工业互联网企业侧安全监测研究

赵一凡，李富勇，魏珂悦，林逸风

（浙江省电子信息产品检验研究院，浙江 杭州 310007）

0 引 言

伴随着新一轮科技革命和产业革命，工业领域的数字化、网络化、智能化发展成为第四次工业革命的核心内容。工业互联网第四次工业革命的重要基石是通过人、机、物的全面互联，全要素、全产业链、全价值链的全面连接，对全生命周期的工业数据进行采集、传输、存储、分析并形成智能反馈，推动形成全新的生产制造和服务体系，优化资源要素配置，充分发挥制造装备、工艺和材料的潜能，提高企业生产效率，创造差异化的产品并提供增值服务。但工业系统与新一代信息技术的深度融合，让工业企业的工控网络、信息网络和互联网之间的边界更加模糊，为网络攻击入侵工控系统提供更多途径，使得工控系统面临一系列更加复杂的安全挑战。

自2000年开始，全球就持续面临针对工业控制系统的网络攻击。2008年，美国Browns Ferry核电站受到网络攻击，反应堆核心控制器工作失灵，被迫关闭；2010年，伊朗布什尔核电站遭受震网病毒攻击，离心机大面积损坏，导致整个国家核工业发展延期，损失难以估量；2015年，乌克兰电力系统受到“BlackEnergy”恶意软件的攻击，导致大规模停电，给成千上万家庭的供电供暖带来严重影响；2018年，台积电三处晶元厂遭受“WannaCry”勒索病毒攻击，停产不到三天时间，损失超15亿；2019年，委内瑞拉最大的电力设施古里水电站控制中枢遭受网络攻击，引发全国性大面积停电，约三千万人受到影响；2020年，美国一家天然气公司遭受勒索软件攻击后被迫关闭设施两天，勒索软件从其IT网络渗透到OT网络，对网络资产均造成影响。随着工业互联网的快速发展，国内工控网络安全现状不容乐观，需要加强工业企业安全监测技术的研究[1]。

1 工业企业网络安全风险分析

传统工业企业工控网络相对封闭，与信息网络物理隔离，可在一定程度上抑制信息安全网络攻击向工控网络和工控设备渗透。但工业互联网的快速发展打破了工控网络和信息网络的边界，网络攻击行为能通过多种途径渗透工控网络，影响工业控制系统的稳定。使用工业互联网的工业企业面临着严峻的网络安全挑战[2]。

1.1 工控系统漏洞隐患较多

国内工业控制系统的研制起步较晚，如浙江中控、北京和利时等。国外工业控制系统占据较大的市场份额，例如西门子、施耐德电气、霍尼韦尔、罗克韦尔、通用电气等。这些广泛应用于关键信息基础设施的工控系统，存在大量已知或未知的漏洞和后门，即使设备供应商提供漏洞解决方案，但对于使用中的工业控制系统也很难进行漏洞修复。

这些工控系统的维护需要厂商的参与，在厂商无法到达现场的情况下，只能由厂商进行远程维护，但此举有可能引入网络攻击，导致数据泄露，带来极大的安全隐患。

所以只有提升核心工控系统的自身安全性，才能有效应对工业互联网环境下全方位、多角度的网络安全威胁[3]。

1.2 工控系统安全防护能力弱

工控系统和工控网络的建设已经有几十年的历史。工控系统在设计之初，在性能有限的情况下，更多考虑其稳定性和可靠性，未考虑工控系统自身的安全性。

在组建工控网络时，因为工控网络和信息网络存在物理隔离，网络攻击可能性低，所以工控网络未做统一完善的安全防护方案。同时，大量工控网络的工控设备和工业网络设备普遍采用缺省配置，容易被攻击利用。

在工控网络投入使用后，系统使用年限长，设备更新换代慢，存在难以替代的情况。

1.3 开放互联导致攻击途径增多

传统工控网络与外部网络物理隔离，相对封闭，没必要防范外部网络攻击，所以较少做统一的安全防护。

但随着工业自动化和信息化的高度融合，IT和OT的网络边界被逐步打破，僵木蠕和APT等网络攻击行为会通过多种途径由互联网逐步向信息网络、工控网络渗透，对工业系统的正常运行造成影响，工业企业的工控网络面临着巨大的安全挑战[4]。

1.4 工控系统网络攻击更有针对性

工控系统由上位机和下位机组成。上位机包括HMI、工程师站、操作员站等，主要建立在Windows和Linux操作系统之上；下位机包括DCS、PLC、RTU等，主要是嵌入式系统。这些设备主要通过工业协议通信，完成控制命令和数据的交互。

传统互联网的网络攻击能够影响上位机的运行，如操作系统层面的越权操作、信息窃取等，对于工业协议和下位机的嵌入式系统影响不大。

随着工控系统暴露出来的漏洞逐年增多，针对工控系统的网络攻击也更加具有针对性，这些攻击行为有部分使用工业协议，对DCS、PLC等设备进行工业参数篡改、缓冲区溢出等。有些攻击比较明显，可通过网络通信发现，但有些攻击非常隐蔽，通过较长的攻击链长期窃取生产数据，或者使用中间人攻击，导致下位机异常，而上位机却未察觉。当前，针对工控系统的攻击途径逐渐增多，攻击方式更加多样，更有针对性[5]。

1.5 工业数据泄露风险与日俱增

工业企业的工业生产数据的数量、种类已得到较大发展，且数据结构更加复杂。同时，由于工业互联网平台的发展，这些数据可能需要在系统之间、车间之间、厂区之间、企业之间流动共享，实现要素资源的融合融通，从而增加了工控网络生产数据和隐私数据的泄露风险。数据从系统内流向系统外，从工控网络流向信息网络，从企业内流向企业外。各行业、各系统数据保护需求不同，数据流向不同且路径复杂，大大增加了数据保护的难度。

1.6 应急处置能力弱

要保障工业企业工业控制系统的网络安全，有效应对网络安全威胁带来的风险，需要建立相应的安全防护体系和安全监测体系，落实相关安全管理规范。但我国在工业安全建设方面起步较晚，不同行业的工业安全建设差别较大，在防护体系、架构设计、安全监测、应急响应等方面相对较弱，部分企业无监测预警机制，也无网络安全应急响应预案，相关建设有待提高。

2 安全监测相关技术

工控网络安全监测技术主要包括工业协议深度解析技术、异常行为检测技术、日志采集及分析技术、蜜罐技术、沙箱技术、网络攻击溯源技术、态势感知技术等。

2.1 工业协议深度解析技术

工业控制系统之间、上位机和下位机之间基于总线或以太网通过工业协议进行指令和数据交互。少部分工控协议为公开协议，例如MMS、GOOSE、IEC103、IEC104、Modbus/TCP、Ethernet/IP等；但大部分工控协议为私有协议，例如西门子S7、浙江中控、北京和利时、koyo、bachmann、红狮Crimson、foxboro、艾默生ovation等所使用的工业协议等。要检查指令和数据交互的合规性，实现安全监测与分析，需要对工业协议进行精准的DPI深度报文解析。通过解析工业协议，提取功能码、数据等协议关键字段，覆盖主流工业协议，从而发现网络流量中存在的安全问题。

2.2 异常行为检测技术

针对工控系统的网络攻击和违规操作等需要通过基于工控网络的网络通信来完成。通过在工控网络的核心节点监听网络流量，可以实时发现网络中的异常通信，例如网络攻击、非法接入、下位机组态变更、工艺参数调整、工控系统启动/停止等异常行为，从而找到异常行为源头，及时响应处置，避免生产事故的发生。工业协议异常行为检测以工业协议深度解析为基础，应支持对数据包特征、工控指令等行为进行检测，及时发现关键事件。

2.3 日志采集及分析技术

工业企业的生产环境包括大量设备，如DCS、PLC、SCADA、RTU、工程师站、操作员站、OPC服务器、工业数据库、网络设备、安全设备等。上述设备在运行过程中会产生相应的日志，包括操作系统日志、设备运行日志、应用软件运行日志、网络事件日志、安全事件日志等。这些日志记录了设备和网络中发生事件的信息，包括性能信息、故障检测和入侵检测。因此日志不仅可以告诉我们工控系统运行状态是否正常，也可以在事故发生后查明“发生了什么”，是一个很好的“取证”信息来源。但日志数据大多是异构的，其在数据格式和元数据上可能不一致，需要清洗过滤后进行汇总分析[6-7]。

2.4 沙箱技术

工控网络中，一些业务会通过工业协议或传统以太网协议传输文件，这些文件可能被恶意程序感染。对于恶意程序的检测，有2种常见方式，即静态分析与动态分析。动态分析在一个受控环境中运行并监控给定应用程序的行为，其使用了许多启发式方法来增强对应用程序动态行为的捕获能力[6]。给定应用在沙箱中执行，运行较长一段时间后才能获得其运行特征，比如监控文件传输、网络通信、进程和系统资源的使用等。

2.5 蜜罐技术

随着工业互联网的发展，针对工控系统的攻击途径增多，攻击方式日益复杂，单纯的安全防御更显被动。因此可以考虑通过设置陷阱，引诱攻击源对陷阱发动网络攻击，从而第一时间发现相关安全威胁。

攻击源对一个工业控制系统攻击前，需要搜集系统信息，然后通过一系列攻击路径达到攻击目的。

蜜罐应用于工业企业的工控网络和信息网络中，诱使攻击源对其访问或进行网络攻击，从而捕获攻击内容、攻击方式和攻击源信息，为第一时间进行响应处置提供支撑，切断攻击源对真实设备的访问路径，同时进行关联分析，利用溯源分析技术对攻击进行实时跟踪分析[8]。

2.6 网络攻击溯源技术

随着网络攻击技术的发展及攻击路径的增加，且对工业控制系统和工业协议逐渐熟悉，工控系统的网络威胁日益复杂，传统的被动安全防御日益乏力。可以通过工业协议解析、异常行为检测、系统运行和安全日志、蜜罐所受网络攻击等发现网络攻击的源头，采取有针对性的措施，降低网络威胁的影响。

确定网络攻击源头的技术为追踪溯源，是指根据网络攻击行为找到网络攻击者的身份，身份信息包括攻击者的IP地址、MAC地址、主体类型、操作系统信息、账户信息、攻击频率、地理位置信息等[9]。

2.7 态势感知技术

通过前面所列技术，工业企业能收集到海量安全相关数据。态势感知以这些海量安全数据为基础，进行数据过滤和统计，形成企业安全趋势，帮助企业发现自身存在的安全问题，为后续安全建设提供数据支撑[10]。

态势感知可以实现海量信息的实时集中汇集、综合分析、实时异常报警等，有效提升工业企业网络安全监测和态势感知能力，实现网络安全事件和风险的监测、分析、审计、追踪溯源和风险可视化；增强工控网络安全情报共享和预警通报能力，实现跨部门间信息共享和预警通报的通道，做到信息共享和预警通报及时、客观、准确、完整，切实提升工业互联网企业网络安全的应急指挥和处置能力。

3 企业侧安全监测建设内容

图1所示为典型的工业企业网络，包含信息网络和工控网络。按照分层原则，从下至上分别为现场设备层、现场控制层、过程监控层、生产管理层、企业资源层。

图1 典型工业企业网络结构

现场设备层主要包括执行单元和传感设备，用于对生产过程的操作和感知，例如阀门、开关、数字量采集设备和模拟量采集设备等。

现场控制层主要包括控制器单元，如PLC、DCS、RTU等，用于控制现场设备层的设备。PLC、DCS与传感器、执行单元间通过现场总线通信。常见现场总线有PRIFIBUS（过程现场总线）、FF-BUS（基金会现场总线）、CAN-BUS（控制器局域网络总线）等。

过程监控层主要包括监控服务器与上位机功能单元，用于对生产过程数据进行采集与监控。例如工程师站、操作员站、OPC服务器、历史数据库等。

生产管理层主要包括MES系统等功能单元，用于对生产过程进行管理，如制造数据管理、生产调度管理等。

企业资源层主要包括ERP、OA，PLM等功能单元，为企业决策层员工提供决策支持。

图2所示为企业侧安全监测技术架构。

图2 安全监测技术架构

3.1 边界防护

工业企业根据其业务类型往往存在不同作用、不同级别的网络，这些网络的安全防护级别要求也不同。不同安全级别的网络间会进行连接，从而形成网络边界。在网络边界上部署可靠的安全防御措施，能够极大地防止来自邻近网络的入侵行为。进行网络分区是等保2.0安全区域边界的前提，也是电力监控系统“安全分区、网络专用”的基本要求。

在现场控制层、过程监控层、生产管理层之间部署工业级防火墙或网闸等设备；在生产管理层和企业资源层之间，企业资源层和互联网之间部署防火墙、网闸、安全网关等安全隔离设备，实现网络边界的隔离和安全防护。

3.2 流量采集及异常行为分析

在现场控制层、过程监控层、生产管理层、企业资源层和企业互联网出口部署流量探针，对流量中的传统以太网协议和工业协议进行深度解析，判断传输指令和数据的合规性，发现网络流量中的违规行为、异常行为和网络攻击行为，并将这些安全事件即时传输给其他模块，进行后续操作。

3.3 日志采集

除现场设备层，其他各层都可部署日志审计设备，进行日志采集。包括工业控制系统、主机、操作系统、应用软件、网络设备、安全设备的运行日志和安全日志等。对日志进行过滤筛选，从中发现安全事件信息、运行故障信息和其他异常信息等。

3.4 沙箱技术

在安全监测平台中，部署沙箱虚拟环境。流量采集设备从网络流量中提取可疑的可执行文件，沙箱根据文件类型启动多个版本的虚拟操作系统，并将可疑文件放入虚拟操作系统环境中，通过长时间运行，观察系统是否被恶意操作，从而确认该可疑文件是否安全。

即使可疑文件带有木马病毒、广告插件等恶意程序，在沙箱虚拟环境中对应用程序或操作系统进行感染和恶意修改，其影响范围也只限制在虚拟环境中，不会影响工控网络。沙箱会自动清理虚拟环境，清除可疑文件。

3.5 溯源分析

通过异常行为检测、恶意文件沙箱检测，可以获取大量安全事件信息。根据获得的安全事件，结合对应的网络流量和安全日志，可以对攻击源和攻击路径进行溯源追踪。

通过网络攻击溯源技术可以发现攻击源头，从而进行有针对性的防护和抑制，避免其他工控系统受到该攻击源的网络攻击，保障工控网络整体安全。

3.6 态势感知

基于提取的海量企业侧基础数据和安全数据，对企业资产和流量做深度监测，对工控类漏洞和安全事件进行多方位、多层次的关联分析，集中反映企业侧工控系统网络的实时安全态势。

以安全事件和漏洞监测为脉络，实现对工业资产、工控设备、网络流量、重要业务应用的监测和预警。面向攻击利用行为进行监测，及时生成网络安全预警信息，提高工业互联网漏洞监测、事件监控及预警响应能力，为安全决策提供技术和数据支撑。

4 结 语

针对工业控制系统的网络攻击和入侵正在向多元化、复杂化、规模化发展。工业控制系统由于在设计之初注重功能性和稳定性，忽视安全性，因此存在大量安全漏洞。同时因可用性的要求，绝大多数工控系统使用者都不会对系统进行升级或改造，因此工控系统和工控网络会成为网络攻击的首选目标。使用工业互联网的工业企业建设完善的安全监测体系能够实时、准确地掌握网络安全态势，检测恶意攻击行为，针对安全事件进行预警和快速响应，让网络安全工作具有主动性和条理性，是监测和预防网络安全事件的有效途径。