工业控制网络安全分析与对策

冉启奎

工业控制网络指工业控制系统中的全数字化、双向、多站的通信系统，是工业控制系统（ICS）的重要组成部分。作为近年来发展形成的工业控制领域的网络技术，工业控制网络是计算机网络、通信技术与工业自动控制技术结合的产物。它适应了企业信息集成系统、管理控制一体化系统的发展趋势与需要，是IT技术在工业自动控制领域的延伸。

近些年来以太网进入了工业控制领域，形成了新型的工业控制以太网技术。工业以太网技术以其价格低廉、稳定可靠、通信速率高、软硬件产品丰富、应用广泛以及支持技术成熟等优点，已成为最受欢迎的工业通信网络。

工业控制网络的安全问题分析

工业以太网作为工业控制网络的基本架构可以将企业传统的三层网络系统合成一体，使数据的传输速率更快，实时性更高，并可与企业办公信息网无缝集成，实现数据的共享，提高网络运作效率。但同时也引入了一系列的网络安全问题，如工业以太网可能会受到包括病毒感染、非法操作等网络安全威胁。

工业控制网络的安全问题其实一直存在，只是以往的工业控制系统相对封闭，网络信息安全方面暴露出的问题较少，因此没有得到相应的重视。但是随着近年来工业控制系统越来越开放，越来越多地采用通用操作系统、通讯协议和标准，与企业信息管理系统的结合也越来越紧密，信息安全的问题也就显得越发突出了。

2010年7月发生在伊朗的“震网”病毒事件向我们敲响了警钟。由于工业控制网络作为工业控制系统的组成部分已经广泛应用于我国国民经济的各主要行业和领域，成为国家关键基础设施的重要组成，但是绝大部分工业控制网络设备都是采用国外产品，一旦出现问题必将是灾难性的，因此工业控制网络的安全问题是关系到国家经济安全和战略安全的重要问题，必须引起高度重视。

工业控制网络的脆弱性分析

工业控制系统的种类有很多，根据不同的应用环境，大致可以分为设备级、现场级和系统级。设备级和现场级系统大多采用嵌入式的结构，使用专用实时操作系统和实时数据库。由于其计算资源有限，为了保证实时性和可用性，系统在设计时往往不过多考虑信息安全的需求，从关键芯片到文件系统、进程调度、内存分配等都可能存在安全漏洞。随着设备和现场级系统越来越智能化和网络化，它已经成为潜在的重点攻击目标。类似“震网”病毒入侵PLC这种具有很强的目的性和专业性的入侵攻击，一旦利用了系统的安全漏洞，其后果和损失往往是巨大的。

在操作系统方面，由于考虑人机交互以及与其他生产管理系统、信息系统的互联，越来越多地采用了通用操作系统。例如工程师站、操作员站一般采用的都是Windows平台，但为了系统的稳定运行，通常现场工程师在系统投入运行后不会对操作系统平台安装任何补丁，从而使通用操作系统的安全漏洞未能得到弥补，留下安全隐患。

在网络方面，随着TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工业控制网络中，通信协议漏洞问题也日益突出。例如，OPC通讯采用不固定的端口号，导致无法使用传统的防火墙来确保网络的安全访问控制。

在应用软件方面，随着越来越多的功能要求，工业控制系统软件的规模和复杂度不断增大，加上普遍使用中断和优先级来满足系统实时性需求，带来了软件流程的不确定性问题，这些都加大了对软件进行测试的难度。另外由于缺少统一的安全防护规范，工业控制系统软件普遍存在安全设计缺陷，而应用软件产生的漏洞是最容易被攻击者利用的，取得被控设备的控制权，从而造成严重后果。

工业控制网络面临的威胁分析

一方面，敌对政府、恐怖组织、商业间谍、内部不法人员、外部非法入侵者等对工业控制网络虎视耽耽。国家关键基础所依赖的很多重要工业控制系统都是基于工业控制网络的，其安全是国家经济稳定运行的关键，是信息战中敌方的重点攻击目标。

另一方面，系统复杂性、人为事故、操作失误、设备故障和自然灾害等也会对工业控制网络造成破坏。

在以太网络技术融合进工业控制网络后，传统网络上常见的安全问题已经出现在工业控制网络中。例如用户可以随意安装、运行各类应用软件、访问各类网站，这类行为不仅影响工作效率、浪费系统资源，而且是病毒、木马等恶意代码进入系统的主要原因和途径。

针对工业控制网络的主要攻击手段分析

事实上工业控制网络暴露着很多问题，在这些系统或者子系统上的信息攻击可以通过远程登录或者病毒木马实现。基于工业控制网络暴露问题的特点，常见的攻击手段如下：

后门远程控制。后门是指软件自身具备的能绕过软件的安全控制机制，从隐秘的通道获取对程序或系统访问权的方法。在软件开发时，开发人员设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道（可以是有意透露或者被探测到的后门），在发布软件之前没有去除后门，它就对计算机系统安全造成了致命威胁。

网络病毒木马攻击渗透。病毒和木马都属于恶意代码，往往利用系统漏洞进行渗透。从功能上看，有些病毒能破坏目标，有些是收集特定信息。研究人员发现，这些特定的任务模块可捕捉键盘敲击、窃取密码、删除硬盘数据、激活语音系统窃听网络电话和聊天内容，甚至利用蓝牙功能窃取与被感染电脑相连的智能手机、平板电脑中的内容。

工业控制网络的安全防御对策网络防护目标

要保证工业控制网络的安全稳定运行，必须达到以下三个目标：

一是通讯可控。能够直观地观察、监控、管理通讯网络中的数据，这是首先要达到的目标。对工业控制网络而言，仅需要保证工业专有协议数据通过即可，对其他通讯应一律禁止，创造一个干净的通信网络环境。

二是区域隔离。工业控制网络最可怕的是病毒的急速扩散，它会瞬间令整个网络瘫痪。所以即使在工业控制网局部出现问题，也需要保持装置或工厂的安全稳定运行。应通过在关键通道上部署网络隔离设备，创造多个相对独立的网络环境。

三是报警追踪。能及时发现网络中存在的感染及其他问题，准确找到故障的发生点，是维护控制网络安全的前提。把网络安全问题消灭在萌芽中，同时通过对报警事件记录存储，为已发生过的安全事件提供分析依据。

网络防护措施 第一，工业控制网络结构及安全区域的划分。从总体结构上来讲，工业系统网络可分为三个层次：企业管理层、数据采集信息层和控制层。

企业管理层主要是办公自动化系统，一般使用通用以太网，可以从数据采集信息层提取有关生产数据用于制定综合管理决策。数据采集信息层主要是从控制层获取数据，完成各种控制、运行参数的监测、报警和趋势分析等功能。控制层负责通过组态设计，完成数据采集、A/D 转换、数字滤波、温度压力补偿、PID控制等各种功能。

系统的每一个安全漏洞都会导致不同的后果，所以将它们单独隔离防护十分必要。对于额外的安全性和可靠性要求，在主要的安全区还可以根据操作功能进一步划分成子区。这样一旦局部发生信息安全事故，就能避免扩散，从而大大提高工厂生产安全运行的可靠性，同时降低由此带来的其他风险及清除费用。

第二，基于纵深防御策略的工业控制系统信息安全。针对工业控制系统的特点，结合工业控制系统网络结构，基于纵深防御策略，需要以下五个层面的安全防护：

一是企业管理层和数据采集监控层之间的安全防护。在企业管理层和数据采集监控层之间加入防火墙，建立DMZ区。一方面进行了网络的区域划分，另一方面只允许两个网络之间通过DMZ区进行合法的数据交换，阻挡企业管理层对数据采集监控层的未经授权的非法访问，同时也防止管理层网络的病毒感染扩散到工业控制网络。

考虑到数据采集监控层一般采用工业以太网，要求较高的通讯速率和带宽等因素，对此部位的安全防护建议使用专门的工业级防火墙和工业网闸。

二是数据采集监控层和控制层之间的安全防护。该部位通常使用OPC通讯协议，由于OPC通讯采用不固定的端口号，因此，在数据采集监控层和控制层之间应安装专业的工业防火墙，解决OPC通讯采用动态端口带来的安全防护瓶颈问题，阻止病毒和任何其他的非法访问，提升网络区域划分能力，防止区域内的病毒感染不会扩散到其他网络，从本质上保证网络通讯安全。

三是保护关键控制器。控制器与其他设备之间的通讯一般都采用制造商专有工业通讯协议，或者其他工业通信标准，如Modbus等。因此，对关键的控制器的保护应使用专业的工业防火墙。一方面对防火墙进行规则组态时只允许工业专有协议通过，阻挡来自操作站的任何非法访问；另一方面可以对网络通讯流量进行管控，指定只有某个专有操作站才能访问指定的控制器；同时，也可以管控局部网络的通讯速率，防止控制器遭受网络风暴及其他攻击的影响，避免控制器死机。

四是隔离工程师站。对于网络中的工程师站，考虑到它在项目实施阶段通常需要接入第三方设备（U盘、笔记本电脑等），而且是在整个控制系统开车的情况下实施，存在较高的安全隐患，受到病毒攻击和入侵的风险很大。在工程师站前端增加工业防火墙，将工程师站单独隔离，防止病毒扩散，保证网络的通讯安全。

五是和第三方控制系统之间的安全防护。为了确保两个区域之间数据交换的安全，管控通讯数据，应使用工业防火墙将安全仪表系统等第三方控制系统和网络进行隔离，保证只有合法可信的、经过授权的访问和通讯才能通过网络通信管道。同时提升网络安全区域划分能力，有效地阻止病毒感染的扩散。

采用安全管理平台 安全管理平台的功能包括集成系统中所有的事件和报警信息，并对报警信息进行等级划分。提供实时画面显示、历史数据存储、报警确认、报警细目查询、历史数据查询等功能。

安全管理平台还负责捕获现场所有安装有工业防火墙的通讯信道中的攻击，并详细显示攻击来自哪里、使用何种通信协议、攻击目标是谁，以总揽大局的方式为工厂网络故障的及时排查、分析提供可靠依据。