張宏斌，王曉磊，趙云龍

(1.中國電子信息產業(yè)集團有限公司第六研究所，北京 100083； 2.國家工業(yè)信息安全發(fā)展研究中心，北京 100040)

0 引言

當前工控系統(tǒng)在軍工、電力、石油、軌道等行業(yè)大規(guī)模使用，呈現快速發(fā)展的態(tài)勢，超過80%的涉及國計民生的關鍵生產活動需要依靠工業(yè)信息化來實現自動化[1]，工控系統(tǒng)已經成為國家關鍵信息基礎設施的重要組成部分。然而隨著網絡信息技術在工業(yè)領域的大規(guī)模應用，尤其是工業(yè)互聯(lián)網、云計算、大數據、人工智能等新技術的實施，越來越多的工控網絡安全問題暴露出來，也成為網絡攻擊的重點目標。

近年來不斷爆發(fā)的如2015年“烏克蘭電網攻擊”、2016年“Mirai病毒”、2017年“WannaCry勒索病毒”，2019年“委內瑞拉大停電”等事件表明，工控網絡安全事件仍然層出不窮，攻擊范圍有不斷擴大的趨勢。面對嚴峻的網絡安全形勢，傳統(tǒng)的網絡安全防護已經無法有效應對目的更加明確、手段更加多樣、能力不斷增強的網絡攻擊。本文針對當前工控網絡所面臨的問題，提出一種工控網絡安全監(jiān)測技術與框架，并分析研究工控網絡的整體安全防護體系，為有效應對動態(tài)變化威脅、隱蔽性未知攻擊、工控安全綜合風險提供參考。

1 工控網絡面臨的主要問題

1.1 開放互聯(lián)需求增強，關鍵系統(tǒng)安全有待提升

在工業(yè)互聯(lián)網產業(yè)發(fā)展趨勢下，工業(yè)終端設備從封閉逐步走向開放，尤其是云計算、大數據等新技術的應用，打破傳統(tǒng)物理隔離常規(guī)，增加了工業(yè)處理流程的開放性和不確定性，網絡安全風險進一步集中和放大。

國內關鍵信息基礎設施采用的國內外工控系統(tǒng)和產品都可能存在已知或未知的后門、漏洞和缺陷，同時一些關鍵系統(tǒng)、高端裝備仍然依賴于國外產品，重大故障的維護都有廠商參與，有些留有遠程訪問端口，有可能來帶一定的安全隱患[2]?？傊斍肮た睾诵脑O備產品、關鍵系統(tǒng)自身安全性有待提升，以有效應對開放互聯(lián)背景下的高強度網絡威脅。

1.2 安全防護能力差，無法有效應對隱蔽性攻擊

當前工控網絡安全防護主要有兩種情況：一是大量工控設備、系統(tǒng)處于“裸奔”狀態(tài)，無統(tǒng)一安全防護方案。多數基礎軟件、智能化設備安全可靠程度低，部分設備更新?lián)Q代慢、處理能力有限，在設計之初沒有進行安全方面的預置，同時安全防護手段采用默認配置的方式仍然普遍存在；二是工控網絡安全防護手段有限，能力不足。工控網絡部署安全防護設備大多還是基于傳統(tǒng)網絡安全防護模式，安全防護能力有限，如防火墻基于IP、端口進行攔截，缺乏對內容進行深度的分析，入侵檢測基于攻擊特征檢測、誤報率高，容易被繞過，安全網關基于IP、URL等黑名單進行控制，無法檢測未知內容；殺毒軟件基于代碼指紋進行檢測，缺乏動態(tài)行為深度分析，無法識別未知惡意代碼[3]?？傊?，工控網絡缺乏有效的安全防護體系，無法應對隱蔽性攻擊。

1.3 應急處置能力弱，安全管理制度有待提高

工控安全主要是指工控網絡和系統(tǒng)的運行安全，防范來自內部或外部的網絡攻擊，而要保證工控系統(tǒng)的整體安全，則必須要制定相應的防護策略、落實相關的安全管理規(guī)范，以有效避免或應對網絡攻擊帶來的危害。然而，當前我國制造企業(yè)工控網絡系統(tǒng)防護與管理在安全防護策略、安全架構與設計、生產制造全流程管理、安全審計與災難備份、安全培訓等方面相對脆弱，多數單位網絡安全事件應急預案未建立或不完善，態(tài)勢監(jiān)測預警機制不健全，網絡安全應急處置能力較弱，安全管理制度有待提高[4]。

2工控網絡安全監(jiān)測

針對工控網絡所面臨的主要問題，需要研究工控網絡安全檢測技術與方法，以發(fā)現內嵌網絡安全威脅和有效應對隱蔽性攻擊，確保工控網絡各層基礎設備、數據資源的安全。同時要構建工控協(xié)議解析庫，完善安全事件特征庫，豐富網絡攻擊知識庫，對多環(huán)境、多業(yè)務流量進行深度分析、識別、發(fā)現、追蹤、評估，形成工控網絡監(jiān)測體系，有效提升工控網絡安全技術監(jiān)管能力[5]。

2.1 工控網絡安全監(jiān)測相關技術

工控網絡安全監(jiān)測技術主要包括工控協(xié)議精準解析與分析技術、異常行為與關鍵事件檢測技術、攻擊知識庫構建與自動學習技術、攻擊數據溯源取證技術等。

(1)工控協(xié)議精準解析與分析技術

由于工控協(xié)議大都為私有協(xié)議，要實現網絡安全監(jiān)測與分析，工控協(xié)議的精準解析是基礎。通過系統(tǒng)分析工控協(xié)議，提取協(xié)議關鍵字段等，形成協(xié)議特征庫，構建工控協(xié)議字典，覆蓋Siemens S7、Modbus、IEC104、Fins、Ethernet/IP等主流工控協(xié)議，從而支持對相關工控設備、流量的精準識別。

(2)異常行為與關鍵事件檢測技術

為解決工控網絡內部操作不正規(guī)問題，有效避免生產事故，需研究工控異常行為與關鍵事件監(jiān)測技術，支持對TCP/IP協(xié)議、工控指令、網絡會話等異常行為進行檢測，實現對用戶誤操作、用戶違規(guī)操作(如PLC下裝、組態(tài)變更、指令變更、程序異常退出)、越權訪問等關鍵事件進行實時監(jiān)控。

(3)攻擊知識庫構建及自動學習技術

為了對流量數據進行有效識別，需要建立攻擊知識庫，包括漏洞庫、威脅情報庫、惡意行為庫、協(xié)議識別規(guī)則庫、安全規(guī)則庫、危害等級評價庫等，通過構建并依據知識庫對流量進行監(jiān)測，統(tǒng)計分析網絡行為，構建網絡關系拓撲，展示用戶、應用、資源等分布情況，利用知識庫龐大的規(guī)則體系識別高頻網絡攻擊、網絡掃描探測、控件漏洞攻擊、Web應用攻擊等。

根據工控網絡安全的特點建立機器學習引擎，基于現有知識庫，在海量數據中自動學習提取新的規(guī)則與特征，并不斷將新的知識填充到知識庫中，指導提高攻擊檢測的深度與廣度。

(4)攻擊數據溯源取證技術

當發(fā)生網絡攻擊后，需要對流量數據進行過濾提取和精細關聯(lián)分析，確定流量的來源、應用類型、傳輸目的，存儲記錄關鍵數據特征，包括時間、源地址、源端口、目的端口等信息。利用攻擊知識庫數據，一是發(fā)現追蹤內部網絡攻擊情況，定位事件故障，溯源攻擊發(fā)起位置與過程；二是精確分析外部網絡攻擊行為，進行分析溯源。通過攻擊溯源取證技術，豐富網絡安全攻擊庫，制定調整相應的保護策略，確保工控生產、調度、管理等網絡和底層基礎設備的安全。

2.2 工控網絡安全監(jiān)測防護部署

工控網絡一般進行分區(qū)管理，主要包括企業(yè)管理區(qū)和生產調度區(qū)，如圖1所示。企業(yè)管理區(qū)內分外網和內網兩部分，外網應當設立安全控制策略，進行邊界數據包過濾、惡意代碼防范、非法外聯(lián)和入侵行為探測，加強網絡邊界的審計和防護；內網管理應當設立安全管控中心，對內網的系統(tǒng)(例如OA系統(tǒng)、郵件系統(tǒng)、門戶網站等)進行統(tǒng)一認證、安全存儲、漏洞檢測、病毒查殺等。生產調度區(qū)主要包括生產管理層、過程控制層、現場控制層、設備層。生產管理層負責生產任務的數據管理、計劃安排、設計存儲等；過程控制層、現場控制層是對現場設備進行過程控制和實時控制。生產調度區(qū)各層都應做好對應的漏洞檢測、入侵檢測、病毒防護，保護好相關工控數據流，防止網絡攻擊行為的發(fā)生，以及對反常行為進行預警報告。

圖1 工控安全監(jiān)測防護部署示意圖

為保證工控網絡系統(tǒng)正常生產、穩(wěn)定運行，工控網絡各分區(qū)間應部署網絡隔離裝置，以保證分區(qū)的交互安全，同時部署增加工控網絡安全監(jiān)測系統(tǒng)，以對整體網絡行為進行全生命周期監(jiān)測、存儲和分析，形成網絡安全實時態(tài)勢感知，以有效應對隱蔽性威脅。工控網絡安全監(jiān)測系統(tǒng)有工控探針和互聯(lián)網探針，一般將工控探針分布式部署于生產調度區(qū)各層匯聚交換機上，通過鏡像流量實現對各層鏈路利用率、業(yè)務分部情況、服務帶寬占用等進行監(jiān)測，通過構建攻擊知識庫實現對工控網絡惡意行為的誘捕、存儲、分析，對不正當行為進行關鍵工控事件檢測，最后由工控安全監(jiān)測評估系統(tǒng)匯總、分析后給出監(jiān)測報告；將互聯(lián)網探針部署在互聯(lián)網出入口，對來自外部區(qū)域的探測、攻擊行為進行監(jiān)測和分析，必要時進行反制[6]。

3 工控網安全防護體系思考

3.1 防護原則與目標

(1)防護原則

工控網絡安全防護堅持分級領導、落實責任；堅持同步規(guī)劃、同步建設、同步使用；堅持業(yè)務穩(wěn)定、持續(xù)運行；堅持分區(qū)管理、重點保護；堅持安全監(jiān)測、及時上報；堅持誰主管誰負責、誰運行誰負責，充分發(fā)揮各方力量維護工控網絡安全。

(2)防護建設目標

工控網絡安全防護建設目標應該是建立一個深度安全防護體系，保障工控網絡全生命周期安全可控，在技術上可以實現對工控協(xié)議指紋識別和無損探測，感知工控網絡中設備并形成網絡拓撲，能夠對各層網絡流量進行監(jiān)測和預警，及時發(fā)現、追蹤工控網絡中存在的安全威脅，集中呈現整個工控網絡安全態(tài)勢，提升網絡安全事件預警與處置能力；在管理上從監(jiān)測預警、應急響應、安全防護、監(jiān)督檢查等方面建立對應的安全管理機制，保證工控網絡安全相關制度、要求、責任落實到位。

3.2 防護體系框架研究

工控網絡安全防護應涵蓋網絡系統(tǒng)規(guī)劃、建設、運行、維護四個過程，從本質安全、技術防護、標準規(guī)范、管理制度、運行管控五個方面進行綜合考慮。建立綜合的網絡安全防護體系，持續(xù)作用于整個工控網絡的安全防護生命周期中，在維護運行效率和安全生產間找到平衡點，保障企業(yè)安全高效的開展生產活動[7-8]。

在技術防護上要從應用、主機、控制器、網絡等層面考慮采用訪問控制、加密、安全審計等手段，建立縱深技術防護機制，在縱向上保證分層監(jiān)測、安全隔離；在橫向上保證分區(qū)管控、重點防護。在標準規(guī)范上要從基礎、技術體制、測試評估和管理等方面建立相應標準，為工控網絡安全規(guī)劃、建設、管理、運維、質量、評估、測試、服務等方面提供統(tǒng)一、科學的標準規(guī)范[9]。

在管理制度上應當從治理、管理、執(zhí)行、監(jiān)督檢查等方面來考慮，政府方面要建立完善網絡安全組織管理體系，明確相關政策與制度，定期組織網絡安全培訓、應急演練、監(jiān)督檢查等，企業(yè)要設立專門的網絡安全管理機構，并明確各部門的網絡安全職責與責任人，保證網絡安全相關要求執(zhí)行到底，同時要建立完善的制度體系，從安全組織、安全策略、生產管理、供應鏈管理等方面考慮，實現工控資產可見、可管、可控，不斷規(guī)范企業(yè)各項工作流程，保障生產制造活動有序進行。在運行管控上，要注重過程安全，以預防、監(jiān)測、響應為主線，建立整個工控網絡運行管理和防護體系，做到網絡安全威脅的提前預警，網絡攻擊流量的監(jiān)測追蹤，網絡安全事件的及時決策與響應，保障運行管理通暢，形成綜合安全態(tài)勢，保證整個工控網絡安全綜合可控。

工控網絡安全防護體系需要關注本質安全，應保證關鍵系統(tǒng)、核心芯片、專用軟件、處理器、數據庫等基礎產品安全可靠，在基礎軟硬件的供應鏈層面，在滿足建設要求的條件下，主動選擇安全可靠程度更高的產品，夯實防護體系基礎。

工控網絡安全防護體系如圖2所示。

圖2 工控網絡安全防護體系框架

4 結論

工控網絡攻擊具有嚴組織、高隱蔽、強持續(xù)的特點，而且技術手段層出不窮，尤其是國家關鍵信息基礎設施的工控網絡和系統(tǒng)，一旦出現問題，會對國家安全和經濟社會發(fā)展帶來巨大威脅。本文分析了工控網絡安全面臨的問題，提出工控網絡安全監(jiān)測的相關技術和防護部署模式，并對整個網絡安全防護體系進行思考，希望將安全防護注入整個工控網絡設計、建設、運行、維護的全生命周期里，制定嚴格的標準規(guī)范，保障生產制造活動高效率、高安全、高可靠。