水務行業工業自動化控制系統安全性研究和設計

歐中意

[摘 ? ?要 ]隨著國際上互聯網工業、工業4.0等提出，積極推進了生產與制造方式的革新、產業組織的形式創新以及產業結構升級，使得傳統行業的基礎設施能夠實現遠程控制和智能化操作，高度融合IT技術的工業自動化應用得到迅速而廣泛的使用。工業自動化控制系統設計之初是為實現各種工藝要求的電氣設備的集中控制及各種傳感器數據的采集顯示，多數情況下沒有考慮安全和防護方面的需求，當這些系統暴露在外部網絡時，無疑將給他們所控制的重要基礎設施、系統、關鍵設備等帶來巨大的安全隱患。

[關鍵詞]工業自動化;控制系統;網絡安全;漏洞防護

[中圖分類號]TP273 [文獻標志碼]A [文章編號]2095–6487（2021）06–00–03

[Abstract]With the international Internet industry， Industry 4.0， and the domestic strategy "Made in China 2025"， the innovation of production and manufacturing methods， the innovation of industrial organization and the upgrading of industrial structure have been actively promoted， so that the infrastructure of traditional industries can be Realize remote control and intelligent operation. Industrial automation applications that are highly integrated with IT technology are quickly and widely used. The industrial automation control system was originally designed to achieve centralized control of electrical equipment and various sensor data required by various processes. Collections show that in most cases， security and protection requirements are not considered. When these systems are exposed to external networks， they will undoubtedly bring huge security risks to the important infrastructure， systems， and key equipment they control.

[Keywords]industrial automation; control system; network security; vulnerability protection

1 建設背景

近年，信息化技術在各行各業中的應用取得了蓬勃發展，包括工業自動化控制領域，通過TCP/IP通用協議技術，將工業自動化控制系統與企業管理系統緊密聯系在一起。另一方面，傳統的工業自動化控制系統采用專門的軟硬件和數據交換協議，在設計和建設時多數沒有考慮與其他系統互聯互通時所必須考慮的通信安全問題。企業管理系統與工業自動化控制系統之間的網絡防護能力都很弱，或者干脆就沒有隔離功能，安全隱患日趨嚴峻，工業自動化控制系統中的任何一點遭到入侵都有可能致使整個管理系統癱瘓。

水務行業工業自動化控制系統安全事關重大，一旦出現網絡攻擊，將會出現不可控的嚴重后果。在高度信息化為工廠生產管理帶來便利的同時，工廠控制網絡也由原來的相對封閉變得更加開放，勢必會面臨越來越多的網絡威脅。國內外出現過多次由網絡安全引發的安全事故，導致用戶信息泄露、污水進入供水系統等嚴重后果，影響深遠。

2 安全風險分析

水務行業工業自動化控制系統安全的薄弱點是指在工業自動化控制系統缺少保護措施時，系統易被攻擊問題原因主要概括為以下幾點。

2.1 操作系統漏洞

目前大多數工業自動化控制系統的上位機和操作員站及服務器采用Windows和Linux系列平臺操作系統，考慮到控制系統的相對獨立性和運行穩定性，通常在系統安裝好正常運行后，基本不會安裝任何補丁和升級，包括PLC控制器軟件、上位機組態軟件以及操作系統軟件。這樣使已知可利用漏洞以及未知漏洞得不到及時修復，從而埋下安全隱患。

某些主機開啟了RDP遠程桌面服務、Telnet遠程服務、操作系統的共享服務等，且部分服務亦存在等待修復的安全漏洞。不法分子可以成功利用這些漏洞獲得全部管理員權限，可以用此權限完全控制設備。

2.2 應用軟件漏洞

由于工控設備的多樣性導致其軟件的不同，且軟件著作權等知識產權的保護，各軟件對外應用的端口不一，難以達到用統一的規范對安全問題進行防范，且應用軟件本身也有一些未知的問題待發現和修復。用常規的防范措施（殺毒軟件、防火墻等）很難為系統的安全保駕護航。

2.3 網絡結構漏洞

工業自動化控制系統網絡中的各個子系統之間，實現了互聯的功能，但這種互聯也基本都是原始的、開放性的。不同的子系統之間通過標準Modbus協議、OPC服務等進行通信，其作為自動化控制系統與各智能化儀表或對接的中間人，分別與工業自動化控制系統及這些子系統之間都存在大量的通信接口，而這些數據通信之間又未完善隔離措施，威脅一旦進入網絡內部，將快速擴散到系統各處。

2.4 通信協議漏洞

水務行業大量工業自動化控制系統中使用的協議設計之初主要保證通信實時性和可靠性，實現這些目標的同時犧牲了協議本身的安全性因素，存在大量安全性缺陷。

2.5 工控設備后門和漏洞

設備集成商對于出廠的設備或系統的維護手段，除了前期現場調試、現場維護，其次為了作業的方便及出行經濟性方面考慮，使用得最多的還是“遠程控制”的方式。為了達到這個“遠程控制”維護的便捷性，不得不制造一些后門，在需要時將這些后門打開進行遠程維護，不需要時則將其關閉，看似精明的游擊戰略卻也給了入侵者攻擊的機會。

2.6 外部風險來源

工業自動化控制系統網絡面臨多種威脅，如人為事故、不法組織、敵對政府、心懷不滿的員工等。他們的主要目標包括長期潛伏收集數據和情報、破壞生產和基礎設施、竊取核心研發技術、要挾獲取利益等。

2.7 外部滲透手法

隨著智慧水務的建設，兩網實現深度融合，越來越多的攻擊者利用企業網作為跳板一步一步進入生產網，最終實現入侵工業自動化控制系統的目標。

2.8 非法外聯

員工在工程師站或操作員站電腦上私自連接無線WiFi上網，導致自動化控制系統與互聯網直接連通，把整個系統暴露在互聯網下等。

3 建設需求分析

通過現場安全調研和信息匯總，針對現場的安全需求匯總歸納如下。

3.1 網絡通信層面

3.1.1 安全域架構設計缺失

整體架構設計當初考慮更多的是上層網絡（MES）與生產系統網絡通信可用性問題，在辦公網與生產網之間沒有進行安全隔離與控制。這樣極易導致生產系統和生產數據未經授權的訪問、病毒感染、生產業務拒絕式服務攻擊等安全風險造成生產核心數據的泄露、惡意篡改。

3.1.2 控制指令及數據未加密傳輸

自動化控制系統網絡中工程師站、操作員站分別與PLC控制器之間的數據傳輸、與串口服務器之間的數據傳輸、PLC控制器或數據采集儀與智能儀器儀表之間的數據傳輸，沒有針對數據傳輸的加密機制。

3.2 主機設備系統層面

3.2.1 現場設備（PLC、RTU等）存在漏洞

根據國家工業信息安全發展研究中心發布的《2020年工業信息安全態勢報告》中提供的數據，CICSVD（國家工業信息安全漏洞庫）2020年共收錄工業信息安全漏洞2138個，較2019年上升了22.2%，其中通用型漏洞2045個（高危及以上漏洞占比高達62.5%），事件型漏洞93個，保持了較高的增長態勢。

目前企業工業自動化控制系統中PLC控制器品牌諸如SiemensS7、AB及三菱等系列，依據美工業控制系統網絡緊急響應小組（ICS-CERT）統計的工業控制系統公開新增漏洞所涉及的廠商占比中，Siemens設備占比28%（排名第一）。

3.2.2 工程師站、操作員站和業務服務器缺乏安全防范機制

在整個自動化控制系統中的工程師站、操作員站及服務器多為Windows操作系統，系統上安裝的殺毒軟件及防火墻對這些設備的安全防護機制幾乎失效，且缺乏進程監控、移動存儲設備監控、遠程維護監控、惡意代碼防范等措施。

3.3 主機系統和應用系統身份認證機制

對于生產系統的工程師站、操作員站、業務系統服務器的身份認證機制沒有充分的安全性評估和驗證，在以往的經驗中，大量中控室操作員站及監控終端都采用公用賬號（甚至是系統默認賬號），且系統操作界面長期處于開放狀態，導致進出中控室的所有人員都可以對其進行操作，可能存在被無關人員訪問操作員站進行未授權操作的安全風險。

同時對于自動化控制系統的登陸賬戶權限申請流程和數采服務器登陸賬號和權限劃分都沒有充分評估，可能存在登錄賬號和初始密碼都是默認賬號，或者根本就沒有設置相關密碼等保護策略的隱患。攻擊者可獲得系統完全控制權限，可任意破壞、篡改生產數據庫或控制程序。

綜上，現有自控動化控制系統的建設為企業帶來便利的同時也增加了企業生產與數據安全風險，主要集中在原始生產數據、控制工藝的泄露，原始生產數據的丟失，生產停車、運行方式和相關設置參數的篡改等風險。

4 安全防護框架設計

4.1 框架設計

對于工業自動化控制系統根據被保護對象業務性質分區，針對功能層次技術特點實施信息安全等級保護設計，根據“一個中心”管理下的“三重防護”體系框架，構建在安全管理中心支持下的通信網絡、區域邊界、計算環境三重防御體系，采用分層、分區的架構，結合工業自動化控制系統總線協議復雜多樣、實時性要求強、節點計算資源有限、設備可靠性要求高、故障恢復時間短、安全機制不能影響實時性等特點進行設計，以實現可信、可控、可管的系統安全互聯、區域邊界安全防護和計算環境安全[1]。

按照總體設計思路，結合珞安科技出品的工業網絡空間安全產品，以某凈水廠項目為例，此項目的網絡總體防護架構設計如圖1所示。

4.2 主要防護功能介紹

4.2.1 隔離網閘

隔離網閘的服務系統把TCP/IP協議頭部剝離，用擺渡的方式把原始數據在不同系統進行傳輸，對于目前常見的如源地址欺騙、偽造TCP序列號、SYN攻擊可以全部隔斷。如此網絡內部主機系統漏洞便不會被入侵者掃描到。

4.2.2 工業防火墻

工業防火墻有效規避工控網絡脆弱性風險，確保企業工業自動化控制系統的正常運行。

4.2.3 工控安全審計系統

工控安全審計系統對自動化控制系統網絡進行持續監測，記錄系統中的一切通信行為，包括數據交換協議、網絡會話、系統驅動指令等，為安全事故調查取證和回溯分析提供數據支撐。

4.2.4 工業入侵檢測系統

工業入侵檢測系統可不間斷監控自動化控制系統網絡中的不法入侵、惡意破壞、違法操作或將設備違規接入，在即時報警的同時幫助企業實施相應辦法避免發生安全事故。

5 結束語

時代在穩步前進，工控行業技術也在不斷發展，對于自控系統的安全防護要求也在不斷提高。本文結合凈水廠工程的實際安全需求和網絡安全等級保護要求，設計從安全管理中心到技術環境防護、邊界隔離防護以及通信網絡防護，實現事前預警、事中防范和事后取證等安全防護的能力，給工程實際應用提供了重要的參考價值。

參考文獻

[1] 全國信息安全標準化技術委員會（SAC/TC260）.信息安全技術網絡安全等級保護安全設計技術要求：GB/T 25070—2019[S].