工控安全服务框架介绍

全球工控网络态势 自 2011 年德国汉诺威工业博览会首次提出“工业 4.0”概念以来，全球各国都在逐步着手在 未来制造业中的各个环节中通过物联网技术的应用，将生产工艺、管理流程全面数字化，同
时通过工业数据的分析、工业网络的互通、云计算和大数据技术使得互联网和工业能够进一 步融合。随着工业自动化控制系统逐渐从封闭孤立转向开放互联，工业自动化生产开始在所
有网络层次上出现横向与垂直集成，在享受开放互联带来的技术进步的同时，也面临这越来 越严重的安全威胁。
综合 ICS-CERT 对今年安全事件的统计数据分析结果，我们可以看到工业控制系统相关的安
全事件呈现快速增长的趋势，并且这些事件大多分布在能源、关键制造业、市政交通等涉及 国计民生的关键基础行业。这与关键基础行业对于社会生活的重要性，及其工控系统的自动
化、信息化程度较高有密切联系。 根据公开信息，近年知名度较高的工控网络安全事件列表如下：

• 

自 2010 年以来，工控网络安全事件呈逐年增加态势，工控网络安全成为了国与国之间、国家
与地区组织之间的全新网络战场。目前国际上在装的主流工业控制系统寿命均已接近
20 年， 有许多落后的 FCS 现场总线系统和特殊网络协议，同时这些设备从设计之初就并没有将现场
网络安全纳入主要考量；但这些问题直到 2010 年“震网”病毒被曝光之后才引起公众的广泛
关注，以美国、以色列为首的国家力量早已开始对工业控制网络的安全性进行研究。此后， 市面上的工业控制系统厂商开始对在装系统进行逐步升级，但这些系统因为固有的问题无法
彻底封锁黑客入侵的途径，使得在装系统长期暴露在网络威胁之下。

上图是 2015 年全球分行业工控网络攻击事件的统计，可以看到关键制造业是工控网络安全事件的重灾区，也是美欧各国增加预算应对网络威胁的重点行业领域。
2013 年 2月，美国总统发布了总统行政命令13636 号，制定了“NIPP 2013 美国国家基础设施保护预案”，旨在建立国家基础设施的安全，维护网络环境，管理网络安全风险。
2013 年，欧盟发布了 COM(2013)48——关于 NIS(Network and Information Security网络 与信息安全)指令的提案，该提案在 2009/140/EC 指令的基础上为网络运营商建立了安全要 求。欧盟2009/140/EC 指令是“公共网络运营商和服务商对安全风险和安全措施的管理”， 以保障网络和服务的安全性。2014 年 3月，卡塔尔国发布了国家 ICS 安全标准。国际标准 IEC62443 系列:这是国际电工标 准委员会 IEC 制定的一套关于“工业通信网络和控制系统供应链的网络安全风险”的标准。
2015 年 6 月 8日，美国国家标准与技术研究院发布第二版工业控制系统(ICS)安全指南，该 指南包括如何调整传统
IT 安全控制系统以适应工业控制系统独特的性能、可靠性和安全性要求；同时对威胁与漏洞、风险管理、实施方案、安全体系架构等部分进行了更新。ICS 安 全指南自 2006 年首次发布以来下载量已达到 300 万次，ICS 安全指南提供了如何减少计算机 漏洞控制工业系统遭受恶意攻击，设备故障、错误、不充分的恶意软件防护和其他威胁等方 面的建议。
大多数 ICS最初都是专用的，采用独立的软硬件集 合与其他部分隔开，并与外部威胁隔离。 如今，大量的通用软件应用，互联网设备和其他非专用IT 产品已经被广泛地集成到大多数 ICS 系统中。这种集成带来了许多好处，但是同时也增加了这些 ICS 系统的脆弱性。 由于独特的性能，可靠性和安全性的要求，保护 ICS往往需要适应和扩展到 NIST 开发的安 全标准和指导方针中以保护传统 IT 系统。本次修订的一个显著内容是一个新的 ICS覆盖提 供定制的指导，如何适应与应用安全控制及加强控制，特别出版物 SP800-53 包含了一个安 全控制目录，可定制以满足特殊需求、某组织的使命、操作环境、或特定技术的使用。
国内工控网络态势
我国政府 2015 年提出了“互联网+”行动计划，目的在于推进生产制造模式的变革、产业创
新和产业结构升级。传统行业通过与互联网技术的结合，形成了新的物联网、工业互联网、 工业物联网、物理信息系统、智慧城市等新兴领域。在网络互联的大背景下，工业控制系统
打破物理隔绝的边界已经不可避免。网络互通互联一方面可以提高生产力和创新能力、减少 工业能耗、助力产业升级，另一方面也会因为网络的互通互联产生一系列之前从未纳入考量
的网络安全问题。工业控制系统控制的关键基础设施、关键制造业等重要系统因此都面临巨 大的安全风险和隐患。 据中国信息安全测评中心数据显示，我国目前在装工控系统普遍存在工控漏洞，并且涵盖了
所有的主流控制系统供应商。

 

Figure2 2015 年国内工控漏洞厂商分布

我国从国家政策层面上高度重视工业控制系统的信息防护。自工信部 451号文、电力行业TC260、TC124 等标准出台之后，我国近年发布施行和在拟的政策如下表所示：


2014 年 12月 1日“工业控制系统信息安全技术国家工程实验室”在京正式揭牌成立。该实 验室是在中央将网络安全和信息化上升到国家战略的背景下建立的, 由中国电子信息产业 集团第六研究所承担建设任务，针对我国工业控制系统面临的日益严重的信息安全攻击威胁等问题，围绕涉及国计民生的重点工业和军事领域，建设我国自主的工业控制系统信息安全 技术研发与工程化平台，开展关键技术和产品的研发和产业化。 目前，中国工控安全的焦点主要集中在关键基础设施、智能制造、物联网、军工生产和智慧城市等行业领域。