在役工業控制系統的信息安全檢查與加固

徐國忠

（中國石化上海高橋石油化工有限公司，上海200137）

2010年“震網”病毒事件為世人敲響了工業控制系統網絡安全的警鐘，短短幾年內，全球范圍內針對工控系統攻擊事件的數量大幅提升。2013年，美國的工業控制系統應急響應小組（ICSCERT）就報告了全球范圍內共有256件工控安全事件。在相繼發現了“Duqu”病毒、“火焰”病毒等針對工控系統的病毒之后，2014年春，“Havex”病毒在能源行業大規模爆發，呈現出強烈的行業橫向蔓延趨勢。“Havex”病毒較之前的“震網”病毒等，攻擊手段更隱蔽、病毒變種更多、網絡傳播更迅速，工控網絡特點針對性強、可造成的危害也更巨大。“Havex”病毒以及之后出現的“Sand wor m”病毒標志著工業控制系統網絡安全已進入了APT2.0時代，工業控制系統的網絡安全問題日益引起人們的重點關注。

近年來，中國也非常重視工業控制系統的網絡安全，多次發布了相關政策與標準，加強了重點領域工業控制系統的信息安全檢查、監管和測評，實施安全風險和漏洞通報制度；加強了新技術、新業務信息安全評估，強化了信息產品和服務的信息安全檢測和認證，支持建立第三方信息安全評估與監測機制。同時，國內的工業控制系統網絡安全相關標準在信息安全標準化技術委員會以及工業過程測量和控制標準化技術委員會的指導下，也正在開展標準編制工作，各種工業控制系統信息安全應用和評估標準[1-6]相繼出版，對工業控制系統網絡信息安全的評測、加固和實施起到了推動和指導作用，但由于工業控制系統的多樣和復雜性，完全采用標準進行評測有一定的難度，控制系統網絡信息安全還有很長的路要走，任重道遠。

1 工業控制系統網絡安全現狀分析

近年來，工業控制系統網絡安全備受重視，作為跨學科的領域，簡單地使用傳統信息安全技術并不能很好地解決該問題，有些時候可能是無能為力的。工業控制系統滯后的系統運行環境以及難以實施的更新導致了其面臨較之傳統信息系統更為嚴峻的網絡安全問題。而且，工業控制網絡與傳統辦公信息網有著本質的區別，其通信協議為專有的工業控制協議，對系統及網絡環境的穩定性要求也極高。因此，傳統的信息安全防護設備和技術，如傳統的防火墻、病毒查殺、漏洞掃描、隔離網關等在工業控制網絡安全防護時起不到實質的作用，甚至會影響工控系統正常運行，并不能很好地應用于工業控制系統。

1.1 工業控制系統與傳統信息系統的區別

工業控制系統的信息技術來源于傳統信息技術，但是又不同于傳統信息技術，與傳統的信息技術有著顯著的區別。這是因為傳統信息技術是以傳遞信息為最終目的，而工業控制系統網絡傳遞信息是以引起物質或能量的轉移為最終目標。工業控制系統與傳統信息系統在系統結構及軟硬件升級、維護、更新等方面存在明顯差別，具體見表1所列。

表1 工業控制系統與傳統信息系統的性能比較

1.2 工業控制系統信息安全問題分析

1.2.1 工業控制系統本質問題

1)工業控制系統安全方面設計不足。在設計之初，由于資源受限及未面向互聯網等原因，為保證實時性和可用性，工業控制系統各層普遍缺乏安全性設計。在缺乏安全架構頂層設計的情況下，無法形成有效技術研究的體系，產品形態主要集中在網絡安全防護的層面，工業控制系統自身的安全性能提升缺乏長遠的規劃。

2)工業控制系統核心技術落后。CPU作為硬件基礎平臺的核心，核心技術基本上掌握在國外廠商手中，內在的“后門”軟件漏洞隱患始終存在；控制系統的機理和通信控制模式，部分公開或半公開，但核心的內在通信機理內容完全保密，能否滿足工業控制系統信息安全的要求值得商榷，筆者認為存在信息安全隱患。

3)工業控制系統缺乏升級動力。盡管目前已有工控產品提供商開始對舊系統進行加固升級，研發新一代的安全工控產品，但是由于市場、技術、使用環境等方面的制約，成本與效益是用戶必須考慮的第一要素，工控產品生產上普遍缺乏主動進行安全加固的動力。

4)工業控制系統從業人員的安全意識欠缺，并缺少培訓；相關企業缺少規范的安全流程、安全策略，缺少業務連續性與災難恢復計劃、安全審計機制等；網絡信息安全加固升級是一項長期不斷進行的任務，相關人員對此認識不足。

1.2.2 工業控制系統常見安全問題案例

1)通信協議漏洞。工業化與信息化的融合，使得TCP/IP協議和OPC協議等通用協議越來越廣泛地應用在工業控制系統中，隨之而來的通信協議漏洞問題也日益突出。例如：OPC Classic協議（OPC DA，OPC HAD和OPC A&E）基于微軟的DCOM協議，DCOM協議是在網絡安全問題被廣泛認識之前設計的，極易受到攻擊，并且OPC通信采用不固定的端口號，導致目前幾乎無法使用傳統的IT防火墻來確保其安全性。

2)操作系統漏洞。目前大多數工業控制系統的工程師站/操作站/HMI都是基于Windows平臺，為保證過程控制系統的相對獨立性，同時考慮到系統的穩定運行，現場的工程師在系統運行開始后不會對Windows平臺安裝任何補丁。然而，不安裝補丁系統就存在被攻擊的可能，從而埋下安全隱患。

3)殺毒軟件漏洞。為了保證工控應用軟件的可用性，許多工業控制系統操作站通常不會安裝殺毒軟件。即使安裝了殺毒軟件，在使用過程中也有很大的局限性，原因在于殺毒需要經常更新病毒庫，因而不適合于工業控制環境。而且殺毒軟件對新病毒的處理通常是滯后的，導致每年都會爆發大規模的病毒攻擊，特別是新病毒。

4)應用軟件漏洞。工控應用軟件多種多樣，很難形成統一的防護規范以應對安全問題。另外，當應用軟件面向網絡應用時，就必須開放應用端口，因而常規的IT防火墻等安全設備很難保障其安全性。互聯網攻擊者很有可能利用一些大型工控自動化軟件的安全漏洞獲取諸如污水處理廠、天然氣管道以及其他大型設備的控制權，一旦這些控制權被不良意圖黑客所掌握，后果將不堪設想。

5)安全策略和管理流程漏洞。追求可用性而犧牲安全，是很多工業控制系統存在的普遍現象，缺乏完整有效的安全策略與管理流程也給工業控制系統安全帶來了一定的威脅。例如：工業控制系統中移動存儲介質包括筆記本電腦、U盤等設備的使用和不嚴格的訪問控制策略。

2 DCS的信息安全檢查

某石化公司“3號酮苯”裝置于2005年采用美國Honeywell公司的TPS系統用于生產裝置過程的控制，系統的網絡拓撲結構如圖1所示。其中，全局用戶操作站（GUS）是TPS系統的人機接口；LCN是TPS系統的控制管理網，該項目中，主要掛GUS/RGUS設備，實現該裝置工藝數據在各個操作站間實時傳遞；UCN是TPS系統的過程控制網，連接NI M，在UCN設備間共享過程數據；NI M是網絡接口模件，提供LCN網絡訪問UCN網絡的接口，實現兩者之間通信協議和數據格式的轉換；HPM是高性能過程管理器，用于掃描和控制TPS系統的過程數據，處理該裝置工藝正常生產所需的各種控制邏輯，包括常規PID控制、邏輯控制以及順序控制等；PHD是過程歷史數據服務器，負責向調度層傳遞該裝置的實時過程數據。圖1中，計算機的操作系統為Windows XP3英文版，GUS04為工程師站，在工程師室，主要完成工程組態設計、更改和全局配置；GUS01～GUS03為操作員站，在中心控制室，完成現場數據的監控、實現操作指令往現場的傳遞；RGUS05～RUS06為遠程操作員站。

2.1 “3號酮苯”裝置DCS網絡信息安全檢測

針對“3號酮苯”裝置的工業控制系統網絡信息安全檢查，通過對控制網網絡數據流量監控，采用人工分析和智能防護設備分析相結合的方式，發現該裝置控制系統網絡上的安全問題。本文的主要目的是通過評測，查看老舊典型的DCS在當下網絡安全的條件下對網絡病毒和安全隱患的影響。對于某個運行了十余年的在役工業控制系統，控制系統的軟件和硬件，由于特定的環境等因素，一直沒有進行過系統軟件補丁升級。顯而易見，對于操作系統等軟件的各種安全漏洞一定存在，但這些軟件的安全漏洞對系統的潛在影響才是需要重點關注的。

2.1.1 工業控制系統網絡安全檢測原則

1)工控網絡安全檢測遵循如下原則：

a)客觀性。工控網絡安全檢測適用于各行業的工業控制系統，以第三方的視角對國內外工控廠商設備、系統、網絡進行安全檢測。

b)安全性。工控網絡安全檢測實施在被測方人員配合、監管下進行，通過適當的技術手段開展檢測工作，以保證對現有工業控制系統運行操作無明顯的影響；檢測或檢查后，對系統的穩定性和運行，無任何影響。

圖1 “3號酮苯”裝置控制網絡的拓撲結構示意

2)常規的控制系統風險評價方法有：

a)問卷調查表。該表可以對資產、業務、歷史安全事件、管理制度等各方面的信息進行搜集和統計。

b)人員訪談。通過訪談掌握安全制度、安全意識、安全流程等信息，也可以了解一些沒有記錄在案的歷史信息。

c)漏洞掃描。通常是指用于工業控制系統的專業漏洞掃描工具，其內置的漏洞庫既包含傳統IT系統的漏洞，更重要的是需要包含工控系統相關的漏洞。

d)漏洞挖掘。通常是指用于工控設備的專業漏洞挖掘工具，該類工具是基于模糊測試的理論，發現設備的未知漏洞。

e)滲透測試。這里不單指一種工具，而是評估人員利用工具和技術方法的行為集合，這是模擬黑客行為的漏洞探測活動，既要發現漏洞，也要利用漏洞來展現某些攻擊的場景。

f)工控審計。該工具主要用于收集工業控制系統的數據流量、網絡會話、操作變更等信息，發現一些潛在的安全威脅。

2.1.2 工控網絡安全檢測實施

1)網絡數據流量異常發現。在系統調研過程中，對控制系統數據抓包位置選擇在中心控制室交換機2960鏡像口，抓取了控制網絡的全網數據流量。將全網數據流量采用IAD智能保護裝置進行離線情況下的安全分析，通過實驗數據的分析，發現網絡數據內存在大量詢問150.150.150.1 MAC地址的ARP請求。經現場工程師確認，IP地址為150.150.150.245并未在提供的控制網絡拓撲圖中出現，而發出的ARP數據包需要尋址的150.150.150.1 MAC為網關地址，系統詢問網關MAC地址的ARP請求在大部分情況下是有程序想要進行外網通信而進行的前置工作，該類數據包在網絡隔離的工業控制系統中大量出現，是非常可疑的。

2)部署虛擬網關產生報警。經分析，IP地址為150.150.150.245的主機有嘗試連接外網的可能，由于現場網絡中150.150.150.1 MAC網關并不存在，因而無法進行下一步的數據交互。其頻繁、規律地嘗試訪問外網的行為與某些僵尸網絡木馬的特征比較相似，即持續規律的訪問外網C&C服務器獲取進一步的木馬指令，因而測試人員通過技術手段欺騙該主機，使其誤認為自己能夠成功的訪問到外網。

虛擬網關主機在與外網隔離的情況下對IP地址150.150.150.245主機的一些基礎請求（TCP，DNS等）可以進行應答，誘使其執行下一步的可疑操作行為。在實際部署該虛擬主機前，對現場的數據流量進行了再一次確認，在確保將該虛假主機接入控制網中不會對原有系統的通信產生任何影響后，將虛擬網關主機接入控制網中。當虛擬網關主機接入控制網后，網絡中出現了大量的外網連接請求，同時，智能保護裝置立刻匹配到了“Conficker蠕蟲”病毒特征，并產生了報警。

為了進一步確認目標主機是否感染了“Conficker蠕蟲”病毒，筆者對現場的數據包特征進行分析。在IP地址150.150.150.245的主機誤認為自己能夠連接到外網后，開始大量的請求外網的DNS域名解析，如圖2所示。隨機選擇了幾個域名，使用whois查詢，均指向“Conficker蠕蟲”病毒的C&C服務器域名，至此，在IP地址150.150.150.245的主機誤認為自己能夠連接到外網后，潛伏的惡意程序已開始工作。經比對工控漏洞黑名單，該數據包為“Conficker蠕蟲”病毒的A或者B版本的HTTP請求流量，分析結果與上述的智能保護設備的報警信息完全一致。

圖2 150.150.150.245的主機發出的大量DNS數據包

2.1.3 工控網絡安全檢測結論

某石化公司“3號酮苯”裝置Honeywell TPS的網絡中存在大量異常的ARP請求數據，經網絡智能防護設備分析，IP地址為150.150.150.245的主機疑似感染了“Conficker蠕蟲”病毒。對該主機DNS域名請求信息、與C&C服務器交互的數據進行分析，可以確定該主機已感染了“Conficker蠕蟲”病毒。該裝置工業控制系統為2005年左右上線的老系統，控制主機都是Windows XPSP3英文版系統，存在曾被著名的工控病毒“震網”病毒利用過的MS08-067等安全漏洞。潛伏的“Conficker蠕蟲”病毒給工業控制系統帶來了一定的安全隱患，會產生一定的ARP請求數據包，但通過分析，該ARP占用了很小一部分的網絡帶寬，遠小于網絡帶寬的1%，可以暫時處于觀察階段，待后續有條件時對病毒進行查殺和系統的升級與完善，通過對控制系統內計算機的當前運行控制性能分析，未發現可疑的其他病毒運行程序，計算機CPU內存占用率均很低，性能優良，操作員操作控制體驗良好，無任何遲延現象，說明該控制系統在當前系統網絡安全條件下，保持了較好的性能，達到了檢測的目的。

3 工業控制系統網絡安全加固

由于該裝置工業控制系統網絡使用的是Honeywell TPS軟件，系統版本比較老，系統長時間沒有進行系統軟件的升級和操作系統軟件的漏洞補丁升級完善，容易受到外界攻擊感染，網絡安全措施較弱；又由于控制網內設備眾多，若某臺設備感染病毒后容易大范圍的使其他設備感染病毒，且缺乏病毒傳播等事件的感知手段，當用戶發現時已對工業控制系統造成了一定程度的影響，停機進行病毒查殺等工作也會影響正常業務，因而需要在控制網內部部署工控網絡監控系統，以便及時地感知設備故障及非法接入事件的發生，并作出響應，實時對各類網絡數據進行監控、審計，并對非法數據進行報警。另外，工業控制系統與工廠管理網、局域網存在OPC數據傳輸協議通信，需要對該類工業控制系統的通信進行邊界安全防護，邊界信息網絡進行進一步的加固與防護。具體安全加固部署示意如圖3所示。

在控制網絡中采用了KEV-C400和KEDC300進行網絡安全加固，實時監控控制系統內部網絡數據，配置黑名單以及OPC協議規則，進行數據分析與過濾，達到對OPC數據的審計與阻隔。系統運行近1.5 a，穩定可靠，對原控制系統性能沒有產生任何影響，達到了預期目標。

圖3 “3號酮苯”裝置工控網絡安全加固整體拓撲結構示意

4 結 論

工業控制系統網絡安全作為跨學科的應用領域，簡單地使用傳統信息安全技術并不能很好地保障網絡信息安全。工業控制系統滯后的系統運行環境以及難以實施的更新導致了其面臨較之傳統信息系統更為嚴峻的網絡安全問題。另外，工業控制網絡與傳統辦公信息網有著本質上的區別，其通信協議通常為專有的工業控制協議，對系統及網絡環境的穩定性要求也極高。因此，傳統的信息安全防護設備，如傳統的防火墻、病毒查殺、漏洞掃描、隔離網關等在進行工業控制網絡安全防護時起不到實質的作用，甚至會影響工控系統正常運行。該項目針對“3號酮苯”裝置Honeywell TPS工業控制系統網絡進行的網絡安全檢測以及安全加固，在整個測試、檢測過程以及加固方案實施過程中，系統一直處于穩定運行中，測試和加固方案的實施對原系統的穩定運行和操作沒有產生任何影響，加固方案至今運行了1.5 a，設備運行穩定可靠，達到了預期目標，該方案具有簡單、實用，可操作性強等特點，對一些在役多年的老舊工業控制系統的網絡安全檢查和加固，具有指導意義，值得推廣應用。