多維視角下的工控網絡安全研究

◆包 叢 李 煥 李 偉 黃 林 石友晨

多維視角下的工控網絡安全研究

◆包 叢 李 煥 李 偉 黃 林 石友晨

（新疆油田公司數據公司 新疆 834000）

工業控制系統（ICS）是工業自動化的核心組成部分，同時也是關系國家安全的重要基礎設施組成部分。目前，許多大型工業生產單位的工業控制系統面臨著嚴峻的形勢。本文基于多維視角，針對工業控制系統信息安全體系，分別從“基（工業控制系統基礎現狀）、標（工業控制系統制度標準）、攻（工業控制系統威脅攻擊）、防（工業控制系統入侵防范）、評（工業控制系統風險評估）”五個方面的內容進行了深入分析與研究，列舉目前工業控制系統網絡信息安全發展現狀趨勢以及主要攻擊手段，以及防范措施應該如何應對，有助于企業工控系統防護能力和水平的進一步提升。

工業控制系統信息安全；工業控制系統安全標準；工業控制系統威脅攻擊；工業控制系統風險評估

工業控制系統（Industrial Control System，ICS）大量運用在石油石化、電網、軌道交通等關鍵基礎設施，它是控制設備進程、傳輸業務指令、監測設備運行狀態的大型智能集成系統[1-2]，能夠收集工控完整數據，高效分析處理的業務模塊功能[3-4]。如今，ICS系統所面臨的安全形勢相當嚴峻。根據研究機構的最新調查報告，ICS威脅不論是種類、數量還是風險程度都呈現快速增長趨勢，ICS網絡攻擊擾亂了系統正常運行，有的甚至對ICS系統發造成了物理損害和人員傷亡，被攻擊后所導致的社會影響和經濟損失成為企業最大的威脅風險[5]。

本文基于多維視角，針對工業控制系統信息安全體系，分別從“基（工業控制系統基礎現狀）、標（工業控制系統制度標準）、攻（工業控制系統威脅攻擊）、防（工業控制系統入侵防范）、評（工業控制系統風險評估）”五個方面的內容進行了深入分析與研究，列舉目前工業控制系統網絡信息安全發展現狀趨勢以及主要攻擊手段，旨在描述目前工業控制系統信息安全發展態勢、威脅以及亟待解決問題，為企業工控系統防護提供科學指導。

1 國內外工控信息安全標準及政策法規介紹

國外對工業控制系統重要標準及政策基礎的研究相對早一些，并通過設立綜合研究多家科研、管理機構來支持標準與政策的研發。關鍵基礎設施方面：2003年美國頒布《關鍵基礎設施的識別、優先級和保護》、2009年美國政府頒布“國家基礎設施保護計劃”（NIPP）[6]、11年發布“能源供應系統信息安全路線圖”[7]、13年美國頒布《關鍵基礎設施的安全性和恢復力》、14年美國國家標準與技術研究院（NIST）頒布了《提升關鍵基礎設施網絡安全的框架》；工業控制系統信息安全方面：由國土安全部成立ICS-CERT（工業控制系統網絡應急響應小組），并建設了多家工業控制系統安全研究重點實驗室、美國國家標準與技術研究院制定并不斷完善了NIST SP800-等標準。這些文件與標準的發布與實施，標志著美國關鍵基礎設施保護及工業控制系統安全建設的工作已趨于成熟。

我國專家隨即開展一系列針對工業控制系統信息安全的規范與標準制定。2018年9月，全國信息安全標準化技術委員會歸口的17項國家標準正式發布，這些國家標準將在2019年4月1日起正式實施，詳細內容包括：GB/T 36626-2018《信息安全技術信息系統安全運維管理指南》、GB/T 36631-2018《信息安全技術時間戳策略和時間戳業務操作規則》、GB/T 36633-2018《信息安全技術網絡用戶身份鑒別技術指南》、GB/T 36635-2018《信息安全技術網絡安全監測基本要求與實施指南》、GB/T 36639-2018《信息安全技術可信計算規范服務器可信支撐平臺》、GB/T 36624-2018《信息技術安全技術可鑒別的加密機制》、GB/T 15843.6-2018《信息技術安全技術實體鑒別第6部分：采用人工數據傳遞的機制》、GB/T 36644-2018《信息安全技術數字簽名應用安全證明獲取方法》[8]。

這些政策標準提供了信息系統安全運維管理體系的指導和建議，給出了安全運維策略、安全運維組織的管理、安全運維規則和安全運維支撐系統等方面相關活動的目的、要求和實施指南。

2 面臨問題及防御措施

2.1 工控系統入侵方式

工業控制系統是通過工業網絡協議進行連接通訊，組成的控制系統[9]。對于工業控制系統所面臨的主要威脅的深入分析，有助于改善ICS網絡的安全狀況，目前ICS信息安全主要的攻擊有：（1）外部威脅APT、目標攻擊等，外部攻擊可能涉及政治敵對勢力，工業間諜，黑客活動等對于關鍵基礎設施的工業部門；（2）內部心懷不滿員工、第三方等，一些心懷不滿的員工、第三方擁有企業內部的核心訪問權限，而大部分企業的身份認證機構不完善，缺乏相關認證機制與管理制度規定，所以導致其可以隨心所欲的操控內網的任何核心設備。（3）誤操作行為，一些員工的誤操作行為可能導致配置錯誤、口令輸送錯誤等，其影響可能會被外部對手利用，造成對系統的二次傷害。工業控制網絡中針對ICS設備的攻擊多種多樣，大多數威脅病毒首先通過暴露在公網上的工控設備，然后利用其漏洞進而實現傳播，對典型的攻擊來源進行簡單列舉：ICSGhost勒索蠕蟲：劉煜堃等[10]針對ICS 高度隔離化的問題，在主要討論PLC 與SCADA系統的上位機兩種主要的工控組件為前提下，提出新型勒索蠕蟲ICSGhost。由于一部分的工程師們在網站上下載了捆綁有勒索病毒的破解版軟件，于是該勒索病毒以工程師站作為初次感染源，然后將其為跳板，對處于內部網絡的工控設備進行攻擊，最后實現蠕蟲式勒索及感染。像這樣惡意感染的“源碼病毒”還有UnityGhost、SysConst.dcu、Xcode Ghost[11]它們在編譯器或者軟件中加載病毒，通過收集用戶的基礎信息，上傳至惡意網站，并具備遠程控制能力，接收到服務器指令后，執行多種惡意行為。震網病毒（Stuxnet） Kehe Wu等[12]以智能變電站攻擊為例，利用對象分層形式的Petri網描述工業控制系統網絡攻擊程序的整個過程。

2.2 防御措施

IT信息系統防范方式一般從安全技術體系、安全管理體系與綜合安全體系研究出發[13]，包括一系列的安全評估準則、管理標準以及技術手段，如防病毒技術、防火墻技術、入侵檢測技術、風險評估等。但是工業控制系統，與傳統信息系統安全有著巨大差異，大部分工業控制系統是在網絡威脅出現之前創建的，涉及之初并未考慮內置外部安全防控措施。

2.2.1入侵檢測模型

入侵檢測是指"通過對行為、安全日志或審計數據或其他網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖"。入侵檢測是檢測和響應計算機誤用的學科，其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測專家系統IDES（ion Detection Expert System）與它的后繼版本NIDES（Next-Generation Intrusion Detection Expert System）均完全基于Denning的模型。該模型的最大缺點是它沒有包含已知系統漏洞或攻擊方法的知識，而這些知識在許多情況下是非常有用的信息。國內外各研究學者針對工業控制系統中的異常流量、特征庫匹配、工業協議深度解析等研究，提出了多種較為完善的安全防御檢測模型。Suruz Miah等提出基于深度信任網絡的云輔助物聯網（CoT）的工業控制系統網絡惡意威脅檢測模型。尚文利等針對工控網絡異常行為與入侵行為的差異性，提出基于單類支持向量機的雙輪廓模型異常檢測方法，用以模擬工控系統通訊的正常模態和異常模態，并通過協同判別機制實現工控系統網絡的異常檢測。Andrew Chaves等基于一種工業控制系統彈性策略，該策略采用主動防御技術來減少由網絡攻擊引起的故障可能性。將主動防御實現與使用暴露于網絡攻擊的半模擬廢水處理系統的傳統工業控制系統彈性實現進行比較。結果表明，主動防御實現在網絡攻擊后非常有效，而傳統的彈性實現則會導致系統中斷。

2.2.2基于大數據的威脅發現技術

目前利用大數據技術能夠根據用戶的上網行為習慣，建立一個模型庫，系統會檢測到用戶的異常行為，及時對偏離日常行為的用戶操作指令進行實時監控，同時知曉其隱藏的潛在威脅。基于大數據的信息挖掘技術能夠知曉大量新的網站攻擊特性，對攻擊源頭及時溯源，對威脅到數據資產、硬件資產、人員資產、軟件資產以及其他支撐或服務于業務系統的資產。對于APT高持續威脅性攻擊，其也有一定的適用性，通過對企業進行全流量鏡像，對受到攻擊后的后驗信息進行定期歷史關聯性分析，及時溯源并定位攻擊源。

2.2.3基于AI的數據安全處理技術

AI技術對于數據、代碼的分析具有高效、快捷、準確的特點，在提高處理速率的同時關注網絡流量中的無數信息與編碼漏洞，并對大量偽裝成可執行文件、PDF等可疑文檔進行偵測，對其在短時間內進行快速關聯分析，發現異常文檔、編碼、報文及流量。在運維方面，AI技術能夠將搜集到的外部威脅情報信息及相關運維日志等數據源進行綜合處理并分析。

2.3 工控安全風險評估

工控系統風險評估的范圍大致包含如下三個大的方面：物理安全、技術安全和管理安全，其中每部分又可以劃分為許多小的方面。目前，評估方法主要有定性分析法、定量分析、模糊綜合評判法、層次分析法、貝葉斯網絡分類法等，評估工具有問卷調查表、檢查列表、人員訪談、漏洞掃描、漏洞挖掘、工控審計、滲透測試等。由于工控系統的敏感性和時效性都要求比較高，因此技術性的評估設備在使用過程中，需要做好充分的風險識別和處置預案工作。

3 結論

本文基于多維視角，針對工業控制系統信息安全體系，分別從“基（工業控制系統基礎現狀）、標（工業控制系統制度標準）、攻（工業控制系統威脅攻擊）、防（工業控制系統入侵防范）、評（工業控制系統風險評估）”五個方面的內容進行了深入分析與研究，列舉目前工業控制系統網絡信息安全發展現狀趨勢以及主要攻擊手段，以及防范措施應該如何應對，希望能夠為正在從事工業控制信息安全的研究單位或者學者提供一些實例參考。

[1]Jay LEE. Trends of Big Data Analytics and Cyber-Physical Systems in Industrial 4.0 Systems[A]. Nanjing University of Science and Technology （PRC）、Virginia Polytechnic Institute and State University （USA）、Purdue University （USA）、Chemnitz University of Technology （Germany）、Tokyo Institute of Technology （Japan）、City University of Hong Kong （HK， PRC）.PROCEEDINGS OF THE 5TH INTERNATIONAL CONFERENCE ON MECHANICAL ENGINEERING AND MECHANICS[C].Nanjing University of Science and Technology （PRC）、Virginia Polytechnic Institute and State University （USA）、Purdue University （USA）、Chemnitz University of Technology （Germany）、Tokyo Institute of Technology （Japan）、City University of Hong Kong （HK，PRC），2014：5.

[2]Andrew Chaves，Mason Rice，Stephen Dunlap，John Pecarina. Improving the cyber resilience of industrial control systems[J]. International Journal of Critical Infrastructure Protection，2017，17.

[3]H.M. Leith，John W. Piper. Identification and application of security measures for petrochemical industrial control systems[J]. Journal of Loss Prevention in the Process Industries，2013，26（6）.

[4]Wei Kang，Xinguo Xu，Lin Li，Zhiqi Fang. Building Safety Mechanism in Industrial Control System Based on Essential Safety[M].Springer International Publishing：2014-06-15.

[5]Shun Kondo，Hiroto Sakashita，Souta Sato，Takashi Hamaguchi，Yoshihiro Hashimoto. An application of STAMP to safety and cyber security for ICS[M].Elsevier Inc.：2018-08-09.

[6]Department of Homeland Security.National Infrastructure Protection Plan[R].Washington DC，USA：Department of Homeland Security，2009.

[7]Energy Sector Control Systems Working Group（ESCSWG）.Roadmap to Achieve Energy Delivery Systems Cybersecurity[R].Washington DC，USA： Office of Electricity Delivery & Energy Reliability，2011.

[8]工業控制系統信息安全行動計劃（2018—2020年）[N].中國電子報，2018-01-09（002）.

[9]Andrew Chaves，Mason Rice，Stephen Dunlap，John Pecarina. Improving the cyber resilience of industrial control systems[J]. International Journal of Critical Infrastructure Protection，2017，17.

[10]劉煜堃，諸葛建偉，吳一雄.新型工業控制系統勒索蠕蟲威脅與防御[J].計算機應用，2018，38（06）：1608-1613.

[11]XIAO C.Novel malware xcodeghost modifies xcode’infects appleios apps and hits app store [EB/OL]. [2017-10-16].https：//researchcenter.paloaltonetworks.com/2015/09/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store/.

[12]Kehe Wu，Yi Li，Fei Chen，Long Chen. A method for describing industrial control system network attack using object Petri net[J]. IEEJ Transactions on Electrical and Electronic EngIneering，2016，11（2）.

[13]布寧，劉玉嶺，連一峰，黃亮.一種基于UML的網絡安全體系建模分析方法[J].計算機研究與發展，2014，51（07）：1578-1593.