工控網絡安全淺析

◆黃杰

工控網絡安全淺析

◆黃杰

（中國石油西南油氣田公司天然氣凈化總廠 重慶 400021）

工控網絡即工業控制網絡，廣泛應用于石化、電力、冶金、航天等諸多現代工業。隨著工業化與信息化的深度融合、“智慧工廠”建設的大力推進，工控系統的受到的關注越來越高，工控網絡安全問題更加突顯。本文淺析了目前工控網絡在“兩化融合”背景下的安全現狀和面臨的安全風險，并分析了一些安全防護方法。

工控網絡；網絡安全；脆弱性；兩化融合

1 前言

2017年6月1日《網絡安全法》正式實施，突顯網絡空間已經成為繼海、陸、空、天之后的第五大國家主權空間，工控網絡作為網絡空間的重要組成部分，涉及國家命脈、關系國計民生，應用范圍廣泛，應當予以充分重視。

目前，我國工控系統整體的安全狀況形勢嚴峻，具體有以下幾個方面：一是多數企業在工控網絡安全方面的投入相對不足；二是服務于工控網絡安全方面的資源較少；三是工業互聯網對工控安全帶來了前所未有的新挑戰；四是工控系統核心技術多由國外企業壟斷；五是工控網絡安全相關的人才儲備嚴重不足。

2 工控網絡結構

工控網絡可以簡單理解為工控系統中的網絡部分，工控系統需要通過各種儀表、傳感器采集實時生產數據，實現對現場設備的控制。圖1是工控網絡的典型架構，將工控網絡分為了現場總線控制網絡、過程控制與監控網絡、企業辦公網三個邏輯層，下面將具體說明。

圖1 工控網絡的典型架構

現場總線控制網絡包含了現場設備層和現場控制層，它們之間利用現場總線技術將傳感器、繼電器等現場設備與PLC、RTU等現場控制設備相連，直接采集現場數據到DCS，完成基本的數據采集和過程控制；向上是過程控制與監控網絡，包含過程監控層和生產管理層。其中過程監控層負責監控及展示生產數據，生產管理層主要為上層企業網絡提供數據支持；最上層是企業辦公網絡，主要通過對各種數據的應用進行輔助決策。

3 工控網絡脆弱性分析

工控網絡最關注的是可用性，因為工業生產環境惡劣，但對設備的穩定性要求又極高，這就使得以前的工控設備在設計時就將的功能簡化，沒有多余的算力來支持網絡安全程序的運行。所以工控網絡天生脆弱。

3.1 設備的脆弱性

生產現場的各種智能儀表、傳感器等采集設備通過現場總線與PLC、RTU等控制設備相連，沒有用戶認證、數據加密等安全功能。同時工控協議中天生存在著各種安全漏洞，而且多數廠商的工控系統存在私有通信協議，在數據交互的過程中無法實現基本的訪問控制策略和認證機制，即使在不同安全等級的網絡之間配置了邊界隔離設備，仍然存在因策略配置不當而被穿透的風險。

3.2 網絡的脆弱性

信息化技術可以為企業要提質增效，同樣也能讓工控網絡和辦公網絡親密無間，企業在享受信息技術帶來的變革時，也必須面臨更多安全問題。本就不太健壯的TCP/IP協議在和OPC協議相遇后隨之而來的是更多的安全漏洞，Linux和Windows等通用產品在漏洞威脅日益嚴峻的今天將給工控網絡帶來更大的暴露面。國與國之間的網絡戰已經日趨常態化，而工控網絡正是被攻擊的重點，這顯然已經對國家安全帶來了前所未有的嚴峻挑戰。

3.3 安全意識薄弱帶來的脆弱性

在我們的日常生活中廣泛存在弱口令、密碼復用等都是因為網絡安全意識薄弱而導致的結果。工控系統歷來注重可用性，對安全性問題考慮不足，網絡安全策略更是無從談起，企業的工控網絡安全管理制度也多是流于形式。技術與制度兩方面的缺失從而造成人員網絡安全意識淡薄。而工控網絡安全在國家安全中所占比重的日益增加，以及信息技術在工控系統中的廣泛應用，安全意識將成為工控網絡安全的最大風險。

4 典型網絡威脅

4.1 高級持續性威脅

高級持續性威脅（APT）是一種隱匿而持久的網絡攻擊行為，針對特定的目標發起定向攻擊，通常是為了獲取組織或國家的機密信息。APT攻擊過程較為復雜，不僅是攻擊手段多樣化，而且還大量運用各種最先進的技術，其主要特征是攻擊持續性長、針對性強、技術性強、復雜度高，是一種不計成本的攻擊方式。所以APT攻擊背后都有技術力量強大的團隊支撐，甚至是國家層面的行為。這些特性也讓傳統的網絡安全防御手段失效，很難進行有效防范，從而帶來較為嚴重的安全問題。

4.2 工控網絡安全漏洞

傳統的工控網絡是一種專用網絡，處于一個相對封閉的網絡環境，因此工控系統在設計之初都認為不會有安全威脅而忽視了安全性考慮。工控網絡中的數據傳輸都是沒有加密的明文，也沒有任何身份認證機制，在系統正式運行前幾乎不會進行安全漏洞檢測，在投入生產后為了保障可用性，也很少會對系統和軟件進行升級。這樣脆弱的工控網絡直接接入互聯網就如同在溫室中培養出來的花朵突然暴露在烈日、暴雨之下，毫無安全性可言。

圖2顯示了已知公開的工控相關安全漏洞在不同產品上的分布情況。其中上位機軟件和各類系統的漏洞占據了多數，下位機的漏洞主要集中在PLC上，服務器和網絡設備也占據了一定的比例。

圖2 2000-2016年公開工控漏洞影響產品統計數據

4.3 安全設計缺失

除了被動的威脅，還有工控網絡先天不足所造成的主動威脅。由于“震網”事件的影響，在2010年后針對工控系統的網絡攻擊出現了大幅增長，主要是因為大量使用中的工控系統，存在網絡安全設計嚴重缺失的問題。

究其原因是制造廠商將工控系統的可靠性與可用性在設計時放在了首位，忽略了控制系統本身的安全性，系統中沒有有效的安全防護策略。網絡架構“無縱深”、系統應用“無防護”和運行狀態“無監測”的“三無”情況普遍存在于各種工控系統中。從系統的底層架構、交互邏輯到控制器的固件程序、使用的通信協議以及人機交互界面等都存在各種漏洞或缺陷，使得系統無法應對網絡中的安全風險。而且因為兼容性等原因工控系統中的防護軟件基本處于失效狀態，使系統極易感染網絡病毒、木馬等，也很容易成為攻擊目標。

5 安全防護解決措施

工控網絡安全防護的核心應該是建立以安全管控為中心，輔以適合工控網絡特性的安全技術，進行有目的、有針對性的防御。石化行業在我國經濟建設中占據重要地位，其發展受到諸多關注，這一行業的高危性使得解決其生產過程中出現的安全問題成為當務之急。

將我國工控系統的網絡安全防護能力與傳統基于TCP/IP協議的網絡系統進行對比，前者的安全性明顯偏低，并長期以來關注也較少。隨著“兩化融合”的大力推進，以大數據、物聯網、云計算、5G為代表的信息技術越來越多的應用到工控系統中，在為工業生產帶來極大推動作用的同時，也給工控系統帶來了新的安全問題。針對企業的業務需求和工控系統的特點，需要工控廠商發揮引領作用，工控企業要明確安全需求，共同著手建立健壯性的機制，讓工控系統具備由內而外、與生俱來的安全防護能力。

5.1 運用工業防火墻和智能保護設備

加快工業防火墻和智能保護設備在工控網絡中的運用，讓它們逐漸成為工控網絡邊界防護和終端防護的常規手段。工業防火墻最突出的一點是內置工業通訊協議的過濾模塊，支持對各種工業協議的解析及過濾，實現對控制指令識別、操作地址和參數的提取等，彌補普通防火墻不支持工業協議過濾的不足。智能保護設備是部署在各個終端節點上的網絡保護設備，防御來自外部、內部其他區域及終端的威脅。在企業管理層、MES層、過程監控管理層之間分別部署工業防火墻和智能保護設備，可以有效地保障系統的安全性和可靠性。

5.2 終端設備防護

終端設備是指工控系統中使用的計算機，包括工程師站、操作站和服務器等，也稱為工控主機。這些終端設備直接連接到控制器，因而對其進行安全防護十分關鍵。以防止病毒、木馬通過終端設備侵入系統為主要目的，采取的主要措施有：減少不必要的功能和應用，操作系統和應用軟件都遵循系統最小化原則；應用基于“白名單”和“黑名單”相結合的防護技術，在系統穩定運行后通過規則匹配、深度學習等方法自主建立合法的“白名單”，在沒有特征庫的情況下也能發現病毒和網絡攻擊等異常情況；對端口的使用進行限制，使用USB端口管控工具控制外部移動存儲設備的準入，并對所有接入的移動存儲設備進行審計。

5.3 網絡完整性系統

網絡完整性系統用于預防、檢測和補救工控網絡所面臨的威脅。它可以識別系統中的漏洞和風險、管理不同廠商的控制系統、對工控系統進行全面健康分析和事件響應、通過備份關鍵控制系統數據來快速恢復系統，并支持安全事件審計。是在工控網絡上部署主動的、智能的入侵防護系統，以旁路方式接入，通過數據流鏡像，主動采集工控系統的網絡數據進行分析，實時查找網絡的異常情況和攻擊線索，監測網絡的通信狀況，及時發現網絡攻擊和病毒的異常傳播，攔截所有可疑的數據包，終止入侵，保護系統不受攻擊。

5.4 落實管理制度

再好的技術沒用配套的制度，也不能保障其正常的運轉。落實有效的工控系統網絡安全管理制度是實現安全防護的關鍵。得益于《網絡安全法》、《等保2.0》等相關法規的實施，從法律層面上明確了網絡安全的職責，也為相關制度的落實提供了有力支撐。要體現出相應組織機構的職能，制訂安全方針，落實安全職責，負責工控網絡的安全防護工作。按照國家法規和有關規定對工控系統實行全生命周期管理，持續開展工控系統網絡安全風險評估，落實系統安全整改、系統安全升級等技術方案，采取切實可行的綜合防控措施，確保工控系統的安全穩定運行。同時，不斷總結有效防護經驗，全面培訓相關技術人員，制訂應急預案并進行演練，不斷提升安全防護水平。

6 結語

在今天信息化與工業化深度融合的環境下，工控網絡安全已經成為當前工控網絡安全領域的焦點。結合自身工作經驗和現狀提出幾點建議：要結合信息技術和工控系統各自特點，加快安全標準和規范的制定；構建工控系統專有漏洞庫，對漏洞進行分級管理；相關的管理制度和防護措施要服務于工控系統網絡安全的全生命周期；加強員工網絡安全意識和防護水平培訓；對工控網絡安全中出現的問題要通過技術手段和管理制度多管齊下，切實保障系統的安全運行和生產安全；加大工控網絡安全人才的培養。

[1]伍錦榮.工控系統網絡安全現狀及解決方案[J].石油化工自動化，2017（4）：4-5.

[2]工控系統行業漏洞平臺[DB/OL].http://ivd.winicssec.com.2018.

[3]國家信息安全漏洞共享平臺[DB/OL].http://www.cnvd.org.cn.2018.

[4]中國報告網[DB/OL].http://www.chinabaogao.com.2018.