关于工业控制系统网络安全审查工作的思考

可编程逻辑控制器在自动化工程项目中占 有主要地位，随着自动化产业热潮不断升温， PLC 市场增长迅速，规模持续扩大。但在我国 PLC 市场上，国产品牌所占据的市场份额比例 较小 ，目前市场上 95% 以上的 PLC 产品来 自国外公司，主要有:西门子、施耐德、欧姆龙、 三菱电机、罗克韦尔、ABB、艾默生、GE 等。

我国工业软件市场增长迅速，目前市场规 模已近千亿元。在《中国制造 2025》的大背景下， 工业企业转变发展模式、加快两化融合成为大 势所趋，工业软件以及信息化服务的需求仍将 继续增加，中国继续保持着全球工业软件市场 增长生力军的地位。尽管我国工业软件市场成 长快，但由于起步晚、积累少，在大部分工业 领域，国外工业软件仍占据统治地位。目前， 中国高端工业软件市场 80% 被国外垄断，中低端 市场的自主率也不超过 50%。国际上西门子、GE 等公司纷纷投入巨资，研发未来工业软件，我国 在工业软件上与国际主流水平差距依然很大。

此外，在数控机床领域，发那科 (FANUC) 和西门子 (SIEMENS) 仍占领中高档控制器的主 导地位，这两家公司在世界市场的占有率超过 80%，而机器人、变频器、伺服系统、传感器等 工业控制系统重要设备的市场份额中，国产厂 商所占的比例也明显低于国际厂商。可以说， 目前我国工业控制系统产品依赖于国外主流供 应商，国产可替代产品在数量和产品功能、质 量上均与进口产品存在着较大的差距，工业控 制系统的信息安全管控总体受制于人。

工业控制系统面临的安全风险

作为国家关键信息基础设施的重要组成部分，工业控制系统的安全关系到国家的战略安全 , 工业控制系统安全事故往往造成严重的经济损 失和社会影响。2010 年伊朗布什尔核电站的“震 网病毒”攻击、2015 年底乌克兰电力部门遭受 到恶意代码攻击等安全事件表明，针对工业控 制系统的漏洞攻击正朝着关键控制器攻击、网 络协议攻击、专业攻击人员攻击、工控信息系 统漏洞挖掘与发布同时增长等趋势发展。攻击 威胁的快速发展对安全防护能力提出了更高的 挑战，安全保障难度不断加大。目前，我国工 业控制系统面临的安全形势非常严峻，安全防 护能力严重不足，安全防护手段建设严重滞后， 主要有以下四类风险:

工控平台结构安全风险

随着 TCP/IP 等通用协议与开发标准引入工 业控制系统以及工业互联网体系架构的提出， 开放、透明的工业控制系统为物联网、云计算、 移动互联网等新兴技术领域开辟出广阔的想象 空间。目前，多数工业控制系统内部开始采取 一些安全隔离或者访问认证的措施，但在工控 网络结构上仍然面临着网络边界防护缺失，安 全区域防护较弱、外部网络接入缺乏加密认证 等风险。

工控本体安全风险

目前多数工业企业的系统主机、工业控制 设备、移动介质及网络设备等普遍采用国外品 牌，因协议和配置缺陷导致工业控制系统存在 大量漏洞且未修复或者未能及时修复，也缺乏 必要补偿性控制措施进行防护。这些漏洞一旦 被入侵者利用将引起设备故障或设备未经授权 的操作，影响工控系统和组件的安全运行，导致不可控的安全威胁。整体而言，工业企业的 工控系统漏洞风险管理能力及对工控系统的漏 洞分析和评估修复的技术能力相对较弱，尚不 能准确掌握工控设备的漏洞和后门情况，工业 控制系统组件漏洞的数量呈逐年增加态势。

工控行为安全风险

由于承载着海量的操作数据，并可以通过 篡改逻辑控制器控制指令而实现对目标控制系 统的攻击，关键领域的工业控制系统基础设施 正在成为攻击者渗透攻击甚至攫取利益的重点 对象。但目前工业企业工控网络普遍缺乏必要 的技术手段对网络行为、关键设备、系统帐户 等进行有效的监控和审计，不能及时监控网络 中的攻击和异常行为。工控系统安全审计的缺 失将导致在发生故障后不能快速进行操作溯源 以及无法及时对故障进行定位，影响工控系统 安全稳定运行。

工控安全管理风险

工业控制的信息安全管理方面的问题也不 容忽视，很多已经实施了安全防御措施的工控 系统仍然会因为管理或操作上的失误，出现潜 在的安全短板。目前不少工控企业普遍缺乏完 善的系统风险评估、运行维护、安全审计、突 发事件处理等管理体制机制，人员培训、配置 变更管理、灾备管理等管理制度也存在不同程 度的漏洞。工控安全管理制度的不完善导致黑 客通过社会工程学攻击工控系统的案例屡见不 鲜，除了可能造成生产流程中断等情况，更可 能发生工艺数据及配方等机密信息的泄露。

工业控制系统关键技术产品风险

从总体上看，我国工控信息安全防护体系建设滞后于工控系统建设，产业基础薄弱，系 统产品严重依赖进口，自主可控性较差，导致 防护薄弱。截止至 2017 年底，在 CVE、NVD、 CNVD 和 CNNVD 收录的工控漏洞信息的基础上 统计发现，近年来全球工控系统安全漏洞数量 高居不下，经分析 2008 年至 2017 年的漏洞条目，可见图 1。

图 1 近年来公开的工控漏洞数量变化

可以看出，2011 年之后随着“震网病毒” 的出现，工控系统安全得到了空前关注，相应 的漏洞信息披露也进入了快速增长时期，累计 披露的工控信息安全漏洞超过 1900 条，工控系 统面临的安全问题日益严峻。

根据对 2008 年以来的工控信息安全漏洞进 行分析研究(见图 2)，可以看出权限管理、认 证许可、资源管理、缓冲区溢出等漏洞数量最 多，对工控系统的危害主要集中于服务器系统， SCADA 软件、PLC 设备等。上述漏洞能够造成工 控系统服务中断、系统停机、信息泄露甚至是物 理性破坏，因此常常被黑客、病毒及恶意程序所 利用。此外，通过信息泄露类漏洞，企业内部 的重要工艺流程、参数、设备参数等关键信息 容易被攻击者所窃取，极易造成严重的经济损 失，也将成为进一步实施攻击的重要情报。 

图 2 2008 年以来工控安全漏洞类型分布

近年来工业控制系统关键控制设备及管理 软件系统的漏洞呈现快速上升的趋势，且高风 险漏洞所占的比例逐年升高，漏洞所影响的工 控系统类型不断增多。由于我国目前在石化、 交通、电力、先进制造、市政等重要基础设施中， 国外进口的工控设备、软件所占的比例较高， 这些重要产品短期内无法实现自主可控，相关 信息安全漏洞信息的获取不可避免存在着滞后 性，给现有工控系统带来的潜在威胁更不容忽 视，也对工控系统的安全保障措施提出了更高 的挑战。  

国外网络安全审查制度  

美国网络安全审查制度

美国是最早针对网络安全建立审查制度的 国家，在网络安全审查制度的建立和执行上具 有丰富的经验，值得我们借鉴。

早在 1975 年 5 月，美国便成立了外国 投 资 委 员 会 CFIUS(The Committee on Foreign Investment in the United States)。CFIUS 最 初 主 要调查外国投资和并购是否符合产业政策以及 是否有利于促进竞争和不违背反垄断法律。2007年美国的《外国投资和国家安全法》(FINSA) 生效，对 CFIUS 进行了法律上的确认和制度化， 由 CFIUS 对外国投资可能存在的影响国家安全 的因素(包括美国关键基础设施、关键技术等) 进行审查。

除了对外国投资实施严格的安全审查外， 美国对于信息技术产品和服务也提出了网络安 全审查要求，同时针对不同领域采取了不同的 网络安全审查机制。

国家安全系统

早在 2000 年美国宣布在国家安全系统中 用于保护非涉密信息的密码类信息技术产品必 须通过国家标准和技术研究院 (NIST) 的 FIPS 140 认证。2002 年 7 月起，美国进一步规定在 国家安全系统中使用的非密码类信息技术产品 必须通过美国国家信息安全保障联盟(NIAP) 所采用的信息技术安全评估通用准则 (Common Criteria, CC) 认证。NIAP 采用了公开的标准为国 家网络安全审查活动提供指引。

除了对涉及国家安全系统的产品实施严格 的认证之外，2013 年 11 月美国国防部在《联邦 采办条例国防部补充条例》中新增了网络安全 临时政策——《供应链风险要求》，要求国防 部对采购的信息产品和服务实施供应链安全风 险评估。供应链安全风险评估政策并没有公开 任何流程和具体要求，且不采购的理由也不会 告知供应商。

联邦信息系统

2002 年《联邦信息安全管理法》(FISMA) 在 国会通过并生效。FISMA 要求各联邦机构制定 并实施适用于本机构的信息安全计划 (Information Security Program)，保障联邦信息和信息系统的安 全。FISMA 明确授权国家标准技术研究院(NIST) 负责有关标准和指南的制定工作，并为联邦机 构落实标准提供技术指导。对于存储了联邦机 构的信息或者承接了联邦机构业务的合同商， 必须满足 FISMA 的安全要求。FISMA 的安全标 准主要来自 SP800 - 53 文件，该文件提出了针 对联邦信息系统的供应链保护安全要求，同时 对采购过程进行了详细的规定。

云计算安全服务审查

美国作为云计算服务应用的倡导者和引领 者，对云计算服务实行安全审查，也成了云计 算服务推广应用的重要方面。2011 年，NIST 发 布了《公共云计算安全和隐私指南》和《完全 虚拟化技术安全指南》两项标准，同时美国政 府颁布了《联邦风险及授权管理计划》(FedRAMP) 等文件及法规，为云计算服务安全审查制度提 供了标准依据。FedRAMP 明确要求联邦机构必 须采购和使用满足安全审查要求的云计算服务。 第三方评估机构根据 FedRAMP 云安全基线对云 计算服务进行安全风险评估，联合授权委员会 根据评估结果对云服务商进行审查。

纵观美国网络安全审查制度，主要有以下 几个特点:

一是开展审查的范围不断扩大，先是国家 安全系统中的产品，随后拓展到联邦政府信息 系统、云计算等重点信息系统等，逐步实现全 面覆盖;

二是审查对象不仅包括产品和服务的安全 性能指标，还包括产品研发过程、程序、步骤、 方法、产品供应链等，同时产品和服务提供商、员工及企业背景也在审查之列; 

三是部分审查标准和过程保密，不披露原因和理由，不接受申诉，且审查没有明确的时 间限制;

四是安全审查结果具有强制性，对于关系 美国国家安全的重要信息系统，必须经过网络 安全审查才能够被允许进入采购目录。

欧盟网络安全制度建设

目前欧盟尚未有统一的网络安全审查制度 建设，但在网络安全法律制定方面，通过颁布 一系列决议、指令、条例等，内容涉及数字网 基层服务、网络准入制度、信息保护等互联网 安全诸多方面，用以指导各成员国的互联网管 理实践。

2016 年 7 月，欧盟立法机构正式通过首部 网络安全法—《网络与信息系统安全指令》(NIS)， 旨在加强基础服务运营者、数字服务提供者的 网络与信息系统之安全，要求这两者履行网络 风险管理、网络安全事故应对与通知等义务。 作为欧盟首部网络安全法，NIS 明确了欧盟关于 网络安全的顶层制度设计，包括确立网络安全 国家策略、强调合作与多方参与、确立网络安 全事故通知与信息分享机制等。随着 NIS 的实 施以及不断改进，欧盟对于基础服务运营者的 信息安全要求正在不断提高，监管机构对于网 络安全的评估日趋严格，针对基础服务运营者 的网络安全审查已经箭在弦上了。

欧盟内部各国家对于网络安全的审查做法 也各有不同，作为信息化强国的德国，对于外国 投资的安全考量以及网络安全立法等方面具有 代表性。《对外贸易与支付法》(Foreign Trade and Payments Act， AWG)是德国规范外资并购 的主要法律。审查部门——德国经济与技术部 有权依据 AWG 或者其他法案中的相关规定来阻 止或者修改某项交易。2015 年 7 月德国议会通 过《德国网络安全法》，法律中明确了“关键 基础设施”的范围及运营者的责任，同时要求 关键基础设施运营商必须履行网络安全标准报 告和网络安全事件动态报告义务。虽然目前德 国尚未实施强制的网络安全审查政策，但通过 一系列法律逐渐构建了关键基础设施的认定范 围、责任归属以及安全报告等制度体系，这将 为后续的安全审查提供了制度基础 。 

我国开展网络安全审查的要求和实践  

法律法规要求

2017 年 6 月 1 日，《中华人民共和国网络 安全法》正式实施，该法是我国第一部全面规 范网络空间安全管理方面问题的基础性法律， 是我国网络空间法治建设的重要里程碑。《网络安全法》在条文中特别强调要保障关键信息 基础设施的运行安全。为此，《网络安全法》 强调在网络安全等级保护制度的基础上，对关 键信息基础设施实行重点保护，明确关键信息 基础设施的运营者采购网络产品和服务可能影 响国家安全的，应当通过国家网信部门会同国 务院有关部门组织的国家安全审查。目前大多 数工业控制系统作为关键信息基础设施，其承 担了重要的安全责任和法律义务，所采用的工 控产品和服务可能影响国家安全，对其采取安 全审查符合相关的法律依据。

2017 年 5 月 2 日，国家互联网信息办公室 发布了《网络产品和服务安全审查办法(试行)》(以下简称“《审查办法》”)，并于 2017 年 6 月 1 日起正式实施。《审查办法》构建了网络 产品和服务安全审查的基本制度框架，是《网 络安全法》确立的网络安全整体制度建设的重 要组成部分。《审查办法》在第二条和第九条 分别确定了网络安全审查的范围:“关系国家 安全的网络和信息系统采购的重要网络产品和 服务”;“可能影响国家安全的公共通信和信 息服务、能源、交通、水利、金融、公共服务、 电子政务等重要行业和领域，以及其他关键信 息基础设施的运营者采购网络产品和服务”。 因此针对关键信息基础设施，在涉及国家安全 事项时，还需要在通用性安全测试认证的基础 之上实施国家安全审查。

在审查内容方面，重点审查的是网络产品 和服务的安全性、可控性。《审查办法》除关 注产品和服务自身的安全风险外，着重强调了 产品及关键部件生产、测试、交付、技术支持 过程中的供应链风险。随着信息技术全球化供 应趋势的发展，安全风险通过供应链进行渗透 的渠道越来越多样化，并成为安全威胁的主要 来源。供应链安全审查应当综合判断涉及技术、 管理和人员安全层面的可信状态，同时结合第 三方机构检测等技术审查措施，为网络产品和 服务搭建完善的安全审查程序。

认证认可实践

2003 年 9 月，国务院发布了《认证认可条例》，规定认证是指由认证机构证明产品、服务、 管理体系符合相关技术规范、相关技术规范的 强制性要求或者标准的合格评定活动。认证的 对象分为三类:产品、服务和管理体系。目前 在我国信息安全领域，目前针对这三类对象的认证活动都已展开，即信息安全产品认证、信 息安全服务认证和信息安全管理体系认证。目 前，由中国信息安全认证中心开展了针对防火 墙、入侵检测系统(IDS)、网络脆弱性扫描产品、 安全审计产品、网站恢复产品等八类十三种产 品实施国家信息安全产品认证。

2017 年 6 月，根据国家《网络安全法》规 定，国家互联网信息办公室、工业和信息化部、 公安部、国家认监委《关于发布 < 网络关键设 备和网络安全专用产品目录(第一批)> 的公告》 (2017 年第 1 号)，明确了对服务器、交换机、 路由器和 PLC 设备等四类网络关键设备和防火 墙、入侵检测系统(IDS)、网络脆弱性扫描产品、 网络综合审计系统等十一类网络安全专用产品 实施检测或认证的制度。

当然，审查绝不单单是一个单纯的技术性 的审查，而是将企业声誉、背景、资质，产品 研发、制造、交付的过程等各种指标和因素都 纳入，从多角度衡量产品和供应商的可控性与 安全性。我国的信息安全产品认证认可制度应 该算是安全审查工作体系的一部分。

工作面临的困难

制度体系尚不健全

国家《网络安全法》要求关键信息基础设 施的运营者采购网络产品和服务，可能影响国 家安全的，需要进行国家安全。《网络产品和 服务安全审查办法(试行)》要求金融、电信、 能源、交通等重点行业和领域主管部门，根据 国家网络安全审查工作要求组织开展本行业、 本领域安全审查工作。但目前对于关键信息基 础设施中的工业控制系统技术和产品的认定及 安全审查实施实施的主体、程序等内容尚缺乏进一步的法律和法规要求。

2011 年工信部下发了《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕 451 号)，要求对重点领域工业控制系统进行安 全检查和管理。工信部近年先后印发《工业控 制系统信息安全防护指南》和《工业控制系统 信息安全行动计划(2018-2020 年)》，旨在指 导和管理全国工业企业工控安全防护和保障工 作。但以上文件均未明确工业控制领域有关关 键技术和产品的安全审查工作的制度性安排， 同时相关的国家标准和行业标准迟迟未能出台。

工控产业体系尚未形成

近年来我国在工业控制自动化产品研发制 造上取得了长足的进步，涌现出了一大批优秀 的工业自动化设备产品制造商，如和利时、新 华控制、浙大中控、南瑞集团等，国产设备逐 渐在能源、智能制造、市政等工业控制系统中 站稳脚跟并逐渐扩展了市场份额。但同时也必 须看到，在工业控制系统关键软硬件产品上， 我国尚未形成自主的产业体系。

目前我国工业自动化系统中 PLC、DCS、 HMI 等关键设备产品，主要由横河公司，GE、 ABB、SIMENS、施耐德、研华，霍尼韦尔等国 际厂商占据，特别是在高端领域，国际产品几 乎处于垄断状态。根据不完全统计，国际厂商 产品大概在我国高端的 SCADA 数据采集和监视 市场拥有 91% 的份额，在 DCS 分散型数字控制 系统占据 70%。与此同时，对相关产品的安全 性处于不可知不可控状态，完全受制于人。由 于国内在工控核心芯片、基础软件、关键设备 等领域的核心技术研发能力不足，加上知识产 权、商业模式等方面的问题，我国工控产品的 自主产业体系尚未形成，开展工业控制技术和 产品安全审查工作将面临技术标准制定制、保 护国内产品、潜在国际贸易纠纷等困难。 

几点建议 

加快工业控制安全审查制度建设

《网络安全法》从法律层面明确了我国正 式实施网络安全审查制度。网络安全审查制度 不应当等同于外资并购国家安全审查或其中的网络安全部分，其应当具有制度独立性。因 此，迫切需要建立与制度相关的监管执行机制、 第三方评估机制、结果通报机制和社会监督机 制等等。

作为关键信息基础设施的最重要组成部分 和重要行业领域，工业控制领域的安全审查执 行主体需要尽快予以明确，由主管部门推动建 立工控领域关键技术和产品的安全审查组织和 技术体系，并确定工业控制系统技术产品的审 查范围和内容。

加强工业控制技术支撑能力建设

一是要建立工控信息安全标准体系，并纳 入国家网络安全标准化体系建设。针对工业控 制系统，应尽快建立包括安全分级、安全基本 要求、安全防护要求和能力评估各层面的技术 标准;对于工业控制技术和产品，应建立覆盖 访问控制、授权、审计、评估等技术门类的安 全技术要求，用以指导相关技术产品的研发、 检测和审查评估工作。二是建设安全态势感知 与验证、通报预警和应急处置等共性技术设施， 为相关技术产品研发、验证和评估提供试验平 台。三是建设提升网络安全审查专业机构对工 业控制技术产品和服务的漏洞挖掘、病毒分析、软件逆向、代码分析、渗透测试等方面检测评 估能力，为工业控制领域的安全审查提供专业 技术支撑。

加紧工业控制自主产业体系建设

一方面，针对我国工业自动化自主产业体 系较为薄弱的现状，应加大对核心控制设备和 产品的自主研发力度，特别是加大对工控核心 芯片、高端工业软件、关键装备等重要软硬件 的攻关，强化科研成果在重点领域的示范应用 和成果转化，逐步实现工业控制系统国产替代， 保障工业控制产业供应链安全。

同时，打造工业控制安全产业生态链。聚 集工业互联网设备、控制、网络、平台、数据 的安全需求，突破工业网络攻防、安全隔离、 工业协议解析和漏洞挖掘等关键技术，形成覆 盖工业网络不同层面的各类安全防护产品体系; 并强化重要工业软件和大型工业装备的安全设 计和安全技术集成，融合工控系统安全需求与 生产企业装备产品的设计目标，提升软件和装 备自身可靠性和安全性，为国家工业控制领域 的网络安全审查工作提供良好样本。

加快工业控制专业人才队伍建设

无论是工业控制安全防护还是网络安全审 查工作，都需要大量的安全专业人才。在人才 教育方面，既需要在网络安全学科中补充工业 控制自动化知识的教学，也需要在自动化专业 中融合网络安全知识教学。同时，强化工业控 制领域的安全技能职业教育培训，鼓励企业与 院校合作，联合培养跨学科、跨专业的复合型 工控安全专门人才。极力培育工控系统网络安 全保障专家队伍和安全审查评估的可靠人才， 为工业控制领域安全审查提供专业化的智力和技术支持。 

为便于排版，已省去原文注释