工控网络安全

一次性进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：16004488

微信公众号：计算机与网络安全

ID：Computer-network

工控信息安全风险评估

“工控”即“工业控制”，工业控制系统（ICS，Industrial Control System）是一类用于工业生产的控制系统的统称，它包含PLC控制系统（PLC，Programmable Logic Controller）、分布式控制系统（DCS，Distributed Control System）、监视控制与数据采集（SCADA，Supervised Control And Data Acquisition）系统等。PLC控制系统是单用PLC互相连接构成的控制系统， PLC与PLC之间采用松散的连接方式，难以做出协调的高精度控制，主要应用于小型生产过程，如灌装流水线、邮件分发流水线等。分布式控制系统（DCS）也被称为集散控制系统，用于大规模的连续过程控制，适用于测控点数多、精度高且反应速度快的工业现场，如发电、炼油厂、污水处理、化工等。数据采集与监视控制系统（SCADA），国内也称之为组态监控软件，主要实现广域环境的生产过程和事物管理，其大部分具体控制工作还需要依赖现场环境的控制设备，主要应用于电力系统、输油管道和轨道交通等。

一、工控网络安全概述

如图1所示，工业控制系统可简单划分为过程控制网络和现场控制网络两部分。过程控制网络中部署多种关键工业控制组件，通过SCADA服务器（MTU）与远程终端单元（RTU）组成远程传输链路。

图1  典型工业控制系统结构

过程控制网络向下与现场控制网络相连接。现场总线的控制和采集设备（PLC或RTU）一方面将现场设备状态传送到过程控制网络，另一方面还可以自行处理一些简单的逻辑程序，完成现场控制网络的大部分控制逻辑功能，如控制流量和温度、读取传感器数据等。

过程控制网络向上与企业信息网络相连接。在企业信息网络中，企业资源计划（ERP）服务器和制造执行系统（MES）服务器与工业控制系统紧密相连。

在企业信息网络中，邮件、Web、ERP等业务都需要与互联网相连接，而MES需要与工业控制系统相连接，以获得生产过程的各种数据，并下达生产任务。各种病毒和木马就是利用这个通道进入企业信息系统，进而进入到工业控制系统中，这已经成为工业控制系统的主要安全威胁来源。随着信息技术的快速发展，工业控制系统中的无线连接、移动存储介质（U盘）、远程维护和升级等新兴技术和应用的广泛使用，为工业控制系统引入了更多的安全风险。

工业控制系统是交通、电力、水利等传统国家关键基础设施的大脑和中枢神经，工业控制网络安全已经上升到国家战略安全的高度。

二、工控网络安全面临的挑战

近年来，工业控制系统经历了重要的发展历程，引入了工业以太网和TCP/IP等开放性通信协议，系统平台趋于开放化和标准化，与外部网络的连接变得更为紧密与频繁，特别是工业4.0概念融合了智能工厂、智能生产、智能物流的思想。许多攻击通过互联网侵入到工控系统中，能源领域、石油化工领域、水利领域、核工业控制系统、交通控制系统中的安全攻击事件屡见不鲜。

工控系统所面临的网络安全威胁日益严峻。除了工控网络安全事件的数量不断增加需要关注外，安全事件的分布同样值得关注。大部分工业控制安全事件发生在能源电力等基础行业。

与层出不穷的安全威胁相比，工业控制系统的网络安全防御能力却非常薄弱。许多在传统信息领域不会造成危害，或已经得到妥善解决的安全威胁，在工控领域却会造成严重危害。导致这种现象的原因主要有：首先，工业控制系统最初只是为了满足人们的功能性需求，缺乏先天的安全理念和安全设计；其次，工业控制系统运行时间长，更新换代慢，存在大量老旧系统，因此，安全防护能力严重落后；最后，工业控制系统对实时性、可用性要求高，不便于停机处理和软件升级，因此，对安全威胁缺乏足够的响应能力。

三、工控网络安全的特征

1、工业控制系统的特征

与传统的信息系统相比，工业控制系统有许多不同的特征。

从建设目标上看，传统信息系统旨在利用计算机、互联网技术实现数据处理与信息共享，而工业控制系统旨在利用计算机、互联网、微电子以及电气等技术，使工厂的生产和制造过程更加自动化、效率化、精确化，并具有可控性及可视性，它强调的是工业自动化过程及相关设备的智能控制、监测与管理。

从体系架构上看，传统信息系统是通过互联网协议组成的计算机网络；而工业控制系统是PLC、RTU、DCS、SCADA等工业控制设备及系统组成的多层次网络。

从操作系统上看，传统信息系统通用使用的操作系统，如Windows、UNIX、Linux等，防护功能相对强大；而工业控制系统广泛使用嵌入式操作系统，如VxWorks、uCLinux、WinCE等，并有可能根据需要进行功能裁减或定制。

从数据交换协议上看，传统信息系统主要使用TCP/IP栈（应用层协议HTTP、FTP、SMTP等）；而工业控制系统一般直接使用专用的通信协议或规约（OPC、Modbus、DNP3等），或者将其作为TCP/IP的应用层使用。

从实时性上看，传统信息系统要求相对较低，信息传输允许延迟，多数系统能容忍短暂的、有计划的系统维护；而工业控制系统要求较高，不能轻易停机和重启恢复。

从故障响应上看，信息系统中不可预料的中断可能会造成任务损失，但已逐渐有较为成熟的故障响应方案；而工业控制系统中不可预料的中断会造成经济损失或环境灾难，故障的应急响应方案还很不成熟。

从升级难度上看，信息系统采用通用系统，兼容性较好，软硬件升级较容易，软件系统升级也较为频繁；而工业控制系统使用专有系统，兼容性差，软硬件升级较困难，一般很少进行系统升级。

2、工业控制系统信息安全的特征

基于工业控制系统自身的特性，工控网络安全呈现出许多与传统信息系统安全不同的特征。

（1）安全威胁来源

传统信息系统的威胁来源可能是个人、群体或组织，其攻击方法主要是常见的攻击方式，包括拒绝服务、病毒、非授权使用、假冒欺骗等；近年来，也有一些组织采用高级持续性威胁（APT, Advanced Persistent Threat）的攻击模式攻击一些重要的信息系统。而工业控制系统面对的攻击者主要以组织为主，其攻击大多目的性强，呈现出多种攻击协同的APT的特征。

（2）安全目标

传统信息系统遵循CIA（机密性、完整性、可用性）原则，其首要目标是保证信息的私有性、机密性。而工业控制系统与物理世界紧密联系，其首要目标是保障系统稳定运行，相应的安全目标也转变成AIC（可用性、完整性、机密性）。

（3）安全防护

传统信息系统中，系统级防护能力较强，防病毒、补丁管理、配置核查、外设管控等安全手段丰富；各种网络安全技术、产品、方案相对成熟；服务器中的数据通常被安全存储并授权使用。而工业控制系统中，系统补丁管理和安全机制升级存在困难，系统级防护能力不足；专有协议与规范种类繁多，对安全性普遍考虑不足，缺少足够强度的认证、加密和授权；设备状态和控制信息等关键数据在传输、处理及存储中缺乏安全保护。

（4）安全管理

传统信息系统中，用户的身份认证、授权机制比较成熟、完善，用户身份管理由软件实现，可方便地进行密码修改；漏洞和补丁管理系统比较成熟，漏洞一般可以较及时地得到处理，有比较完善的系统及网络行为审计机制；应急响应计划也较成熟。而工业控制系统中，系统用户的身份认证及授权管理相对简单，部分控制设备以硬件实现，难以进行密码修改；工业控制系统补丁兼容性差、发布周期长以及系统可用性与业务连续性的硬性要求，使工业控制系统的管理员不肯轻易安装非工控设备制造商指定的升级补丁，某些使用周期长、相对陈旧的系统，也可能因厂商已不存在或厂商不再提供产品的安全升级支持，造成系统漏洞无法及时打补丁；通常缺乏针对工控设备的安全日志审计及配置变更管理，甚至部分工控设备不具备审计功能，或虽有日志审计功能但系统的性能要求决定了它不能开启审计功能；应急响应计划需要保障工业控制系统业务连续性，还不成熟，也缺乏演练的机会。

四、工控网络安全技术现状

工业控制系统作为传统信息系统的延伸和扩展，一方面，可以沿用许多在信息技术领域被广泛使用，且被证明行之有效的安全手段；另一方面，由于工业控制系统有许多不同于传统信息系统的特征，这些安全手段往往需要进行必要的调整和改进，以适应工控领域的应用需求和应用环境。

1、工业防火墙

防火墙（Firewall）最初源自传统信息系统，工业防火墙与传统信息网络中的防火墙不同，它需要支持工业控制系统中的专有协议（如DNP3、ICCP、Modbus等），需要支持工业控制现场的高温高湿等恶劣环境。

多芬诺防火墙是加拿大Byres Security Inc公司推出的工业防火墙产品。它参照NERC CIP、ANSI/ISA-99、IEC 62443等国际标准中工业控制系统的安全要求，将具有相同功能和安全要求的控制设备划分到同一区域，区域之间执行管道通信，通过控制区域间管道中的通信内容，能有效抵御多种内部威胁和外部攻击，其整体安全防御方案如图2所示。

图2  多芬诺防火墙应用场景

完整的多芬诺工业控制系统信息安全解决方案由四部分组成：安全模块、可装载安全软插件、组态管理平台和安全管理平台。安全设备模块（TSA，Tofino Security Appliance）为工业级硬件设备，安装在受保护的区域或控制器等关键设施前端，相当于工控防火墙的主体部分，表示为“T”；可装载安全软插件（LSM，Loadable Security Modules）可装载到TSA中，根据系统安全需求，加载针对特定工控协议的安全防护功能；中央管理平台（CMP， Central Management Platform）用于配置、组态和管理网络中所有TSA设备上的可装载安全软插件；安全管理平台（SMP，Security Management Platform）是用于管理、分析报警信息的监视中心，可以集成来自中央管理平台CMP的所有事件和日志信息，并可划分等级进行报警。

2、工控蜜罐

蜜罐（Honeypot）好比情报收集系统，本质上是一种对攻击方进行欺骗的技术。它通过布置一些作为诱饵的智能设备、主机、网络服务，诱使敌方对它们实施攻击，从而对攻击行为进行捕获、分析，了解攻击方所使用的工具和方法，推测攻击意图和动机。蜜罐技术能够让防御方清晰地了解其所面临的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。与传统信息系统不同，在工控场景下，蜜罐所模拟的对象往往是一个PLC、RTU，或者是某一个控制系统（如DCS、SCADA等）。

SCADA Honeynet是一款由美国Digital Bond公司推出的工控蜜罐，它可以模拟通用PLC的多种服务，使SCADA系统研究者可以更好地获知控制系统组件所面临的潜在风险。如图3所示，SCADA Honeynet由2台虚拟机构成。第一台虚拟机（Honeywall所在的虚拟机）包含Digital Bond的Quickdraw IDS特征签名库，可以检测攻击第二台虚拟机的恶意通信。第二台虚拟机（Honeyd所在的虚拟机）作为被攻击目标，模拟了一个通用的PLC，向攻击者暴露大量服务。安全分析员（Security Analyst）在远端，关注攻击者的网络行为和统计特性。

图3  SCADA Honeynet工作原理

由于在蜜罐构建中，许多资产所有者希望可以用他们自己的现场设备替换模拟PLC。因此，Digital Bond在SCADA Honeynet的基础上，推出了修改版本SCADA Honeywall，它可以允许一个真实的PLC或者其他的控制系统组件替换图3中的模拟PLC。

3、入侵检测系统

入侵检测系统（IDS，Intrusion Detection System）是一种对网络传输进行实时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它通常由4个组件构成：事件产生器（Event Generator）、事件分析器（Event Analyzer）、响应单元（Response Unit）、事件数据库（Event Database）。事件产生器从整个计算环境中获得事件，并向系统的其他部分提供此事件的原始数据。事件分析器分析采集到的原始数据，并产生分析结果。响应单元是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等反制手段，也可以只是简单的报警。事件数据库是存放各种中间数据和最终数据的存储资源，它可以是复杂的数据库，也可以是简单的文本文件。

根据检测技术的不同，入侵检测系统分为两类。

（1）基于特征签名（Signature-Based）的入侵检测系统

基于特征签名的入侵检测系统需要定义违背安全策略的事件特征，如网络数据分组的某些头信息。系统主要判别这类特征是否在所收集到的数据中出现，此方法非常类似杀毒软件。这种入侵检测系统需要存储并时常更新攻击样本的特征签名库，因此，无法检测到未知的安全攻击。

（2）基于异常（Anomaly-Based）的入侵检测系统

基于异常的入侵检测系统需要先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。这种入侵检测系统的缺点在于误报率较高，优点在于可以实现对未知攻击的检测。

Quickdraw SCADA IDS入侵检测系统是美国Digital Bond公司研发的一种针对SCADA系统的基于特征签名的工控入侵检测系统，其特征签名库包括适用于 BACnet、DNP3、Modicon、Siemens S7等控制系统协议的特征签名，针对已披露控制系统脆弱性的攻击特征签名，以及用以辨识厂商特定安全事件的特征签名。

4、工控设备测试工具

工控安全测试是在工控设备和系统的生命周期中，特别是从开发基本完成到发布阶段，对产品进行检验以验证其是否符合安全需求定义和质量标准的过程。

（1）Achilles测试平台

Achilles测试平台是由加拿大的Wurldtech公司提供的用于工业控制系统信息安全的测试产品。作为通信健壮性测试平台，Achilles 测试平台同时还可以监测网络与运行参数，发现系统的脆弱性；也可以在产品投放市场之前，对系统故障进行重现、隔离、辨识和解决。Achilles测试平台支持DNP3、IEC 61850、ICCP、OPC、PROFINET等主流工控协议。

（2）科诺康安全测试工具

Codenomicon DEFENSICS是由科诺康（Codenomicon）公司于2011年首次推出的信息安全测试工具。科诺康公司是从奥卢大学安全编程组广受好评的 PROTOS 项目中分离出来的，DEFENSICS 测试平台应用了最新智能模糊测试技术，其在黑盒测试方面的创新获得业界认可。2013年，ISA安全合规性协会将科诺康的ISASecure测试解决方案（包括Codenomicon DEFENSICS和Codenomicon负载测试平台）正式批准为ISASecure控制系统认证项目的通信健壮性（CRT）测试工具。

微信公众号：计算机与网络安全

ID：Computer-network