工業互聯網企業側安全監測研究

趙一凡，李富勇，魏珂悅，林逸風

（浙江省電子信息產品檢驗研究院，浙江 杭州 310007）

0 引 言

伴隨著新一輪科技革命和產業革命，工業領域的數字化、網絡化、智能化發展成為第四次工業革命的核心內容。工業互聯網第四次工業革命的重要基石是通過人、機、物的全面互聯，全要素、全產業鏈、全價值鏈的全面連接，對全生命周期的工業數據進行采集、傳輸、存儲、分析并形成智能反饋，推動形成全新的生產制造和服務體系，優化資源要素配置，充分發揮制造裝備、工藝和材料的潛能，提高企業生產效率，創造差異化的產品并提供增值服務。但工業系統與新一代信息技術的深度融合，讓工業企業的工控網絡、信息網絡和互聯網之間的邊界更加模糊，為網絡攻擊入侵工控系統提供更多途徑，使得工控系統面臨一系列更加復雜的安全挑戰。

自2000年開始，全球就持續面臨針對工業控制系統的網絡攻擊。2008年，美國Browns Ferry核電站受到網絡攻擊，反應堆核心控制器工作失靈，被迫關閉；2010年，伊朗布什爾核電站遭受震網病毒攻擊，離心機大面積損壞，導致整個國家核工業發展延期，損失難以估量；2015年，烏克蘭電力系統受到“BlackEnergy”惡意軟件的攻擊，導致大規模停電，給成千上萬家庭的供電供暖帶來嚴重影響；2018年，臺積電三處晶元廠遭受“WannaCry”勒索病毒攻擊，停產不到三天時間，損失超15億；2019年，委內瑞拉最大的電力設施古里水電站控制中樞遭受網絡攻擊，引發全國性大面積停電，約三千萬人受到影響；2020年，美國一家天然氣公司遭受勒索軟件攻擊后被迫關閉設施兩天，勒索軟件從其IT網絡滲透到OT網絡，對網絡資產均造成影響。隨著工業互聯網的快速發展，國內工控網絡安全現狀不容樂觀，需要加強工業企業安全監測技術的研究[1]。

1 工業企業網絡安全風險分析

傳統工業企業工控網絡相對封閉，與信息網絡物理隔離，可在一定程度上抑制信息安全網絡攻擊向工控網絡和工控設備滲透。但工業互聯網的快速發展打破了工控網絡和信息網絡的邊界，網絡攻擊行為能通過多種途徑滲透工控網絡，影響工業控制系統的穩定。使用工業互聯網的工業企業面臨著嚴峻的網絡安全挑戰[2]。

1.1 工控系統漏洞隱患較多

國內工業控制系統的研制起步較晚，如浙江中控、北京和利時等。國外工業控制系統占據較大的市場份額，例如西門子、施耐德電氣、霍尼韋爾、羅克韋爾、通用電氣等。這些廣泛應用于關鍵信息基礎設施的工控系統，存在大量已知或未知的漏洞和后門，即使設備供應商提供漏洞解決方案，但對于使用中的工業控制系統也很難進行漏洞修復。

這些工控系統的維護需要廠商的參與，在廠商無法到達現場的情況下，只能由廠商進行遠程維護，但此舉有可能引入網絡攻擊，導致數據泄露，帶來極大的安全隱患。

所以只有提升核心工控系統的自身安全性，才能有效應對工業互聯網環境下全方位、多角度的網絡安全威脅[3]。

1.2 工控系統安全防護能力弱

工控系統和工控網絡的建設已經有幾十年的歷史。工控系統在設計之初，在性能有限的情況下，更多考慮其穩定性和可靠性，未考慮工控系統自身的安全性。

在組建工控網絡時，因為工控網絡和信息網絡存在物理隔離，網絡攻擊可能性低，所以工控網絡未做統一完善的安全防護方案。同時，大量工控網絡的工控設備和工業網絡設備普遍采用缺省配置，容易被攻擊利用。

在工控網絡投入使用后，系統使用年限長，設備更新換代慢，存在難以替代的情況。

1.3 開放互聯導致攻擊途徑增多

傳統工控網絡與外部網絡物理隔離，相對封閉，沒必要防范外部網絡攻擊，所以較少做統一的安全防護。

但隨著工業自動化和信息化的高度融合，IT和OT的網絡邊界被逐步打破，僵木蠕和APT等網絡攻擊行為會通過多種途徑由互聯網逐步向信息網絡、工控網絡滲透，對工業系統的正常運行造成影響，工業企業的工控網絡面臨著巨大的安全挑戰[4]。

1.4 工控系統網絡攻擊更有針對性

工控系統由上位機和下位機組成。上位機包括HMI、工程師站、操作員站等，主要建立在Windows和Linux操作系統之上；下位機包括DCS、PLC、RTU等，主要是嵌入式系統。這些設備主要通過工業協議通信，完成控制命令和數據的交互。

傳統互聯網的網絡攻擊能夠影響上位機的運行，如操作系統層面的越權操作、信息竊取等，對于工業協議和下位機的嵌入式系統影響不大。

隨著工控系統暴露出來的漏洞逐年增多，針對工控系統的網絡攻擊也更加具有針對性，這些攻擊行為有部分使用工業協議，對DCS、PLC等設備進行工業參數篡改、緩沖區溢出等。有些攻擊比較明顯，可通過網絡通信發現，但有些攻擊非常隱蔽，通過較長的攻擊鏈長期竊取生產數據，或者使用中間人攻擊，導致下位機異常，而上位機卻未察覺。當前，針對工控系統的攻擊途徑逐漸增多，攻擊方式更加多樣，更有針對性[5]。

1.5 工業數據泄露風險與日俱增

工業企業的工業生產數據的數量、種類已得到較大發展，且數據結構更加復雜。同時，由于工業互聯網平臺的發展，這些數據可能需要在系統之間、車間之間、廠區之間、企業之間流動共享，實現要素資源的融合融通，從而增加了工控網絡生產數據和隱私數據的泄露風險。數據從系統內流向系統外，從工控網絡流向信息網絡，從企業內流向企業外。各行業、各系統數據保護需求不同，數據流向不同且路徑復雜，大大增加了數據保護的難度。

1.6 應急處置能力弱

要保障工業企業工業控制系統的網絡安全，有效應對網絡安全威脅帶來的風險，需要建立相應的安全防護體系和安全監測體系，落實相關安全管理規范。但我國在工業安全建設方面起步較晚，不同行業的工業安全建設差別較大，在防護體系、架構設計、安全監測、應急響應等方面相對較弱，部分企業無監測預警機制，也無網絡安全應急響應預案，相關建設有待提高。

2 安全監測相關技術

工控網絡安全監測技術主要包括工業協議深度解析技術、異常行為檢測技術、日志采集及分析技術、蜜罐技術、沙箱技術、網絡攻擊溯源技術、態勢感知技術等。

2.1 工業協議深度解析技術

工業控制系統之間、上位機和下位機之間基于總線或以太網通過工業協議進行指令和數據交互。少部分工控協議為公開協議，例如MMS、GOOSE、IEC103、IEC104、Modbus/TCP、Ethernet/IP等；但大部分工控協議為私有協議，例如西門子S7、浙江中控、北京和利時、koyo、bachmann、紅獅Crimson、foxboro、艾默生ovation等所使用的工業協議等。要檢查指令和數據交互的合規性，實現安全監測與分析，需要對工業協議進行精準的DPI深度報文解析。通過解析工業協議，提取功能碼、數據等協議關鍵字段，覆蓋主流工業協議，從而發現網絡流量中存在的安全問題。

2.2 異常行為檢測技術

針對工控系統的網絡攻擊和違規操作等需要通過基于工控網絡的網絡通信來完成。通過在工控網絡的核心節點監聽網絡流量，可以實時發現網絡中的異常通信，例如網絡攻擊、非法接入、下位機組態變更、工藝參數調整、工控系統啟動/停止等異常行為，從而找到異常行為源頭，及時響應處置，避免生產事故的發生。工業協議異常行為檢測以工業協議深度解析為基礎，應支持對數據包特征、工控指令等行為進行檢測，及時發現關鍵事件。

2.3 日志采集及分析技術

工業企業的生產環境包括大量設備，如DCS、PLC、SCADA、RTU、工程師站、操作員站、OPC服務器、工業數據庫、網絡設備、安全設備等。上述設備在運行過程中會產生相應的日志，包括操作系統日志、設備運行日志、應用軟件運行日志、網絡事件日志、安全事件日志等。這些日志記錄了設備和網絡中發生事件的信息，包括性能信息、故障檢測和入侵檢測。因此日志不僅可以告訴我們工控系統運行狀態是否正常，也可以在事故發生后查明“發生了什么”，是一個很好的“取證”信息來源。但日志數據大多是異構的，其在數據格式和元數據上可能不一致，需要清洗過濾后進行匯總分析[6-7]。

2.4 沙箱技術

工控網絡中，一些業務會通過工業協議或傳統以太網協議傳輸文件，這些文件可能被惡意程序感染。對于惡意程序的檢測，有2種常見方式，即靜態分析與動態分析。動態分析在一個受控環境中運行并監控給定應用程序的行為，其使用了許多啟發式方法來增強對應用程序動態行為的捕獲能力[6]。給定應用在沙箱中執行，運行較長一段時間后才能獲得其運行特征，比如監控文件傳輸、網絡通信、進程和系統資源的使用等。

2.5 蜜罐技術

隨著工業互聯網的發展，針對工控系統的攻擊途徑增多，攻擊方式日益復雜，單純的安全防御更顯被動。因此可以考慮通過設置陷阱，引誘攻擊源對陷阱發動網絡攻擊，從而第一時間發現相關安全威脅。

攻擊源對一個工業控制系統攻擊前，需要搜集系統信息，然后通過一系列攻擊路徑達到攻擊目的。

蜜罐應用于工業企業的工控網絡和信息網絡中，誘使攻擊源對其訪問或進行網絡攻擊，從而捕獲攻擊內容、攻擊方式和攻擊源信息，為第一時間進行響應處置提供支撐，切斷攻擊源對真實設備的訪問路徑，同時進行關聯分析，利用溯源分析技術對攻擊進行實時跟蹤分析[8]。

2.6 網絡攻擊溯源技術

隨著網絡攻擊技術的發展及攻擊路徑的增加，且對工業控制系統和工業協議逐漸熟悉，工控系統的網絡威脅日益復雜，傳統的被動安全防御日益乏力。可以通過工業協議解析、異常行為檢測、系統運行和安全日志、蜜罐所受網絡攻擊等發現網絡攻擊的源頭，采取有針對性的措施，降低網絡威脅的影響。

確定網絡攻擊源頭的技術為追蹤溯源，是指根據網絡攻擊行為找到網絡攻擊者的身份，身份信息包括攻擊者的IP地址、MAC地址、主體類型、操作系統信息、賬戶信息、攻擊頻率、地理位置信息等[9]。

2.7 態勢感知技術

通過前面所列技術，工業企業能收集到海量安全相關數據。態勢感知以這些海量安全數據為基礎，進行數據過濾和統計，形成企業安全趨勢，幫助企業發現自身存在的安全問題，為后續安全建設提供數據支撐[10]。

態勢感知可以實現海量信息的實時集中匯集、綜合分析、實時異常報警等，有效提升工業企業網絡安全監測和態勢感知能力，實現網絡安全事件和風險的監測、分析、審計、追蹤溯源和風險可視化；增強工控網絡安全情報共享和預警通報能力，實現跨部門間信息共享和預警通報的通道，做到信息共享和預警通報及時、客觀、準確、完整，切實提升工業互聯網企業網絡安全的應急指揮和處置能力。

3 企業側安全監測建設內容

圖1所示為典型的工業企業網絡，包含信息網絡和工控網絡。按照分層原則，從下至上分別為現場設備層、現場控制層、過程監控層、生產管理層、企業資源層。

圖1 典型工業企業網絡結構

現場設備層主要包括執行單元和傳感設備，用于對生產過程的操作和感知，例如閥門、開關、數字量采集設備和模擬量采集設備等。

現場控制層主要包括控制器單元，如PLC、DCS、RTU等，用于控制現場設備層的設備。PLC、DCS與傳感器、執行單元間通過現場總線通信。常見現場總線有PRIFIBUS（過程現場總線）、FF-BUS（基金會現場總線）、CAN-BUS（控制器局域網絡總線）等。

過程監控層主要包括監控服務器與上位機功能單元，用于對生產過程數據進行采集與監控。例如工程師站、操作員站、OPC服務器、歷史數據庫等。

生產管理層主要包括MES系統等功能單元，用于對生產過程進行管理，如制造數據管理、生產調度管理等。

企業資源層主要包括ERP、OA，PLM等功能單元，為企業決策層員工提供決策支持。

圖2所示為企業側安全監測技術架構。

圖2 安全監測技術架構

3.1 邊界防護

工業企業根據其業務類型往往存在不同作用、不同級別的網絡，這些網絡的安全防護級別要求也不同。不同安全級別的網絡間會進行連接，從而形成網絡邊界。在網絡邊界上部署可靠的安全防御措施，能夠極大地防止來自鄰近網絡的入侵行為。進行網絡分區是等保2.0安全區域邊界的前提，也是電力監控系統“安全分區、網絡專用”的基本要求。

在現場控制層、過程監控層、生產管理層之間部署工業級防火墻或網閘等設備；在生產管理層和企業資源層之間，企業資源層和互聯網之間部署防火墻、網閘、安全網關等安全隔離設備，實現網絡邊界的隔離和安全防護。

3.2 流量采集及異常行為分析

在現場控制層、過程監控層、生產管理層、企業資源層和企業互聯網出口部署流量探針，對流量中的傳統以太網協議和工業協議進行深度解析，判斷傳輸指令和數據的合規性，發現網絡流量中的違規行為、異常行為和網絡攻擊行為，并將這些安全事件即時傳輸給其他模塊，進行后續操作。

3.3 日志采集

除現場設備層，其他各層都可部署日志審計設備，進行日志采集。包括工業控制系統、主機、操作系統、應用軟件、網絡設備、安全設備的運行日志和安全日志等。對日志進行過濾篩選，從中發現安全事件信息、運行故障信息和其他異常信息等。

3.4 沙箱技術

在安全監測平臺中，部署沙箱虛擬環境。流量采集設備從網絡流量中提取可疑的可執行文件，沙箱根據文件類型啟動多個版本的虛擬操作系統，并將可疑文件放入虛擬操作系統環境中，通過長時間運行，觀察系統是否被惡意操作，從而確認該可疑文件是否安全。

即使可疑文件帶有木馬病毒、廣告插件等惡意程序，在沙箱虛擬環境中對應用程序或操作系統進行感染和惡意修改，其影響范圍也只限制在虛擬環境中，不會影響工控網絡。沙箱會自動清理虛擬環境，清除可疑文件。

3.5 溯源分析

通過異常行為檢測、惡意文件沙箱檢測，可以獲取大量安全事件信息。根據獲得的安全事件，結合對應的網絡流量和安全日志，可以對攻擊源和攻擊路徑進行溯源追蹤。

通過網絡攻擊溯源技術可以發現攻擊源頭，從而進行有針對性的防護和抑制，避免其他工控系統受到該攻擊源的網絡攻擊，保障工控網絡整體安全。

3.6 態勢感知

基于提取的海量企業側基礎數據和安全數據，對企業資產和流量做深度監測，對工控類漏洞和安全事件進行多方位、多層次的關聯分析，集中反映企業側工控系統網絡的實時安全態勢。

以安全事件和漏洞監測為脈絡，實現對工業資產、工控設備、網絡流量、重要業務應用的監測和預警。面向攻擊利用行為進行監測，及時生成網絡安全預警信息，提高工業互聯網漏洞監測、事件監控及預警響應能力，為安全決策提供技術和數據支撐。

4 結 語

針對工業控制系統的網絡攻擊和入侵正在向多元化、復雜化、規模化發展。工業控制系統由于在設計之初注重功能性和穩定性，忽視安全性，因此存在大量安全漏洞。同時因可用性的要求，絕大多數工控系統使用者都不會對系統進行升級或改造，因此工控系統和工控網絡會成為網絡攻擊的首選目標。使用工業互聯網的工業企業建設完善的安全監測體系能夠實時、準確地掌握網絡安全態勢，檢測惡意攻擊行為，針對安全事件進行預警和快速響應，讓網絡安全工作具有主動性和條理性，是監測和預防網絡安全事件的有效途徑。