★機械工業儀器儀表綜合技術經濟研究所劉瑤，張亞彬，張鑫，王麟琨，熊文澤

★國家石油天然氣管網集團有限公司油氣調控中心孫鐵良

1　引言

隨著工業控制系統智能化、網絡化的推進，信息物理加速融合，工控系統面臨更多的網絡安全挑戰。然而，工控網絡安全與傳統的IT安全存在顯著差異，主要體現在實時性、可用性、技術壽命、打補丁、抗病毒能力等方面。本文分析了當前工控系統網絡安全面臨的主要問題和新形勢下的安全需求，旨在為工業控制系統網絡安全防護提供參考和建議。

2　工業控制系統定義與范圍

2.1　工業控制系統定義

工業控制系統是以工業實體為調控對象，可完成數據采集、自動控制、終端執行等多種功能任務的軟硬件組件、設備的集成系統，包括但不限于傳感器、儀器儀表、數據采集和監控系統、集散控制系統、可編程邏輯控制器、專用控制器、人機界面、遠程終端單元等。

2.2　IEC 62264-1視角下的工業控制系統范圍

IEC 62264-1里給出了一種制造企業視角下的企業控制系統通用模型^[1]，如圖1所示，分4層。工業控制系統涵蓋第0層、第1層、第2層以及部分的第3層：第0層是工業控制系統的控制對象；第1層和第2層主要完成工業現場控制和過程監控，是工業控制系統的核心功能，可分為連續控制、離散控制和批控制三類；第3層中與工業現場控制緊密關聯的部分，如工作流程/配方控制、生產過程優化等。第3層大部分功能及第4層所有功能不屬于工業控制系統范疇，但仍屬于業務相關系統

在電力、油氣等工業領域實際工業控制系統架構與這個模型存在一定差異，一些層次可能不適用或需要扁平化。除了企業視角，裝備視角下工業控制系統范圍更廣，幾乎無處不在，在工業領域應用的各類機電類裝備都會有控制系統，如PLC或專用控制器組成的控制系統。

圖1IEC 62264-1中定義的功能層次模型

3　工業控制系統安全概念

安全在英文中有safety和security兩個詞，表示安全的不同維度。通常來說，security表示惡意的、由于外界對系統的影響導致的事故；safety表示偶然發生的、由于內在錯誤（如設備故障、誤動作）導致系統對外界影響引發的事故。因此，“網絡安全”是Cyber Security，“功能安全”是Functional Safety，其代表的就是系統安全的不同維度。

3.1　工控網絡安全

根據IEC 62443-1-1，工控系統網絡安全security的定義是：

（1）為保護系統采取的措施；

（2）建立和維護系統的保護措施而產生的系統狀態；

（3）能夠使系統資源免受未經授權的訪問，以及未經授權或意外的修改、破壞或丟失；

（4）基于計算機的系統能夠提供足夠的能力，確保未經授權的人員和系統既不能修改軟件及其數據，也不能訪問系統功能，同時確保授權人員和系統不會被拒絕；

（5）防止對工業自動化和控制系統非法或多余的滲透，或干擾工業自動化和控制系統正常和預期運行^[2]。

與IT系統網絡安全事件相比，工業控制系統的入侵者在獲取到系統權限后，除可能會盜取企業用戶敏感信息外，還可能對工業生產過程產生破壞，目標是影響工廠正常運轉，甚至損毀設備或造成重大生產事故，引發人員傷亡、經濟損失等。

3.2　功能安全

功能安全是指避免由系統功能失效導致的不可接受風險，主要關注當系統發生功能失效后，如何將系統導入安全可控的狀態^[2]。在工業領域，工業生產系統通過功能安全設計和固有安全設計共同實現本質安全目標：達到故障安全（即使系統中設備發生故障，系統也能及時檢測到并導入或保持安全狀態）和失誤安全（即使人員操作錯誤，系統也能及時導入或保持安全狀態）。基于電氣/電子/可編程電子技術實現的功能安全，在石油、化工、汽車、電力、軌道交通等領域得到了廣泛應用，在生產安全保障方面發揮了重要作用，基礎標準是IEC 61508（GB/T20438）。

3.3　工控網絡安全和功能安全的關系

隨著IT和操作技術（OT）的深度融合，網絡安全威脅逐漸突破自身邊界，對功能安全相關系統及其保護對象產生威脅，工控網絡安全與功能安全技術間的沖突消解和協同防護成為工業控制系統安全相關領域熱點問題和前沿技術。

國際電工委員會（IEC）成立TC65/WG20工作小組，其任務是在工業過程測量控制和自動化領域搭建功能安全和網絡安全的橋梁。該小組以IEC 61508和IEC 62443系列標準為基礎，結合工業控制系統應用需求，提出了功能安全和網絡安全協調框架，于2019年5月完成IEC 63069標準制定。該標準除對可能產生歧義的兩安（safety和security）相關概念進行統一定義和解釋以外，還提出了功能安全和網絡安全交互框架。交互框架為二者融合過程中可能出現的沖突提供了解決方案，該標準認為網絡安全是為系統功能和功能安全提供一個安全執行環境。基于目前對于功能安全和網絡安全的差異分析，本文從基本概念出發，對于兩個安全的基本聯系如圖2所示。

圖2功能安全和網絡安全的關系

從功能安全視角，工業控制系統可劃分為安全相關系統和基本過程控制系統，基本過程控制系統發生失效將對安全相關系統產生一次要求；這兩種系統都可能發生網絡安全問題。從功能安全角度，安全相關系統發生故障若未能及時控制（例如未設計冗余）將導致功能失效，如果此時產生動作要求（系統處于要求模式）或系統處于連續模式，將產生危險事件；網絡安全方面：任何子系統的脆弱性被威脅利用并執行攻擊，將導致網絡安全事故。事故影響分三種：無安全影響；成為基本過程控制子系統的新故障源；或成為安全相關系統的新故障源。功能安全與網絡安全既存在聯系又有沖突^[3]：

（1）安全導向的沖突：在一些時候safety和security要求的導向可能完全相反。以防火門為例，從功能安全的角度對于防火門或防火門控制系統要求打開操作簡單、明顯，這樣在發生火災（對防火門產生一次要求）時可確保輕易打開；而從安全防護（Security）的角度，防火門應設置開啟權限，防止外部侵入。

（2）冗余沖突：冗余在safety中可提高可靠性、可用性，而從security的角度更多的冗余意味著更多的漏洞或接口，可能產生的脆弱性也更多。

（3）設計沖突：某些加強一個安全方面的設計可能是另一個安全方面的缺陷。一個經典的例子是某汽車設計為車頂受到巨大壓力時（即翻車的時候）可以自動打開車門從而保證車內人員逃生，但這個特性卻為偷車賊提供了便利，前者是Safety問題，后者是Security問題。

（4）運維沖突：功能安全要求變更受控，網絡安全需及時更新。

因此，工控系統的網絡安全需兼顧生產控制系統和安全相關系統的防護，與功能安全實現協同并化解沖突。

4　工業控制系統網絡安全特點

4.1　工控網絡安全威脅

工業控制系統網絡安全威脅主要源于操作系統、軟件、硬件和協議漏洞，攻擊者常利用這些漏洞入侵系統。設備普遍使用過時系統，存在未修補漏洞和默認密碼。威脅來源還包括內部無意事件、第三方后門和內部惡意攻擊。隨著工業智能化、數字化和網絡化的推進，系統從封閉轉向開放，增加了攻擊路徑和面。黑客可能針對關鍵設施發起APT攻擊，如烏克蘭電網和沙特石化廠事件。在工業企業內各層級，常見的攻擊類型和影響分析如表1所示。

表1工業企業內各層級攻擊類型和影響

與IT網絡安全不同，工控安全的底線是保證生產和不出事故。對于工控系統來說，隱性攻擊和未知病毒是兩類目前難以通過現有網絡安全防護措施抑制的攻擊，需要依賴功能安全等其他保護措施來控制風險。

從伊朗“震網”病毒攻擊等案例可知，工業控制系統攻擊分兩部分：一是網絡攻擊，探測、入侵信息網絡，獲取數據修改權限；二是利用系統設計和業務流程篡改指令或數據，造成異常運行或阻止安全響應。第一部分類似常規網絡攻擊，第二部分體現工業生產特殊性，攻擊者結合業務邏輯和保護機制設計策略，使系統達特定狀態并隱藏攻擊行為，這些事件具信息物理耦合與攻擊隱蔽特點。傳統工業生產系統因封閉和專用通信難被攻擊，隨著向網絡化、智能化演進，系統開放互聯，信息域與物理域深度耦合。針對此類系統的攻擊需考慮業務流程和物理約束，其破壞力依賴這些條件。工業生產系統有針對自然故障的安全機制，但攻擊者常長期潛伏，獲取系統知識以避開監控，最終針對特定業務流程和安全機制制定策略，利用網絡攻擊技術協同攻擊多目標，繞過物理防護，破壞工業生產過程和設備，影響工廠正常運轉，甚至造成重大生產事故。這種潛伏性與協同性是工業攻擊與傳統互聯網攻擊的主要區別。

4.2　工控網絡安全和IT網絡安全差異

相比傳統信息系統，工控系統首要目標是完成測量、控制、監控等業務，與工業相關，在安全需求等方面有特殊性。相比IT網絡安全，工控網絡安全需適應特殊物理環境、實時性、可靠性、連續性等需求及工業協議特征，防護更復雜、成本更高、難度更大。ISATR84.00.09給出了工控security和ITsecurity的對照^[4]，如表2所示。

表2工控security和ITsecurity差異對照表

5　工業控制系統網絡安全需求及挑戰分析

5.1　工控系統網絡安全現存問題

結合工控系統網絡安全特點，當前存在以下幾方面問題：

（1）大量在役工業控制系統為老舊系統，網絡安全考量有限。因其生命周期長、可靠性高，大量運行系統仍用十余年前產品技術，部署時較少考量網絡安全風險與防護措施。此外，對現有系統進行網絡安全升級，需全面評估對現行系統的影響。

（2）網絡安全防護產品的生命周期與可靠性可能和工控系統不適應，若部署時未與工控系統同步生命周期或無法適應工業應用環境，就無法為工控系統長期提供防護，還可能成為系統新的故障點或風險點。如部分工控系統可靠性要求99.99%，安全防護產品一般難以達到。

（3）工業領域場景復雜、設備多樣，防護技術通用性面臨挑戰。工業設備系統定制化，組合多、差異大、通信協議通用性低，同一設備也有配置差異，廠商間存在技術壁壘，攻防技術難通用。設備系統問題多需特定廠商處理，廠商遠程維護升級還可能致機密信息泄露。

（4）工控系統接入設備多、供應商分散，發現和控制漏洞后門困難。接入設備全生命周期不斷變化，需防御新攻擊、緩解新漏洞風險。供應商分散致供應鏈管理追溯難，我國大量使用的國外專用軟硬件設備采取“黑盒”操作，難發現安全隱患。

（5）傳統IT安全技術在實時性方面不能滿足工業現場需求。IT系統對響應實時性要求低，短暫的重啟或中斷可以接受；而工控系統對實時性要求極高，高時延可能引發生產事故。

（6）工控系統對可用性要求高，更新升級管理難。其設計重點在于完成生產過程所需的動作，因此工控系統網絡安全需優先保障企業生產過程的穩定性和可用性。傳統IT安全產品需及時更新特征庫，否則無法有效防護。多數工業企業為減少外界擾動，不允許工控系統直連互聯網，升級需提前規劃、專業操作和全面測試，導致更新特征庫滯后，防護能力減弱。

（7）工業設備計算資源受限，抗病毒能力弱。老舊工業硬件設備無額外資源支持病毒查殺與庫升級，安裝殺毒軟件可能影響生產，目前缺少針對工控系統的抗病毒工具或軟件。

（8）IT網絡安全風險評估方法不完全適用于工控網絡。工業生產系統高危受攻擊可能導致嚴重后果，網絡安全風險評估需結合生產安全風險融合評估。

5.2　工控系統新技術帶來的新挑戰

新技術的應用也為工控系統帶來新的安全挑戰：

（1）信息物理融合帶來新的問題：傳統工業生產系統與外界隔離，監控和控制操作大多在本地執行。信息物理融合后，原本封閉的工業控制系統增加了更多的接入設備和互聯系統，企業之間和工廠內部各層級間互聯互通，數據交互頻繁復雜，為外部攻擊提供了更多類型的渠道和更廣泛的攻擊面，固有脆弱性進一步增加，且系統呈現出扁平化趨勢，至底層生產過程的攻擊鏈路進一步縮短。攻擊者可以利用漏洞，篡改控制系統（包括功能安全相關系統）的功能邏輯或數據，使系統受控/失控，進而對物理域生產系統實施破壞，引發嚴重的生產安全事故。此外，工業現場針對高危后果設置的功能安全相關系統（如安全儀表系統）如何部署網絡安全防護以及網絡安全防護如何不影響安全功能執行的問題尚未得到很好解決^[5]。

（2）智能化新技術也帶來新的安全挑戰，如大規模人工智能（AI）的應用：AI學習框架和組件存在安全漏洞風險，可引發工業控制系統安全問題；AI技術可提升網絡攻擊能力，對現有網絡安全防護體系構成威脅與挑戰；AI算法能夠通過逆向攻擊獲取并記錄訓練數據和運行時采集數據的細節；AI技術可加強數據挖掘分析能力，加大工業敏感信息泄露風險。

6　工業控制系統網絡安全防護現狀和趨勢

6.1　工控網絡安全技術

當前，工業控制系統安全防護技術主要借鑒優化信息技術領域現有技術。我國“十三五”和“十四五”規劃期間啟動相關項目，初步構建防護技術體系，開發相應設備與系統^[6]。目前，常用網絡安全防護技術及發展趨勢包括：網絡分段與隔離，用工業防火墻等實現隔離和過濾；升級安全協議，推動新一代協議應用；入侵檢測與響應，部署專業設備、分析流量并利用人工智能；工業控制蜜罐用于誘捕威脅；強化身份認證，采用零信任架構；漏洞管理與補丁，更新修補高危漏洞、用虛擬補丁緩解風險；對相關人員進行OT安全培訓；制定應急響應計劃，含預案、演練和數據備份；還有構建攻擊圖等其他技術。這些技術依防護策略分被動和主動兩類，被動防護是受攻擊后采取措施，主動防護是攻擊前消除潛在威脅。目前防護重點傾向邊界防護，但傳統防御技術難抵御新型攻擊，工業控制系統網絡安全防護正從邊界、被動向縱深、主動轉變。此外，防護要兼顧工業生產系統本體和功能安全，簡單對功能安全系統增加網絡安全防護措施可能破壞原有保護功能，所以要考慮多種安全技術兼容性，結合多方面因素研究建立新型防護技術體系和解決方案。

6.2　工控網絡安全管理

當前，工業生產企業的工控網絡安全管理主要由單位信息化部門承擔。但因信息化部門人員知識結構受限，推進工控網絡安全管理有一定障礙，專業人才匱乏制約企業提升防護能力。此外，工控網絡安全事件應急預案普遍不完善甚至缺失，少數單位雖有預案也難與安全生產事故應急預案有效對接，系統受攻擊致生產中斷時，企業難以迅速恢復生產并降低損失。工業控制系統網絡安全與安全生產緊密相關，需將傳統網絡安全管理策略與流程融入生產安全管理體系。最后，國內工業控制系統網絡安全標準碎片化，企業實踐中可能無標準可依或無法系統獲取適用標準，不利于構建有效管理體系。綜上，工業控制系統網絡安全在管理制度、人才培養、體系構建、標準完善等方面問題諸多，亟需解決。

6.3　工控網絡安全防護發展趨勢

（1）縱深防護、主動防護：當前工業控制系統防護的重點仍偏向于邊界防護，如電力系統實行“安全分區、網絡專用、橫向隔離、縱向認證”的安全防護策略。但基于已知攻擊特征封堵的傳統防御技術已無法有效抵御新型網絡攻擊，如以APT為代表的高級可持續攻擊，攻擊者常利用隱蔽復雜手段，通過持久滲透發動針對性攻擊，表現出強烈隱蔽性、潛伏性和長期糾纏性。因此，新形勢下工業控制系統網絡安全防護正在從單純的邊界防護、被動防護向縱深防護、主動防護轉變。

（2）融合防護：工業控制系統網絡安全防護技術需兼顧工業生產系統本體和功能安全。傳統上，針對工業生產系統本體都建立有相對完善的功能安全系統，以保證工業過程出現故障、失效、失誤甚至自然災害時依然維持安全。但在新形勢下，網絡攻擊作為一種新的危險源，傳統的功能安全系統大多沒有考慮，簡單加上網絡安全措施，可能會破壞安全功能（如阻礙保護功能執行、降低保護功能動作及時性、增加保護系統負荷等），從而導致工業生產系統面臨的安全風險顯著上升。因此，在面對工業系統時，應充分考慮多種安全技術之間的兼容性問題，不能孤立地考慮系統的網絡安全防護，還應該考慮部署在OT系統的網絡安全防護設施是否會對生產系統的可用性、可靠性、實時性、確定性、耐久性、連續性、魯棒性等固有屬性造成影響，避免為了實現網絡安全最終導致功能安全的問題，從而造成對工業生產系統正常運行甚至是資產、人員、環境的影響。

綜上，工業控制系統網絡安全防護需結合工控系統網絡攻擊特點、應用場景需求、生產業務特點、多安全兼容性要求等各方面的考慮研究建立新型防護技術體系和解決方案

7　結論

未來，隨著工業數字化和智能化的深入推進，工控系統的網絡安全問題將更加復雜。因此，需持續關注工控系統的特點和需求，推動技術創新與管理優化相結合，構建多層次、全方位的防護體系，確保工業生產的安全穩定運行。

★基金項目：國家重點研發計劃項目（2023YFB3107703）。

作者簡介：

劉　瑤（1987-），女，江蘇泰州人，正高級工程師，學士，現就職于機械工業儀器儀表綜合技術經濟研究所，主要研究方向為功能安全、工控信息安全及安全一體化。

張亞彬（1986-），男，河北保定人，高級工程師，博士，現就職于機械工業儀器儀表綜合技術經濟研究所，主要研究方向為智能制造與工控安全共性關鍵技術及標準研制。

張　鑫（1990-），男，山東聊城人，高級工程師，博士，現就職于機械工業儀器儀表綜合技術經濟研究所，主要研究方向為風險評估等共性關鍵技術研究及標準研制。

王麟琨（1974-），男，黑龍江人，教授級高工，博士，現就職于機械工業儀器儀表綜合技術經濟研究所，主要研究方向為現場總線、機電控制。

熊文澤（1986-），男，四川渠縣人，正高級工程師，碩士，現就職于機械工業儀器儀表綜合技術經濟研究所，主要研究方向為復雜系統安全和可靠性分析評價。

孫鐵良（1967-），男，山東德州人，高級工程師，學士，現就職于國家石油天然氣管網集團有限公司油氣調控中心，主要研究方向為自動化控制、通信和工控系統網絡安全等。

參考文獻：

[1] IEC 62264-1-2013, Enterprise- [2] IEC/TS 62443-1-1-2009, Industrial control system communication integration-Part 1: Models and networks-Network and system terminology[S]. security-Part 1-1: Terminology, concepts and

models[S].

[3] 熊文澤, 王麟琨, 劉瑤. 信息物理生產系統(CPPS)安全一體化設計與工程[J]. 中國儀器儀表, 2024, (4) : 74 - 79.

[4] ISA-TR84.00.09-2017, Cyber security Related to the Functional Safety Lifecycle[S].

[5] 劉瑤, 張鑫, 王麟琨. 信息物理生產系統(CPPS)面臨的安全挑戰與解決思路[J]. 中國儀器儀表, 2024, (2) : 78 - 83.

[6] 孫彥斌, 汪弘毅, 田志宏, 等. 工業控制系統安全防護技術發展研究[J]. 中國工程科學, 2023, 25 (6) : 126 - 136.

摘自《自動化博覽》2025年8月刊