基于協議解析的工控網絡安全仿真平臺設計

方捷睿，曹衛民，白建濤，熊智華，楊 帆

(1.清華大學自動化系,北京 100084；2.中國石化安慶分公司，安徽 安慶 246002)

0 引言

隨著石化企業信息集成度的提高，工業控制系統由“封閉走向開放”已成為主流趨勢。但是“震網”、“超級工廠”等病毒的出現，已經造成了有些企業的工業控制系統安全事故。因此，工業控制網絡的安全問題凸顯[1-2]。目前，工業互聯網的安全問題也在國際、國內引起了高度的重視[3-4]。未來，隨著工業互聯網的發展和推進，工業控制網絡安全措施的實施范圍也將從局域網上升到全網的高度。

工業控制系統的安全防護主要采用系統隔離、網絡分區分域管理。這些傳統的安全防御方法無法抵御各種病毒的靶向攻擊[5]。工業控制系統信息安全問題非常復雜，依賴于單一的安全防護方案難以實現系統整體安全。因此，可行的方案是將工業控制網絡劃分為不同的安全區，分層或分區域部署防火墻、入侵檢測等多種安全防護措施，形成整體防護能力[6]。石化企業網絡安全的解決方案通常采用網閘和防火墻技術，對企業管理網絡與工業控制網絡進行“區域和渠道”的連接控制[7]。對每個分層或分域采用特定的網絡安全控制策略，深度解析和檢查每個區域的通信連接和協議，保障工業控制系統的安全運行。

本文在工控網絡安全防護方案的基礎上，結合工控網絡報文定制性的特點，詳細分析了基于應用層協議解析的安全防護策略。該方案在傳統工業防火墻的基礎上，通過對應用于過程控制的對象連接和嵌入(OLE for process control，OPC)等工業網絡傳輸協議的報文深入解析，攔截與功能實現無關的報文。由于該方案方直接在報文層面解析過濾，所以能夠更有效地發現隱藏較深的威脅。本文以OPC協議為例，搭建了基于應用層協議深度解析的工控網絡安全仿真測試平臺，并利用石化企業現場設備的通信數據對該平臺進行了驗證。

1 工控網絡安全策略分析

1.1 企業生產專網的網絡結構與安全

石化企業管控一體化的信息化集成經歷了多年的發展，網絡結構逐步從企業管理網/控制網絡的兩層結構發展成了企業管理網/生產專網/控制網絡的三層結構[8-9]。

在企業管理網/控制網絡的兩層結構中，工業控制網絡與管理網的連接給企業帶來了諸多便利，但是也削弱了工業控制系統與外界的隔離。因此，當面臨安全威脅時，工業控制系統缺乏有效的防御能力，受到任何一點攻擊都有可能導致整個系統的癱瘓[8]。

企業管理網/生產專網/控制網絡三層結構中[9]：企業的各種網絡按功能區進行分層、分區設計；將實時數據庫系統的網絡環境從企業管理網中分離出來，構成生產專網；生產專網與管理網只有一個接口并通過防火墻進行隔離。工業控制網絡中的各個控制系統只與生產專網相連接，與管理網絡沒有直接通道。由于每套控制系統與生產專網只有一個點對點的物理接口，因此阻斷了來自管理網絡上普遍存在的病毒、木馬、特定攻擊等直接威脅。同時，將網絡安全內嵌到基礎架構中并進行虛擬化，建立安全服務管理中心對生產專網的安全進行管控和預警，從而改變了傳統的安全模式。通過采用虛擬防火墻，結合OPC服務器分配的動態端口限定方法進行安全的數據采集與傳輸，可提升與控制系統接口的安全[9]。

企業生產專網的網絡安全防護結構如圖1所示。

圖1 企業生產專網的網絡安全防護結構示意圖 Fig.1 Network security protection structure of enterprise production network

隨著工業互聯網的研究與應用，工控網絡安全防護措施的實施范圍也將從以往的局域網上升到全網的高度。因此，采用更加安全、有效的方式保障工控網絡的安全已成為重中之重。在企業三層網絡結構下,對工業控制系統的安全威脅，除了對控制系統的直接攻擊和經由企業管理網入侵的攻擊外，還有來自生產專網的攻擊。工業控制系統的安全可以通過管理手段來實現。經由管理網的入侵可以通過代理服務器實現。所以在工業現場，安全防護的重點在于保障好生產專網與控制系統之間的接口安全。

本文研究的工控網絡安全防護問題，主要集中于生產專網與工業控制系統之間的數據訪問安全，如圖1所示的OPC客戶端與OPC服務器之間的數據訪問安全。通過在OPC服務器和Client之間設立一個基于協議解析的網絡安全防護(例如工業防火墻)來提高數據傳輸的安全性是一個可行方案。工業防火墻通過獲取OPC客戶端/服務器端(client/server,C/S)之間傳輸的數據包并解析，判斷所傳輸的數據是否存在安全問題。如果存在安全問題，則執行預設的安全措施。

1.2 工控網絡信息安全策略

工業控制網絡是基于傳統網絡發展起來的一種定制化、專業化、標準化的定向網絡，采取的交互模式基本為C/S通信模式，大體分為面向連接和無連接兩大類。其均在應用層進行頂層的包裝和接口定義，以實現特定的工業控制網絡數據傳輸與行為控制功能[9]。目前，工業防火墻被廣泛應用于工控網絡的數據傳輸安全防護。

防火墻技術主要包括包過濾防火墻、狀態檢測防火墻、應用級網關防火墻和深度包檢測防火墻等[10]。傳統工業防火墻通過對抓取到的數據包中的MAC地址、IP源地址、目的地址、端口號、協議類型、數據流向、協議字段和網絡接口等信息進行過濾，根據預設的規則決定保留還是丟棄該數據包。深度包檢測防火墻對傳輸控制協議(transmission control protocol,TCP)或用戶數據報協議(user datagram protocol,UDP)數據包內容進行深入分析，從而抵御復雜網絡中應用程序受到的攻擊，提高了防火墻的性能和內部網絡的安全、穩定[10]。

工業防火墻通過對工控網絡協議數據包進行探測和解析，識別出數據包中的各種關鍵信息及其所承載的內容，并對這些數據進行解析；然后根據解析得到的原始通信信息，判斷是否包含威脅或者敏感的內容。例如對協議中的操作碼、設備地址、寄存器范圍和讀寫屬性等進行檢查，以判斷是否為非法操作或者外部攻擊[10]。

和傳統網絡一樣，工控網絡協議數據包也包含了物理層、數據鏈路層、網絡層、傳輸層、應用層開放式系統互聯通信(open system interconnection,OSI)參考模型ISO五層架構。對于數據包的分析，工業防火墻主要集中在鏈路層、網絡層、傳輸層和應用層。其中，前三層采用傳統的網絡報文方法進行分析，在應用層的層面針對各主流工控協議標準進行定制化的解析。

工控網絡安全隔離策略如圖2所示。

圖2 工控網絡安全隔離策略 Fig.2 Security isolation strategy of industrial control network

應用層安全隔離主要通過對應用層報文的解析實現。其核心是通過對應用層協議報頭解析和判斷實現應用層報文類型的過濾。應用層協議(例如OPC協議)深度隔離則通過深度解析特定的OPC協議的應用層報文，能夠最大程度地保證系統的安全性。因此，該方案在傳統工業防火墻策略的基礎上，對協議類型進行解析，從而隔離與通信無關的報文。同時，對應用層協議進行深度解析，還能有效保障工控系統的實時性、私密性和安全性。

在實際應用中，還需要考慮工控網絡報文定制性的特點，采用基于應用層協議(例如OPC)解析的安全隔離策略。在實現傳統工業防火墻功能的基礎上，對工業網絡傳輸協議進行解析。其核心是根據Modbus、DNP3和OPC等工控網絡的協議格式分析并深入理解報文，攔截與功能實現無關的報文；引入黑白名單機制，在實現功能的同時對設備進行限制。由于該安全防護策略在報文層面解析過濾，所以能夠更有效地發現隱藏較深的威脅。相較于前文提到的應用級網關防火墻，本文方法在過濾速度上要快得多。

2 工控網絡報文的深度解析

2.1 工控網絡報文

在討論工控網絡報文結構的語境下，主要針對應用層報文進行分析。對于更底層的報文，大多數成熟的工控協議都利用了傳統網絡報文的接口和底層通信組件，因此可以按照傳統報文的分析方式進行。應用層協議為網絡上不同端之間的設備和系統上的進程進行數據交互提供了規范。在工控系統的語境下，應用層協議包括了工控協議本身以及對工控協議的第一步封裝，并為工控協議的網絡傳輸選擇通信鏈路。在完成對鏈路層、網絡層和傳輸層的解析后，可以得到初步的應用層報文。然后，根據不同工控協議的特點，判斷應用層是否搭載了外部應用層協議并解析該應用層協議，從而得到純粹的工控協議報文，進而根據工控協議的報頭和數據包，分析報文實現的功能。

工控協議的報頭通常包含認證信息、校驗信息、身份信息等基于全局的連接信息，通過該部分解析出連接信息并存入緩存區，用于辨別后續的連接。數據包主要包括對底層設備的定位信息、操作指令、數據信息及響應報文等直接面向過程的報文。該部分的解析需要結合緩存區中的連接信息，解析出每條報文或多條報文對應的具體操作，從而實現過濾。

隨著工業互聯網的推廣，以TCP/IP為基礎的工控協議，以其標準化、開放性而更加廣泛地應用在各類工控系統中。目前，國內廣泛應用的Modbus協議、DNP3協議、IEC協議和OPC協議大多基于TCP/IP協議進行封裝傳輸。其中，石化企業大多采用OPC協議來進行數據訪問[8]。

2.2 應用層的數據包深度解析

OPC協議并非嚴格的工業類協議，但由于其與傳統互聯網具備更好的兼容效果，逐漸受到各大自動化公司的青睞，并逐漸形成一套比較完善的標準。其為目前應用較為廣泛的信息交換的互操作標準，具備安全性、可靠性和平臺獨立性[8,11]。

OPC協議基于遠程過程調用(remote procedure call,RPC)/分布式組件對象模型(distributed component object model,DCOM)協議進行通信，是基于DCOM協議擴展的工控協議。而DCOM協議又是基于RPC協議開發的遠程接口調用協議[11]。所以在進行應用層協議的解析時，需要先解析RPC協議和DCOM協議，再解析OPC協議。雖然三者之間存在層層遞進的關系，但實際上DCOM協議在實現協議內部功能的時候，會借用一部分RPC協議報頭信息；OPC協議的結構中，也將DCOM協議的報頭作為自身協議報頭的一部分[11]。

①RPC協議及DCOM協議解析。

由于目前大多數OPC協議采用的是面向連接的模式，所以主要解析面向連接的RPC協議。面向連接的RPC包含11種協議數據單元(protocol data unit,PDU)。其中，Association PDU用于建立連接和維護通信，包含bind等綁定請求及應答報文；Call PDU用于在連接中實現請求操作，包含request、response等數據及操作請求與應答報文[11]。

RPC協議的PDU可以看作是OPC協議報頭的一部分。它為OPC協議提供了一個建立連接的方式，協助OPC協議維護連接信息。

DCOM協議的報頭只有一小部分被保留下來融入OPC協議。這一小部分報頭提供了報文的身份信息，在多個客戶端同時向服務器發起請求時，可以分辨出報文的源頭客戶端。所以RPC協議和DCOM協議的解析，本質上還是對OPC協議報頭信息的解析。

②OPC協議報頭解析。

OPC協議報頭包含了豐富的連接信息。通過對報頭的解析，能夠維護連接的身份信息、認證信息、緩存信息、指令類別及其具體操作等[11]。

通過接口定義語言(interface definition language,IDL)語義對OPC協議報頭進行解析，能夠解析出是哪個客戶端向底層設備發送了指令，以及指令所對應的操作。

③OPC協議數據包解析。

在IDL語義下，每條指令對應一個函數，數據包里的內容則是該函數的參數。對于數據讀取報文而言，該參數主要是所讀取的位號，即該條讀取指令的對象。服務器在收到合法指令后也會返回一個報文。其中的數據包是以具體數值作為返回函數的參數[11]。

數據包的解析是根據前面解析出的指令函數，得到參數的格式，將數據包中對應的數據段整理成函數的參數。對于單個參數的解析比較簡單，但OPC協議經常涉及到數據的批量處理以及分片、重傳等情況，因此需要解析包含多種情況的數據包。

3 工控網絡安全仿真測試平臺

本文以OPC協議為例，搭建了工控網絡安全仿真測試平臺，對OPC C/S間傳輸的數據包進行解析。本文的驗證數據采用了石化企業現場設備的通信數據，格式為.pcapng，可以通過抓包軟件直接進行抓取。仿真測試平臺由QT軟件開發完成。其主要功能是對抓取的OPC協議數據包進行深度解析，將報文內容逐條逐字段存入數據庫，將解析結果從數據庫取出并呈現在界面上，并提供各種規則配置進行測試。

3.1 仿真測試平臺架構

仿真測試平臺由報文處理、OPC解析、數據庫、監控顯示界面等多個模塊組成。

仿真測試平臺整體架構如圖3所示。

圖3 仿真測試平臺整體架構 Fig.3 Overall architecture of simulation and test platform

報文處理模塊讀取抓取的數據包文件，將其轉換為程序規定的數據格式。傳統解析模塊完成鏈路層、網絡層和傳輸層數據的初步解析，與未解析的數據一并傳入下一模塊。OPC解析模塊是軟件的核心，實現對OPC協議的應用層解析，并根據配置信息為該條數據貼上標簽。配置模塊提供黑白名單的模擬配置功能，并利用該信息驗證OPC解析模塊的解析結果。解析結果將被存儲到數據庫中。數據綜合模塊根據OPC解析模塊和數據庫中的數據，對解析結果進行綜合分析和判斷，并將結果傳遞給監控顯示界面模塊。顯示界面模塊輸出報文詳細信息等各種解析結果。

3.2 仿真測試平臺結果展示

仿真平臺軟件在打開數據包文件之后彈出交互界面。界面的上部分詳細顯示報文概要信息，包括IP地址、端口號、PDU類型、報文長度、序列號、確認號等內容；界面的下部分則顯示所選中報文的詳細信息。

報文解析的部分結果也展示在界面上，在通信連接建立并由仿真測試平臺維護通信后，客戶端向服務器發送類型為request的報文。然后測試平臺進行分析，可以解析得到相關操作指令面向的位號。每條Request報文經應用層展開后，會將報文詳細信息顯示在界面上。

實際通信過程中，往往由于報文長度較長而出現分片報文的情況，因此在解析過程中還需要考慮分片報文的問題。當測試平臺檢測到多片報文時，界面上會顯示相關信息，并且測試平臺進行報文的重組。

當傳輸過程中出現數據包中途丟包或確認字符(acknowledge character,ACK)丟失等問題時，會產生報文重傳。因此，報文解析時還需要考慮重傳報文的情況。當測試平臺發現重傳報文時，將把檢測結果顯示在界面上，表明測試平臺能夠正確檢測到重傳的報文。

在上述基于應用層協議解析的工控網絡安全仿真平臺進行試驗測試后，還對該平臺與石化企業實際生產裝置的數據訪問環境進行了連接和測試。測試結果表明，該平臺能夠根據報文解析結果，攔截報文中與功能實現無關的部分以及潛在的安全威脅，從而驗證了基于應用層協議解析的工控網絡安全防護策略的有效性。

4 結論

本文分析了基于應用層協議深度解析的工控網絡安全防護策略，以OPC協議為例開發了一個仿真測試平臺，并進行了實際通信數據的測試與驗證。該安全防護策略針對工業網絡傳輸協議的特點，對應用層協議進行解析；根據工業網絡較為單一的功能需求，攔截掉與功能實現無關的報文，并能夠發現隱藏較深的威脅，從而為工控網絡安全提供保障。實際通信的數據測試結果驗證了該方案的有效性。