歐中意

[摘 ? ?要 ]隨著國際上互聯(lián)網(wǎng)工業(yè)、工業(yè)4.0等提出，積極推進了生產(chǎn)與制造方式的革新、產(chǎn)業(yè)組織的形式創(chuàng)新以及產(chǎn)業(yè)結(jié)構(gòu)升級，使得傳統(tǒng)行業(yè)的基礎(chǔ)設(shè)施能夠?qū)崿F(xiàn)遠程控制和智能化操作，高度融合IT技術(shù)的工業(yè)自動化應(yīng)用得到迅速而廣泛的使用。工業(yè)自動化控制系統(tǒng)設(shè)計之初是為實現(xiàn)各種工藝要求的電氣設(shè)備的集中控制及各種傳感器數(shù)據(jù)的采集顯示，多數(shù)情況下沒有考慮安全和防護方面的需求，當這些系統(tǒng)暴露在外部網(wǎng)絡(luò)時，無疑將給他們所控制的重要基礎(chǔ)設(shè)施、系統(tǒng)、關(guān)鍵設(shè)備等帶來巨大的安全隱患。

[關(guān)鍵詞]工業(yè)自動化;控制系統(tǒng);網(wǎng)絡(luò)安全;漏洞防護

[中圖分類號]TP273 [文獻標志碼]A [文章編號]2095–6487（2021）06–00–03

[Abstract]With the international Internet industry， Industry 4.0， and the domestic strategy "Made in China 2025"， the innovation of production and manufacturing methods， the innovation of industrial organization and the upgrading of industrial structure have been actively promoted， so that the infrastructure of traditional industries can be Realize remote control and intelligent operation. Industrial automation applications that are highly integrated with IT technology are quickly and widely used. The industrial automation control system was originally designed to achieve centralized control of electrical equipment and various sensor data required by various processes. Collections show that in most cases， security and protection requirements are not considered. When these systems are exposed to external networks， they will undoubtedly bring huge security risks to the important infrastructure， systems， and key equipment they control.

[Keywords]industrial automation; control system; network security; vulnerability protection

1 建設(shè)背景

近年，信息化技術(shù)在各行各業(yè)中的應(yīng)用取得了蓬勃發(fā)展，包括工業(yè)自動化控制領(lǐng)域，通過TCP/IP通用協(xié)議技術(shù)，將工業(yè)自動化控制系統(tǒng)與企業(yè)管理系統(tǒng)緊密聯(lián)系在一起。另一方面，傳統(tǒng)的工業(yè)自動化控制系統(tǒng)采用專門的軟硬件和數(shù)據(jù)交換協(xié)議，在設(shè)計和建設(shè)時多數(shù)沒有考慮與其他系統(tǒng)互聯(lián)互通時所必須考慮的通信安全問題。企業(yè)管理系統(tǒng)與工業(yè)自動化控制系統(tǒng)之間的網(wǎng)絡(luò)防護能力都很弱，或者干脆就沒有隔離功能，安全隱患日趨嚴峻，工業(yè)自動化控制系統(tǒng)中的任何一點遭到入侵都有可能致使整個管理系統(tǒng)癱瘓。

水務(wù)行業(yè)工業(yè)自動化控制系統(tǒng)安全事關(guān)重大，一旦出現(xiàn)網(wǎng)絡(luò)攻擊，將會出現(xiàn)不可控的嚴重后果。在高度信息化為工廠生產(chǎn)管理帶來便利的同時，工廠控制網(wǎng)絡(luò)也由原來的相對封閉變得更加開放，勢必會面臨越來越多的網(wǎng)絡(luò)威脅。國內(nèi)外出現(xiàn)過多次由網(wǎng)絡(luò)安全引發(fā)的安全事故，導(dǎo)致用戶信息泄露、污水進入供水系統(tǒng)等嚴重后果，影響深遠。

2 安全風(fēng)險分析

水務(wù)行業(yè)工業(yè)自動化控制系統(tǒng)安全的薄弱點是指在工業(yè)自動化控制系統(tǒng)缺少保護措施時，系統(tǒng)易被攻擊問題原因主要概括為以下幾點。

2.1 操作系統(tǒng)漏洞

目前大多數(shù)工業(yè)自動化控制系統(tǒng)的上位機和操作員站及服務(wù)器采用Windows和Linux系列平臺操作系統(tǒng)，考慮到控制系統(tǒng)的相對獨立性和運行穩(wěn)定性，通常在系統(tǒng)安裝好正常運行后，基本不會安裝任何補丁和升級，包括PLC控制器軟件、上位機組態(tài)軟件以及操作系統(tǒng)軟件。這樣使已知可利用漏洞以及未知漏洞得不到及時修復(fù)，從而埋下安全隱患。

某些主機開啟了RDP遠程桌面服務(wù)、Telnet遠程服務(wù)、操作系統(tǒng)的共享服務(wù)等，且部分服務(wù)亦存在等待修復(fù)的安全漏洞。不法分子可以成功利用這些漏洞獲得全部管理員權(quán)限，可以用此權(quán)限完全控制設(shè)備。

2.2 應(yīng)用軟件漏洞

由于工控設(shè)備的多樣性導(dǎo)致其軟件的不同，且軟件著作權(quán)等知識產(chǎn)權(quán)的保護，各軟件對外應(yīng)用的端口不一，難以達到用統(tǒng)一的規(guī)范對安全問題進行防范，且應(yīng)用軟件本身也有一些未知的問題待發(fā)現(xiàn)和修復(fù)。用常規(guī)的防范措施（殺毒軟件、防火墻等）很難為系統(tǒng)的安全保駕護航。

2.3 網(wǎng)絡(luò)結(jié)構(gòu)漏洞

工業(yè)自動化控制系統(tǒng)網(wǎng)絡(luò)中的各個子系統(tǒng)之間，實現(xiàn)了互聯(lián)的功能，但這種互聯(lián)也基本都是原始的、開放性的。不同的子系統(tǒng)之間通過標準Modbus協(xié)議、OPC服務(wù)等進行通信，其作為自動化控制系統(tǒng)與各智能化儀表或?qū)拥闹虚g人，分別與工業(yè)自動化控制系統(tǒng)及這些子系統(tǒng)之間都存在大量的通信接口，而這些數(shù)據(jù)通信之間又未完善隔離措施，威脅一旦進入網(wǎng)絡(luò)內(nèi)部，將快速擴散到系統(tǒng)各處。

2.4 通信協(xié)議漏洞

水務(wù)行業(yè)大量工業(yè)自動化控制系統(tǒng)中使用的協(xié)議設(shè)計之初主要保證通信實時性和可靠性，實現(xiàn)這些目標的同時犧牲了協(xié)議本身的安全性因素，存在大量安全性缺陷。

2.5 工控設(shè)備后門和漏洞

設(shè)備集成商對于出廠的設(shè)備或系統(tǒng)的維護手段，除了前期現(xiàn)場調(diào)試、現(xiàn)場維護，其次為了作業(yè)的方便及出行經(jīng)濟性方面考慮，使用得最多的還是“遠程控制”的方式。為了達到這個“遠程控制”維護的便捷性，不得不制造一些后門，在需要時將這些后門打開進行遠程維護，不需要時則將其關(guān)閉，看似精明的游擊戰(zhàn)略卻也給了入侵者攻擊的機會。

2.6 外部風(fēng)險來源

工業(yè)自動化控制系統(tǒng)網(wǎng)絡(luò)面臨多種威脅，如人為事故、不法組織、敵對政府、心懷不滿的員工等。他們的主要目標包括長期潛伏收集數(shù)據(jù)和情報、破壞生產(chǎn)和基礎(chǔ)設(shè)施、竊取核心研發(fā)技術(shù)、要挾獲取利益等。

2.7 外部滲透手法

隨著智慧水務(wù)的建設(shè)，兩網(wǎng)實現(xiàn)深度融合，越來越多的攻擊者利用企業(yè)網(wǎng)作為跳板一步一步進入生產(chǎn)網(wǎng)，最終實現(xiàn)入侵工業(yè)自動化控制系統(tǒng)的目標。

2.8 非法外聯(lián)

員工在工程師站或操作員站電腦上私自連接無線WiFi上網(wǎng)，導(dǎo)致自動化控制系統(tǒng)與互聯(lián)網(wǎng)直接連通，把整個系統(tǒng)暴露在互聯(lián)網(wǎng)下等。

3 建設(shè)需求分析

通過現(xiàn)場安全調(diào)研和信息匯總，針對現(xiàn)場的安全需求匯總歸納如下。

3.1 網(wǎng)絡(luò)通信層面

3.1.1 安全域架構(gòu)設(shè)計缺失

整體架構(gòu)設(shè)計當初考慮更多的是上層網(wǎng)絡(luò)（MES）與生產(chǎn)系統(tǒng)網(wǎng)絡(luò)通信可用性問題，在辦公網(wǎng)與生產(chǎn)網(wǎng)之間沒有進行安全隔離與控制。這樣極易導(dǎo)致生產(chǎn)系統(tǒng)和生產(chǎn)數(shù)據(jù)未經(jīng)授權(quán)的訪問、病毒感染、生產(chǎn)業(yè)務(wù)拒絕式服務(wù)攻擊等安全風(fēng)險造成生產(chǎn)核心數(shù)據(jù)的泄露、惡意篡改。

3.1.2 控制指令及數(shù)據(jù)未加密傳輸

自動化控制系統(tǒng)網(wǎng)絡(luò)中工程師站、操作員站分別與PLC控制器之間的數(shù)據(jù)傳輸、與串口服務(wù)器之間的數(shù)據(jù)傳輸、PLC控制器或數(shù)據(jù)采集儀與智能儀器儀表之間的數(shù)據(jù)傳輸，沒有針對數(shù)據(jù)傳輸?shù)募用軝C制。

3.2 主機設(shè)備系統(tǒng)層面

3.2.1 現(xiàn)場設(shè)備（PLC、RTU等）存在漏洞

根據(jù)國家工業(yè)信息安全發(fā)展研究中心發(fā)布的《2020年工業(yè)信息安全態(tài)勢報告》中提供的數(shù)據(jù)，CICSVD（國家工業(yè)信息安全漏洞庫）2020年共收錄工業(yè)信息安全漏洞2138個，較2019年上升了22.2%，其中通用型漏洞2045個（高危及以上漏洞占比高達62.5%），事件型漏洞93個，保持了較高的增長態(tài)勢。

目前企業(yè)工業(yè)自動化控制系統(tǒng)中PLC控制器品牌諸如SiemensS7、AB及三菱等系列，依據(jù)美工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組（ICS-CERT）統(tǒng)計的工業(yè)控制系統(tǒng)公開新增漏洞所涉及的廠商占比中，Siemens設(shè)備占比28%（排名第一）。

3.2.2 工程師站、操作員站和業(yè)務(wù)服務(wù)器缺乏安全防范機制

在整個自動化控制系統(tǒng)中的工程師站、操作員站及服務(wù)器多為Windows操作系統(tǒng)，系統(tǒng)上安裝的殺毒軟件及防火墻對這些設(shè)備的安全防護機制幾乎失效，且缺乏進程監(jiān)控、移動存儲設(shè)備監(jiān)控、遠程維護監(jiān)控、惡意代碼防范等措施。

3.3 主機系統(tǒng)和應(yīng)用系統(tǒng)身份認證機制

對于生產(chǎn)系統(tǒng)的工程師站、操作員站、業(yè)務(wù)系統(tǒng)服務(wù)器的身份認證機制沒有充分的安全性評估和驗證，在以往的經(jīng)驗中，大量中控室操作員站及監(jiān)控終端都采用公用賬號（甚至是系統(tǒng)默認賬號），且系統(tǒng)操作界面長期處于開放狀態(tài)，導(dǎo)致進出中控室的所有人員都可以對其進行操作，可能存在被無關(guān)人員訪問操作員站進行未授權(quán)操作的安全風(fēng)險。

同時對于自動化控制系統(tǒng)的登陸賬戶權(quán)限申請流程和數(shù)采服務(wù)器登陸賬號和權(quán)限劃分都沒有充分評估，可能存在登錄賬號和初始密碼都是默認賬號，或者根本就沒有設(shè)置相關(guān)密碼等保護策略的隱患。攻擊者可獲得系統(tǒng)完全控制權(quán)限，可任意破壞、篡改生產(chǎn)數(shù)據(jù)庫或控制程序。

綜上，現(xiàn)有自控動化控制系統(tǒng)的建設(shè)為企業(yè)帶來便利的同時也增加了企業(yè)生產(chǎn)與數(shù)據(jù)安全風(fēng)險，主要集中在原始生產(chǎn)數(shù)據(jù)、控制工藝的泄露，原始生產(chǎn)數(shù)據(jù)的丟失，生產(chǎn)停車、運行方式和相關(guān)設(shè)置參數(shù)的篡改等風(fēng)險。

4 安全防護框架設(shè)計

4.1 框架設(shè)計

對于工業(yè)自動化控制系統(tǒng)根據(jù)被保護對象業(yè)務(wù)性質(zhì)分區(qū)，針對功能層次技術(shù)特點實施信息安全等級保護設(shè)計，根據(jù)“一個中心”管理下的“三重防護”體系框架，構(gòu)建在安全管理中心支持下的通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境三重防御體系，采用分層、分區(qū)的架構(gòu)，結(jié)合工業(yè)自動化控制系統(tǒng)總線協(xié)議復(fù)雜多樣、實時性要求強、節(jié)點計算資源有限、設(shè)備可靠性要求高、故障恢復(fù)時間短、安全機制不能影響實時性等特點進行設(shè)計，以實現(xiàn)可信、可控、可管的系統(tǒng)安全互聯(lián)、區(qū)域邊界安全防護和計算環(huán)境安全[1]。

按照總體設(shè)計思路，結(jié)合珞安科技出品的工業(yè)網(wǎng)絡(luò)空間安全產(chǎn)品，以某凈水廠項目為例，此項目的網(wǎng)絡(luò)總體防護架構(gòu)設(shè)計如圖1所示。

4.2 主要防護功能介紹

4.2.1 隔離網(wǎng)閘

隔離網(wǎng)閘的服務(wù)系統(tǒng)把TCP/IP協(xié)議頭部剝離，用擺渡的方式把原始數(shù)據(jù)在不同系統(tǒng)進行傳輸，對于目前常見的如源地址欺騙、偽造TCP序列號、SYN攻擊可以全部隔斷。如此網(wǎng)絡(luò)內(nèi)部主機系統(tǒng)漏洞便不會被入侵者掃描到。

4.2.2 工業(yè)防火墻

工業(yè)防火墻有效規(guī)避工控網(wǎng)絡(luò)脆弱性風(fēng)險，確保企業(yè)工業(yè)自動化控制系統(tǒng)的正常運行。

4.2.3 工控安全審計系統(tǒng)

工控安全審計系統(tǒng)對自動化控制系統(tǒng)網(wǎng)絡(luò)進行持續(xù)監(jiān)測，記錄系統(tǒng)中的一切通信行為，包括數(shù)據(jù)交換協(xié)議、網(wǎng)絡(luò)會話、系統(tǒng)驅(qū)動指令等，為安全事故調(diào)查取證和回溯分析提供數(shù)據(jù)支撐。

4.2.4 工業(yè)入侵檢測系統(tǒng)

工業(yè)入侵檢測系統(tǒng)可不間斷監(jiān)控自動化控制系統(tǒng)網(wǎng)絡(luò)中的不法入侵、惡意破壞、違法操作或?qū)⒃O(shè)備違規(guī)接入，在即時報警的同時幫助企業(yè)實施相應(yīng)辦法避免發(fā)生安全事故。

5 結(jié)束語

時代在穩(wěn)步前進，工控行業(yè)技術(shù)也在不斷發(fā)展，對于自控系統(tǒng)的安全防護要求也在不斷提高。本文結(jié)合凈水廠工程的實際安全需求和網(wǎng)絡(luò)安全等級保護要求，設(shè)計從安全管理中心到技術(shù)環(huán)境防護、邊界隔離防護以及通信網(wǎng)絡(luò)防護，實現(xiàn)事前預(yù)警、事中防范和事后取證等安全防護的能力，給工程實際應(yīng)用提供了重要的參考價值。

參考文獻

[1] 全國信息安全標準化技術(shù)委員會（SAC/TC260）.信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求：GB/T 25070—2019[S].