水利工控系統(tǒng)網(wǎng)絡(luò)安全防護的問題與對策

郭 江，陳服軍，張志華

（中國水利水電科學研究院 天津水利電力機電研究所，天津 301900）

1 引言

工業(yè)控制系統(tǒng)廣泛用于電力、水利、污水處理、石油化工、冶金、汽車、航空航天、交通、通訊等諸多現(xiàn)代工業(yè)領(lǐng)域，眾多關(guān)系到國計民生的關(guān)鍵基礎(chǔ)設(shè)施，如水力發(fā)電、城市給排水等都依靠工業(yè)控制系統(tǒng)來實現(xiàn)生產(chǎn)過程自動化。隨著兩化（信息化與工業(yè)化）融合的推進，管理網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)的互聯(lián)，使工控系統(tǒng)由原來相對封閉、穩(wěn)定的環(huán)境變得更加開放、多變，工控系統(tǒng)的漏洞在互聯(lián)網(wǎng)中暴露無遺，由于工控網(wǎng)絡(luò)與傳統(tǒng)的互聯(lián)網(wǎng)有本質(zhì)的不同，傳統(tǒng)的互聯(lián)網(wǎng)安全技術(shù)并不能保障工控網(wǎng)絡(luò)安全，近年來工業(yè)控制系統(tǒng)的安全事件屢有發(fā)生（圖1為近年來發(fā)生的工控網(wǎng)絡(luò)安全事件趨勢圖），2012年全球工控網(wǎng)絡(luò)安全事件為197件，并且呈逐年遞增的趨勢，到2015年工控網(wǎng)絡(luò)安全事件已上升至295件［1］，而且遭受攻擊的目標多為國家重要基礎(chǔ)設(shè)施或重要行業(yè)領(lǐng)域工業(yè)控制網(wǎng)絡(luò)，安全事件影響越來越大，甚至逐步威脅到國家安全。國家基礎(chǔ)設(shè)施的工控網(wǎng)絡(luò)一旦受到攻擊，將給社會穩(wěn)定和經(jīng)濟健康發(fā)展造成不可估量的影響，如鋼廠異常停機、石化工廠蠕蟲泛濫等，給企業(yè)造成巨大的經(jīng)濟損失［2］。特別是2015年烏克蘭電網(wǎng)事件，造成烏克蘭140萬名居民家中停電，為我國基礎(chǔ)設(shè)施安全敲響了警鐘，因此，國家關(guān)鍵基礎(chǔ)設(shè)施的工控網(wǎng)絡(luò)安全問題應(yīng)該引起重點關(guān)注。

圖1 工控網(wǎng)絡(luò)安全事件趨勢

水利工程是國家基礎(chǔ)設(shè)施的重要組成部分，水利工程工控系統(tǒng)網(wǎng)絡(luò)安全問題也逐漸引起重視，水利部下發(fā)《2017年水利信息化工作要點》，印發(fā)《水利網(wǎng)絡(luò)安全頂層設(shè)計》，遵照《中華人民共和國網(wǎng)絡(luò)安全法》，結(jié)合水利網(wǎng)絡(luò)安全現(xiàn)狀，提出了統(tǒng)一水利網(wǎng)絡(luò)安全策略、落實組織管理和監(jiān)督檢查兩大保障，提升水利網(wǎng)絡(luò)安全監(jiān)測預警、縱深防御和應(yīng)急響應(yīng)三大能力的網(wǎng)絡(luò)安全總體框架，并明確了相應(yīng)的設(shè)計架構(gòu)和主要內(nèi)容，提出了保障措施。中國水利水電科學研究院天津機電所從2015年初開始進行水利工控網(wǎng)絡(luò)安全方面的研究工作，對國內(nèi)外工控網(wǎng)絡(luò)安全動態(tài)、政策法規(guī)、防護技術(shù)等進行了詳細的了解和研究，并調(diào)研了國內(nèi)多個水電站、泵站等水利工程，充分了解水利工程工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀，并建立了工控網(wǎng)絡(luò)安全實驗室，能夠?qū)λた叵到y(tǒng)進行漏洞挖掘和威脅檢測，開展水利工控系統(tǒng)網(wǎng)絡(luò)安全攻防研究，提供水利工控系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)解決方案。

2 水利工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀

2.1 典型工程工控系統(tǒng)測試分析2015年12月，中國水利水電科學研究院天津機電所對天津市薊州區(qū)某供水管理所和某水電站重要工控設(shè)備進行漏洞挖掘和安全檢測，主要檢測的設(shè)備包括供水管理所加壓泵房中的PLC、計算機監(jiān)控中心上位機PC及軟件和水電站閘門控制系統(tǒng)中的PLC和調(diào)速器MSDSC-11微機控制器。測試通過漏洞挖掘檢測設(shè)備和被測設(shè)備點對點直連方式進行連接（連接方式如圖2所示），漏洞檢測平臺置于被測設(shè)備和測試終端之間，測試終端通過預設(shè)的IP地址進入漏洞檢測平臺操作界面，漏洞檢測平臺和控制器通訊端口連接，測試數(shù)據(jù)在檢測平臺和被測設(shè)備之間交互。采用端口掃描、已知漏洞測試、Modbus TCP協(xié)議模糊分析、其他協(xié)議的模糊測試、風暴測試等方法進行測試。

圖2 漏洞檢測設(shè)備和被測設(shè)備連接方式

對供水管理所工控系統(tǒng)測試中共發(fā)現(xiàn)15個漏洞，其中包含6個危急漏洞、9個高危漏洞，整體危險等級為危急。在對PLC測試中發(fā)現(xiàn)，發(fā)送畸形ARP和畸形IP報文可以導致被測設(shè)備失去響應(yīng)甚至崩潰，該漏洞很容易被利用進行ARP欺騙竊取信息和攻擊，導致PLC崩潰［3］。PLC一旦受到攻擊崩潰將無法監(jiān)測到各水井源的電流、電壓、功率、壓力、流量、液位等運行信息，更無法采取相應(yīng)措施進行控制和處理異常情況，整個供水系統(tǒng)將遭到破壞，無法進行正常供水；在對上位機PC及組態(tài)軟件測試中發(fā)現(xiàn)，組態(tài)軟件所在PC開放了眾多端口，開放的端口容易被掃描和利用進行設(shè)備登陸、控制、發(fā)起攻擊等。同時發(fā)現(xiàn)組態(tài)軟件和PC相關(guān)危急和高危漏洞，攻擊者利用漏洞非常容易進行控制和執(zhí)行相關(guān)操作。這些漏洞將會導致系統(tǒng)中上位機及監(jiān)控組態(tài)軟件遭到破壞或被控制，從而控制水源井控制系統(tǒng)中所有PLC設(shè)備，篡改采集的信息、隨意下發(fā)控制指令，破壞供水系統(tǒng)。

在對某水電站工控系統(tǒng)的PLC測試中，由于現(xiàn)場條件不允許進行網(wǎng)口測試，只進行串口檢測，發(fā)現(xiàn)發(fā)送相關(guān)畸形Modbus RTU報文容易導致被測設(shè)備產(chǎn)生崩潰。同時協(xié)議未進行加密認證，容易被攻擊、進行信息竊取和偽造，另外還發(fā)現(xiàn)存在內(nèi)存非法讀寫相關(guān)漏洞，攻擊者可以輕易控制PLC。這些漏洞會導致水電站中閘門系統(tǒng)信息被竊取和遭到破壞以及崩潰。閘門系統(tǒng)一旦遭到破壞無法起到水位的調(diào)節(jié)和洪水期間泄洪等重要作用。調(diào)速器微機控制器MSDSC-11在測試中，由于現(xiàn)場條件不允許進行網(wǎng)口測試，只進行串口檢測，發(fā)現(xiàn)發(fā)送相關(guān)畸形Modbus RTU報文容易導致被測設(shè)備產(chǎn)生崩潰，同時協(xié)議未進行加密認證容易被攻擊機進行信息竊取和偽造。此漏洞會導致水電站中調(diào)速系統(tǒng)遭到破壞甚至崩潰，從而無法起到調(diào)節(jié)水輪機轉(zhuǎn)速、事故情況下緊急停機等作用，直接影響到水電站的發(fā)電系統(tǒng)，致使無法正常發(fā)電。

2.2 水利工控網(wǎng)絡(luò)安全特點水利工控系統(tǒng)網(wǎng)絡(luò)安全的特點主要表現(xiàn)在以下5個方面：（1）水利工控網(wǎng)絡(luò)大多采用IEC61158中提供的20種工業(yè)現(xiàn)場總線標準，如Modbus系列、Profibus系列等，這些都是若干年前設(shè)計的，根本沒有考慮安全性問題［4］，黑客通過現(xiàn)場總線這種網(wǎng)絡(luò)結(jié)構(gòu)，便很容易獲得控制區(qū)及執(zhí)行器的控制權(quán)，進而控制整個水利工控系統(tǒng)。（2）水利工控系統(tǒng)中的控制器等設(shè)備大多采用西門子、GE、施耐德等公司產(chǎn)品，這些通用控制器所具有的漏洞極易成為惡意攻擊的突破口［5］。（3）水利工控系統(tǒng)的軟件升級困難。水利工控系統(tǒng)網(wǎng)絡(luò)以穩(wěn)定性為基礎(chǔ)，如果頻繁升級補丁軟件，將給系統(tǒng)的穩(wěn)定性帶來嚴重威脅，如果升級失敗或出錯，將造成整個工控系統(tǒng)的不可用，給用戶帶來巨大的損失；（4）控制病毒的手段缺乏。水利工控系統(tǒng)中很多控制設(shè)備單元都是相對封閉的系統(tǒng)，無法通過病毒軟件進行病毒清理，同時缺少控制病毒在工控系統(tǒng)網(wǎng)絡(luò)中傳播的手段，工控系統(tǒng)一旦感染病毒將傳播到整個工控網(wǎng)絡(luò)；（5）水利工控系統(tǒng)中的設(shè)備具有多樣性。水利工控系統(tǒng)中的設(shè)備多種多樣，每種設(shè)備都具有各自的特點，設(shè)備的安全等級參差不齊，給水利工控系統(tǒng)安全防護帶來非常大的困難［6］。

3 水利工控系統(tǒng)網(wǎng)絡(luò)安全存在的主要問題

3.1 從技術(shù)層面上考慮水利工控系統(tǒng)網(wǎng)絡(luò)安全存在的主要問題表現(xiàn)在以下5個方面：（1）網(wǎng)絡(luò)結(jié)構(gòu)上存在的安全問題。水利工控系統(tǒng)網(wǎng)絡(luò)內(nèi)部雖然采取了一些安全隔離或者訪問認證的措施增加網(wǎng)絡(luò)安全，如橫向隔離、縱向加密等措施，但仍缺乏全面有效的網(wǎng)絡(luò)邊界防護、訪問加密認證等安全防護措施。有些水利工控生產(chǎn)控制網(wǎng)和管理網(wǎng)直接連接，只采用傳統(tǒng)的防火墻進行邊界防護，生產(chǎn)控制網(wǎng)和管理網(wǎng)在同一網(wǎng)段內(nèi)，管理網(wǎng)直接訪問生產(chǎn)控制網(wǎng)等［7］。（2）設(shè)備本體存在的安全問題。水利工控系統(tǒng)中的工控機、PLC、移動介質(zhì)、交換機等大多采用國外品牌，這些設(shè)備存在大量漏洞未修復或未及時修復，并且缺乏必要的有效措施進行防護，這些漏洞大多為拒絕服務(wù)、遠傳代碼執(zhí)行和緩沖區(qū)溢出等，這些漏洞如果被黑客利用，將引起設(shè)備故障或非法操作［8］。（3）行為審計方面存在的安全問題?，F(xiàn)有的水利工控系統(tǒng)大多缺乏必要的技術(shù)手段對工控網(wǎng)絡(luò)進行監(jiān)測和審計；未部署監(jiān)測審計設(shè)備，不能及時監(jiān)測工控網(wǎng)絡(luò)中的異常流量；未對工控系統(tǒng)賬戶進行定期審計，并且缺乏對違規(guī)操作、越權(quán)訪問等行為的監(jiān)測審計。（4）維護嚴重依賴系統(tǒng)集成商。有的雖然開放遠程維護端口，但缺乏監(jiān)測審計，對系統(tǒng)集成商沒有進行嚴格的管控，事故發(fā)生后不能有效的對關(guān)鍵操作行為進行溯源和定位。（5）自主可控方面存在的安全問題。水利工控系統(tǒng)普遍缺乏自主可控的設(shè)備對工控網(wǎng)絡(luò)安全進行防護，工控網(wǎng)絡(luò)的大部分工控設(shè)備及服務(wù)由國外主導，無法實現(xiàn)自主可控。還無法在工控設(shè)備的應(yīng)用層、內(nèi)核層、硬件層等的設(shè)計和生產(chǎn)過程中加入自主可控的可信軟硬件，建立系統(tǒng)的主動免疫機制，提高對惡意代碼攻擊的防護能力［9］。

3.2 從管理層面上考慮水利工控系統(tǒng)網(wǎng)絡(luò)安全存在的主要問題主要表現(xiàn)在以下3個方面：（1）管理機制不健全，生產(chǎn)管理部門注重工控系統(tǒng)的功能性而忽略行為安全性，普遍缺乏完善的風險評估、運行維護、安全審計、突發(fā)事件的應(yīng)急處理方案等，現(xiàn)場運行人員安全意識薄弱，很少進行專業(yè)培訓，違規(guī)操作現(xiàn)象經(jīng)常發(fā)生。（2）維護行為嚴重依賴系統(tǒng)集成商，對其行為沒有進行有效監(jiān)管，甚至出現(xiàn)系統(tǒng)集成商私自對設(shè)備進行遠程維護而沒有通知生產(chǎn)管理部門的現(xiàn)象，造成生產(chǎn)運行異常。（3）缺乏行業(yè)標準，水利工程主管部門沒有出臺相應(yīng)的法律法規(guī)和政策標準，使生產(chǎn)管理部門在進行監(jiān)督管理和執(zhí)法檢查時缺乏相應(yīng)的政策和法律依據(jù)。

4 水利工控系統(tǒng)網(wǎng)絡(luò)安全問題的原因

從水利工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀和網(wǎng)絡(luò)安全存在的主要問題看出，水利工控系統(tǒng)網(wǎng)絡(luò)安全風險主要表現(xiàn)在：網(wǎng)絡(luò)邊界防護安全問題、主機、服務(wù)器安全問題、流量行為安全問題、管理和運維安全問題等4個方面。

4.1 網(wǎng)絡(luò)邊界防護安全問題（1）除了橫向隔離和縱向加密裝置外，其他防護措施不足；（2）在生產(chǎn)控制大區(qū)之間雖然部屬了傳統(tǒng)防火墻，但無法識別專有工控協(xié)議，不能提供明確的允許/拒絕訪問的能力。

4.2 主機、服務(wù)器安全問題（1）采用傳統(tǒng)網(wǎng)絡(luò)防病毒軟件（部分主機甚至無法安裝殺毒軟件），無法及時更新惡意代碼庫，且容易誤殺控制程序；（2）主機和服務(wù)器采用通用的操作系統(tǒng)，其漏洞直接影響系統(tǒng)的安全運行；（3）無法對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后不具有恢復能力；（4）缺乏有效的技術(shù)措施切斷病毒和木馬的傳播與破壞路徑，如非法進程的運行、非法網(wǎng)絡(luò)端口的打開與服務(wù)、非法USB設(shè)備的接入等［10］。

4.3 流量行為安全問題（1）缺乏對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行檢查、定位和阻斷的能力；（2）無法有效的檢測到網(wǎng)絡(luò)攻擊行為，并對攻擊源IP、攻擊類型等信息進行記錄；（3）無法在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和告警，更新惡意代碼庫不及時；（4）缺乏有效的安全審計功能。

4.4 管理和運維安全問題（1）未設(shè)立專門的信息安全崗位，信息安全管理和維護由業(yè)務(wù)部門按照自己的理解進行管理和維護，同時信息安全制度不完善。（2）在日常運行維護過程中普遍存在諸如介質(zhì)未采用有效的手段進行管理和防護，容易造成病毒入侵和敏感信息泄露的風險。（3）存在賬號共享、弱口令、未定期更改密碼的問題，例如信號系統(tǒng)的用戶權(quán)限普遍缺乏定期回顧檢查，容易造成越權(quán)、權(quán)限濫用導致的安全事故。（4）安全防護應(yīng)急預案存在事故預想不全面、內(nèi)容不完整、相關(guān)要求缺乏可操作性等問題，缺少演練、培訓和更新的相關(guān)內(nèi)容，無法在真正的事故中及時響應(yīng)和恢復系統(tǒng)［11］。

5 水利工控系統(tǒng)網(wǎng)絡(luò)安全防護對策

水利工控系統(tǒng)網(wǎng)絡(luò)安全與傳統(tǒng)的互聯(lián)網(wǎng)安全具有本質(zhì)區(qū)別，甄別水利工控系統(tǒng)網(wǎng)絡(luò)存在的安全風險與安全隱患，實施相應(yīng)的安全保障策略是確保水利工控系統(tǒng)網(wǎng)絡(luò)安全的有效手段。水利工控系統(tǒng)網(wǎng)絡(luò)安全防護需要覆蓋控制系統(tǒng)整個生命周期，具備自動學習、自動適應(yīng)，自動生成防御策略的工業(yè)等級的全網(wǎng)安全監(jiān)控的保護系統(tǒng)；要具有全面覆蓋西門子、施耐德等全球主流廠商設(shè)備的安全數(shù)據(jù)庫（包括設(shè)備漏洞庫、網(wǎng)絡(luò)模型庫、設(shè)備風險統(tǒng)計）；同時，必須向基礎(chǔ)設(shè)施企業(yè)提供漏洞挖掘、滲透攻擊、安全策略、技術(shù)培訓的全方位安全服務(wù)［12］。以水電站工控系統(tǒng)網(wǎng)絡(luò)安全防護為例，從以下5個環(huán)節(jié)簡要介紹水利工控系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)解決方案，圖3為水電廠工控系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)解決方案原理圖。水電廠的網(wǎng)絡(luò)結(jié)構(gòu)采用分層分布開放式運行方式設(shè)計，整個系統(tǒng)分為主控層、通訊層和現(xiàn)地層3個層級。主控層采用以太網(wǎng)通訊結(jié)構(gòu)，設(shè)置操作員站、工程師站、數(shù)據(jù)服務(wù)器、通訊工作站、打印機等。通信層采用通信管理機、交換機等實現(xiàn)規(guī)約轉(zhuǎn)換和設(shè)備通信，網(wǎng)絡(luò)結(jié)構(gòu)為雙環(huán)網(wǎng)冗余結(jié)構(gòu)。現(xiàn)地層主要包括機組LCU、公用LCU、閘門LCU等現(xiàn)地控制單元。

5.1 關(guān)鍵節(jié)點防護在水電廠的現(xiàn)地層機組LCU、公用LCU、閘門LCU等現(xiàn)地控制單元與通信層環(huán)網(wǎng)之間部署智能保護終端，通過智能保護終端對工控系統(tǒng)現(xiàn)地層的關(guān)鍵LCU進行安全防護，利用已公開漏洞的攻擊行為和流量信息進行有效識別和攔截。允許從受信的上位機發(fā)送的合規(guī)操作流量通過，基于動態(tài)學習和自適應(yīng)的防護策略，達到對關(guān)鍵LCU、RTU的防護效果。

5.2 邊界隔離防護在水電廠生產(chǎn)控制大區(qū)與生產(chǎn)非控制大區(qū)之間部署智能工業(yè)防火墻，通過智能工業(yè)防火墻抵御來自外界偽基站接入滲透控制系統(tǒng)的風險。能夠?qū)刂圃瓷矸莸暮戏ㄐ赃M行有效判斷，對非法IP發(fā)送的數(shù)據(jù)包能夠有效甄別和攔截，為控制系統(tǒng)網(wǎng)絡(luò)邊界提供全天候?qū)崟r動態(tài)安全防護。

5.3 上位機防護在水電廠主控層的工程師站、操作員站、OPC服務(wù)器以及SIS接口機上部署工控衛(wèi)士，通過應(yīng)用程序、網(wǎng)絡(luò)、USB移動存儲的白名單策略，防止用戶的違規(guī)操作和誤操作，阻止不明程序、移動存儲介質(zhì)和網(wǎng)絡(luò)通信的濫用，有效提高工控網(wǎng)絡(luò)的綜合“免疫”能力。

圖3 水電廠工控系統(tǒng)網(wǎng)絡(luò)安全防護技術(shù)解決方案原理

5.4 網(wǎng)絡(luò)安全監(jiān)測審計在水電廠生產(chǎn)控制大區(qū)通信層環(huán)網(wǎng)、LCU子網(wǎng)旁路部署監(jiān)測審計平臺，對網(wǎng)絡(luò)通信流量進行有效監(jiān)視和威脅檢測。對向工控網(wǎng)進行的生產(chǎn)數(shù)據(jù)非法收集、惡意攻擊、數(shù)據(jù)篡改、違規(guī)操作進行告警和審計，為網(wǎng)絡(luò)安全管理人員提供線索依據(jù)和事件還原功能，對違規(guī)操縱和網(wǎng)絡(luò)攻擊行為可實時告警。

5.5 集中安全監(jiān)管安全監(jiān)管平臺對部署在整個工控系統(tǒng)的安全設(shè)備實現(xiàn)統(tǒng)一化安全監(jiān)管和運維。實時收集現(xiàn)場安全設(shè)備信息、分析威脅情報信息，基于安全分析模型，實現(xiàn)全局的態(tài)勢安全預警與策略動態(tài)響應(yīng)，實時發(fā)送現(xiàn)場的安全告警信息。

6 結(jié)論

（1）現(xiàn)階段我國水利工控系統(tǒng)網(wǎng)絡(luò)安全在技術(shù)方面和管理方面都存在較多問題。在技術(shù)方面主要存在網(wǎng)絡(luò)結(jié)構(gòu)安全、設(shè)備本體安全、行為審計安全、維護嚴重依賴系統(tǒng)集成商、缺乏自主可控防護手段等主要問題；在管理方面主要存在管理機制不健全、無法對系統(tǒng)集成商進行有效的監(jiān)管、缺乏相應(yīng)的政策和法律依據(jù)等問題［13］。

（2）引起此類問題的主要原因是在技術(shù)方面缺乏全面有效的網(wǎng)絡(luò)邊界防護、訪問加密認證等安全防護措施；未部署監(jiān)測審計設(shè)備，不能及時監(jiān)測工控網(wǎng)絡(luò)中的流量異常；設(shè)備存在大量漏洞未修復或未及時修復，并且缺乏必要的有效措施進行防護；大量采用國外品牌設(shè)備等。在管理方面安全制度不完善，安全防護應(yīng)急預案存在事故預想不全面、內(nèi)容不完整等。

（3）針對水利工控系統(tǒng)網(wǎng)絡(luò)安全存在的問題，應(yīng)采取以下防護手段或措施：通過智能保護終端對工控系統(tǒng)現(xiàn)地層的關(guān)鍵LCU進行安全防護，對非法操作進行有效攔截；在網(wǎng)絡(luò)邊界部署智能工業(yè)防火墻，抵御來自外界偽基站接入滲透控制系統(tǒng)的風險；在主控層的工程師站、操作員站、OPC服務(wù)器以及SIS接口機上部署工控衛(wèi)士，防止誤操作和違規(guī)操作；對網(wǎng)絡(luò)通信流量進行有效監(jiān)視和威脅檢測，對違規(guī)操縱和網(wǎng)絡(luò)攻擊行為實時告警；最后通過安全監(jiān)管平臺，對部署在整個工控系統(tǒng)的安全設(shè)備實現(xiàn)統(tǒng)一化安全監(jiān)管和運維。