水务行业工业自动化控制系统安全性研究和设计

欧中意

[摘    要 ]随着国际上互联网工业、工业4.0等提出，积极推进了生产与制造方式的革新、产业组织的形式创新以及产业结构升级，使得传统行业的基础设施能够实现远程控制和智能化操作，高度融合IT技术的工业自动化应用得到迅速而广泛的使用。工业自动化控制系统设计之初是为实现各种工艺要求的电气设备的集中控制及各种传感器数据的采集显示，多数情况下没有考虑安全和防护方面的需求，当这些系统暴露在外部网络时，无疑将给他们所控制的重要基础设施、系统、关键设备等带来巨大的安全隐患。

[关键词]工业自动化;控制系统;网络安全;漏洞防护

[中图分类号]TP273 [文献标志码]A [文章编号]2095–6487（2021）06–00–03

[Abstract]With the international Internet industry， Industry 4.0， and the domestic strategy "Made in China 2025"， the innovation of production and manufacturing methods， the innovation of industrial organization and the upgrading of industrial structure have been actively promoted， so that the infrastructure of traditional industries can be Realize remote control and intelligent operation. Industrial automation applications that are highly integrated with IT technology are quickly and widely used. The industrial automation control system was originally designed to achieve centralized control of electrical equipment and various sensor data required by various processes. Collections show that in most cases， security and protection requirements are not considered. When these systems are exposed to external networks， they will undoubtedly bring huge security risks to the important infrastructure， systems， and key equipment they control.

[Keywords]industrial automation; control system; network security; vulnerability protection

1 建设背景

近年，信息化技术在各行各业中的应用取得了蓬勃发展，包括工业自动化控制领域，通过TCP/IP通用协议技术，将工业自动化控制系统与企业管理系统紧密联系在一起。另一方面，传统的工业自动化控制系统采用专门的软硬件和数据交换协议，在设计和建设时多数没有考虑与其他系统互联互通时所必须考虑的通信安全问题。企业管理系统与工业自动化控制系统之间的网络防护能力都很弱，或者干脆就没有隔离功能，安全隐患日趋严峻，工业自动化控制系统中的任何一点遭到入侵都有可能致使整个管理系统瘫痪。

水务行业工业自动化控制系统安全事关重大，一旦出现网络攻击，将会出现不可控的严重后果。在高度信息化为工厂生产管理带来便利的同时，工厂控制网络也由原来的相对封闭变得更加开放，势必会面临越来越多的网络威胁。国内外出现过多次由网络安全引发的安全事故，导致用户信息泄露、污水进入供水系统等严重后果，影响深远。

2 安全风险分析

水务行业工业自动化控制系统安全的薄弱点是指在工业自动化控制系统缺少保护措施时，系统易被攻击问题原因主要概括为以下几点。

2.1 操作系统漏洞

目前大多数工业自动化控制系统的上位机和操作员站及服务器采用Windows和Linux系列平台操作系统，考虑到控制系统的相对独立性和運行稳定性，通常在系统安装好正常运行后，基本不会安装任何补丁和升级，包括PLC控制器软件、上位机组态软件以及操作系统软件。这样使已知可利用漏洞以及未知漏洞得不到及时修复，从而埋下安全隐患。

某些主机开启了RDP远程桌面服务、Telnet远程服务、操作系统的共享服务等，且部分服务亦存在等待修复的安全漏洞。不法分子可以成功利用这些漏洞获得全部管理员权限，可以用此权限完全控制设备。

2.2 应用软件漏洞

由于工控设备的多样性导致其软件的不同，且软件著作权等知识产权的保护，各软件对外应用的端口不一，难以达到用统一的规范对安全问题进行防范，且应用软件本身也有一些未知的问题待发现和修复。用常规的防范措施（杀毒软件、防火墙等）很难为系统的安全保驾护航。

2.3 网络结构漏洞

工业自动化控制系统网络中的各个子系统之间，实现了互联的功能，但这种互联也基本都是原始的、开放性的。不同的子系统之间通过标准Modbus协议、OPC服务等进行通信，其作为自动化控制系统与各智能化仪表或对接的中间人，分别与工业自动化控制系统及这些子系统之间都存在大量的通信接口，而这些数据通信之间又未完善隔离措施，威胁一旦进入网络内部，将快速扩散到系统各处。

2.4 通信协议漏洞

水务行业大量工业自动化控制系统中使用的协议设计之初主要保证通信实时性和可靠性，实现这些目标的同时牺牲了协议本身的安全性因素，存在大量安全性缺陷。

2.5 工控设备后门和漏洞

设备集成商对于出厂的设备或系统的维护手段，除了前期现场调试、现场维护，其次为了作业的方便及出行经济性方面考虑，使用得最多的还是“远程控制”的方式。为了达到这个“远程控制”维护的便捷性，不得不制造一些后门，在需要时将这些后门打开进行远程维护，不需要时则将其关闭，看似精明的游击战略却也给了入侵者攻击的机会。

2.6 外部风险来源

工业自动化控制系统网络面临多种威胁，如人为事故、不法组织、敌对政府、心怀不满的员工等。他们的主要目标包括长期潜伏收集数据和情报、破坏生产和基础设施、窃取核心研发技术、要挟获取利益等。

2.7 外部渗透手法

随着智慧水务的建设，两网实现深度融合，越来越多的攻击者利用企业网作为跳板一步一步进入生产网，最终实现入侵工业自动化控制系统的目标。

2.8 非法外联

员工在工程师站或操作员站电脑上私自连接无线WiFi上网，导致自动化控制系统与互联网直接连通，把整个系统暴露在互联网下等。

3 建设需求分析

通过现场安全调研和信息汇总，针对现场的安全需求汇总归纳如下。

3.1 网络通信层面

3.1.1 安全域架构设计缺失

整体架构设计当初考虑更多的是上层网络（MES）与生产系统网络通信可用性问题，在办公网与生产网之间没有进行安全隔离与控制。这样极易导致生产系统和生产数据未经授权的访问、病毒感染、生产业务拒绝式服务攻击等安全风险造成生产核心数据的泄露、恶意篡改。

3.1.2 控制指令及数据未加密传输

自动化控制系统网络中工程师站、操作员站分别与PLC控制器之间的数据传输、与串口服务器之间的数据传输、PLC控制器或数据采集仪与智能仪器仪表之间的数据传输，没有针对数据传输的加密机制。

3.2 主机设备系统层面

3.2.1 现场设备（PLC、RTU等）存在漏洞

根据国家工业信息安全发展研究中心发布的《2020年工业信息安全态势报告》中提供的数据，CICSVD（国家工业信息安全漏洞库）2020年共收录工业信息安全漏洞2138个，较2019年上升了22.2%，其中通用型漏洞2045个（高危及以上漏洞占比高达62.5%），事件型漏洞93个，保持了较高的增长态势。

目前企业工业自动化控制系统中PLC控制器品牌诸如SiemensS7、AB及三菱等系列，依据美工业控制系统网络紧急响应小组（ICS-CERT）统计的工业控制系统公开新增漏洞所涉及的厂商占比中，Siemens设备占比28%（排名第一）。

3.2.2 工程师站、操作员站和业务服务器缺乏安全防范机制

在整个自动化控制系统中的工程师站、操作员站及服务器多为Windows操作系统，系统上安装的杀毒软件及防火墙对这些设备的安全防护机制几乎失效，且缺乏进程监控、移动存储设备监控、远程维护监控、恶意代码防范等措施。

3.3 主机系统和应用系统身份认证机制

对于生产系统的工程师站、操作员站、业务系统服务器的身份认证机制没有充分的安全性评估和验证，在以往的经验中，大量中控室操作员站及监控终端都采用公用账号（甚至是系统默认账号），且系统操作界面长期处于开放状态，导致进出中控室的所有人员都可以对其进行操作，可能存在被无关人员访问操作员站进行未授权操作的安全风险。

同时对于自动化控制系统的登陆账户权限申请流程和数采服务器登陆账号和权限划分都没有充分评估，可能存在登录账号和初始密码都是默认账号，或者根本就没有设置相关密码等保护策略的隐患。攻击者可获得系统完全控制权限，可任意破坏、篡改生产数据库或控制程序。

综上，现有自控动化控制系统的建设为企业带来便利的同时也增加了企业生产与数据安全风险，主要集中在原始生产数据、控制工艺的泄露，原始生产数据的丢失，生产停车、运行方式和相关设置参数的篡改等风险。

4 安全防护框架设计

4.1 框架设计

对于工业自动化控制系统根据被保护对象业务性质分区，针对功能层次技术特点实施信息安全等级保护设计，根据“一个中心”管理下的“三重防护”体系框架，构建在安全管理中心支持下的通信网络、区域边界、计算环境三重防御体系，采用分层、分区的架构，结合工业自动化控制系统总线协议复杂多样、实时性要求强、节点计算资源有限、设备可靠性要求高、故障恢复时间短、安全机制不能影响实时性等特点进行设计，以实现可信、可控、可管的系统安全互联、区域边界安全防护和计算环境安全[1]。

按照总体设计思路，结合珞安科技出品的工业网络空间安全产品，以某净水厂项目为例，此项目的网络总体防护架构设计如图1所示。

4.2 主要防护功能介绍

4.2.1 隔离网闸

隔离网闸的服务系统把TCP/IP协议头部剥离，用擺渡的方式把原始数据在不同系统进行传输，对于目前常见的如源地址欺骗、伪造TCP序列号、SYN攻击可以全部隔断。如此网络内部主机系统漏洞便不会被入侵者扫描到。

4.2.2 工业防火墙

工业防火墙有效规避工控网络脆弱性风险，确保企业工业自动化控制系统的正常运行。

4.2.3 工控安全审计系统

工控安全审计系统对自动化控制系统网络进行持续监测，记录系统中的一切通信行为，包括数据交换协议、网络会话、系统驱动指令等，为安全事故调查取证和回溯分析提供数据支撑。

4.2.4 工业入侵检测系统

工业入侵检测系统可不间断监控自动化控制系统网络中的不法入侵、恶意破坏、违法操作或将设备违规接入，在即时报警的同时帮助企业实施相应办法避免发生安全事故。

5 结束语

时代在稳步前进，工控行业技术也在不断发展，对于自控系统的安全防护要求也在不断提高。本文结合净水厂工程的实际安全需求和网络安全等级保护要求，设计从安全管理中心到技术环境防护、边界隔离防护以及通信网络防护，实现事前预警、事中防范和事后取证等安全防护的能力，给工程实际应用提供了重要的参考价值。

参考文献

[1] 全国信息安全标准化技术委员会（SAC/TC260）.信息安全技术网络安全等级保护安全设计技术要求：GB/T 25070—2019[S].