（廈門煙草工業(yè)有限責(zé)任公司 福建 361028）

煙草行業(yè)作為國家重要稅收來源的支柱產(chǎn)業(yè)之一，行業(yè)內(nèi)工、商業(yè)企業(yè)的生產(chǎn)系統(tǒng)中大量使用工業(yè)自動化控制系統(tǒng)。在工業(yè)化與信息化融合的大趨勢下，行業(yè)中的工業(yè)控制網(wǎng)絡(luò)與管理網(wǎng)絡(luò)的互聯(lián)互通是必然趨勢，導(dǎo)致目前煙草行業(yè)的工業(yè)控制系統(tǒng)安全危險等級和入侵威脅方式不斷增加。

為保障工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行，除自動化設(shè)備提供商在自動化設(shè)備自身安全性設(shè)計方面需加強(qiáng)外，應(yīng)用必要的專用安全檢測、安全防護(hù)措施對整個系統(tǒng)進(jìn)行安全加固也是必不可少的。目前，安全入侵檢測方法是一種非常重要的安全檢測技術(shù)，通過對煙草通信系統(tǒng)行為實(shí)時監(jiān)視、定位、分析，以分析出異常的攻擊行為操作，并在對方的攻擊行為前進(jìn)行攔截、等操作[1]。

本文首先對目前煙草行業(yè)典型工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備類型、業(yè)務(wù)特點(diǎn)等情況進(jìn)行總結(jié)、歸納，對系統(tǒng)所可能產(chǎn)生的安全風(fēng)險進(jìn)行分析。對煙草系統(tǒng)入侵檢測技術(shù)原理進(jìn)行了研究，結(jié)合煙草行業(yè)工業(yè)控制系統(tǒng)的特殊性進(jìn)行了適用性分析。最后對適用于煙草行業(yè)工業(yè)控制系統(tǒng)的入侵檢測技術(shù)進(jìn)行展望。

1 煙草工業(yè)控制系統(tǒng)網(wǎng)絡(luò)

卷煙生產(chǎn)企業(yè)是煙草行業(yè)典型的工業(yè)企業(yè)，其中制絲車間是對煙葉原料進(jìn)行加工的重要車間，具有煙草行業(yè)的明顯行業(yè)特色，卷煙生產(chǎn)中的香煙卷包等工作均需要以制絲車間生產(chǎn)的煙絲為原料，制絲車間內(nèi)工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行是整個卷煙廠生產(chǎn)任務(wù)達(dá)成的重要保障。

過程監(jiān)控層一般包含工程師站、操作員站、監(jiān)控站等設(shè)備，由交換機(jī)組成過程監(jiān)控層網(wǎng)絡(luò)，網(wǎng)絡(luò)結(jié)構(gòu)多為星型，其中工程師站、操作員站、監(jiān)控站、I/O服務(wù)器通常為基于通用操作系統(tǒng)（如Windows 7、Windows XP、Windows Server 2005 等）裝有專用工業(yè)組態(tài)軟件（如：Win CC、InTouch、iFix 等）的計算機(jī)或服務(wù)器；現(xiàn)場控制層主要包含現(xiàn)場控制設(shè)備，如PLC（Programmable Logic Controller），由工業(yè)專用交換機(jī)連接現(xiàn)場控制設(shè)備組成工業(yè)環(huán)網(wǎng)；現(xiàn)場設(shè)備層翻箱機(jī)、烘干機(jī)等機(jī)械設(shè)備由專用電纜或電線接入PLC，如圖1。

圖1 煙草典型工業(yè)控制網(wǎng)絡(luò)結(jié)構(gòu)圖

通訊網(wǎng)絡(luò)是制絲集控系統(tǒng)的主要基礎(chǔ)設(shè)施，過程監(jiān)控層與MES系統(tǒng)、現(xiàn)場控制層設(shè)備通訊所涉及的主要網(wǎng)絡(luò)協(xié)議如圖2所示。除普通計算機(jī)網(wǎng)絡(luò)中所普遍使用的通訊協(xié)議外，在制絲集控系統(tǒng)中有工業(yè)協(xié)議的應(yīng)用。其中過程監(jiān)控層設(shè)備與MES系統(tǒng)間通訊使用OPC（OLE for Process Control）協(xié)議[2]；過程監(jiān)控層I/O服務(wù)器與現(xiàn)場控制設(shè)備通訊使用S7、Modbus/TCP、Ethernet/IP等工業(yè)協(xié)議，其中S7協(xié)議為業(yè)界常用的西門子協(xié)議，用于西門子的設(shè)備進(jìn)行交換數(shù)據(jù)，Modbus TCP 以一種比較簡單的方式將Modbus 幀嵌入TCP 幀中[3]。Ethernet/IP是采用了傳統(tǒng)通用工業(yè)協(xié)議(Common Industrial Protocol，CIP)，通過這協(xié)議共同構(gòu)成Ethernet/IP協(xié)議族結(jié)構(gòu)[4]。

2 煙草行業(yè)典型工業(yè)控制系統(tǒng)安全性研究

2.1 網(wǎng)絡(luò)結(jié)構(gòu)風(fēng)險

如圖1中所示典型煙草工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，在管理協(xié)同層和生產(chǎn)執(zhí)行層設(shè)備往往可以訪問互聯(lián)網(wǎng)，因此管理網(wǎng)的安全性相對較低，管理網(wǎng)中設(shè)備直接面臨來自互聯(lián)網(wǎng)的種種安全威脅。隨著工業(yè)控制系統(tǒng)的集成化越來越高，典型煙草生產(chǎn)系統(tǒng)各個子系統(tǒng)的互聯(lián)程度大大提高，在生產(chǎn)網(wǎng)和管理網(wǎng)之間網(wǎng)絡(luò)互通，由于日常運(yùn)維工作的需求，往往在管理網(wǎng)中部分設(shè)備可訪問生產(chǎn)網(wǎng)中的操作站、工程師站或現(xiàn)場控制層工業(yè)交換機(jī)等設(shè)備。

2.2 主機(jī)風(fēng)險

由于工業(yè)控制系統(tǒng)的特殊性，導(dǎo)致過程監(jiān)控層設(shè)備不能及時進(jìn)行系統(tǒng)更新而漏洞重重，因此在大多數(shù)煙草工業(yè)控制系統(tǒng)中，微軟歷年來被爆出的遠(yuǎn)程代碼執(zhí)行、認(rèn)證繞過等多個類型的高危漏洞都能被很輕易地掃描到。

2.3 應(yīng)用及控制設(shè)備風(fēng)險

由于國內(nèi)工業(yè)自動化起步較晚，到目前為止自動化技術(shù)水平與國際領(lǐng)先的自動化供應(yīng)商仍然存在較大差距，而煙草工業(yè)生產(chǎn)對于自動化設(shè)備要求較高，目前煙草行業(yè)內(nèi)自動化設(shè)備市場份額主要被Siemens、Rockwell和GE 等國外公司所占據(jù)，因此煙草工業(yè)控制系統(tǒng)中所使用的組態(tài)軟件主要是WinCC和iFix 等。

圖2 層級間通訊協(xié)議圖

2.4 協(xié)議風(fēng)險

在工業(yè)控制系統(tǒng)中，所使用的工業(yè)通訊協(xié)議是其區(qū)別于普通信息系統(tǒng)的主要因素之一。目前工業(yè)控制系統(tǒng)中所使用的工業(yè)協(xié)議在設(shè)計之初主要考慮協(xié)議傳輸?shù)膶?shí)時性、可用性等符合工業(yè)需求，但是往往在安全性方面考慮不足，存在著信息泄露或指令被篡改等風(fēng)險。在煙草工業(yè)控制系統(tǒng)中所普遍使用的OPC、Modbus、Ethernet/IP均存在著一些典型安全問題。

2.4.1 OPC協(xié)議

（1）授權(quán)服務(wù)滯后

傳統(tǒng)的系統(tǒng)受限于維護(hù)窗口等諸多因素，不安全的授權(quán)機(jī)制使用頻繁。在多個系統(tǒng)里面，會使用系統(tǒng)默認(rèn)的Windows2000 LanMan(LM)管理方法，管理方法與其他過時的授權(quán)機(jī)制由于脆弱易受攻擊。

（2）RPC 漏洞。

同時OPC 使用RPC的原因，易受所有RPC相關(guān)產(chǎn)生漏洞的影響，最后導(dǎo)致攻擊底層RPC 漏洞被導(dǎo)致非法執(zhí)行代碼利用。

（3）端口與服務(wù)敞開。

OPC 支持包括NetBEUI、在Ipx協(xié)議上進(jìn)行的面向連接服務(wù)的復(fù)雜的NetBIOS和HTTP 互聯(lián)網(wǎng)服務(wù)。

（4）OPC服務(wù)器完整性。

攻擊者創(chuàng)建一個假非法的OPC服務(wù)器，并通過這個服務(wù)器進(jìn)行各種服務(wù)的干擾，最后通過總線監(jiān)聽竊取相關(guān)信息或重要的話注入惡意代碼。

多種威脅方式可以通過監(jiān)控OPC網(wǎng)絡(luò)或OPC服務(wù)器的可疑行為分析，如從OPC服務(wù)器發(fā)起的使用端口與服務(wù)進(jìn)行攻擊；通過分析發(fā)現(xiàn)已經(jīng)出現(xiàn)的已知OPC(包括底層OLE RPC 與DCOM)攻擊；分析來自不同層面的未知OPC服務(wù)器的OPC服務(wù)；由于成功授權(quán)OPC服務(wù)器上由未知或未授權(quán)用戶。

2.4.2 Modbus協(xié)議

（1）認(rèn)證機(jī)制缺失

在網(wǎng)絡(luò)連接方面，采用TCP協(xié)議?？梢栽诖_定目標(biāo)IP地址情況下，通過502端口發(fā)起并建立通信連接。如果所采取的應(yīng)用數(shù)據(jù)單元攜帶功能碼可由Modbus設(shè)備支持的，系統(tǒng)可以建立合法的可靠的MODBUS 會話。

（2）權(quán)限區(qū)分缺乏保護(hù)

對于任何設(shè)備，如果該設(shè)備能連接到目標(biāo)Modbus設(shè)備上，該設(shè)備就可以執(zhí)行所有Modbus設(shè)備所具有各項功能。

（3）數(shù)據(jù)明文傳輸容易破解

Modbus協(xié)議封裝采用ADU方式，同時輸也是同樣的ADU，在網(wǎng)絡(luò)上采用以明文形式進(jìn)行數(shù)據(jù)傳輸，最后通過抓包或者其他方式的技術(shù)獲取并解析出里面的原始數(shù)據(jù)。

因此在現(xiàn)有條件的基礎(chǔ)上對Modbus協(xié)議以上三點(diǎn)缺點(diǎn)進(jìn)行安全加固工作很有必要。

2.5 工業(yè)控制系統(tǒng)安全檢測技術(shù)分析

在當(dāng)前工業(yè)控制系統(tǒng)安全領(lǐng)域中，工業(yè)控制系統(tǒng)安全檢測方法是工業(yè)控制系統(tǒng)項目安全建設(shè)工作重要組成部分。可以針對煙草行業(yè)工業(yè)控制系統(tǒng)的典型問題，通過對工業(yè)控制系統(tǒng)中所出現(xiàn)的入侵行為、異常動作或違法指令的實(shí)時檢測，是保障工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行的重要一環(huán)。安全檢測方法是一種通過收集和分析被保護(hù)系統(tǒng)信息，發(fā)現(xiàn)安全威脅的技術(shù)較為重要。它的作用是對現(xiàn)有的網(wǎng)絡(luò)和計算機(jī)業(yè)務(wù)系統(tǒng)進(jìn)行實(shí)時監(jiān)控，發(fā)現(xiàn)各種入侵行為或企圖，給出入侵警報[5]。

2.5.1 現(xiàn)有工業(yè)控制系統(tǒng)安全檢測方法

（1）基于協(xié)議解析的工業(yè)控制系統(tǒng)安全檢測

由工業(yè)協(xié)議安全性分析過程中可見，在OPC、Modbus/TCP、Ethernet/IP等協(xié)議中所存在的安全隱患（包括數(shù)據(jù)明文傳輸、缺乏認(rèn)證機(jī)制等），從入侵者對協(xié)議安全漏洞的利用角度，只需要對某些重要節(jié)點(diǎn)的傳輸數(shù)據(jù)進(jìn)行竊聽，在協(xié)議中獲取重要的組態(tài)軟件或工控網(wǎng)絡(luò)設(shè)備的登錄口令、密碼等重要信息；進(jìn)行最終的攻擊也需要對工業(yè)通訊協(xié)議中所承載的工業(yè)控制指令所在字段根據(jù)入侵目的進(jìn)行精確篡改，偽裝成合法身份對工業(yè)控制設(shè)備下發(fā)錯誤指令，從而達(dá)到最終入侵目的。根據(jù)協(xié)議所公開規(guī)范和業(yè)務(wù)存在的邏輯，對所發(fā)送的報文里面參數(shù)的取值范圍構(gòu)造相應(yīng)的基于協(xié)議格式的內(nèi)容模型，依靠模型所構(gòu)造出的協(xié)議規(guī)范模型從白名單中可識別出異常功能碼和入侵行為[6]如圖3所示。

圖3 通用Modbus 框架

（2）基于流量分析的工業(yè)控制系統(tǒng)安全檢測

在傳統(tǒng)信息安全領(lǐng)域，很多攻擊行為或惡意代碼傳播過程在網(wǎng)絡(luò)流量這一維度觀察都具有顯著特征，而由于工業(yè)控制系統(tǒng)中過程監(jiān)控層設(shè)備與傳統(tǒng)信息系統(tǒng)中設(shè)備類型、操作系統(tǒng)等具有很高相似度，對于傳統(tǒng)信息安全領(lǐng)域的一些典型入侵行為也同樣可能出現(xiàn)，因此基于流量分析也被引入工業(yè)控制系統(tǒng)安全檢測方法。

在工業(yè)控制系統(tǒng)安全檢測方法中，典型的基于入侵行為特征庫的匹配方法也得到廣泛應(yīng)用。在入侵者在對工業(yè)控制系統(tǒng)進(jìn)行攻擊時，利用某些已被曝出的高危漏洞、病毒作出特定攻擊動作，這些攻擊動作具有一定特征的行為序列特性，帶有特征的行為序列特性就可以抽象出一定特征模型。

2.5.2 煙草工控系統(tǒng)安全檢測的適用性分析

對于傳統(tǒng)煙草工業(yè)系統(tǒng)入侵檢測方法的典型判斷指標(biāo)有檢測率、漏報率、誤報率，檢測率表示對系統(tǒng)行為正確檢測的性能分析，可以表示安全檢測的整體性能[7]。漏報率是分析異常數(shù)據(jù)判斷為正常行為的概率。誤報率是把正常數(shù)據(jù)分析判斷為異常數(shù)據(jù)分析的概率。

在工業(yè)控制系統(tǒng)安全檢測方法中，基于協(xié)議解析的方法需要對監(jiān)測到的通訊數(shù)據(jù)進(jìn)行深度了解，一方面進(jìn)行協(xié)議格式等檢查確保通訊數(shù)據(jù)本質(zhì)差錯[8]；另一方面識別當(dāng)前數(shù)據(jù)所攜帶的控制指令，并且與正常情況中的指令通過多方面多維度的對比來進(jìn)行異常指令識別[9]。但在煙草行業(yè)典型工業(yè)控制系統(tǒng)中，即使按照中等規(guī)模的生產(chǎn)企業(yè)來測算，需要檢測的生產(chǎn)指令無論對于專業(yè)人員還是對檢測設(shè)備都可以算是海量的，從中分辨出指令的正常與否在原理上雖然可行，誤報率會比較低，但在實(shí)際情況操作中可能需要耗費(fèi)很大工作量，并且檢測率和漏報率都是不得不面對的困難。

通過對目前幾種安全檢測方法的分析可見，利用單一的某一種檢測方法在實(shí)際進(jìn)行煙草行業(yè)典型工業(yè)控制系統(tǒng)中入侵或異常行為的檢測時，均存在較為明顯的缺陷或不適用性。目前對于煙草行業(yè)典型工業(yè)控制系統(tǒng)安全檢測方法需要進(jìn)一步改進(jìn)。首先從安全檢測方法的選擇上，應(yīng)盡可能結(jié)合多種檢測方法；另外，在某單一檢測方法的使用上，仍需通過算法的完善、改進(jìn)或更替來加強(qiáng)檢測水平。無論從安全檢測設(shè)備的處理能力和邏輯體系的建立都困難重重，但目前在其他領(lǐng)域的人工智能、機(jī)器學(xué)習(xí)等方面的技術(shù)研究、應(yīng)用都在飛速發(fā)展，對于工業(yè)控制系統(tǒng)中安全檢測方法中數(shù)據(jù)處理提供了一定的借鑒價值，針對工業(yè)控制系統(tǒng)中數(shù)據(jù)的多維度、非線性帶來的困難提供良好的解決思路，但從實(shí)際應(yīng)用的角度仍需綜合成本等因素來綜合考慮。

3 結(jié)束語

目前主流工業(yè)控制系統(tǒng)安全檢測方法進(jìn)行了介紹，對基于協(xié)議解析、流量分析、特征庫匹配的工業(yè)控制系統(tǒng)安全檢測方法原理以及檢測效果進(jìn)行剖析。最后結(jié)合煙草行業(yè)典型工業(yè)控制系統(tǒng)特點(diǎn)對幾種安全檢測方法在實(shí)際場景中的適用性全面分析，并結(jié)合實(shí)際經(jīng)驗(yàn)基礎(chǔ)技術(shù)展望。通過本文對于控制系統(tǒng)信息安全檢測技術(shù)的行為分析研究，針對工業(yè)控制系統(tǒng)信息安全從業(yè)人員能使用工業(yè)控制系統(tǒng)信息安全檢測技術(shù)，對增強(qiáng)工業(yè)控制系統(tǒng)安全保護(hù)能力具有重要意義。