工業控制系統安全防護方案

梁琦

（勝利石油管理局，山東 東營 257000）

1 引言

隨著兩化融合的深度發展，油田內部的生產、經營、管理理念也發生著質的變化，普遍采用高度自動化的生產技術，結合高度信息化的運營管理手段，集中管理采油、輸油等關鍵生產過程，建立統一監控平臺，集中采集、統一分析、實時展示現場設備的實時生產數據，提升生產效率，降低生產成本，隨著互聯網技術的廣泛應用，“智慧油田”建設已經取得了豐碩的成果。

信息化、智能化、集成化、可視化和實時化作為現代企業的重要標志，生產管理對信息的依賴程度不斷加大，隨著信息系統、工業控制系統（industrial control system，ICS）集成度的不斷提升，工業控制系統不得不采用通用協議、通用硬件和通用軟件，滿足兩化融合、物聯網建設的系統集成需求。

自2010年“震網”事件以來，工業控制系統網絡安全研究進入了持續的高熱度階段，曝光的漏洞數量逐年上升（數據來源：CNNVD），如圖1、圖2所示。

伴隨而來的是工業控制安全事件頻繁爆發，呈快速增長的趨勢，2011年有140余起，2012年有197起，2013年有257起，2014年有245起，2015年有295起，多集中在能源行業和關鍵制造行業。

圖1 漏洞趨勢分布

圖2 漏洞危害等級分布

2 工業控制系統風險分析

目前，隨著計算機和網絡技術的發展，加大了企業信息化管理的建設與投用，客觀上形成了“兩網融合”的局面，原本封閉的生產網與開放的管理網互聯互通，生產網通過管理網對外暴露，病毒、木馬等威脅正在向工業控制系統擴散，基于當前網絡安全措施的通用性與局限性，工業控制系統依然面臨病毒、黑客攻擊和非法入侵等現實威脅，工業控制系統的安全就顯得更為重要和迫切。

（1）操作系統安全漏洞

目前DCS、SCADA、PLC等工業控制系統的操作站基本采用 Windows平臺，任一版本Windows系統均在不停發布漏洞補丁。

鑒于工業控制系統相對獨立性，工業控制系統制造商也很少針對 Windows系統漏洞補丁做兼容測試，用戶通常不會（不敢）在工業控制系統投入運行后，對現運行的 Windows平臺設備打任何補丁，從而導致工業控制系統存在被攻擊的漏洞。

（2）TCP/IP地址協議固有風險

TCP/IP協議設計上就存在致命安全漏洞，TCP/IP地址協議簇設計的基礎是互相信任，僅考慮實現不同軟硬件結構計算機的互通互聯、資源共享，忽略了網絡、網際間的安全問題。信任機制的協議設計相對簡單，缺乏對應用程序層用戶身份的鑒別以及網絡層、傳輸層路由協議的鑒別等先天性缺陷。

（3）應用軟件安全漏洞

目前油田生產過程的工業控制系統廠商眾多，上位機的組態軟件、應用系統沒有采用統一的規范進行選型、建設，從而導致了工業控制系統安全問題的防護規范難以統一。

目前的工業控制系統基本采用Windows環境，基于Windows環境下的應用軟件面向網絡應用時，需開放其相應的應用端口，僅 Windows Server 2008系統使用的端口號就超過16 000個，攻擊者通常會利用一些工業控制系統對外公開的固定通信端口、安全漏洞獲取現場生產設備的控制權。

（4）不安全的工業控制協議

現場工業控制系統的通信協議基本以ModBus與OPC為主，它們的設計基礎與TCP/IP地址類同，同樣沒有考慮信息安全。

ModBus通信協議是1979年由Modicon公司發布的用于工業現場總線規約，采用主從通信模式（master/slave），廣泛應用在分散控制系統方面。

ModBus TCP的設計以實時I/O優化為主，在RTU串口協議上加一個MBAP報文頭，基于TCP的可靠連接服務，取消了 RTU串口協議的 CRC校驗碼，同時在ModBus RTU協議前面加上5個0以及1個6，相比RTU串口通信降低了工業控制系統的安全防護功能。

OPC（OLE for process control）在基于Windows應用程序與現場過程控制應用之間建立了橋梁，在工業現場已被大量使用。

OPC協議基于微軟的OLE技術，遠程通信需使用Microsoft的DCOM協議，OPC服務器端開放135、145遠程訪問端口（病毒經常攻擊的端口）建立握手，握手后OPC服務器隨機動態分配數據通信的端口號，這種動態端口通信機制導致了傳統防火墻無法保護OPC服務器，防火墻提供的安全保障被降至最低。

（5）網絡攻擊與入侵

分布式拒絕服務（distributed denial of service，DDoS）攻擊借助于客戶端/服務器技術，操縱或由病毒自動執行，聯合多臺計算機作為攻擊平臺，將工業控制系統作為攻擊對象，消耗工業控制系統的網絡帶寬、連接數、CPU 處理能力、緩沖內存等，阻塞正常的網絡通信服務，常用的 ping flooding、UDP flooding、Syn flooding、ACK flooding等流量型攻擊手段同樣威脅著工業控制系統。

工業控制系統一旦遭受DDoS攻擊，輕則控制系統的網絡通信完全中斷，重則導致控制器死機，DDoS攻擊已在國外的工業控制系統中發生過多起，導致的后果也非常嚴重。

（6）病毒與惡意代碼

目前的工業控制系統已經廣泛使用 Windows系統平臺的工業服務器（工業控制 PC），針對普通 PC的病毒與惡意代碼攻擊事件同樣威脅工業控制系統。

2017年5月13日，國家計算機病毒應急處理中心通過對互聯網的監測，發現 1個名為“WannaCry”的勒索軟件病毒正在全球大范圍蔓延，我國部分大型企業內網也深受其害。

WannaDecryptor利用Windows操作系統445端口存在的SMB漏洞（MS17-101）自我復制、主動傳播，針對關閉防火墻的目標機器，實現遠程代碼執行，加密被攻擊計算的所有類型文件，進行勒索。

著名的震網（stuxnet）病毒，利用 3個0-dayWindows系統漏洞和2個WinCC系統漏洞，偽造驅動程序的數字簽名，通過一套完整的入侵和傳播流程，突破工業專用局域網的物理限制，利用 WinCC系統的 2個漏洞，破壞性攻擊SIMATIC數據采集與監控系統。

（7）無線網絡的安全漏洞

由于無線網絡具有靈活的組網特點，整體網絡系統具有成本低、移動性好、易安裝維護等優勢，目前現場井口通信設備基本采用無線通信方式。

盡管無線通信有傳統有線網絡無法比擬的優勢，但由于無線網絡傳輸媒介的特殊性，使得一些攻擊更容易實施。例如，通過無線接入非法訪問網絡資源實施攻擊；無線鏈路上傳輸的未被加密數據的泄露；DDoS攻擊無線網絡，導致實時數據的丟失，破壞數據的完整性。

綜上表明，現今ICS面臨的安全形勢十分嚴峻，ICS的攻擊者/黑客正變得越來越聰明、越來越高效，入侵工業控制系統的成功率也越來越高，ICS威脅不論是數量、類型還是風險程度都呈現出快速增長趨勢；從造成的后果來說，網絡攻擊擾亂了ICS運行，有的甚至對ICS造成物理損害。

3 工業控制網絡安全標準及法律法規

隨著工業自動化、信息化融合進程的快速推進，工業控制、信息、網絡、通信技術的廣泛應用，工業控制系統的脆弱安全狀況以及日益嚴重的攻擊威脅，已經引起了國家相關部門的高度重視，甚至提升到“國家安全戰略”的高度，并在政策、標準、技術、方案等方面展開了積極應對。

2011年11月，工業和信息化部發布了451號文件《關于加強工業控制系統信息安全管理的通知》，明確提出了重點領域工業控制系統信息安全管理要求，并強調“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則。

2016年8月組織《信息安全技術工業控制系統安全控制應用指南》等14項標準研制，指導工業企業工業控制安全保障能力建設；同年10月制定發布《工業控制系統信息安全防護指南》，提出工業企業加強工業控制系統安全防護的具體措施。

2017年6月1日實施國家《網絡安全法》，明確地將工業控制安全寫入立法條目，第31條明確指出：國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域以及其他一旦遭到破壞、喪失功能或數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。

針對關鍵信息基礎設施的工業控制系統安全，又制定頒發了相關的國家標準，對工業控制系統的安全防護等級、網絡隔離類設備提出了具體的要求及相應功能，如GB/T 32919-2016《信息安全技術工業控制系統安全控制應用指南》、GB/T33009.1-2016《工業自動化和控制系統網絡安全集散控制系統（DCS）第1部分：防護要求》、GB/T20279-2015《信息安全技術網絡和終端隔離產品安全技術要求》等。

4 工業控制安全防護解決方案

鑒于油田工業控制系統基于控制分散、操作和管理集中的基本設計思想，制定完整的工業控制安全防護方案，按照4個不同的生產管理級別，劃分不同的安全管理區域，根據分層級的縱深安全防御策略，完善工業控制網絡安全建設，全面提高安全生產管理水平、工作效率和管理效率。

· 總公司管理級，以各采油廠數據（實時、關系）平臺為數據源對象，將總公司需要的數據同步上來，建立總公司管理系統；

· 采油廠管理級，部署實時數據庫，接收管理區（作業區中）送來的數據，實現實時監控、工況分析、安全管理、報表管理、設備管理；

· 生產作業區級，包含管理區辦公網和管理區生產網；

· 井場現場級，以場站及油井為主。場站為有人值守，含控制系統，以有線網絡為基礎；油井則采用無人值守方式，通過RTU采集并上傳數據，包括有線及無線網絡。

4.1 傳統網絡安全產品

為了加強工業控制系統的安全能力，企業在管理網和生產網之間雖然增加了網絡安全措施，采用了防火墻、防病毒軟件等安全產品，但是由于工業控制系統與上層管理系統通信多采用OPC等方式，需要微軟DCOM協議的支持，防火墻、防病毒軟件等措施目前均難以彌補相應安全漏洞。

另外，傳統IT網絡和工業控制網絡在架構、協議、安全、可信等不同維度均存在很大的差異，見表1。

表1 傳統IT網絡和工業控制網絡的差異

通過對比不難發現，針對工業控制網絡的安全防護，迫切需要更專用、有效的網絡安全技術和產品，通過使用專用網絡安全設備對工業控制系統進行防護，有效消除上層應用管理系統實施后帶來工業控制系統的安全隱患，為企業的安全生產提供有力保障。

4.2 安全防護策略

4.2.1 操作系統加固

根據工業控制現場實際情況，在工程師站、操作員站、服務器上部署基于白名單機制的主機防護或主機加固類軟件，確保系統完整性，實現注冊表文件、配置文件、專用工程軟件的保護。

對操作系統進行加固，實現對已知和未知病毒與惡意代碼的防范，阻止對主機未授權的訪問，彌補操作系統漏洞不能及時打補丁（或無法打補丁）引起的攻擊。

4.2.2 網絡安全審計

在現有的工業網絡中，合理部署網絡安全審計設備，實時監測工業控制網絡流量，保障業務生產運行。通過對工業控制網絡的流量數據、系統事件和安全態勢進行實時監測和告警，幫助客戶實時掌握工業控制網絡安全運行狀況，有效保障客戶業務安全穩定運行。

完整網絡安全審計記錄，具備事件回溯能力，對工業控制網絡中存在的所有網絡活動提供安全審計、協議審計和流量審計，以完整記錄形式為客戶進行事件處置和事件回溯提供技術能力，為工業控制系統的安全事故調查提供堅實的基礎。

可視化感知工業控制網絡安全狀態，全面呈現工業控制網絡安全事件狀態、系統運行狀態和網絡流量行為，幫助客戶感知工業控制網絡整體安全狀態，提出安全防御建議，協助客戶完善安全防護體系。

4.2.3 邊界隔離防護

通過邊界隔離防護，建立縱深防御體系，有效阻斷病毒、木馬程序、黑客非法攻擊的傳播途徑，同時在關鍵工業控制設施串行部署工業防火墻，主動發現并阻斷、隔離上述的網絡非法攻擊和入侵，徹底規避工業控制內網遭受攻擊的可能。

（1）生產管理層和過程監控層之間的安全防護在生產管理層和過程監控層之間，部署網絡安全單向導入設備，僅允許兩個網絡之間合法數據的物理單向傳輸，實現生產網向管理網的實時、歷時數據、關系數據庫等生產實時信息的單向采集，預防阻止來自管理網向生產網的攻擊。

（2）過程監控層和現場控制層之間的安全防護

過程監控層和現場控制層之間通常使用 OPC工業協議通信，傳統IT防火墻不足以滿足安全需求，故采用單向導入設備、工業控制防火墻等專業的工業網絡安全隔離設備（系統），基于代理模式解決OPC通信（135端口）帶來的安全瓶頸問題，阻止病毒和任何其他的非法訪問，提升網絡區域劃分能力，從本質上解決工業控制系統的網絡安全。

（3）關鍵控制器防護

使用工業防火墻保護關鍵控制器，深度解析控制器廠商的專有協議，智能學習工業控制系統訪問行為，配置工業防火墻的白名單，建立網絡和通信“白環境”，管控工業控制網絡通信流量、局部網絡的通信速率，指定專有操作站訪問指定的控制器，阻斷病毒、蠕蟲惡意軟件擴散和入侵攻擊，保護控制器的安全運行。

4.3 整體防護方案

工業控制網絡安全防護項目的建設實施，提升設備、系統、網絡的可靠性、穩定性，確保工業網絡整體安全性。

實現管理區和生產區的縱向邊界防護，有效避免來自信息網絡的安全隱患對生產控制網絡的威脅；實現生產區域內各業務系統之間的橫向邏輯隔離和安全防護，阻止來自區域之間的越權訪問、入侵攻擊和非法訪問。

實現上位機、工程師站、系統服務器系統的安全加固，通過白名單機制構建安全基線，防止病毒木馬、惡意軟件對系統的破壞；實現對整體網絡的入侵檢測及審計，及時發現網絡或系統中違反安全策略的行為和被攻擊的跡象。

整體防護方案如圖3所示。

圖3 整體防護方案

5 結束語

工業控制系統信息安全問題已迫在眉睫，本文針對智慧油田建設涉及的工業控制系統網絡結構和安全需求，通過對需要防護的工業控制網絡自身特性的研究，結合國家提出的工業控制系統安全的相關標準及法律法規，量身定制專用防護設備進行防護，提出一套完整的工業控制安全防護方案。

本文方案更加貼近生產現場需求，完善井場現場級、生產作業區級、采油廠管理級、總公司管理級4個層面的工業控制系統的網絡安全建設，可以滿足生產環境安全、高效運行，最終實現信息安全的縱深防御策略。

參考文獻：

[1] 工業和信息化部.工業控制系統信息安全防護指南[S].2016.Ministry of Industry and Information Technology.Industrial information security protection guide for industrial control systems[S].2016.

[2] 公安部信息安全等級保護評估中心.信息安全技術信息系統安全等級保護實施指南[S].2010.Information Security Grade Protection and Assessment Center of the Ministry of Public Security.Information security technology information system security level protection implementation guide[S].2010.

[3] 王玉敏.工業控制系統信息安全第 1部分： 評估規范(節選)[J].自動化博覽, 2015(z2).WANG Y M.Industrial control systems information security part 1：assessment specifications[J].Automation Panorama, 2015(z2).

[4] 祝子涵.淺談工業控制系統信息安全風險與防御[J].大科技,2017(28).ZHU Z H.A brief talk on information security risk and defense in industrial control systems[J].Big Technology, 2017(28).

[5] 傳統防火墻在工業環境中的不足及工業防火墻在工業環境中的應用[EB].2017.Deficiencies of traditional firewalls in industrial environments and application of industrial firewalls in industrial environment[EB].2017.

[6] 楊思維.升級版德國“工業4.0平臺”經驗對我國制造業的影響[J].電信科學, 2016, 32(1)： 108-111.YANG S W.Impact of the upgraded version of German “industrial 4 platform” on China’s manufacturing industry [J].Telecommunications Science, 2016, 32(1)： 108-111.

[7] 劉甲男, 杜彥潔, 孟憲義.基于互聯網思維的能源互聯網發展[J].電信科學, 2016, 32(3)： 176-182.LIU J N, DU Y J, MENG X Y.Development of energy internet based on internet thinking [J].Telecommunications Science,2016, 32(3)： 176-182.

[8] 王帥, 汪來富, 金華敏, 等.網絡安全分析中的大數據技術應用[J].電信科學, 2015, 31(7)： 145-150.WANG S,WANG L F, JIN H M, et al.Big data application in network security analysis [J].Telecommunications Science,2015, 31(7)： 145-150.