歐中意

[摘 ? ?要 ]隨著國(guó)際上互聯(lián)網(wǎng)工業(yè)、工業(yè)4.0等提出，積極推進(jìn)了生產(chǎn)與制造方式的革新、產(chǎn)業(yè)組織的形式創(chuàng)新以及產(chǎn)業(yè)結(jié)構(gòu)升級(jí)，使得傳統(tǒng)行業(yè)的基礎(chǔ)設(shè)施能夠?qū)崿F(xiàn)遠(yuǎn)程控制和智能化操作，高度融合IT技術(shù)的工業(yè)自動(dòng)化應(yīng)用得到迅速而廣泛的使用。工業(yè)自動(dòng)化控制系統(tǒng)設(shè)計(jì)之初是為實(shí)現(xiàn)各種工藝要求的電氣設(shè)備的集中控制及各種傳感器數(shù)據(jù)的采集顯示，多數(shù)情況下沒(méi)有考慮安全和防護(hù)方面的需求，當(dāng)這些系統(tǒng)暴露在外部網(wǎng)絡(luò)時(shí)，無(wú)疑將給他們所控制的重要基礎(chǔ)設(shè)施、系統(tǒng)、關(guān)鍵設(shè)備等帶來(lái)巨大的安全隱患。

[關(guān)鍵詞]工業(yè)自動(dòng)化;控制系統(tǒng);網(wǎng)絡(luò)安全;漏洞防護(hù)

[中圖分類號(hào)]TP273 [文獻(xiàn)標(biāo)志碼]A [文章編號(hào)]2095–6487（2021）06–00–03

[Abstract]With the international Internet industry， Industry 4.0， and the domestic strategy "Made in China 2025"， the innovation of production and manufacturing methods， the innovation of industrial organization and the upgrading of industrial structure have been actively promoted， so that the infrastructure of traditional industries can be Realize remote control and intelligent operation. Industrial automation applications that are highly integrated with IT technology are quickly and widely used. The industrial automation control system was originally designed to achieve centralized control of electrical equipment and various sensor data required by various processes. Collections show that in most cases， security and protection requirements are not considered. When these systems are exposed to external networks， they will undoubtedly bring huge security risks to the important infrastructure， systems， and key equipment they control.

[Keywords]industrial automation; control system; network security; vulnerability protection

1 建設(shè)背景

近年，信息化技術(shù)在各行各業(yè)中的應(yīng)用取得了蓬勃發(fā)展，包括工業(yè)自動(dòng)化控制領(lǐng)域，通過(guò)TCP/IP通用協(xié)議技術(shù)，將工業(yè)自動(dòng)化控制系統(tǒng)與企業(yè)管理系統(tǒng)緊密聯(lián)系在一起。另一方面，傳統(tǒng)的工業(yè)自動(dòng)化控制系統(tǒng)采用專門(mén)的軟硬件和數(shù)據(jù)交換協(xié)議，在設(shè)計(jì)和建設(shè)時(shí)多數(shù)沒(méi)有考慮與其他系統(tǒng)互聯(lián)互通時(shí)所必須考慮的通信安全問(wèn)題。企業(yè)管理系統(tǒng)與工業(yè)自動(dòng)化控制系統(tǒng)之間的網(wǎng)絡(luò)防護(hù)能力都很弱，或者干脆就沒(méi)有隔離功能，安全隱患日趨嚴(yán)峻，工業(yè)自動(dòng)化控制系統(tǒng)中的任何一點(diǎn)遭到入侵都有可能致使整個(gè)管理系統(tǒng)癱瘓。

水務(wù)行業(yè)工業(yè)自動(dòng)化控制系統(tǒng)安全事關(guān)重大，一旦出現(xiàn)網(wǎng)絡(luò)攻擊，將會(huì)出現(xiàn)不可控的嚴(yán)重后果。在高度信息化為工廠生產(chǎn)管理帶來(lái)便利的同時(shí)，工廠控制網(wǎng)絡(luò)也由原來(lái)的相對(duì)封閉變得更加開(kāi)放，勢(shì)必會(huì)面臨越來(lái)越多的網(wǎng)絡(luò)威脅。國(guó)內(nèi)外出現(xiàn)過(guò)多次由網(wǎng)絡(luò)安全引發(fā)的安全事故，導(dǎo)致用戶信息泄露、污水進(jìn)入供水系統(tǒng)等嚴(yán)重后果，影響深遠(yuǎn)。

2 安全風(fēng)險(xiǎn)分析

水務(wù)行業(yè)工業(yè)自動(dòng)化控制系統(tǒng)安全的薄弱點(diǎn)是指在工業(yè)自動(dòng)化控制系統(tǒng)缺少保護(hù)措施時(shí)，系統(tǒng)易被攻擊問(wèn)題原因主要概括為以下幾點(diǎn)。

2.1 操作系統(tǒng)漏洞

目前大多數(shù)工業(yè)自動(dòng)化控制系統(tǒng)的上位機(jī)和操作員站及服務(wù)器采用Windows和Linux系列平臺(tái)操作系統(tǒng)，考慮到控制系統(tǒng)的相對(duì)獨(dú)立性和運(yùn)行穩(wěn)定性，通常在系統(tǒng)安裝好正常運(yùn)行后，基本不會(huì)安裝任何補(bǔ)丁和升級(jí)，包括PLC控制器軟件、上位機(jī)組態(tài)軟件以及操作系統(tǒng)軟件。這樣使已知可利用漏洞以及未知漏洞得不到及時(shí)修復(fù)，從而埋下安全隱患。

某些主機(jī)開(kāi)啟了RDP遠(yuǎn)程桌面服務(wù)、Telnet遠(yuǎn)程服務(wù)、操作系統(tǒng)的共享服務(wù)等，且部分服務(wù)亦存在等待修復(fù)的安全漏洞。不法分子可以成功利用這些漏洞獲得全部管理員權(quán)限，可以用此權(quán)限完全控制設(shè)備。

2.2 應(yīng)用軟件漏洞

由于工控設(shè)備的多樣性導(dǎo)致其軟件的不同，且軟件著作權(quán)等知識(shí)產(chǎn)權(quán)的保護(hù)，各軟件對(duì)外應(yīng)用的端口不一，難以達(dá)到用統(tǒng)一的規(guī)范對(duì)安全問(wèn)題進(jìn)行防范，且應(yīng)用軟件本身也有一些未知的問(wèn)題待發(fā)現(xiàn)和修復(fù)。用常規(guī)的防范措施（殺毒軟件、防火墻等）很難為系統(tǒng)的安全保駕護(hù)航。

2.3 網(wǎng)絡(luò)結(jié)構(gòu)漏洞

工業(yè)自動(dòng)化控制系統(tǒng)網(wǎng)絡(luò)中的各個(gè)子系統(tǒng)之間，實(shí)現(xiàn)了互聯(lián)的功能，但這種互聯(lián)也基本都是原始的、開(kāi)放性的。不同的子系統(tǒng)之間通過(guò)標(biāo)準(zhǔn)Modbus協(xié)議、OPC服務(wù)等進(jìn)行通信，其作為自動(dòng)化控制系統(tǒng)與各智能化儀表或?qū)拥闹虚g人，分別與工業(yè)自動(dòng)化控制系統(tǒng)及這些子系統(tǒng)之間都存在大量的通信接口，而這些數(shù)據(jù)通信之間又未完善隔離措施，威脅一旦進(jìn)入網(wǎng)絡(luò)內(nèi)部，將快速擴(kuò)散到系統(tǒng)各處。

2.4 通信協(xié)議漏洞

水務(wù)行業(yè)大量工業(yè)自動(dòng)化控制系統(tǒng)中使用的協(xié)議設(shè)計(jì)之初主要保證通信實(shí)時(shí)性和可靠性，實(shí)現(xiàn)這些目標(biāo)的同時(shí)犧牲了協(xié)議本身的安全性因素，存在大量安全性缺陷。

2.5 工控設(shè)備后門(mén)和漏洞

設(shè)備集成商對(duì)于出廠的設(shè)備或系統(tǒng)的維護(hù)手段，除了前期現(xiàn)場(chǎng)調(diào)試、現(xiàn)場(chǎng)維護(hù)，其次為了作業(yè)的方便及出行經(jīng)濟(jì)性方面考慮，使用得最多的還是“遠(yuǎn)程控制”的方式。為了達(dá)到這個(gè)“遠(yuǎn)程控制”維護(hù)的便捷性，不得不制造一些后門(mén)，在需要時(shí)將這些后門(mén)打開(kāi)進(jìn)行遠(yuǎn)程維護(hù)，不需要時(shí)則將其關(guān)閉，看似精明的游擊戰(zhàn)略卻也給了入侵者攻擊的機(jī)會(huì)。

2.6 外部風(fēng)險(xiǎn)來(lái)源

工業(yè)自動(dòng)化控制系統(tǒng)網(wǎng)絡(luò)面臨多種威脅，如人為事故、不法組織、敵對(duì)政府、心懷不滿的員工等。他們的主要目標(biāo)包括長(zhǎng)期潛伏收集數(shù)據(jù)和情報(bào)、破壞生產(chǎn)和基礎(chǔ)設(shè)施、竊取核心研發(fā)技術(shù)、要挾獲取利益等。

2.7 外部滲透手法

隨著智慧水務(wù)的建設(shè)，兩網(wǎng)實(shí)現(xiàn)深度融合，越來(lái)越多的攻擊者利用企業(yè)網(wǎng)作為跳板一步一步進(jìn)入生產(chǎn)網(wǎng)，最終實(shí)現(xiàn)入侵工業(yè)自動(dòng)化控制系統(tǒng)的目標(biāo)。

2.8 非法外聯(lián)

員工在工程師站或操作員站電腦上私自連接無(wú)線WiFi上網(wǎng)，導(dǎo)致自動(dòng)化控制系統(tǒng)與互聯(lián)網(wǎng)直接連通，把整個(gè)系統(tǒng)暴露在互聯(lián)網(wǎng)下等。

3 建設(shè)需求分析

通過(guò)現(xiàn)場(chǎng)安全調(diào)研和信息匯總，針對(duì)現(xiàn)場(chǎng)的安全需求匯總歸納如下。

3.1 網(wǎng)絡(luò)通信層面

3.1.1 安全域架構(gòu)設(shè)計(jì)缺失

整體架構(gòu)設(shè)計(jì)當(dāng)初考慮更多的是上層網(wǎng)絡(luò)（MES）與生產(chǎn)系統(tǒng)網(wǎng)絡(luò)通信可用性問(wèn)題，在辦公網(wǎng)與生產(chǎn)網(wǎng)之間沒(méi)有進(jìn)行安全隔離與控制。這樣極易導(dǎo)致生產(chǎn)系統(tǒng)和生產(chǎn)數(shù)據(jù)未經(jīng)授權(quán)的訪問(wèn)、病毒感染、生產(chǎn)業(yè)務(wù)拒絕式服務(wù)攻擊等安全風(fēng)險(xiǎn)造成生產(chǎn)核心數(shù)據(jù)的泄露、惡意篡改。

3.1.2 控制指令及數(shù)據(jù)未加密傳輸

自動(dòng)化控制系統(tǒng)網(wǎng)絡(luò)中工程師站、操作員站分別與PLC控制器之間的數(shù)據(jù)傳輸、與串口服務(wù)器之間的數(shù)據(jù)傳輸、PLC控制器或數(shù)據(jù)采集儀與智能儀器儀表之間的數(shù)據(jù)傳輸，沒(méi)有針對(duì)數(shù)據(jù)傳輸?shù)募用軝C(jī)制。

3.2 主機(jī)設(shè)備系統(tǒng)層面

3.2.1 現(xiàn)場(chǎng)設(shè)備（PLC、RTU等）存在漏洞

根據(jù)國(guó)家工業(yè)信息安全發(fā)展研究中心發(fā)布的《2020年工業(yè)信息安全態(tài)勢(shì)報(bào)告》中提供的數(shù)據(jù)，CICSVD（國(guó)家工業(yè)信息安全漏洞庫(kù)）2020年共收錄工業(yè)信息安全漏洞2138個(gè)，較2019年上升了22.2%，其中通用型漏洞2045個(gè)（高危及以上漏洞占比高達(dá)62.5%），事件型漏洞93個(gè)，保持了較高的增長(zhǎng)態(tài)勢(shì)。

目前企業(yè)工業(yè)自動(dòng)化控制系統(tǒng)中PLC控制器品牌諸如SiemensS7、AB及三菱等系列，依據(jù)美工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組（ICS-CERT）統(tǒng)計(jì)的工業(yè)控制系統(tǒng)公開(kāi)新增漏洞所涉及的廠商占比中，Siemens設(shè)備占比28%（排名第一）。

3.2.2 工程師站、操作員站和業(yè)務(wù)服務(wù)器缺乏安全防范機(jī)制

在整個(gè)自動(dòng)化控制系統(tǒng)中的工程師站、操作員站及服務(wù)器多為Windows操作系統(tǒng)，系統(tǒng)上安裝的殺毒軟件及防火墻對(duì)這些設(shè)備的安全防護(hù)機(jī)制幾乎失效，且缺乏進(jìn)程監(jiān)控、移動(dòng)存儲(chǔ)設(shè)備監(jiān)控、遠(yuǎn)程維護(hù)監(jiān)控、惡意代碼防范等措施。

3.3 主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)身份認(rèn)證機(jī)制

對(duì)于生產(chǎn)系統(tǒng)的工程師站、操作員站、業(yè)務(wù)系統(tǒng)服務(wù)器的身份認(rèn)證機(jī)制沒(méi)有充分的安全性評(píng)估和驗(yàn)證，在以往的經(jīng)驗(yàn)中，大量中控室操作員站及監(jiān)控終端都采用公用賬號(hào)（甚至是系統(tǒng)默認(rèn)賬號(hào)），且系統(tǒng)操作界面長(zhǎng)期處于開(kāi)放狀態(tài)，導(dǎo)致進(jìn)出中控室的所有人員都可以對(duì)其進(jìn)行操作，可能存在被無(wú)關(guān)人員訪問(wèn)操作員站進(jìn)行未授權(quán)操作的安全風(fēng)險(xiǎn)。

同時(shí)對(duì)于自動(dòng)化控制系統(tǒng)的登陸賬戶權(quán)限申請(qǐng)流程和數(shù)采服務(wù)器登陸賬號(hào)和權(quán)限劃分都沒(méi)有充分評(píng)估，可能存在登錄賬號(hào)和初始密碼都是默認(rèn)賬號(hào)，或者根本就沒(méi)有設(shè)置相關(guān)密碼等保護(hù)策略的隱患。攻擊者可獲得系統(tǒng)完全控制權(quán)限，可任意破壞、篡改生產(chǎn)數(shù)據(jù)庫(kù)或控制程序。

綜上，現(xiàn)有自控動(dòng)化控制系統(tǒng)的建設(shè)為企業(yè)帶來(lái)便利的同時(shí)也增加了企業(yè)生產(chǎn)與數(shù)據(jù)安全風(fēng)險(xiǎn)，主要集中在原始生產(chǎn)數(shù)據(jù)、控制工藝的泄露，原始生產(chǎn)數(shù)據(jù)的丟失，生產(chǎn)停車、運(yùn)行方式和相關(guān)設(shè)置參數(shù)的篡改等風(fēng)險(xiǎn)。

4 安全防護(hù)框架設(shè)計(jì)

4.1 框架設(shè)計(jì)

對(duì)于工業(yè)自動(dòng)化控制系統(tǒng)根據(jù)被保護(hù)對(duì)象業(yè)務(wù)性質(zhì)分區(qū)，針對(duì)功能層次技術(shù)特點(diǎn)實(shí)施信息安全等級(jí)保護(hù)設(shè)計(jì)，根據(jù)“一個(gè)中心”管理下的“三重防護(hù)”體系框架，構(gòu)建在安全管理中心支持下的通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境三重防御體系，采用分層、分區(qū)的架構(gòu)，結(jié)合工業(yè)自動(dòng)化控制系統(tǒng)總線協(xié)議復(fù)雜多樣、實(shí)時(shí)性要求強(qiáng)、節(jié)點(diǎn)計(jì)算資源有限、設(shè)備可靠性要求高、故障恢復(fù)時(shí)間短、安全機(jī)制不能影響實(shí)時(shí)性等特點(diǎn)進(jìn)行設(shè)計(jì)，以實(shí)現(xiàn)可信、可控、可管的系統(tǒng)安全互聯(lián)、區(qū)域邊界安全防護(hù)和計(jì)算環(huán)境安全[1]。

按照總體設(shè)計(jì)思路，結(jié)合珞安科技出品的工業(yè)網(wǎng)絡(luò)空間安全產(chǎn)品，以某凈水廠項(xiàng)目為例，此項(xiàng)目的網(wǎng)絡(luò)總體防護(hù)架構(gòu)設(shè)計(jì)如圖1所示。

4.2 主要防護(hù)功能介紹

4.2.1 隔離網(wǎng)閘

隔離網(wǎng)閘的服務(wù)系統(tǒng)把TCP/IP協(xié)議頭部剝離，用擺渡的方式把原始數(shù)據(jù)在不同系統(tǒng)進(jìn)行傳輸，對(duì)于目前常見(jiàn)的如源地址欺騙、偽造TCP序列號(hào)、SYN攻擊可以全部隔斷。如此網(wǎng)絡(luò)內(nèi)部主機(jī)系統(tǒng)漏洞便不會(huì)被入侵者掃描到。

4.2.2 工業(yè)防火墻

工業(yè)防火墻有效規(guī)避工控網(wǎng)絡(luò)脆弱性風(fēng)險(xiǎn)，確保企業(yè)工業(yè)自動(dòng)化控制系統(tǒng)的正常運(yùn)行。

4.2.3 工控安全審計(jì)系統(tǒng)

工控安全審計(jì)系統(tǒng)對(duì)自動(dòng)化控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行持續(xù)監(jiān)測(cè)，記錄系統(tǒng)中的一切通信行為，包括數(shù)據(jù)交換協(xié)議、網(wǎng)絡(luò)會(huì)話、系統(tǒng)驅(qū)動(dòng)指令等，為安全事故調(diào)查取證和回溯分析提供數(shù)據(jù)支撐。

4.2.4 工業(yè)入侵檢測(cè)系統(tǒng)

工業(yè)入侵檢測(cè)系統(tǒng)可不間斷監(jiān)控自動(dòng)化控制系統(tǒng)網(wǎng)絡(luò)中的不法入侵、惡意破壞、違法操作或?qū)⒃O(shè)備違規(guī)接入，在即時(shí)報(bào)警的同時(shí)幫助企業(yè)實(shí)施相應(yīng)辦法避免發(fā)生安全事故。

5 結(jié)束語(yǔ)

時(shí)代在穩(wěn)步前進(jìn)，工控行業(yè)技術(shù)也在不斷發(fā)展，對(duì)于自控系統(tǒng)的安全防護(hù)要求也在不斷提高。本文結(jié)合凈水廠工程的實(shí)際安全需求和網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，設(shè)計(jì)從安全管理中心到技術(shù)環(huán)境防護(hù)、邊界隔離防護(hù)以及通信網(wǎng)絡(luò)防護(hù)，實(shí)現(xiàn)事前預(yù)警、事中防范和事后取證等安全防護(hù)的能力，給工程實(shí)際應(yīng)用提供了重要的參考價(jià)值。

參考文獻(xiàn)

[1] 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）.信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求：GB/T 25070—2019[S].