◆黃杰

工控網(wǎng)絡(luò)安全淺析

◆黃杰

（中國石油西南油氣田公司天然氣凈化總廠 重慶 400021）

工控網(wǎng)絡(luò)即工業(yè)控制網(wǎng)絡(luò)，廣泛應(yīng)用于石化、電力、冶金、航天等諸多現(xiàn)代工業(yè)。隨著工業(yè)化與信息化的深度融合、“智慧工廠”建設(shè)的大力推進，工控系統(tǒng)的受到的關(guān)注越來越高，工控網(wǎng)絡(luò)安全問題更加突顯。本文淺析了目前工控網(wǎng)絡(luò)在“兩化融合”背景下的安全現(xiàn)狀和面臨的安全風(fēng)險，并分析了一些安全防護方法。

工控網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；脆弱性；兩化融合

1 前言

2017年6月1日《網(wǎng)絡(luò)安全法》正式實施，突顯網(wǎng)絡(luò)空間已經(jīng)成為繼海、陸、空、天之后的第五大國家主權(quán)空間，工控網(wǎng)絡(luò)作為網(wǎng)絡(luò)空間的重要組成部分，涉及國家命脈、關(guān)系國計民生，應(yīng)用范圍廣泛，應(yīng)當(dāng)予以充分重視。

目前，我國工控系統(tǒng)整體的安全狀況形勢嚴(yán)峻，具體有以下幾個方面：一是多數(shù)企業(yè)在工控網(wǎng)絡(luò)安全方面的投入相對不足；二是服務(wù)于工控網(wǎng)絡(luò)安全方面的資源較少；三是工業(yè)互聯(lián)網(wǎng)對工控安全帶來了前所未有的新挑戰(zhàn)；四是工控系統(tǒng)核心技術(shù)多由國外企業(yè)壟斷；五是工控網(wǎng)絡(luò)安全相關(guān)的人才儲備嚴(yán)重不足。

2 工控網(wǎng)絡(luò)結(jié)構(gòu)

工控網(wǎng)絡(luò)可以簡單理解為工控系統(tǒng)中的網(wǎng)絡(luò)部分，工控系統(tǒng)需要通過各種儀表、傳感器采集實時生產(chǎn)數(shù)據(jù)，實現(xiàn)對現(xiàn)場設(shè)備的控制。圖1是工控網(wǎng)絡(luò)的典型架構(gòu)，將工控網(wǎng)絡(luò)分為了現(xiàn)場總線控制網(wǎng)絡(luò)、過程控制與監(jiān)控網(wǎng)絡(luò)、企業(yè)辦公網(wǎng)三個邏輯層，下面將具體說明。

圖1 工控網(wǎng)絡(luò)的典型架構(gòu)

現(xiàn)場總線控制網(wǎng)絡(luò)包含了現(xiàn)場設(shè)備層和現(xiàn)場控制層，它們之間利用現(xiàn)場總線技術(shù)將傳感器、繼電器等現(xiàn)場設(shè)備與PLC、RTU等現(xiàn)場控制設(shè)備相連，直接采集現(xiàn)場數(shù)據(jù)到DCS，完成基本的數(shù)據(jù)采集和過程控制；向上是過程控制與監(jiān)控網(wǎng)絡(luò)，包含過程監(jiān)控層和生產(chǎn)管理層。其中過程監(jiān)控層負責(zé)監(jiān)控及展示生產(chǎn)數(shù)據(jù)，生產(chǎn)管理層主要為上層企業(yè)網(wǎng)絡(luò)提供數(shù)據(jù)支持；最上層是企業(yè)辦公網(wǎng)絡(luò)，主要通過對各種數(shù)據(jù)的應(yīng)用進行輔助決策。

3 工控網(wǎng)絡(luò)脆弱性分析

工控網(wǎng)絡(luò)最關(guān)注的是可用性，因為工業(yè)生產(chǎn)環(huán)境惡劣，但對設(shè)備的穩(wěn)定性要求又極高，這就使得以前的工控設(shè)備在設(shè)計時就將的功能簡化，沒有多余的算力來支持網(wǎng)絡(luò)安全程序的運行。所以工控網(wǎng)絡(luò)天生脆弱。

3.1 設(shè)備的脆弱性

生產(chǎn)現(xiàn)場的各種智能儀表、傳感器等采集設(shè)備通過現(xiàn)場總線與PLC、RTU等控制設(shè)備相連，沒有用戶認證、數(shù)據(jù)加密等安全功能。同時工控協(xié)議中天生存在著各種安全漏洞，而且多數(shù)廠商的工控系統(tǒng)存在私有通信協(xié)議，在數(shù)據(jù)交互的過程中無法實現(xiàn)基本的訪問控制策略和認證機制，即使在不同安全等級的網(wǎng)絡(luò)之間配置了邊界隔離設(shè)備，仍然存在因策略配置不當(dāng)而被穿透的風(fēng)險。

3.2 網(wǎng)絡(luò)的脆弱性

信息化技術(shù)可以為企業(yè)要提質(zhì)增效，同樣也能讓工控網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)親密無間，企業(yè)在享受信息技術(shù)帶來的變革時，也必須面臨更多安全問題。本就不太健壯的TCP/IP協(xié)議在和OPC協(xié)議相遇后隨之而來的是更多的安全漏洞，Linux和Windows等通用產(chǎn)品在漏洞威脅日益嚴(yán)峻的今天將給工控網(wǎng)絡(luò)帶來更大的暴露面。國與國之間的網(wǎng)絡(luò)戰(zhàn)已經(jīng)日趨常態(tài)化，而工控網(wǎng)絡(luò)正是被攻擊的重點，這顯然已經(jīng)對國家安全帶來了前所未有的嚴(yán)峻挑戰(zhàn)。

3.3 安全意識薄弱帶來的脆弱性

在我們的日常生活中廣泛存在弱口令、密碼復(fù)用等都是因為網(wǎng)絡(luò)安全意識薄弱而導(dǎo)致的結(jié)果。工控系統(tǒng)歷來注重可用性，對安全性問題考慮不足，網(wǎng)絡(luò)安全策略更是無從談起，企業(yè)的工控網(wǎng)絡(luò)安全管理制度也多是流于形式。技術(shù)與制度兩方面的缺失從而造成人員網(wǎng)絡(luò)安全意識淡薄。而工控網(wǎng)絡(luò)安全在國家安全中所占比重的日益增加，以及信息技術(shù)在工控系統(tǒng)中的廣泛應(yīng)用，安全意識將成為工控網(wǎng)絡(luò)安全的最大風(fēng)險。

4 典型網(wǎng)絡(luò)威脅

4.1 高級持續(xù)性威脅

高級持續(xù)性威脅（APT）是一種隱匿而持久的網(wǎng)絡(luò)攻擊行為，針對特定的目標(biāo)發(fā)起定向攻擊，通常是為了獲取組織或國家的機密信息。APT攻擊過程較為復(fù)雜，不僅是攻擊手段多樣化，而且還大量運用各種最先進的技術(shù)，其主要特征是攻擊持續(xù)性長、針對性強、技術(shù)性強、復(fù)雜度高，是一種不計成本的攻擊方式。所以APT攻擊背后都有技術(shù)力量強大的團隊支撐，甚至是國家層面的行為。這些特性也讓傳統(tǒng)的網(wǎng)絡(luò)安全防御手段失效，很難進行有效防范，從而帶來較為嚴(yán)重的安全問題。

4.2 工控網(wǎng)絡(luò)安全漏洞

傳統(tǒng)的工控網(wǎng)絡(luò)是一種專用網(wǎng)絡(luò)，處于一個相對封閉的網(wǎng)絡(luò)環(huán)境，因此工控系統(tǒng)在設(shè)計之初都認為不會有安全威脅而忽視了安全性考慮。工控網(wǎng)絡(luò)中的數(shù)據(jù)傳輸都是沒有加密的明文，也沒有任何身份認證機制，在系統(tǒng)正式運行前幾乎不會進行安全漏洞檢測，在投入生產(chǎn)后為了保障可用性，也很少會對系統(tǒng)和軟件進行升級。這樣脆弱的工控網(wǎng)絡(luò)直接接入互聯(lián)網(wǎng)就如同在溫室中培養(yǎng)出來的花朵突然暴露在烈日、暴雨之下，毫無安全性可言。

圖2顯示了已知公開的工控相關(guān)安全漏洞在不同產(chǎn)品上的分布情況。其中上位機軟件和各類系統(tǒng)的漏洞占據(jù)了多數(shù)，下位機的漏洞主要集中在PLC上，服務(wù)器和網(wǎng)絡(luò)設(shè)備也占據(jù)了一定的比例。

圖2 2000-2016年公開工控漏洞影響產(chǎn)品統(tǒng)計數(shù)據(jù)

4.3 安全設(shè)計缺失

除了被動的威脅，還有工控網(wǎng)絡(luò)先天不足所造成的主動威脅。由于“震網(wǎng)”事件的影響，在2010年后針對工控系統(tǒng)的網(wǎng)絡(luò)攻擊出現(xiàn)了大幅增長，主要是因為大量使用中的工控系統(tǒng)，存在網(wǎng)絡(luò)安全設(shè)計嚴(yán)重缺失的問題。

究其原因是制造廠商將工控系統(tǒng)的可靠性與可用性在設(shè)計時放在了首位，忽略了控制系統(tǒng)本身的安全性，系統(tǒng)中沒有有效的安全防護策略。網(wǎng)絡(luò)架構(gòu)“無縱深”、系統(tǒng)應(yīng)用“無防護”和運行狀態(tài)“無監(jiān)測”的“三無”情況普遍存在于各種工控系統(tǒng)中。從系統(tǒng)的底層架構(gòu)、交互邏輯到控制器的固件程序、使用的通信協(xié)議以及人機交互界面等都存在各種漏洞或缺陷，使得系統(tǒng)無法應(yīng)對網(wǎng)絡(luò)中的安全風(fēng)險。而且因為兼容性等原因工控系統(tǒng)中的防護軟件基本處于失效狀態(tài)，使系統(tǒng)極易感染網(wǎng)絡(luò)病毒、木馬等，也很容易成為攻擊目標(biāo)。

5 安全防護解決措施

工控網(wǎng)絡(luò)安全防護的核心應(yīng)該是建立以安全管控為中心，輔以適合工控網(wǎng)絡(luò)特性的安全技術(shù)，進行有目的、有針對性的防御。石化行業(yè)在我國經(jīng)濟建設(shè)中占據(jù)重要地位，其發(fā)展受到諸多關(guān)注，這一行業(yè)的高危性使得解決其生產(chǎn)過程中出現(xiàn)的安全問題成為當(dāng)務(wù)之急。

將我國工控系統(tǒng)的網(wǎng)絡(luò)安全防護能力與傳統(tǒng)基于TCP/IP協(xié)議的網(wǎng)絡(luò)系統(tǒng)進行對比，前者的安全性明顯偏低，并長期以來關(guān)注也較少。隨著“兩化融合”的大力推進，以大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算、5G為代表的信息技術(shù)越來越多的應(yīng)用到工控系統(tǒng)中，在為工業(yè)生產(chǎn)帶來極大推動作用的同時，也給工控系統(tǒng)帶來了新的安全問題。針對企業(yè)的業(yè)務(wù)需求和工控系統(tǒng)的特點，需要工控廠商發(fā)揮引領(lǐng)作用，工控企業(yè)要明確安全需求，共同著手建立健壯性的機制，讓工控系統(tǒng)具備由內(nèi)而外、與生俱來的安全防護能力。

5.1 運用工業(yè)防火墻和智能保護設(shè)備

加快工業(yè)防火墻和智能保護設(shè)備在工控網(wǎng)絡(luò)中的運用，讓它們逐漸成為工控網(wǎng)絡(luò)邊界防護和終端防護的常規(guī)手段。工業(yè)防火墻最突出的一點是內(nèi)置工業(yè)通訊協(xié)議的過濾模塊，支持對各種工業(yè)協(xié)議的解析及過濾，實現(xiàn)對控制指令識別、操作地址和參數(shù)的提取等，彌補普通防火墻不支持工業(yè)協(xié)議過濾的不足。智能保護設(shè)備是部署在各個終端節(jié)點上的網(wǎng)絡(luò)保護設(shè)備，防御來自外部、內(nèi)部其他區(qū)域及終端的威脅。在企業(yè)管理層、MES層、過程監(jiān)控管理層之間分別部署工業(yè)防火墻和智能保護設(shè)備，可以有效地保障系統(tǒng)的安全性和可靠性。

5.2 終端設(shè)備防護

終端設(shè)備是指工控系統(tǒng)中使用的計算機，包括工程師站、操作站和服務(wù)器等，也稱為工控主機。這些終端設(shè)備直接連接到控制器，因而對其進行安全防護十分關(guān)鍵。以防止病毒、木馬通過終端設(shè)備侵入系統(tǒng)為主要目的，采取的主要措施有：減少不必要的功能和應(yīng)用，操作系統(tǒng)和應(yīng)用軟件都遵循系統(tǒng)最小化原則；應(yīng)用基于“白名單”和“黑名單”相結(jié)合的防護技術(shù)，在系統(tǒng)穩(wěn)定運行后通過規(guī)則匹配、深度學(xué)習(xí)等方法自主建立合法的“白名單”，在沒有特征庫的情況下也能發(fā)現(xiàn)病毒和網(wǎng)絡(luò)攻擊等異常情況；對端口的使用進行限制，使用USB端口管控工具控制外部移動存儲設(shè)備的準(zhǔn)入，并對所有接入的移動存儲設(shè)備進行審計。

5.3 網(wǎng)絡(luò)完整性系統(tǒng)

網(wǎng)絡(luò)完整性系統(tǒng)用于預(yù)防、檢測和補救工控網(wǎng)絡(luò)所面臨的威脅。它可以識別系統(tǒng)中的漏洞和風(fēng)險、管理不同廠商的控制系統(tǒng)、對工控系統(tǒng)進行全面健康分析和事件響應(yīng)、通過備份關(guān)鍵控制系統(tǒng)數(shù)據(jù)來快速恢復(fù)系統(tǒng)，并支持安全事件審計。是在工控網(wǎng)絡(luò)上部署主動的、智能的入侵防護系統(tǒng)，以旁路方式接入，通過數(shù)據(jù)流鏡像，主動采集工控系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)進行分析，實時查找網(wǎng)絡(luò)的異常情況和攻擊線索，監(jiān)測網(wǎng)絡(luò)的通信狀況，及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和病毒的異常傳播，攔截所有可疑的數(shù)據(jù)包，終止入侵，保護系統(tǒng)不受攻擊。

5.4 落實管理制度

再好的技術(shù)沒用配套的制度，也不能保障其正常的運轉(zhuǎn)。落實有效的工控系統(tǒng)網(wǎng)絡(luò)安全管理制度是實現(xiàn)安全防護的關(guān)鍵。得益于《網(wǎng)絡(luò)安全法》、《等保2.0》等相關(guān)法規(guī)的實施，從法律層面上明確了網(wǎng)絡(luò)安全的職責(zé)，也為相關(guān)制度的落實提供了有力支撐。要體現(xiàn)出相應(yīng)組織機構(gòu)的職能，制訂安全方針，落實安全職責(zé)，負責(zé)工控網(wǎng)絡(luò)的安全防護工作。按照國家法規(guī)和有關(guān)規(guī)定對工控系統(tǒng)實行全生命周期管理，持續(xù)開展工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估，落實系統(tǒng)安全整改、系統(tǒng)安全升級等技術(shù)方案，采取切實可行的綜合防控措施，確保工控系統(tǒng)的安全穩(wěn)定運行。同時，不斷總結(jié)有效防護經(jīng)驗，全面培訓(xùn)相關(guān)技術(shù)人員，制訂應(yīng)急預(yù)案并進行演練，不斷提升安全防護水平。

6 結(jié)語

在今天信息化與工業(yè)化深度融合的環(huán)境下，工控網(wǎng)絡(luò)安全已經(jīng)成為當(dāng)前工控網(wǎng)絡(luò)安全領(lǐng)域的焦點。結(jié)合自身工作經(jīng)驗和現(xiàn)狀提出幾點建議：要結(jié)合信息技術(shù)和工控系統(tǒng)各自特點，加快安全標(biāo)準(zhǔn)和規(guī)范的制定；構(gòu)建工控系統(tǒng)專有漏洞庫，對漏洞進行分級管理；相關(guān)的管理制度和防護措施要服務(wù)于工控系統(tǒng)網(wǎng)絡(luò)安全的全生命周期；加強員工網(wǎng)絡(luò)安全意識和防護水平培訓(xùn)；對工控網(wǎng)絡(luò)安全中出現(xiàn)的問題要通過技術(shù)手段和管理制度多管齊下，切實保障系統(tǒng)的安全運行和生產(chǎn)安全；加大工控網(wǎng)絡(luò)安全人才的培養(yǎng)。

[1]伍錦榮.工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀及解決方案[J].石油化工自動化，2017（4）：4-5.

[2]工控系統(tǒng)行業(yè)漏洞平臺[DB/OL].http://ivd.winicssec.com.2018.

[3]國家信息安全漏洞共享平臺[DB/OL].http://www.cnvd.org.cn.2018.

[4]中國報告網(wǎng)[DB/OL].http://www.chinabaogao.com.2018.