基于縱深防御的電廠工控系統安全防護體系

【摘 要】電廠工業控制系統是國家關鍵基礎設施的重要組成部分，其安全性關系到國家戰略安全。為了從本質上分析工業控制系統的安全需求，對比了工業控制系統和信息系統的區別。將電廠工業控制網絡劃分為不同的層級，不同的層級對應不同的安全域。根據縱深防御的基本原則，給出電廠工業控制網絡的多層縱深防御體系結構，針對不同的層級進行相應保護。分析了電廠工業控制網絡縱深防御體系結構中邊界防御的關鍵技術，防火墻技術和入侵檢測技術。從安全檢測、態勢監測、安全防護、縱深防御四個方面總結了一套電廠工業控制系統安全防護體系。

【關鍵詞】發電廠;工業控制系統;安全防護體系;縱深防御

1引言

隨著兩化融合以及“互聯網+”的深入推進。工業控制系統（Industrial Control System，ICS）逐漸引入工業以太網，使用通用的TCP/IP協議，使得工業控制系統趨向于“一網到底”。在IT（信息技術）系統中存在的攻擊行為正逐步向工業控制系統蔓延，導致工業控制系統面臨類似IT網絡的諸多信息安全問題。2010年攻擊工業控制系統的“震網病毒”為工業控制系統的信息安全提出了嚴峻的挑戰。本文從工業控制系統信息安全的特點、面臨的威脅出發，研究基于縱深防御的電廠工業控制系統安全防護體系結構。

2 工業控制系統信息安全特征

工業控制系統中的安全關注的是設備的安全，防止由于設備出現工作異常而引發人員和環境的安全問題。

2.1工業控制系統與IT系統的本質區別

工業控制系統與IT系統最本質的區別在于：工業控制系統屬于信息物理融合系統（Cyber Physical System），IT系統通常屬于信息系統。工業控制系統及其相關信息系統按照功能層次分為從上到下的五層架構：

第4層 廠區管理層。企業系統層包括組織機構管理工業生產所需業務相關活動的功能。

第3層 企業管理層。運行管理層負責管理生產所需最終產品的工作流，它包括運行/系統管理、具體生產調度管理、可靠性保障等。

第2層 監測層。監測控制層它包括監測和控制物理過程的功能，它包括操作員人機接口、監測控制功能、過程歷史搜集等功能。

第1層 控制層。本地或基本控制層主要包括傳感和操作物理過程的功能，也包括控制系統的Safety和保護功能。該層中的典型設備包括DCS、PLC、RTU等。

第0層 現場層。現場層是實際的物理過程，在這一層中包括各種不同類型的生產設施，典型設備包括直接連接到過程和過程設備的傳感器和執行器等。現場層屬于物理空間，與各行業工業控制直接相關;正是由于該層物理空間的過程對安全性、完整性、可用性方面的要求以及同第1、2、3層信息空間融合才產生工業控制系統特有的需求。

2.2 工業控制系統的兩種安全屬性

工業控制系統的安全屬性有兩種：功能安全（Functional Safety）和信息安全（Security）。

功能安全主要考慮由于隨機硬件故障所導致的組件或系統失效對健康、安全或環境的影響;信息安全主要保護過程本身、組織機構專有信息、公眾信心以及國家安全。

工控安全是控制領域和信息安全領域的融合，從威脅來看，需要考慮黑客、蓄意破壞者等人為因素的威脅，也需要考慮當前系統和設備中的軟件、硬件等技術漏洞以及管理策略、流程等管理漏洞。

2.3 工業控制網絡面臨的威脅

工業控制網絡存在的脆弱性主要來自以下幾個方面：

1）網絡體系結構：工業控制系統由原來的封閉系統逐步開放，而相應的安全措施沒有及時部署，導致體系結構安全性降低。

2）數據流控制：數據流控制沒有實施，直接訪問網絡設備沒有限制。

3）網絡設備配置：不合適的防火墻規則和路由器的訪問控制列表（ACL）。

4）網絡設備冗余：網絡設備應能夠持續提供安全服務，在緊急的情況下，當前工作的網絡設備出現非預期情況下，備份設備未能及時進行切換和提供服務，導致網絡安全性下降。

3工業控制網絡的縱深防御體系結構

縱深防御策略的應用有其基本原則，需要結合具體行業工業控制網絡的特征，設計出具有針對性的工業控制網絡縱深防御體系結構，體系中的防火墻和入侵檢測等關鍵安全設備才能發揮重要作用。

3.1縱深防御的基本概念和原則

縱深防御（Defense-in-Depth）這一術語源自軍事防御戰略。在信息安全領域，縱深防御指管理者將信息資產分層防御，阻止攻擊者試圖得到非授權的訪問。根據不同的安全需求，將系統劃分為不同的安全域（security zone）。縱深防御就是針對不同的安全域實施不同的安全策略。每個安全域都有一個邊界，對域內資產的訪問可能來自內部或者外部。針對攻擊源來自系統內部或外部，縱深防御體系提供不同的保護。從安全的觀點來說，系統的多個層級或區域，提供了實現縱深防御的基礎。?????? 縱深防御的關鍵是加強安全域的邊界防御，需要在不同的級別上應用不同的保護措施。3.2工業控制網絡的縱深防御體系結構

在工業控制系統中，縱深防御最初應用在核工業領域。首要措施是阻止安全事件的發生，當首要措施失效后采取的措施是控制安全事件的發展，而前面的措施都失效后所采取的措施是將影響降到最低。

如前所述，工業控制系統及其相關信息系統分成五個層級。可將工業控制網絡劃分不同的安全域。外部網絡劃分為外部域;企業系統層劃分為企業域;運行管理層、監測控制層劃分為數據域;本地控制層和現場層劃分為控制域。根據以上安全域的劃分，設計工業控制網絡縱深防御體系結構，在安全域及域邊界部署防火墻和入侵檢測設備。在企業域，具有DMZ的企業級防火墻，防御外部網絡的安全威脅;在數據域，具有DMZ的工業控制級防火墻，用于保護整個控制系統;在控制域，現場設備級防火墻則用于保護諸如PLC（Programmable Logic Controller）或RTU（Remote-Terminal Unit）等關鍵設備。

3.3工控網絡縱深防御體系的關鍵技術

對于工業控制網絡，最主要的網絡安全技術是防火墻和入侵檢測系統。

3.3.1防火墻技術

工業控制網絡目前都已轉向采用基于硬件的防火墻技術。工業防火墻對工業控制專用協議提供支持，如Profibus等。通常使用隨機端口偵聽或者遠程過程調用等工作方式，主要通過規則更新的方式進行兼容。同時采用DPI（深度報文檢測）技術來實現對封裝在TCP/IP協議負載內的工業控制協議檢測，發現、識別、分類、重新路由或阻止具有特殊數據或代碼有效載荷的數據包。現場設備級防火墻的獨立設計可以阻止對控制系統的非授權訪問，對控制系統再進行多級別的訪問控制過濾。

3.3.2入侵檢測技術

入侵檢測技術主要包括基于規則和基于統計的入侵檢測系統。

在基于規則的入侵檢測系統中，可以將Snort應用于在工業控制領域，例如增加了Snort對拒絕服務、命令注入、響應注入和系統偵查等入侵行為的檢測和預防能力。

基于統計的入侵檢測系統可以使用統計方法將網絡流量分類為正常或異常。

4電廠工業控制系統安全分析

4.1電廠工業控制系統安全的特點

與傳統信息系統的安全相比，電廠工業控制系統的安全主要具有以下特點。

1）安全要求不同。工業控制系統的首要原則是保障業務連續性，生產過程中任何的中斷都不能被允許。因此，在考慮電廠工控系統安全時要優先保證可用性。

2）通信規約安全性不同。傳統信息系統采用統一的TCP/IP協議和HTTP等標準協議;工控系統有大量專用和私有協議，適用于多種應用需求，在設計之初并未充分考慮安全需求，存在嚴重的安全漏洞。

3）終端安全性差。電廠業務系統使用大量嵌入式終端設備，在使電廠更加網絡化、智能化、多功能的同時，也帶來了更多的安全風險。研究表明大部分智能終端設備存在大量安全隱患和安全漏洞，一旦遭受攻擊，將導致電力設備故障，后果不堪設想。

4）安全危害程度嚴重。傳統信息系統攻擊主要影響虛擬資產，然而針對電廠工控系統的攻擊可能直接破壞物理設備，導致重大安全事故。

4.2電廠工業控制系統的安全風險

分析工控系統歷史安全事件，電廠工控系統存在的安全風險主要源于以下幾方面。

1）工控通信協議缺乏安全設計。專用工控通信協議在設計階段僅強調通信實時性與可用性，普遍欠缺安全機制，例如表1列出部分工控通信協議在設計階段存在的安全漏洞，這些漏洞很有可能受到攻擊者的利用;再如控制中心與站控系統之間主要采用IEC60870-5-101/104規約進行通信，但104規約欠缺加密與認證等安全機制，且一直采用固定的2404端口，存在被竊聽、替換的安全風險。

2）長期“帶病”作業。工控系統安全威脅的根本原因是普遍存在的后門和漏洞。據統計，2010年以前工控系統漏洞數量相對較少（每年新增至多5個），2010年以后快速增長，2011年公開的工控系統漏洞多達200個，此后幾年均超過100多個，并且這些漏洞普遍存在于當前應用廣泛的主流工控產品中。

3）安全審計功能欠缺。來自系統內部人員在應用系統層面的誤操作、違規操作或故意的破壞性操作是電廠工控系統面臨的主要安全風險之一。部分工控系統不具備安全審計功能、安全審計功能不完善、性能原因安全審計功能不開啟導致工控系統違規操作缺乏有效的監控、管理和審計，給電廠工控系統埋下極大的安全隱患。

4）安全管理機制亟待完善。缺失或不夠完善的安全管理成為導致電廠工業控制系統安全風險的一個重要因素：

①終端、計算機接口等接入限定不夠明確，不同版本、安全要求、通信要求的設備直接或間接互聯，導致工控系統內部感染、快速傳播病毒幾率倍增;

②缺乏安全機制實施方面的管理機制，缺少針對工控系統不間斷操作或者災難恢復機制，導致工業現場容易留下安全隱患;

③電廠工控系統的運行維護嚴重依賴廠商人員，現場操作與維護人員安全意識淺薄，有意或無意的錯誤操作都有可能給電廠運行帶來致命災難。

5）高級可持續性威脅（Advanced Persistent Threat，APT）攻擊等新型攻擊手段層出不窮。APT主要利用最新的0-day漏洞，與工控系統的正常業務過程緊密貼合，采用多種攻擊技術或組合攻擊手段達到其目的，攻擊過程緩慢，具有針對性、持續性、隱蔽性。為了達到有效的攻擊，會持續尋找攻擊的宿主目標。在工業現場普遍缺乏安全防護手段的情況下，利用0-day漏洞的這類新型攻擊正成為電廠工控系統安全防護的新挑戰。

5電廠工控系統縱深防御安全防護體系

在深入分析典型工控安全事件，本文從安全檢測、安全態勢監測、安全防護、縱深防御四個方面總結出一套針對電廠工業控制系統的安全體系框架

5.1安全檢測

從漏洞檢測、惡意代碼檢測、惡意行為檢測、APT檢測等方面建立安全的檢測能力，及時發現電廠工控系統的異常情況。

1）漏洞檢測。針對電廠工控系統中的現場測控設備、網絡設備、計算機設備、安全設備、工控通信協議等，結合污點傳播分析、符號執行、動態二進制分析、軟件逆向工程、滲透測試等技術手段實現漏洞檢測與挖掘。結合專業機構、安全廠商、CS-CERT、CVE等發布的漏洞信息，形成電廠工控系統漏洞庫核心資源。及時完成補丁的制作與發布，嚴格管理補丁安裝。

2）惡意代碼檢測。工控系統攻擊者逐漸將攻擊對象轉移至底層系統，從而逃避檢測，因此，生產控制大區內主站端和重要的廠站端、企業管理信息大區內分別部署一套惡意代碼檢測與防護系統，對關鍵工控設備、底層組件、臨時接入設備、遠控協議等實施多層次的惡意代碼掃描檢測，及時更新惡意代碼特征碼，采取防范惡意代碼措施。

3）惡意行為檢測。搜集電廠工控系統已知的惡意行為，形成電廠業務安全威脅樣本庫，并提取相關特征。綜合惡意行為動態審計等技術手段，及時發現工控系統中組態軟件、應用軟件、現場測控終端、移動終端等惡意行為，并提供實時告警和攔截，生成審計報告。

4）APT檢測。針對高級持續性威脅（Advanced Persistent Threat，APT）行為的檢測，需要針對電廠工控系統中的站控系統、關鍵監測設備、現場終端、安全設備、工控協議等進行持續的數據采集與監測，結合行為模式、白名單分析等技術手段對異常行為進行多層次分析，識別APT行為并采取相應的防范措施。

5.2態勢監測

構建電廠工控系統運行狀態、網絡流量、通信協議、外部交互等多層次綜合監測，全面掌握電廠工控系統運行安全態勢。

1）狀態監測。實現資產的分組管理，對電廠工控系統的關鍵控制設備、現場設備的運行狀態、軟硬件配置變更、設備資源占用情況、各關鍵控制模塊的狀態等進行監測。

2）網絡流量監測。對電廠工控系統內網網絡流量進行實時監測，通過采集、識別、存儲和診斷，通過異常的網絡流量識別發現非法外聯，異常的網絡應用和通信行為，對異常網絡流量進行實時報警，從而發現工控內網中存在的安全隱患。

3）工控協議監測。對常用的電廠工控協議通信過程及狀態的監測，從協議類型、協議可信性、協議可用性、協議攻擊、異常數據包、重放攻擊等方面監測電廠工控協議的通信安全，監控并統計數據傳輸的成功與失敗，根據不同的協議類型和用戶進行流量統計，對工控協議的異常通信進行實時告警。

4）外部交互監測。生產控制大區應當逐步推廣內網安全監測功能，收集邊界處安全設備和網絡設備的日志信息，利用網絡流量分析技術監測電廠系統與外部系統的交互行為與數據，及時發現非法外聯、外部入侵等安全事件并告警。

5.3安全防護

從DCS/PLC/RTU、網絡、數據、應用等方面提高電廠工控系統的安全防護能力。

1）DCS/PLC/RTU防護。生產控制大區站控系統、現場終端、企業管理信息大區移動終端等操作系統應當通過安全配置、安全補丁等手段進行安全加固，采用專用軟件強化操作系統訪問控制能力以及配置安全的應用程序。

2）網絡防護。由于電廠工控系統中采用的工控設備廠商眾多，工控協議私有，需要基于動態二進制分析、反編譯、逆向工程深度剖析工控協議，并部署專用工業防火墻，保護關鍵控制器件。在制定工業防火墻規則時，只允許專用工控協議通過。

3）數據防護。電廠工控系統中的數據安全主要包括數據本身安全和數據防護的安全，分別從加密算法和備份恢復兩方面展開數據安全防護：一方面，生產控制大區內部通信，及其與企業管理信息大區間的通信應當綜合對稱、非對稱加密、哈希技術保證數據傳輸過程中的機密性、完整性;另一方面，通過信息存儲的方式保證數據的完整、安全，冗余配置關鍵主機設備、網絡設備和關鍵部件。實現調度自動化系統實時數據、監控系統、實時調度業務三個層面的備用，形成分布式冗余備用調度體系，保障重要業務數據的可用性。

4）應用防護。為了提高電廠工控系統的安全性，應當采用數字證書、安全標簽實現運行過程中的安全授權和強制執行控制及強制訪問控制。基于公鑰基礎設施（Public Key Infrastructure，PKI）能夠為電廠工控系統中的關鍵應用、關鍵設備提供高強度的身份認證，保障應用的機密性、完整性、可用性。

5.4縱深防御

根據工業控制系統分層參考模型，首先是安全域的設計，電廠劃分為企業域包括企業系統層，數據域包括運行管理層、監測控制層，控制域包括本地控制層和現場層。其次是各安全域內及域邊界的安全機制設計，包含認證、入侵檢測、數據包過濾、聯動機制等。再次是安全審計機制的設計，包括日志和事件管理等，使用SIEM（Security Incident Event Management）技術來對日志和事件進行集中管理。最后是冗余設計，能夠讓工業控制網絡在遇到安全事件時及時恢復，包括工控設備、網絡設備、主機設備、安全設備等設備的冗余。整體設計之后，電廠工業控制網絡中部署的多種安全措施，才能形成整體防護能力。

6結束語

工業控制系統的安全是電廠安全穩定運行的技術保障。本文通過分析工控系統安全事件，探討電廠工控系統所面臨的安全風險，結合國內外已有的研究現狀，從安全檢測、態勢監測、安全防護、縱深防御四方面歸納總結了一套電廠工控系統安全防護體系。電廠工控系統安全研究是一個長期過程，與黑客攻擊技術相對立，互相博弈。目前，電廠工控系統的安全研究正處于起步階段，還有廣闊的空間供科技人員探索。

參考文獻：

[1] 高昆侖，王志皓，等.基于可信計算技術構建電力監測控制系統網絡安全免疫系統[J].工程科學與技術，2017，49（2），29-35.

[2] 蔣寧，林滸，尹震宇，黃艷.工業控制網絡的信息安全及縱深防御體系結構研究[J].小型微型計算機系統 2017，38（4）：830-833

[3] 張勇.網絡安全態勢感知模型研究與系統實現.中國科學技術大學.博士學位論文 2010.

[4] 應歡，劉松華，等.電力工業控制系統安全技術綜述[J].電力信息與通信技術，2018，16（3）：56-63.

作者簡介：

賈治（1977.12-）男 漢族 江蘇南京人;計算機科學與技術專業 碩士 工程師;研究方向：工業網絡與信息安全、信息化

（作者單位：國核自儀系統工程有限公司）