2.2 工业控制系统的漏洞分析

自从工业控制系统（ICS）问世以来，一直采用专用的硬件、软件和通信协议。由于是封闭系统或称为“信息孤岛”，具有较强的专用权，所以这些系统受外来影响较小，从而其信息安全问题未受到足够重视。

由于信息技术的迅猛发展，信息化在企业中的应用也取得了飞速发展，互联网技术的出现，使得工业控制系统网络中大量采用通用TCP/IP技术，工业控制系统网络和企业管理网的联系越来越紧密，工业控制系统也由封闭系统演变成现在的开放系统，其设计上基本没有考虑互联互通所必须考虑的通信安全问题。企业管理网与工业控制系统网络的防护功能都很弱甚至几乎没有隔离功能，因此，在工业控制系统开放的同时，也减弱了控制系统与外界的隔离，工业控制系统的安全隐患问题日益严峻。工业控制系统中任何一点受到攻击都有可能导致整个系统瘫痪。

下面将详细介绍工业控制系统技术演变、详细比较工业控制系统与信息技术系统、挖掘工业控制系统信息安全问题的根源，直至详细分析出工业控制系统漏洞。

2.2.1 工业控制系统技术演变

在20世纪90年代中期之前，由于Internet技术尚未成熟，当时的IT技术不能完全满足工业自动化实时性和环境适应性等要求，于是各家公司都利用自己掌握的计算机技术开发具有专有权操作系统的工业自动化装置、专有权协议的网络及其自动化系统。

最近几年，这种情况发生了急剧变化，传统自动化技术与IT技术加速了融合的进程，工业自动化系统已广泛采用微软Windows操作系统和TCP/IP标准网络协议，工业实时以太网已经被工业自动化领域广泛接受，IT技术快速进入工业自动化系统的各个层面，改变了自动化系统长期以来不能与IT技术同步增长的局面。工厂企业的信息化，可以实现智能工厂中从管理层、控制层到现场层的信息无缝集成，使得过程控制系统（PCS）与制造执行系统（MES），以及企业管理信息系统（ERP）有机地融为一体，并能通过Internet完成远程维护与监控。这种不可阻挡的发展趋势随之也带来了工业网络的安全问题，如何保证工业网络的机密性、完整性和可用性成为工业自动化系统必须考虑的一个重要问题。

过去几年，由于各行各业工业控制系统安全事故频发，导致工业经济损失，甚至扰乱社会公共秩序。这些事实和危害已在第1章中提到。因此，许多行业内外人士开始密切关注工业控制系统信息安全。工业控制系统厂商为了解决此类问题而不断改进自身系统，努力面对将来的挑战，工业控制系统的信息安全经历了迅猛发展。

由此可见，在短短几十年中，工业控制系统经历了跨越式发展，在系统方面、通信网络方面、运营方面、安全机制方面、服务方面等都发生了巨大变化，这些变化如图2-3所示。

2.2.2 工业控制系统与信息技术系统的比较

第1章中已针对工业控制系统与信息技术系统在可用性、完整性、保密性3个基本需求方面进行了比较。

工业控制系统与信息技术系统相比有许多不同的特点，包括不同的风险和优先事项，其中包括员工生命的健康与安全、生态环境的保护、生产设备的运行，以及对国民经济的影响。工业控制系统有不同的性能和可靠性要求，所使用的操作系统和应用程序与典型的信息技术系统也不一样。此外，控制系统的设计和操作有时会形成安保与效率的冲突。

用于工业控制系统的网络通信技术来源于信息技术系统的办公自动化网络技术，但是又不同于办公环境使用的计算机网络技术，这是因为信息技术系统通信以传递信息为最终目的，而工业控制系统网络传递信息以引起物质或能量的转移为最终目标。众所周知，在办公应用环境中，计算机病毒和蠕虫往往会导致公司网络故障，因而办公网络的信息安全越来越受到重视，通常采用杀毒软件和防火墙等软件方案解决安全问题。在工业应用环境，恶意软件的入侵将会造成生产线停顿，从而导致严重后果。因此，工业控制系统安全有更高的要求，信息技术系统信息安全的解决方案已不能满足这些需要。

工业控制系统与信息技术系统在系统结构方面有明显的差别，具体如表2-1所示。

此外，这两种系统之间的典型不同点如表2-2所示。

2.2.3 工业控制系统信息安全问题的根源

工业控制系统信息安全问题的根源是缺乏本质安全。

工业控制系统信息安全问题的根源：在设计之初，由于资源受限，非面向互联网等原因，为保证实时性和可用性，系统各层普遍缺乏安全性设计。

尽管目前已有工业控制产品提供商开始对旧系统进行加固升级，研发新一代的安全工业控制产品，但是由于市场、技术、使用环境等方面的制约，工业控制产品生产商普遍缺乏主动进行安全加固的动力。

在缺乏安全架构顶层设计的情况下，技术研究无法形成有效的体系，产品形态目前多集中在网络安全防护层面，工控系统自身的安全性能提升缺乏长远规划。

工业控制产品模块结构图如图2-4所示，具体分析如下。

CPU作为硬件基础平台的核心，技术掌握在国外厂商手中，“后门”漏洞的隐患始终存在，目前国内研究和生产CPU的品牌主要包括龙芯、众志、多思等，在通用处理器、嵌入式处理器、专用处理器等方面都有了相应产品，但是否符合工控系统的性能要求和安全要求，能否在我国工控领域广泛应用，有待进一步研究和验证。

1.操作系统

工业控制系统的操作系统在系统级和设备级是不同的，分别介绍如下。

（1）系统级：普遍采用通用的商业操作系统。

（2）设备级：采用实时操作系统。

操作系统的安全隐患包括以下几点。

（1）管理员一权独大。

（2）访问控制形同虚设。

（3）脆弱的登录认证方式。

（4）层出不穷的系统漏洞。

操作系统的现状介绍如下：

20世纪70年代，美国国防部制定的“可信计算机系统安全评价准则”（TCSEC）是安全信息系统体系结构的最早准则（只考虑保密性），其安全级别如表2-3所示。

通过分析国内应用情况，我国工业控制系统操作系统的现状如下：

（1）B1级以上的操作系统对国内禁运。

（2）目前主流的商业操作系统多为C2级。

（3）等级型的自主访问控制，超级管理员用户可对其他用户的客体资源直接进行任意修改和访问，没有引入标记与强制访问控制，更没有相应的保障类要求。

因此，现有安全产品的不足之处包括无法改变操作系统的访问控制模型，可以直接对工控设备控制；无法应对具有针对性的恶意代码；无法保证操作系统的可信度。

目前，有些厂商对操作系统进行安全加固方面的研究和应用。

在实时操作系统方面，国内厂商少有涉猎。

2.实时数据库

实时数据库是工控系统的核心数据源。目前，实时数据库存在以下问题：

（1）需要解决实时性与安全性的矛盾。

（2）系统管理员特权问题。

（3）非法操作检查等。

目前主要的实时数据库产品有：国外主要的产品包括OSI公司的PI、Aspen公司的InfoPlus、Honeywell公司的PHD、Instep公司的eDNA等，国内主要的产品包括力控公司的pSpace、中科院软件所的安捷（Agilor）、浙大中控的ESP-iSYS、紫金桥的RealDB等。

自主实时数据库系统可以提高实时性、充分利用硬件资源、解决安全性矛盾。

3.应用软件

随着系统功能越来越多，应用软件规模逐渐增大、复杂性越来越高，系统错误越来越难以检测和避免。提高软件系统的安全性，保证软件设计开发的正确性是需要亟待解决的问题。

4.通信网络

被业界广泛采纳的“纵深防御”理念，其前提和方案基于以下考虑。

（1）前提：目前系统本身无法达到本质安全的要求。

（2）方案：在外部世界的威胁和工控网络之间建立尽可能多层次的保护。

2.2.4 工业控制系统的漏洞的详细分析

1.通信协议漏洞

工业化与信息化的融合和物联网的发展，使得TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工业控制网络中，随之而来的通信协议漏洞问题也日益突出。

例如，OPC Classic协议（OPC DA，OPC HAD和OPC A&E）基于微软的DCOM协议，DCOM协议是在网络安全问题被广泛认识之前设计的，极易受到攻击，并且OPC通信采用不固定的端口号，从而导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此，确保使用OPC通信协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。

2.操作系统漏洞

目前大多数工业控制系统的工程师站/操作员站/HMI都是Windows平台的，为保证过程控制系统的相对独立性，同时考虑到系统的稳定运行，通常现场工程师在系统开始运行后不会对Windows平台安装任何补丁，但是存在的问题是，不安装补丁，系统就存在被攻击的可能，从而埋下安全隐患。

3.安全策略和管理流程漏洞

追求可用性而牺牲安全，是很多工业控制系统存在的普遍现象，缺乏完整、有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如，工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。

4.杀毒软件漏洞

为了保证工控应用软件的可用性，许多工控系统操作员站通常不会安装杀毒软件。即使安装了杀毒软件，在使用过程中也有很大的局限性，原因在于使用杀毒软件很关键的一点是，其病毒库需要经常更新，这一要求尤其不适合于工业控制环境，而且杀毒软件对新病毒的处理总是滞后的，从而导致每年都会爆发大规模的病毒攻击，特别是新病毒。

5.应用软件漏洞

由于应用软件多种多样，很难形成统一的防护规范以应对安全问题；另外，当应用软件面向网络应用时，必须开放其应用端口。因此，常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工程自动化软件的安全漏洞来获取诸如污水处理厂、天然气管道，以及其他大型设备的控制权，一旦这些控制权被不良意图黑客所掌握，那么后果不堪设想。

国家信息安全漏洞共享平台（China National Vulnerability Database，CNVD）在2011年收录了100余个对我国影响广泛的工业控制系统软件安全漏洞，较2010年大幅增长近10倍，涉及西门子、北京三维力控等国内外知名工业控制系统制造商的产品，部分摘录如表2-4所示。相关企业虽然积极配合国家互联网应急中心（CNCERT）处理了安全漏洞，但这些漏洞可能被黑客或恶意软件利用。