工業控制系統信息安全防護技術研究*

康榮保，張 曉，杜艷霞

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

工業控制系統（Industrial Control Systems，ICS）是由各種自動化控制組件和對實時數據進行采集、監測的過程控制組件共同構成的確保工業基礎設施自動化運行、過程控制與監控的業務流程管控系統[1]。這些控制系統廣泛應用于國家關鍵信息基礎設施關鍵業務系統（電力、油氣、交通、供水等），是確保這些系統正常運行的核心。工業控制系統建設之初，由于網絡封閉性、業務高實時性、可靠性、功能安全性等特點，對系統信息安全設計考慮較少。近年來，Stuxnet、Havex、BlackEnergy、Industroyer、TRITON等工業控制系統攻擊事件頻發，國家、專業組織支持的攻擊背景引起了各國政府、標準化組織、工控企業和安全廠商對工業控制系統安全的高度重視。

1 工業控制系統安全威脅分析

1.1 工業控制系統概述

工業控制系統包括數據采集與監控系統（Supervisory Control and Data Acquisition，SCADA）、 分 布式控制系統（Distributed Control Systems，DCS）、過程控制系統（Process Control System，PCS）、可編程控制器（Programmable Logic Controller，PLC）、人機交互界面設備（Human Machine Interface，HMI）以及確保各組件通信的接口技術[1]。SCADA系統包括數據采集終端、數據傳輸網絡和人機交互軟件，提供集中的監視和控制，以便進行過程的輸入和輸出，主要用于控制分散的資產，以便進行集中數據采集，在電力傳輸和分配系統、水處理、石油天然氣管道、鐵路和其他公共運輸系統等分布式系統中應用廣泛。DCS系統按區域把微處理機安裝在測量裝置與控制執行機構附近，將控制功能盡可能分散，管理功能相對集中，常用于發電廠、煉油、污水處理廠、化工廠和制藥廠等生產作業集中程度較高的領域。PLC是用戶可編程控制器，可用于保存實現特定功能的指令，如I/O控制、邏輯、定時、計數、PID控制、通信、算術、數據和文件處理等。PLC是組成SCADA系統和DCS系統重要的控制部件。

根據工業控制系統應用場景行業和控制系統功能需求的不同，其控制系統中的工業流程、設備組成、通信協議和網絡拓撲也有一定的區別，但是基本架構是相同的。工業控制系統的系統架構通常由企業網絡層、控制中心層、現場設備層以及采集執行層組成，如圖1所示。

圖1 工業控制系統典型網絡結構

企業網絡層包括企業管理中運行相關的各種業務（ERP系統、企業辦公網、企業公開服務（郵箱、web站點）等）、MES制造執行系統等。控制中心層由集中監視、管理的計算機和服務器組成，實現業務、流程的遠程監控。現場設備層由各種控制終端組成，具有掃描、信息預處理及監控等功能，并能在與控制中心的通信中斷時獨立工作。采集執行層由傳感器、變送器和執行器或泵機組、壓縮機組等組成，實現現場的數據采集與控制執行。SIS（Safety Instrumented System）安全儀表系統是一個獨立的控制系統，可獨立監控受控過程的狀態。如果過程中有參數超過了定義的危險狀態，則SIS會嘗試將過程恢復到安全狀態或自動執行流程的安全關閉（緊急停車），主要為核電站、煉油、石化和其他過程工業提供連續的工藝監視、安全聯鎖和保護。

工業控制通信協議為工業控制系統主站（操作員站、工程師站、SCADA主站等）與工業控制設備、設備與設備之間的通信規約。工業控制通信協議設計之初，大都由工業控制廠商設計開發專有的通信協議，后期隨著工業控制協議的廣泛應用、互聯互通互操作的需求，眾多標準化組織（如IEC、ISO、ANSI等）、工業組織、企業聯盟開始致力于工業控制協議的標準化工作。目前，應用比較廣泛的公開工業控制協議有Modbus TCP/IP、ProfiNet、HSE、EtherNet/IP、OPC-UA、IEC60870-5-101、IEC60870-5-103、IEC60870-5-104、IEC61850、DNP3.0和BACnet等。此外，各工業控制系統廠商還針對自身的工業控制設備，開發了私有通信控制協議，如Siemens S7協議、OMRON FINS協議和Phoenix Contact PCWORX協議等。大多數工業控制通信協議有一個共同點：協議設計之初都沒有考慮信息安全（機密性、完整性、可認證性）要素。隨著工業以太網的快速發展和普及，工業控制通信協議安全問題日益突出。

1.2 工業控制系統安全風險

工業控制系統攻擊事件頻發，造成的影響日益嚴重。下面選取Stuxnet、Havex、BlackEnergy、Industroyer、TRITON等工業控制 APT（Advanced Persistent Threat）攻擊進行特征分析，如表1所示。

表1 典型工業控制系統攻擊事件

通過上述的工業控制攻擊事件分析，可以看出目前工業控制系統威脅的特點。

（1）工業控制系統攻擊入口多樣

工業控制系統由于應用場景的特殊性和重要性，大都采用封閉網絡建設。隨著工業互聯網的發展，工業控制系統和設備通過企業網或直接連入互聯網的情況逐漸增多，為攻擊者滲透接入提供了便利。從工業控制攻擊事件統計看出，目前針對工業控制系統的攻擊接入方式包括移動設備擺渡、企業網滲透跳板接入、工作人員便攜式運維終端擺渡、社會工程學（釣魚郵件）、水坑攻擊、聯網工業控制服務/終端漏洞直接利用等。

（2）工業控制系統攻擊廣度寬泛

從攻擊案例可以看出，工業控制系統攻擊對象覆蓋了工業控制系統的專業應用軟件、通信協議、控制設備等多類目標，目標范圍廣泛。同時，利用工業控制系統基礎網絡、硬件/軟件環境存在的漏洞實施綜合攻擊，最終達到信息竊取、攻擊破壞的目的。

（3）工業控制系統攻擊深度升級

從攻擊案例可以看出，工業控制系統攻擊類型包括以Havex為代表的敏感信息竊取類攻擊、以BlackEnergy和Industroyer為代表的工業控制系統破壞并造成一次系統停工類攻擊和以Stuxnet和TRITON為代表的物理損毀目標類攻擊。隨著時間軸線的發展，攻擊者對目標業務理解不斷深入，攻擊深度不斷升級。

2 工業控制系統安全防護技術框架

2.1 工業控制系統安全模型

工業控制系統安全主要包括功能安全和信息安全兩方面。功能安全主要保障工業控制系統應用場景和環境的物理安全、生態安全和人身安全等。信息安全主要包括工業控制系統的網絡安全、設備安全、應用安全和業務安全等。

2.1.1 工業控制系統的功能安全（Safety）模型

以石油石化行業為例，工業控制系統的功能安全（safety）模型如圖2所示的洋蔥模型組成。從里層到外層，包括工藝設計、基本工藝控制系統（如DCS系統）、報警/操作人員干預、自動執行的安全儀表系統（SIS）、安全泄放設施、物理防護和應急響應。目前，先進的、具有國際水平的工業控制工藝裝置基本上采用了該模型的安全防護策略。

圖2 石油石化行業典型安全（Safety）模型

2.1.2 工業控制系統的信息安全（Securtiy）模型

國際標準化組織和工控行業協會已針對工控系統提出一系列信息安全標準,如IEC 62443。IEC 62443-《工業過程測量、控制和自動化網絡與系統信息安全》是IEC/TC65（工業過程測量、控制和自動化標準化技術委員會）WGl0（網絡與系統信息安全工作組）為實現工業控制系統的安全保護而制定的標準[2]。該標準指導系統集成商、產品提供商和服務提供商對其產品和服務進行安全性評估，將工業控制系統分為現場設備層、監控層和企業層，指出每層都應采取相關安全防護措施。

國內以電力行業為例，針對電力監控系統的安全和穩定運行，我國制定了一系列規定和要求，如發改委第14號令《電力監控系統安全防護規定》、國家能源局第36號文《關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》等，要求電力監控系統安全防護工作應當落實國家信息安全等級保護制度，按照國家信息安全等級保護的有關要求，堅持“安全分區、網絡專用、橫向隔離、縱向認證”的原則[3]，保障電力監控系統的安全。基于該原則構建的電力監控系統信息安全（Security）模型，如圖3所示。

該模型為發電企業、電網企業以及相關規劃設計、施工建設、安裝調試、研究開發等單位的安全防護工作起到了指導作用。它注重強化電力監控系統的邊界保護，目的在于保障電力監控系統安全，防范黑客及惡意代碼等對系統的攻擊，防止電力監控系統的崩潰和癱瘓以及由此造成的電力設備事故或電力安全事故。

圖3 電力監控系統信息安全（Security）模型

2.2 工業控制系統信息安全防護技術框架

在分析工業控制系統安全模型的基礎上，重點開展工業控制系統信息安全防護技術的研究，以工業控制系統在線環境、安全測試環境為安全保障測試對象，從安全防護能力體系（監測預警、體系防護、攻防評估）、防護層次（網絡防護、設備防護、應用防護、業務防護）和防護流程（事前防護與評估、事中檢測與響應、事后恢復與取證）等多個維度，提出“多維一體、體系防護”的工業控制系統信息安全防護技術框架，如圖4所示。

圖4 工業控制系統信息安全防護技術框架

2.2.1 安全防護能力體系

監測預警。對接入專用網絡和互聯網的工業控制系統面臨的威脅態勢進行監視，并對工業控制系統內部及外部連接進行全時段、全流量及多業務分析，構建早期異常行為和攻擊前兆特征發現預警能力，提供工業控制信息安全事件的追溯能力。

體系防護。以確保工業控制安全生產為前提，通過流量監控、分域防護、邊界保護、密碼加固等手段形成縱深防護體系，結合不同行業的特點，提供針對性的工業控制信息安全解決方案和服務，強化工業控制信息安全管理能力，保障工業控制信息系統的運行安全。

攻防評估。以高逼真度工業控制系統攻防仿真環境為基礎，分析工業控制網絡、協議、設備、系統、應用、軟件及工藝流程等方面存在的漏洞，同時評估其存在的風險，以攻防對抗評估工業控制設備、系統、方案的安全性、可靠性等。

2.2.2 安全防護層次

網絡防護。基于“安全分區、網絡專用、橫向隔離、縱向認證”等安全原則，部署網閘設備、防火墻/工業控制防火墻、通信加密認證裝置等產品，實現網絡分域防護、邊界防護、網絡通信加固等，達到網絡防護安全增強的目的。部署工控系統態勢感知系統，通過對工業控制系統實施網絡探測感知、業務分析、威脅監測，掌握非法外聯設備、安全漏洞、威脅告警等態勢信息。

設備防護。針對工業控制系統應用部署的設備平臺（數據庫服務器、工作站等），在不影響生產業務的前提下，國產自主設備替代、安裝可信模塊等方式，提高應對惡意軟件攻擊的能力。針對工業控制系統專用設備（PLC、RTU等），一方面針對設備存在的安全漏洞或配置漏洞，通過固件更新、身份認證增強（如設置高強度配置訪問口令）緩解設備遭受攻擊的風險；另一方面，國內已有相關廠商進行安全RTU、安全PLC等設備研發，通過替換部署具有安全基因的控制設備，進一步提升應對攻擊的能力。

應用防護。針對工業控制系統應用部署的設備系統和軟件，在不影響生產業務的前提下，實施安全漏洞補丁修復；針對工業控制系統專業應用軟件加強身份認證和角色訪問控制手段，加大攻擊者獲取工業控制應用控制權限的難度；針對關鍵數據庫、應用控制系統實施雙機一致性認證、容災備份手段，提升工業控制應用系統的健壯性。

業務防護。通過流量監控，部署工業控制防火墻、業務數據分析系統等產品，結合工業控制系統工藝流程，對工業控制協議實施深度解析，分析業務執行邏輯關系，實現工業控制系統工藝流程業務的深度識別和合法性判定，具備“錯誤的時間出現的正確業務報文”“非授權操作人員執行的正確業務操作報文”“邏輯順序錯誤的合規業務報文”等非正常業務操作識別篩選和阻斷能力。

2.2.3 安全防護流程

事前防護與評估。通過多層次防護手段，對目標工業控制系統實施立體防護；針對上線前的工業控制設備、系統，實施漏洞挖掘、分析與安全評估；針對上線后的工業控制系統，在不影響現有業務的前提下，實施在線的滲透測試、流量監測、漏洞掃錨探測等，分析評估目標系統的安全狀態，獲取目標系統的安全態勢。

事中檢測與響應。采用流量分析、日志分析等手段，通過漏洞攻擊特征匹配、基于行為的攻擊檢測、業務報文邏輯分析等技術，實現攻擊入侵行為檢測和日志記錄，進行威脅等級判定和實時預警，同時通過工業控制防火墻實現威脅阻斷，并啟動相關應急響應機制和流程，保證生產系統的正常運行。

事后恢復與取證。針對識別發現阻斷的攻擊，實施審計、取證和溯源分析；針對造成破壞效果的攻擊，啟動應急響應機制和流程，迅速開展生產業務恢復，并開展安全審計、攻擊取證和溯源定位。

3 工業控制系統信息安全防護關鍵技術

3.1 工業控制系統漏洞挖掘與分析技術

工業控制系統漏洞是工業控制系統攻防雙方關注的焦點。知己知彼，方能百戰不殆。掌握工業控制系統漏洞挖掘與分析技術，是做好工業控制安全防護的前提。漏洞挖掘是對協議標準、源代碼、二進制代碼、中間語言代碼中的漏洞特別是未知漏洞進行主動發現的過程[4]。工業控制系統漏洞挖掘，針對工業控制系統軟件、協議、設備等目標對象，綜合利用靜態挖掘方法（流分析、符號執行方法、模型檢測分析方法、指針分析方法等）和動態挖掘方法（模糊測試方法、動態污染傳播等）實施漏洞挖掘。工業控制漏洞分析驗證主要采用私有協議逆向分析、固件逆向、軟件反編譯分析、軟件動態調試、狀態監控等技術對目標對象實施漏洞分析與驗證。

3.2 工業控制數據采集與融合分析技術

工業控制數據采集與融合分析技術是工業控制系統威脅監測預警、態勢感知的基礎，涉及工業控制網絡信息采集、數據格式化、預處理、協議深度解析和業務數據關聯等環節。通過對工業控制系統實時數據流量、網絡協議、通信行為、操控指令、設備狀態和行為的數據采集和處理，結合建立的已知工控協議和未知私有協議分析模型，實現工業控制協議的深度解析。以此為基礎，結合工業控制工藝業務流程，分析數據報文的關聯關系。

3.3 工業控制系統威脅監測預警技術

工業控制系統威脅監測預警技術主要涉及威脅建模與等級劃分、已知漏洞利用攻擊檢測、未知威脅檢測和基于工控協議的業務攻擊檢測等內容。根據攻擊的危害程度，對工業控制攻擊實施威脅等級劃分。針對已知漏洞利用攻擊，通過漏洞攻擊數據/代碼特征匹配識別發現已知攻擊。針對未知威脅，以行為監測為核心，采用沙箱動態執行技術，利用動態行為仿真分析、行為基線分析、數據建模分析相結合的手段，對工控特種木馬、未公開漏洞、APT等未知威脅進行實時監測。結合工業控制系統工藝業務流程，對工控協議數據包進行關聯分析，挖掘數據包邏輯關系，識別基于工業控制協議的特定攻擊。

3.4 工業控制系統攻擊取證與追蹤溯源技術

工業控制系統是國家關鍵基礎設施的重要組成部分，工業控制系統攻擊取證與追蹤溯源技術是國家關鍵基礎設施防御的關鍵技術。綜合使用基于日志的協作追蹤溯源技術、網絡惡意行為特征、跳板主機回溯、工業控制系統蜜罐、攻擊代碼分析、威脅情報庫等技術和資源[5]，對工業控制系統攻擊源主機、攻擊組織、攻擊路徑進行追蹤溯源，為工業控制系統深度防御和進一步的反制提供支撐。

4 結 語

工業控制系統是國家關鍵信息基礎設施正常運行的核心，開展工業控制系統安全防護研究與實踐，是保護國家關鍵信息基礎設施的必要舉措。因此，急需通過構建工業控制系統安全防護技術框架和體系，提高對工業控制系統安全加固、狀態監視以及對威脅事件的監測預警能力，以應對工業控制系統面臨的安全威脅挑戰。