工業控制網絡安全防御體系的關鍵技術研究

李平 李程程

[摘 要] 從工業控制網絡特殊的安全防護要求出發，分析了工控網絡安全防護存在的問題以及危害，針對目前亟待解決的工控網絡通信的協議安全性、工控網絡的風險評估與預測以及工控網絡的態勢分析的關鍵技術進行了詳盡分析，對于豐富工業控制網絡的安全防護理論體系，指導工業控制網絡的安全防護建設工作有著重要的現實意義。

[關鍵詞] 工業控制；網絡安全；風險評估

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 01. 080

[中圖分類號] TN915.08 [文獻標識碼] A [文章編號] 1673 - 0194（2019）01- 0186- 04

1 工業控制網絡的安全防御體系的概述

近期針對工業控制網絡的有組織、有目的的攻擊事件的頻繁出現，如 “震網”及烏克蘭電網攻擊事件等[1-2]，工業控制網絡正面臨著日趨嚴重的安全威脅。由于流程工業控制網絡（OT）的專業性較強、運行可靠性要求高，使得工業控制網絡的安全防御技術較傳統的IT信息安全保護技術有較大不同[3-4]。另外，目前超過80%的關鍵信息基礎設施依靠工業控制網絡來實現自動化作業，工業控制網絡已經成為國家信息關鍵基礎設施的重要組成部分，其安全已關系到國家的戰略安全。隨著信息化與工業化深度融合以及物聯網的快速發展，工業控制網絡產品越來越多地采用通用協議、通用硬件和通用軟件，以各種方式與互聯網等公共網絡連接，導致病毒、木馬等威脅正在向工業控制網絡擴散，其網絡安全問題日益突出。由于工業控制系統廠家對其通信協議是封閉的，其安全性直接威脅我國的“中國制造2025”國家計劃的安全性，因此，針對工業控制網絡安全防御的一些關鍵技術研究顯得更加迫切。

2 工業控制網絡的安全防御體系的現狀與亟待解決的問題討論

我國的工業化與信息化現在正處在深度融合階段，工業控制網絡在保護需求、響應時間與更新周期等方面的要求較之信息網絡存在較大的不同，使得目前面向信息網絡的安全防御理論與技術不能直接應用到工業控制網絡的安全防御之中。目前在工業控制網絡的安全防御建設工作中，以下幾方面的問題亟待解決：

（1）與工業控制網絡相關的安全防御理論體系有待進一步的完善。國家層面對工業控制網絡的安全防御的相關標準、解決的理論與體系亟待完善。

（2）缺乏針對工業控制網絡安全防御的相關技術手段。由于工業控制網絡對于運行的連續性與響應時間等方面的要求較高，有別于信息網絡的要求，研究針對工業控制網絡的安全防御理論及技術非常必要。

（3）對于來自工業控制網絡內部的各類攻擊行為的防范能力仍顯不足。現有的工業控制網絡安全防御防范主要針對來自網絡外部的攻擊行為，對于來自網絡內部的威脅缺乏安全保護機制。

（4）對于工業控制網絡設備資產的管理與監控能力不足。目前絕大多數的工業控制網絡中并沒有對于其設備資產的管理與監控機制，容易受到攻擊。

（5）缺乏對于工業控制網絡運行狀態的實時感知：無法發現正在發生的攻擊行為，貽誤制止攻擊者的最佳時機。

（6）缺乏對于工業控制網絡攻擊事件做出及時響應與反制的能力。盡管相關部門針對國家關鍵基礎設施的安全事故制定了應急指南，一些危害需要用戶判斷，耽誤了工業控制網絡恢復正常運行所需要的時間，造成損失擴大。

在我國，構建一個工控網絡環境可信、網絡狀態可知、網絡運行可控的工業控制網絡作為防御體系，對于工業控制網絡的安全保護建設工作來說具有至關重要的理論與現實意義。

3 安全防御體系的關鍵技術研究

根據工信部發布的《工業控制網絡安全防護指南》的建議，在工控安全體系建設中，需要建設一個完整的工控系統安全防護體系，包括：工控信息安全管理、工控安全風險評估、工控網絡安全防護以及相應的管理制度等，確保工業控制網絡信息的安全。其中，有幾項關鍵技術亟待研究并實踐。

3.1 工業控制網絡協議安全性研究

目前工業控制網絡一直使用著較為復雜的專有封閉通信協議，如Modbus/TCP、Profinet、DNP3、OPC等可能存在漏洞，攻擊者可利用漏洞發送非法控制命令，又由于通信過程不具備加密、認證功能和完成情況保證，存在被竊聽、偽裝、篡改、抵賴和重放的風險[5]，可見工業控制網絡及其專有通信協議及規約的安全性問題亟待解決。在我國關鍵基礎設施的大型DCS中，普遍采用OPC通信服務，而大量的OPC Server往往使用弱安全認證機制，以及過時的認證授權服務，因此，對OPC安全研究具有一定的意義。

按照工信部338號文件《工業控制網絡安全防護指南》的指導建議，工業現場應該采用指令級工業防火墻，其要求不僅可以深度解析OPC協議到指令級別，而且可以跟蹤OPC服務器和OPC客戶端之間協商的動態端口，最小化開放生產控制網的端口，同時對OPC客戶端與OPC服務器之間傳輸的指令請求進行實時檢測，對于不符合安全要求的操作指令進行攔截和報警，并對OPC進行寫入控制，實現 OPC 單向只讀控制，這些安全措施可以極大提升了基于OPC協議的工業控制網絡的網絡安全。

指令級工業防火墻針對OPC協議的安全性，采取的關鍵技術：

（1）監控OPC網絡和服務器：在通信時，動態實時跟蹤OPC服務器分配的通信所需要的TCP端口號，盡可能少地打開防火墻的端口，允許數據連接通過的同時盡可能關閉所有未使用的端口。

（2）對OPC客戶端與OPC服務器之間傳輸的指令請求進行實時檢測，同時對OPC可進行寫入控制，實現 OPC 單向只讀控制。

（3）使用OPC-UA：OPC-UA傳遞的數據是可加密的，并對通信連接和數據本身都可實現安全控制。這種新的安全變種可以保證從原始設備到MES、ERP系統的各種數據的可靠傳遞。

（4）采取增強安全措施：可將OPC服務器隔離到只包含授權設備的唯一分區中，并采用“分區加固、身份認證”技術，達到縱深防御的目的。

（5）通信內容加密技術：所有通信的內容都被加密后傳輸，工業防火墻對收到的信息進行解密后再進行通信協議過濾和內容的深度檢查。

3.2 工業控制網絡的風險評估技術

目前“工業控制網絡安全是一項系統工程”的觀點已得到了工控界的廣泛的認可和接受，作為該工程的基礎和前提的風險評估也越來越受到大家的重視，但在該領域的研究、發展過程中還需要糾正和解決一些模糊概念和問題：

（1）目前國內還缺乏具有自主知識產權、比較系統地針對工業控制網絡系統安全評估標準和體系。

（2）工控網絡風險評估過程的主觀性是影響評估結果的一個相當重要而又是最難解決的方面，目前缺乏系統性的指南。

（3）針對工控網絡風險評估工具比較缺乏，市場上關于信息安全風險評估比較成熟的產品很少，工控網絡風險評估相關的工具更是匱乏。

針對工業控制網絡的風險評估目前盡管有GB/T33009-2016《工業自動化和控制系統網絡安全》系列標準，但是工控網絡系統的敏感性和時效性都要求比較高，因此技術性的評估設備在使用過程中，需要做好充分的風險識別和處置預案，如漏洞掃描原則上不能直接應用于工控系統，而是通過在備用系統或者停產系統上漏掃的方式進行。對工控系統進行在線漏洞掃描很可能造成生產異常，在這方面是有很多真實案例：某一安全廠商受邀對國內某著名火電集團的工控系統做風險評估，由于使用在線的漏洞掃描方式，導致數據采集服務器宕機，從而造成關鍵生產數據丟失。

滲透測試作為風險評估的有效工具方法，其直觀性顯而易見，但是正所謂凡事有利就有弊，滲透測試的過程控制在工控系統風險評估中尤其重要。如果滲透人員對工控系統了解不足，在滲透過程中有誤操作行為產生，那么很可能帶來直接的安全問題生產災難，將測試變成了攻擊。

針對工業控制網絡風險評估的特殊性，比較實用的流程模型見圖1所示。

3.3 工控網絡安全事件關聯分析與態勢評測技術研究

隨著工控網絡規模的迅速增大，網絡的異構性和復雜性日益增強，黑客技術的快速發展，使得工控網絡的安全問題面臨著巨大的挑戰，為了保障工控網絡的安全，就需要對已有的工控網絡狀態信息進行分析，對將來的網絡狀態趨勢進行預測，根據預測結果作出應對的策略，減少因網絡安全問題而造成的損失[6]。

為了保證工業控制網絡系統的安全運行，在工業控制網絡中廣泛使用了工業防火墻、IDS、漏洞掃描系統、安全審計系統等安全設備。每種網絡安全設備在使用中都能產生很多的安全事件信息，由于這些設備存在功能單一，各自為政，不能協同工作的特點，所以產生的這些安全事件信息中含有大量的重復報警和誤報警。同時由于工控網絡的異構性和復雜性，網絡安全事件多種多樣，產生的網絡安全數據由于來源不同、采集方式不同，具有不確定性、不完整性、變異性和模糊性的特點。為了更好地對網絡安全事件進行分析和處理，就需要對網絡安全數據進行預處理，綜合考慮網絡安全事件的關聯性，對相同的和相近的網絡事件進行合并，去掉冗余，減少誤報警和漏報警概率，有利于提高網絡安全狀態評估和預測的準確性和高效性。常見的關聯方法有告警關聯、因果關聯、屬性關聯等。

工控網絡安全態勢分析技術首先要對各種對網絡安全性有影響的網絡要素進行檢測和獲得。影響網絡安全的要素非常廣泛，既有時間上的，也有空間上的。對要素進行采集和獲得之后，要對這些安全信息均采用分類、合并、關聯等信息分析手段進行信息融合，然后對融合后的安全信息進行綜合分析與評估，獲得當前網絡的整體安全狀態信息，最后根據已有的網絡安全態勢信息對網絡未來的安全態勢進行預測。

對網絡安全態勢分析工作，主要由以下關鍵部分構成：

（1）態勢要素的獲取：采集和獲取相關環境中的重要信息和線索，獲得原始態勢數據，這是進行態勢評估和預測的前提和基礎。

（2）態勢理解：整合采集到的原始的態勢數據和信息，分析它們之間的相關性。

（3）態勢評估：根據已經確定的指標體系，定性定量的分析網絡當前的安全狀態，尋找薄弱環節，并給出相應的解決方案。

（4）態勢預測：根據對環境相關原始信息的理解和分析，預測事物的未來發展狀態和趨勢，這是網絡態勢研究的終極目標。

在如圖2所示的動態分析體系中，由網絡傳感器收集網絡環境信息，網絡安全態勢分析進行覺察、理解和預測，然后根據分析的結果進行網絡威脅評估，最后將評估結果提供給決策層進行決策的執行。因此，網絡安全態勢分析在動態網絡安全防護體系中起著非常重要的作用。只有通過實時、準確的態勢分析，才能有效地進行危險評估，才能在危險評估基礎上采取有效的策略應對網絡安全，否則將不能對網絡實施“深度防御”，保護網絡的安全。

4 結 語

工業控制網絡作為關系到國計民生的關鍵基礎設施的重要支柱，其控制網絡安全問題一直備受關注。本文從工業控制網絡的安全問題出發，重點討論了工業控制網絡安全的通信協議的安全性、風險評估以及態勢分析等關鍵技術，為進一步保障工業控制網絡安全的研究擴展了思路。

主要參考文獻

[1]王玉敏.工業控制系統信息安全防護能力介紹[J].自動化博覽，2015（11）：58-60.

[2]伊勝偉，戴中華，彭勇，等.煉化行業工業控制系統信息安全分析[J].工業控制計算機，2014，27（10）：1-3.

[3]魏可承，李斌，易偉文，等.工業控制系統信息安全防護體系規劃研究[J].自動化及儀表，2015，36（2）：49-52.

[4]邸麗清，高洋，謝豐.國內外工業控制系統信息安全標準研究[J].信息安全研究，2016，2（5）：435-441.

[5]楊晨，潘衡堯，蔣帥.OPC實現APROS與DCS半實物仿真系統的實時通信[J].化工自動化及儀表，2017，44（4）：392-396.

[6]楊樂.分散控制系統信息安全方案探討[J].石油化工自動化，2017，53（3）：1-4.