工业控制网络安全防御体系的关键技术研究

李平 李程程

[摘 要] 从工业控制網络特殊的安全防护要求出发，分析了工控网络安全防护存在的问题以及危害，针对目前亟待解决的工控网络通信的协议安全性、工控网络的风险评估与预测以及工控网络的态势分析的关键技术进行了详尽分析，对于丰富工业控制网络的安全防护理论体系，指导工业控制网络的安全防护建设工作有着重要的现实意义。

[关键词] 工业控制；网络安全；风险评估

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 01. 080

[中图分类号] TN915.08 [文献标识码] A [文章编号] 1673 - 0194（2019）01- 0186- 04

1 工业控制网络的安全防御体系的概述

近期针对工业控制网络的有组织、有目的的攻击事件的频繁出现，如 “震网”及乌克兰电网攻击事件等[1-2]，工业控制网络正面临着日趋严重的安全威胁。由于流程工业控制网络（OT）的专业性较强、运行可靠性要求高，使得工业控制网络的安全防御技术较传统的IT信息安全保护技术有较大不同[3-4]。另外，目前超过80%的关键信息基础设施依靠工业控制网络来实现自动化作业，工业控制网络已经成为国家信息关键基础设施的重要组成部分，其安全已关系到国家的战略安全。随着信息化与工业化深度融合以及物联网的快速发展，工业控制网络产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，导致病毒、木马等威胁正在向工业控制网络扩散，其网络安全问题日益突出。由于工业控制系统厂家对其通信协议是封闭的，其安全性直接威胁我国的“中国制造2025”国家计划的安全性，因此，针对工业控制网络安全防御的一些关键技术研究显得更加迫切。

2 工业控制网络的安全防御体系的现状与亟待解决的问题讨论

我国的工业化与信息化现在正处在深度融合阶段，工业控制网络在保护需求、响应时间与更新周期等方面的要求较之信息网络存在较大的不同，使得目前面向信息网络的安全防御理论与技术不能直接应用到工业控制网络的安全防御之中。目前在工业控制网络的安全防御建设工作中，以下几方面的问题亟待解决：

（1）与工业控制网络相关的安全防御理论体系有待进一步的完善。国家层面对工业控制网络的安全防御的相关标准、解决的理论与体系亟待完善。

（2）缺乏针对工业控制网络安全防御的相关技术手段。由于工业控制网络对于运行的连续性与响应时间等方面的要求较高，有别于信息网络的要求，研究针对工业控制网络的安全防御理论及技术非常必要。

（3）对于来自工业控制网络内部的各类攻击行为的防范能力仍显不足。现有的工业控制网络安全防御防范主要针对来自网络外部的攻击行为，对于来自网络内部的威胁缺乏安全保护机制。

（4）对于工业控制网络设备资产的管理与监控能力不足。目前绝大多数的工业控制网络中并没有对于其设备资产的管理与监控机制，容易受到攻击。

（5）缺乏对于工业控制网络运行状态的实时感知：无法发现正在发生的攻击行为，贻误制止攻击者的最佳时机。

（6）缺乏对于工业控制网络攻击事件做出及时响应与反制的能力。尽管相关部门针对国家关键基础设施的安全事故制定了应急指南，一些危害需要用户判断，耽误了工业控制网络恢复正常运行所需要的时间，造成损失扩大。

在我国，构建一个工控网络环境可信、网络状态可知、网络运行可控的工业控制网络作为防御体系，对于工业控制网络的安全保护建设工作来说具有至关重要的理论与现实意义。

3 安全防御体系的关键技术研究

根据工信部发布的《工业控制网络安全防护指南》的建议，在工控安全体系建设中，需要建设一个完整的工控系统安全防护体系，包括：工控信息安全管理、工控安全风险评估、工控网络安全防护以及相应的管理制度等，确保工业控制网络信息的安全。其中，有几项关键技术亟待研究并实践。

3.1 工业控制网络协议安全性研究

目前工业控制网络一直使用着较为复杂的专有封闭通信协议，如Modbus/TCP、Profinet、DNP3、OPC等可能存在漏洞，攻击者可利用漏洞发送非法控制命令，又由于通信过程不具备加密、认证功能和完成情况保证，存在被窃听、伪装、篡改、抵赖和重放的风险[5]，可见工业控制网络及其专有通信协议及规约的安全性问题亟待解决。在我国关键基础设施的大型DCS中，普遍采用OPC通信服务，而大量的OPC Server往往使用弱安全认证机制，以及过时的认证授权服务，因此，对OPC安全研究具有一定的意义。

按照工信部338号文件《工业控制网络安全防护指南》的指导建议，工业现场应该采用指令级工业防火墙，其要求不仅可以深度解析OPC协议到指令级别，而且可以跟踪OPC服务器和OPC客户端之间协商的动态端口，最小化开放生产控制网的端口，同时对OPC客户端与OPC服务器之间传输的指令请求进行实时检测，对于不符合安全要求的操作指令进行拦截和报警，并对OPC进行写入控制，实现 OPC 单向只读控制，这些安全措施可以极大提升了基于OPC协议的工业控制网络的网络安全。

指令级工业防火墙针对OPC协议的安全性，采取的关键技术：

（1）监控OPC网络和服务器：在通信时，动态实时跟踪OPC服务器分配的通信所需要的TCP端口号，尽可能少地打开防火墙的端口，允许数据连接通过的同时尽可能关闭所有未使用的端口。

（2）对OPC客户端与OPC服务器之间传输的指令请求进行实时检测，同时对OPC可进行写入控制，实现 OPC 单向只读控制。

（3）使用OPC-UA：OPC-UA传递的数据是可加密的，并对通信连接和数据本身都可实现安全控制。这种新的安全变种可以保证从原始设备到MES、ERP系统的各种数据的可靠传递。

（4）采取增强安全措施：可将OPC服务器隔离到只包含授权设备的唯一分区中，并采用“分区加固、身份认证”技术，达到纵深防御的目的。

（5）通信内容加密技术：所有通信的内容都被加密后传输，工业防火墙对收到的信息进行解密后再进行通信协议过滤和内容的深度检查。

3.2 工业控制网络的风险评估技术

目前“工业控制网络安全是一项系统工程”的观点已得到了工控界的广泛的认可和接受，作为该工程的基础和前提的风险评估也越来越受到大家的重视，但在该领域的研究、发展过程中还需要纠正和解决一些模糊概念和问题：

（1）目前国内还缺乏具有自主知识产权、比较系统地针对工业控制网络系统安全评估标准和体系。

（2）工控网络风险评估过程的主观性是影响评估结果的一个相当重要而又是最难解决的方面，目前缺乏系统性的指南。

（3）针对工控网络风险评估工具比较缺乏，市场上关于信息安全风险评估比较成熟的产品很少，工控网络风险评估相关的工具更是匮乏。

针对工业控制网络的风险评估目前尽管有GB/T33009-2016《工业自动化和控制系统网络安全》系列标准，但是工控网络系统的敏感性和时效性都要求比较高，因此技术性的评估设备在使用过程中，需要做好充分的风险识别和处置预案，如漏洞扫描原则上不能直接应用于工控系统，而是通过在备用系统或者停产系统上漏扫的方式进行。对工控系统进行在线漏洞扫描很可能造成生产异常，在这方面是有很多真实案例：某一安全厂商受邀对国内某著名火电集团的工控系统做风险评估，由于使用在线的漏洞扫描方式，导致数据采集服务器宕机，从而造成关键生产数据丢失。

渗透测试作为风险评估的有效工具方法，其直观性显而易见，但是正所谓凡事有利就有弊，渗透测试的过程控制在工控系统风险评估中尤其重要。如果渗透人员对工控系统了解不足，在渗透过程中有误操作行为产生，那么很可能带来直接的安全问题生产灾难，将测试变成了攻击。

针对工业控制网络风险评估的特殊性，比较实用的流程模型见图1所示。

3.3 工控网络安全事件关联分析与态势评测技术研究

随着工控网络规模的迅速增大，网络的异构性和复杂性日益增强，黑客技术的快速發展，使得工控网络的安全问题面临着巨大的挑战，为了保障工控网络的安全，就需要对已有的工控网络状态信息进行分析，对将来的网络状态趋势进行预测，根据预测结果作出应对的策略，减少因网络安全问题而造成的损失[6]。

为了保证工业控制网络系统的安全运行，在工业控制网络中广泛使用了工业防火墙、IDS、漏洞扫描系统、安全审计系统等安全设备。每种网络安全设备在使用中都能产生很多的安全事件信息，由于这些设备存在功能单一，各自为政，不能协同工作的特点，所以产生的这些安全事件信息中含有大量的重复报警和误报警。同时由于工控网络的异构性和复杂性，网络安全事件多种多样，产生的网络安全数据由于来源不同、采集方式不同，具有不确定性、不完整性、变异性和模糊性的特点。为了更好地对网络安全事件进行分析和处理，就需要对网络安全数据进行预处理，综合考虑网络安全事件的关联性，对相同的和相近的网络事件进行合并，去掉冗余，减少误报警和漏报警概率，有利于提高网络安全状态评估和预测的准确性和高效性。常见的关联方法有告警关联、因果关联、属性关联等。

工控网络安全态势分析技术首先要对各种对网络安全性有影响的网络要素进行检测和获得。影响网络安全的要素非常广泛，既有时间上的，也有空间上的。对要素进行采集和获得之后，要对这些安全信息均采用分类、合并、关联等信息分析手段进行信息融合，然后对融合后的安全信息进行综合分析与评估，获得当前网络的整体安全状态信息，最后根据已有的网络安全态势信息对网络未来的安全态势进行预测。

对网络安全态势分析工作，主要由以下关键部分构成：

（1）态势要素的获取：采集和获取相关环境中的重要信息和线索，获得原始态势数据，这是进行态势评估和预测的前提和基础。

（2）态势理解：整合采集到的原始的态势数据和信息，分析它们之间的相关性。

（3）态势评估：根据已经确定的指标体系，定性定量的分析网络当前的安全状态，寻找薄弱环节，并给出相应的解决方案。

（4）态势预测：根据对环境相关原始信息的理解和分析，预测事物的未来发展状态和趋势，这是网络态势研究的终极目标。

在如图2所示的动态分析体系中，由网络传感器收集网络环境信息，网络安全态势分析进行觉察、理解和预测，然后根据分析的结果进行网络威胁评估，最后将评估结果提供给决策层进行决策的执行。因此，网络安全态势分析在动态网络安全防护体系中起着非常重要的作用。只有通过实时、准确的态势分析，才能有效地进行危险评估，才能在危险评估基础上采取有效的策略应对网络安全，否则将不能对网络实施“深度防御”，保护网络的安全。

4 结 语

工业控制网络作为关系到国计民生的关键基础设施的重要支柱，其控制网络安全问题一直备受关注。本文从工业控制网络的安全问题出发，重点讨论了工业控制网络安全的通信协议的安全性、风险评估以及态势分析等关键技术，为进一步保障工业控制网络安全的研究扩展了思路。

主要参考文献

[1]王玉敏.工业控制系统信息安全防护能力介绍[J].自动化博览，2015（11）：58-60.

[2]伊胜伟，戴中华，彭勇，等.炼化行业工业控制系统信息安全分析[J].工业控制计算机，2014，27（10）：1-3.

[3]魏可承，李斌，易伟文，等.工业控制系统信息安全防护体系规划研究[J].自动化及仪表，2015，36（2）：49-52.

[4]邸丽清，高洋，谢丰.国内外工业控制系统信息安全标准研究[J].信息安全研究，2016，2（5）：435-441.

[5]杨晨，潘衡尧，蒋帅.OPC实现APROS与DCS半实物仿真系统的实时通信[J].化工自动化及仪表，2017，44（4）：392-396.

[6]杨乐.分散控制系统信息安全方案探讨[J].石油化工自动化，2017，53（3）：1-4.