姚申 董靜

（濱海公安局 山東省東營(yíng)市 257000）

1 工業(yè)控制系統(tǒng)安全現(xiàn)狀

隨著科技的發(fā)展，全球范圍內(nèi)出現(xiàn)多起攻擊工業(yè)控制系統(tǒng)的事件，最常出現(xiàn)在制造、電力、交通運(yùn)輸、能源以及水利等領(lǐng)域。工業(yè)安全事件信息庫（簡(jiǎn)稱RISI)作為統(tǒng)計(jì)路徑，從工業(yè)控制系統(tǒng)應(yīng)用至今，全世界范圍內(nèi)已經(jīng)有超過了300 起重大工業(yè)控制系統(tǒng)受攻擊事件。比如，伊朗Bushehr 核電站就曾遭受到超級(jí)病毒侵入，并且該病毒太復(fù)雜，伊朗短時(shí)間內(nèi)竟無法完全清楚，使得核設(shè)施中用來生產(chǎn)核燃料的離心泵出現(xiàn)故障，威脅到核設(shè)施正常安全運(yùn)行，最終使得伊朗核計(jì)劃延遲數(shù)年之久。在工業(yè)領(lǐng)域方面，高級(jí)持續(xù)性威脅（APT）進(jìn)攻了德國(guó)的一家鋼鐵企業(yè)，由于該鋼廠的工業(yè)控制系統(tǒng)組件被侵入者挾持，波及到整條生產(chǎn)線，只能停工停產(chǎn)，避免出現(xiàn)生產(chǎn)事故，這次工業(yè)控制系統(tǒng)安全問題導(dǎo)致該企業(yè)損失高達(dá)幾千萬。

2 工業(yè)控制系統(tǒng)感知技術(shù)分析

2.1 工業(yè)通信協(xié)議分析

種類多樣的工業(yè)通信協(xié)議有公有協(xié)議和私有協(xié)議之分，常見的公有協(xié)議有IEC60870-5-104、Modbus 等；私有協(xié)議更為靈活，常見的有Siemenss7，GESRTP 等，不同行業(yè)不同領(lǐng)域所用到的通信協(xié)議有著較大的差別，可根據(jù)需要選擇通信協(xié)議的種類。一般來說，私有協(xié)議具有高難度，低準(zhǔn)確度的特點(diǎn)，主要是因?yàn)槠鋵?duì)通信報(bào)文的分析采用的是協(xié)議逆向、盲識(shí)別的方式，需要利用模擬軟件或者硬件設(shè)施對(duì)工控系統(tǒng)仿真運(yùn)行環(huán)境進(jìn)行搭建，然后通過抓包工具來抓取數(shù)據(jù)包。公有協(xié)議具有低難度系數(shù)、高精準(zhǔn)度的特點(diǎn)，其數(shù)據(jù)解析參照HB、IEC 或者GB 等協(xié)議。作為OSI 模型的應(yīng)用層協(xié)議，Modbus 協(xié)議的網(wǎng)絡(luò)通信標(biāo)準(zhǔn)有Modbus/TCP 兩種，都屬于第七層。目前，502 作為常用端口號(hào)，是工業(yè)化自動(dòng)公司唯一擁有協(xié)議端口，采用Modbus 進(jìn)行自動(dòng)化信息傳輸，符合RFCl700 規(guī)定。Modbus/TCP 協(xié)議幀格式如圖1所示。

2.2 控系統(tǒng)指紋庫構(gòu)建

網(wǎng)絡(luò)搜索引擎可以采集報(bào)文數(shù)據(jù)，但是在采集中會(huì)出現(xiàn)三個(gè)主要問題，分別是遺漏問題、數(shù)據(jù)不全問題、解析不徹底問題。另外，還存在成功率低，能夠識(shí)別的數(shù)據(jù)較少，甚至出現(xiàn)不能識(shí)別廠商等重要數(shù)據(jù)信息。為了解決上述問題，提高數(shù)據(jù)識(shí)別高效性，采取指紋識(shí)別系統(tǒng)，建立企業(yè)工控系統(tǒng)指紋庫，通過維護(hù)指紋庫字典以及運(yùn)用模糊識(shí)別技術(shù)就可以用于提取數(shù)據(jù)庫中產(chǎn)品的版本和廠商等數(shù)據(jù)信息。工業(yè)控制系統(tǒng)還具有擴(kuò)展容易，高靈活性等特征，在構(gòu)建過程中，全面的工控設(shè)備信息數(shù)據(jù)來源于公共協(xié)議在發(fā)送特殊請(qǐng)求的報(bào)文時(shí)，對(duì)設(shè)備應(yīng)答信息進(jìn)行全面解析，常見的讀取指紋方式多樣化，主要有MMS、FINS、Modbus/TCP 等。

2.3 速掃描機(jī)制

聯(lián)網(wǎng)工業(yè)控制系統(tǒng)主動(dòng)感知技術(shù)的快速掃描機(jī)制，采用的是資產(chǎn)識(shí)別以及端口存活掃描兩者相結(jié)合的方式，詳情可見圖2。

圖1：Modbus/TCP 協(xié)議幀格式

圖2：聯(lián)網(wǎng)工業(yè)控制系統(tǒng)快速掃描機(jī)制

由圖2 可知，工業(yè)控制系統(tǒng)快速掃描過程大致如下：

首先是探測(cè)協(xié)議端口，通常分為兩種情況：當(dāng)TCP 協(xié)議端口在IPv4 地址空間內(nèi)時(shí)，則采用Masscan 探測(cè)，若為UDP 協(xié)議端口，則需要采用Zmap 探測(cè)；然后開始探測(cè)數(shù)據(jù)，將探測(cè)匯總的結(jié)果放到端口存活結(jié)果地址庫；最后利用Nmap 做資產(chǎn)識(shí)別性掃描來分析存活性結(jié)果，直到發(fā)現(xiàn)設(shè)備信息，并且通過工控系統(tǒng)指紋庫，找到設(shè)備的版本、型號(hào)、類型等相關(guān)信息。

2.4 威脅預(yù)警

在做資產(chǎn)識(shí)別掃描后，聯(lián)網(wǎng)工業(yè)控制系統(tǒng)的相關(guān)信息可以被探測(cè)出來，常見的信息主要是設(shè)備的廠家、版本、端口、協(xié)議等。可以根據(jù)這些信息，分析該聯(lián)網(wǎng)工業(yè)控制系統(tǒng)所存在的安全漏洞，對(duì)網(wǎng)絡(luò)安全而言，聯(lián)網(wǎng)工控系統(tǒng)可以根據(jù)這些漏洞的危險(xiǎn)程度、存在情況做查缺補(bǔ)漏工作，政府監(jiān)管部門也能更好的開展安全防范工作。

一般工業(yè)控制系統(tǒng)安全漏洞獲取途徑有國(guó)家信息安全漏洞共享平臺(tái)（CNVD）、國(guó)家信息安全漏洞庫（CNNVD）以及國(guó)際著名的安全漏洞庫（CVE）這三個(gè)平臺(tái)。中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司作為我國(guó)專門的技術(shù)團(tuán)隊(duì)之一，其專門從事網(wǎng)絡(luò)信息安全工作，涉及的是工業(yè)控制系統(tǒng)。根據(jù)數(shù)據(jù)可知，該團(tuán)隊(duì)自主挖掘了200 多個(gè)工控漏洞，形成了專門的聯(lián)網(wǎng)工控系統(tǒng)漏洞庫，該漏洞庫主要在零DAY 漏洞的基礎(chǔ)上，對(duì)CNNVD、CNVD、CVE 等權(quán)威漏洞庫進(jìn)行融合而得。

表1：工業(yè)控制系統(tǒng)感知預(yù)警系統(tǒng)

表2：PDCA 循環(huán)管理內(nèi)容

3 主動(dòng)預(yù)警系統(tǒng)的設(shè)計(jì)

3.1 面向服務(wù)的技術(shù)架構(gòu)（SOA）

根據(jù)前文分析可知，安全態(tài)勢(shì)感知預(yù)警技術(shù)實(shí)際上是一種面向服務(wù)的體系架構(gòu)和WEB Services 技術(shù)，系統(tǒng)設(shè)計(jì)的用戶界面都是采用B/S 結(jié)構(gòu)，保證系統(tǒng)每個(gè)組件間是松耦合。這種系統(tǒng)整體系統(tǒng)架構(gòu)擴(kuò)展非常靈活，在該平臺(tái)上可以應(yīng)用多種管理技術(shù)和信息安全產(chǎn)品，兼容性好，為工業(yè)控制系統(tǒng)整個(gè)生命周期內(nèi)提供安全功能，促進(jìn)人員、技術(shù)以及產(chǎn)品結(jié)合，并且提供多種類型的對(duì)外接口，可以與第三方平臺(tái)直接連接，實(shí)現(xiàn)融合，最大可能保證工控系統(tǒng)的穩(wěn)定性和安全性。

3.2 一體化功能結(jié)構(gòu)設(shè)計(jì)

基于安全態(tài)勢(shì)感知預(yù)警技術(shù)設(shè)計(jì)的系統(tǒng)主要由以下幾個(gè)部分組成，具體如表1所示。

本次設(shè)計(jì)系統(tǒng)對(duì)信息安全管理采用的PDCA 循環(huán)，并將系統(tǒng)分為幾個(gè)階段處理和分析，如表2所示。

通過一體化功能設(shè)計(jì)，系統(tǒng)可以保證工業(yè)控制信息安全，維護(hù)企業(yè)正常生產(chǎn)運(yùn)營(yíng)。同時(shí)該系統(tǒng)還能實(shí)現(xiàn)各個(gè)功能構(gòu)建之間的關(guān)聯(lián)，以此實(shí)現(xiàn)平臺(tái)技術(shù)架構(gòu)體系的統(tǒng)一，從而解決預(yù)警系統(tǒng)在實(shí)際應(yīng)用時(shí)的共性問題。

3.3 關(guān)鍵技術(shù)實(shí)現(xiàn)

3.3.1 數(shù)據(jù)采集

工業(yè)控制系統(tǒng)安全感知預(yù)警系統(tǒng)對(duì)企業(yè)的系統(tǒng)日志以及IT 資源進(jìn)行全面的監(jiān)控，特別是安全設(shè)備、系統(tǒng)主機(jī)、服務(wù)器以及網(wǎng)絡(luò)設(shè)備等。系統(tǒng)可以實(shí)時(shí)采集網(wǎng)絡(luò)中不同廠商的安全設(shè)備以及操作系統(tǒng)和使用的主機(jī)，將這些工業(yè)控制系統(tǒng)信息所產(chǎn)生的大量日志數(shù)據(jù)全部收集匯總，并且上傳到審計(jì)中心，存儲(chǔ)與備份，以供管理者查詢、評(píng)估、審計(jì)以及警告和響應(yīng)等，最后還可以出具詳細(xì)的報(bào)告，知悉全網(wǎng)的安全運(yùn)行狀況，保證工控系統(tǒng)在整個(gè)生命周期內(nèi)，處于安全監(jiān)管之中。

3.3.2 大數(shù)據(jù)存儲(chǔ)優(yōu)化技術(shù)

通過前文分析可知，基于主動(dòng)感知技術(shù)的安全系統(tǒng)的數(shù)據(jù)架構(gòu)是按照事件的時(shí)間順序進(jìn)行儲(chǔ)存，通過分析和利用日志數(shù)據(jù)，將大量的日志數(shù)據(jù)合理規(guī)劃處理分類。為了更好存儲(chǔ)日志數(shù)據(jù)，系統(tǒng)還能以時(shí)間特征將所有日志儲(chǔ)存在不同的存儲(chǔ)空間里，并且實(shí)現(xiàn)多個(gè)物理介質(zhì)儲(chǔ)存不同類型的數(shù)據(jù)，極大優(yōu)化和提高了數(shù)據(jù)存儲(chǔ)的能力。

3.3.3 關(guān)聯(lián)分析實(shí)現(xiàn)

關(guān)聯(lián)分析可以解決系統(tǒng)安全措施不完善以及出現(xiàn)安全信息孤島的情況。系統(tǒng)通過將IDS、漏掃、防火墻以及防控病毒系統(tǒng)等設(shè)備的日志數(shù)據(jù)集中分析與處理，制作出合理的解決方案。另外，還能關(guān)聯(lián)來自不同地點(diǎn)、時(shí)間以及類型的安全事件，提前分析與評(píng)估，借此發(fā)現(xiàn)真正的安全風(fēng)險(xiǎn)問題，如此才能大幅度提高控制系統(tǒng)安全報(bào)警的信噪比。所以通過系統(tǒng)采集的安全事件，進(jìn)行安全關(guān)聯(lián)分析，可以提高警覺，及時(shí)發(fā)現(xiàn)安全問題并有效響應(yīng)。

3.3.4 圖形化業(yè)務(wù)監(jiān)控視圖

系統(tǒng)采用圖形化業(yè)務(wù)監(jiān)控視圖，可以監(jiān)控多個(gè)單獨(dú)資產(chǎn)，并且系統(tǒng)將監(jiān)控資產(chǎn)進(jìn)行時(shí)間排列，構(gòu)成一個(gè)時(shí)間鏈，方便外在監(jiān)控和顯示，脈絡(luò)和邏輯清晰，特別是關(guān)鍵資產(chǎn)監(jiān)控可以重點(diǎn)突出顯示。同時(shí)，在窗口上動(dòng)態(tài)顯示用戶計(jì)算機(jī)中業(yè)務(wù)的運(yùn)行情況，以及業(yè)務(wù)之間的依賴關(guān)系和相互結(jié)構(gòu)，反映出控制系統(tǒng)的邏輯網(wǎng)絡(luò)，為控制系統(tǒng)健康評(píng)估提供直觀的總覽信息。

4 結(jié)論

隨著工業(yè)控制系統(tǒng)的內(nèi)外部安全隱患逐漸增多，其面臨的信息安全形勢(shì)也越來越嚴(yán)峻。石油行業(yè)的工控系統(tǒng)一旦遭受破壞，將會(huì)給國(guó)家、企業(yè)及個(gè)人造成非常嚴(yán)重的影響，會(huì)直接導(dǎo)致政府公信力的下降，并大幅降低人民群眾的安全感。石油行業(yè)必須進(jìn)一步提升工控系統(tǒng)信息安全管理水平，并從工程實(shí)施、運(yùn)行管理及安全教育等方面進(jìn)行完善的工控系統(tǒng)防護(hù)體系建設(shè)，真正提升企業(yè)全員的安全意識(shí)，并從技術(shù)層面和管理層面對(duì)防護(hù)體系建設(shè)貢獻(xiàn)力量，從而為石油石化企業(yè)的安全生產(chǎn)提供相應(yīng)的保障。