◆包 叢 李 煥 李 偉 黃 林 石友晨

多維視角下的工控網(wǎng)絡(luò)安全研究

◆包 叢 李 煥 李 偉 黃 林 石友晨

（新疆油田公司數(shù)據(jù)公司 新疆 834000）

工業(yè)控制系統(tǒng)（ICS）是工業(yè)自動(dòng)化的核心組成部分，同時(shí)也是關(guān)系國家安全的重要基礎(chǔ)設(shè)施組成部分。目前，許多大型工業(yè)生產(chǎn)單位的工業(yè)控制系統(tǒng)面臨著嚴(yán)峻的形勢(shì)。本文基于多維視角，針對(duì)工業(yè)控制系統(tǒng)信息安全體系，分別從“基（工業(yè)控制系統(tǒng)基礎(chǔ)現(xiàn)狀）、標(biāo)（工業(yè)控制系統(tǒng)制度標(biāo)準(zhǔn)）、攻（工業(yè)控制系統(tǒng)威脅攻擊）、防（工業(yè)控制系統(tǒng)入侵防范）、評(píng)（工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估）”五個(gè)方面的內(nèi)容進(jìn)行了深入分析與研究，列舉目前工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全發(fā)展現(xiàn)狀趨勢(shì)以及主要攻擊手段，以及防范措施應(yīng)該如何應(yīng)對(duì)，有助于企業(yè)工控系統(tǒng)防護(hù)能力和水平的進(jìn)一步提升。

工業(yè)控制系統(tǒng)信息安全；工業(yè)控制系統(tǒng)安全標(biāo)準(zhǔn)；工業(yè)控制系統(tǒng)威脅攻擊；工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估

工業(yè)控制系統(tǒng)（Industrial Control System，ICS）大量運(yùn)用在石油石化、電網(wǎng)、軌道交通等關(guān)鍵基礎(chǔ)設(shè)施，它是控制設(shè)備進(jìn)程、傳輸業(yè)務(wù)指令、監(jiān)測(cè)設(shè)備運(yùn)行狀態(tài)的大型智能集成系統(tǒng)[1-2]，能夠收集工控完整數(shù)據(jù)，高效分析處理的業(yè)務(wù)模塊功能[3-4]。如今，ICS系統(tǒng)所面臨的安全形勢(shì)相當(dāng)嚴(yán)峻。根據(jù)研究機(jī)構(gòu)的最新調(diào)查報(bào)告，ICS威脅不論是種類、數(shù)量還是風(fēng)險(xiǎn)程度都呈現(xiàn)快速增長趨勢(shì)，ICS網(wǎng)絡(luò)攻擊擾亂了系統(tǒng)正常運(yùn)行，有的甚至對(duì)ICS系統(tǒng)發(fā)造成了物理損害和人員傷亡，被攻擊后所導(dǎo)致的社會(huì)影響和經(jīng)濟(jì)損失成為企業(yè)最大的威脅風(fēng)險(xiǎn)[5]。

本文基于多維視角，針對(duì)工業(yè)控制系統(tǒng)信息安全體系，分別從“基（工業(yè)控制系統(tǒng)基礎(chǔ)現(xiàn)狀）、標(biāo)（工業(yè)控制系統(tǒng)制度標(biāo)準(zhǔn)）、攻（工業(yè)控制系統(tǒng)威脅攻擊）、防（工業(yè)控制系統(tǒng)入侵防范）、評(píng)（工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估）”五個(gè)方面的內(nèi)容進(jìn)行了深入分析與研究，列舉目前工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全發(fā)展現(xiàn)狀趨勢(shì)以及主要攻擊手段，旨在描述目前工業(yè)控制系統(tǒng)信息安全發(fā)展態(tài)勢(shì)、威脅以及亟待解決問題，為企業(yè)工控系統(tǒng)防護(hù)提供科學(xué)指導(dǎo)。

1 國內(nèi)外工控信息安全標(biāo)準(zhǔn)及政策法規(guī)介紹

國外對(duì)工業(yè)控制系統(tǒng)重要標(biāo)準(zhǔn)及政策基礎(chǔ)的研究相對(duì)早一些，并通過設(shè)立綜合研究多家科研、管理機(jī)構(gòu)來支持標(biāo)準(zhǔn)與政策的研發(fā)。關(guān)鍵基礎(chǔ)設(shè)施方面：2003年美國頒布《關(guān)鍵基礎(chǔ)設(shè)施的識(shí)別、優(yōu)先級(jí)和保護(hù)》、2009年美國政府頒布“國家基礎(chǔ)設(shè)施保護(hù)計(jì)劃”（NIPP）[6]、11年發(fā)布“能源供應(yīng)系統(tǒng)信息安全路線圖”[7]、13年美國頒布《關(guān)鍵基礎(chǔ)設(shè)施的安全性和恢復(fù)力》、14年美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）頒布了《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》；工業(yè)控制系統(tǒng)信息安全方面：由國土安全部成立ICS-CERT（工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組），并建設(shè)了多家工業(yè)控制系統(tǒng)安全研究重點(diǎn)實(shí)驗(yàn)室、美國國家標(biāo)準(zhǔn)與技術(shù)研究院制定并不斷完善了NIST SP800-等標(biāo)準(zhǔn)。這些文件與標(biāo)準(zhǔn)的發(fā)布與實(shí)施，標(biāo)志著美國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)及工業(yè)控制系統(tǒng)安全建設(shè)的工作已趨于成熟。

我國專家隨即開展一系列針對(duì)工業(yè)控制系統(tǒng)信息安全的規(guī)范與標(biāo)準(zhǔn)制定。2018年9月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的17項(xiàng)國家標(biāo)準(zhǔn)正式發(fā)布，這些國家標(biāo)準(zhǔn)將在2019年4月1日起正式實(shí)施，詳細(xì)內(nèi)容包括：GB/T 36626-2018《信息安全技術(shù)信息系統(tǒng)安全運(yùn)維管理指南》、GB/T 36631-2018《信息安全技術(shù)時(shí)間戳策略和時(shí)間戳業(yè)務(wù)操作規(guī)則》、GB/T 36633-2018《信息安全技術(shù)網(wǎng)絡(luò)用戶身份鑒別技術(shù)指南》、GB/T 36635-2018《信息安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測(cè)基本要求與實(shí)施指南》、GB/T 36639-2018《信息安全技術(shù)可信計(jì)算規(guī)范服務(wù)器可信支撐平臺(tái)》、GB/T 36624-2018《信息技術(shù)安全技術(shù)可鑒別的加密機(jī)制》、GB/T 15843.6-2018《信息技術(shù)安全技術(shù)實(shí)體鑒別第6部分：采用人工數(shù)據(jù)傳遞的機(jī)制》、GB/T 36644-2018《信息安全技術(shù)數(shù)字簽名應(yīng)用安全證明獲取方法》[8]。

這些政策標(biāo)準(zhǔn)提供了信息系統(tǒng)安全運(yùn)維管理體系的指導(dǎo)和建議，給出了安全運(yùn)維策略、安全運(yùn)維組織的管理、安全運(yùn)維規(guī)則和安全運(yùn)維支撐系統(tǒng)等方面相關(guān)活動(dòng)的目的、要求和實(shí)施指南。

2 面臨問題及防御措施

2.1 工控系統(tǒng)入侵方式

工業(yè)控制系統(tǒng)是通過工業(yè)網(wǎng)絡(luò)協(xié)議進(jìn)行連接通訊，組成的控制系統(tǒng)[9]。對(duì)于工業(yè)控制系統(tǒng)所面臨的主要威脅的深入分析，有助于改善ICS網(wǎng)絡(luò)的安全狀況，目前ICS信息安全主要的攻擊有：（1）外部威脅APT、目標(biāo)攻擊等，外部攻擊可能涉及政治敵對(duì)勢(shì)力，工業(yè)間諜，黑客活動(dòng)等對(duì)于關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)部門；（2）內(nèi)部心懷不滿員工、第三方等，一些心懷不滿的員工、第三方擁有企業(yè)內(nèi)部的核心訪問權(quán)限，而大部分企業(yè)的身份認(rèn)證機(jī)構(gòu)不完善，缺乏相關(guān)認(rèn)證機(jī)制與管理制度規(guī)定，所以導(dǎo)致其可以隨心所欲的操控內(nèi)網(wǎng)的任何核心設(shè)備。（3）誤操作行為，一些員工的誤操作行為可能導(dǎo)致配置錯(cuò)誤、口令輸送錯(cuò)誤等，其影響可能會(huì)被外部對(duì)手利用，造成對(duì)系統(tǒng)的二次傷害。工業(yè)控制網(wǎng)絡(luò)中針對(duì)ICS設(shè)備的攻擊多種多樣，大多數(shù)威脅病毒首先通過暴露在公網(wǎng)上的工控設(shè)備，然后利用其漏洞進(jìn)而實(shí)現(xiàn)傳播，對(duì)典型的攻擊來源進(jìn)行簡單列舉：ICSGhost勒索蠕蟲：劉煜堃等[10]針對(duì)ICS 高度隔離化的問題，在主要討論P(yáng)LC 與SCADA系統(tǒng)的上位機(jī)兩種主要的工控組件為前提下，提出新型勒索蠕蟲ICSGhost。由于一部分的工程師們?cè)诰W(wǎng)站上下載了捆綁有勒索病毒的破解版軟件，于是該勒索病毒以工程師站作為初次感染源，然后將其為跳板，對(duì)處于內(nèi)部網(wǎng)絡(luò)的工控設(shè)備進(jìn)行攻擊，最后實(shí)現(xiàn)蠕蟲式勒索及感染。像這樣惡意感染的“源碼病毒”還有UnityGhost、SysConst.dcu、Xcode Ghost[11]它們?cè)诰幾g器或者軟件中加載病毒，通過收集用戶的基礎(chǔ)信息，上傳至惡意網(wǎng)站，并具備遠(yuǎn)程控制能力，接收到服務(wù)器指令后，執(zhí)行多種惡意行為。震網(wǎng)病毒（Stuxnet） Kehe Wu等[12]以智能變電站攻擊為例，利用對(duì)象分層形式的Petri網(wǎng)描述工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊程序的整個(gè)過程。

2.2 防御措施

IT信息系統(tǒng)防范方式一般從安全技術(shù)體系、安全管理體系與綜合安全體系研究出發(fā)[13]，包括一系列的安全評(píng)估準(zhǔn)則、管理標(biāo)準(zhǔn)以及技術(shù)手段，如防病毒技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)、風(fēng)險(xiǎn)評(píng)估等。但是工業(yè)控制系統(tǒng)，與傳統(tǒng)信息系統(tǒng)安全有著巨大差異，大部分工業(yè)控制系統(tǒng)是在網(wǎng)絡(luò)威脅出現(xiàn)之前創(chuàng)建的，涉及之初并未考慮內(nèi)置外部安全防控措施。

2.2.1入侵檢測(cè)模型

入侵檢測(cè)是指"通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖"。入侵檢測(cè)是檢測(cè)和響應(yīng)計(jì)算機(jī)誤用的學(xué)科，其作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。入侵檢測(cè)專家系統(tǒng)IDES（ion Detection Expert System）與它的后繼版本NIDES（Next-Generation Intrusion Detection Expert System）均完全基于Denning的模型。該模型的最大缺點(diǎn)是它沒有包含已知系統(tǒng)漏洞或攻擊方法的知識(shí)，而這些知識(shí)在許多情況下是非常有用的信息。國內(nèi)外各研究學(xué)者針對(duì)工業(yè)控制系統(tǒng)中的異常流量、特征庫匹配、工業(yè)協(xié)議深度解析等研究，提出了多種較為完善的安全防御檢測(cè)模型。Suruz Miah等提出基于深度信任網(wǎng)絡(luò)的云輔助物聯(lián)網(wǎng)（CoT）的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)惡意威脅檢測(cè)模型。尚文利等針對(duì)工控網(wǎng)絡(luò)異常行為與入侵行為的差異性，提出基于單類支持向量機(jī)的雙輪廓模型異常檢測(cè)方法，用以模擬工控系統(tǒng)通訊的正常模態(tài)和異常模態(tài)，并通過協(xié)同判別機(jī)制實(shí)現(xiàn)工控系統(tǒng)網(wǎng)絡(luò)的異常檢測(cè)。Andrew Chaves等基于一種工業(yè)控制系統(tǒng)彈性策略，該策略采用主動(dòng)防御技術(shù)來減少由網(wǎng)絡(luò)攻擊引起的故障可能性。將主動(dòng)防御實(shí)現(xiàn)與使用暴露于網(wǎng)絡(luò)攻擊的半模擬廢水處理系統(tǒng)的傳統(tǒng)工業(yè)控制系統(tǒng)彈性實(shí)現(xiàn)進(jìn)行比較。結(jié)果表明，主動(dòng)防御實(shí)現(xiàn)在網(wǎng)絡(luò)攻擊后非常有效，而傳統(tǒng)的彈性實(shí)現(xiàn)則會(huì)導(dǎo)致系統(tǒng)中斷。

2.2.2基于大數(shù)據(jù)的威脅發(fā)現(xiàn)技術(shù)

目前利用大數(shù)據(jù)技術(shù)能夠根據(jù)用戶的上網(wǎng)行為習(xí)慣，建立一個(gè)模型庫，系統(tǒng)會(huì)檢測(cè)到用戶的異常行為，及時(shí)對(duì)偏離日常行為的用戶操作指令進(jìn)行實(shí)時(shí)監(jiān)控，同時(shí)知曉其隱藏的潛在威脅。基于大數(shù)據(jù)的信息挖掘技術(shù)能夠知曉大量新的網(wǎng)站攻擊特性，對(duì)攻擊源頭及時(shí)溯源，對(duì)威脅到數(shù)據(jù)資產(chǎn)、硬件資產(chǎn)、人員資產(chǎn)、軟件資產(chǎn)以及其他支撐或服務(wù)于業(yè)務(wù)系統(tǒng)的資產(chǎn)。對(duì)于APT高持續(xù)威脅性攻擊，其也有一定的適用性，通過對(duì)企業(yè)進(jìn)行全流量鏡像，對(duì)受到攻擊后的后驗(yàn)信息進(jìn)行定期歷史關(guān)聯(lián)性分析，及時(shí)溯源并定位攻擊源。

2.2.3基于AI的數(shù)據(jù)安全處理技術(shù)

AI技術(shù)對(duì)于數(shù)據(jù)、代碼的分析具有高效、快捷、準(zhǔn)確的特點(diǎn)，在提高處理速率的同時(shí)關(guān)注網(wǎng)絡(luò)流量中的無數(shù)信息與編碼漏洞，并對(duì)大量偽裝成可執(zhí)行文件、PDF等可疑文檔進(jìn)行偵測(cè)，對(duì)其在短時(shí)間內(nèi)進(jìn)行快速關(guān)聯(lián)分析，發(fā)現(xiàn)異常文檔、編碼、報(bào)文及流量。在運(yùn)維方面，AI技術(shù)能夠?qū)⑺鸭降耐獠客{情報(bào)信息及相關(guān)運(yùn)維日志等數(shù)據(jù)源進(jìn)行綜合處理并分析。

2.3 工控安全風(fēng)險(xiǎn)評(píng)估

工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估的范圍大致包含如下三個(gè)大的方面：物理安全、技術(shù)安全和管理安全，其中每部分又可以劃分為許多小的方面。目前，評(píng)估方法主要有定性分析法、定量分析、模糊綜合評(píng)判法、層次分析法、貝葉斯網(wǎng)絡(luò)分類法等，評(píng)估工具有問卷調(diào)查表、檢查列表、人員訪談、漏洞掃描、漏洞挖掘、工控審計(jì)、滲透測(cè)試等。由于工控系統(tǒng)的敏感性和時(shí)效性都要求比較高，因此技術(shù)性的評(píng)估設(shè)備在使用過程中，需要做好充分的風(fēng)險(xiǎn)識(shí)別和處置預(yù)案工作。

3 結(jié)論

本文基于多維視角，針對(duì)工業(yè)控制系統(tǒng)信息安全體系，分別從“基（工業(yè)控制系統(tǒng)基礎(chǔ)現(xiàn)狀）、標(biāo)（工業(yè)控制系統(tǒng)制度標(biāo)準(zhǔn)）、攻（工業(yè)控制系統(tǒng)威脅攻擊）、防（工業(yè)控制系統(tǒng)入侵防范）、評(píng)（工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估）”五個(gè)方面的內(nèi)容進(jìn)行了深入分析與研究，列舉目前工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全發(fā)展現(xiàn)狀趨勢(shì)以及主要攻擊手段，以及防范措施應(yīng)該如何應(yīng)對(duì)，希望能夠?yàn)檎趶氖鹿I(yè)控制信息安全的研究單位或者學(xué)者提供一些實(shí)例參考。

[1]Jay LEE. Trends of Big Data Analytics and Cyber-Physical Systems in Industrial 4.0 Systems[A]. Nanjing University of Science and Technology （PRC）、Virginia Polytechnic Institute and State University （USA）、Purdue University （USA）、Chemnitz University of Technology （Germany）、Tokyo Institute of Technology （Japan）、City University of Hong Kong （HK， PRC）.PROCEEDINGS OF THE 5TH INTERNATIONAL CONFERENCE ON MECHANICAL ENGINEERING AND MECHANICS[C].Nanjing University of Science and Technology （PRC）、Virginia Polytechnic Institute and State University （USA）、Purdue University （USA）、Chemnitz University of Technology （Germany）、Tokyo Institute of Technology （Japan）、City University of Hong Kong （HK，PRC），2014：5.

[2]Andrew Chaves，Mason Rice，Stephen Dunlap，John Pecarina. Improving the cyber resilience of industrial control systems[J]. International Journal of Critical Infrastructure Protection，2017，17.

[3]H.M. Leith，John W. Piper. Identification and application of security measures for petrochemical industrial control systems[J]. Journal of Loss Prevention in the Process Industries，2013，26（6）.

[4]Wei Kang，Xinguo Xu，Lin Li，Zhiqi Fang. Building Safety Mechanism in Industrial Control System Based on Essential Safety[M].Springer International Publishing：2014-06-15.

[5]Shun Kondo，Hiroto Sakashita，Souta Sato，Takashi Hamaguchi，Yoshihiro Hashimoto. An application of STAMP to safety and cyber security for ICS[M].Elsevier Inc.：2018-08-09.

[6]Department of Homeland Security.National Infrastructure Protection Plan[R].Washington DC，USA：Department of Homeland Security，2009.

[7]Energy Sector Control Systems Working Group（ESCSWG）.Roadmap to Achieve Energy Delivery Systems Cybersecurity[R].Washington DC，USA： Office of Electricity Delivery & Energy Reliability，2011.

[8]工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018—2020年）[N].中國電子報(bào)，2018-01-09（002）.

[9]Andrew Chaves，Mason Rice，Stephen Dunlap，John Pecarina. Improving the cyber resilience of industrial control systems[J]. International Journal of Critical Infrastructure Protection，2017，17.

[10]劉煜堃，諸葛建偉，吳一雄.新型工業(yè)控制系統(tǒng)勒索蠕蟲威脅與防御[J].計(jì)算機(jī)應(yīng)用，2018，38（06）：1608-1613.

[11]XIAO C.Novel malware xcodeghost modifies xcode’infects appleios apps and hits app store [EB/OL]. [2017-10-16].https：//researchcenter.paloaltonetworks.com/2015/09/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store/.

[12]Kehe Wu，Yi Li，F(xiàn)ei Chen，Long Chen. A method for describing industrial control system network attack using object Petri net[J]. IEEJ Transactions on Electrical and Electronic EngIneering，2016，11（2）.

[13]布寧，劉玉嶺，連一峰，黃亮.一種基于UML的網(wǎng)絡(luò)安全體系建模分析方法[J].計(jì)算機(jī)研究與發(fā)展，2014，51（07）：1578-1593.