高學(xué)臣，李萬平

（天津水利電力機(jī)電研究所，天津301900）

0 引言

泵站作為水利工程不可缺少的重要組成部分，它承擔(dān)泵站所在地區(qū)的調(diào)水灌溉以及生產(chǎn)生活供水、防洪防澇等任務(wù)。通過對(duì)泵站的不斷更新改造，其自動(dòng)化水平不斷提高；近年來隨著互聯(lián)網(wǎng)技術(shù)的普及，越來越多的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用于泵站控制系統(tǒng)，但大多泵站在建造和改造階段對(duì)網(wǎng)絡(luò)安全的防護(hù)問題考慮不夠，這就使網(wǎng)絡(luò)技術(shù)在為泵站生產(chǎn)帶來極大推動(dòng)作用的同時(shí)，也為泵站的安全運(yùn)行帶來了極大的隱患。

1 背景

近年來，我國(guó)的互聯(lián)網(wǎng)技術(shù)得到快速發(fā)展，并逐漸應(yīng)用到各個(gè)領(lǐng)域，網(wǎng)絡(luò)技術(shù)在工業(yè)控制中的應(yīng)用也越來越廣泛，提高了系統(tǒng)智能化程度，使決策者實(shí)時(shí)了解重要信息，提高了工作效率，但由于原有的自動(dòng)化控制系統(tǒng)沒有很好的安全防護(hù)措施，近年來，針對(duì)工業(yè)控制系統(tǒng)的各種網(wǎng)絡(luò)攻擊事件日益增多，暴露出工業(yè)控制系統(tǒng)在安全防護(hù)方面的嚴(yán)重不足，如2000年3月，澳大利亞馬盧奇污水處理廠遭到黑客非法入侵，致使自動(dòng)化控制系統(tǒng)出現(xiàn)故障，無線連接信號(hào)丟失，污水泵工作異常，報(bào)警器也沒有報(bào)警，給污水處理廠造成極大損失。由此可見，黑客已將工業(yè)自動(dòng)化控制系統(tǒng)做為主要攻擊的目標(biāo)。

為加強(qiáng)對(duì)工控網(wǎng)絡(luò)安全工作的指導(dǎo)，2014年2月中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)近平總書記在會(huì)上強(qiáng)調(diào)：“網(wǎng)絡(luò)安全和信息化是事關(guān)國(guó)家安全、國(guó)家發(fā)展和百姓生活的重大戰(zhàn)略問題，要?jiǎng)?chuàng)新發(fā)展，努力把我國(guó)建設(shè)成網(wǎng)絡(luò)強(qiáng)國(guó)”，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組著眼國(guó)家安全和長(zhǎng)遠(yuǎn)發(fā)展，統(tǒng)籌指導(dǎo)中國(guó)邁向網(wǎng)絡(luò)強(qiáng)國(guó)發(fā)展戰(zhàn)略，將網(wǎng)絡(luò)安全提升到國(guó)家戰(zhàn)略高度；2016年11月頒發(fā)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，自2017年6月1日起正式實(shí)施，這標(biāo)志著我國(guó)實(shí)現(xiàn)了網(wǎng)絡(luò)安全立法頂層設(shè)計(jì)；在水利行業(yè)，2017年5月，水利部印發(fā)《水利網(wǎng)絡(luò)安全頂層設(shè)計(jì)》，結(jié)合水利行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀，提出了統(tǒng)一水利網(wǎng)絡(luò)安全策略，建立和完善水利網(wǎng)絡(luò)安全體系，保障水利信息化健康發(fā)展。

2 泵站網(wǎng)絡(luò)安全現(xiàn)狀

由于“網(wǎng)絡(luò)安全”問題近幾年才被人們重視，而絕大多數(shù)泵站都是原來建設(shè)起來的，在建設(shè)初期以及后期改造過程中業(yè)主對(duì)設(shè)備的選型都沒有考慮過網(wǎng)絡(luò)安全問題，包括設(shè)計(jì)部門也沒有設(shè)計(jì)系統(tǒng)防護(hù)、數(shù)據(jù)加密等功能；再加上工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中大量使用TCP/IP技術(shù)，TCP/IP協(xié)議本身的漏洞往往被一些攻擊者利用，給系統(tǒng)安全留下了許多隱患，而且管理者也沒有建立完善的網(wǎng)絡(luò)安全管理體制，缺乏專業(yè)技術(shù)人員，造成各個(gè)方面防護(hù)都比較薄弱，致使控制系統(tǒng)很容易遭到黑客非法攻擊。

（1）目前泵站大部分控制設(shè)備均采用施耐德、西門子等產(chǎn)品，而這些品牌的設(shè)備通信協(xié)議一般都是采用MODBUS和PROFIBUS，MODBUS和PROFIBUS通信協(xié)議都是開放式的，自身存在很多漏洞，不法分子通過這些漏洞很容易入侵自動(dòng)化控制系統(tǒng)，竊取機(jī)密數(shù)據(jù)或植入某種病毒。

（2）泵站工控系統(tǒng)軟件升級(jí)問題，軟件供應(yīng)商為降低維護(hù)成本，通常只是會(huì)定期在網(wǎng)上發(fā)布工業(yè)控制軟件補(bǔ)丁，泵站通常沒有專業(yè)軟件維護(hù)人員，造成更新不及時(shí)；另外軟件升級(jí)過程中由于補(bǔ)丁自身或人為誤操作也會(huì)產(chǎn)生不確定性，致使系統(tǒng)軟件出現(xiàn)不穩(wěn)定、卡頓等現(xiàn)象，造成整個(gè)系統(tǒng)不能正常工作，給泵站日常運(yùn)維造成麻煩甚至帶來巨大的財(cái)產(chǎn)損失。

（3）泵站通常沒有專業(yè)維護(hù)人員，對(duì)病毒入侵沒有預(yù)防性，即使發(fā)現(xiàn)設(shè)備感染病毒也不能采取有效手段進(jìn)行查殺，以致于病毒在系統(tǒng)中迅速傳播，甚至造成系統(tǒng)癱瘓，給生產(chǎn)工作帶來不可預(yù)測(cè)的后果。

（4）設(shè)備的多樣性，泵站系統(tǒng)結(jié)構(gòu)復(fù)雜，設(shè)備種類數(shù)量多，各個(gè)設(shè)備都具有各自不同的性能和特點(diǎn)，而且由不同廠家供貨，設(shè)備的安全等級(jí)也不一樣，也沒有專人負(fù)責(zé)統(tǒng)計(jì)這些數(shù)據(jù)，這就給設(shè)備的安全防護(hù)帶來很大困難。

由此可見，泵站工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題日益加劇。泵站工控系統(tǒng)遭入侵途徑以透過企業(yè)廣域網(wǎng)及商用網(wǎng)絡(luò)方式為主，利用IED、PLC、RTU、控制器、通信處理機(jī)等通用設(shè)備的漏洞植入惡意代碼，進(jìn)行破壞活動(dòng)，可對(duì)泵站造成巨大的損失。

3 泵站工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全漏洞

大多數(shù)泵站控制網(wǎng)絡(luò)中在運(yùn)行的電腦，基本不能及時(shí)安裝或更新防病毒軟件。另外，控制器的優(yōu)化升級(jí)基本以I/O性能為主，而對(duì)網(wǎng)絡(luò)安全防護(hù)方面的能力沒有加強(qiáng)。由于控制系統(tǒng)缺乏安全性設(shè)計(jì)，所以泵站工控系統(tǒng)非常容易受到攻擊。并且當(dāng)前泵站控制設(shè)備系統(tǒng)基本上被國(guó)外廠商壟斷，協(xié)議都是公開透明的，設(shè)備都存在漏洞，核心技術(shù)受制于人，增加了諸多不可控因素。

（1）通信協(xié)議存在漏洞，TCP/IP協(xié)議作為聯(lián)網(wǎng)結(jié)構(gòu)的核心，已經(jīng)成為網(wǎng)絡(luò)最流行的通信協(xié)議。TCP/IP和OPC等通用協(xié)議也越來越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中，但TCP/IP協(xié)議本身的漏洞卻往往被一些攻擊者利用，給網(wǎng)絡(luò)安全留下了許多隱患。

（2）操作系統(tǒng)存在漏洞，目前大多數(shù)泵站自動(dòng)化控制系統(tǒng)的工程師站/操作站都是Windows平臺(tái)的，泵站通常沒有專業(yè)維護(hù)人員，一般都不會(huì)對(duì)Windows平臺(tái)安裝補(bǔ)丁，造成系統(tǒng)漏洞不能及時(shí)消除，容易遭到黑客攻擊。

（3）安全意識(shí)和管理流程存在漏洞，業(yè)主缺乏安全意識(shí)，認(rèn)為設(shè)備能用就可以了，而不去關(guān)注設(shè)備的安全性，另外也沒有能力建立一套完善的管理流程，這都給系統(tǒng)信息安全帶來了一定的威脅。

（4）病毒防護(hù)存在漏洞，沒有專業(yè)維護(hù)人員，通常只保證系統(tǒng)軟件的可用性，一般不會(huì)安裝殺毒軟件。即便安裝了殺毒軟件，也不會(huì)對(duì)病毒庫(kù)進(jìn)行更新，這尤其不適合于工業(yè)控制環(huán)境。

（5）應(yīng)用軟件漏洞，由于應(yīng)用軟件多種多樣，很難形成統(tǒng)一的防護(hù)規(guī)范以應(yīng)對(duì)安全問題；另外當(dāng)應(yīng)用軟件面向網(wǎng)絡(luò)應(yīng)用時(shí)，就必須開放其應(yīng)用端口。因此，常規(guī)的IT防火墻等安全設(shè)備很難保障其安全性。

（6）通用硬件漏洞，在泵站工業(yè)控制系統(tǒng)中，臺(tái)套數(shù)最多的是PLC系統(tǒng)。系統(tǒng)多由國(guó)外供貨，主要包括西門子、施耐德、GE等。這些廠商也是全球PLC領(lǐng)域的主要供貨商，各PLC產(chǎn)品中均存在一些安全漏洞。泵站主流廠商西門子、施耐德、GE 3個(gè)供貨商在2011～2013年公安部網(wǎng)絡(luò)安全執(zhí)法檢查時(shí)，PLC漏洞暴露情況如圖1所示。

圖1 PLC漏洞暴露情況

4 泵站工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

（1）網(wǎng)絡(luò)防護(hù)安全問題，除了橫向隔離和縱向加密裝置外，基本沒有其他防護(hù)措施；有的單位雖然在生產(chǎn)大區(qū)之間部署了傳統(tǒng)防火墻，但是電力系統(tǒng)的工控協(xié)議是專有的，防火墻不能識(shí)別這些工控協(xié)議，也就失去了防火墻作用。

（2）防病毒軟件沒有專人進(jìn)行維護(hù)升級(jí)，存在的漏洞使非法分子輕易入侵，從而造成系統(tǒng)癱瘓。

（3）行為安全問題，缺乏對(duì)操作人員非授權(quán)行為的安全監(jiān)管能力；當(dāng)網(wǎng)絡(luò)受到攻擊后也無法及時(shí)檢測(cè)到，并對(duì)攻擊源IP地址、攻擊類型等信息進(jìn)行識(shí)別、記錄。

（4）管理和運(yùn)維安全問題，未能建立完善的信息安全制度。

5 泵站工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)

5.1 防護(hù)理念

根據(jù)當(dāng)前國(guó)內(nèi)外工控網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展形勢(shì)，采用“4+1”的工控安全戰(zhàn)略，以“結(jié)構(gòu)安全性、本體安全性、行為安全性、基因安全性+時(shí)間持續(xù)性安全”為核心，搭建全生命周期的工控安全產(chǎn)品和服務(wù)體系，為泵站工控系統(tǒng)網(wǎng)絡(luò)安全保駕護(hù)航。泵站工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)理念如圖2所示。

圖2 泵站工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)理念

（1）結(jié)構(gòu)安全即網(wǎng)絡(luò)結(jié)構(gòu)安全，根據(jù)業(yè)務(wù)及工藝要求合理劃分網(wǎng)絡(luò)區(qū)域和層次，明確網(wǎng)絡(luò)邊界，設(shè)定合理的訪問規(guī)則，而現(xiàn)實(shí)是多數(shù)生產(chǎn)網(wǎng)絡(luò)的結(jié)構(gòu)不夠安全。

（2）本體安全即工業(yè)系統(tǒng)的安全，工業(yè)設(shè)備及軟件在設(shè)計(jì)之初以滿足工業(yè)生產(chǎn)工藝要求為主，甚少考慮網(wǎng)絡(luò)安全因素，面臨網(wǎng)絡(luò)或惡意病毒攻擊時(shí)極其脆弱，需要充分評(píng)估其脆弱性并通過補(bǔ)償性措施防護(hù)。

（3）行為安全即網(wǎng)絡(luò)和操作行為的安全，工業(yè)網(wǎng)絡(luò)自身的特殊性對(duì)工業(yè)網(wǎng)絡(luò)中接入設(shè)備是相信的，缺乏認(rèn)證和加密措施，所有行為認(rèn)為是合法的，需要通過對(duì)行為的綜合分析、監(jiān)控和審計(jì)來識(shí)別惡意行為。

（4）基因安全即設(shè)備的自主可控，其內(nèi)容包括涵蓋工業(yè)系統(tǒng)全生命周期的完整性保護(hù)，從工業(yè)系統(tǒng)的可信設(shè)計(jì)，到工業(yè)系統(tǒng)的可信生產(chǎn)、交付、維護(hù)以及下線整個(gè)生命周期的安全可信，實(shí)現(xiàn)難度較大。

（5）時(shí)間持續(xù)性安全是工控安全的基礎(chǔ)，建立工控系統(tǒng)長(zhǎng)效的安全機(jī)制，能夠持續(xù)應(yīng)對(duì)惡意非惡意的攻擊，在面對(duì)APT攻擊時(shí)能夠保障工控系統(tǒng)的安全，及時(shí)發(fā)現(xiàn)、響應(yīng)和恢復(fù)。

5.2 防護(hù)策略

泵站控制系統(tǒng)網(wǎng)絡(luò)安全與傳統(tǒng)的互聯(lián)網(wǎng)安全具有本質(zhì)區(qū)別。因此，較傳統(tǒng)的信息安全問題，需要采取新的策略應(yīng)對(duì)。識(shí)別系統(tǒng)存在的風(fēng)險(xiǎn)與隱患，實(shí)施相應(yīng)的防護(hù)策略是確保泵站自動(dòng)化控制系統(tǒng)安全運(yùn)行的有效手段；安全防護(hù)部署如圖3所示。

圖3 泵站工業(yè)自動(dòng)化控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)部署圖

（1）設(shè)備安全防護(hù)，通過智能保護(hù)終端對(duì)工控系統(tǒng)現(xiàn)地層的關(guān)鍵LCU、RTU等進(jìn)行安全防護(hù)，對(duì)利用已公開漏洞的攻擊行為和流量信息進(jìn)行有效識(shí)別和攔截。

（2）網(wǎng)絡(luò)安全隔離，通過智能工業(yè)防火墻抵御來自外界偽基站接入滲透控制系統(tǒng)的風(fēng)險(xiǎn)。能夠?qū)刂圃瓷矸莸暮戏ㄐ赃M(jìn)行有效判斷，對(duì)非法IP發(fā)送的數(shù)據(jù)包進(jìn)行有效甄別和攔截。

（3）主機(jī)安全防護(hù)，在主控層的工程師站、操作員站、服務(wù)器部署工控衛(wèi)士，防止用戶的違規(guī)操作和誤操作，阻止不明程序、移動(dòng)存儲(chǔ)介質(zhì)和網(wǎng)絡(luò)通信的濫用。

（4）網(wǎng)絡(luò)監(jiān)測(cè)審計(jì)，在生產(chǎn)控制大區(qū)通信層環(huán)網(wǎng)、LCU子網(wǎng)旁路部署監(jiān)測(cè)審計(jì)平臺(tái)，對(duì)網(wǎng)絡(luò)通信流量進(jìn)行有效監(jiān)視和威脅檢測(cè)。

（5）集中安全監(jiān)管，安全監(jiān)管平臺(tái)對(duì)部署在整個(gè)工控系統(tǒng)的安全設(shè)備實(shí)現(xiàn)統(tǒng)一化安全監(jiān)管和運(yùn)維。

6 結(jié)語(yǔ)

我國(guó)已經(jīng)進(jìn)入信息化時(shí)代，這是歷史發(fā)展的必然，隨著科技不斷發(fā)展，工業(yè)控制系統(tǒng)將會(huì)融合更多先進(jìn)的信息安全技術(shù)，如可信計(jì)算、云安全等，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全成為關(guān)系政治穩(wěn)定、經(jīng)濟(jì)發(fā)展的重要因素。因此，需不斷加強(qiáng)對(duì)工業(yè)控制領(lǐng)域的整體安全部署，完善和提供整體的安全解決方案，我們?cè)笧楣た仡I(lǐng)域自動(dòng)化系統(tǒng)網(wǎng)絡(luò)安全做出應(yīng)有的貢獻(xiàn)。