆意而為了”；現階段工控網絡的邊界處部署的防護措施網閘是也一種常用的技術手段，網閘來實現生產控制系

35、統與信息系統之間的隔離。通過網閘可以單向限制信息系統向工控系統的數據傳輸，可以實現通過通信的雙向認證實現對工控系統的防護，經歷了幾代技術的發展，網閘實現了基于單比特數據響應和驗證，由于數據格式內容的固定及數據傳輸輸出字節數量的限制，可以保障傳輸數據的可靠性。伴隨著工業控制系統安全技術的發展，針對工業控制系統本身需求的工業防火墻出現了，比較早的引入國內的多芬諾工業防火墻是國內較早采用工業防火墻，國內廠商陸續推出了工業防火墻，傳統防火墻以黑名單策略配置為主，生產控制系統操作中相關的指令操作生產系統中黑名單潛在導致生產操作中斷的風險，工業防火墻大多采用白名單機制，通過對已知的操作過程進行定義過濾掉非

36、法的操作和指令等。從現有的工業防火墻產品看不但支持商用防火墻的基礎訪問控制功能，更重要的是它提供針對工業協議的數據級深度過濾，實現了對 Modbus、OPC、S7 等主流工業協議和規約的細粒度檢查、過濾，以針對工控協議的設備地址、寄存器類型、寄存器范圍和讀寫屬性等進行檢查，可防范各種非法的操作和數據進入現場控制網絡。針對傳統隔離裝置無法深度解析工業控制系統的規約和協議的協議，無法基于寄存器地址和控制過程進行精細處理的情況，工業網閘技術除了具備隔離隔離裝置的技術特性外，還可以實現對工業控制現場的每個測點賦予“只讀”或“讀 / 寫”兩種不同的權限。當設為“只讀”權限時，所有數據回置操作被禁止從而實

37、現單向數據傳輸，達到保護現場設備安全的目的。從行業上看，電力工控系統（電力監控系統）同一生產環境中的不同區域之間采用單項隔離裝置來實現不同區域之間的隔離，在于其他生產環境之間聯系的數據通道上仍然是采用了傳統的 IT 防火墻進行隔離，通過策略限制 IP 通信和限制傳輸傳輸端口，同時依賴于數據通道的加密措施和相關前置機本身具有的數據處理和查詢機制的安全保障來提升系統的安全性。石油和石化領域中部分生產企業已經使用了工控防火墻做生產系統與信息系統之間的隔離，部分企業采用了工業防火墻做同一生產區域的不同安全區域之間的安全隔離；部分鋼鐵和關鍵制造業中也采用了工控防火墻做相關區域的隔離，但是還沒有形成一定的

38、規模效應。煙草行業中存在多用應用形式，有 IT 防火墻、工業防火墻和網閘，但是都還沒有形成大規模的應用。從工業控制系統安全事件看，單純的邊界安全防護技術已經不能夠解決工業控制系統所面臨的安全問題，相關的防護技術已經向縱深防護的方向發展，從工業控制系統的安全生命周期的角度來考慮工業控制系統的安全。從漏洞的挖掘漏洞檢測工控審計工業蜜罐（蜜罐場）未知威脅檢測態勢感知綜合預警的方向發展，以及綜合應用相關技術來提升工業控制系統所面臨的安全威脅。從研究力量上看，原有的信息安全企業、研究機構和大學已經開展了針對研究，工控系統的企業、研究機構和大學也在逐步開展針對工業控制系統的安全研究，但是，從整個產業的發展

39、看，整體工業控制系統安全的與工業控制技術在融合方面還有一段距離。工業控制系統為了保障業務的穩定運行，也開發了大量的功能安全功能，功能安全的技術，通過多點失效保障與表決機制等，來保障執行一個關鍵操作，其中更多是防止誤操作對工業控制系統的影響，而功能安全所具備的失效保障的措施，在應潛在的對外部攻擊所導致的功能失效方式也起到一定的作用。但是，隨著工業控制系統信息化的程度的加深，必然導致了工業控制系統受攻擊面在增多，融合實際的操作規程要求、融合實際的功能安全屬性、基于業務的流程與工藝的行為建模和分析，形成信息安全技術手段與業務有機的融合的技術，才能在工業控制系統信息安全領域實現真正的突破。另一方面隨著

40、智能電網、中國智造、能源互聯網、中國制造 2025 等新型業務形態的出現，一些新的業務運行的形勢的出現，如智能發電、虛擬電站、智能風電、智能工廠、云工廠等出現，使業務系統之間的交叉和連接關系變得更加復雜。傳統控制系統的邊界已經開始變得不那清晰，原有的以邊界防護為主手段的防護體系必將面臨的重大挑戰。融合工控安全技術、虛擬化安全技術、云安全技術、大數據等技術的防護體系會成為未來工控安全發展的一個重要方向。2015 綠 盟 科 技 工 控 安 保 框 架11白皮書基于綠盟科技對工控系統安全需求的理解，結合國內工控安全的規范要求及國外相關標準內容，綠盟科技提出從技術、管理和運行三個維度來保障來保障工業

41、控制系統安全。三個保障維度中主要包含：網絡邊界防護、安全縱深防護、安全運行管理和安全管理制度要求等幾個方面，融合了技術、管理和運行的要求來保障工業控制系統的安全。同時，我們結合工業控制系統運行階段的特點，提出了針對工業控制系統的三個能力建設，包含從上線前的安全檢測、安全能力部署、安全運行三個階段，覆蓋工業控制系統運行周期的安全保障。2.3 總體安全保障框架圖 3 總體安全保障框架工控系統安全使命 ：滿足合規性需求保障生產安全122015綠 盟 科 技 工 控 安 保 框 架白皮書NSFOCUS ICS Security Framework Whitepaper從電力行業對工控安全需求看，電力企

42、業在主要是以合規性建設為主，在 2004 年原電監會 5 號令頒布開始，大部分的電廠控制系統安全建設已經按照 5 號令的要求進行了整改，形成“安全分區、網絡專用、橫向隔離、縱向加密”的防護體系。從整體電力行業工控系統防護情況看，電網整體的防護水平要優于發電側，而且從發電企業情況看，發電企業相對比較分散，造成在發電控制系統安全建設水平方面存在較大差異性。本文中描述的內容，主要以在我國供電形式中占比最高的火電控制系統的安全需求為例，來說明發電企業在工控安全建設方面的思路。發電控制系統從業務功能范圍來說，主要分為主控系統、輔控系統和網控系統。主控系統系統完成對鍋爐、汽機的控制，輔控系統主要完成化水處

43、理、除塵、輸煤的處理。主控系統主要采用 DCS（分散式控制系統），輔控系統主要采用 PLC 進行控制，網控系統主要負責電廠電氣運行情況的監控，通過遠動裝置接受電網的指令，通過 AGC 和 AVC下發到發電機，來實現功率增減和勵磁的調整，同時為升壓站的運行提供控制。從邏輯上來說，系統中主要承載幾種類型的信息：控制信息（操作員站下達要求智能設備執行相關動作的指令），數據信息（遙測、遙信），配置信息（獲取相關 I/O 卡鍵狀體的信息），組態信息（系統中相關業務邏輯變更的信息）。主控主要通過DPU完成對相關被控設備的控制， 輔控主要通過與PLC的通信實現整個控制流程的過程。 具體如圖4所示：2.4 電

44、力行業工控安全解決思路 / 保障框架2.4.1 火電控制系統邏輯架構網控系統（NCS）主要實現對升壓站的監控和實現與 DCS 采集信息的傳輸（主要實現 AGC 和 AVC）。網控系統主要分為站控層、間隔層和過程層。圖 4 火電廠主控與輔控系統邏輯架構圖2015 綠 盟 科 技 工 控 安 保 框 架13白皮書站控層設備：主機兼操作員工作站、一體化平臺主機、遠動通信設備、智能接口設備、故障錄波及網絡分析、網絡交換機。（其中還有打印機、音響音響告警輸出裝置）間隔層設備：間隔層都是 I/0 測控裝置。I/O 測控裝置具有狀態量采集、交流采樣及測量、防誤閉鎖、同期檢測、就地斷路器緊急操作和單接線狀態及

45、數字顯示等功能，對全站運行設備的信息進行采集、轉換、處理和傳送。I/O測控裝置還應配置有 “就地 / 遠方”切換開關。過程層設備：過程層設備包含智能終端、合并單元及智能一次設備接口等。 可完成對斷路器、 隔離開關的信號采集、處理和控制，以及互感器采樣值信息的采集和處理。DCS 和輔控系統之間可以通過網絡或者硬接線連接，輔控向主控提供相關數參數。與主控之間實現雙向的通信，可以通過向主控的和來控制發電機組的出力。向提供相關的數據，向提供相關的數據。相關控制系統的數據通過，通過隔離裝置擺渡到鏡像服務器，系統通過讀取鏡像服務器信息來進行相關生產流程優化處理和生產系統的環境的運行情況展示。主要通過控制信

46、息實現對一次設備的控制、信息采集和繼電保護。如下圖所示：2.4.2 主要控制系統之間的邏輯關系圖 5 火電廠NCS邏輯架構圖過程層網絡間隔層網絡142015綠 盟 科 技 工 控 安 保 框 架白皮書NSFOCUS ICS Security Framework Whitepaper工業控制系統協議缺乏足夠的安全性考慮，易被攻擊者利用。與通用 IT 信息系統安全需求不同，工業控制系統設計需要兼顧應用場景與控制管理等多方面因素，以優先確保系統的高可用性和業務連續性。在這種設計理念的影響下，缺乏有效的工業安全防御和數據通信保密措施是很多工業控制系統所面臨的通病。 專有的工業控制通信協議或規約在設計時

47、通常只強調通信的實時性及可用性，對安全性普遍考慮不足，如缺少足夠強度的認證、加密、授權等。尤其是工業控制系統中的無線通信協議，更容易遭受第三者的竊聽及欺騙性攻擊。缺乏有效的安全策略部署。工業控制系統與信息系統之間缺乏有效的隔離措施，即使采用了隔離裝置等隔離措施，也存在安全策略設置不當的問題，造成信息系統的威脅可以暢通無阻的進入到工控系統中。 同時在邊界處缺乏有效的威脅檢測手段，外部的威脅可以悄無聲息的進入到系統中?，F有的安全設備缺乏相關的工控識別能力，對于工控報文缺乏有效的解析，在部署的環境中極容易引起生產系統的生產中斷。嚴重漏洞難以及時處理，系統安全風險巨大。當前主流的工業控制系統普遍存在安

48、全漏洞，且多為能夠造成遠程攻擊、越權執行的嚴重威脅類漏洞；而且近兩年漏洞的數量呈快速增長的趨勢。工業控制系統通信協議種類繁多、系統軟件難以及時升級、設備使用周期長以及系統補丁兼容性差、 發布周期長等現實問題，又造成工業控制系統的補丁管理困難，難以及時處理威脅嚴重的漏洞。2.4.3 發電控制系統面臨的主要安全威脅圖 6 火電廠NCS邏輯架構圖2015 綠 盟 科 技 工 控 安 保 框 架15白皮書缺乏違規操作、越權訪問行為審計能力。操作管理人員的技術水平和安全意識差別較大，容易發生越權訪問、違規操作，給生產系統埋下極大的安全隱患。工業控制系統相對封閉的環境，也使得來自系統內部人員在應用系統層面

49、的誤操作、違規操作或故意的破壞性操作成為工業控制系統所面臨的主要安全風險。因此，對生產網絡的訪問行為、特定控制協議內容和數據庫數據的真實性、完整性進行監控、管理與審計是非常必要的。 但電廠現實環境中缺乏針對工業控制系統的安全日志審計及配置變更管理。這是因為部分工業控制系統可能不具備審計功能或者雖有日志審計功能，但系統的性能要求決定了它不能開啟審計功能所造成的。外部運維帶來的安全風險。由于工控系統采用的控制器和設備的種類繁多，外部人員運維成為一個潛在的安全風險點。某些電廠已經通過工作票的機制來從管理上保障運維過程的可管理，但是在沒有有效技術手段支撐的情況，本地管理人員很難監測到外部人員的越權操作

50、或者故意改變運行邏輯的行為，在出現問題時，也很難去追蹤。移動介質缺乏有效管控。工業生產環境中存在備份導出生產數據的需求，移動介質是一種比較好的滿足生產環境數據備份的介質。但是在介質的使用在管理方面普遍存在安全隱患，文件拷貝的介質無法做到專盤專用，可以采取的安全措施只限于使用殺毒軟件對全盤進行掃描。而殺毒軟件是針對已知病毒的查殺，并且主要針對傳統的信息系統，而對于未知病毒的檢測和工控特定病毒的檢測基本上無能為力。從已經發生的安全事件看，移動介質是一個重要的傳播惡意代碼到工控環境的手段。面對新型的 APT 攻擊，缺乏有效的應對措施。APT（高級可持續性威脅）的攻擊目標更為明確，攻擊時會利用最新的