工控網絡安全檢測與防護體系研究*

張宏斌，王曉磊，趙云龍

(1.中國電子信息產業集團有限公司第六研究所，北京 100083； 2.國家工業信息安全發展研究中心，北京 100040)

0 引言

當前工控系統在軍工、電力、石油、軌道等行業大規模使用，呈現快速發展的態勢，超過80%的涉及國計民生的關鍵生產活動需要依靠工業信息化來實現自動化[1]，工控系統已經成為國家關鍵信息基礎設施的重要組成部分。然而隨著網絡信息技術在工業領域的大規模應用，尤其是工業互聯網、云計算、大數據、人工智能等新技術的實施，越來越多的工控網絡安全問題暴露出來，也成為網絡攻擊的重點目標。

近年來不斷爆發的如2015年“烏克蘭電網攻擊”、2016年“Mirai病毒”、2017年“WannaCry勒索病毒”，2019年“委內瑞拉大停電”等事件表明，工控網絡安全事件仍然層出不窮，攻擊范圍有不斷擴大的趨勢。面對嚴峻的網絡安全形勢，傳統的網絡安全防護已經無法有效應對目的更加明確、手段更加多樣、能力不斷增強的網絡攻擊。本文針對當前工控網絡所面臨的問題，提出一種工控網絡安全監測技術與框架，并分析研究工控網絡的整體安全防護體系，為有效應對動態變化威脅、隱蔽性未知攻擊、工控安全綜合風險提供參考。

1 工控網絡面臨的主要問題

1.1 開放互聯需求增強，關鍵系統安全有待提升

在工業互聯網產業發展趨勢下，工業終端設備從封閉逐步走向開放，尤其是云計算、大數據等新技術的應用，打破傳統物理隔離常規，增加了工業處理流程的開放性和不確定性，網絡安全風險進一步集中和放大。

國內關鍵信息基礎設施采用的國內外工控系統和產品都可能存在已知或未知的后門、漏洞和缺陷，同時一些關鍵系統、高端裝備仍然依賴于國外產品，重大故障的維護都有廠商參與，有些留有遠程訪問端口，有可能來帶一定的安全隱患[2]。總之，當前工控核心設備產品、關鍵系統自身安全性有待提升，以有效應對開放互聯背景下的高強度網絡威脅。

1.2 安全防護能力差，無法有效應對隱蔽性攻擊

當前工控網絡安全防護主要有兩種情況：一是大量工控設備、系統處于“裸奔”狀態，無統一安全防護方案。多數基礎軟件、智能化設備安全可靠程度低，部分設備更新換代慢、處理能力有限，在設計之初沒有進行安全方面的預置，同時安全防護手段采用默認配置的方式仍然普遍存在；二是工控網絡安全防護手段有限，能力不足。工控網絡部署安全防護設備大多還是基于傳統網絡安全防護模式，安全防護能力有限，如防火墻基于IP、端口進行攔截，缺乏對內容進行深度的分析，入侵檢測基于攻擊特征檢測、誤報率高，容易被繞過，安全網關基于IP、URL等黑名單進行控制，無法檢測未知內容；殺毒軟件基于代碼指紋進行檢測，缺乏動態行為深度分析，無法識別未知惡意代碼[3]。總之，工控網絡缺乏有效的安全防護體系，無法應對隱蔽性攻擊。

1.3 應急處置能力弱，安全管理制度有待提高

工控安全主要是指工控網絡和系統的運行安全，防范來自內部或外部的網絡攻擊，而要保證工控系統的整體安全，則必須要制定相應的防護策略、落實相關的安全管理規范，以有效避免或應對網絡攻擊帶來的危害。然而，當前我國制造企業工控網絡系統防護與管理在安全防護策略、安全架構與設計、生產制造全流程管理、安全審計與災難備份、安全培訓等方面相對脆弱，多數單位網絡安全事件應急預案未建立或不完善，態勢監測預警機制不健全，網絡安全應急處置能力較弱，安全管理制度有待提高[4]。

2工控網絡安全監測

針對工控網絡所面臨的主要問題，需要研究工控網絡安全檢測技術與方法，以發現內嵌網絡安全威脅和有效應對隱蔽性攻擊，確保工控網絡各層基礎設備、數據資源的安全。同時要構建工控協議解析庫，完善安全事件特征庫，豐富網絡攻擊知識庫，對多環境、多業務流量進行深度分析、識別、發現、追蹤、評估，形成工控網絡監測體系，有效提升工控網絡安全技術監管能力[5]。

2.1 工控網絡安全監測相關技術

工控網絡安全監測技術主要包括工控協議精準解析與分析技術、異常行為與關鍵事件檢測技術、攻擊知識庫構建與自動學習技術、攻擊數據溯源取證技術等。

(1)工控協議精準解析與分析技術

由于工控協議大都為私有協議，要實現網絡安全監測與分析，工控協議的精準解析是基礎。通過系統分析工控協議，提取協議關鍵字段等，形成協議特征庫，構建工控協議字典，覆蓋Siemens S7、Modbus、IEC104、Fins、Ethernet/IP等主流工控協議，從而支持對相關工控設備、流量的精準識別。

(2)異常行為與關鍵事件檢測技術

為解決工控網絡內部操作不正規問題，有效避免生產事故，需研究工控異常行為與關鍵事件監測技術，支持對TCP/IP協議、工控指令、網絡會話等異常行為進行檢測，實現對用戶誤操作、用戶違規操作(如PLC下裝、組態變更、指令變更、程序異常退出)、越權訪問等關鍵事件進行實時監控。

(3)攻擊知識庫構建及自動學習技術

為了對流量數據進行有效識別，需要建立攻擊知識庫，包括漏洞庫、威脅情報庫、惡意行為庫、協議識別規則庫、安全規則庫、危害等級評價庫等，通過構建并依據知識庫對流量進行監測，統計分析網絡行為，構建網絡關系拓撲，展示用戶、應用、資源等分布情況，利用知識庫龐大的規則體系識別高頻網絡攻擊、網絡掃描探測、控件漏洞攻擊、Web應用攻擊等。

根據工控網絡安全的特點建立機器學習引擎，基于現有知識庫，在海量數據中自動學習提取新的規則與特征，并不斷將新的知識填充到知識庫中，指導提高攻擊檢測的深度與廣度。

(4)攻擊數據溯源取證技術

當發生網絡攻擊后，需要對流量數據進行過濾提取和精細關聯分析，確定流量的來源、應用類型、傳輸目的，存儲記錄關鍵數據特征，包括時間、源地址、源端口、目的端口等信息。利用攻擊知識庫數據，一是發現追蹤內部網絡攻擊情況，定位事件故障，溯源攻擊發起位置與過程；二是精確分析外部網絡攻擊行為，進行分析溯源。通過攻擊溯源取證技術，豐富網絡安全攻擊庫，制定調整相應的保護策略，確保工控生產、調度、管理等網絡和底層基礎設備的安全。

2.2 工控網絡安全監測防護部署

工控網絡一般進行分區管理，主要包括企業管理區和生產調度區，如圖1所示。企業管理區內分外網和內網兩部分，外網應當設立安全控制策略，進行邊界數據包過濾、惡意代碼防范、非法外聯和入侵行為探測，加強網絡邊界的審計和防護；內網管理應當設立安全管控中心，對內網的系統(例如OA系統、郵件系統、門戶網站等)進行統一認證、安全存儲、漏洞檢測、病毒查殺等。生產調度區主要包括生產管理層、過程控制層、現場控制層、設備層。生產管理層負責生產任務的數據管理、計劃安排、設計存儲等；過程控制層、現場控制層是對現場設備進行過程控制和實時控制。生產調度區各層都應做好對應的漏洞檢測、入侵檢測、病毒防護，保護好相關工控數據流，防止網絡攻擊行為的發生，以及對反常行為進行預警報告。

圖1 工控安全監測防護部署示意圖

為保證工控網絡系統正常生產、穩定運行，工控網絡各分區間應部署網絡隔離裝置，以保證分區的交互安全，同時部署增加工控網絡安全監測系統，以對整體網絡行為進行全生命周期監測、存儲和分析，形成網絡安全實時態勢感知，以有效應對隱蔽性威脅。工控網絡安全監測系統有工控探針和互聯網探針，一般將工控探針分布式部署于生產調度區各層匯聚交換機上，通過鏡像流量實現對各層鏈路利用率、業務分部情況、服務帶寬占用等進行監測，通過構建攻擊知識庫實現對工控網絡惡意行為的誘捕、存儲、分析，對不正當行為進行關鍵工控事件檢測，最后由工控安全監測評估系統匯總、分析后給出監測報告；將互聯網探針部署在互聯網出入口，對來自外部區域的探測、攻擊行為進行監測和分析，必要時進行反制[6]。

3 工控網安全防護體系思考

3.1 防護原則與目標

(1)防護原則

工控網絡安全防護堅持分級領導、落實責任；堅持同步規劃、同步建設、同步使用；堅持業務穩定、持續運行；堅持分區管理、重點保護；堅持安全監測、及時上報；堅持誰主管誰負責、誰運行誰負責，充分發揮各方力量維護工控網絡安全。

(2)防護建設目標

工控網絡安全防護建設目標應該是建立一個深度安全防護體系，保障工控網絡全生命周期安全可控，在技術上可以實現對工控協議指紋識別和無損探測，感知工控網絡中設備并形成網絡拓撲，能夠對各層網絡流量進行監測和預警，及時發現、追蹤工控網絡中存在的安全威脅，集中呈現整個工控網絡安全態勢，提升網絡安全事件預警與處置能力；在管理上從監測預警、應急響應、安全防護、監督檢查等方面建立對應的安全管理機制，保證工控網絡安全相關制度、要求、責任落實到位。

3.2 防護體系框架研究

工控網絡安全防護應涵蓋網絡系統規劃、建設、運行、維護四個過程，從本質安全、技術防護、標準規范、管理制度、運行管控五個方面進行綜合考慮。建立綜合的網絡安全防護體系，持續作用于整個工控網絡的安全防護生命周期中，在維護運行效率和安全生產間找到平衡點，保障企業安全高效的開展生產活動[7-8]。

在技術防護上要從應用、主機、控制器、網絡等層面考慮采用訪問控制、加密、安全審計等手段，建立縱深技術防護機制，在縱向上保證分層監測、安全隔離；在橫向上保證分區管控、重點防護。在標準規范上要從基礎、技術體制、測試評估和管理等方面建立相應標準，為工控網絡安全規劃、建設、管理、運維、質量、評估、測試、服務等方面提供統一、科學的標準規范[9]。

在管理制度上應當從治理、管理、執行、監督檢查等方面來考慮，政府方面要建立完善網絡安全組織管理體系，明確相關政策與制度，定期組織網絡安全培訓、應急演練、監督檢查等，企業要設立專門的網絡安全管理機構，并明確各部門的網絡安全職責與責任人，保證網絡安全相關要求執行到底，同時要建立完善的制度體系，從安全組織、安全策略、生產管理、供應鏈管理等方面考慮，實現工控資產可見、可管、可控，不斷規范企業各項工作流程，保障生產制造活動有序進行。在運行管控上，要注重過程安全，以預防、監測、響應為主線，建立整個工控網絡運行管理和防護體系，做到網絡安全威脅的提前預警，網絡攻擊流量的監測追蹤，網絡安全事件的及時決策與響應，保障運行管理通暢，形成綜合安全態勢，保證整個工控網絡安全綜合可控。

工控網絡安全防護體系需要關注本質安全，應保證關鍵系統、核心芯片、專用軟件、處理器、數據庫等基礎產品安全可靠，在基礎軟硬件的供應鏈層面，在滿足建設要求的條件下，主動選擇安全可靠程度更高的產品，夯實防護體系基礎。

工控網絡安全防護體系如圖2所示。

圖2 工控網絡安全防護體系框架

4 結論

工控網絡攻擊具有嚴組織、高隱蔽、強持續的特點，而且技術手段層出不窮，尤其是國家關鍵信息基礎設施的工控網絡和系統，一旦出現問題，會對國家安全和經濟社會發展帶來巨大威脅。本文分析了工控網絡安全面臨的問題，提出工控網絡安全監測的相關技術和防護部署模式，并對整個網絡安全防護體系進行思考，希望將安全防護注入整個工控網絡設計、建設、運行、維護的全生命周期里，制定嚴格的標準規范，保障生產制造活動高效率、高安全、高可靠。