聯盟旨在搭建政府、產、學、研、用之間的交流平臺，推進我國工業安全產業發展，保障關鍵基礎設施安全穩定運行，支撐中國工業健康可持續發展。此賬號用于發布聯盟成果、專家視點及工業安全前沿動態等內容。

　　隨著信息化與工業自動化的深度融合，以及物聯網技術的快速發展，工業自動化與控制網絡也向著分布式、智能化的方向迅速發展，越來越多基于TCP/IP的通信協議和接口被采用，從而實現了自管理信息層延伸至現場設備的一致性識別、通訊和控制。然而，在工控系統越來越開放的同時，也同步削弱了控制系統與外界的隔離和安全保護。因此，行業/企業在享受網絡互連帶來的種種好處的同時也面臨著各種來源的信息安全威脅，包括病毒、木馬向控制網絡的擴散等，國內工控系統（ICS）的安全隱患問題日益嚴峻，應給予足夠的重視。

　　軌道交通中的自動化系統一般分為：與列車運行控制直接相關的系統（如信號系統與電力SCADA系統等）、為列車運行提供輔助、支撐的系統（如綜合監控系統、設備監控系統、火災報警系統等）以及輔助于安全管理的系統（如門禁系統等）。這些系統存在著共同的特點：一般系統分為信息管理層、控制執行層和現場操作層三層架構；系統以采集與執行控制器（如PLC）和工業控制網絡為核心開展工作；工業控制網絡要求有更好的實時性、更高的傳輸速率以及可靠性。

　　工業控制網絡中的現場總線由于技術的局限性已經不能滿足快速發展的工業控制網絡的需求，當前應用最為廣泛的是工業以太網技術。具有如下優點：

　?。?1 ） 幾乎所有的編程語言都支持以太網；

　　（ 2 ） 軟硬件資源豐富，成本低廉（可降低系統的整體成本）；

　?。?3 ） 通信速率高（ 百兆設備已被廣泛使用，千兆、萬兆逐漸成為工業骨干網的主流）；

　?。?4 ） 由于基于TCP/IP開放式標準，不同設備很容易互聯，具有很好的發展潛力；

　?。?5 ） 易于實現一體化的管理與控制；

　?。?6 ） 工業產品設計，提供其它自動化組件相同的MTBF（平均故障間隔時間）值，通常是10年以上（相比之下，典型商用產品在建造時，最多實現5年平均壽命）；

　　（ 7 ） 方便安裝：通常采用DIN-Rail導軌安裝，或者直接用螺栓連接到機器上；

　?。?8 ） 無風扇設計，實現被動散熱；

　?。?9 ） 冗余電源，冗余鏈路，支持采取冗余設備以保證全天候正常運行時間；

　　（ 10 ） 符合特定行業標準[包括軌道交通行業普遍認可EN50121-4認證（軌旁應用）以及EN50155認證（車載應用）]，以保證能在極端的現場條件下正常運作，如濕度、防塵、防腐蝕、溫度、振動、沖擊和電磁干擾。但無法掩蓋一個事實，工業控制網絡是工控系統安全隱患中的主要因素。

　　工控系統信息安全現狀以及對軌交安全的影響

　　現實情況的調研說明了工業控制系統信息安全問題日趨嚴重。

　　近兩年，在工業網絡信息安全領域有幾個影響較大的實例：

　?。?1 ） 2010年7月首次檢測出以某公司的ICS/SCADA為攻擊目標的Stuxnet震網病毒；三個月后，全球已有十萬臺主機計算機受到感染。這是世界上首個專門針對工業控制系統編寫的破壞性病毒，由此引發了工業界對信息安全的特別關注。

　?。?2 ） 2012年8月，BBC技術版報道，在西門子旗下的羅杰康平臺交換機中發現了后門，這個程序讓黑客可以容易的侵入網絡，竊取信息。該設備主要應用在美國的國家發電廠中，得到美國國土安全局的高度重視。

　　（ 3 ） 2013年底，“棱鏡門”事件的主角斯諾登曝光了一份材料，顯示美國在2008年研制了48種間諜工具，可以實現對與互聯網隔離的計算機的隔空打擊。這一情況對人們存在將工業控制系統與互聯網隔離、ICS不存在信息安全問題的想法構成顛覆性沖擊。

　　根據統計數據顯示，在工業最為發達的美國，2010年工業控制系統信息安全事件數量統計僅為39條，到了2013年，這一數據增至256條。其中在2013年，工業控制系統的安全事件在能源、關鍵制造、供水、交通、核工業等直接關系到國民生計以及人身安全的行業都有涉及。其中交通行業工業控制系統安全事件的比例達到5%。

　　中國的工業發展暫落后于美國。因此，可以預見到未來中國的工業控制系統安全事件也將呈現覆蓋范圍廣、增長速度快的趨勢。交通行業，尤其是軌道交通行業，工業基礎設施中的關鍵ICS系統的安全事件可能造成的影響包括：

　?。?1 ） 軌道交通子系統性能的下降，影響系統的可用性；

　?。?2 ） 關鍵控制數據被篡改或者喪失；

　　（ 3 ） 失去控制（2008年一少年攻擊了波蘭的Lodz的城鐵系統，用一個遙控器改變軌道扳道器，導致4節列車出軌）；

　?。?4 ） 嚴重甚至導致人員傷亡；

　?。?5 ） 軌道運輸單位聲譽受損，信任度降低；

　?。?6 ） 基礎設施破壞；

　?。?7 ） 嚴重的經濟損失等。

　　工業以太網信息安全威脅的主要原因

　　從業者一般認為工業控制網絡通信協議相對私有，與更廣范圍的網絡存在隔離的特性，加上設備自身的優勢，使得他們對于工業網絡的安全性很有信心。但在如今不斷變化、更廣互聯的網絡世界中，許多工業運營商甚至都沒有意識到他們的系統已經被暴露在互聯網上，必須要進行一些特別的安全漏洞處理。在近期的一則報道中反映，美國國土安全部顧問InfraCritical僅僅通過監控引擎就發現了50萬個暴露在網絡中的SCADA設備，其中7200個設備控制著關鍵的基礎設施，比如說水利、能源以及其它領域的設備。因此，安全研究人員描述工業控制系統的狀態“很安全”，就聽起來很可笑了。

　　現有的工業自動化網絡中漏洞存在主要體現在以下三方面：

　　（ 1 ） 工業基礎協議Modbus TCP/IP 協議數據包存在安全隱患

　　Modbus TCP/IP 協議被廣泛應用于工業通信中，但由于缺乏內置的安全處置，使得協議應用時相對脆弱。具體地說，即使當傳送一個檢測過源IP地址的TCP/IP的數據包時，看起來似乎是合法的，但由于它可能包涵有惡意的Modbus TCP 通信數據包，讓整個通信過程存在疑慮。假設讓系統對Modbus的源設備ID、功能碼或者命令類型進行檢測時，這種惡意的數據包將無處遁形。同時由于工業設備幾乎沒有應用層的安全防護方式，因此這樣的關鍵任務應用的安全保護將落地在網絡安全設備，如硬件防火墻等，而傳統防火墻的解決方案中很少有掃描Modbus TCP等工業協議的機制。

　　（ 2 ） 自動化控制中對時序的要求很嚴格，存在傳輸延遲的安全隱患

　　SCADA和自動化控制對受控對象的直接操作是具有高度時效性的，比如說變電站運作對時間非常敏感，觸發電路開關的延遲可以導致功率波動甚至停電。操作的高時效性要求工業網絡不能存在重大的延遲問題。然而，惡意攻擊者使用一個常見請求程序去攻擊一個網絡，即便防火墻可以阻止一個未經授權的請求，也會造成網絡延遲。同時防火墻在處理數據時也存在能力不足、帶寬不夠的情況，同樣也會在關鍵時刻導致網絡的延遲，無法滿足實時性傳輸要求。

　　另外，隨著需求的不斷增長，工業網絡將集成更多的系統，如視頻、語音和數據網絡等；網絡設備需要更大的帶寬和吞吐量來支持更高級的應用程序，并不影響網絡安全，也不會造成其它工業操作的延遲。

　　（ 3 ） 嚴苛的現場環境促使網絡設備被動適應，存在適應性安全隱患

　　軌交現場機電機械和工業控制設備都部署在較為嚴苛的環境中。采用傳統的IT網絡安全設備很難在這些嚴苛的環境中穩定運行并保障工業網絡及系統的信息安全。這些嚴苛的環境條件包括如極端的溫度、EMC、EMI等，對傳統IT網絡安全設備造成的損壞也許比黑客刻意程序工具的攻擊更加嚴重。因此，確保工業網絡免受黑客的攻擊，保障信息安全，首要任務是確保這些設備能夠在這些嚴苛工業環境下持續、穩定地運行。

　　消除以上漏洞的思路，第一步是確認漏洞、關閉漏洞；第二步至關重要，必須將安全漏洞完全處理掉。

　　工控網信息安全解決方案探討

　　3.1　軌交行業信息安全的總體考慮

　　軌交業務總體可以分為自動化控制和管理信息兩大類。劃分為三個安全域：生產網域、管理網域和互聯網域。上海在處置信息安全時，一般有以下做法：

　?。?1 ） 同區域訪問、各不同區域之間實行受控訪問或禁止訪問。安全域之間的訪問控制策略見表1。

　　表1 訪問控制策略表

　?。?2 ） 自動化控制系統按照既有的建設安全體系進行防護的同時，與列車運行控制直接相關的系統（如信號系統和SCADA系統）級別應定為非常重要，對應安全等級保護體系的第三級；為列車運行提供輔助、支撐的系統級別應定為重要，對應安全等級保護體系的第二級；

　?。?3 ） 僅供軌交行業內部使用的管理、決策、辦公類系統級別應定為一般，對應安全等級保護體系的第一級。

　　3.2　工控網信息安全的考慮

　　針對以上的分析，建議從硬件以及軟件兩個方面實現工業以太網的信息安全。

　　（ 1 ） 硬件實現多層次網絡信息安全防護

　　針對軌道交通自動化系統構成特征，將現場級系統分解成多層結構（如圖1所示），在各層網絡中根據不同情況（如連接設備數目、帶寬以及性能要求等），設置合適的工業級網絡安全產品。以Moxa公司的EDR-810系列為例，隨著集成技術發展，在市場上推出了一體化的防火墻交換機，主要面對最底層需連接多個終端設備，必須放置一臺交換機的情況；該集成設備集合了二層網管交換功能以及防火墻/NAT/VPN的功能，具有千兆上聯口以及多個快速以太網口，在滿足現場設備接入的同時，還可利用網管的功能，有效防止由于現場設備故障導致的廣播風暴對于其它關鍵設備的影響；對于現場不被使用的端口，在物理封存的同時系統可以將其關閉，從而防止利用現場設備接入交換機進行的惡意篡改以及非法入侵。另外，該設備的防火墻策略控制不同信任區域之間的網絡流量以及網絡地址轉換（NAT）防御內部局域網免受未經授權從外部主機傳來的活動，能夠執行深度的Modbus TCP數據包檢測，從而有效地防止對于現場PLC等關鍵設備的非法控制，確保關鍵設備的可靠性。

　　在最上層對接辦公網絡時，宜選擇設置工業級千兆防火墻/VPN安全路由器設備，同時應考慮滿足帶寬需求高、對外連線需要有備份鏈路的要求。以Moxa公司的EDR-G903系列為例，其具備冗余的WAN接口，千兆的寬帶性能，吞吐量能夠達到500Mbps，能夠建立的Firewall/NAT規則數為512/256以上，從而確保企業信息網與自動化網絡之間的安全通信；同時，支持VPN三層隧道協議IPSec可達100條，能夠滿足遠端的多通道安全通訊。

　?。?2 ） 在網管軟件中設置信息安全的選項

　　工業網絡管理套件可以實現簡易配置、智能可視化管理、簡便的備份管理以及快速故障排除，將整個網絡生命周期都結合到了一個工具包內。為了回應工業網絡對于信息安全的重視，須基于ISA與IEC共同制定的針對工業網絡分隔的工業自動化系統和控制信息系統的標準IEC 62443標準，分別在安裝、運行和診斷三個階段來確保網絡安全。

　　在安裝階段，要從軟件上可以批量部署設備的安全功能，可選擇不同的設備安全級別，規范不同的安全條款，以滿足不同的應用需要。

　　在運行階段，軟件可在可視化的網絡拓撲結構中，用不同顏色來標注設備的不同安全等級，方便進行設備管理。在偵測到安全異常情況后，有相應的界面輸出警告，通知操作人員，進行及時處理。

　　案例與結語

　　案例：美國亨利科縣交通控制系統的安全處置

　　弗吉尼亞州亨利科縣交通部門按NEMA TS2交通控制規范升級現有的公路交通信號控制系統，使其成為先進交通管理系統（ATMS）。亨利科縣現有的交通控制系統是由140個信號控制的十字路口組成，但只有25個十字路口是相互連接的，其余115個十字路口的信號控制電路隔離。該系統將采用一個集中的網絡架構，使得中央指揮中心可以與每一個現場交通信號控制器進行數據通信?，F場的交通控制器也可以調整和安排每天不同時間段的交通信號配時參數，以此來提高交通車流量。從中央指揮中心，運營商將能夠訪問交通信號的實時監控和應急響應遠程流量控制的位置。這種先進的交通控制網絡將通過公用網絡進行部署，不只需要一個高度可靠的連接，同時也保護了網絡安全，禁止未經授權的訪問。

　　圖1 現場系統的多層結構圖

　　為了使交通控制器能夠將數據傳送到交通指揮中心，系統集成商需要利用現有的ISP公共網絡。然而，在公共網絡中存在可能的安全性問題，會直接威脅到交通控制網絡的通信。所以，采用VPN和現場及核心防火墻來保證數據通信的安全就顯得至關重要。

　　2011年，工業和信息化部頒發了451號文《關于加強工業控制系統信息安全管理的通知》，從國家層面強調了加強工業控制系統信息安全工作的重要性和緊迫性，而軌道交通的核心生產系統正屬于此通知范圍內。因此希望通過上述討論，提請相關人士重視對軌道交通現有的、各個層次系統部署狀況、網絡架構及主要安全問題的分析，形成一套有效的信息安全架構方案，推動軌道交通信息安全基礎建設，完善軌道交通信息安全技術防護體系、信息安全管理體系，提升軌交行業的信息安全預警能力、信息安全保障能力、信息安全檢測能力、信息安全應急能力和信息安全恢復能力。