工業控制系統主動感知預警技術

姚申 董靜

（濱海公安局 山東省東營市 257000）

1 工業控制系統安全現狀

隨著科技的發展，全球范圍內出現多起攻擊工業控制系統的事件，最常出現在制造、電力、交通運輸、能源以及水利等領域。工業安全事件信息庫（簡稱RISI)作為統計路徑，從工業控制系統應用至今，全世界范圍內已經有超過了300 起重大工業控制系統受攻擊事件。比如，伊朗Bushehr 核電站就曾遭受到超級病毒侵入，并且該病毒太復雜，伊朗短時間內竟無法完全清楚，使得核設施中用來生產核燃料的離心泵出現故障，威脅到核設施正常安全運行，最終使得伊朗核計劃延遲數年之久。在工業領域方面，高級持續性威脅（APT）進攻了德國的一家鋼鐵企業，由于該鋼廠的工業控制系統組件被侵入者挾持，波及到整條生產線，只能停工停產，避免出現生產事故，這次工業控制系統安全問題導致該企業損失高達幾千萬。

2 工業控制系統感知技術分析

2.1 工業通信協議分析

種類多樣的工業通信協議有公有協議和私有協議之分，常見的公有協議有IEC60870-5-104、Modbus 等；私有協議更為靈活，常見的有Siemenss7，GESRTP 等，不同行業不同領域所用到的通信協議有著較大的差別，可根據需要選擇通信協議的種類。一般來說，私有協議具有高難度，低準確度的特點，主要是因為其對通信報文的分析采用的是協議逆向、盲識別的方式，需要利用模擬軟件或者硬件設施對工控系統仿真運行環境進行搭建，然后通過抓包工具來抓取數據包。公有協議具有低難度系數、高精準度的特點，其數據解析參照HB、IEC 或者GB 等協議。作為OSI 模型的應用層協議，Modbus 協議的網絡通信標準有Modbus/TCP 兩種，都屬于第七層。目前，502 作為常用端口號，是工業化自動公司唯一擁有協議端口，采用Modbus 進行自動化信息傳輸，符合RFCl700 規定。Modbus/TCP 協議幀格式如圖1所示。

2.2 控系統指紋庫構建

網絡搜索引擎可以采集報文數據，但是在采集中會出現三個主要問題，分別是遺漏問題、數據不全問題、解析不徹底問題。另外，還存在成功率低，能夠識別的數據較少，甚至出現不能識別廠商等重要數據信息。為了解決上述問題，提高數據識別高效性，采取指紋識別系統，建立企業工控系統指紋庫，通過維護指紋庫字典以及運用模糊識別技術就可以用于提取數據庫中產品的版本和廠商等數據信息。工業控制系統還具有擴展容易，高靈活性等特征，在構建過程中，全面的工控設備信息數據來源于公共協議在發送特殊請求的報文時，對設備應答信息進行全面解析，常見的讀取指紋方式多樣化，主要有MMS、FINS、Modbus/TCP 等。

2.3 速掃描機制

聯網工業控制系統主動感知技術的快速掃描機制，采用的是資產識別以及端口存活掃描兩者相結合的方式，詳情可見圖2。

圖1：Modbus/TCP 協議幀格式

圖2：聯網工業控制系統快速掃描機制

由圖2 可知，工業控制系統快速掃描過程大致如下：

首先是探測協議端口，通常分為兩種情況：當TCP 協議端口在IPv4 地址空間內時，則采用Masscan 探測，若為UDP 協議端口，則需要采用Zmap 探測；然后開始探測數據，將探測匯總的結果放到端口存活結果地址庫；最后利用Nmap 做資產識別性掃描來分析存活性結果，直到發現設備信息，并且通過工控系統指紋庫，找到設備的版本、型號、類型等相關信息。

2.4 威脅預警

在做資產識別掃描后，聯網工業控制系統的相關信息可以被探測出來，常見的信息主要是設備的廠家、版本、端口、協議等。可以根據這些信息，分析該聯網工業控制系統所存在的安全漏洞，對網絡安全而言，聯網工控系統可以根據這些漏洞的危險程度、存在情況做查缺補漏工作，政府監管部門也能更好的開展安全防范工作。

一般工業控制系統安全漏洞獲取途徑有國家信息安全漏洞共享平臺（CNVD）、國家信息安全漏洞庫（CNNVD）以及國際著名的安全漏洞庫（CVE）這三個平臺。中國電子科技網絡信息安全有限公司作為我國專門的技術團隊之一，其專門從事網絡信息安全工作，涉及的是工業控制系統。根據數據可知，該團隊自主挖掘了200 多個工控漏洞，形成了專門的聯網工控系統漏洞庫，該漏洞庫主要在零DAY 漏洞的基礎上，對CNNVD、CNVD、CVE 等權威漏洞庫進行融合而得。

表1：工業控制系統感知預警系統

表2：PDCA 循環管理內容

3 主動預警系統的設計

3.1 面向服務的技術架構（SOA）

根據前文分析可知，安全態勢感知預警技術實際上是一種面向服務的體系架構和WEB Services 技術，系統設計的用戶界面都是采用B/S 結構，保證系統每個組件間是松耦合。這種系統整體系統架構擴展非常靈活，在該平臺上可以應用多種管理技術和信息安全產品，兼容性好，為工業控制系統整個生命周期內提供安全功能，促進人員、技術以及產品結合，并且提供多種類型的對外接口，可以與第三方平臺直接連接，實現融合，最大可能保證工控系統的穩定性和安全性。

3.2 一體化功能結構設計

基于安全態勢感知預警技術設計的系統主要由以下幾個部分組成，具體如表1所示。

本次設計系統對信息安全管理采用的PDCA 循環，并將系統分為幾個階段處理和分析，如表2所示。

通過一體化功能設計，系統可以保證工業控制信息安全，維護企業正常生產運營。同時該系統還能實現各個功能構建之間的關聯，以此實現平臺技術架構體系的統一，從而解決預警系統在實際應用時的共性問題。

3.3 關鍵技術實現

3.3.1 數據采集

工業控制系統安全感知預警系統對企業的系統日志以及IT 資源進行全面的監控，特別是安全設備、系統主機、服務器以及網絡設備等。系統可以實時采集網絡中不同廠商的安全設備以及操作系統和使用的主機，將這些工業控制系統信息所產生的大量日志數據全部收集匯總，并且上傳到審計中心，存儲與備份，以供管理者查詢、評估、審計以及警告和響應等，最后還可以出具詳細的報告，知悉全網的安全運行狀況，保證工控系統在整個生命周期內，處于安全監管之中。

3.3.2 大數據存儲優化技術

通過前文分析可知，基于主動感知技術的安全系統的數據架構是按照事件的時間順序進行儲存，通過分析和利用日志數據，將大量的日志數據合理規劃處理分類。為了更好存儲日志數據，系統還能以時間特征將所有日志儲存在不同的存儲空間里，并且實現多個物理介質儲存不同類型的數據，極大優化和提高了數據存儲的能力。

3.3.3 關聯分析實現

關聯分析可以解決系統安全措施不完善以及出現安全信息孤島的情況。系統通過將IDS、漏掃、防火墻以及防控病毒系統等設備的日志數據集中分析與處理，制作出合理的解決方案。另外，還能關聯來自不同地點、時間以及類型的安全事件，提前分析與評估，借此發現真正的安全風險問題，如此才能大幅度提高控制系統安全報警的信噪比。所以通過系統采集的安全事件，進行安全關聯分析，可以提高警覺，及時發現安全問題并有效響應。

3.3.4 圖形化業務監控視圖

系統采用圖形化業務監控視圖，可以監控多個單獨資產，并且系統將監控資產進行時間排列，構成一個時間鏈，方便外在監控和顯示，脈絡和邏輯清晰，特別是關鍵資產監控可以重點突出顯示。同時，在窗口上動態顯示用戶計算機中業務的運行情況，以及業務之間的依賴關系和相互結構，反映出控制系統的邏輯網絡，為控制系統健康評估提供直觀的總覽信息。

4 結論

隨著工業控制系統的內外部安全隱患逐漸增多，其面臨的信息安全形勢也越來越嚴峻。石油行業的工控系統一旦遭受破壞，將會給國家、企業及個人造成非常嚴重的影響，會直接導致政府公信力的下降，并大幅降低人民群眾的安全感。石油行業必須進一步提升工控系統信息安全管理水平，并從工程實施、運行管理及安全教育等方面進行完善的工控系統防護體系建設，真正提升企業全員的安全意識，并從技術層面和管理層面對防護體系建設貢獻力量，從而為石油石化企業的安全生產提供相應的保障。