陶耀东，贾新桐

(1.工业控制系统安全国家地方联合工程实验室，北京 100015；2.中国科学院 沈阳计算技术研究所，辽宁 沈阳 110168；3. 中国科学院大学，北京 100049)

0 引言

随着信息技术(Information Technology, IT)与操作技术(Operational Technology, OT)不断融合，工业控制系统(Industrial Control System, ICS)面临的安全挑战也逐渐增加[1]。2010年6月，“震网”病毒首次被发现，它攻击了伊朗核设施，推迟了伊朗铀浓缩进程；2015年至2016年，乌克兰电网三次遭受网络攻击，造成大规模断电；2017年12月，恶意软件Triton攻击了施耐德电气公司Triconex安全仪表系统。接连发生的ICS安全事件表明：传统的被动防御手段难以应对日益复杂的ICS信息安全问题。因此，政府机构、科研机构、工业企业、安全企业都大力发展积极防御手段，致力于提升态势感知、安全防护和应急响应能力[2-3]。对于ICS网络安全态势感知，研究人员在态势感知理论模型、感知算法、决策支持等方面的研究取得了进展[4-8]。

1 建设工控安全态势感知的关键点

态势感知(Situation Awareness, SA)的概念于上世纪九十年代开始应用于网络安全领域。网络安全态势感知系统的主要目标是：在动态变化的网络环境中，高效收集、整合各种数据，将局部的网络特征指标综合化，进而全面、宏观地对网络安全状态进行可视化展示，从而加强对网络安全状态的理解能力，为相关人员的科学决策作出有效支撑。为建设适合于ICS的态势感知系统，需要把握以下四个关键点：数据驱动、人在回路、协同共享、科学决策。

1.1 数据驱动

数据是态势感知的核心，是后续一切工作的基础[9-10]。相比与IT网络，ICS中的数据更加复杂。大量的工业私有协议、仪器设备信息、专有的操作系统，都增加了ICS态势感知系统对数据获取、整合、分析的难度。态势感知不同于传统被动防御手段，不仅要求组织掌握内部数据，还要持续关注组织外的威胁情报。组织既是威胁情报共享的受益者，也必须是威胁情报的分享者。在内外部数据的驱动下，态势感知系统才能做到“内外兼修”，为相关人员在安全事件应急响应阶段的科学决策提供强大支撑。

1.2 人在回路

人是态势感知的必要元素，是打通整个回路的关键。被动防御手段以缩小攻击面为目标，不依赖人的参与，而是期望安全设备执行设定好的安全策略。这种做法不能充分利用威胁情报的价值。外部的威胁情报只是数据，若要让其内化为组织自身的安全能力，必须由人来赋能。不仅如此，在态势感知体系中的其他节点也需要人来推动，比如复杂数据的采集与分析、安全策略的动态调整、事件压力下的决策处置。

1.3 协同共享

协同共享是打破自身能力局限、提升整体安全水平的钥匙。“闭门造车”在过去的网络安全环境下或许行得通(许多工业企业确实是这样做的)，但是“永恒之蓝”事件为这些企业敲响了警钟：封闭的内网环境不再是安全自留地。IT与OT部门无法有效沟通合作是工业企业内的普遍现象。组织内部部门间应该打破固有隔阂，形成日常协同交流机制，有利于在应急响应阶段的信息交流通畅。组织间威胁情报的协同共享也应该通过有效的机制来维护，群策群力，共同加强工业控制系统安全防御能力。

1.4 科学决策

科学决策是建设态势感知系统的出发点和落脚点。态势感知能力最终体现在其是否能帮助相关人员对网络安全事件进行科学、高效决策，而不是可视化效果的炫酷程度。对科学决策的支持，需要态势感知系统提供全面、可靠、清晰的分析结果[11-12]。值得注意的是，应避免过度分析而掩盖了原始数据本身蕴藏的价值。

2 工控网络安全态势感知框架

为了解决ICS面临的日益严峻的安全挑战，全面、深度感知ICS网络安全状态，在安全事件发生时能够快速、有效地进行应急响应，本文提出了一个层次化的工控态势感知概念框架。该框架基于Endsley提出的经典态势感知模型进行了扩展[13-15]，包含个人、团队、行业三个层次，以数据驱动为核心，强调人员在整个体系中起到的关键作用。虽然该框架细化了角色，但是实质上加强了各模块间的协同共享。图1是整体框架示意图。

图1 ICS态势感知框架

2.1 个人层面

个人层面的态势感知层是基础。这里涉及到的人员是工作在一线的操作员、网络管理员、安全管理员等。以企业持有资产、企业提供的服务为线索确定相关人员，可以划定个人层面的人员范围。如果关键人员未被纳入态势感知计划中，会导致基础数据信息的严重缺失。乌克兰电网攻击事件中，当应急响应的重心全部放在电力恢复时，攻击者对电力系统电话中心进行了分布式拒绝服务攻击(Distributed Denial of Service, DDoS)。当断电事件发生时，受影响的居民却无法联系到供电公司。除了断电本身造成的影响，无法向居民有效传达事件信息所造成的社会恐慌也是攻击者所要达到的重要目的。因此，要确定相关人员范围，整体把握安全态势。图2是个人层面态势感知的详细展示。

图2 个人层面态势感知框架

在这一层面，相关人员不仅要收集、整理资产规格、运行状态、安全配置等内部数据信息，还要结合团队提供的情报作出分析，形成态势报告。基于内外部数据分析结果，并利用专业知识与个人经验，人员可以作出相关事件的预决策，将其与态势报告一同提交团队。

2.2 团队层面

团队层面具有承上启下的作用，同时它还是态势感知的主体，因为应急响应的决策与处置实质上是由团队层面主导的。在整合了个人层面提交的数据与态势报告后，团队在分析阶段还要重视人员提出的预决策。长期工作在一线的人员往往更加熟悉自己工作范围内的设备与流程，提出的建议能起到关键作用。团队应为相关人员提供必要的情报信息，例如：“关键信息基础设施保护”的相关规定、已知网络安全事件案例、突发网络安全事件告警、漏洞库信息。在相关人员的分析和预决策阶段，这些外部信息能给予有效支撑。

2.3 行业层面

行业层面态势感知是全局把握ICS安全态势的重要一环。当针对关键信息基础设施的攻击发生时，小团队的孤军奋战难以应对。尤其是高级持续性威胁(Advanced Persistent Threat, APT)，它具有潜伏时间长、针对性强、危害程度深等特点。于团队层面之上建设行业层面的态势感知，可以加强各团队之间的协同共享，共同提升整体防护能力，并为团队决策提供相关指导。

3 案例分析

本文以发生于2015年12月的乌克兰电网攻击事件为例进行分析，表明本文提出的ICS安全态势感知概念框架可以快速、有效地帮助相关人员进行决策，降低事件的危害程度。

3.1 案例背景

2015年12月23日，一家乌克兰电力供应公司Kyivoblenergo报告称：供电服务因故中断。这次断电事件的起因是，第三方非法入侵企业内计算机和数据采集与监视控制系统(Supervisory Control And Data Acquisition, SCADA)。在当地时间的下午3:35左右，7个110kV和23个35kV变电站断开链接，导致数小时的停电[16]。与此同时，攻击者对电话中心进行了DDoS攻击，致使受影响居民无法及时了解相关情况而产生社会恐慌。乌克兰断电事件在国际范围内产生了巨大影响。Kyivoblenergo提供的数据显示，这次断电影响了大约80 000户居民。随后又有三家电力供应公司遭到攻击，导致多个地区约225 000户居民受到断电影响。

3.2 攻击原理

基于电力系统工作原理和目前公开的恶意样本，可以推测此次事件的攻击原理：攻击者使用钓鱼邮件的方式向办公区的计算机植入BlackEnergy恶意代码[17]。然后以被感染设备为跳板进行渗透，成功感染监控网、控制网内的关键主机。随后，攻击者下达攻击指令，导致断电。与此同时，攻击者还对电话中心进行了DDoS攻击，一方面干扰了电力系统对断电区域范围的准确判断，另一方面引起了一定程度的社会恐慌。攻击成功后，攻击者又采取了多种手段加大恢复难度，例如：覆盖部分扇区以影响系统正常重启、清除系统日志以提升事件后续分析难度、覆盖部分文档以破坏数据[18]。

这一系列攻击手段加大了系统恢复的难度，使工作人员对整体环境的感知能力大大下降，不能有效开展应急响应工作。

3.3 框架应用

图3展现了将乌克兰电网攻击事件与本文提出的ICS态势感知框架结合之后的情况。

图3 乌克兰电网攻击事件态势感知框架

与伊朗“震网”病毒事件类似，此次断电事件也是针对关键信息基础设施的攻击。但是两者也有显著的区别：“震网”事件利用了0day漏洞、复杂的工业流程调查、PLC运行机制等“高级手段”；乌克兰电网攻击事件却没有使用0day漏洞，仅仅依靠带有宏病毒的钓鱼邮件与相对简单的攻击手法，就达到了惊人的攻击效果。由此可见，ICS的攻击面并不狭小，并随着IT/OT一体化进程的推进呈现出扩大趋势。ICS中的许多环节都可能成为攻击者利用的目标。

在态势感知框架个人层面中，要确保相关人员组成的完整性。以电话中心操作员为例，当断电事件发生时，应急响应的工作重心几乎全部在电力系统的故障恢复，而忽略了电话中心的关键职能。攻击者对其进行DDoS攻击，导致安全人员难以确定断电事件影响范围，同时也造成了一定程度的社会恐慌。与此同时，威胁情报的支持在个人层面也能起到关键作用。比如，BlackEnergy在这次断电事件以前曾多次出现，其恶意样本的相关信息可以帮助安全管理员进行预防工作，以缩小BlackEnergy的攻击入口。而且在事件发生时，该情报也可以支持安全人员开展分析工作并进行预决策，为团队决策提供参考意见。

在态势感知的团队层面，应高效整合来自团队内部的数据与外部的威胁情报，结合相关人员提供的报告与预决策，快速进行断电事件的应急响应。团队应及时分析事件的动态变化，不断优化处理手段，将任务下达给执行者，及时恢复电力供应并调查攻击行为。与此同时，团队应该把当前的态势报告及时提交给电力行业层面态势感知，帮助其进行整体的安全态势评估并对其他供电单位进行预警。

电力行业层面在整合各团队信息后，分析受影响团队的安全问题，安排行业专家给予支持。在乌克兰电网攻击事件中，BlackEnergy和KillDisk这两个主要的恶意代码都不是第一次出现。BlackEnergy恶意代码最早出现在2007年，此次事件中出现的是它的变种。KillDisk于2015年11月乌克兰大选期间感染了多个媒体机构。若在行业层面加强对已知恶意攻击的分析与防御手段的研究，并且及时为团队赋能，可以减小攻击面，降低电力系统面临的安全风险。

从以上分析可以看出，基于本文提出的ICS安全态势概念框架，在个人、团队、行业三个层次有针对性的加强态势感知建设，可以及时感知攻击者行为、分析攻击手段并作出快速有效的决策，降低安全事件的危害程度。

4 结论

本文首先分析了建设工业控制系统网络安全态势感知的四个关键点：数据驱动、人在回路、协同共享、科学决策。其次，提出了适用于ICS的网络安全态势感知概念框架，个人、团队、行业的层次化框架在细化了角色的基础上强调加强协同共享，为应急响应阶段的科学决策提供了有效的机制保证。最后，以乌克兰电网攻击事件为例对本文提出的框架进行了具体阐述，表明该框架的有效性。

[1] 陶耀东, 贾新桐, 崔君荣. 工业互联网IT/OT一体化的安全挑战与应对策略[J].电信网技术, 2017(11):8-12.

[2] 刘威,李冬,孙波.工业控制系统安全分析[J].信息网络安全,2012(8):41-43.

[3] 肖建荣.工业控制系统信息安全[M].北京：电子工业出版社, 2015.

[4] 龚正虎,卓莹.网络态势感知研究[J].软件学报, 2010,21(7):1605-1619.

[5] 陆耿虹,冯冬芹.工控网络安全态势感知算法实现[J].控制理论与应用,2016,33(8):1054-1060.

[6] 曾伟兵,石慧.一种基于因子加权算法的工业控制系统态势感知方法[C]//全国网络安全等级保护技术大会, 2017.

[7] 陆耿虹,冯冬芹.基于改进C-SVC的工控网络安全态势感知[J].控制与决策,2017,32(7):1223-1228.

[8] 叶健健, 文志诚, 吴欣欣. 基于贝叶斯方法的网络安全态势感知模型[J]. 湖南工业大学学报, 2014, 28(3):65-70.

[9] FRANKE U, BRYNIELSSON J. Cyber situational awareness-a systematic review of the literature[J]. Computers & Security, 2014, 46:18-31.

[10] JACOBS J, RUDIS B. Data-driven security: analysis, visualization and dashboards[M]. Wiley Publishing, 2014.

[11] FENG Y H, TENG T H, TAN A H. Modelling situation awareness for context-aware decision support[M]. Pergamon Press, Inc., 2009.

[12] Ieee B E. 2012 IEEE International Multi-Disciplinary Conference on Cognitive Methods in Situation Awareness and Decision Support [copyright notice][C]// IEEE International Multi-Disciplinary Conference on Cognitive Methods in Situation Awareness and Decision Support. IEEE, 2012:1-1.

[13] FENG N, YU X. A data-driven assessment model for information systems security risk management[J]. Journal of Computers, 2012, 7(12):3103-3109.

[14] ENDSLEY M R. Toward a theory of situation awareness in dynamic systems[J]. Human Factors, 1995, 37(1):32-64.

[15] ENDSLEY M R. Design and evaluation for situation awareness enhancement[C]// human Factors Society, 1988:97-101.

[16] KHAN R, MAYNARD P, MCLAUGHLIN K, et al. Threat analysis of BlackEnergy malware for synchrophasor based real-time control and monitoring in smart grid[C]// International Symposium for ICS & Scada Cyber Security Research. BCS Learning & Development Ltd., 2016:1-11.

[17] 王勇,王钰茗,张琳,等.乌克兰电力系统BlackEnergy病毒分析与防御[J].网络与信息安全学报,2017, 3(1):46-53.

[18] 张盛杰,何冰,王立富,等.乌克兰停电事件对全球能源互联网安全的启示[J].电力信息与通信技术, 2016(3):77-83.