徐國忠

（中國石化上海高橋石油化工有限公司，上海200137）

2010年“震網(wǎng)”病毒事件為世人敲響了工業(yè)控制系統(tǒng)網(wǎng)絡安全的警鐘，短短幾年內(nèi)，全球范圍內(nèi)針對工控系統(tǒng)攻擊事件的數(shù)量大幅提升。2013年，美國的工業(yè)控制系統(tǒng)應急響應小組（ICSCERT）就報告了全球范圍內(nèi)共有256件工控安全事件。在相繼發(fā)現(xiàn)了“Duqu”病毒、“火焰”病毒等針對工控系統(tǒng)的病毒之后，2014年春，“Havex”病毒在能源行業(yè)大規(guī)模爆發(fā)，呈現(xiàn)出強烈的行業(yè)橫向蔓延趨勢。“Havex”病毒較之前的“震網(wǎng)”病毒等，攻擊手段更隱蔽、病毒變種更多、網(wǎng)絡傳播更迅速，工控網(wǎng)絡特點針對性強、可造成的危害也更巨大?！癏avex”病毒以及之后出現(xiàn)的“Sand wor m”病毒標志著工業(yè)控制系統(tǒng)網(wǎng)絡安全已進入了APT2.0時代，工業(yè)控制系統(tǒng)的網(wǎng)絡安全問題日益引起人們的重點關(guān)注。

近年來，中國也非常重視工業(yè)控制系統(tǒng)的網(wǎng)絡安全，多次發(fā)布了相關(guān)政策與標準，加強了重點領(lǐng)域工業(yè)控制系統(tǒng)的信息安全檢查、監(jiān)管和測評，實施安全風險和漏洞通報制度；加強了新技術(shù)、新業(yè)務信息安全評估，強化了信息產(chǎn)品和服務的信息安全檢測和認證，支持建立第三方信息安全評估與監(jiān)測機制。同時，國內(nèi)的工業(yè)控制系統(tǒng)網(wǎng)絡安全相關(guān)標準在信息安全標準化技術(shù)委員會以及工業(yè)過程測量和控制標準化技術(shù)委員會的指導下，也正在開展標準編制工作，各種工業(yè)控制系統(tǒng)信息安全應用和評估標準[1-6]相繼出版，對工業(yè)控制系統(tǒng)網(wǎng)絡信息安全的評測、加固和實施起到了推動和指導作用，但由于工業(yè)控制系統(tǒng)的多樣和復雜性，完全采用標準進行評測有一定的難度，控制系統(tǒng)網(wǎng)絡信息安全還有很長的路要走，任重道遠。

1 工業(yè)控制系統(tǒng)網(wǎng)絡安全現(xiàn)狀分析

近年來，工業(yè)控制系統(tǒng)網(wǎng)絡安全備受重視，作為跨學科的領(lǐng)域，簡單地使用傳統(tǒng)信息安全技術(shù)并不能很好地解決該問題，有些時候可能是無能為力的。工業(yè)控制系統(tǒng)滯后的系統(tǒng)運行環(huán)境以及難以實施的更新導致了其面臨較之傳統(tǒng)信息系統(tǒng)更為嚴峻的網(wǎng)絡安全問題。而且，工業(yè)控制網(wǎng)絡與傳統(tǒng)辦公信息網(wǎng)有著本質(zhì)的區(qū)別，其通信協(xié)議為專有的工業(yè)控制協(xié)議，對系統(tǒng)及網(wǎng)絡環(huán)境的穩(wěn)定性要求也極高。因此，傳統(tǒng)的信息安全防護設備和技術(shù)，如傳統(tǒng)的防火墻、病毒查殺、漏洞掃描、隔離網(wǎng)關(guān)等在工業(yè)控制網(wǎng)絡安全防護時起不到實質(zhì)的作用，甚至會影響工控系統(tǒng)正常運行，并不能很好地應用于工業(yè)控制系統(tǒng)。

1.1 工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的區(qū)別

工業(yè)控制系統(tǒng)的信息技術(shù)來源于傳統(tǒng)信息技術(shù)，但是又不同于傳統(tǒng)信息技術(shù)，與傳統(tǒng)的信息技術(shù)有著顯著的區(qū)別。這是因為傳統(tǒng)信息技術(shù)是以傳遞信息為最終目的，而工業(yè)控制系統(tǒng)網(wǎng)絡傳遞信息是以引起物質(zhì)或能量的轉(zhuǎn)移為最終目標。工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)在系統(tǒng)結(jié)構(gòu)及軟硬件升級、維護、更新等方面存在明顯差別，具體見表1所列。

表1 工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的性能比較

1.2 工業(yè)控制系統(tǒng)信息安全問題分析

1.2.1 工業(yè)控制系統(tǒng)本質(zhì)問題

1)工業(yè)控制系統(tǒng)安全方面設計不足。在設計之初，由于資源受限及未面向互聯(lián)網(wǎng)等原因，為保證實時性和可用性，工業(yè)控制系統(tǒng)各層普遍缺乏安全性設計。在缺乏安全架構(gòu)頂層設計的情況下，無法形成有效技術(shù)研究的體系，產(chǎn)品形態(tài)主要集中在網(wǎng)絡安全防護的層面，工業(yè)控制系統(tǒng)自身的安全性能提升缺乏長遠的規(guī)劃。

2)工業(yè)控制系統(tǒng)核心技術(shù)落后。CPU作為硬件基礎(chǔ)平臺的核心，核心技術(shù)基本上掌握在國外廠商手中，內(nèi)在的“后門”軟件漏洞隱患始終存在；控制系統(tǒng)的機理和通信控制模式，部分公開或半公開，但核心的內(nèi)在通信機理內(nèi)容完全保密，能否滿足工業(yè)控制系統(tǒng)信息安全的要求值得商榷，筆者認為存在信息安全隱患。

3)工業(yè)控制系統(tǒng)缺乏升級動力。盡管目前已有工控產(chǎn)品提供商開始對舊系統(tǒng)進行加固升級，研發(fā)新一代的安全工控產(chǎn)品，但是由于市場、技術(shù)、使用環(huán)境等方面的制約，成本與效益是用戶必須考慮的第一要素，工控產(chǎn)品生產(chǎn)上普遍缺乏主動進行安全加固的動力。

4)工業(yè)控制系統(tǒng)從業(yè)人員的安全意識欠缺，并缺少培訓；相關(guān)企業(yè)缺少規(guī)范的安全流程、安全策略，缺少業(yè)務連續(xù)性與災難恢復計劃、安全審計機制等；網(wǎng)絡信息安全加固升級是一項長期不斷進行的任務，相關(guān)人員對此認識不足。

1.2.2 工業(yè)控制系統(tǒng)常見安全問題案例

1)通信協(xié)議漏洞。工業(yè)化與信息化的融合，使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來越廣泛地應用在工業(yè)控制系統(tǒng)中，隨之而來的通信協(xié)議漏洞問題也日益突出。例如：OPC Classic協(xié)議（OPC DA，OPC HAD和OPC A&E）基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡安全問題被廣泛認識之前設計的，極易受到攻擊，并且OPC通信采用不固定的端口號，導致目前幾乎無法使用傳統(tǒng)的IT防火墻來確保其安全性。

2)操作系統(tǒng)漏洞。目前大多數(shù)工業(yè)控制系統(tǒng)的工程師站/操作站/HMI都是基于Windows平臺，為保證過程控制系統(tǒng)的相對獨立性，同時考慮到系統(tǒng)的穩(wěn)定運行，現(xiàn)場的工程師在系統(tǒng)運行開始后不會對Windows平臺安裝任何補丁。然而，不安裝補丁系統(tǒng)就存在被攻擊的可能，從而埋下安全隱患。

3)殺毒軟件漏洞。為了保證工控應用軟件的可用性，許多工業(yè)控制系統(tǒng)操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于殺毒需要經(jīng)常更新病毒庫，因而不適合于工業(yè)控制環(huán)境。而且殺毒軟件對新病毒的處理通常是滯后的，導致每年都會爆發(fā)大規(guī)模的病毒攻擊，特別是新病毒。

4)應用軟件漏洞。工控應用軟件多種多樣，很難形成統(tǒng)一的防護規(guī)范以應對安全問題。另外，當應用軟件面向網(wǎng)絡應用時，就必須開放應用端口，因而常規(guī)的IT防火墻等安全設備很難保障其安全性?；ヂ?lián)網(wǎng)攻擊者很有可能利用一些大型工控自動化軟件的安全漏洞獲取諸如污水處理廠、天然氣管道以及其他大型設備的控制權(quán)，一旦這些控制權(quán)被不良意圖黑客所掌握，后果將不堪設想。

5)安全策略和管理流程漏洞。追求可用性而犧牲安全，是很多工業(yè)控制系統(tǒng)存在的普遍現(xiàn)象，缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統(tǒng)安全帶來了一定的威脅。例如：工業(yè)控制系統(tǒng)中移動存儲介質(zhì)包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略。

2 DCS的信息安全檢查

某石化公司“3號酮苯”裝置于2005年采用美國Honeywell公司的TPS系統(tǒng)用于生產(chǎn)裝置過程的控制，系統(tǒng)的網(wǎng)絡拓撲結(jié)構(gòu)如圖1所示。其中，全局用戶操作站（GUS）是TPS系統(tǒng)的人機接口；LCN是TPS系統(tǒng)的控制管理網(wǎng)，該項目中，主要掛GUS/RGUS設備，實現(xiàn)該裝置工藝數(shù)據(jù)在各個操作站間實時傳遞；UCN是TPS系統(tǒng)的過程控制網(wǎng)，連接NI M，在UCN設備間共享過程數(shù)據(jù)；NI M是網(wǎng)絡接口模件，提供LCN網(wǎng)絡訪問UCN網(wǎng)絡的接口，實現(xiàn)兩者之間通信協(xié)議和數(shù)據(jù)格式的轉(zhuǎn)換；HPM是高性能過程管理器，用于掃描和控制TPS系統(tǒng)的過程數(shù)據(jù)，處理該裝置工藝正常生產(chǎn)所需的各種控制邏輯，包括常規(guī)PID控制、邏輯控制以及順序控制等；PHD是過程歷史數(shù)據(jù)服務器，負責向調(diào)度層傳遞該裝置的實時過程數(shù)據(jù)。圖1中，計算機的操作系統(tǒng)為Windows XP3英文版，GUS04為工程師站，在工程師室，主要完成工程組態(tài)設計、更改和全局配置；GUS01～GUS03為操作員站，在中心控制室，完成現(xiàn)場數(shù)據(jù)的監(jiān)控、實現(xiàn)操作指令往現(xiàn)場的傳遞；RGUS05～RUS06為遠程操作員站。

2.1 “3號酮苯”裝置DCS網(wǎng)絡信息安全檢測

針對“3號酮苯”裝置的工業(yè)控制系統(tǒng)網(wǎng)絡信息安全檢查，通過對控制網(wǎng)網(wǎng)絡數(shù)據(jù)流量監(jiān)控，采用人工分析和智能防護設備分析相結(jié)合的方式，發(fā)現(xiàn)該裝置控制系統(tǒng)網(wǎng)絡上的安全問題。本文的主要目的是通過評測，查看老舊典型的DCS在當下網(wǎng)絡安全的條件下對網(wǎng)絡病毒和安全隱患的影響。對于某個運行了十余年的在役工業(yè)控制系統(tǒng)，控制系統(tǒng)的軟件和硬件，由于特定的環(huán)境等因素，一直沒有進行過系統(tǒng)軟件補丁升級。顯而易見，對于操作系統(tǒng)等軟件的各種安全漏洞一定存在，但這些軟件的安全漏洞對系統(tǒng)的潛在影響才是需要重點關(guān)注的。

2.1.1 工業(yè)控制系統(tǒng)網(wǎng)絡安全檢測原則

1)工控網(wǎng)絡安全檢測遵循如下原則：

a)客觀性。工控網(wǎng)絡安全檢測適用于各行業(yè)的工業(yè)控制系統(tǒng)，以第三方的視角對國內(nèi)外工控廠商設備、系統(tǒng)、網(wǎng)絡進行安全檢測。

b)安全性。工控網(wǎng)絡安全檢測實施在被測方人員配合、監(jiān)管下進行，通過適當?shù)募夹g(shù)手段開展檢測工作，以保證對現(xiàn)有工業(yè)控制系統(tǒng)運行操作無明顯的影響；檢測或檢查后，對系統(tǒng)的穩(wěn)定性和運行，無任何影響。

圖1 “3號酮苯”裝置控制網(wǎng)絡的拓撲結(jié)構(gòu)示意

2)常規(guī)的控制系統(tǒng)風險評價方法有：

a)問卷調(diào)查表。該表可以對資產(chǎn)、業(yè)務、歷史安全事件、管理制度等各方面的信息進行搜集和統(tǒng)計。

b)人員訪談。通過訪談掌握安全制度、安全意識、安全流程等信息，也可以了解一些沒有記錄在案的歷史信息。

c)漏洞掃描。通常是指用于工業(yè)控制系統(tǒng)的專業(yè)漏洞掃描工具，其內(nèi)置的漏洞庫既包含傳統(tǒng)IT系統(tǒng)的漏洞，更重要的是需要包含工控系統(tǒng)相關(guān)的漏洞。

d)漏洞挖掘。通常是指用于工控設備的專業(yè)漏洞挖掘工具，該類工具是基于模糊測試的理論，發(fā)現(xiàn)設備的未知漏洞。

e)滲透測試。這里不單指一種工具，而是評估人員利用工具和技術(shù)方法的行為集合，這是模擬黑客行為的漏洞探測活動，既要發(fā)現(xiàn)漏洞，也要利用漏洞來展現(xiàn)某些攻擊的場景。

f)工控審計。該工具主要用于收集工業(yè)控制系統(tǒng)的數(shù)據(jù)流量、網(wǎng)絡會話、操作變更等信息，發(fā)現(xiàn)一些潛在的安全威脅。

2.1.2 工控網(wǎng)絡安全檢測實施

1)網(wǎng)絡數(shù)據(jù)流量異常發(fā)現(xiàn)。在系統(tǒng)調(diào)研過程中，對控制系統(tǒng)數(shù)據(jù)抓包位置選擇在中心控制室交換機2960鏡像口，抓取了控制網(wǎng)絡的全網(wǎng)數(shù)據(jù)流量。將全網(wǎng)數(shù)據(jù)流量采用IAD智能保護裝置進行離線情況下的安全分析，通過實驗數(shù)據(jù)的分析，發(fā)現(xiàn)網(wǎng)絡數(shù)據(jù)內(nèi)存在大量詢問150.150.150.1 MAC地址的ARP請求。經(jīng)現(xiàn)場工程師確認，IP地址為150.150.150.245并未在提供的控制網(wǎng)絡拓撲圖中出現(xiàn)，而發(fā)出的ARP數(shù)據(jù)包需要尋址的150.150.150.1 MAC為網(wǎng)關(guān)地址，系統(tǒng)詢問網(wǎng)關(guān)MAC地址的ARP請求在大部分情況下是有程序想要進行外網(wǎng)通信而進行的前置工作，該類數(shù)據(jù)包在網(wǎng)絡隔離的工業(yè)控制系統(tǒng)中大量出現(xiàn)，是非?？梢傻?。

2)部署虛擬網(wǎng)關(guān)產(chǎn)生報警。經(jīng)分析，IP地址為150.150.150.245的主機有嘗試連接外網(wǎng)的可能，由于現(xiàn)場網(wǎng)絡中150.150.150.1 MAC網(wǎng)關(guān)并不存在，因而無法進行下一步的數(shù)據(jù)交互。其頻繁、規(guī)律地嘗試訪問外網(wǎng)的行為與某些僵尸網(wǎng)絡木馬的特征比較相似，即持續(xù)規(guī)律的訪問外網(wǎng)C&C服務器獲取進一步的木馬指令，因而測試人員通過技術(shù)手段欺騙該主機，使其誤認為自己能夠成功的訪問到外網(wǎng)。

虛擬網(wǎng)關(guān)主機在與外網(wǎng)隔離的情況下對IP地址150.150.150.245主機的一些基礎(chǔ)請求（TCP，DNS等）可以進行應答，誘使其執(zhí)行下一步的可疑操作行為。在實際部署該虛擬主機前，對現(xiàn)場的數(shù)據(jù)流量進行了再一次確認，在確保將該虛假主機接入控制網(wǎng)中不會對原有系統(tǒng)的通信產(chǎn)生任何影響后，將虛擬網(wǎng)關(guān)主機接入控制網(wǎng)中。當虛擬網(wǎng)關(guān)主機接入控制網(wǎng)后，網(wǎng)絡中出現(xiàn)了大量的外網(wǎng)連接請求，同時，智能保護裝置立刻匹配到了“Conficker蠕蟲”病毒特征，并產(chǎn)生了報警。

為了進一步確認目標主機是否感染了“Conficker蠕蟲”病毒，筆者對現(xiàn)場的數(shù)據(jù)包特征進行分析。在IP地址150.150.150.245的主機誤認為自己能夠連接到外網(wǎng)后，開始大量的請求外網(wǎng)的DNS域名解析，如圖2所示。隨機選擇了幾個域名，使用whois查詢，均指向“Conficker蠕蟲”病毒的C&C服務器域名，至此，在IP地址150.150.150.245的主機誤認為自己能夠連接到外網(wǎng)后，潛伏的惡意程序已開始工作。經(jīng)比對工控漏洞黑名單，該數(shù)據(jù)包為“Conficker蠕蟲”病毒的A或者B版本的HTTP請求流量，分析結(jié)果與上述的智能保護設備的報警信息完全一致。

圖2 150.150.150.245的主機發(fā)出的大量DNS數(shù)據(jù)包

2.1.3 工控網(wǎng)絡安全檢測結(jié)論

某石化公司“3號酮苯”裝置Honeywell TPS的網(wǎng)絡中存在大量異常的ARP請求數(shù)據(jù)，經(jīng)網(wǎng)絡智能防護設備分析，IP地址為150.150.150.245的主機疑似感染了“Conficker蠕蟲”病毒。對該主機DNS域名請求信息、與C&C服務器交互的數(shù)據(jù)進行分析，可以確定該主機已感染了“Conficker蠕蟲”病毒。該裝置工業(yè)控制系統(tǒng)為2005年左右上線的老系統(tǒng)，控制主機都是Windows XPSP3英文版系統(tǒng)，存在曾被著名的工控病毒“震網(wǎng)”病毒利用過的MS08-067等安全漏洞。潛伏的“Conficker蠕蟲”病毒給工業(yè)控制系統(tǒng)帶來了一定的安全隱患，會產(chǎn)生一定的ARP請求數(shù)據(jù)包，但通過分析，該ARP占用了很小一部分的網(wǎng)絡帶寬，遠小于網(wǎng)絡帶寬的1%，可以暫時處于觀察階段，待后續(xù)有條件時對病毒進行查殺和系統(tǒng)的升級與完善，通過對控制系統(tǒng)內(nèi)計算機的當前運行控制性能分析，未發(fā)現(xiàn)可疑的其他病毒運行程序，計算機CPU內(nèi)存占用率均很低，性能優(yōu)良，操作員操作控制體驗良好，無任何遲延現(xiàn)象，說明該控制系統(tǒng)在當前系統(tǒng)網(wǎng)絡安全條件下，保持了較好的性能，達到了檢測的目的。

3 工業(yè)控制系統(tǒng)網(wǎng)絡安全加固

由于該裝置工業(yè)控制系統(tǒng)網(wǎng)絡使用的是Honeywell TPS軟件，系統(tǒng)版本比較老，系統(tǒng)長時間沒有進行系統(tǒng)軟件的升級和操作系統(tǒng)軟件的漏洞補丁升級完善，容易受到外界攻擊感染，網(wǎng)絡安全措施較弱；又由于控制網(wǎng)內(nèi)設備眾多，若某臺設備感染病毒后容易大范圍的使其他設備感染病毒，且缺乏病毒傳播等事件的感知手段，當用戶發(fā)現(xiàn)時已對工業(yè)控制系統(tǒng)造成了一定程度的影響，停機進行病毒查殺等工作也會影響正常業(yè)務，因而需要在控制網(wǎng)內(nèi)部部署工控網(wǎng)絡監(jiān)控系統(tǒng)，以便及時地感知設備故障及非法接入事件的發(fā)生，并作出響應，實時對各類網(wǎng)絡數(shù)據(jù)進行監(jiān)控、審計，并對非法數(shù)據(jù)進行報警。另外，工業(yè)控制系統(tǒng)與工廠管理網(wǎng)、局域網(wǎng)存在OPC數(shù)據(jù)傳輸協(xié)議通信，需要對該類工業(yè)控制系統(tǒng)的通信進行邊界安全防護，邊界信息網(wǎng)絡進行進一步的加固與防護。具體安全加固部署示意如圖3所示。

在控制網(wǎng)絡中采用了KEV-C400和KEDC300進行網(wǎng)絡安全加固，實時監(jiān)控控制系統(tǒng)內(nèi)部網(wǎng)絡數(shù)據(jù)，配置黑名單以及OPC協(xié)議規(guī)則，進行數(shù)據(jù)分析與過濾，達到對OPC數(shù)據(jù)的審計與阻隔。系統(tǒng)運行近1.5 a，穩(wěn)定可靠，對原控制系統(tǒng)性能沒有產(chǎn)生任何影響，達到了預期目標。

圖3 “3號酮苯”裝置工控網(wǎng)絡安全加固整體拓撲結(jié)構(gòu)示意

4 結(jié) 論

工業(yè)控制系統(tǒng)網(wǎng)絡安全作為跨學科的應用領(lǐng)域，簡單地使用傳統(tǒng)信息安全技術(shù)并不能很好地保障網(wǎng)絡信息安全。工業(yè)控制系統(tǒng)滯后的系統(tǒng)運行環(huán)境以及難以實施的更新導致了其面臨較之傳統(tǒng)信息系統(tǒng)更為嚴峻的網(wǎng)絡安全問題。另外，工業(yè)控制網(wǎng)絡與傳統(tǒng)辦公信息網(wǎng)有著本質(zhì)上的區(qū)別，其通信協(xié)議通常為專有的工業(yè)控制協(xié)議，對系統(tǒng)及網(wǎng)絡環(huán)境的穩(wěn)定性要求也極高。因此，傳統(tǒng)的信息安全防護設備，如傳統(tǒng)的防火墻、病毒查殺、漏洞掃描、隔離網(wǎng)關(guān)等在進行工業(yè)控制網(wǎng)絡安全防護時起不到實質(zhì)的作用，甚至會影響工控系統(tǒng)正常運行。該項目針對“3號酮苯”裝置Honeywell TPS工業(yè)控制系統(tǒng)網(wǎng)絡進行的網(wǎng)絡安全檢測以及安全加固，在整個測試、檢測過程以及加固方案實施過程中，系統(tǒng)一直處于穩(wěn)定運行中，測試和加固方案的實施對原系統(tǒng)的穩(wěn)定運行和操作沒有產(chǎn)生任何影響，加固方案至今運行了1.5 a，設備運行穩(wěn)定可靠，達到了預期目標，該方案具有簡單、實用，可操作性強等特點，對一些在役多年的老舊工業(yè)控制系統(tǒng)的網(wǎng)絡安全檢查和加固，具有指導意義，值得推廣應用。