泵站工控系統網絡安全防護技術研究

張 艷，張昊鵬，閆士秋

（山東省調水工程運行維護中心，山東 濟南 250100）

1 研究背景

隨著工業互聯網、工業4.0和“中國制造2025”等戰略的提出，推動了工業生產模式的變革、產業的組織創新和結構升級，使得傳統行業的基礎設施能夠進行遠程的智能化控制和操作，高度融合IT技術的工業控制系統得到迅速而廣泛的應用。工業控制系統設計之初主要是為了完成各種實時控制功能，安全防護方面的問題沒有考慮或考慮不足，這無疑給關鍵基礎設施的控制系統帶來巨大的安全風險和隱患。高速發展的科學技術為泵站自動化的業務集成提供了良好條件，泵站工控系統朝著測量、控制、調度優化、運行管理的一體化方向發展，集成了大量的PLC、HMI、I/O及通信等工控技術。但目前泵站工控系統網絡安全防護明顯滯后于系統的建設速度，泵站工控系統缺乏自身的安全性設計。

2 泵站工控網絡安全現狀分析

通過對泵站工控系統網絡安全的調研與梳理，泵站工控系統網絡安全主要存在以下幾個方面問題。

2.1 網絡通信層面

（1）安全域架構設計缺失。整體架構設計當初考慮更多的是上層網絡與生產系統網絡通信可用性問題，在管理網與生產網之間沒有進行安全隔離與控制，導致生產系統和生產數據存在未經授權的訪問、病毒感染、拒絕式服務攻擊等安全風險，容易造成生產核心數據的泄露或被惡意篡改。工控系統內部不同控制區域之間缺乏安全防御機制，容易造成某一區域遭受到攻擊，很快擴散到整個工控系統。

（2）控制指令數據通信明文傳輸。目前工控系統沒有針對數據傳輸的加密機制，管理網與生產網、上位機與 PLC 之間的通信采用明文數據傳輸，易被攻擊者竊聽、解析和重放攻擊。

（3）工控安全審計機制缺失。工控系統內部缺乏流量數據的實時監控，同時對于日常運維人員操作行為沒有進行安全審計管理，對于系統內部出現的異常流量、異常操作甚至人為原因造成的生產業務異常事件無法溯源，無法查明事件發生根本原因，最終難以對異常事件進行定性分析。

2.2 設備層面

（1）PLC設備存在漏洞。目前泵站工控系統使用的PLC大多是 Siemens、AB或GE等品牌，依據ICS-CERT統計的工業控制系統公開新增漏洞所涉及的工業控制系統廠商占比中， Siemens設備占比28%（排名第一），同時這些新增漏洞按照可能引起的攻擊威脅分類的統計及占比分析結果中，可引起業務中斷的拒絕服務類漏洞占比33%（排名第一），利用這些漏洞可以竊取生產計劃、工藝流程等敏感信息，甚至獲得工控系統的控制權，干擾、破壞工控系統的正常運行。

（2）工程師站、操作員站和業務服務器缺乏安全防護機制。工程師站、操作員站和業務服務器大多為 Windows或linux 系統，出于系統穩定性考慮，沒有安裝補丁或進行系統升級，殺毒軟件也無法及時更新，導致病毒查殺效果無法得到保證。缺乏進程監控、移動存儲設備監控、遠程維護監控、惡意代碼防范等措施。

（3）主機系統和應用系統身份認證機制不完善。工程師站、操作員站和業務服務器的身份認證機制沒有充分的安全性評估和驗證，大量中控室操作員站及監控終端都采用公用賬號（甚至是系統默認賬號），且系統操作界面長期處于開放狀態，導致進出中控室的所有人員都可以對其進行操作，可能存在被無關人員訪問操作員站進行未授權操作的安全風險。

3 泵站工控網絡安全防護策略

通過對泵站工控系統網絡安全現狀及脆弱性分析，針對泵站工控系統特點，應從區域隔離、訪問控制、主機安全防護、網絡審計與入侵檢測、安全集中管控等幾個方面開展泵站工控網絡安全防護技術研究及網絡安全防護建設。圖1為泵站工控系統網絡安全防護技術解決方案原理圖。

圖1 泵站工控系統網絡安全防護技術解決方案原理圖

3.1 區域隔離

在泵站核心交換機與上級調度中心之間部署工業網閘。工業網閘可動態管理連接端口，支持opc、modbus協議解析，可進行讀攔截、寫攔截、讀寫攔截。支持modbus協議元素級別控制，并應內置IDS入侵檢測引擎，可有效保護網絡免受頻繁攻擊。能自動分析內網的訪問請求，對可疑數據包采取拒絕連接的方式防御攻擊。并具備完善的SAT功能，服務器可通過SAT功能將特定服務虛擬映射到隔離網閘的不可信端口上，通過隔離網閘的不可信端虛擬端口對外提供訪問服務，使訪問者僅能訪問虛擬端口而無法直接訪問服務器，從而防止服務器遭到攻擊。

3.2 訪問控制

在泵站中心核心交換機與現場設備層交換機之間部署工業防火墻。工業防火墻應支持對多種工控協議的深度解析，并進行指令級的訪問控制，例如報文格式檢查、功能碼控制、寄存器控制，連接狀態控制等。可采用會話狀態檢測、包過濾機制進行網絡訪問控制，阻止各類非授權訪問和誤操作行為。內置的數據自學習引擎通過深度解析工控協議、分析工業控制行為過程，自動建立基于工控協議的操作行為和規則的工控安全檢測模型，以此作為白名單防護的基線，并可通過自定義規則進行強化，保護合法操作，過濾高危行為。

3.3 入侵檢測

在泵站中心核心交換機上部署工控入侵檢測設備。工控入侵檢測設備應基于狀態檢測機制對會話進行分析，跟蹤會話從建立、維持到中止的全過程。IPS特征庫中應包含特有的攻擊或應用檢測，支持溢出類攻擊、暴力破解類攻擊、后門類攻擊、CGI類攻擊、SQL注入類攻擊、跨站腳本類攻擊、掃描類攻擊、跨站請求偽造攻擊、分布式拒絕服務攻擊等多種攻擊檢測。支持報文格式檢查、功能碼控制、動態端口識別、寄存器控制，連接狀態控制等的檢測，可有效防御工控協議和工控廠家的漏洞。

3.4 安全審計

在泵站接入交換機上部署工控安全審計設備。工控安全審計用于實時工控網絡監測，對協議、流量等元素進行統計分析，實時顯示網絡的狀態。實時檢測工控網絡中的攻擊行為，利用內置的工控威脅庫，根據已知的威脅特征建立檢測規則，實時對網絡中的入侵進行告警。通過深度解析工控協議、分析工控過程行為，自動學習基于工控協議的操作行為和規則，建立安全檢測模型。通過自定義規則或白名單規則，檢測業務流量中不合規的工控行為，對不合規行為進行實時的告警和響應。對安全事件進行審計，及時追溯安全事件的軌跡。

3.5 主機安全防護

在泵站工控系統中的操作員站、工程師站、數據庫等服務器上部署主機安全防護衛士。具備主機加固、白名單可信防護、惡意代碼攔截、系統數據訪問控制、外設管控等多種安全能力。禁止白名單以外的可執行文件、腳本運行。嚴格限制網絡入棧請求，防范開放過多的端口后因系統級漏洞帶來安全隱患，保護操作系統不受SYN Flood攻擊。設置受保護的文件或目錄，僅允許對受保護的文件或受保護目錄內的文件的讀取操作，禁止對其進行修改或刪除等。非白名單進程運行、USB設備接入拔出、訪問控制、防火墻、管理員操作等均產生安全事件并記錄，事件記錄加密存儲，不可刪除、不可篡改。

3.6 日志審計

在泵站中心核心交換機上部署日志審計系統。具有強大的日志綜合審計功能，為不同層級的用戶提供多視角、多層次的審計視圖。具有全局監視儀表板，可監測不同類型設備、不同安全區域的日志流曲線，以及網絡整體運行態勢和告警信息等。具有視圖統計功能，可根據統計策略，從多個維度進行安全事件統計分析。

3.7 集中管理

在泵站中心核心交換機上部署集中管理平臺。支持工業防火墻、工控安全審計系統、主機衛士等工控安全產品的接入管理。平臺具備完整的安全策略管理，能對被管理的安全設備進行集中的安全策略收集和配置。IP與MAC綁定增加現有網絡內安全等級，使未授權機器將無法對本系統進行操作。通過深度解析工控協議、分析工控過程行為，自動學習基于工控協議的操作行為和規則，建立安全檢測模型。對安全事件進行審計，及時追溯安全事件的軌跡，對用戶的操作行為進行細粒度審計，方便還原操作的真相。實時監控系統中安全設備、工控設備、網絡設備的狀態、安全事件、系統事件、日志等信息。

4 結語

通過對泵站工控系統網絡安全現狀及安全防護技術的研究，構建了以安全可控為目標、監控審計為特征、持續安全運營為一體的泵站工控系統新一代主動防御體系，提高了泵站工控系統整體安全性。以工控協議的深度解析技術的應用為支撐，采用基于構建可信主機系統、可信的網絡環境和白名單機制的安全防護技術，設計構建安全防護體系，使安全防護更具有基于行為的主動防御能力。