从企业现场看工控安全现状

        前言：本文是在工业企业现场安全调研检查的基础上，将收集到的一手资料汇总提炼形成的一篇文章。文章对当前一些行业的工控安全现状做了简单的分析和总结，但由于工业企业数量众多，而选择的企业往往是某个区域同类企业中比较典型的代表，因此所得出一些的结论也不完全吻合每一个企业的实际情况。

        2016年7月，中央网信办全国范围的关键信息基础设施网络安全检查工作启动，2016年11月3日，工信部印发《工业控制系统信息安全防护指南》，2017年6月1日，《中华人民共和国网络安全法》正式实施。随着这一系列的措施的启动和法律政策的落地，工控安全也被提升到一个前所未有的高度。国家完成顶层设计后，各地政府主管部门也相继行动起来，开展不同层面的企业工控安全检查、调研、评估等活动，力求在摸清辖区企业工控安全现状的同时，切实能指导、监督企业面对自身工控系统的安全问题。

         做为专注工控安全的企业中坚力量，北京威努特技术有限公司需要承担其应有的社会责任，立足于政策的指导，从工控企业的切身利益出发，深入企业一线，为企业的工控系统找问题、出方案；同时抽调公司的技术骨干，密切配合各地政府主管部门，对工控安全的发展贡献自己的一份力量。

        最近一段时间，威努特的技术专家承担了大量协助地方政府的主管部门或大型企业的总部机关深入到工业企业一线调研、检查的任务，既倾听一线技术人员对工控安全的理解，也收集企业工控安全的需求，同时更直接感受企业所面临的安全挑战。在不遗余力帮助企业提出改进的建议的同时，也为行业工控安全解决方案的优化和调整积累经验。调研得到数据显示，工控安全已经越来越受到企业的重视，但同时也不同程度的存在各种问题，问题的根源有多种多样，安全的现状可谓是喜忧参半。

一、行业现状

        下面就从不同的行业对工控安全现状做一个简单的梳理和总结，以期能够为一些关注工控安全发展的读者做一些参考。

发电行业：

• 系统概述：

        从类型上来讲，发电企业有火力发电（又可分为燃气发电、燃煤发电等）、风力发电、水力发电和再生能源发电等众多类型。电力的控制系统主控系统是DCS系统，辅控系统以PLC控制为主。控制系统的品牌以国外居多，尤其是在一些装机容量较大的电厂，难以看到国产品牌的身影。一直以来，电力行业对信息安全的工作一直是高度重视并持续改进。“能源局36号文”也对企业的安全建设提出了明确的要求，“安全分区 网络专用 横向隔离 纵向认证”的十六字的方针高度概括了文件的核心思想。大部分电力企业也能较好的贯彻执行，但不可否认，在工业生产日趋繁荣的今天，电力作为重要的基础资源，其战略意义不言而喻，也由此催生了众多形态的发电企业。从企业所有权上来讲：有国有大型电力企业的发电厂，有纯粹的民营发电企业，也有企业自建自用的内部电厂等。限于监管的力度和企业自身的技术力量，后两者的安全建设就相对不足。

• 工控系统网络安全问题：

        在36号文的要求下，发电企业的网络一般都是分区明确，工业控制系统的也主要集中在I区、II区，区域的边界通常有隔离设备或者传统防火墙做相关安全防护，但需要指明的是：如果有OPC协议的数据流量经过防火墙，基于OPC协议端口动态协商的特点，传统防火墙很难做到有效防护；在现场还发现防火墙存在策略配置不当的问题。

• 工控系统主机安全问题：

        部分现场主机安装防病毒软件，但也有为数不少的现场主机没有任何防护措施（主要原因是控制软件存在兼容性问题），即便是有防病毒软件，但是病毒库往往难以做到及时升级，甚至在个别现场发现病毒库最后一次更新停留在几年前。在一些民营电厂、再生能源发电厂，不乏有工程师站可以通过私自搭建的WIFI网络连接到互联网的情况，如图所示：

• 工控系统设备安全问题：

        一方面国外品牌的控制系统居多，企业很难第一时间获知其暴露出的安全漏洞，即便是知道存在漏洞，也往往难以及时打补丁。另一方面对于关键控制设备，基本上处于没有任何防护的状态，如图所示：

制造业：

• 系统概述：

        制造业的称谓是个笼统的概念，从不同的角度有不同的分类方法。本文不具体探讨制造业的分类，本文所说的制造业是指以数控机床DNC系统为主的制造行业（DNC系统的防护方案详见公众号相关文章）。简单理解，数控机床本身带有一个独立的小型控制系统，系统本身带有以太网接口，根据需要可以接入更上一级的系统，如MES系统等。

• 工控系统网络安全问题：

        当企业的数控机床没有联网的时候，网络的安全问题相对较小，但是在一些大型、先进的企业中，控制设备的联网趋势日趋明显，在已经联网的企业现场，生产网和管理网的边界通常缺少必要的防护措施，生产网的不同区域之间也往往没有有效的隔离，如下所示。

• 工控系统主机安全问题：

        这些和数控机床控制设备直接相连的主机，基本没有任何安全防护措施，U盘等设备也可以自由使用，主机上也存在一些非法软件、非工作软件安装的情况，主机防病毒软件没有及时更新病毒库，如下图所示：

• 工控系统设备安全问题：

        先进数控机床国外品牌居多，即便是国内厂家的机床，其控制系统也往往是国外的产品。一方面企业本身对这些设备只能进行简单维护，如果有出现重大问题，只能是原厂维修，甚至是需要远程调试。另一方面对于关键控制设备，基本上处于没有任何防护的状态。

化工：

• 系统概述：

        化工企业的主要控制系统是DCS系统，部分企业也存在PLC作为辅助控制，控制系统品牌以国外为主，国内品牌也有一定的市场存量。

• 工控系统网络安全问题：

        从网络结构来说，绝大部分企业的工控系统是物理隔离，少量企业生产网与管理网互通，在网络边界处也会部署传统防火墙做网络防护。但类似于发电企业，如果有OPC协议的数据流量经过防火墙，基于OPC协议端口动态协商的特点，传统防火墙很难做到有效防护；在现场也发现防火墙存在策略配置不当的问题。

• 工控系统主机安全问题：

        主机缺少必要防护手段的现象比较严重，在部分企业现场，正是由于工控系统的物理隔离，经常存在使用U盘等设备拷贝数据的现象。

• 工控系统设备安全问题：

        一方面国外品牌的控制系统居多，企业很难第一时间获知其暴露出的安全漏洞，即便是知道存在漏洞，也往往难以及时打补丁。另一方面对于关键控制设备，基本上处于没有任何防护的状态。

城市水务：

• 系统概述：

     城市供水是和百姓生活密切相关的，这些企业的整体网络设计一般是存在一个企业的管理网络和数量不一的水厂网络，在水厂这一级的网络中，又存在控制系统网络和办公网络。

其中控制系统网络以环网居多，环网交换机下面连接不同功能的PLC做相关控制。    

        从网络结构来说，绝大部分企业的企业生产控制系统是物理隔离，少量企业生产网与管理网互通，在网络边界处也会部署传统防火墙做网络防护。

• 工控系统网络安全问题：

        城市供水的网络互联互通的情况比较常见，生产网和办公网互联互通，通常企业只在企业到公网的网络出口处部署一些传统的安全防护设备，而往往忽略办公网和生产网络的隔离。供水又是与百姓生活息息相关的行业，为方便市民生活，企业都会建立面向公众的缴费系统，如果安全防护不到位，很容易直接从公网渗透的内部生产网络。如下所示，集团网络与水厂网络之间的虽然有传统防火墙，但是却没有上电运行。

• 工控系统主机安全问题：

        部分现场有防病毒软件，但也有为数不少的现场主机没有任何防护措施（主要原因是控制软件存在兼容性问题）；即便是有防病毒软件，但是病毒库往往难以做到及时更新，甚至有现场发现病毒库最后一次更新停留在几年前；U盘等移动存储设备的使用也比较普遍。

• 工控系统设备安全问题

        所用的PLC设备基本上都是国外品牌，这些设备本身都已经暴露出严重漏洞，但是却没有及时安装补丁包或者控制厂商根本就没有推出补丁包。同样对于关键控制设备而言，基本上处于没有任何防护的状态。

二、共性问题

        上述内容是对几个行业的工控安全问题做了总结，在此基础上，我们可以再进一步提取一些共性的问题，具体如下：

• 安全制度和安全意识：

        这是一个老生常谈的问题，在现场，很多企业都拿不出一个完整的工控安全制度相关的文件，更不用说安全应急的预案；90%的企业没有绘制工控系统的网络拓扑结构，有也是最初建设时的设计方案图，后续的扩容、改造不会及时更新；技术人员往往认为只要是物理隔离的系统，安全绝对有保障，而没有考虑到一些人为失误、黑客技术完全可能对隔离的网络做出有效的攻击；非法软件的安装情况也时有发现。

• 安全运维能力：

        “懂安全的不懂工控，懂工控的不懂安全”，这是企业工控安全运维能力的一个真实写照。信息安全和工业控制是两个完全不同的学科领域，从最初的看似风马牛不相及，到现在的紧密关联，安全形势的发展过程太过短暂，因此企业在这方面的人力储备比较被动落后。一些大型关键的控制系统，通常需要厂家的技术力量支持，企业的安全运维亦是如此。

• 安全技术手段：

        当前存在的一些技术有段，有一部分是为了满足合规性要求，有一部分为了应对上级的安全检查，是否真正发挥其应有的作用，本身需要打一个问号。攻击的手段日渐多样化、工控系统相对特殊性，现有的一些安全技术有时难以满足工控系统安全防护的需求，如主机防护，简单部署主机防病毒软件往往会使得防护流于一种形式。

• 控制系统的不“可控”

        西方发达国家的工业化早于中国，虽然经过这么多年的不断追赶，差距正在逐步缩小，甚至在部分领域已经处于领先地位，但不可否认，控制系统的先进技术还是掌握的别人手中，我们在享用稳定、成熟、先进的工业控制系统解决方案时，却难以掌控这些系统本身的安全性。

•  一些错误或者混淆的概念：

        “部署安全设备，系统就是安全的”，殊不知道高一尺魔高一丈，安全是个此消彼长、不断演进的过程；

        “物理隔离就是安全的”，世事无绝对，堡垒有时候先从内部瓦解；

        “逻辑隔离等同于物理隔离”，有了双网卡的形式分开内外网或者部署隔离设备并不是真正意义上的物理隔离，从技术上讲，存在穿透的风险。

     ……

三、根源分析

        造成安全现状的形成原因是多方面的，从以下几个方面做一个简单分析：

• 历史遗留问题：

        这个问题要从两个方面来讲，一方面在工控系统设计之初就把可用性放在首位，而把安全性放在最后，这是行业的现状；另一方面就是我国的工业发展起步晚、底子薄，在初期既需要引进国外的先进技术和设备，也要争分多秒保产量，安全的优先级往往就很低。

• 控系统厂商的制衡：

        工业控制系统是整个工业生产的灵魂，那么工控系统的供应商在系统设计、建设、运维的各个阶段都有绝对的话语权，安全的声音此时就会小很多。“如果因为做了做了某某安全防护方案，导致系统不可用，控制厂商概不负责。”类似这样抱怨的话，我们不止一次从工业现场的客户嘴中听到。

• 改造的成本太高：

        工控系统稳定性要求高，一线生产人员也更愿意在他们最为熟悉的系统上做各种操作，任何针对工控系统的升级改造都是牵一发而动全身，不仅仅意味着企业的直接的成本投入，改造过程中的停产也是无形的成本压力。企业在做安全防护时也通常存在类似的考虑，只要没有刚性需求，维持现状就是最好的选择。 

四、整改建议

        指出了问题，分析了根源，那么也要有改进的建议。本文不对某一个具体企业的安全问题出详细的整改方案，而是从政策法规及工控安全通用技术的角度给出一个参考。

• 从合规性的角度出发，企业的工控安全建设可以参考：

        《工业控制系统信息安全防护指南》；

        《信息安全技术 网络安全等级保护安全设计技术要求 第5部分：工业控制安全要求》。

        如果行业自身有相关政策要求，那么需要按照其要求进行建设，如能源行业需参考：

        《国家能源局36号文件 国能安全【2015】36号》。

• 从工控安全技术的角度，结合威努特多年的技术积累，企业的工控安全建设可参考：

        工业网络安全“白环境”解决方案体系。该方案体系迄今已为上百家关键行业客户建立自主可控、安全可靠的工控安全整体防护体系，并受到普遍赞誉。该方案的核心技术理念包括：纵深防御、白名单机制、工业协议深度解析、实时监控审计、统一管理平台等。通用的解决方案拓扑图如下所示：