刘砚峰 李岳栋 倪乐 陶文雯

摘要：作为国家关键信息基础设施的重要组成部分，工业控制系统被广泛应用于能源、交通、制造等多个行业。其安全运行问题直接影响着生产安全和社会稳定，受到各方关注。安全评估是治理工控系统安全的必要步骤，作者总结了参与的几次工控安全评估工作，从组织方法、资产收集、测试技术等方面，阐述了工控系统安全评估过程中的一些关键环节。并针对这些关键环节提出具体对策。

关键词：项目管理;资产收集;端口扫描;流量分析

自2010年伊朗“震网病毒”事件始，越来越频繁发生的工控系统（ICS）安全问题引发各方关注。不同于互联网系统，工控系统末梢连接甚至操控着真实的物理世界，一旦遭到攻击破坏，轻则迟滞生产活动，重则影响社会稳定。可以说，保障工控系统安全运行就是保障生产安全、保障社会稳定。多个行业提出了“要像重视生产安全一样重视网络安全”的基本原则，工控系统安全治理工作也正在有序开展中。治理工控系统安全首先要做好安全评估工作，全面了解风险和隐患。笔者有幸参与了几次工控系统现场安全评估工作，结合现场评估过程，浅谈几点收获。

一、关于组织评估工作的几点考虑

随着工业化与信息化的融合，计算机、信息网络已经取代了原有的模拟控制系统，成为现代工业控制系统的关键组成部分。从这个意义说，工业控制系统是一种网络信息系统，可参考传统信息系统安全风险评估的方法进行。应将获得领导的承诺，包括确定目标和方针，纳入管理体系等，作为安全评估工作的前置条件。这样，可以在评估组织过程中，获得所需的资源。同时，工业控制系统有一定的特殊性，它與生产活动直接相关。如果将工控安全治理工作看做一个项目，那么安全评估则对应于项目启动阶段的收集需求过程。此时识别干系人，了解他们对项目的影响能力，并平衡他们的要求、需求和期望，对项目成功至关重要[1]。工业控制系统连接着现实设备、支撑着生产活动，从这个角度出发，项目干系人应至少包括生产管理、设备管理、安全管理和信息管理人员等。安全评估应尽可能促使相关方高职位人员参与，这样既保证了评估过程有一个全面的视角，也可取得各方的关注与支持，为后期持续开展工业控制系统安全治理奠定基础。可以文件的形式组成评估工作组，进一步提升干系人的参与度。工作组职责可包括但不限于以下几点：1.建立工作协调机制，统筹隐患治理工作。2.组织安全防护评估，梳理安全隐患，并制定整改计划，落实整改方案。3.协调工业控制系统安全隐患整改实施，组织隐患治理效果后评估工作。此外，鉴于大多工业控制系统贴近生产现场的特点，系统现场的运行管理者及使用者亦应纳入项目干系人管理。评估过程中，可采取召开评估启动会的方式，通过安全意识和政策形势宣贯，取得这部分干系人的理解和支持。

二、资产收集的思考

安全评估结果是否全面准确，资产识别是关键。特别是工业控制系统，涉及的品牌种类繁多，开发环境多样。应全面了解资产细节，除了将资产关联到具体系统以外，还应确保其关联到现实环境中。因为，不同专业角度对资产安全的关注角度是有差异的，如设备部门关注仪器仪表的准确性、完整性和物理位置安全。而安全管理部门则关注关键设备的运行状态，如重大危险源，他们会选择安装多台监控设备，时刻关注其运行状态。

另外，不同于传统信息系统的风险定级标准，工业控制系统安全评估中鉴定的安全风险要首先考虑设备设施的本质安全因素，系统安全运行的最终目标是为安全生产提供保障。一个物理上重大风险点中所涉及设备的低风险隐患等级，可能要高于数据系统中存在高风险。因此，为确保识别风险准确，资产台账应能够满足多业务角度下的安全管理需求。可分为仪器仪表、通信设备、服务器及视频监控设备四部分，分别采集各专业关注的设备资产台账，通过IP地址、物理位置、所属组织关联，建立层层递归的资产归属关系，形成工业控制系统综合资产台账（图1），使资产台账具有立体感。为不同专业角度提供统一的观察模型，安全管理人员、设备管理人员可从物理位置出发，结合实际生产中的风险点定级，给出风险定级;生产管理人员，可结合具体其所属组织具体的生产连续性要求，给出风险级别;信息管理人员可综合各方风险级别，结合信息系统隐患，确定综合风险级别。

三、对基础资料收集的思考

在完善资产台账的基础上，应结合物理的和逻辑的环境，深入理解系统的运行机制，可从三个方面入手：

（一）系统的功能和架构

通用的工业控制系统可分为现场设备层、现场控制层、过程监控层、生产管理层和企业资源层（图2）。

由图可知，工业控制系统中不同层级的功能模块所提供的服务对象不同，企业资源层面向管理者，主要提供数据分析展示服务，数据展示一般以日、周、月为周期。对实时性的要求不是很高。而越底层的功能模块对数据的实时性要求越高，并且越接近物理环境，其受到损害对现实环境的影响则越大。如现场控制层模块与过程监控层模块出现安全故障，造成的损害级别不同，应参照图2给出的理论模型深入剖析系统功能和各模块，为后期开展识别风险，提供一个纵向上的观察视角。

（二）网络架构

绝大多数企业已将以太网应用在工业控制系统中，取代原来种类繁多的现场总线，使控制系统与管理系统无缝衔接，形成垂直方向的系统集成，同时降低不同厂商设备在水平面上的集成成本[2]。因此在网络层面，从RTU/PLC到工程师站、上位机，OPC服务到实时数据，大部分系统采用以太网通信。Modbus/TCP、PROFINET、OPC等多种工业以太网协议继承了传统以太网核心技术，也使得传统以太网固有的安全设计缺陷叠加到了工业以太网中。如Modbus/TCP等多种协议缺乏安全属性，明文传输数据，易受到欺骗、洪泛、重放等攻击威胁[2]。传统以太网的合理网络布局，缩小广播域是抑制攻击的有效方法。VLAN、防火墙等技术的应用能够将攻击的影响限制在一定范围。而工业控制系统设计时主要考虑系统的可用性，大多没有实现“横向分区，纵向分层”的网络架构，网络结构的缺陷极有可能引起系统性的安全故障，是影响工业控制系统安全运行的严重隐患，一次普通的DOS攻击就能够导致整个系统瘫痪。因此对于工业控制系统安全评估，考虑后期安全治理的需要，细致梳理网络结构是一项重要的工作内容。绘制并提交工业控制系统运行网络结构图是体现评估效果的必要因素。工业控制系统的网络结构图应该体现具体细节，包括网络设备、服务器、工程师站、上位机、OPC、实时数据库等，应尽可能详细标注。这有助于我们深入理解系统内部的运行过程，提供一个横向上的观察视角。

（三）生产工艺流程

生产工艺流程反映了产品的生产过程，而工业控制系统必然建立在一套成熟的生产工艺流程之上。因此，评估中了解生产流程，可以帮助我们从现实生产需要出发，考察系统控制和作用机制。

综合考量上述三方面，我们可以从一个较高的视角俯视系统全貌，是后续完成安全治理的重要保障。

四、一些应采用的技术测试方法

（一）端口扫描

在评估过程中，应全面收集工业控制系统内部通信端口的开放情况，可使用ScanPort、PortScan等实用工具开展全网扫描，结合系统实际在用通信协议，初步判断扫描出的端口是否在用。

对于开放的无用端口，现场可进行封闭测试，验证并记录端口封闭后对系统的影响。在加固设备安全的同时，为今后的工业控制系统安全策略部署提供数据支撑。表1为工业控制系统内常用协议的端口。

（二）漏洞扫描

评估过程中，应开展操作系统、数据库及web应用漏洞扫描。由于工业控制系统对稳定性的高要求，为确保持续运行，内部的服务器、工程师站等终端设备很少升级或打补丁修复，积累了大量的安全漏洞。分析近年来发生的重大工控安全事件，多以暴露在外的桌面终端为跳板，通过横向渗透，进而控制工业控制系统内部关键主机，达到攻击目的。如2021年发生的美国输油管线勒索病毒事件，有消息称，其暴露在互联网上的一台桌面终端被控制，以此终端为跳板成功实施了勒索攻击。因此，工业控制系统内大量未修复漏洞的工程师站、上位机、服务器等设备，既是工业控制系统的核心组件，也是整个系统的脆弱点。现场评估应开展漏洞扫描检测，识别并记录操作系统、数据库等层面的安全隐患，为后期开展治理工作提供支撑资料。

（三）流量分析

评估过程中，应开展流量抓包分析，有助于深入了解系统内部的运行状态。文献[3]指出，越来越多的设备和系统直接或间接接入互联网，打破了工业控制系统原有的封闭性。加之工控协议在安全设计方面普遍存在缺陷和不足，加剧了其面临的蓄意攻击安全威胁。结合笔者参与的工业控制系统评估经验，流量分析中发现的威胁连接大多来自互联网方向。这不同于我们对于网络安全的认知，即80%以上的威胁来自网络内部。笔者认为有两方面的原因，一是相对于传统网络大范围的互联互通，终端规模庞大，工业控制系统相对封闭且终端数量有限。加之组织的管理，降低了内部的恶意行为的可能性。二是作为国家关键信息基础设施，其重要作用很容易成为国家和组织间对抗的桥头堡。因此，流量分析中考慮应相对关注来自互联网方向的流量。可使用WireShark（图3）等抓包工具开展流量分析，这依赖于评估人员的高度专业和丰富的经验。也可使用专业分析工具，据了解，大多数工控安全厂商均可提供专业的流量分析设备。

五、结束语

本文从评估人员组成、资产收集、评估角度、技术测试等方面总结了几点收获。＼随着信息化与工业化的不断融合，我们可以借鉴传统信息安全领域的理论和方法开展评估。但不同传统信息系统架构相对稳固的特点，工业控制系统与生产高度关联，随着生产建设的延伸，工业控制系统必将随之拓展变化。因此，评估有一定的时效性，笔者认为在完成安全评估后，应尽快启动安全治理工作，在修复已有隐患的同时，为工业控制系统的进一步发展的奠定安全基础，避免系统快速扩张产生新的安全隐患。

参  考  文  献

[1]项目管理知识体系指南（PMBOK指南）（第5版）

[2]冯涛等.工业以太网协议脆弱性与安全防护技术综述[J].通信学报.2017，11（Z2）：185-196.

[3]方栋梁，等.工业控制系统协议安全综述[J].计算机研究与发展，2022，59（5）.

作者单位：刘砚峰    李岳栋    倪乐    陶文雯    中国石化华东油气分公司信息化管理中心

刘砚峰（1976.03-），男，汉族，研究生，高级工程师，研究方向：信息安全。