泵站自動化系統安全現狀及防護策略

高學臣，李萬平

（天津水利電力機電研究所，天津301900）

0 引言

泵站作為水利工程不可缺少的重要組成部分，它承擔泵站所在地區的調水灌溉以及生產生活供水、防洪防澇等任務。通過對泵站的不斷更新改造，其自動化水平不斷提高；近年來隨著互聯網技術的普及，越來越多的計算機和網絡技術應用于泵站控制系統，但大多泵站在建造和改造階段對網絡安全的防護問題考慮不夠，這就使網絡技術在為泵站生產帶來極大推動作用的同時，也為泵站的安全運行帶來了極大的隱患。

1 背景

近年來，我國的互聯網技術得到快速發展，并逐漸應用到各個領域，網絡技術在工業控制中的應用也越來越廣泛，提高了系統智能化程度，使決策者實時了解重要信息，提高了工作效率，但由于原有的自動化控制系統沒有很好的安全防護措施，近年來，針對工業控制系統的各種網絡攻擊事件日益增多，暴露出工業控制系統在安全防護方面的嚴重不足，如2000年3月，澳大利亞馬盧奇污水處理廠遭到黑客非法入侵，致使自動化控制系統出現故障，無線連接信號丟失，污水泵工作異常，報警器也沒有報警，給污水處理廠造成極大損失。由此可見，黑客已將工業自動化控制系統做為主要攻擊的目標。

為加強對工控網絡安全工作的指導，2014年2月中央網絡安全和信息化領導小組成立，習近平總書記在會上強調：“網絡安全和信息化是事關國家安全、國家發展和百姓生活的重大戰略問題，要創新發展，努力把我國建設成網絡強國”，中央網絡安全和信息化領導小組著眼國家安全和長遠發展，統籌指導中國邁向網絡強國發展戰略，將網絡安全提升到國家戰略高度；2016年11月頒發了《中華人民共和國網絡安全法》，自2017年6月1日起正式實施，這標志著我國實現了網絡安全立法頂層設計；在水利行業，2017年5月，水利部印發《水利網絡安全頂層設計》，結合水利行業網絡安全現狀，提出了統一水利網絡安全策略，建立和完善水利網絡安全體系，保障水利信息化健康發展。

2 泵站網絡安全現狀

由于“網絡安全”問題近幾年才被人們重視，而絕大多數泵站都是原來建設起來的，在建設初期以及后期改造過程中業主對設備的選型都沒有考慮過網絡安全問題，包括設計部門也沒有設計系統防護、數據加密等功能；再加上工業控制系統網絡中大量使用TCP/IP技術，TCP/IP協議本身的漏洞往往被一些攻擊者利用，給系統安全留下了許多隱患，而且管理者也沒有建立完善的網絡安全管理體制，缺乏專業技術人員，造成各個方面防護都比較薄弱，致使控制系統很容易遭到黑客非法攻擊。

（1）目前泵站大部分控制設備均采用施耐德、西門子等產品，而這些品牌的設備通信協議一般都是采用MODBUS和PROFIBUS，MODBUS和PROFIBUS通信協議都是開放式的，自身存在很多漏洞，不法分子通過這些漏洞很容易入侵自動化控制系統，竊取機密數據或植入某種病毒。

（2）泵站工控系統軟件升級問題，軟件供應商為降低維護成本，通常只是會定期在網上發布工業控制軟件補丁，泵站通常沒有專業軟件維護人員，造成更新不及時；另外軟件升級過程中由于補丁自身或人為誤操作也會產生不確定性，致使系統軟件出現不穩定、卡頓等現象，造成整個系統不能正常工作，給泵站日常運維造成麻煩甚至帶來巨大的財產損失。

（3）泵站通常沒有專業維護人員，對病毒入侵沒有預防性，即使發現設備感染病毒也不能采取有效手段進行查殺，以致于病毒在系統中迅速傳播，甚至造成系統癱瘓，給生產工作帶來不可預測的后果。

（4）設備的多樣性，泵站系統結構復雜，設備種類數量多，各個設備都具有各自不同的性能和特點，而且由不同廠家供貨，設備的安全等級也不一樣，也沒有專人負責統計這些數據，這就給設備的安全防護帶來很大困難。

由此可見，泵站工業控制系統網絡安全問題日益加劇。泵站工控系統遭入侵途徑以透過企業廣域網及商用網絡方式為主，利用IED、PLC、RTU、控制器、通信處理機等通用設備的漏洞植入惡意代碼，進行破壞活動，可對泵站造成巨大的損失。

3 泵站工業控制系統網絡安全漏洞

大多數泵站控制網絡中在運行的電腦，基本不能及時安裝或更新防病毒軟件。另外，控制器的優化升級基本以I/O性能為主，而對網絡安全防護方面的能力沒有加強。由于控制系統缺乏安全性設計，所以泵站工控系統非常容易受到攻擊。并且當前泵站控制設備系統基本上被國外廠商壟斷，協議都是公開透明的，設備都存在漏洞，核心技術受制于人，增加了諸多不可控因素。

（1）通信協議存在漏洞，TCP/IP協議作為聯網結構的核心，已經成為網絡最流行的通信協議。TCP/IP和OPC等通用協議也越來越廣泛地應用在工業控制網絡中，但TCP/IP協議本身的漏洞卻往往被一些攻擊者利用，給網絡安全留下了許多隱患。

（2）操作系統存在漏洞，目前大多數泵站自動化控制系統的工程師站/操作站都是Windows平臺的，泵站通常沒有專業維護人員，一般都不會對Windows平臺安裝補丁，造成系統漏洞不能及時消除，容易遭到黑客攻擊。

（3）安全意識和管理流程存在漏洞，業主缺乏安全意識，認為設備能用就可以了，而不去關注設備的安全性，另外也沒有能力建立一套完善的管理流程，這都給系統信息安全帶來了一定的威脅。

（4）病毒防護存在漏洞，沒有專業維護人員，通常只保證系統軟件的可用性，一般不會安裝殺毒軟件。即便安裝了殺毒軟件，也不會對病毒庫進行更新，這尤其不適合于工業控制環境。

（5）應用軟件漏洞，由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問題；另外當應用軟件面向網絡應用時，就必須開放其應用端口。因此，常規的IT防火墻等安全設備很難保障其安全性。

（6）通用硬件漏洞，在泵站工業控制系統中，臺套數最多的是PLC系統。系統多由國外供貨，主要包括西門子、施耐德、GE等。這些廠商也是全球PLC領域的主要供貨商，各PLC產品中均存在一些安全漏洞。泵站主流廠商西門子、施耐德、GE 3個供貨商在2011～2013年公安部網絡安全執法檢查時，PLC漏洞暴露情況如圖1所示。

圖1 PLC漏洞暴露情況

4 泵站工業控制系統網絡安全風險

（1）網絡防護安全問題，除了橫向隔離和縱向加密裝置外，基本沒有其他防護措施；有的單位雖然在生產大區之間部署了傳統防火墻，但是電力系統的工控協議是專有的，防火墻不能識別這些工控協議，也就失去了防火墻作用。

（2）防病毒軟件沒有專人進行維護升級，存在的漏洞使非法分子輕易入侵，從而造成系統癱瘓。

（3）行為安全問題，缺乏對操作人員非授權行為的安全監管能力；當網絡受到攻擊后也無法及時檢測到，并對攻擊源IP地址、攻擊類型等信息進行識別、記錄。

（4）管理和運維安全問題，未能建立完善的信息安全制度。

5 泵站工業控制系統網絡安全防護

5.1 防護理念

根據當前國內外工控網絡安全領域的發展形勢，采用“4+1”的工控安全戰略，以“結構安全性、本體安全性、行為安全性、基因安全性+時間持續性安全”為核心，搭建全生命周期的工控安全產品和服務體系，為泵站工控系統網絡安全保駕護航。泵站工控系統網絡安全防護理念如圖2所示。

圖2 泵站工控系統網絡安全防護理念

（1）結構安全即網絡結構安全，根據業務及工藝要求合理劃分網絡區域和層次，明確網絡邊界，設定合理的訪問規則，而現實是多數生產網絡的結構不夠安全。

（2）本體安全即工業系統的安全，工業設備及軟件在設計之初以滿足工業生產工藝要求為主，甚少考慮網絡安全因素，面臨網絡或惡意病毒攻擊時極其脆弱，需要充分評估其脆弱性并通過補償性措施防護。

（3）行為安全即網絡和操作行為的安全，工業網絡自身的特殊性對工業網絡中接入設備是相信的，缺乏認證和加密措施，所有行為認為是合法的，需要通過對行為的綜合分析、監控和審計來識別惡意行為。

（4）基因安全即設備的自主可控，其內容包括涵蓋工業系統全生命周期的完整性保護，從工業系統的可信設計，到工業系統的可信生產、交付、維護以及下線整個生命周期的安全可信，實現難度較大。

（5）時間持續性安全是工控安全的基礎，建立工控系統長效的安全機制，能夠持續應對惡意非惡意的攻擊，在面對APT攻擊時能夠保障工控系統的安全，及時發現、響應和恢復。

5.2 防護策略

泵站控制系統網絡安全與傳統的互聯網安全具有本質區別。因此，較傳統的信息安全問題，需要采取新的策略應對。識別系統存在的風險與隱患，實施相應的防護策略是確保泵站自動化控制系統安全運行的有效手段；安全防護部署如圖3所示。

圖3 泵站工業自動化控制系統網絡安全防護部署圖

（1）設備安全防護，通過智能保護終端對工控系統現地層的關鍵LCU、RTU等進行安全防護，對利用已公開漏洞的攻擊行為和流量信息進行有效識別和攔截。

（2）網絡安全隔離，通過智能工業防火墻抵御來自外界偽基站接入滲透控制系統的風險。能夠對控制源身份的合法性進行有效判斷，對非法IP發送的數據包進行有效甄別和攔截。

（3）主機安全防護，在主控層的工程師站、操作員站、服務器部署工控衛士，防止用戶的違規操作和誤操作，阻止不明程序、移動存儲介質和網絡通信的濫用。

（4）網絡監測審計，在生產控制大區通信層環網、LCU子網旁路部署監測審計平臺，對網絡通信流量進行有效監視和威脅檢測。

（5）集中安全監管，安全監管平臺對部署在整個工控系統的安全設備實現統一化安全監管和運維。

6 結語

我國已經進入信息化時代，這是歷史發展的必然，隨著科技不斷發展，工業控制系統將會融合更多先進的信息安全技術，如可信計算、云安全等，工業控制系統網絡安全成為關系政治穩定、經濟發展的重要因素。因此，需不斷加強對工業控制領域的整體安全部署，完善和提供整體的安全解決方案，我們愿為工控領域自動化系統網絡安全做出應有的貢獻。