工控網(wǎng)絡安全淺析

◆黃杰

工控網(wǎng)絡安全淺析

◆黃杰

（中國石油西南油氣田公司天然氣凈化總廠 重慶 400021）

工控網(wǎng)絡即工業(yè)控制網(wǎng)絡，廣泛應用于石化、電力、冶金、航天等諸多現(xiàn)代工業(yè)。隨著工業(yè)化與信息化的深度融合、“智慧工廠”建設的大力推進，工控系統(tǒng)的受到的關注越來越高，工控網(wǎng)絡安全問題更加突顯。本文淺析了目前工控網(wǎng)絡在“兩化融合”背景下的安全現(xiàn)狀和面臨的安全風險，并分析了一些安全防護方法。

工控網(wǎng)絡；網(wǎng)絡安全；脆弱性；兩化融合

1 前言

2017年6月1日《網(wǎng)絡安全法》正式實施，突顯網(wǎng)絡空間已經(jīng)成為繼海、陸、空、天之后的第五大國家主權空間，工控網(wǎng)絡作為網(wǎng)絡空間的重要組成部分，涉及國家命脈、關系國計民生，應用范圍廣泛，應當予以充分重視。

目前，我國工控系統(tǒng)整體的安全狀況形勢嚴峻，具體有以下幾個方面：一是多數(shù)企業(yè)在工控網(wǎng)絡安全方面的投入相對不足；二是服務于工控網(wǎng)絡安全方面的資源較少；三是工業(yè)互聯(lián)網(wǎng)對工控安全帶來了前所未有的新挑戰(zhàn)；四是工控系統(tǒng)核心技術多由國外企業(yè)壟斷；五是工控網(wǎng)絡安全相關的人才儲備嚴重不足。

2 工控網(wǎng)絡結構

工控網(wǎng)絡可以簡單理解為工控系統(tǒng)中的網(wǎng)絡部分，工控系統(tǒng)需要通過各種儀表、傳感器采集實時生產(chǎn)數(shù)據(jù)，實現(xiàn)對現(xiàn)場設備的控制。圖1是工控網(wǎng)絡的典型架構，將工控網(wǎng)絡分為了現(xiàn)場總線控制網(wǎng)絡、過程控制與監(jiān)控網(wǎng)絡、企業(yè)辦公網(wǎng)三個邏輯層，下面將具體說明。

圖1 工控網(wǎng)絡的典型架構

現(xiàn)場總線控制網(wǎng)絡包含了現(xiàn)場設備層和現(xiàn)場控制層，它們之間利用現(xiàn)場總線技術將傳感器、繼電器等現(xiàn)場設備與PLC、RTU等現(xiàn)場控制設備相連，直接采集現(xiàn)場數(shù)據(jù)到DCS，完成基本的數(shù)據(jù)采集和過程控制；向上是過程控制與監(jiān)控網(wǎng)絡，包含過程監(jiān)控層和生產(chǎn)管理層。其中過程監(jiān)控層負責監(jiān)控及展示生產(chǎn)數(shù)據(jù)，生產(chǎn)管理層主要為上層企業(yè)網(wǎng)絡提供數(shù)據(jù)支持；最上層是企業(yè)辦公網(wǎng)絡，主要通過對各種數(shù)據(jù)的應用進行輔助決策。

3 工控網(wǎng)絡脆弱性分析

工控網(wǎng)絡最關注的是可用性，因為工業(yè)生產(chǎn)環(huán)境惡劣，但對設備的穩(wěn)定性要求又極高，這就使得以前的工控設備在設計時就將的功能簡化，沒有多余的算力來支持網(wǎng)絡安全程序的運行。所以工控網(wǎng)絡天生脆弱。

3.1 設備的脆弱性

生產(chǎn)現(xiàn)場的各種智能儀表、傳感器等采集設備通過現(xiàn)場總線與PLC、RTU等控制設備相連，沒有用戶認證、數(shù)據(jù)加密等安全功能。同時工控協(xié)議中天生存在著各種安全漏洞，而且多數(shù)廠商的工控系統(tǒng)存在私有通信協(xié)議，在數(shù)據(jù)交互的過程中無法實現(xiàn)基本的訪問控制策略和認證機制，即使在不同安全等級的網(wǎng)絡之間配置了邊界隔離設備，仍然存在因策略配置不當而被穿透的風險。

3.2 網(wǎng)絡的脆弱性

信息化技術可以為企業(yè)要提質增效，同樣也能讓工控網(wǎng)絡和辦公網(wǎng)絡親密無間，企業(yè)在享受信息技術帶來的變革時，也必須面臨更多安全問題。本就不太健壯的TCP/IP協(xié)議在和OPC協(xié)議相遇后隨之而來的是更多的安全漏洞，Linux和Windows等通用產(chǎn)品在漏洞威脅日益嚴峻的今天將給工控網(wǎng)絡帶來更大的暴露面。國與國之間的網(wǎng)絡戰(zhàn)已經(jīng)日趨常態(tài)化，而工控網(wǎng)絡正是被攻擊的重點，這顯然已經(jīng)對國家安全帶來了前所未有的嚴峻挑戰(zhàn)。

3.3 安全意識薄弱帶來的脆弱性

在我們的日常生活中廣泛存在弱口令、密碼復用等都是因為網(wǎng)絡安全意識薄弱而導致的結果。工控系統(tǒng)歷來注重可用性，對安全性問題考慮不足，網(wǎng)絡安全策略更是無從談起，企業(yè)的工控網(wǎng)絡安全管理制度也多是流于形式。技術與制度兩方面的缺失從而造成人員網(wǎng)絡安全意識淡薄。而工控網(wǎng)絡安全在國家安全中所占比重的日益增加，以及信息技術在工控系統(tǒng)中的廣泛應用，安全意識將成為工控網(wǎng)絡安全的最大風險。

4 典型網(wǎng)絡威脅

4.1 高級持續(xù)性威脅

高級持續(xù)性威脅（APT）是一種隱匿而持久的網(wǎng)絡攻擊行為，針對特定的目標發(fā)起定向攻擊，通常是為了獲取組織或國家的機密信息。APT攻擊過程較為復雜，不僅是攻擊手段多樣化，而且還大量運用各種最先進的技術，其主要特征是攻擊持續(xù)性長、針對性強、技術性強、復雜度高，是一種不計成本的攻擊方式。所以APT攻擊背后都有技術力量強大的團隊支撐，甚至是國家層面的行為。這些特性也讓傳統(tǒng)的網(wǎng)絡安全防御手段失效，很難進行有效防范，從而帶來較為嚴重的安全問題。

4.2 工控網(wǎng)絡安全漏洞

傳統(tǒng)的工控網(wǎng)絡是一種專用網(wǎng)絡，處于一個相對封閉的網(wǎng)絡環(huán)境，因此工控系統(tǒng)在設計之初都認為不會有安全威脅而忽視了安全性考慮。工控網(wǎng)絡中的數(shù)據(jù)傳輸都是沒有加密的明文，也沒有任何身份認證機制，在系統(tǒng)正式運行前幾乎不會進行安全漏洞檢測，在投入生產(chǎn)后為了保障可用性，也很少會對系統(tǒng)和軟件進行升級。這樣脆弱的工控網(wǎng)絡直接接入互聯(lián)網(wǎng)就如同在溫室中培養(yǎng)出來的花朵突然暴露在烈日、暴雨之下，毫無安全性可言。

圖2顯示了已知公開的工控相關安全漏洞在不同產(chǎn)品上的分布情況。其中上位機軟件和各類系統(tǒng)的漏洞占據(jù)了多數(shù)，下位機的漏洞主要集中在PLC上，服務器和網(wǎng)絡設備也占據(jù)了一定的比例。

圖2 2000-2016年公開工控漏洞影響產(chǎn)品統(tǒng)計數(shù)據(jù)

4.3 安全設計缺失

除了被動的威脅，還有工控網(wǎng)絡先天不足所造成的主動威脅。由于“震網(wǎng)”事件的影響，在2010年后針對工控系統(tǒng)的網(wǎng)絡攻擊出現(xiàn)了大幅增長，主要是因為大量使用中的工控系統(tǒng)，存在網(wǎng)絡安全設計嚴重缺失的問題。

究其原因是制造廠商將工控系統(tǒng)的可靠性與可用性在設計時放在了首位，忽略了控制系統(tǒng)本身的安全性，系統(tǒng)中沒有有效的安全防護策略。網(wǎng)絡架構“無縱深”、系統(tǒng)應用“無防護”和運行狀態(tài)“無監(jiān)測”的“三無”情況普遍存在于各種工控系統(tǒng)中。從系統(tǒng)的底層架構、交互邏輯到控制器的固件程序、使用的通信協(xié)議以及人機交互界面等都存在各種漏洞或缺陷，使得系統(tǒng)無法應對網(wǎng)絡中的安全風險。而且因為兼容性等原因工控系統(tǒng)中的防護軟件基本處于失效狀態(tài)，使系統(tǒng)極易感染網(wǎng)絡病毒、木馬等，也很容易成為攻擊目標。

5 安全防護解決措施

工控網(wǎng)絡安全防護的核心應該是建立以安全管控為中心，輔以適合工控網(wǎng)絡特性的安全技術，進行有目的、有針對性的防御。石化行業(yè)在我國經(jīng)濟建設中占據(jù)重要地位，其發(fā)展受到諸多關注，這一行業(yè)的高危性使得解決其生產(chǎn)過程中出現(xiàn)的安全問題成為當務之急。

將我國工控系統(tǒng)的網(wǎng)絡安全防護能力與傳統(tǒng)基于TCP/IP協(xié)議的網(wǎng)絡系統(tǒng)進行對比，前者的安全性明顯偏低，并長期以來關注也較少。隨著“兩化融合”的大力推進，以大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算、5G為代表的信息技術越來越多的應用到工控系統(tǒng)中，在為工業(yè)生產(chǎn)帶來極大推動作用的同時，也給工控系統(tǒng)帶來了新的安全問題。針對企業(yè)的業(yè)務需求和工控系統(tǒng)的特點，需要工控廠商發(fā)揮引領作用，工控企業(yè)要明確安全需求，共同著手建立健壯性的機制，讓工控系統(tǒng)具備由內而外、與生俱來的安全防護能力。

5.1 運用工業(yè)防火墻和智能保護設備

加快工業(yè)防火墻和智能保護設備在工控網(wǎng)絡中的運用，讓它們逐漸成為工控網(wǎng)絡邊界防護和終端防護的常規(guī)手段。工業(yè)防火墻最突出的一點是內置工業(yè)通訊協(xié)議的過濾模塊，支持對各種工業(yè)協(xié)議的解析及過濾，實現(xiàn)對控制指令識別、操作地址和參數(shù)的提取等，彌補普通防火墻不支持工業(yè)協(xié)議過濾的不足。智能保護設備是部署在各個終端節(jié)點上的網(wǎng)絡保護設備，防御來自外部、內部其他區(qū)域及終端的威脅。在企業(yè)管理層、MES層、過程監(jiān)控管理層之間分別部署工業(yè)防火墻和智能保護設備，可以有效地保障系統(tǒng)的安全性和可靠性。

5.2 終端設備防護

終端設備是指工控系統(tǒng)中使用的計算機，包括工程師站、操作站和服務器等，也稱為工控主機。這些終端設備直接連接到控制器，因而對其進行安全防護十分關鍵。以防止病毒、木馬通過終端設備侵入系統(tǒng)為主要目的，采取的主要措施有：減少不必要的功能和應用，操作系統(tǒng)和應用軟件都遵循系統(tǒng)最小化原則；應用基于“白名單”和“黑名單”相結合的防護技術，在系統(tǒng)穩(wěn)定運行后通過規(guī)則匹配、深度學習等方法自主建立合法的“白名單”，在沒有特征庫的情況下也能發(fā)現(xiàn)病毒和網(wǎng)絡攻擊等異常情況；對端口的使用進行限制，使用USB端口管控工具控制外部移動存儲設備的準入，并對所有接入的移動存儲設備進行審計。

5.3 網(wǎng)絡完整性系統(tǒng)

網(wǎng)絡完整性系統(tǒng)用于預防、檢測和補救工控網(wǎng)絡所面臨的威脅。它可以識別系統(tǒng)中的漏洞和風險、管理不同廠商的控制系統(tǒng)、對工控系統(tǒng)進行全面健康分析和事件響應、通過備份關鍵控制系統(tǒng)數(shù)據(jù)來快速恢復系統(tǒng)，并支持安全事件審計。是在工控網(wǎng)絡上部署主動的、智能的入侵防護系統(tǒng)，以旁路方式接入，通過數(shù)據(jù)流鏡像，主動采集工控系統(tǒng)的網(wǎng)絡數(shù)據(jù)進行分析，實時查找網(wǎng)絡的異常情況和攻擊線索，監(jiān)測網(wǎng)絡的通信狀況，及時發(fā)現(xiàn)網(wǎng)絡攻擊和病毒的異常傳播，攔截所有可疑的數(shù)據(jù)包，終止入侵，保護系統(tǒng)不受攻擊。

5.4 落實管理制度

再好的技術沒用配套的制度，也不能保障其正常的運轉。落實有效的工控系統(tǒng)網(wǎng)絡安全管理制度是實現(xiàn)安全防護的關鍵。得益于《網(wǎng)絡安全法》、《等保2.0》等相關法規(guī)的實施，從法律層面上明確了網(wǎng)絡安全的職責，也為相關制度的落實提供了有力支撐。要體現(xiàn)出相應組織機構的職能，制訂安全方針，落實安全職責，負責工控網(wǎng)絡的安全防護工作。按照國家法規(guī)和有關規(guī)定對工控系統(tǒng)實行全生命周期管理，持續(xù)開展工控系統(tǒng)網(wǎng)絡安全風險評估，落實系統(tǒng)安全整改、系統(tǒng)安全升級等技術方案，采取切實可行的綜合防控措施，確保工控系統(tǒng)的安全穩(wěn)定運行。同時，不斷總結有效防護經(jīng)驗，全面培訓相關技術人員，制訂應急預案并進行演練，不斷提升安全防護水平。

6 結語

在今天信息化與工業(yè)化深度融合的環(huán)境下，工控網(wǎng)絡安全已經(jīng)成為當前工控網(wǎng)絡安全領域的焦點。結合自身工作經(jīng)驗和現(xiàn)狀提出幾點建議：要結合信息技術和工控系統(tǒng)各自特點，加快安全標準和規(guī)范的制定；構建工控系統(tǒng)專有漏洞庫，對漏洞進行分級管理；相關的管理制度和防護措施要服務于工控系統(tǒng)網(wǎng)絡安全的全生命周期；加強員工網(wǎng)絡安全意識和防護水平培訓；對工控網(wǎng)絡安全中出現(xiàn)的問題要通過技術手段和管理制度多管齊下，切實保障系統(tǒng)的安全運行和生產(chǎn)安全；加大工控網(wǎng)絡安全人才的培養(yǎng)。

[1]伍錦榮.工控系統(tǒng)網(wǎng)絡安全現(xiàn)狀及解決方案[J].石油化工自動化，2017（4）：4-5.

[2]工控系統(tǒng)行業(yè)漏洞平臺[DB/OL].http://ivd.winicssec.com.2018.

[3]國家信息安全漏洞共享平臺[DB/OL].http://www.cnvd.org.cn.2018.

[4]中國報告網(wǎng)[DB/OL].http://www.chinabaogao.com.2018.