1 浅谈工业控制系统安全形势及管控手段 中电投新疆能源化工集团有限责任公司，白洁 摘 要：工业控制系统（ICS）广泛应用于能源电力行业关键基础设施的运行，与国计民生紧密相关。当前，我国工 业化和信息化的深度融合，工控系统获得了前所未有的飞速发展，其产品也趋向于采用通用协议、通用硬件和通用软件， 工控系统面临的安全威胁也越来越严峻。与此同时，随着工业 4.0 的深入，工控网络会越来越开放，不可能完全的隔离， 所以工控安全防护已经不能只考虑简单的办公网信息网、生产网与控制网间的物理隔离，而是需要从一个整体去考虑。 为推动两化深度融合、工业转型升级提供支持，工控系统安全已成为当前信息安全领域面临的重大挑战。 关键词：工控安全；形势；管控手段 一、工业控制系统现状 1.工业控制系统环境现状 工业控制系统（Industrial Control Systems, ICS） ，是由各种自动化控制组件以及对实时数据进行采 集、监测的过程控制组件，共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。 其核心组件包括数据采集与监控系统（SCADA） 、分布式控制系统（DCS） 、可编程逻辑控制器（PLC） 、远程终 端（RTU） 、智能电子设备（IED） ，以及确保各组件通信的接口技术。工业控制系统已广泛应用于电力行业基 础设施领域中，而目前，大部分工控系统核心控制模块从国外引进，国外产品已占领大部分市场，如 PLC 国 内产品市场占有率不到 1%， DCS 主控制器芯片 95%依赖进口。而国外工业控制芯片、工业控制系统产品设计 和配置等都可能存在漏洞，甚至留有后门，存在严重的安全隐患。一旦发生安全事件，直接造成的影响是生 产停滞或设备损坏，给企业及国家带来较大的经济损失，更严重的还可能对生产人员的生命、健康产生危害。 近 20 年来，工业控制系统强调开放性，在系统中大量引入民用的 COTS 产品，如 Windows 操作系统、关 系数据库等， 并广泛使用以太网和 TCP/IP 协议。 大部分的工业网络和现场总线协议， 广泛使用的 MODBUS/TCP、 CAN、PROFIBUS 等都是明码传输，没有严格的身份识别，报文很容易被伪造。简单的 DoS1 就可以使系统网络 完全瘫痪，造成工业过程失控或装置停机。工业控制安全最薄弱的环节就落在了工业网络数据传输上，对于 大型 SCADA 系统或 DCS 系统，设备分散安装，部分采用公网和无线网络，更容易受到攻击。 针对工控设备安全风险态势统计和研究的扫描器扫描探测的是数据也表明，例如针对 GE PLC 控制器对全 网 IPv4 地址的 TCP/18245 端口进行扫描，其中发现几百个 IP 的回复符合 GE SRTP 协议的标准，对识别的数 据在进行 2 次深入分析时我们发现，暴露在公网的 SRTP 协议设备，有的甚至同时开放了 WEB 服务又开放了 SRTP 协议，它们都来自于不少的 VersaMax 和 RX 系列 PLC，以及 GE 的 HMI 设备。例如欧姆龙小型 PLC 一般都 会支持 fins 协议，一些模块也会支持 EtherNet/IP 协议，Omron fins 协议使用 TCP/UDP 的 9600 端口进行通 信，fins 协议封装在 TCP/UDP 上进行通信，有关数据显示针对欧姆龙 fins 协议的第一次扫描探测完成于 1 月 30 号，探测范围为全网 IPv4 地址，首轮发现有 923 套欧姆龙各种型号的 PLC 接入了公网。值得一提的是 此类型 PLC 通讯端口一旦暴露在公网就意味是可以通过协议、软件等直接操作该 PLC 的所有功能（如果他没 有设置等级存取密码） ，如果 PLC 需要跨地域进行远程通讯，在配置路由的端口映射时，建议同时还是给 PLC 设置权限密码，或者在防火墙添加可信的基于源地址的过滤，用来消减暴露在互联网的安全风险。 2.工业控制系统传统管理现状