張 艷，張昊鵬，閆士秋

（山東省調(diào)水工程運(yùn)行維護(hù)中心，山東 濟(jì)南 250100）

1 研究背景

隨著工業(yè)互聯(lián)網(wǎng)、工業(yè)4.0和“中國(guó)制造2025”等戰(zhàn)略的提出，推動(dòng)了工業(yè)生產(chǎn)模式的變革、產(chǎn)業(yè)的組織創(chuàng)新和結(jié)構(gòu)升級(jí)，使得傳統(tǒng)行業(yè)的基礎(chǔ)設(shè)施能夠進(jìn)行遠(yuǎn)程的智能化控制和操作，高度融合IT技術(shù)的工業(yè)控制系統(tǒng)得到迅速而廣泛的應(yīng)用。工業(yè)控制系統(tǒng)設(shè)計(jì)之初主要是為了完成各種實(shí)時(shí)控制功能，安全防護(hù)方面的問題沒有考慮或考慮不足，這無疑給關(guān)鍵基礎(chǔ)設(shè)施的控制系統(tǒng)帶來巨大的安全風(fēng)險(xiǎn)和隱患。高速發(fā)展的科學(xué)技術(shù)為泵站自動(dòng)化的業(yè)務(wù)集成提供了良好條件，泵站工控系統(tǒng)朝著測(cè)量、控制、調(diào)度優(yōu)化、運(yùn)行管理的一體化方向發(fā)展，集成了大量的PLC、HMI、I/O及通信等工控技術(shù)。但目前泵站工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)明顯滯后于系統(tǒng)的建設(shè)速度，泵站工控系統(tǒng)缺乏自身的安全性設(shè)計(jì)。

2 泵站工控網(wǎng)絡(luò)安全現(xiàn)狀分析

通過對(duì)泵站工控系統(tǒng)網(wǎng)絡(luò)安全的調(diào)研與梳理，泵站工控系統(tǒng)網(wǎng)絡(luò)安全主要存在以下幾個(gè)方面問題。

2.1 網(wǎng)絡(luò)通信層面

（1）安全域架構(gòu)設(shè)計(jì)缺失。整體架構(gòu)設(shè)計(jì)當(dāng)初考慮更多的是上層網(wǎng)絡(luò)與生產(chǎn)系統(tǒng)網(wǎng)絡(luò)通信可用性問題，在管理網(wǎng)與生產(chǎn)網(wǎng)之間沒有進(jìn)行安全隔離與控制，導(dǎo)致生產(chǎn)系統(tǒng)和生產(chǎn)數(shù)據(jù)存在未經(jīng)授權(quán)的訪問、病毒感染、拒絕式服務(wù)攻擊等安全風(fēng)險(xiǎn)，容易造成生產(chǎn)核心數(shù)據(jù)的泄露或被惡意篡改。工控系統(tǒng)內(nèi)部不同控制區(qū)域之間缺乏安全防御機(jī)制，容易造成某一區(qū)域遭受到攻擊，很快擴(kuò)散到整個(gè)工控系統(tǒng)。

（2）控制指令數(shù)據(jù)通信明文傳輸。目前工控系統(tǒng)沒有針對(duì)數(shù)據(jù)傳輸?shù)募用軝C(jī)制，管理網(wǎng)與生產(chǎn)網(wǎng)、上位機(jī)與 PLC 之間的通信采用明文數(shù)據(jù)傳輸，易被攻擊者竊聽、解析和重放攻擊。

（3）工控安全審計(jì)機(jī)制缺失。工控系統(tǒng)內(nèi)部缺乏流量數(shù)據(jù)的實(shí)時(shí)監(jiān)控，同時(shí)對(duì)于日常運(yùn)維人員操作行為沒有進(jìn)行安全審計(jì)管理，對(duì)于系統(tǒng)內(nèi)部出現(xiàn)的異常流量、異常操作甚至人為原因造成的生產(chǎn)業(yè)務(wù)異常事件無法溯源，無法查明事件發(fā)生根本原因，最終難以對(duì)異常事件進(jìn)行定性分析。

2.2 設(shè)備層面

（1）PLC設(shè)備存在漏洞。目前泵站工控系統(tǒng)使用的PLC大多是 Siemens、AB或GE等品牌，依據(jù)ICS-CERT統(tǒng)計(jì)的工業(yè)控制系統(tǒng)公開新增漏洞所涉及的工業(yè)控制系統(tǒng)廠商占比中， Siemens設(shè)備占比28%（排名第一），同時(shí)這些新增漏洞按照可能引起的攻擊威脅分類的統(tǒng)計(jì)及占比分析結(jié)果中，可引起業(yè)務(wù)中斷的拒絕服務(wù)類漏洞占比33%（排名第一），利用這些漏洞可以竊取生產(chǎn)計(jì)劃、工藝流程等敏感信息，甚至獲得工控系統(tǒng)的控制權(quán)，干擾、破壞工控系統(tǒng)的正常運(yùn)行。

（2）工程師站、操作員站和業(yè)務(wù)服務(wù)器缺乏安全防護(hù)機(jī)制。工程師站、操作員站和業(yè)務(wù)服務(wù)器大多為 Windows或linux 系統(tǒng)，出于系統(tǒng)穩(wěn)定性考慮，沒有安裝補(bǔ)丁或進(jìn)行系統(tǒng)升級(jí)，殺毒軟件也無法及時(shí)更新，導(dǎo)致病毒查殺效果無法得到保證。缺乏進(jìn)程監(jiān)控、移動(dòng)存儲(chǔ)設(shè)備監(jiān)控、遠(yuǎn)程維護(hù)監(jiān)控、惡意代碼防范等措施。

（3）主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)身份認(rèn)證機(jī)制不完善。工程師站、操作員站和業(yè)務(wù)服務(wù)器的身份認(rèn)證機(jī)制沒有充分的安全性評(píng)估和驗(yàn)證，大量中控室操作員站及監(jiān)控終端都采用公用賬號(hào)（甚至是系統(tǒng)默認(rèn)賬號(hào)），且系統(tǒng)操作界面長(zhǎng)期處于開放狀態(tài)，導(dǎo)致進(jìn)出中控室的所有人員都可以對(duì)其進(jìn)行操作，可能存在被無關(guān)人員訪問操作員站進(jìn)行未授權(quán)操作的安全風(fēng)險(xiǎn)。

3 泵站工控網(wǎng)絡(luò)安全防護(hù)策略

通過對(duì)泵站工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀及脆弱性分析，針對(duì)泵站工控系統(tǒng)特點(diǎn)，應(yīng)從區(qū)域隔離、訪問控制、主機(jī)安全防護(hù)、網(wǎng)絡(luò)審計(jì)與入侵檢測(cè)、安全集中管控等幾個(gè)方面開展泵站工控網(wǎng)絡(luò)安全防護(hù)技術(shù)研究及網(wǎng)絡(luò)安全防護(hù)建設(shè)。圖1為泵站工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)解決方案原理圖。

圖1 泵站工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)解決方案原理圖

3.1 區(qū)域隔離

在泵站核心交換機(jī)與上級(jí)調(diào)度中心之間部署工業(yè)網(wǎng)閘。工業(yè)網(wǎng)閘可動(dòng)態(tài)管理連接端口，支持opc、modbus協(xié)議解析，可進(jìn)行讀攔截、寫攔截、讀寫攔截。支持modbus協(xié)議元素級(jí)別控制，并應(yīng)內(nèi)置IDS入侵檢測(cè)引擎，可有效保護(hù)網(wǎng)絡(luò)免受頻繁攻擊。能自動(dòng)分析內(nèi)網(wǎng)的訪問請(qǐng)求，對(duì)可疑數(shù)據(jù)包采取拒絕連接的方式防御攻擊。并具備完善的SAT功能，服務(wù)器可通過SAT功能將特定服務(wù)虛擬映射到隔離網(wǎng)閘的不可信端口上，通過隔離網(wǎng)閘的不可信端虛擬端口對(duì)外提供訪問服務(wù)，使訪問者僅能訪問虛擬端口而無法直接訪問服務(wù)器，從而防止服務(wù)器遭到攻擊。

3.2 訪問控制

在泵站中心核心交換機(jī)與現(xiàn)場(chǎng)設(shè)備層交換機(jī)之間部署工業(yè)防火墻。工業(yè)防火墻應(yīng)支持對(duì)多種工控協(xié)議的深度解析，并進(jìn)行指令級(jí)的訪問控制，例如報(bào)文格式檢查、功能碼控制、寄存器控制，連接狀態(tài)控制等?？刹捎脮?huì)話狀態(tài)檢測(cè)、包過濾機(jī)制進(jìn)行網(wǎng)絡(luò)訪問控制，阻止各類非授權(quán)訪問和誤操作行為。內(nèi)置的數(shù)據(jù)自學(xué)習(xí)引擎通過深度解析工控協(xié)議、分析工業(yè)控制行為過程，自動(dòng)建立基于工控協(xié)議的操作行為和規(guī)則的工控安全檢測(cè)模型，以此作為白名單防護(hù)的基線，并可通過自定義規(guī)則進(jìn)行強(qiáng)化，保護(hù)合法操作，過濾高危行為。

3.3 入侵檢測(cè)

在泵站中心核心交換機(jī)上部署工控入侵檢測(cè)設(shè)備。工控入侵檢測(cè)設(shè)備應(yīng)基于狀態(tài)檢測(cè)機(jī)制對(duì)會(huì)話進(jìn)行分析，跟蹤會(huì)話從建立、維持到中止的全過程。IPS特征庫中應(yīng)包含特有的攻擊或應(yīng)用檢測(cè)，支持溢出類攻擊、暴力破解類攻擊、后門類攻擊、CGI類攻擊、SQL注入類攻擊、跨站腳本類攻擊、掃描類攻擊、跨站請(qǐng)求偽造攻擊、分布式拒絕服務(wù)攻擊等多種攻擊檢測(cè)。支持報(bào)文格式檢查、功能碼控制、動(dòng)態(tài)端口識(shí)別、寄存器控制，連接狀態(tài)控制等的檢測(cè)，可有效防御工控協(xié)議和工控廠家的漏洞。

3.4 安全審計(jì)

在泵站接入交換機(jī)上部署工控安全審計(jì)設(shè)備。工控安全審計(jì)用于實(shí)時(shí)工控網(wǎng)絡(luò)監(jiān)測(cè)，對(duì)協(xié)議、流量等元素進(jìn)行統(tǒng)計(jì)分析，實(shí)時(shí)顯示網(wǎng)絡(luò)的狀態(tài)。實(shí)時(shí)檢測(cè)工控網(wǎng)絡(luò)中的攻擊行為，利用內(nèi)置的工控威脅庫，根據(jù)已知的威脅特征建立檢測(cè)規(guī)則，實(shí)時(shí)對(duì)網(wǎng)絡(luò)中的入侵進(jìn)行告警。通過深度解析工控協(xié)議、分析工控過程行為，自動(dòng)學(xué)習(xí)基于工控協(xié)議的操作行為和規(guī)則，建立安全檢測(cè)模型。通過自定義規(guī)則或白名單規(guī)則，檢測(cè)業(yè)務(wù)流量中不合規(guī)的工控行為，對(duì)不合規(guī)行為進(jìn)行實(shí)時(shí)的告警和響應(yīng)。對(duì)安全事件進(jìn)行審計(jì)，及時(shí)追溯安全事件的軌跡。

3.5 主機(jī)安全防護(hù)

在泵站工控系統(tǒng)中的操作員站、工程師站、數(shù)據(jù)庫等服務(wù)器上部署主機(jī)安全防護(hù)衛(wèi)士。具備主機(jī)加固、白名單可信防護(hù)、惡意代碼攔截、系統(tǒng)數(shù)據(jù)訪問控制、外設(shè)管控等多種安全能力。禁止白名單以外的可執(zhí)行文件、腳本運(yùn)行。嚴(yán)格限制網(wǎng)絡(luò)入棧請(qǐng)求，防范開放過多的端口后因系統(tǒng)級(jí)漏洞帶來安全隱患，保護(hù)操作系統(tǒng)不受SYN Flood攻擊。設(shè)置受保護(hù)的文件或目錄，僅允許對(duì)受保護(hù)的文件或受保護(hù)目錄內(nèi)的文件的讀取操作，禁止對(duì)其進(jìn)行修改或刪除等。非白名單進(jìn)程運(yùn)行、USB設(shè)備接入拔出、訪問控制、防火墻、管理員操作等均產(chǎn)生安全事件并記錄，事件記錄加密存儲(chǔ)，不可刪除、不可篡改。

3.6 日志審計(jì)

在泵站中心核心交換機(jī)上部署日志審計(jì)系統(tǒng)。具有強(qiáng)大的日志綜合審計(jì)功能，為不同層級(jí)的用戶提供多視角、多層次的審計(jì)視圖。具有全局監(jiān)視儀表板，可監(jiān)測(cè)不同類型設(shè)備、不同安全區(qū)域的日志流曲線，以及網(wǎng)絡(luò)整體運(yùn)行態(tài)勢(shì)和告警信息等。具有視圖統(tǒng)計(jì)功能，可根據(jù)統(tǒng)計(jì)策略，從多個(gè)維度進(jìn)行安全事件統(tǒng)計(jì)分析。

3.7 集中管理

在泵站中心核心交換機(jī)上部署集中管理平臺(tái)。支持工業(yè)防火墻、工控安全審計(jì)系統(tǒng)、主機(jī)衛(wèi)士等工控安全產(chǎn)品的接入管理。平臺(tái)具備完整的安全策略管理，能對(duì)被管理的安全設(shè)備進(jìn)行集中的安全策略收集和配置。IP與MAC綁定增加現(xiàn)有網(wǎng)絡(luò)內(nèi)安全等級(jí)，使未授權(quán)機(jī)器將無法對(duì)本系統(tǒng)進(jìn)行操作。通過深度解析工控協(xié)議、分析工控過程行為，自動(dòng)學(xué)習(xí)基于工控協(xié)議的操作行為和規(guī)則，建立安全檢測(cè)模型。對(duì)安全事件進(jìn)行審計(jì)，及時(shí)追溯安全事件的軌跡，對(duì)用戶的操作行為進(jìn)行細(xì)粒度審計(jì)，方便還原操作的真相。實(shí)時(shí)監(jiān)控系統(tǒng)中安全設(shè)備、工控設(shè)備、網(wǎng)絡(luò)設(shè)備的狀態(tài)、安全事件、系統(tǒng)事件、日志等信息。

4 結(jié)語

通過對(duì)泵站工控系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀及安全防護(hù)技術(shù)的研究，構(gòu)建了以安全可控為目標(biāo)、監(jiān)控審計(jì)為特征、持續(xù)安全運(yùn)營(yíng)為一體的泵站工控系統(tǒng)新一代主動(dòng)防御體系，提高了泵站工控系統(tǒng)整體安全性。以工控協(xié)議的深度解析技術(shù)的應(yīng)用為支撐，采用基于構(gòu)建可信主機(jī)系統(tǒng)、可信的網(wǎng)絡(luò)環(huán)境和白名單機(jī)制的安全防護(hù)技術(shù)，設(shè)計(jì)構(gòu)建安全防護(hù)體系，使安全防護(hù)更具有基于行為的主動(dòng)防御能力。