工控系统的主要目标是实现工业自动化生产线的物流控制、设备信息监控及诊断处理，其基本功能包括设备管理、任务管理、日志管理、调度管理、诊断管理、系统仿真等。

  工控系统通常包括，制造执行系统（MES），监控和数据采集（SCADA）系统，分布式控制系统（DCS），可编程逻辑控制器（PLC）等组件。MES系统主要对生产的全部过程来管理，如制造数据管理、生产调度管理、计划排程管理等。SCADA系统通常使用中心化的数据采集和监控手段来控制分散的设施。DCS系统通常用于控制本地区域内的生产系统，例如监控和调节本地工厂。PLC通常用于特定的离散设备，提供对应的调节控制。工控系统还涉及远程终端（RTU），智能电子设备（IED）以及确保各组件通信的接口技术。

  工控系统还包含控制循环、人机接口（HMIs），和使用一系列网络协议构建的远程诊断和维护工具。工控系统大范围的应用于各行各业，如电力、能源、化工行业、运输、制造（汽车、航空航天和耐用品）、制药、造纸、食品加工等。

  由于工控系统应用的技术领域、行业特点以及承载业务类型的差异，工控系统的架构亦会不同。在典型的工控系统中，一般来说包括四个层级：现场设备层，现场控制层，过程监控层和生产管理层（层级0-层级3）。其最上层生产管理层与企业资源层中的ERP软件对接（图一）。

  工控系统的信息安全风险隐患分布于工控系统架构的所有层级。攻击者可能通过嗅探、欺骗、物理攻击及病毒传播的方式，进行以下未授权或非法操作，影响企业正常生产：

  综上，相比IT系统，建立涵盖工控系统各层级的信息安全体系更复杂，需要企业管理层的重视和监管，以及企业内跨部门的协作。

  一直以来，企业信息安全的保护措施大多分布在传统IT系统，特别是面向公众的系统和服务。针对工控系统的信息安全问题，企业往往采取模糊即安全（security by obscurity ）的被动方式，未给予足够的关注和重视。

  根据CVE（Common Vulnerabilities and Exposures）的统计显示（详见图二），2011年起工控系统漏洞的发布数量明显地增加，并且发生针对工控系统的安全事件，其中影响较大有：2010年伊朗核电站的震网病毒攻击导致铀浓缩设备故障事件，2015年的乌克兰大规模停电事件，2018年台积电生产基地被攻击的事件，以及2019年委内瑞拉的电网被攻击导致全国大部分地区断电事件。这些事件都造成了十分严重的后果。

  依据普华永道中国的追踪和研究，我们得知企业缺乏有效的管理和技术措施保障工控系统的安全，存在较多安全风险隐患。诸如：

  面对上述工控系统安全威胁，我们提议企业通过风险评估及差距分析等方法，识别企业在管理和技术两个层面上的管控缺口，并通过落地相关整改措施，提升企业工控系统的整体安全，抵御来自内外部的安全威胁。

  1. 生产过程面临的安全风险是什么是否已识别出所有工控系统相关资产？是否对资产进行了优先排序，并明确了受损的潜在后果？在信息安全事件发生后，企业能否维持生产和关键业务流程的运作？

  5. 工控系统维护及其安全是否依赖外部第三方支持？是否建立了有效的第三方管理机制？

  6. 工控系统网络是否连入企业网络/互联网，是否建立有效措施防护其在联网状态下的安全？

  此外，美国、欧盟及中国等已陆续发布了针对工控系统的安全标准和建议（详见表1所示），可供企业参考。

  普华永道中国持续关注和追踪工控安全事件，分析潜在威胁及风险。我们将在后续“工业控制管理系统安全系列”中，解析工控系统安全事件，介绍工控系统安全标准和建议。

  我们追踪了近几年工控系统安全趋势和重大安全事件，并选取和分析了近期发生的工控安全事件，希望借此协助企业进一步了解工控系统安全威胁和隐患。

  近年来国内外工控系统安全的事件频频发生。依照国家信息安全漏洞共享平台（CNVD）的追踪和统计（详见图一），自2011年起，工控领域发现和发布的漏洞呈现逐年递增趋势。

  依据CNVD公开披露的工控系统漏洞数据的统计分析（详见图二），截至2019年4月已识别2,743个工控系统漏洞，其中高危漏洞907个(占比为33%)，中危漏洞1,163个(占比为42%)。

  2010年6月，伊朗布什尔核电站铀浓缩设备发生故障，致使伊朗核计划推迟。经调查，是由于受到了一种新型蠕虫病毒的攻击，该病毒代码中出现了特征字“stux”，此后Stuxnet也被命名为震网病毒。Stuxnet被认为是第一个专门定向攻击真实世界中基础设施（能源）的恶意代码。

  2015年12月23日，乌克兰电网电力中断，致使乌克兰城市伊万诺弗兰科夫斯克将近一半的家庭（约140万人）经历了数小时的电力瘫痪。经调查，此次事件是由木马恶意软件攻击所致，由于其影响区域较广，促使工业控制管理系统的安全问题受到更广泛关注。

  2017年5月12日，WannaCry勒索病毒利用MS17-010漏洞袭击全球，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业。中国部分普通用户和企业和事业单位受到感染，导致大量文件被加密，无法正常工作，影响巨大。

  台积电三大工厂接连遭病毒感染, 导致大规模生产线日，台积电部分生产设备相继遭到病毒感染，导致其在台湾地区三大生产基地的部分工厂相继停摆。台积电作为全球最大的芯片代工厂，一直都是黑客着重关注目标，每年都遭受大量的网络攻击。但此为首次导致如此大规模的生产线停摆。

  2019年3月7日，委内瑞拉全国发生大规模停电事件，影响23个州中的18个州。截止2019年4月底尚未明确导致此次事件的原因。

  据新华社报道2019年3月7日傍晚5时（当地时间）开始，委内瑞拉国内包括首都加拉加斯在内的大部分地区停电超过24小时，在委内瑞拉23个州中，一度超过18个州全面停电，停电导致加拉加斯地铁无法运行，造成大规模交通拥堵，学校、医院、工厂、机场等都受到严重影响，多数地区的供水和通信网络受到影响。

  8日凌晨，加拉加斯部分地区开始恢复供电，随后别的地方电力供应也逐步恢复，但是9日中午、10日再次停电，给人类带来巨大恐慌。长时间大范围的电力故障给委内瑞拉导致非常严重损失，此次停电是委内瑞拉自2012年以来时间最长、影响地区最广的停电。

  针对此次大规模的停电事故，业界存在各种不同的分析观点，尚无统一定论，本文将从八个方面（详见图三）逐一解析会造成此次大规模停电事故的潜在安全隐患。

  委内瑞拉古里水电站的控制管理系统是由ABB公司为电厂设计的分布式控制系统（DCS）。ABB是位居全球500强之列的电力和自动化技术领域的领导厂商，但目前ABB系统已被爆出存在较多高危漏洞，例如（CNVD-2016-10592）ABB RobotWare远程代码执行漏洞、（CNVD-2014-08129）多个ABB产品本地代码执行漏洞。

  攻击者能够最终靠分析并利用公开发布的漏洞，编写恶意代码制作病毒，针对ABB控制系统进行恶意攻击。由于委内瑞拉古里水电站使用的控制设备时间较为久远，如若没有及时升级相关安全补丁或其他有效的防范措施，可能导致系统存在较多漏洞被攻击者利用，从而造成大规模停电。

  SCADA系统（Supervisory Control and Data Acquisition）是工业控制系统架构中的数据采集与监视控制系统。在电力系统中，SCADA系统应用较为广泛，据新闻报道委内瑞拉古里水电站目前使用SCADA系统对现场的运行设备进行监视和控制。

  SCADA目前已被爆出许多SCADA系统高危漏洞（详见图四），涉及工控系统架构内的软件、硬件、固件等各个方面。考虑对工控系统升级或变更需要花费较长的时间进行准备和测试，对人员能力要求较高，及对持续生产的影响，目前企业对漏洞修复较多采用保守态度，导致这些问题隐藏在SCADA系统中，一旦被攻击者利用将可能造成不可预计的影响和损失。

  诸如其他工业控制系统，委内瑞拉古里水电站也可能采用了不同的通信协议和介质。例如ModuleBus通信协议，用于通过塑料光缆直接与本地I/O群集通信。攻击者可以通过一系列分析ModuleBus协议报文，截获控制协议报文，注入恶意代码，篡改报文或者恶意破坏造成事故。

  生产管理系统所在的操作系统如未及时更新安全补丁，则可能存在诸多风险漏洞被攻击者利用，导致生产设备和运行遭到破坏，无法正常工作。如前文中提到的WannaCry勒索病毒，就是利用Windows系统SMB漏洞导致系统无法正常工作。再比如（ms08-067）Windows Server服务RPC请求缓冲区溢出漏洞，攻击者可远程利用此漏洞运行任意代码，如用于进行蠕虫攻击等。

  此外，操作员安全意识薄弱，设置弱口令等问题，也可能导致攻击者可以渗透进生产系统环境，进而执行非授权操作，破坏正常生产秩序。

  出现如此大规模停电事故，也可能是由于安全管理的缺失所造成的。例如缺乏工控系统安全管理负责人对工控系统进行监督和管理，员工安全意识薄弱；未建立有效的工控系统安全制度和流程，导致工控系统未及时升级，缺乏有效防护；工控系统网络与企业网络/互联网未有效隔离；外接设备随意接入，包含移动U盘和光盘等存储介质；对安全事件的应急处置工作重视不足，缺乏有效的应急预案及演练等。

  鉴于委内瑞拉当前局面，及相关国际形势，存在人为破坏的可能性。由于电力系统是现代社会的关键支撑，易成为攻击者首选的攻击目标；其次电力系统的高复杂度以及系统暴露面多，也增加了被攻击的可能性，如发电厂、电站、输变电设备、线路层面均可能遭到物理、电磁等层面的攻击。

  出现此次大规模停电事故，设备自身老化也是隐患之一。据新闻报道委内瑞拉所使用的控制设备可能已经使用了几十年的时间，如果缺乏有效维护，可能导致电路短路，造成火灾等事故。

  0day漏洞是指已经被少数人发现，但是暂时未被公开，且官方尚未发布相关补丁的漏洞。目前已经发现的工控系统安全问题仅只冰山一角，还有许多潜在未知的安全漏洞和威胁，所以此次大规模停电事件也可能是由于0day漏洞所造成的。

  2015年5月，美国国家标准技术研究所（NIST）在《联邦信息安全现代化法案》（Federal Information Security Modernization Act）的要求下，发布了《工业控制管理系统安全指南》（Guide to Industrial Control Systems Security，NIST SP 800-82），为工控系统及其组件（监控和数据采集系统SCADA，分布式控制系统DCS，可编程逻辑控制器PLC，以及其他执行控制功能的终端和智能电子设备）提供安全指导，帮助企业降低工控系统信息安全相关风险。该指南概述了工控系统组件及架构，指出了工控系统面临的威胁和漏洞，并从以下四个方面为企业提供了可供参考的方法、框架和实施步骤：

  欧盟国家陆续建立起工控系统安全标准和最佳实践，为欧盟境内企业应对工控安全风险提供指引。

  2011年10月，受到“震网”病毒事件影响，中国工业和信息化部（以下简称工信部或MIIT）认为工业控制系统信息安全面临严峻的形势，印发第451号文《关于加强工业控制系统信息安全管理的通知》，对工控系统的连接管理、组网管理、配置管理、设备选择与升级管理、数据管理、应急管理做出了一系列要求。2016年10月，随着工业4.0的推进，国务院要求进一步推进制造业与互联网融合发展，工信部印发了《工业控制系统信息安全防护指南》，要求工业控制系统应用企业应从十一个方面做好工控安全防护工作，涉及安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理及落实责任。

  2016年11月，中国第12届全国人民代表人大常委会第24次会议通过了《中华人民共和国网络安全法》（以下简称网安法），并于2017年6月1日起施行。该法律明确国家实行网络安全等级保护制度，强调对关键信息基础设施的安全防护。

  2017年5月，在《国务院关于深化制造业与互联网融合发展的指导意见》的要求下，工信部进一步印发《工业控制系统信息安全事件应急管理工作指南》，指出工业企业负有工控安全主体责任，应建立健全工控安全责任制，负责本单位工控安全应急管理工作，落实人财物保障。并且要求工业企业对于可能发生或已经发生的工控安全事件，能够立即开展应急处置，力争将损失降到最小。该工作指南还要求工业企业制定工控安全事件应急预案，定期组织应急演练。

  2017年7月，工信部发布了《工业控制系统信息安全防护能力评估工作管理办法》（及其附件《工业控制系统信息安全防护能力评估方法》），从评估管理组织、评估机构和人员要求、评估工具要求、评估工作程序、监督管理几个方面规范了对工业企业开展的工控安全防护能力评估活动，涵盖了工业企业工业控制系统在规划、设计、建设、运行、维护等全生命周期各阶段的安全防护能力评价工作。根据相关要求，重要工业企业每年需要由第三方机构对工控系统安全防护能力进行评估，其他工业企业则至少每年一次开展评估（自评估或第三方评估）。

  2017年12月，工信部发布了《工业控制系统信息安全行动计划（2018-2020年）》，要求落实企业主体责任，依据《网安法》建立工控安全责任制，明确企业法人代表、经营负责人第一责任者的责任，组建管理机构，完善管理制度。该《行动计划》还要求建立健全标准体系，制定工控安全分级、安全要求、安全实施、安全测评类标准。

  2019年5月13日，为落实《网安法》要求，全国信息安全标准化技术委员会（SAC/TC 260）联合公安部等机构发布了《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）, 该标准规范了工控系统等级保护的原则和要求，以确保系统组件及整体安全。

  上述由工信部、公安部、SAC/TC260发布的通知、指南以及《网安法》共同构成了应用工控系统企业的合规要求。此外，企业还可以借鉴由SAC/TC260发布的一系列国家推荐标准，如《信息安全技术 - 工业控制系统安全控制应用指南-GB/T 32919-2016》，《工业控制系统风险评估实施指南-GB/T 36466-2018》，《工业控制网络安全隔离与信息交换系统安全技术要求》（征求意见稿），《工业控制系统信息安全检查指南》（征求意见稿）等。

  2009年7月至2018年1月期间，国际电气化委员会（IEC）陆续发布了工控系统相关安全标准《工业通信网络-网络和系统安全》（IEC-62443），包括：

  综合上述主流国家和地区以及国际组织发布的关于工控系统安全的要求、标准和指南，普华永道中国建议应用工控系统的企业，建立和实施适合的工控系统安全防护体系以应对工业控制系统安全风险。企业建立工控系统安全体系可参考以下模型（图二）。

  依据《信息安全技术 网络安全等级保护基本要求》( GB/T 22239-2019)，工控系统分为生产管理层、过程监控层、现场控制层和现场设备层，涉及多种组件、应用和通信协议等，若一个环节保护不到位，就有可能会引起整个工控系统被攻击而影响生产。脆弱性涉及管理层面和技术层面：

  威胁可能来自企业外部或内部，可能是恶意行为或非恶意行为，可能由人为因素或非人为因素（如自然灾害）导致。就人为因素而言，来自外部的威胁主要是指攻击者利用工控系统的脆弱性，通过病毒（如震网病毒、勒索病毒）、钓鱼等方式发起攻击（比如高级持续性威胁APT - Advanced Persistent Threat攻击），渗透进工控系统网络，进行非授权操作或者恶意破坏。攻击者可能包含恶意软件发布者、钓鱼或垃圾邮件发送者、僵尸网络操纵者、犯罪集团等。

  来自内部的人为因素威胁主要是指心怀不满的内部员工或者工业间谍，利用工控系统管理或技术方面的缺陷，为恶意报复而删除企业核心数据，或为自身利益窃取企业核心机密售卖给竞争对手。此外，由于工控系统客观存在的脆弱性，人员在访问或操作工控系统时，也可能因为非恶意主观意愿，如误操作，对工控系统造成破坏和影响。

  对于上述脆弱性和威胁，企业可通过建立适当的安全防护体系，降低安全风险，以保护工控资产安全和正常生产秩序。普华永道中国建议企业可参考以下五个方面，建立和完善工控安全防护体系：

  风险识别：识别工控管理层面和技术层面脆弱性，考虑来自内部和外部的威胁；

  风险评估：基于所确定的工控资产价值，及识别的脆弱性和威胁，判断风险发生的可能性与影响，对风险进行排序；

  风险应对：依据风险评估的结果，规划适当的应对措施，将风险控制在可接受的范围之内。

  组织架构：建立工控安全管理机构和安全管理负责人，明确并落实安全管理职责，监督安全管理措施的有效运行；

  制度与流程：制定工控安全管理制度与流程，包括软硬件管理、身份认证与访问控制管理、数据保护与备份管理、配置与补丁管理、网络与通信管理、设备管理、物理与环境管理、供应链管理、安全审计等；

  技术措施：建立全面的工控安全技术架构，包含网络与设备监控、入侵检测与防护、系统配置与更新、边界防护、通信保护、安全域划分、应用安全、数据安全、日志管理、病毒与恶意代码防范、物理与环境安全等；

  安全意识：建立工控安全培训机制，提升企业整体安全意识，包括法律法规、企业安全制度与流程、安全事件、安全技术等。

  情报收集：持续收集与企业工控系统安全相关的新闻、事件及漏洞等信息，作为安全防护的参考和依据；

  漏洞扫描：通过专业工具，设计扫描窗口期，对工控系统网络内的设备、组件、系统、通信协议等执行扫描，识别工控系统中的漏洞，并对其风险进行评估和排序，采取相应的应对措施；

  渗透性测试：通过专业设计，模拟真实黑客攻击，尝试突破现有安全管控，评估系统抗攻击能力；

  通信协议脆弱性分析：通过专业工具，识别工控系统中的通信协议，分析和评估通信协议的脆弱性。

  风险场景识别：确定工控安全风险场景，包含数据丢失、设备损坏、通信中断、生产停电、自然灾害等；

  预案建立：依据所确定的风险场景，结合企业实际情况，制定工控安全事件应急预案；

  随着企业业务战略、生产管理模式，以及信息通信技术等方面的不断发展，工控安全防护体系也应随之调整。此外，工业4.0在推动智能制造的同时，也将推动新兴科技应用于现代化生产，包含物联技术、5G、AI、大数据、云计算等。

  自18世纪末，人类用了200多年的时间，将工业生产从蒸汽时代历经电气和信息时代演变到工业4.0智能时代。2011年汉诺威博览会，德国首次提出工业4.0概念，通过将互联网、大数据、云计算、物联网等新兴技术与工业生产相结合，以实现生产智能化。

  在工业4.0概念被推出后，引起了世界主流国家和地区的关注及响应，也纷纷根据国情制定了各自的“工业4.0”发展战略，如美国工业互联网和中国制造2025。

  德国工业4.0致力于制定以信息物理系统（Cyber-Physical System, CPS）为核心的智能生产标准，推动制造业向智能化转型。

  美国工业互联网倡导将人、数据和机器通过物联技术和设备进行连接和管理，实现产品全生命周期的管理和服务，重构产业链各环节的价值体系。

  中国制造2025是针对中国国情而提出的战略，综合了创新驱动、绿色发展、结构优化、人才为本的发展战略，推进两化融合（工业化和信息化），围绕控制管理系统、工业软件、工业网络、工业云服务和工业大数据平台等，加强信息物理系统的研发与应用，向工业强国转型。

  全球部分先进企业已率先依据各自国家和地区的战略，规划和制定了本企业的工业4.0或类似发展计划。2019年4月，德国汉诺威举办了工业展，依据其官方网站显示，来自全球70多个国家和地区的5000多家厂商参展，分享了各自工业4.0产品及解决方案，包括基于物联技术的智能设备、智能工厂和安全服务等。美国提出工业互联网概念后，五家龙头企业于2014年成立了工业互联网联盟（Industrial Internet Consortium, IIC），分别是GE, IBM, Cisco, Intel和AT&T。宗旨是规划发展路径、科技赋能、降低技术壁垒、加速产品市场化、促进工业互联网健康发展。依据IIC官方网站显示，截止2019年4月底，全球已有超过200多家企业加入该联盟。以下为部分联盟领先企业当前的一些转型举措：

  Mindsphere（PaaS）物联网开放云端平台，实现虚拟和现实的互联，提供工业应用与数字服务；

  工业设备物联，旗下Sinamics产品系列，可通过其通讯模块，将变频器、驱动链和机器设备与Mindsphere相联，实现物理世界和数字世界的互联，以优化分析过程和维护策略；

  Bosch IoT Suite博世物联网套件，提供设备接入、设备管理、访问控制、软件升级、第三方对接以及IoT数据分析等服务；

  此外，IBM、Amazon、Microsoft和Hitachi等企业也相继推出了物联相关解决方案。

  综上，我们可以看出，在工业4.0大环境下，企业已朝着智能生产、智能工厂、智能产品、数字化转型服务的方向发展，推动工业制造和互联网技术的深度融合。同时，随着物联战略的扩展，物联安全问题也将变得更为复杂和严峻，企业要消耗更多的时间和精力来保障智能生产的安全运作。

  国内，在工业和信息化部（简称工信部）的指导下，2016年2月由工业、信息通信业、互联网等领域百余家单位共同发起成立了工业互联网产业联盟（Alliance of Industrial Internet, AII），旨在促进相关主体之间的交流和深度合作，促进供需对接和知识共享，形成优势互补，有效推进工业互联网产业发展，切实解决企业现实问题。自成立以来，会员数量已超过900家，分别从工业互联网顶层设计、技术研发、标准研制、产业实践等领域开展工作，发布多项研究成果，为政府决策和产业发展提供支撑。

  随工业的快速发展，新兴科技如大数据分析(Big Data Analysis)、云计算(Cloud Computing)、边缘计算、5G网络、物联技术、AI和3D打印技术也将随之大范围应用于工业领域。

  传统工业系统架构中，OT与IT设备是独立的，信息是分开的。未来，工业4.0将推动实现物物互联，OT与IT信息互联，促进OT、IT和CT（Communication Technology）的融合，极大程度优化工厂资源配置。

  在此进程中，物联技术将成为不可或缺的一部分。当下物联技术较多应用在消费领域，并且已有诸多安全隐患被识别，例如利用特斯拉车载物联设备的安全漏洞，实现远程操控行车状态和门锁等攻击。因此，物联技术在带来诸多便利的同时，也引入了诸多安全风险。相比较消费领域，在更为复杂的工业智能生产领域更应重视物联技术与设备安全问题。

  针对物联技术和产品，各国正在研究或已出台物联设备的合规要求和管理指南，如美国已于2019年提交国会审议The IoT Cybersecurity Improvement Act of 2019，中国信息通信研究院于2018年出台了《物联网安全白皮书》、2019年5月中国发布的等保2.0中新增了物联网安全扩展要求，都能够准确的看出全球对于物联安全的重视正不断提升。

  普华永道中国认为，除上述生产和产品的数字化转型外，工业4.0亦将推动企业经营理念、管理架构与职能、管理制度与流程等方面的转型和变化。例如，随着OT和IT的融合，IT部门与OT部门在信息安全工作方面将深化协作；随只能产品的推出，安全管控将被纳入产品全生命周期管理，如产品研制阶段的安全设计、推出市场前的安全测试，以及使用的过程中的安全升级等；随着领先企业数字化转型的推进，其将借鉴自身的经验和技术积累，以服务的形式推向市场，协助别的企业加速数据化转型。

  ▪ CIP Security新增基于设备的防火墙配置以进一步提升EtherNet/IP网络安全性

  ▪ 西门子收购 Insight EDA 扩展 Calibre 可靠性验证系列

  ▪ 数碳双驱助力可持续未来 ——西门子携全系列配电设备与数智化方案亮相上海国际电力设备及技术展览会

  ▪ 华北工控新发布准系统BIS-6670I-B10：兼顾性能与功耗，丰富扩展

  ▪ 华北工控BPC-7133：支持第10代Intel Core处理器的嵌入式AI主板

  ▪ Gartner发布2023“企业低代码魔力象限”，中国厂商持续上榜

  ▪ 罗克韦尔自动化与微软拓展合作伙伴关系，运用生成式 AI 技术提升生产力并缩短产品上市时间