孫彥斌，汪弘毅，田志宏 ，方濱興

（廣州大學網(wǎng)絡空間安全學院，廣州 510006）

一、前言

隨著工業(yè)化和信息化的深度融合，工業(yè)控制系統(tǒng)逐漸由傳統(tǒng)的封閉隔離轉(zhuǎn)為開放互聯(lián)，并與第五代移動通信（5G）、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等技術(shù)相結(jié)合，有效提升了工業(yè)企業(yè)的生產(chǎn)效率和靈活性。然而，開放互聯(lián)場景使工業(yè)控制系統(tǒng)的安全問題進一步凸顯，增加了工業(yè)控制系統(tǒng)的網(wǎng)絡安全風險，尤其是在相對封閉環(huán)境下的傳統(tǒng)工業(yè)控制系統(tǒng)。以高級可持續(xù)威脅（APT）攻擊[1]為代表的網(wǎng)絡未知威脅日益增多，呈現(xiàn)出國家間博弈與較量進一步增強的趨勢。工業(yè)控制系統(tǒng)作為與工業(yè)生產(chǎn)直接相關(guān)的關(guān)鍵信息基礎設施已成為APT攻擊的主要目標，面臨的攻擊威脅呈現(xiàn)持續(xù)性、針對性、潛伏性、隱蔽性、未知性等特點，直接影響工業(yè)生產(chǎn)過程，范圍覆蓋軍工、民用等多個工業(yè)領(lǐng)域，亟需加強工業(yè)控制系統(tǒng)安全防護水平。

工業(yè)控制系統(tǒng)直接關(guān)系工業(yè)生產(chǎn)且優(yōu)先保障可用性，涵蓋網(wǎng)絡空間、物理空間，場景復雜，受到世界主要國家普遍重視。美國、歐洲等國家和地區(qū)在工業(yè)控制系統(tǒng)安全防護的戰(zhàn)略部署和政策規(guī)劃方面起步較早，具有一定的優(yōu)勢。美國制定了一系列政策、標準以加強工業(yè)控制系統(tǒng)的安全，如出臺《關(guān)鍵基礎設施信息安全法案》（2001年），將能源等工業(yè)關(guān)鍵基礎設施列為重要保護對象；美國國家標準與技術(shù)研究院（NIST）發(fā)布《工業(yè)控制系統(tǒng)安全指南》（NIST SP800-82，2011年），為工業(yè)控制系統(tǒng)的安全保障提供指導；設立專門的工業(yè)控制系統(tǒng)網(wǎng)絡應急響應小組和多個國家實驗室負責工業(yè)控制系統(tǒng)的安全保障和研究工作。德國對工業(yè)安全也非常重視，推出了“數(shù)字化戰(zhàn)略2025”（2016年），明確了工業(yè)控制系統(tǒng)安全的重要性，提出了一系列促進相關(guān)技術(shù)研發(fā)和標準制定的措施。歐洲網(wǎng)絡安全局發(fā)布《工業(yè)控制系統(tǒng)網(wǎng)絡安全白皮書》（2013年），為工業(yè)企業(yè)實施安全防御措施提供指導。我國歷來重視網(wǎng)絡安全問題，堅持底線思維，著力防范化解重大風險，針對工業(yè)控制系統(tǒng)的安全威脅，建立有效的工業(yè)控制系統(tǒng)安全防護體系和方法以有效應對和化解工業(yè)控制系統(tǒng)重大安全風險、保障國家網(wǎng)絡空間安全。我國工業(yè)控制系統(tǒng)安全的研究與管理雖然起步晚但發(fā)展較快。2011年，工業(yè)和信息化部發(fā)布《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，明確了工業(yè)控制系統(tǒng)安全管理的相關(guān)要求。2019年，我國實施《信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》（GB/T 22239—2019，簡稱為等保2.0）[2]，將工業(yè)控制系統(tǒng)安全納入等級保護體系?！笆奈濉币?guī)劃綱要提出，維護水利、電力、供水、油氣、交通、通信、網(wǎng)絡、金融等重要基礎設施安全，工業(yè)控制系統(tǒng)作為重要關(guān)鍵信息基礎設施成為未來安全防護重點。2022年，我國發(fā)布《信息安全技術(shù) 關(guān)鍵信息基礎設施安全保護要求》（GB/T 39204—2022），規(guī)定了關(guān)鍵信息基礎設施在識別分析、安全防護、檢測評估等方面的安全控制措施；作為我國首個正式發(fā)布的關(guān)鍵信息基礎設施安全保護標準，為關(guān)鍵信息基礎設施更好開展安全保護工作提供了操作指引。

在工業(yè)控制系統(tǒng)安全防護技術(shù)及體系研究方面，目前已提出了可編程邏輯控制器（PLC）程序安全分析、工業(yè)行為異常檢測、工業(yè)控制協(xié)議安全分析等方法，但主流方法仍沿用傳統(tǒng)安全防護技術(shù)提出了面向工業(yè)控制系統(tǒng)的主機防護、防火墻、入侵檢測、蜜罐、可信計算等技術(shù)，建立了以縱深防護、主動防護為代表的安全防護體系。現(xiàn)有工業(yè)控制系統(tǒng)安全防護面臨兩方面挑戰(zhàn)：一方面，現(xiàn)有安全防護體系難以全面應對隱蔽未知的APT攻擊，另一方面，對針對物理空間以及跨信息域和物理域的攻擊難以適用，無法直接用于解決工業(yè)控制系統(tǒng)安全問題。本文在剖析工業(yè)控制系統(tǒng)基本構(gòu)成和面臨的安全防護挑戰(zhàn)基礎上，梳理工業(yè)控制系統(tǒng)安全防護技術(shù)的發(fā)展現(xiàn)狀，厘清工業(yè)控制系統(tǒng)安全防護技術(shù)的重點任務及關(guān)鍵技術(shù)，探索新的安全防護體系、方法及未來發(fā)展路線，以期為提升工業(yè)控制系統(tǒng)安全防護能力提供參考。

二、工業(yè)控制系統(tǒng)的基本構(gòu)成與面臨的安全防護挑戰(zhàn)

（一）工業(yè)控制系統(tǒng)的基本構(gòu)成

工業(yè)控制系統(tǒng)抽象模型多采用層次架構(gòu)，包括普渡模型[3]、IEC62264-1標準層次結(jié)構(gòu)模型[4]等。我國等保2.0標準中的工業(yè)控制系統(tǒng)相關(guān)等級保護要求參考了IEC 62264-1層次結(jié)構(gòu)模型。以該模型為例，工業(yè)控制系統(tǒng)自上而下可分為5層（見圖1）：企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設備層。企業(yè)資源層可為企業(yè)提供決策運行手段；生產(chǎn)管理層可對生產(chǎn)過程進行管理；過程監(jiān)控層主要對生產(chǎn)過程數(shù)據(jù)進行采集與監(jiān)控，并利用人機界面（HMI）系統(tǒng)實現(xiàn)人機交互；現(xiàn)場控制層通過PLC、分布式控制系統(tǒng)（DCS）、遠程終端單元（RTU）等控制設備對現(xiàn)場的傳感設備、執(zhí)行設備進行采集和控制；現(xiàn)場設備層主要涉及各類過程傳感設備與執(zhí)行設備單元，對生產(chǎn)過程進行感知與操作。IEC 62264-1層次模型是一種通用的層次模型，盡管電力、冶金、石化等領(lǐng)域的實際工業(yè)控制網(wǎng)絡架構(gòu)與其存在一定的差異，如某些層次可能需要扁平化，但該模型仍能覆蓋大部分工業(yè)控制場景，具有很高的參考價值。

圖1 IEC 62264-1工業(yè)控制系統(tǒng)層次模型

以生產(chǎn)管理層分界，企業(yè)資源層、生產(chǎn)管理層多采用信息領(lǐng)域相關(guān)的通用技術(shù)，其他層多采用工業(yè)控制系統(tǒng)特有技術(shù)。針對工業(yè)控制系統(tǒng)企業(yè)資源層和生產(chǎn)管理層的攻擊與傳統(tǒng)針對信息系統(tǒng)的網(wǎng)絡攻擊類似，因此，工業(yè)控制系統(tǒng)安全可主要關(guān)注現(xiàn)場設備層、現(xiàn)場控制層、過程監(jiān)控層等，而面向這3層的網(wǎng)絡攻擊通常會給控制設備、工業(yè)現(xiàn)場帶來嚴重危害。

區(qū)別于傳統(tǒng)信息網(wǎng)絡，工業(yè)控制系統(tǒng)的特殊性主要表現(xiàn)在：① 信息化與自動化融合。工業(yè)控制系統(tǒng)融合了信息系統(tǒng)和自動化系統(tǒng)，既需要信息系統(tǒng)提供智能化采集、監(jiān)測、管理和決策，也需要自動化系統(tǒng)實現(xiàn)對現(xiàn)場工業(yè)設備的自動高效控制。② 空間互通。工業(yè)控制系統(tǒng)的作用域涵蓋網(wǎng)絡空間和物理空間，網(wǎng)絡空間的決策可影響物理空間的動作，物理空間狀態(tài)反過來也會影響網(wǎng)絡空間的決策。③ 可用優(yōu)先。工業(yè)控制系統(tǒng)在設計之初與外部網(wǎng)絡隔離，未考慮安全問題，與工業(yè)現(xiàn)場生產(chǎn)關(guān)系緊密，設備分散且要求全時段不間斷運行，不易通過停產(chǎn)升級以解決安全問題。因此，針對工業(yè)控制系統(tǒng)的攻擊呈現(xiàn)跨越網(wǎng)絡空間和物理空間的特點，與傳統(tǒng)網(wǎng)絡攻擊技術(shù)存在較大差異，亟需對安全防護技術(shù)進行優(yōu)化。

（二）工業(yè)控制系統(tǒng)安全防護技術(shù)面臨的挑戰(zhàn)

現(xiàn)有工業(yè)控制系統(tǒng)安全防護體系在應對網(wǎng)絡攻擊時呈現(xiàn)出以下特點。① 網(wǎng)絡攻防技術(shù)的不對稱性。網(wǎng)絡攻擊技術(shù)只需突破工業(yè)控制系統(tǒng)的某個點，網(wǎng)絡防護技術(shù)則需要兼顧整個工業(yè)控制系統(tǒng)，防守方天然處于不利地位。此外，威脅情報不對稱進一步加劇了技術(shù)水平的不對稱。我國關(guān)鍵工業(yè)控制設備大多源自國外供應商，易被惡意植入后門、木馬，只能以“黑盒”方式研究工業(yè)控制系統(tǒng)的安全問題，在攻防對抗中不占優(yōu)勢；同時，不同工業(yè)控制設備廠商之間存在技術(shù)壁壘，攻防技術(shù)難以通用。② 攻防過程的強對抗性。針對工業(yè)控制系統(tǒng)的攻擊呈現(xiàn)有組織、集團化特點，攻擊組織往往掌握目標系統(tǒng)的多個零日（0day）漏洞、系統(tǒng) / 設備后門甚至能夠偽造合法憑證，攻擊過程較為隱蔽、攻擊手段多樣、對抗能力較強，致使我國的工業(yè)控制系統(tǒng)安全防護疲于應對。③ 安全防護的緊耦合性。工業(yè)控制系統(tǒng)所采用的縱深防護、主動防護等措施多以強關(guān)聯(lián)、緊耦合的方式進行設計、研發(fā)和部署，是一種“自衛(wèi)模式”，確保了工業(yè)控制系統(tǒng)可以通過自身安全能力建設應對威脅，但這種防護模式在工業(yè)控制場景中會對工業(yè)控制系統(tǒng)產(chǎn)生一定程度的侵入式影響，對未知攻擊難以快速響應。④ 安全更新的高延遲性。工業(yè)控制設備和系統(tǒng)要求全時段運行，同時，我國存在大量缺乏維護的老舊工業(yè)控制設備，為確保系統(tǒng)穩(wěn)定運行，不能輕易對此類設備進行改動，以免影響生產(chǎn)。這類工業(yè)控制系統(tǒng)在遇到安全問題時，往往無法立即停機更新，更新相對滯后。

工業(yè)控制系統(tǒng)安全防護的上述特點使得工業(yè)控制系統(tǒng)在攻防對抗中面臨“摸不透”和“控不住”兩方面的挑戰(zhàn)。

1. 工業(yè)控制系統(tǒng)面臨“摸不透”困境

當前，我國工業(yè)領(lǐng)域的核心設備、固件、軟件、協(xié)議等被國外供應商垂直壟斷。在關(guān)鍵工業(yè)控制設備PLC方面，西門子股份公司生產(chǎn)的PLC在大、中型PLC市場上具有較強的競爭優(yōu)勢，約占我國PLC市場規(guī)模的44%；羅克韋爾自動化有限公司在大型PLC產(chǎn)品市場中具有絕對優(yōu)勢[5]。由于工業(yè)場景復雜多樣、需求不一，不同場景下適用的設備和通信協(xié)議各不相同很難形成統(tǒng)一規(guī)范，面臨中央處理器（CPU）專用、操作系統(tǒng)閉源、協(xié)議碎片化等問題，這種封閉性、排他性使我國在某些核心領(lǐng)域很難有所突破。同時，國外供應商為維持各自的市場和技術(shù)優(yōu)勢，建立了覆蓋硬件、固件、軟件、協(xié)議的完整垂直生態(tài)系統(tǒng)，采用獨立、排他且不公開的標準和協(xié)議，致使其他廠商的產(chǎn)品很難融入。例如，在工業(yè)領(lǐng)域中，僅通信協(xié)議就存在多種不同的標準協(xié)議，如RS-232、RS-485、CAN、Modbus、PROFINET、Modbus TCP、UMAS、S7comm、S7comm-Plus、PPI、DNP3、Omron FINS、Melsec等。以上現(xiàn)狀致使我國工業(yè)控制領(lǐng)域的核心技術(shù)、核心設備長期依賴進口，關(guān)鍵技術(shù)被“卡脖子”，易受技術(shù)封鎖和制裁，產(chǎn)業(yè)安全受制于人。

“摸不透”困境也嚴重影響了工業(yè)控制系統(tǒng)的網(wǎng)絡安全。我國企業(yè)大量的專用軟 / 硬件工業(yè)控制設備（系統(tǒng)）長期被國外壟斷，相關(guān)設計方案、運行機理、源碼、測試方案、設備維護數(shù)據(jù)等不對外公開，導致安全分析只能采用“黑盒”操作，很難摸透相關(guān)設備（系統(tǒng)）的內(nèi)部機理，存在較大的安全隱患，不易發(fā)現(xiàn)可能存在的漏洞和后門；而國外供應商則完全掌握設備（系統(tǒng)）及設備漏洞，甚至可以預設后門監(jiān)測通信數(shù)據(jù)或?qū)嵤┕?。在攻防對抗中，對安全防護對象“摸不透”致使大量未知威脅難以被發(fā)現(xiàn)，甚至可能掉入對方設置的“漏洞陷阱”。

2. 工業(yè)控制系統(tǒng)面臨“控不住”難題

從攻防對抗角度來看，我國工業(yè)控制系統(tǒng)安全防護技術(shù)缺乏突破性進展和創(chuàng)新性技術(shù)。當前，針對工業(yè)控制系統(tǒng)的攻擊手段、規(guī)模、對象等均體現(xiàn)出鮮明的組織化、規(guī)模性和指向性特點，現(xiàn)有工業(yè)控制系統(tǒng)安全防護技術(shù)難以有效應對，面臨“控不住”問題；針對工業(yè)控制系統(tǒng)的攻擊隱蔽性強、威脅大，攻擊方法難以預測，導致工業(yè)控制系統(tǒng)面臨“未知的未知”網(wǎng)絡攻擊。同時，工業(yè)控制系統(tǒng)設備更新?lián)Q代慢，存在大量老舊設備，依靠系統(tǒng)自身內(nèi)在的安全能力難以應對未知安全威脅?，F(xiàn)有的內(nèi)生安全、主動防護、縱深防護等“自衛(wèi)模式”安全防護體系深入到工業(yè)控制系統(tǒng)內(nèi)部，已為工業(yè)控制系統(tǒng)逐步建立起內(nèi)在的安全防護能力，在一定程度上緩解了我國工業(yè)控制安全防護的迫切需求。然而，“自衛(wèi)模式”安全防護體系從工業(yè)控制系統(tǒng)內(nèi)部構(gòu)建安全能力會采取一定的侵入式安全措施，影響工業(yè)生產(chǎn)，同時針對威脅的防護能力需要一定時間逐步建立，無法快速反應。因此，亟需在不影響工業(yè)控制系統(tǒng)原有架構(gòu)的基礎上，在工業(yè)控制系統(tǒng)外部形成防護能力，以“護衛(wèi)模式”安全防護體系彌補現(xiàn)有“自衛(wèi)模式”體系的不足。

工業(yè)控制系統(tǒng)直接關(guān)聯(lián)工業(yè)現(xiàn)場，很難直接在工業(yè)控制系統(tǒng)上實施安全測試、攻防演練、技術(shù)驗證，較多依賴工業(yè)控制靶場復現(xiàn)以還原工業(yè)場景。因此，缺乏可用靶場平臺成為制約工業(yè)控制系統(tǒng)安全防護發(fā)展的重要因素之一。目前，我國工業(yè)控制網(wǎng)絡靶場的建設、管理、運營缺乏頂層規(guī)劃，存在重復建設、資源分散難以共享等問題，未能充分挖掘和發(fā)揮其潛力，服務于工業(yè)控制系統(tǒng)安全防護。

三、工業(yè)控制系統(tǒng)安全防護技術(shù)的發(fā)展現(xiàn)狀

工業(yè)控制系統(tǒng)安全防護技術(shù)與攻擊技術(shù)的發(fā)展緊密相關(guān)，二者在對抗中螺旋上升。在介紹典型工業(yè)控制系統(tǒng)攻擊技術(shù)的基礎上，梳理工業(yè)控制系統(tǒng)安全防護技術(shù)的發(fā)展現(xiàn)狀。

（一）工業(yè)控制系統(tǒng)攻擊技術(shù)

針對工業(yè)控制系統(tǒng)的攻擊多為高隱蔽、未知類攻擊，極易給工業(yè)現(xiàn)場的正常運行帶來嚴重破壞[6]。工業(yè)控制系統(tǒng)攻擊主要集中在過程監(jiān)控層、現(xiàn)場控制層、現(xiàn)場設備層。按照層次順序，工業(yè)控制系統(tǒng)攻擊可分為上位機攻擊、工業(yè)控制協(xié)議攻擊、控制邏輯攻擊、虛假數(shù)據(jù)注入攻擊等，主要通過非法地址訪問、非法控制命令下發(fā)、惡意控制邏輯注入、數(shù)據(jù)篡改等手段達到竊取數(shù)據(jù)，實現(xiàn)控制和損害工業(yè)生產(chǎn)的目的。

1. 上位機攻擊

上位機與工業(yè)控制設備（如PLC、DCS）連接，通過控制設備采集工業(yè)現(xiàn)場數(shù)據(jù)，并根據(jù)工業(yè)現(xiàn)場情況下發(fā)控制命令或控制邏輯。一般上位機攻擊過程如圖2所示。由于工業(yè)控制系統(tǒng)處于內(nèi)網(wǎng)，攻擊者通過社工、滲透等手段進入內(nèi)網(wǎng)，利用已知或0day漏洞對上位機發(fā)起攻擊，實現(xiàn)對上位機的非法控制。一旦上位機被控制，攻擊者可直接向工業(yè)控制設備發(fā)送控制命令或注入惡意控制邏輯，從而控制或破壞工業(yè)生產(chǎn)過程。同時，為達到隱蔽效果，攻擊者還可能篡改或采集工業(yè)現(xiàn)場數(shù)據(jù)，使管理者誤以為工業(yè)現(xiàn)場運行正常。典型的上位機攻擊有震網(wǎng)攻擊[7]、黑色能量病毒攻擊[8]、Triton攻擊[9]等。

圖2 上位機攻擊

2. 工業(yè)控制協(xié)議攻擊

工業(yè)控制協(xié)議（規(guī)約）是工業(yè)控制系統(tǒng)內(nèi)部數(shù)據(jù)或控制命令傳輸?shù)臉藴?，上位機、控制設備按照協(xié)議規(guī)范來交換信息。工業(yè)控制協(xié)議多為工業(yè)控制設備廠商的私有協(xié)議且缺乏安全考慮，大量工業(yè)控制協(xié)議缺少有效認證、加密等安全機制。

工業(yè)控制協(xié)議攻擊首先進行協(xié)議逆向以獲取協(xié)議格式及語義，結(jié)合漏洞挖掘方法進一步發(fā)現(xiàn)工業(yè)控制協(xié)議的安全漏洞，如缺乏寫保護、明文發(fā)送密碼、小密鑰空間和單向認證等[10]。攻擊者構(gòu)造惡意客戶端，利用協(xié)議漏洞繞過PLC安全校驗并與PLC建立連接，從而獲取PLC控制權(quán)。攻擊者也可實施中間人攻擊（見圖3），通過劫持上位機與PLC間的通信，偽裝為上位機、PLC分別與對方建立連接，向PLC下達非法命令或攻擊負載，并使用篡改或偽造的協(xié)議響應報文隱藏攻擊。已有研究[11~16]對S7comm-plus、IEC 60870-5-104、Modbus等工業(yè)控制協(xié)議進行了安全分析并驗證了重放、中間人等攻擊。

圖3 工業(yè)控制協(xié)議的中間人攻擊

3. 控制邏輯攻擊

控制邏輯指PLC、DCS等工業(yè)控制設備上運行的控制程序，由工程師編寫、編譯后下載至工業(yè)控制設備，以工業(yè)運行數(shù)據(jù)作為控制程序輸入，按照一定控制邏輯輸出控制動作并下發(fā)給工業(yè)現(xiàn)場執(zhí)行設備，進而確保工業(yè)生產(chǎn)的穩(wěn)定運行。控制邏輯攻擊一般通過向工業(yè)控制設備植入惡意的控制邏輯程序或程序段以篡改其控制過程，典型的如震網(wǎng)病毒、邏輯炸彈[17]、時間中斷控制邏輯攻擊[18]等。部分惡意控制邏輯具備內(nèi)網(wǎng)傳播功能，采用類似病毒的傳播方式，通過控制設備通信模塊在內(nèi)網(wǎng)傳播惡意邏輯程序，如借助惡意控制邏輯構(gòu)造的非法網(wǎng)關(guān)[19]、PLC蠕蟲病毒[20]等。此外，還有一些攻擊方法針對控制邏輯程序本身展開逆向分析和建模研究，通過對控制邏輯的分析找到更多針對工業(yè)現(xiàn)場的攻擊策略，以增強攻擊效果、提高攻擊隱蔽性，如控制流攻擊[21]、過程感知攻擊[22,23]等。

4. 虛假數(shù)據(jù)注入攻擊

虛假數(shù)據(jù)注入攻擊通過篡改工業(yè)傳感器數(shù)據(jù)，欺騙上位機或PLC設備以影響工業(yè)控制決策。如圖4所示，一旦傳感器被攻擊者攻陷，攻擊者即可利用傳感器向工業(yè)控制系統(tǒng)注入虛假工業(yè)現(xiàn)場數(shù)據(jù)。PLC、上位機均以采集數(shù)據(jù)作為輸入，基于控制邏輯或狀態(tài)估計算法進行現(xiàn)場控制或決策。若部分工業(yè)現(xiàn)場數(shù)據(jù)被攻擊者注入了虛假值，將帶來PLC或上位機的控制、決策錯誤，直接影響工業(yè)生產(chǎn)。虛假數(shù)據(jù)注入攻擊效果與攻擊者掌握的工業(yè)控制系統(tǒng)拓撲及重要數(shù)據(jù)相關(guān)。按照攻擊者掌握的工業(yè)控制系統(tǒng)信息數(shù)量，虛假數(shù)據(jù)注入攻擊可分為全局數(shù)據(jù)注入攻擊[24~26]、局部數(shù)據(jù)注入攻擊[27~29]和盲數(shù)據(jù)注入攻擊[30,31]。

圖4 虛假數(shù)據(jù)注入攻擊

綜上所述，工業(yè)控制系統(tǒng)攻擊技術(shù)多以控制或破壞工業(yè)生產(chǎn)過程為目的，結(jié)合滲透攻擊、隱藏攻擊等手段，相關(guān)攻擊更具有隱蔽性和威脅性。對工業(yè)控制系統(tǒng)攻擊的前提是需要掌握大量背景知識和安全情報，如網(wǎng)絡拓撲、工業(yè)控制協(xié)議、已知漏洞、0day漏洞、隱藏后門、控制流程等。然而，當前，我國的工業(yè)控制生態(tài)相對封閉、受國外垂直壟斷等不利因素制約了攻擊威懾能力、發(fā)現(xiàn)潛在攻擊威脅能力的提升。

（二）工業(yè)控制系統(tǒng)安全防護技術(shù)

從已公開的攻擊技術(shù)來看，針對工業(yè)控制系統(tǒng)的攻擊技術(shù)研究已經(jīng)深入工業(yè)控制系統(tǒng)內(nèi)部，依靠單一技術(shù)層面“一對一”攻防對抗無法應對層出不窮的攻擊手段，尤其是攻擊組織仍可能掌握大量未公開的攻擊手段。因此，工業(yè)控制系統(tǒng)安全防護的重點在于構(gòu)建合適的安全防護體系，綜合運用各類防護技術(shù)，實現(xiàn)整體防護效果。

1. 工業(yè)控制系統(tǒng)安全防護關(guān)鍵技術(shù)

工業(yè)控制系統(tǒng)安全防護技術(shù)沿用并改進了已有的主機防護、防火墻、入侵檢測、蜜罐等傳統(tǒng)技術(shù)。工業(yè)控制上位機安全防護的重點是對工業(yè)控制組態(tài)軟件、編程軟件的安全運行監(jiān)測。工業(yè)控制系統(tǒng)在運用傳統(tǒng)防火墻技術(shù)的基礎上加入“白名單”、工業(yè)控制協(xié)議深度包解析等技術(shù)，對工業(yè)控制專有流量進行解析和過濾；入侵檢測主要采用傳統(tǒng)或智能化方法展開基于工業(yè)控制流量、協(xié)議、運行狀態(tài)的攻擊檢測[32]；工業(yè)控制蜜罐技術(shù)主要用于工業(yè)控制系統(tǒng)的威脅誘捕，其誘捕效果依賴蜜罐的交互程度，因此，研究重點關(guān)注對工業(yè)控制協(xié)議、工業(yè)控制邏輯、工業(yè)現(xiàn)場的高逼真仿真以構(gòu)建高交互工業(yè)控制蜜罐[33]。

針對工業(yè)控制系統(tǒng)特有設備、軟件和場景（如PLC程序、工業(yè)現(xiàn)場），已提出了新的工業(yè)控制安全防護方法，如工業(yè)控制系統(tǒng)攻擊圖構(gòu)建[34]、工業(yè)控制系統(tǒng)態(tài)勢感知[35]、PLC程序安全分析[36,37]、工業(yè)行為異常檢測、工業(yè)控制漏洞挖掘（協(xié)議、軟件及固件）[38,39]等。此外，基于物理系統(tǒng)高保真模型的攻擊預測方法[40]，可以通過軟件仿真模糊測試，自動發(fā)現(xiàn)導致物理系統(tǒng)不安全狀態(tài)的攻擊行為。

針對工業(yè)控制系統(tǒng)自身的安全缺陷改進，在協(xié)議層面，提出了多種安全工業(yè)控制協(xié)議，如S7comm-Plus、CIP Security等；在設備層面，研究重點是將可信計算技術(shù)與工業(yè)控制設備結(jié)合，構(gòu)建安全可信的運行環(huán)境。

2. 工業(yè)控制系統(tǒng)安全防護體系

工業(yè)控制系統(tǒng)安全防護體系的發(fā)展態(tài)勢是從單純的邊界防護、被動防護轉(zhuǎn)變成縱深防護、主動防護等多種防護體系相結(jié)合。工業(yè)控制系統(tǒng)邊界防護的重點是網(wǎng)絡邊界隔離，利用防火墻、安全網(wǎng)關(guān)、網(wǎng)絡隔離等設備進行區(qū)域隔離，如電力系統(tǒng)安全防護將邊界防護作為其防護體系重要部分，實行“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的安全防護策略。工業(yè)控制系統(tǒng)邊界防護的存在的主要問題是盲目信任邊界防護的效果，很難發(fā)現(xiàn)以APT為代表的高級可持續(xù)攻擊。

工業(yè)控制系統(tǒng)的縱深防護體系采用多樣化、多層次、縱深的安全措施來保障網(wǎng)絡安全。在網(wǎng)絡架構(gòu)方面，結(jié)合邊界防護進行縱向分層、橫向分區(qū)，根據(jù)區(qū)域 / 層次在業(yè)務、安全需求的不同，采用不同的安全防護方法；在防護對象方面，根據(jù)設備、主機、網(wǎng)絡、應用、數(shù)據(jù)等防護對象的不同，逐層采用差別化的安全防護方法；在防護能力方面，采用保護 - 檢測 - 響應 - 恢復（PDRR）、識別 - 保護 - 檢測 - 響應 - 恢復（IPDRR）等安全防護模型，運用識別、保護、檢測、響應、恢復等安全能力在不同威脅階段應對網(wǎng)絡攻擊。

根據(jù)防護方式的不同，工業(yè)控制系統(tǒng)防護體系可以分為被動防護和主動防護。被動防護指工業(yè)控制系統(tǒng)在遭受網(wǎng)絡攻擊后，通過采取防護措施加以應對的防護體系，如防火墻、入侵檢測、惡意代碼掃描等。主動防護則是在攻擊實施前，通過威脅誘捕、可信度量、擬態(tài)防護等主動防護技術(shù)，提前發(fā)現(xiàn)安全威脅，并轉(zhuǎn)移、消除潛在威脅。主動防護通常與縱深防護結(jié)合，可以構(gòu)建多樣化的安全防護體系。目前，工業(yè)控制系統(tǒng)安全防護體系正由被動防護向主動防護與被動防護相結(jié)合的方向發(fā)展。

四、工業(yè)控制系統(tǒng)安全防護技術(shù)的重點任務及攻關(guān)路徑

（一）工業(yè)控制系統(tǒng)安全防護的重點任務

1. 確保自主安全可控

目前，我國工業(yè)控制系統(tǒng)的相關(guān)軟硬件具有較大的國產(chǎn)化空間。以PLC設備為例，國內(nèi)市場主要由西門子、三菱、歐姆龍、羅克韋爾和施耐德等國外品牌主導，實現(xiàn)工業(yè)控制系統(tǒng)的自主安全可控成為亟需。針對工業(yè)控制設備不可控引發(fā)的“摸不透”困境，可從解決不可控問題本身和應對不可控引發(fā)的安全風險兩方面展開研究。① 工業(yè)領(lǐng)域現(xiàn)有的“煙囪式”縱向壟斷現(xiàn)狀使我國工業(yè)控制系統(tǒng)軟 / 硬件核心技術(shù)依賴進口，生態(tài)垂直壟斷，安全問題受制于人。因此，可借鑒計算機系統(tǒng)橫向打通的發(fā)展歷程，在CPU、操作系統(tǒng)、工業(yè)控制協(xié)議、工業(yè)軟件等層面建立工業(yè)控制系統(tǒng)橫向生態(tài)模式（見圖5），從而創(chuàng)造工業(yè)控制領(lǐng)域快速發(fā)展機遇，從根本上解決“摸不透”問題。② 建立底線思維和解決方案，針對非自主可控的工業(yè)設備，在關(guān)鍵設備受控于人且“不得不用”的情況下，探索非自主可控場景下的應對方法，如在進口設備端口串聯(lián)“限制器”（如審計盒子、網(wǎng)絡靶場等），實時監(jiān)測取證、訪問控制進口設備的“不法”行為。

圖5 橫向打通工業(yè)控制系統(tǒng)生態(tài)

2. 構(gòu)建新型工業(yè)控制系統(tǒng)安全防護體系

我國工業(yè)控制系統(tǒng)安全防護體系多借鑒IPDRR安全防護模型，從工業(yè)控制系統(tǒng)內(nèi)部建立防護能力，屬于自衛(wèi)防護模式，缺乏與工業(yè)控制系統(tǒng)的深度融合，缺乏有效手段應對未知攻擊，從而引發(fā)“控不住”問題。針對“控不住”困境，可從深化現(xiàn)有“自衛(wèi)模式”和推動新型“護衛(wèi)模式”安全防護體系兩方面展開研究。

深化現(xiàn)有“自衛(wèi)模式”安全防護體系。工業(yè)控制系統(tǒng)安全是信息安全和功能安全的融合，因此，“自衛(wèi)模式”安全防護體系應將這兩方面的安全因素考慮進去，研究黑客、有組織犯罪等人為因素對工業(yè)控制系統(tǒng)產(chǎn)生的信息安全威脅；還應考慮工業(yè)控制系統(tǒng)的功能結(jié)構(gòu)和運行特點，分析因現(xiàn)場設備、工藝過程破環(huán)導致的功能安全問題以及功能安全威脅和信息安全威脅結(jié)合產(chǎn)生的安全問題，從控制網(wǎng)絡、控制系統(tǒng)、控制過程等方面進行防護，從工業(yè)控制系統(tǒng)全生命周期角度研究信息域和功能域融合的安全問題[41]。

在“自衛(wèi)模式”基礎上，探索構(gòu)建“護衛(wèi)模式”安全防護體系。目前，研究人員已構(gòu)建了“盾立方”護衛(wèi)模式安全防護體系[42]，并在工業(yè)控制場景中應用，有效提升了工業(yè)控制系統(tǒng)的防護能力。因此，在此基礎上，今后可構(gòu)建覆蓋工業(yè)控制系統(tǒng)和物聯(lián)網(wǎng)的“四蜜”威脅感知體系，建立全流程的威脅感知，實現(xiàn)非侵入、全流程威脅探測；開展跨域的關(guān)聯(lián)研判，通過信息域內(nèi)部的跨域關(guān)聯(lián)、信息域和功能域的外部跨域關(guān)聯(lián)，從信息安全和功能安全融合角度研究全域攻擊研判；探索功能安全和信息安全（雙安）沖突消解的“邊端網(wǎng)疆”立體管控方法，挖掘功能安全基線，結(jié)合功能安全風險評估和人在回路等機制建立雙安融合的立體管控能力。

此外，面向工業(yè)控制安全技術(shù)驗證、攻防演練，新型工業(yè)控制網(wǎng)絡靶場也是工業(yè)控制安全發(fā)展重要發(fā)展方向之一。探索工業(yè)控制網(wǎng)絡靶場與數(shù)字孿生等新技術(shù)相結(jié)合，利用數(shù)字孿生技術(shù)構(gòu)建可復制、高逼真度的網(wǎng)絡靶場。

（二）我國工業(yè)控制系統(tǒng)安全防護關(guān)鍵技術(shù)攻關(guān)路徑

1. 自主可控安全關(guān)鍵技術(shù)的攻關(guān)路徑

建議行業(yè)主管部門加強頂層規(guī)劃，制定工業(yè)領(lǐng)域關(guān)鍵基礎設施自主可控發(fā)展規(guī)劃，加強在戰(zhàn)略規(guī)劃、標準規(guī)范制定、關(guān)鍵技術(shù)突破、平臺構(gòu)建、示范應用推廣等方面的政策激勵和資源引導。積極構(gòu)建可橫向打通的工業(yè)控制系統(tǒng)生態(tài)體系，聚合科研院所、企業(yè)、高校等資源，建立長期穩(wěn)定的溝通和合作機制，優(yōu)化科研考核機制，確保自主可控工業(yè)控制系統(tǒng)生態(tài)研制過程中的智力支持和物質(zhì)保障。

針對工業(yè)控制設備的不可控風險，推動自主可控的開源RISC-V智控芯片與工業(yè)制造領(lǐng)域相結(jié)合，推動自主安全的工業(yè)操作系統(tǒng)（固件）、工業(yè)控制協(xié)議以及工業(yè)軟件研究，促進自主安全的橫向工業(yè)控制系統(tǒng)生態(tài)建設。研究工業(yè)控制系統(tǒng)的安全性測試與評估技術(shù)，實現(xiàn)工控系統(tǒng)級安全性的科學準確量化評估。

探索非自主可控工業(yè)控制設備的底線安全確保機制，推進進口設備行為全流程監(jiān)測和訪問控制技術(shù)，鼓勵為進口設備配備“限制器”，確保進口設備行為全流程可監(jiān)測、可控制，并逐步形成制度規(guī)范。注重從多方面、多渠道對非自主可控的工業(yè)控制設備進行安全分析，提升設備掌控能力。

2. 新型工業(yè)控制系統(tǒng)安全防護關(guān)鍵技術(shù)的攻關(guān)路徑

建立完善的5G、人工智能融合場景下的工業(yè)控制系統(tǒng)安全頂層設計，制定結(jié)合“自衛(wèi)模式”和“護衛(wèi)模式”的安全防護政策，探索新型工業(yè)控制系統(tǒng)安全防護體系及其關(guān)鍵技術(shù)。針對工業(yè)控制系統(tǒng)雙安融合的特點，研究雙安融合背景下的威脅感知、攻擊檢測、響應處置等技術(shù)，綜合考量通信網(wǎng)絡、控制系統(tǒng)、工業(yè)現(xiàn)場，構(gòu)建全生命周期信息域和功能域融合的“自衛(wèi)模式”安全防護技術(shù)體系。研究工業(yè)控制場景下的“護衛(wèi)模式”安全防御體系，深入結(jié)合工業(yè)控制系統(tǒng)的實際需求，突破全流程攻擊感知、信息和功能跨域關(guān)聯(lián)研判、雙安沖突消解立體管控，建立跨功能域和信息域的立體式“護衛(wèi)模式”安全防護體系。結(jié)合網(wǎng)絡靶場監(jiān)測和高逼真度仿真能力，重點建立靶場攻擊監(jiān)測、情報收集、全流程攻擊感知等能力。推動非侵入式“護衛(wèi)模式”防護技術(shù)的快速落地應用，增強工業(yè)控制系統(tǒng)的安全防護能力。

基于數(shù)字孿生技術(shù)，構(gòu)建工業(yè)控制網(wǎng)絡靶場技術(shù)及靶場場景還原技術(shù)，形成可復制、高逼真度、快速還原的工業(yè)控制網(wǎng)絡靶場。推進工業(yè)控制聯(lián)邦網(wǎng)絡靶場關(guān)鍵技術(shù)研究，建立分布式、多點互動的工業(yè)控制網(wǎng)絡靶場。充分運用網(wǎng)絡靶場全流程監(jiān)測和威脅場景再現(xiàn)的特點，研究基于靶場的安全眾測、運維監(jiān)測、風險評估等應用技術(shù)，從多方面提升工業(yè)控制系統(tǒng)的安全防護能力。為支持技術(shù)驗證和人才培養(yǎng)，建議在國家層面統(tǒng)籌重要工業(yè)控制網(wǎng)絡靶場資源，面向不同應用需求建立公共服務靶場，制定靶場資源共享機制，探索靶場共享技術(shù)方法，如分布式靶場技術(shù)，實現(xiàn)網(wǎng)絡靶場資源的最優(yōu)化利用。

五、結(jié)語

本文圍繞工業(yè)控制系統(tǒng)安全問題，分析了工業(yè)控制系統(tǒng)安全防護面臨的“摸不透”“控不住”困境，總結(jié)了工業(yè)控制系統(tǒng)攻擊技術(shù)和防護技術(shù)的發(fā)展現(xiàn)狀，發(fā)現(xiàn)我國在自主可控安全和應對高隱蔽未知威脅應對方面仍存在不足。因此，針對自主可控安全問題，提出了構(gòu)建基于開源RISC-V芯片的橫向工業(yè)控制系統(tǒng)生態(tài)和基于“限制器”的進口設備底線確保機制；針對高隱蔽未知威脅，提出了“自衛(wèi)模式+護衛(wèi)模式”的新型安全防護體系，分析了相關(guān)的重點任務和關(guān)鍵技術(shù)攻關(guān)路徑。

安全是一種持續(xù)對抗的過程。隨著工業(yè)互聯(lián)網(wǎng)、5G等新技術(shù)和應用的推廣，工業(yè)控制系統(tǒng)將面臨攻擊面擴大、網(wǎng)絡邊界模糊化、隔離強度下降、終端海量異構(gòu)等一系列新問題，安全挑戰(zhàn)將進一步加劇。無論如何變化，自主可控都是安全的前提和基礎。鑒于工業(yè)控制系統(tǒng)的可用性優(yōu)先特點，安全防護技術(shù)研究應始終以不影響工業(yè)生產(chǎn)為前提，因此，“護衛(wèi)模式”網(wǎng)絡安全防護技術(shù)以其非侵入優(yōu)勢將是未來重要的防護技術(shù)體系之一。

利益沖突聲明

本文作者在此聲明彼此之間不存在任何利益沖突或財務沖突。

Received date:July 28, 2023;Revised date:October 25, 2023

Corresponding author:Tian Zhihong is a professor from the Cyberspace Institute of Advanced Technology, Guangzhou University. His major research field is cybersecurity. E-mail: tianzhihong@gzhu.edu.cn

Funding project:Chinese Academy of Engineering project “Development Strategy of Industrial Internet Security Technology” (2022-JB-04);National Natural Science Fund project (62072130)