工業(yè)控制系統(tǒng)安全防護方案

梁琦

（勝利石油管理局，山東 東營 257000）

1 引言

隨著兩化融合的深度發(fā)展，油田內(nèi)部的生產(chǎn)、經(jīng)營、管理理念也發(fā)生著質(zhì)的變化，普遍采用高度自動化的生產(chǎn)技術，結(jié)合高度信息化的運營管理手段，集中管理采油、輸油等關鍵生產(chǎn)過程，建立統(tǒng)一監(jiān)控平臺，集中采集、統(tǒng)一分析、實時展示現(xiàn)場設備的實時生產(chǎn)數(shù)據(jù)，提升生產(chǎn)效率，降低生產(chǎn)成本，隨著互聯(lián)網(wǎng)技術的廣泛應用，“智慧油田”建設已經(jīng)取得了豐碩的成果。

信息化、智能化、集成化、可視化和實時化作為現(xiàn)代企業(yè)的重要標志，生產(chǎn)管理對信息的依賴程度不斷加大，隨著信息系統(tǒng)、工業(yè)控制系統(tǒng)（industrial control system，ICS）集成度的不斷提升，工業(yè)控制系統(tǒng)不得不采用通用協(xié)議、通用硬件和通用軟件，滿足兩化融合、物聯(lián)網(wǎng)建設的系統(tǒng)集成需求。

自2010年“震網(wǎng)”事件以來，工業(yè)控制系統(tǒng)網(wǎng)絡安全研究進入了持續(xù)的高熱度階段，曝光的漏洞數(shù)量逐年上升（數(shù)據(jù)來源：CNNVD），如圖1、圖2所示。

伴隨而來的是工業(yè)控制安全事件頻繁爆發(fā)，呈快速增長的趨勢，2011年有140余起，2012年有197起，2013年有257起，2014年有245起，2015年有295起，多集中在能源行業(yè)和關鍵制造行業(yè)。

圖1 漏洞趨勢分布

圖2 漏洞危害等級分布

2 工業(yè)控制系統(tǒng)風險分析

目前，隨著計算機和網(wǎng)絡技術的發(fā)展，加大了企業(yè)信息化管理的建設與投用，客觀上形成了“兩網(wǎng)融合”的局面，原本封閉的生產(chǎn)網(wǎng)與開放的管理網(wǎng)互聯(lián)互通，生產(chǎn)網(wǎng)通過管理網(wǎng)對外暴露，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散，基于當前網(wǎng)絡安全措施的通用性與局限性，工業(yè)控制系統(tǒng)依然面臨病毒、黑客攻擊和非法入侵等現(xiàn)實威脅，工業(yè)控制系統(tǒng)的安全就顯得更為重要和迫切。

（1）操作系統(tǒng)安全漏洞

目前DCS、SCADA、PLC等工業(yè)控制系統(tǒng)的操作站基本采用 Windows平臺，任一版本W(wǎng)indows系統(tǒng)均在不停發(fā)布漏洞補丁。

鑒于工業(yè)控制系統(tǒng)相對獨立性，工業(yè)控制系統(tǒng)制造商也很少針對 Windows系統(tǒng)漏洞補丁做兼容測試，用戶通常不會（不敢）在工業(yè)控制系統(tǒng)投入運行后，對現(xiàn)運行的 Windows平臺設備打任何補丁，從而導致工業(yè)控制系統(tǒng)存在被攻擊的漏洞。

（2）TCP/IP地址協(xié)議固有風險

TCP/IP協(xié)議設計上就存在致命安全漏洞，TCP/IP地址協(xié)議簇設計的基礎是互相信任，僅考慮實現(xiàn)不同軟硬件結(jié)構(gòu)計算機的互通互聯(lián)、資源共享，忽略了網(wǎng)絡、網(wǎng)際間的安全問題。信任機制的協(xié)議設計相對簡單，缺乏對應用程序?qū)佑脩羯矸莸蔫b別以及網(wǎng)絡層、傳輸層路由協(xié)議的鑒別等先天性缺陷。

（3）應用軟件安全漏洞

目前油田生產(chǎn)過程的工業(yè)控制系統(tǒng)廠商眾多，上位機的組態(tài)軟件、應用系統(tǒng)沒有采用統(tǒng)一的規(guī)范進行選型、建設，從而導致了工業(yè)控制系統(tǒng)安全問題的防護規(guī)范難以統(tǒng)一。

目前的工業(yè)控制系統(tǒng)基本采用Windows環(huán)境，基于Windows環(huán)境下的應用軟件面向網(wǎng)絡應用時，需開放其相應的應用端口，僅 Windows Server 2008系統(tǒng)使用的端口號就超過16 000個，攻擊者通常會利用一些工業(yè)控制系統(tǒng)對外公開的固定通信端口、安全漏洞獲取現(xiàn)場生產(chǎn)設備的控制權(quán)。

（4）不安全的工業(yè)控制協(xié)議

現(xiàn)場工業(yè)控制系統(tǒng)的通信協(xié)議基本以ModBus與OPC為主，它們的設計基礎與TCP/IP地址類同，同樣沒有考慮信息安全。

ModBus通信協(xié)議是1979年由Modicon公司發(fā)布的用于工業(yè)現(xiàn)場總線規(guī)約，采用主從通信模式（master/slave），廣泛應用在分散控制系統(tǒng)方面。

ModBus TCP的設計以實時I/O優(yōu)化為主，在RTU串口協(xié)議上加一個MBAP報文頭，基于TCP的可靠連接服務，取消了 RTU串口協(xié)議的 CRC校驗碼，同時在ModBus RTU協(xié)議前面加上5個0以及1個6，相比RTU串口通信降低了工業(yè)控制系統(tǒng)的安全防護功能。

OPC（OLE for process control）在基于Windows應用程序與現(xiàn)場過程控制應用之間建立了橋梁，在工業(yè)現(xiàn)場已被大量使用。

OPC協(xié)議基于微軟的OLE技術，遠程通信需使用Microsoft的DCOM協(xié)議，OPC服務器端開放135、145遠程訪問端口（病毒經(jīng)常攻擊的端口）建立握手，握手后OPC服務器隨機動態(tài)分配數(shù)據(jù)通信的端口號，這種動態(tài)端口通信機制導致了傳統(tǒng)防火墻無法保護OPC服務器，防火墻提供的安全保障被降至最低。

（5）網(wǎng)絡攻擊與入侵

分布式拒絕服務（distributed denial of service，DDoS）攻擊借助于客戶端/服務器技術，操縱或由病毒自動執(zhí)行，聯(lián)合多臺計算機作為攻擊平臺，將工業(yè)控制系統(tǒng)作為攻擊對象，消耗工業(yè)控制系統(tǒng)的網(wǎng)絡帶寬、連接數(shù)、CPU 處理能力、緩沖內(nèi)存等，阻塞正常的網(wǎng)絡通信服務，常用的 ping flooding、UDP flooding、Syn flooding、ACK flooding等流量型攻擊手段同樣威脅著工業(yè)控制系統(tǒng)。

工業(yè)控制系統(tǒng)一旦遭受DDoS攻擊，輕則控制系統(tǒng)的網(wǎng)絡通信完全中斷，重則導致控制器死機，DDoS攻擊已在國外的工業(yè)控制系統(tǒng)中發(fā)生過多起，導致的后果也非常嚴重。

（6）病毒與惡意代碼

目前的工業(yè)控制系統(tǒng)已經(jīng)廣泛使用 Windows系統(tǒng)平臺的工業(yè)服務器（工業(yè)控制 PC），針對普通 PC的病毒與惡意代碼攻擊事件同樣威脅工業(yè)控制系統(tǒng)。

2017年5月13日，國家計算機病毒應急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測，發(fā)現(xiàn) 1個名為“WannaCry”的勒索軟件病毒正在全球大范圍蔓延，我國部分大型企業(yè)內(nèi)網(wǎng)也深受其害。

WannaDecryptor利用Windows操作系統(tǒng)445端口存在的SMB漏洞（MS17-101）自我復制、主動傳播，針對關閉防火墻的目標機器，實現(xiàn)遠程代碼執(zhí)行，加密被攻擊計算的所有類型文件，進行勒索。

著名的震網(wǎng)（stuxnet）病毒，利用 3個0-dayWindows系統(tǒng)漏洞和2個WinCC系統(tǒng)漏洞，偽造驅(qū)動程序的數(shù)字簽名，通過一套完整的入侵和傳播流程，突破工業(yè)專用局域網(wǎng)的物理限制，利用 WinCC系統(tǒng)的 2個漏洞，破壞性攻擊SIMATIC數(shù)據(jù)采集與監(jiān)控系統(tǒng)。

（7）無線網(wǎng)絡的安全漏洞

由于無線網(wǎng)絡具有靈活的組網(wǎng)特點，整體網(wǎng)絡系統(tǒng)具有成本低、移動性好、易安裝維護等優(yōu)勢，目前現(xiàn)場井口通信設備基本采用無線通信方式。

盡管無線通信有傳統(tǒng)有線網(wǎng)絡無法比擬的優(yōu)勢，但由于無線網(wǎng)絡傳輸媒介的特殊性，使得一些攻擊更容易實施。例如，通過無線接入非法訪問網(wǎng)絡資源實施攻擊；無線鏈路上傳輸?shù)奈幢患用軘?shù)據(jù)的泄露；DDoS攻擊無線網(wǎng)絡，導致實時數(shù)據(jù)的丟失，破壞數(shù)據(jù)的完整性。

綜上表明，現(xiàn)今ICS面臨的安全形勢十分嚴峻，ICS的攻擊者/黑客正變得越來越聰明、越來越高效，入侵工業(yè)控制系統(tǒng)的成功率也越來越高，ICS威脅不論是數(shù)量、類型還是風險程度都呈現(xiàn)出快速增長趨勢；從造成的后果來說，網(wǎng)絡攻擊擾亂了ICS運行，有的甚至對ICS造成物理損害。

3 工業(yè)控制網(wǎng)絡安全標準及法律法規(guī)

隨著工業(yè)自動化、信息化融合進程的快速推進，工業(yè)控制、信息、網(wǎng)絡、通信技術的廣泛應用，工業(yè)控制系統(tǒng)的脆弱安全狀況以及日益嚴重的攻擊威脅，已經(jīng)引起了國家相關部門的高度重視，甚至提升到“國家安全戰(zhàn)略”的高度，并在政策、標準、技術、方案等方面展開了積極應對。

2011年11月，工業(yè)和信息化部發(fā)布了451號文件《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，明確提出了重點領域工業(yè)控制系統(tǒng)信息安全管理要求，并強調(diào)“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則。

2016年8月組織《信息安全技術工業(yè)控制系統(tǒng)安全控制應用指南》等14項標準研制，指導工業(yè)企業(yè)工業(yè)控制安全保障能力建設；同年10月制定發(fā)布《工業(yè)控制系統(tǒng)信息安全防護指南》，提出工業(yè)企業(yè)加強工業(yè)控制系統(tǒng)安全防護的具體措施。

2017年6月1日實施國家《網(wǎng)絡安全法》，明確地將工業(yè)控制安全寫入立法條目，第31條明確指出：國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域以及其他一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。

針對關鍵信息基礎設施的工業(yè)控制系統(tǒng)安全，又制定頒發(fā)了相關的國家標準，對工業(yè)控制系統(tǒng)的安全防護等級、網(wǎng)絡隔離類設備提出了具體的要求及相應功能，如GB/T 32919-2016《信息安全技術工業(yè)控制系統(tǒng)安全控制應用指南》、GB/T33009.1-2016《工業(yè)自動化和控制系統(tǒng)網(wǎng)絡安全集散控制系統(tǒng)（DCS）第1部分：防護要求》、GB/T20279-2015《信息安全技術網(wǎng)絡和終端隔離產(chǎn)品安全技術要求》等。

4 工業(yè)控制安全防護解決方案

鑒于油田工業(yè)控制系統(tǒng)基于控制分散、操作和管理集中的基本設計思想，制定完整的工業(yè)控制安全防護方案，按照4個不同的生產(chǎn)管理級別，劃分不同的安全管理區(qū)域，根據(jù)分層級的縱深安全防御策略，完善工業(yè)控制網(wǎng)絡安全建設，全面提高安全生產(chǎn)管理水平、工作效率和管理效率。

· 總公司管理級，以各采油廠數(shù)據(jù)（實時、關系）平臺為數(shù)據(jù)源對象，將總公司需要的數(shù)據(jù)同步上來，建立總公司管理系統(tǒng)；

· 采油廠管理級，部署實時數(shù)據(jù)庫，接收管理區(qū)（作業(yè)區(qū)中）送來的數(shù)據(jù)，實現(xiàn)實時監(jiān)控、工況分析、安全管理、報表管理、設備管理；

· 生產(chǎn)作業(yè)區(qū)級，包含管理區(qū)辦公網(wǎng)和管理區(qū)生產(chǎn)網(wǎng)；

· 井場現(xiàn)場級，以場站及油井為主。場站為有人值守，含控制系統(tǒng)，以有線網(wǎng)絡為基礎；油井則采用無人值守方式，通過RTU采集并上傳數(shù)據(jù)，包括有線及無線網(wǎng)絡。

4.1 傳統(tǒng)網(wǎng)絡安全產(chǎn)品

為了加強工業(yè)控制系統(tǒng)的安全能力，企業(yè)在管理網(wǎng)和生產(chǎn)網(wǎng)之間雖然增加了網(wǎng)絡安全措施，采用了防火墻、防病毒軟件等安全產(chǎn)品，但是由于工業(yè)控制系統(tǒng)與上層管理系統(tǒng)通信多采用OPC等方式，需要微軟DCOM協(xié)議的支持，防火墻、防病毒軟件等措施目前均難以彌補相應安全漏洞。

另外，傳統(tǒng)IT網(wǎng)絡和工業(yè)控制網(wǎng)絡在架構(gòu)、協(xié)議、安全、可信等不同維度均存在很大的差異，見表1。

表1 傳統(tǒng)IT網(wǎng)絡和工業(yè)控制網(wǎng)絡的差異

通過對比不難發(fā)現(xiàn)，針對工業(yè)控制網(wǎng)絡的安全防護，迫切需要更專用、有效的網(wǎng)絡安全技術和產(chǎn)品，通過使用專用網(wǎng)絡安全設備對工業(yè)控制系統(tǒng)進行防護，有效消除上層應用管理系統(tǒng)實施后帶來工業(yè)控制系統(tǒng)的安全隱患，為企業(yè)的安全生產(chǎn)提供有力保障。

4.2 安全防護策略

4.2.1 操作系統(tǒng)加固

根據(jù)工業(yè)控制現(xiàn)場實際情況，在工程師站、操作員站、服務器上部署基于白名單機制的主機防護或主機加固類軟件，確保系統(tǒng)完整性，實現(xiàn)注冊表文件、配置文件、專用工程軟件的保護。

對操作系統(tǒng)進行加固，實現(xiàn)對已知和未知病毒與惡意代碼的防范，阻止對主機未授權(quán)的訪問，彌補操作系統(tǒng)漏洞不能及時打補?。ɑ驘o法打補?。┮鸬墓簟?/p>

4.2.2 網(wǎng)絡安全審計

在現(xiàn)有的工業(yè)網(wǎng)絡中，合理部署網(wǎng)絡安全審計設備，實時監(jiān)測工業(yè)控制網(wǎng)絡流量，保障業(yè)務生產(chǎn)運行。通過對工業(yè)控制網(wǎng)絡的流量數(shù)據(jù)、系統(tǒng)事件和安全態(tài)勢進行實時監(jiān)測和告警，幫助客戶實時掌握工業(yè)控制網(wǎng)絡安全運行狀況，有效保障客戶業(yè)務安全穩(wěn)定運行。

完整網(wǎng)絡安全審計記錄，具備事件回溯能力，對工業(yè)控制網(wǎng)絡中存在的所有網(wǎng)絡活動提供安全審計、協(xié)議審計和流量審計，以完整記錄形式為客戶進行事件處置和事件回溯提供技術能力，為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅實的基礎。

可視化感知工業(yè)控制網(wǎng)絡安全狀態(tài)，全面呈現(xiàn)工業(yè)控制網(wǎng)絡安全事件狀態(tài)、系統(tǒng)運行狀態(tài)和網(wǎng)絡流量行為，幫助客戶感知工業(yè)控制網(wǎng)絡整體安全狀態(tài)，提出安全防御建議，協(xié)助客戶完善安全防護體系。

4.2.3 邊界隔離防護

通過邊界隔離防護，建立縱深防御體系，有效阻斷病毒、木馬程序、黑客非法攻擊的傳播途徑，同時在關鍵工業(yè)控制設施串行部署工業(yè)防火墻，主動發(fā)現(xiàn)并阻斷、隔離上述的網(wǎng)絡非法攻擊和入侵，徹底規(guī)避工業(yè)控制內(nèi)網(wǎng)遭受攻擊的可能。

（1）生產(chǎn)管理層和過程監(jiān)控層之間的安全防護在生產(chǎn)管理層和過程監(jiān)控層之間，部署網(wǎng)絡安全單向?qū)朐O備，僅允許兩個網(wǎng)絡之間合法數(shù)據(jù)的物理單向傳輸，實現(xiàn)生產(chǎn)網(wǎng)向管理網(wǎng)的實時、歷時數(shù)據(jù)、關系數(shù)據(jù)庫等生產(chǎn)實時信息的單向采集，預防阻止來自管理網(wǎng)向生產(chǎn)網(wǎng)的攻擊。

（2）過程監(jiān)控層和現(xiàn)場控制層之間的安全防護

過程監(jiān)控層和現(xiàn)場控制層之間通常使用 OPC工業(yè)協(xié)議通信，傳統(tǒng)IT防火墻不足以滿足安全需求，故采用單向?qū)朐O備、工業(yè)控制防火墻等專業(yè)的工業(yè)網(wǎng)絡安全隔離設備（系統(tǒng)），基于代理模式解決OPC通信（135端口）帶來的安全瓶頸問題，阻止病毒和任何其他的非法訪問，提升網(wǎng)絡區(qū)域劃分能力，從本質(zhì)上解決工業(yè)控制系統(tǒng)的網(wǎng)絡安全。

（3）關鍵控制器防護

使用工業(yè)防火墻保護關鍵控制器，深度解析控制器廠商的專有協(xié)議，智能學習工業(yè)控制系統(tǒng)訪問行為，配置工業(yè)防火墻的白名單，建立網(wǎng)絡和通信“白環(huán)境”，管控工業(yè)控制網(wǎng)絡通信流量、局部網(wǎng)絡的通信速率，指定專有操作站訪問指定的控制器，阻斷病毒、蠕蟲惡意軟件擴散和入侵攻擊，保護控制器的安全運行。

4.3 整體防護方案

工業(yè)控制網(wǎng)絡安全防護項目的建設實施，提升設備、系統(tǒng)、網(wǎng)絡的可靠性、穩(wěn)定性，確保工業(yè)網(wǎng)絡整體安全性。

實現(xiàn)管理區(qū)和生產(chǎn)區(qū)的縱向邊界防護，有效避免來自信息網(wǎng)絡的安全隱患對生產(chǎn)控制網(wǎng)絡的威脅；實現(xiàn)生產(chǎn)區(qū)域內(nèi)各業(yè)務系統(tǒng)之間的橫向邏輯隔離和安全防護，阻止來自區(qū)域之間的越權(quán)訪問、入侵攻擊和非法訪問。

實現(xiàn)上位機、工程師站、系統(tǒng)服務器系統(tǒng)的安全加固，通過白名單機制構(gòu)建安全基線，防止病毒木馬、惡意軟件對系統(tǒng)的破壞；實現(xiàn)對整體網(wǎng)絡的入侵檢測及審計，及時發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中違反安全策略的行為和被攻擊的跡象。

整體防護方案如圖3所示。

圖3 整體防護方案

5 結(jié)束語

工業(yè)控制系統(tǒng)信息安全問題已迫在眉睫，本文針對智慧油田建設涉及的工業(yè)控制系統(tǒng)網(wǎng)絡結(jié)構(gòu)和安全需求，通過對需要防護的工業(yè)控制網(wǎng)絡自身特性的研究，結(jié)合國家提出的工業(yè)控制系統(tǒng)安全的相關標準及法律法規(guī)，量身定制專用防護設備進行防護，提出一套完整的工業(yè)控制安全防護方案。

本文方案更加貼近生產(chǎn)現(xiàn)場需求，完善井場現(xiàn)場級、生產(chǎn)作業(yè)區(qū)級、采油廠管理級、總公司管理級4個層面的工業(yè)控制系統(tǒng)的網(wǎng)絡安全建設，可以滿足生產(chǎn)環(huán)境安全、高效運行，最終實現(xiàn)信息安全的縱深防御策略。

參考文獻：

[1] 工業(yè)和信息化部.工業(yè)控制系統(tǒng)信息安全防護指南[S].2016.Ministry of Industry and Information Technology.Industrial information security protection guide for industrial control systems[S].2016.

[2] 公安部信息安全等級保護評估中心.信息安全技術信息系統(tǒng)安全等級保護實施指南[S].2010.Information Security Grade Protection and Assessment Center of the Ministry of Public Security.Information security technology information system security level protection implementation guide[S].2010.

[3] 王玉敏.工業(yè)控制系統(tǒng)信息安全第 1部分： 評估規(guī)范(節(jié)選)[J].自動化博覽, 2015(z2).WANG Y M.Industrial control systems information security part 1：assessment specifications[J].Automation Panorama, 2015(z2).

[4] 祝子涵.淺談工業(yè)控制系統(tǒng)信息安全風險與防御[J].大科技,2017(28).ZHU Z H.A brief talk on information security risk and defense in industrial control systems[J].Big Technology, 2017(28).

[5] 傳統(tǒng)防火墻在工業(yè)環(huán)境中的不足及工業(yè)防火墻在工業(yè)環(huán)境中的應用[EB].2017.Deficiencies of traditional firewalls in industrial environments and application of industrial firewalls in industrial environment[EB].2017.

[6] 楊思維.升級版德國“工業(yè)4.0平臺”經(jīng)驗對我國制造業(yè)的影響[J].電信科學, 2016, 32(1)： 108-111.YANG S W.Impact of the upgraded version of German “industrial 4 platform” on China’s manufacturing industry [J].Telecommunications Science, 2016, 32(1)： 108-111.

[7] 劉甲男, 杜彥潔, 孟憲義.基于互聯(lián)網(wǎng)思維的能源互聯(lián)網(wǎng)發(fā)展[J].電信科學, 2016, 32(3)： 176-182.LIU J N, DU Y J, MENG X Y.Development of energy internet based on internet thinking [J].Telecommunications Science,2016, 32(3)： 176-182.

[8] 王帥, 汪來富, 金華敏, 等.網(wǎng)絡安全分析中的大數(shù)據(jù)技術應用[J].電信科學, 2015, 31(7)： 145-150.WANG S,WANG L F, JIN H M, et al.Big data application in network security analysis [J].Telecommunications Science,2015, 31(7)： 145-150.