李平 李程程

[摘 要] 從工業(yè)控制網(wǎng)絡(luò)特殊的安全防護要求出發(fā)，分析了工控網(wǎng)絡(luò)安全防護存在的問題以及危害，針對目前亟待解決的工控網(wǎng)絡(luò)通信的協(xié)議安全性、工控網(wǎng)絡(luò)的風(fēng)險評估與預(yù)測以及工控網(wǎng)絡(luò)的態(tài)勢分析的關(guān)鍵技術(shù)進行了詳盡分析，對于豐富工業(yè)控制網(wǎng)絡(luò)的安全防護理論體系，指導(dǎo)工業(yè)控制網(wǎng)絡(luò)的安全防護建設(shè)工作有著重要的現(xiàn)實意義。

[關(guān)鍵詞] 工業(yè)控制；網(wǎng)絡(luò)安全；風(fēng)險評估

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 01. 080

[中圖分類號] TN915.08 [文獻標(biāo)識碼] A [文章編號] 1673 - 0194（2019）01- 0186- 04

1 工業(yè)控制網(wǎng)絡(luò)的安全防御體系的概述

近期針對工業(yè)控制網(wǎng)絡(luò)的有組織、有目的的攻擊事件的頻繁出現(xiàn)，如 “震網(wǎng)”及烏克蘭電網(wǎng)攻擊事件等[1-2]，工業(yè)控制網(wǎng)絡(luò)正面臨著日趨嚴重的安全威脅。由于流程工業(yè)控制網(wǎng)絡(luò)（OT）的專業(yè)性較強、運行可靠性要求高，使得工業(yè)控制網(wǎng)絡(luò)的安全防御技術(shù)較傳統(tǒng)的IT信息安全保護技術(shù)有較大不同[3-4]。另外，目前超過80%的關(guān)鍵信息基礎(chǔ)設(shè)施依靠工業(yè)控制網(wǎng)絡(luò)來實現(xiàn)自動化作業(yè)，工業(yè)控制網(wǎng)絡(luò)已經(jīng)成為國家信息關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，其安全已關(guān)系到國家的戰(zhàn)略安全。隨著信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制網(wǎng)絡(luò)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，導(dǎo)致病毒、木馬等威脅正在向工業(yè)控制網(wǎng)絡(luò)擴散，其網(wǎng)絡(luò)安全問題日益突出。由于工業(yè)控制系統(tǒng)廠家對其通信協(xié)議是封閉的，其安全性直接威脅我國的“中國制造2025”國家計劃的安全性，因此，針對工業(yè)控制網(wǎng)絡(luò)安全防御的一些關(guān)鍵技術(shù)研究顯得更加迫切。

2 工業(yè)控制網(wǎng)絡(luò)的安全防御體系的現(xiàn)狀與亟待解決的問題討論

我國的工業(yè)化與信息化現(xiàn)在正處在深度融合階段，工業(yè)控制網(wǎng)絡(luò)在保護需求、響應(yīng)時間與更新周期等方面的要求較之信息網(wǎng)絡(luò)存在較大的不同，使得目前面向信息網(wǎng)絡(luò)的安全防御理論與技術(shù)不能直接應(yīng)用到工業(yè)控制網(wǎng)絡(luò)的安全防御之中。目前在工業(yè)控制網(wǎng)絡(luò)的安全防御建設(shè)工作中，以下幾方面的問題亟待解決：

（1）與工業(yè)控制網(wǎng)絡(luò)相關(guān)的安全防御理論體系有待進一步的完善。國家層面對工業(yè)控制網(wǎng)絡(luò)的安全防御的相關(guān)標(biāo)準、解決的理論與體系亟待完善。

（2）缺乏針對工業(yè)控制網(wǎng)絡(luò)安全防御的相關(guān)技術(shù)手段。由于工業(yè)控制網(wǎng)絡(luò)對于運行的連續(xù)性與響應(yīng)時間等方面的要求較高，有別于信息網(wǎng)絡(luò)的要求，研究針對工業(yè)控制網(wǎng)絡(luò)的安全防御理論及技術(shù)非常必要。

（3）對于來自工業(yè)控制網(wǎng)絡(luò)內(nèi)部的各類攻擊行為的防范能力仍顯不足?，F(xiàn)有的工業(yè)控制網(wǎng)絡(luò)安全防御防范主要針對來自網(wǎng)絡(luò)外部的攻擊行為，對于來自網(wǎng)絡(luò)內(nèi)部的威脅缺乏安全保護機制。

（4）對于工業(yè)控制網(wǎng)絡(luò)設(shè)備資產(chǎn)的管理與監(jiān)控能力不足。目前絕大多數(shù)的工業(yè)控制網(wǎng)絡(luò)中并沒有對于其設(shè)備資產(chǎn)的管理與監(jiān)控機制，容易受到攻擊。

（5）缺乏對于工業(yè)控制網(wǎng)絡(luò)運行狀態(tài)的實時感知：無法發(fā)現(xiàn)正在發(fā)生的攻擊行為，貽誤制止攻擊者的最佳時機。

（6）缺乏對于工業(yè)控制網(wǎng)絡(luò)攻擊事件做出及時響應(yīng)與反制的能力。盡管相關(guān)部門針對國家關(guān)鍵基礎(chǔ)設(shè)施的安全事故制定了應(yīng)急指南，一些危害需要用戶判斷，耽誤了工業(yè)控制網(wǎng)絡(luò)恢復(fù)正常運行所需要的時間，造成損失擴大。

在我國，構(gòu)建一個工控網(wǎng)絡(luò)環(huán)境可信、網(wǎng)絡(luò)狀態(tài)可知、網(wǎng)絡(luò)運行可控的工業(yè)控制網(wǎng)絡(luò)作為防御體系，對于工業(yè)控制網(wǎng)絡(luò)的安全保護建設(shè)工作來說具有至關(guān)重要的理論與現(xiàn)實意義。

3 安全防御體系的關(guān)鍵技術(shù)研究

根據(jù)工信部發(fā)布的《工業(yè)控制網(wǎng)絡(luò)安全防護指南》的建議，在工控安全體系建設(shè)中，需要建設(shè)一個完整的工控系統(tǒng)安全防護體系，包括：工控信息安全管理、工控安全風(fēng)險評估、工控網(wǎng)絡(luò)安全防護以及相應(yīng)的管理制度等，確保工業(yè)控制網(wǎng)絡(luò)信息的安全。其中，有幾項關(guān)鍵技術(shù)亟待研究并實踐。

3.1 工業(yè)控制網(wǎng)絡(luò)協(xié)議安全性研究

目前工業(yè)控制網(wǎng)絡(luò)一直使用著較為復(fù)雜的專有封閉通信協(xié)議，如Modbus/TCP、Profinet、DNP3、OPC等可能存在漏洞，攻擊者可利用漏洞發(fā)送非法控制命令，又由于通信過程不具備加密、認證功能和完成情況保證，存在被竊聽、偽裝、篡改、抵賴和重放的風(fēng)險[5]，可見工業(yè)控制網(wǎng)絡(luò)及其專有通信協(xié)議及規(guī)約的安全性問題亟待解決。在我國關(guān)鍵基礎(chǔ)設(shè)施的大型DCS中，普遍采用OPC通信服務(wù)，而大量的OPC Server往往使用弱安全認證機制，以及過時的認證授權(quán)服務(wù)，因此，對OPC安全研究具有一定的意義。

按照工信部338號文件《工業(yè)控制網(wǎng)絡(luò)安全防護指南》的指導(dǎo)建議，工業(yè)現(xiàn)場應(yīng)該采用指令級工業(yè)防火墻，其要求不僅可以深度解析OPC協(xié)議到指令級別，而且可以跟蹤OPC服務(wù)器和OPC客戶端之間協(xié)商的動態(tài)端口，最小化開放生產(chǎn)控制網(wǎng)的端口，同時對OPC客戶端與OPC服務(wù)器之間傳輸?shù)闹噶钫埱筮M行實時檢測，對于不符合安全要求的操作指令進行攔截和報警，并對OPC進行寫入控制，實現(xiàn) OPC 單向只讀控制，這些安全措施可以極大提升了基于OPC協(xié)議的工業(yè)控制網(wǎng)絡(luò)的網(wǎng)絡(luò)安全。

指令級工業(yè)防火墻針對OPC協(xié)議的安全性，采取的關(guān)鍵技術(shù)：

（1）監(jiān)控OPC網(wǎng)絡(luò)和服務(wù)器：在通信時，動態(tài)實時跟蹤OPC服務(wù)器分配的通信所需要的TCP端口號，盡可能少地打開防火墻的端口，允許數(shù)據(jù)連接通過的同時盡可能關(guān)閉所有未使用的端口。

（2）對OPC客戶端與OPC服務(wù)器之間傳輸?shù)闹噶钫埱筮M行實時檢測，同時對OPC可進行寫入控制，實現(xiàn) OPC 單向只讀控制。

（3）使用OPC-UA：OPC-UA傳遞的數(shù)據(jù)是可加密的，并對通信連接和數(shù)據(jù)本身都可實現(xiàn)安全控制。這種新的安全變種可以保證從原始設(shè)備到MES、ERP系統(tǒng)的各種數(shù)據(jù)的可靠傳遞。

（4）采取增強安全措施：可將OPC服務(wù)器隔離到只包含授權(quán)設(shè)備的唯一分區(qū)中，并采用“分區(qū)加固、身份認證”技術(shù)，達到縱深防御的目的。

（5）通信內(nèi)容加密技術(shù)：所有通信的內(nèi)容都被加密后傳輸，工業(yè)防火墻對收到的信息進行解密后再進行通信協(xié)議過濾和內(nèi)容的深度檢查。

3.2 工業(yè)控制網(wǎng)絡(luò)的風(fēng)險評估技術(shù)

目前“工業(yè)控制網(wǎng)絡(luò)安全是一項系統(tǒng)工程”的觀點已得到了工控界的廣泛的認可和接受，作為該工程的基礎(chǔ)和前提的風(fēng)險評估也越來越受到大家的重視，但在該領(lǐng)域的研究、發(fā)展過程中還需要糾正和解決一些模糊概念和問題：

（1）目前國內(nèi)還缺乏具有自主知識產(chǎn)權(quán)、比較系統(tǒng)地針對工業(yè)控制網(wǎng)絡(luò)系統(tǒng)安全評估標(biāo)準和體系。

（2）工控網(wǎng)絡(luò)風(fēng)險評估過程的主觀性是影響評估結(jié)果的一個相當(dāng)重要而又是最難解決的方面，目前缺乏系統(tǒng)性的指南。

（3）針對工控網(wǎng)絡(luò)風(fēng)險評估工具比較缺乏，市場上關(guān)于信息安全風(fēng)險評估比較成熟的產(chǎn)品很少，工控網(wǎng)絡(luò)風(fēng)險評估相關(guān)的工具更是匱乏。

針對工業(yè)控制網(wǎng)絡(luò)的風(fēng)險評估目前盡管有GB/T33009-2016《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全》系列標(biāo)準，但是工控網(wǎng)絡(luò)系統(tǒng)的敏感性和時效性都要求比較高，因此技術(shù)性的評估設(shè)備在使用過程中，需要做好充分的風(fēng)險識別和處置預(yù)案，如漏洞掃描原則上不能直接應(yīng)用于工控系統(tǒng)，而是通過在備用系統(tǒng)或者停產(chǎn)系統(tǒng)上漏掃的方式進行。對工控系統(tǒng)進行在線漏洞掃描很可能造成生產(chǎn)異常，在這方面是有很多真實案例：某一安全廠商受邀對國內(nèi)某著名火電集團的工控系統(tǒng)做風(fēng)險評估，由于使用在線的漏洞掃描方式，導(dǎo)致數(shù)據(jù)采集服務(wù)器宕機，從而造成關(guān)鍵生產(chǎn)數(shù)據(jù)丟失。

滲透測試作為風(fēng)險評估的有效工具方法，其直觀性顯而易見，但是正所謂凡事有利就有弊，滲透測試的過程控制在工控系統(tǒng)風(fēng)險評估中尤其重要。如果滲透人員對工控系統(tǒng)了解不足，在滲透過程中有誤操作行為產(chǎn)生，那么很可能帶來直接的安全問題生產(chǎn)災(zāi)難，將測試變成了攻擊。

針對工業(yè)控制網(wǎng)絡(luò)風(fēng)險評估的特殊性，比較實用的流程模型見圖1所示。

3.3 工控網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢評測技術(shù)研究

隨著工控網(wǎng)絡(luò)規(guī)模的迅速增大，網(wǎng)絡(luò)的異構(gòu)性和復(fù)雜性日益增強，黑客技術(shù)的快速發(fā)展，使得工控網(wǎng)絡(luò)的安全問題面臨著巨大的挑戰(zhàn)，為了保障工控網(wǎng)絡(luò)的安全，就需要對已有的工控網(wǎng)絡(luò)狀態(tài)信息進行分析，對將來的網(wǎng)絡(luò)狀態(tài)趨勢進行預(yù)測，根據(jù)預(yù)測結(jié)果作出應(yīng)對的策略，減少因網(wǎng)絡(luò)安全問題而造成的損失[6]。

為了保證工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的安全運行，在工業(yè)控制網(wǎng)絡(luò)中廣泛使用了工業(yè)防火墻、IDS、漏洞掃描系統(tǒng)、安全審計系統(tǒng)等安全設(shè)備。每種網(wǎng)絡(luò)安全設(shè)備在使用中都能產(chǎn)生很多的安全事件信息，由于這些設(shè)備存在功能單一，各自為政，不能協(xié)同工作的特點，所以產(chǎn)生的這些安全事件信息中含有大量的重復(fù)報警和誤報警。同時由于工控網(wǎng)絡(luò)的異構(gòu)性和復(fù)雜性，網(wǎng)絡(luò)安全事件多種多樣，產(chǎn)生的網(wǎng)絡(luò)安全數(shù)據(jù)由于來源不同、采集方式不同，具有不確定性、不完整性、變異性和模糊性的特點。為了更好地對網(wǎng)絡(luò)安全事件進行分析和處理，就需要對網(wǎng)絡(luò)安全數(shù)據(jù)進行預(yù)處理，綜合考慮網(wǎng)絡(luò)安全事件的關(guān)聯(lián)性，對相同的和相近的網(wǎng)絡(luò)事件進行合并，去掉冗余，減少誤報警和漏報警概率，有利于提高網(wǎng)絡(luò)安全狀態(tài)評估和預(yù)測的準確性和高效性。常見的關(guān)聯(lián)方法有告警關(guān)聯(lián)、因果關(guān)聯(lián)、屬性關(guān)聯(lián)等。

工控網(wǎng)絡(luò)安全態(tài)勢分析技術(shù)首先要對各種對網(wǎng)絡(luò)安全性有影響的網(wǎng)絡(luò)要素進行檢測和獲得。影響網(wǎng)絡(luò)安全的要素非常廣泛，既有時間上的，也有空間上的。對要素進行采集和獲得之后，要對這些安全信息均采用分類、合并、關(guān)聯(lián)等信息分析手段進行信息融合，然后對融合后的安全信息進行綜合分析與評估，獲得當(dāng)前網(wǎng)絡(luò)的整體安全狀態(tài)信息，最后根據(jù)已有的網(wǎng)絡(luò)安全態(tài)勢信息對網(wǎng)絡(luò)未來的安全態(tài)勢進行預(yù)測。

對網(wǎng)絡(luò)安全態(tài)勢分析工作，主要由以下關(guān)鍵部分構(gòu)成：

（1）態(tài)勢要素的獲?。翰杉瞳@取相關(guān)環(huán)境中的重要信息和線索，獲得原始態(tài)勢數(shù)據(jù)，這是進行態(tài)勢評估和預(yù)測的前提和基礎(chǔ)。

（2）態(tài)勢理解：整合采集到的原始的態(tài)勢數(shù)據(jù)和信息，分析它們之間的相關(guān)性。

（3）態(tài)勢評估：根據(jù)已經(jīng)確定的指標(biāo)體系，定性定量的分析網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)，尋找薄弱環(huán)節(jié)，并給出相應(yīng)的解決方案。

（4）態(tài)勢預(yù)測：根據(jù)對環(huán)境相關(guān)原始信息的理解和分析，預(yù)測事物的未來發(fā)展?fàn)顟B(tài)和趨勢，這是網(wǎng)絡(luò)態(tài)勢研究的終極目標(biāo)。

在如圖2所示的動態(tài)分析體系中，由網(wǎng)絡(luò)傳感器收集網(wǎng)絡(luò)環(huán)境信息，網(wǎng)絡(luò)安全態(tài)勢分析進行覺察、理解和預(yù)測，然后根據(jù)分析的結(jié)果進行網(wǎng)絡(luò)威脅評估，最后將評估結(jié)果提供給決策層進行決策的執(zhí)行。因此，網(wǎng)絡(luò)安全態(tài)勢分析在動態(tài)網(wǎng)絡(luò)安全防護體系中起著非常重要的作用。只有通過實時、準確的態(tài)勢分析，才能有效地進行危險評估，才能在危險評估基礎(chǔ)上采取有效的策略應(yīng)對網(wǎng)絡(luò)安全，否則將不能對網(wǎng)絡(luò)實施“深度防御”，保護網(wǎng)絡(luò)的安全。

4 結(jié) 語

工業(yè)控制網(wǎng)絡(luò)作為關(guān)系到國計民生的關(guān)鍵基礎(chǔ)設(shè)施的重要支柱，其控制網(wǎng)絡(luò)安全問題一直備受關(guān)注。本文從工業(yè)控制網(wǎng)絡(luò)的安全問題出發(fā)，重點討論了工業(yè)控制網(wǎng)絡(luò)安全的通信協(xié)議的安全性、風(fēng)險評估以及態(tài)勢分析等關(guān)鍵技術(shù)，為進一步保障工業(yè)控制網(wǎng)絡(luò)安全的研究擴展了思路。

主要參考文獻

[1]王玉敏.工業(yè)控制系統(tǒng)信息安全防護能力介紹[J].自動化博覽，2015（11）：58-60.

[2]伊勝偉，戴中華，彭勇，等.煉化行業(yè)工業(yè)控制系統(tǒng)信息安全分析[J].工業(yè)控制計算機，2014，27（10）：1-3.

[3]魏可承，李斌，易偉文，等.工業(yè)控制系統(tǒng)信息安全防護體系規(guī)劃研究[J].自動化及儀表，2015，36（2）：49-52.

[4]邸麗清，高洋，謝豐.國內(nèi)外工業(yè)控制系統(tǒng)信息安全標(biāo)準研究[J].信息安全研究，2016，2（5）：435-441.

[5]楊晨，潘衡堯，蔣帥.OPC實現(xiàn)APROS與DCS半實物仿真系統(tǒng)的實時通信[J].化工自動化及儀表，2017，44（4）：392-396.

[6]楊樂.分散控制系統(tǒng)信息安全方案探討[J].石油化工自動化，2017，53（3）：1-4.