工業(yè)控制網(wǎng)絡(luò)安全分析與對策

冉啟奎

工業(yè)控制網(wǎng)絡(luò)指工業(yè)控制系統(tǒng)中的全數(shù)字化、雙向、多站的通信系統(tǒng)，是工業(yè)控制系統(tǒng)（ICS）的重要組成部分。作為近年來發(fā)展形成的工業(yè)控制領(lǐng)域的網(wǎng)絡(luò)技術(shù)，工業(yè)控制網(wǎng)絡(luò)是計算機網(wǎng)絡(luò)、通信技術(shù)與工業(yè)自動控制技術(shù)結(jié)合的產(chǎn)物。它適應(yīng)了企業(yè)信息集成系統(tǒng)、管理控制一體化系統(tǒng)的發(fā)展趨勢與需要，是IT技術(shù)在工業(yè)自動控制領(lǐng)域的延伸。

近些年來以太網(wǎng)進(jìn)入了工業(yè)控制領(lǐng)域，形成了新型的工業(yè)控制以太網(wǎng)技術(shù)。工業(yè)以太網(wǎng)技術(shù)以其價格低廉、穩(wěn)定可靠、通信速率高、軟硬件產(chǎn)品豐富、應(yīng)用廣泛以及支持技術(shù)成熟等優(yōu)點，已成為最受歡迎的工業(yè)通信網(wǎng)絡(luò)。

工業(yè)控制網(wǎng)絡(luò)的安全問題分析

工業(yè)以太網(wǎng)作為工業(yè)控制網(wǎng)絡(luò)的基本架構(gòu)可以將企業(yè)傳統(tǒng)的三層網(wǎng)絡(luò)系統(tǒng)合成一體，使數(shù)據(jù)的傳輸速率更快，實時性更高，并可與企業(yè)辦公信息網(wǎng)無縫集成，實現(xiàn)數(shù)據(jù)的共享，提高網(wǎng)絡(luò)運作效率。但同時也引入了一系列的網(wǎng)絡(luò)安全問題，如工業(yè)以太網(wǎng)可能會受到包括病毒感染、非法操作等網(wǎng)絡(luò)安全威脅。

工業(yè)控制網(wǎng)絡(luò)的安全問題其實一直存在，只是以往的工業(yè)控制系統(tǒng)相對封閉，網(wǎng)絡(luò)信息安全方面暴露出的問題較少，因此沒有得到相應(yīng)的重視。但是隨著近年來工業(yè)控制系統(tǒng)越來越開放，越來越多地采用通用操作系統(tǒng)、通訊協(xié)議和標(biāo)準(zhǔn)，與企業(yè)信息管理系統(tǒng)的結(jié)合也越來越緊密，信息安全的問題也就顯得越發(fā)突出了。

2010年7月發(fā)生在伊朗的“震網(wǎng)”病毒事件向我們敲響了警鐘。由于工業(yè)控制網(wǎng)絡(luò)作為工業(yè)控制系統(tǒng)的組成部分已經(jīng)廣泛應(yīng)用于我國國民經(jīng)濟的各主要行業(yè)和領(lǐng)域，成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成，但是絕大部分工業(yè)控制網(wǎng)絡(luò)設(shè)備都是采用國外產(chǎn)品，一旦出現(xiàn)問題必將是災(zāi)難性的，因此工業(yè)控制網(wǎng)絡(luò)的安全問題是關(guān)系到國家經(jīng)濟安全和戰(zhàn)略安全的重要問題，必須引起高度重視。

工業(yè)控制網(wǎng)絡(luò)的脆弱性分析

工業(yè)控制系統(tǒng)的種類有很多，根據(jù)不同的應(yīng)用環(huán)境，大致可以分為設(shè)備級、現(xiàn)場級和系統(tǒng)級。設(shè)備級和現(xiàn)場級系統(tǒng)大多采用嵌入式的結(jié)構(gòu)，使用專用實時操作系統(tǒng)和實時數(shù)據(jù)庫。由于其計算資源有限，為了保證實時性和可用性，系統(tǒng)在設(shè)計時往往不過多考慮信息安全的需求，從關(guān)鍵芯片到文件系統(tǒng)、進(jìn)程調(diào)度、內(nèi)存分配等都可能存在安全漏洞。隨著設(shè)備和現(xiàn)場級系統(tǒng)越來越智能化和網(wǎng)絡(luò)化，它已經(jīng)成為潛在的重點攻擊目標(biāo)。類似“震網(wǎng)”病毒入侵PLC這種具有很強的目的性和專業(yè)性的入侵攻擊，一旦利用了系統(tǒng)的安全漏洞，其后果和損失往往是巨大的。

在操作系統(tǒng)方面，由于考慮人機交互以及與其他生產(chǎn)管理系統(tǒng)、信息系統(tǒng)的互聯(lián)，越來越多地采用了通用操作系統(tǒng)。例如工程師站、操作員站一般采用的都是Windows平臺，但為了系統(tǒng)的穩(wěn)定運行，通常現(xiàn)場工程師在系統(tǒng)投入運行后不會對操作系統(tǒng)平臺安裝任何補丁，從而使通用操作系統(tǒng)的安全漏洞未能得到彌補，留下安全隱患。

在網(wǎng)絡(luò)方面，隨著TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中，通信協(xié)議漏洞問題也日益突出。例如，OPC通訊采用不固定的端口號，導(dǎo)致無法使用傳統(tǒng)的防火墻來確保網(wǎng)絡(luò)的安全訪問控制。

在應(yīng)用軟件方面，隨著越來越多的功能要求，工業(yè)控制系統(tǒng)軟件的規(guī)模和復(fù)雜度不斷增大，加上普遍使用中斷和優(yōu)先級來滿足系統(tǒng)實時性需求，帶來了軟件流程的不確定性問題，這些都加大了對軟件進(jìn)行測試的難度。另外由于缺少統(tǒng)一的安全防護(hù)規(guī)范，工業(yè)控制系統(tǒng)軟件普遍存在安全設(shè)計缺陷，而應(yīng)用軟件產(chǎn)生的漏洞是最容易被攻擊者利用的，取得被控設(shè)備的控制權(quán)，從而造成嚴(yán)重后果。

工業(yè)控制網(wǎng)絡(luò)面臨的威脅分析

一方面，敵對政府、恐怖組織、商業(yè)間諜、內(nèi)部不法人員、外部非法入侵者等對工業(yè)控制網(wǎng)絡(luò)虎視耽耽。國家關(guān)鍵基礎(chǔ)所依賴的很多重要工業(yè)控制系統(tǒng)都是基于工業(yè)控制網(wǎng)絡(luò)的，其安全是國家經(jīng)濟穩(wěn)定運行的關(guān)鍵，是信息戰(zhàn)中敵方的重點攻擊目標(biāo)。

另一方面，系統(tǒng)復(fù)雜性、人為事故、操作失誤、設(shè)備故障和自然災(zāi)害等也會對工業(yè)控制網(wǎng)絡(luò)造成破壞。

在以太網(wǎng)絡(luò)技術(shù)融合進(jìn)工業(yè)控制網(wǎng)絡(luò)后，傳統(tǒng)網(wǎng)絡(luò)上常見的安全問題已經(jīng)出現(xiàn)在工業(yè)控制網(wǎng)絡(luò)中。例如用戶可以隨意安裝、運行各類應(yīng)用軟件、訪問各類網(wǎng)站，這類行為不僅影響工作效率、浪費系統(tǒng)資源，而且是病毒、木馬等惡意代碼進(jìn)入系統(tǒng)的主要原因和途徑。

針對工業(yè)控制網(wǎng)絡(luò)的主要攻擊手段分析

事實上工業(yè)控制網(wǎng)絡(luò)暴露著很多問題，在這些系統(tǒng)或者子系統(tǒng)上的信息攻擊可以通過遠(yuǎn)程登錄或者病毒木馬實現(xiàn)。基于工業(yè)控制網(wǎng)絡(luò)暴露問題的特點，常見的攻擊手段如下：

后門遠(yuǎn)程控制。后門是指軟件自身具備的能繞過軟件的安全控制機制，從隱秘的通道獲取對程序或系統(tǒng)訪問權(quán)的方法。在軟件開發(fā)時，開發(fā)人員設(shè)置后門可以方便修改和測試程序中的缺陷。但如果后門被其他人知道（可以是有意透露或者被探測到的后門），在發(fā)布軟件之前沒有去除后門，它就對計算機系統(tǒng)安全造成了致命威脅。

網(wǎng)絡(luò)病毒木馬攻擊滲透。病毒和木馬都屬于惡意代碼，往往利用系統(tǒng)漏洞進(jìn)行滲透。從功能上看，有些病毒能破壞目標(biāo)，有些是收集特定信息。研究人員發(fā)現(xiàn)，這些特定的任務(wù)模塊可捕捉鍵盤敲擊、竊取密碼、刪除硬盤數(shù)據(jù)、激活語音系統(tǒng)竊聽網(wǎng)絡(luò)電話和聊天內(nèi)容，甚至利用藍(lán)牙功能竊取與被感染電腦相連的智能手機、平板電腦中的內(nèi)容。

工業(yè)控制網(wǎng)絡(luò)的安全防御對策網(wǎng)絡(luò)防護(hù)目標(biāo)

要保證工業(yè)控制網(wǎng)絡(luò)的安全穩(wěn)定運行，必須達(dá)到以下三個目標(biāo)：

一是通訊可控。能夠直觀地觀察、監(jiān)控、管理通訊網(wǎng)絡(luò)中的數(shù)據(jù)，這是首先要達(dá)到的目標(biāo)。對工業(yè)控制網(wǎng)絡(luò)而言，僅需要保證工業(yè)專有協(xié)議數(shù)據(jù)通過即可，對其他通訊應(yīng)一律禁止，創(chuàng)造一個干凈的通信網(wǎng)絡(luò)環(huán)境。

二是區(qū)域隔離。工業(yè)控制網(wǎng)絡(luò)最可怕的是病毒的急速擴散，它會瞬間令整個網(wǎng)絡(luò)癱瘓。所以即使在工業(yè)控制網(wǎng)局部出現(xiàn)問題，也需要保持裝置或工廠的安全穩(wěn)定運行。應(yīng)通過在關(guān)鍵通道上部署網(wǎng)絡(luò)隔離設(shè)備，創(chuàng)造多個相對獨立的網(wǎng)絡(luò)環(huán)境。

三是報警追蹤。能及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的感染及其他問題，準(zhǔn)確找到故障的發(fā)生點，是維護(hù)控制網(wǎng)絡(luò)安全的前提。把網(wǎng)絡(luò)安全問題消滅在萌芽中，同時通過對報警事件記錄存儲，為已發(fā)生過的安全事件提供分析依據(jù)。

網(wǎng)絡(luò)防護(hù)措施 第一，工業(yè)控制網(wǎng)絡(luò)結(jié)構(gòu)及安全區(qū)域的劃分。從總體結(jié)構(gòu)上來講，工業(yè)系統(tǒng)網(wǎng)絡(luò)可分為三個層次：企業(yè)管理層、數(shù)據(jù)采集信息層和控制層。

企業(yè)管理層主要是辦公自動化系統(tǒng)，一般使用通用以太網(wǎng)，可以從數(shù)據(jù)采集信息層提取有關(guān)生產(chǎn)數(shù)據(jù)用于制定綜合管理決策。數(shù)據(jù)采集信息層主要是從控制層獲取數(shù)據(jù)，完成各種控制、運行參數(shù)的監(jiān)測、報警和趨勢分析等功能。控制層負(fù)責(zé)通過組態(tài)設(shè)計，完成數(shù)據(jù)采集、A/D 轉(zhuǎn)換、數(shù)字濾波、溫度壓力補償、PID控制等各種功能。

系統(tǒng)的每一個安全漏洞都會導(dǎo)致不同的后果，所以將它們單獨隔離防護(hù)十分必要。對于額外的安全性和可靠性要求，在主要的安全區(qū)還可以根據(jù)操作功能進(jìn)一步劃分成子區(qū)。這樣一旦局部發(fā)生信息安全事故，就能避免擴散，從而大大提高工廠生產(chǎn)安全運行的可靠性，同時降低由此帶來的其他風(fēng)險及清除費用。

第二，基于縱深防御策略的工業(yè)控制系統(tǒng)信息安全。針對工業(yè)控制系統(tǒng)的特點，結(jié)合工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，基于縱深防御策略，需要以下五個層面的安全防護(hù)：

一是企業(yè)管理層和數(shù)據(jù)采集監(jiān)控層之間的安全防護(hù)。在企業(yè)管理層和數(shù)據(jù)采集監(jiān)控層之間加入防火墻，建立DMZ區(qū)。一方面進(jìn)行了網(wǎng)絡(luò)的區(qū)域劃分，另一方面只允許兩個網(wǎng)絡(luò)之間通過DMZ區(qū)進(jìn)行合法的數(shù)據(jù)交換，阻擋企業(yè)管理層對數(shù)據(jù)采集監(jiān)控層的未經(jīng)授權(quán)的非法訪問，同時也防止管理層網(wǎng)絡(luò)的病毒感染擴散到工業(yè)控制網(wǎng)絡(luò)。

考慮到數(shù)據(jù)采集監(jiān)控層一般采用工業(yè)以太網(wǎng)，要求較高的通訊速率和帶寬等因素，對此部位的安全防護(hù)建議使用專門的工業(yè)級防火墻和工業(yè)網(wǎng)閘。

二是數(shù)據(jù)采集監(jiān)控層和控制層之間的安全防護(hù)。該部位通常使用OPC通訊協(xié)議，由于OPC通訊采用不固定的端口號，因此，在數(shù)據(jù)采集監(jiān)控層和控制層之間應(yīng)安裝專業(yè)的工業(yè)防火墻，解決OPC通訊采用動態(tài)端口帶來的安全防護(hù)瓶頸問題，阻止病毒和任何其他的非法訪問，提升網(wǎng)絡(luò)區(qū)域劃分能力，防止區(qū)域內(nèi)的病毒感染不會擴散到其他網(wǎng)絡(luò)，從本質(zhì)上保證網(wǎng)絡(luò)通訊安全。

三是保護(hù)關(guān)鍵控制器。控制器與其他設(shè)備之間的通訊一般都采用制造商專有工業(yè)通訊協(xié)議，或者其他工業(yè)通信標(biāo)準(zhǔn)，如Modbus等。因此，對關(guān)鍵的控制器的保護(hù)應(yīng)使用專業(yè)的工業(yè)防火墻。一方面對防火墻進(jìn)行規(guī)則組態(tài)時只允許工業(yè)專有協(xié)議通過，阻擋來自操作站的任何非法訪問；另一方面可以對網(wǎng)絡(luò)通訊流量進(jìn)行管控，指定只有某個專有操作站才能訪問指定的控制器；同時，也可以管控局部網(wǎng)絡(luò)的通訊速率，防止控制器遭受網(wǎng)絡(luò)風(fēng)暴及其他攻擊的影響，避免控制器死機。

四是隔離工程師站。對于網(wǎng)絡(luò)中的工程師站，考慮到它在項目實施階段通常需要接入第三方設(shè)備（U盤、筆記本電腦等），而且是在整個控制系統(tǒng)開車的情況下實施，存在較高的安全隱患，受到病毒攻擊和入侵的風(fēng)險很大。在工程師站前端增加工業(yè)防火墻，將工程師站單獨隔離，防止病毒擴散，保證網(wǎng)絡(luò)的通訊安全。

五是和第三方控制系統(tǒng)之間的安全防護(hù)。為了確保兩個區(qū)域之間數(shù)據(jù)交換的安全，管控通訊數(shù)據(jù)，應(yīng)使用工業(yè)防火墻將安全儀表系統(tǒng)等第三方控制系統(tǒng)和網(wǎng)絡(luò)進(jìn)行隔離，保證只有合法可信的、經(jīng)過授權(quán)的訪問和通訊才能通過網(wǎng)絡(luò)通信管道。同時提升網(wǎng)絡(luò)安全區(qū)域劃分能力，有效地阻止病毒感染的擴散。

采用安全管理平臺 安全管理平臺的功能包括集成系統(tǒng)中所有的事件和報警信息，并對報警信息進(jìn)行等級劃分。提供實時畫面顯示、歷史數(shù)據(jù)存儲、報警確認(rèn)、報警細(xì)目查詢、歷史數(shù)據(jù)查詢等功能。

安全管理平臺還負(fù)責(zé)捕獲現(xiàn)場所有安裝有工業(yè)防火墻的通訊信道中的攻擊，并詳細(xì)顯示攻擊來自哪里、使用何種通信協(xié)議、攻擊目標(biāo)是誰，以總攬大局的方式為工廠網(wǎng)絡(luò)故障的及時排查、分析提供可靠依據(jù)。