◆包 丛 李 焕 李 伟 黄 林 石友晨

多维视角下的工控网络安全研究

◆包 丛 李 焕 李 伟 黄 林 石友晨

（新疆油田公司数据公司 新疆 834000）

工业控制系统（ICS）是工业自动化的核心组成部分，同时也是关系国家安全的重要基础设施组成部分。目前，许多大型工业生产单位的工业控制系统面临着严峻的形势。本文基于多维视角，针对工业控制系统信息安全体系，分别从“基（工业控制系统基础现状）、标（工业控制系统制度标准）、攻（工业控制系统威胁攻击）、防（工业控制系统入侵防范）、评（工业控制系统风险评估）”五个方面的内容进行了深入分析与研究，列举目前工业控制系统网络信息安全发展现状趋势以及主要攻击手段，以及防范措施应该如何应对，有助于企业工控系统防护能力和水平的进一步提升。

工业控制系统信息安全；工业控制系统安全标准；工业控制系统威胁攻击；工业控制系统风险评估

工业控制系统（Industrial Control System，ICS）大量运用在石油石化、电网、轨道交通等关键基础设施，它是控制设备进程、传输业务指令、监测设备运行状态的大型智能集成系统[1-2]，能够收集工控完整数据，高效分析处理的业务模块功能[3-4]。如今，ICS系统所面临的安全形势相当严峻。根据研究机构的最新调查报告，ICS威胁不论是种类、数量还是风险程度都呈现快速增长趋势，ICS网络攻击扰乱了系统正常运行，有的甚至对ICS系统发造成了物理损害和人员伤亡，被攻击后所导致的社会影响和经济损失成为企业最大的威胁风险[5]。

本文基于多维视角，针对工业控制系统信息安全体系，分别从“基（工业控制系统基础现状）、标（工业控制系统制度标准）、攻（工业控制系统威胁攻击）、防（工业控制系统入侵防范）、评（工业控制系统风险评估）”五个方面的内容进行了深入分析与研究，列举目前工业控制系统网络信息安全发展现状趋势以及主要攻击手段，旨在描述目前工业控制系统信息安全发展态势、威胁以及亟待解决问题，为企业工控系统防护提供科学指导。

1 国内外工控信息安全标准及政策法规介绍

国外对工业控制系统重要标准及政策基础的研究相对早一些，并通过设立综合研究多家科研、管理机构来支持标准与政策的研发。关键基础设施方面：2003年美国颁布《关键基础设施的识别、优先级和保护》、2009年美国政府颁布“国家基础设施保护计划”（NIPP）[6]、11年发布“能源供应系统信息安全路线图”[7]、13年美国颁布《关键基础设施的安全性和恢复力》、14年美国国家标准与技术研究院（NIST）颁布了《提升关键基础设施网络安全的框架》；工业控制系统信息安全方面：由国土安全部成立ICS-CERT（工业控制系统网络应急响应小组），并建设了多家工业控制系统安全研究重点实验室、美国国家标准与技术研究院制定并不断完善了NIST SP800-等标准。这些文件与标准的发布与实施，标志着美国关键基础设施保护及工业控制系统安全建设的工作已趋于成熟。

我国专家随即开展一系列针对工业控制系统信息安全的规范与标准制定。2018年9月，全国信息安全标准化技术委员会归口的17项国家标准正式发布，这些国家标准将在2019年4月1日起正式实施，详细内容包括：GB/T 36626-2018《信息安全技术信息系统安全运维管理指南》、GB/T 36631-2018《信息安全技术时间戳策略和时间戳业务操作规则》、GB/T 36633-2018《信息安全技术网络用户身份鉴别技术指南》、GB/T 36635-2018《信息安全技术网络安全监测基本要求与实施指南》、GB/T 36639-2018《信息安全技术可信计算规范服务器可信支撑平台》、GB/T 36624-2018《信息技术安全技术可鉴别的加密机制》、GB/T 15843.6-2018《信息技术安全技术实体鉴别第6部分：采用人工数据传递的机制》、GB/T 36644-2018《信息安全技术数字签名应用安全证明获取方法》[8]。

这些政策标准提供了信息系统安全运维管理体系的指导和建议，给出了安全运维策略、安全运维组织的管理、安全运维规则和安全运维支撑系统等方面相关活动的目的、要求和实施指南。

2 面临问题及防御措施

2.1 工控系统入侵方式

工业控制系统是通过工业网络协议进行连接通讯，组成的控制系统[9]。对于工业控制系统所面临的主要威胁的深入分析，有助于改善ICS网络的安全状况，目前ICS信息安全主要的攻击有：（1）外部威胁APT、目标攻击等，外部攻击可能涉及政治敌对势力，工业间谍，黑客活动等对于关键基础设施的工业部门；（2）内部心怀不满员工、第三方等，一些心怀不满的员工、第三方拥有企业内部的核心访问权限，而大部分企业的身份认证机构不完善，缺乏相关认证机制与管理制度规定，所以导致其可以随心所欲的操控内网的任何核心设备。（3）误操作行为，一些员工的误操作行为可能导致配置错误、口令输送错误等，其影响可能会被外部对手利用，造成对系统的二次伤害。工业控制网络中针对ICS设备的攻击多种多样，大多数威胁病毒首先通过暴露在公网上的工控设备，然后利用其漏洞进而实现传播，对典型的攻击来源进行简单列举：ICSGhost勒索蠕虫：刘煜堃等[10]针对ICS 高度隔离化的问题，在主要讨论PLC 与SCADA系统的上位机两种主要的工控组件为前提下，提出新型勒索蠕虫ICSGhost。由于一部分的工程师们在网站上下载了捆绑有勒索病毒的破解版软件，于是该勒索病毒以工程师站作为初次感染源，然后将其为跳板，对处于内部网络的工控设备进行攻击，最后实现蠕虫式勒索及感染。像这样恶意感染的“源码病毒”还有UnityGhost、SysConst.dcu、Xcode Ghost[11]它们在编译器或者软件中加载病毒，通过收集用户的基础信息，上传至恶意网站，并具备远程控制能力，接收到服务器指令后，执行多种恶意行为。震网病毒（Stuxnet） Kehe Wu等[12]以智能变电站攻击为例，利用对象分层形式的Petri网描述工业控制系统网络攻击程序的整个过程。

2.2 防御措施

IT信息系统防范方式一般从安全技术体系、安全管理体系与综合安全体系研究出发[13]，包括一系列的安全评估准则、管理标准以及技术手段，如防病毒技术、防火墙技术、入侵检测技术、风险评估等。但是工业控制系统，与传统信息系统安全有着巨大差异，大部分工业控制系统是在网络威胁出现之前创建的，涉及之初并未考虑内置外部安全防控措施。

2.2.1入侵检测模型

入侵检测是指"通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图"。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测专家系统IDES（ion Detection Expert System）与它的后继版本NIDES（Next-Generation Intrusion Detection Expert System）均完全基于Denning的模型。该模型的最大缺点是它没有包含已知系统漏洞或攻击方法的知识，而这些知识在许多情况下是非常有用的信息。国内外各研究学者针对工业控制系统中的异常流量、特征库匹配、工业协议深度解析等研究，提出了多种较为完善的安全防御检测模型。Suruz Miah等提出基于深度信任网络的云辅助物联网（CoT）的工业控制系统网络恶意威胁检测模型。尚文利等针对工控网络异常行为与入侵行为的差异性，提出基于单类支持向量机的双轮廓模型异常检测方法，用以模拟工控系统通讯的正常模态和异常模态，并通过协同判别机制实现工控系统网络的异常检测。Andrew Chaves等基于一种工业控制系统弹性策略，该策略采用主动防御技术来减少由网络攻击引起的故障可能性。将主动防御实现与使用暴露于网络攻击的半模拟废水处理系统的传统工业控制系统弹性实现进行比较。结果表明，主动防御实现在网络攻击后非常有效，而传统的弹性实现则会导致系统中断。

2.2.2基于大数据的威胁发现技术

目前利用大数据技术能够根据用户的上网行为习惯，建立一个模型库，系统会检测到用户的异常行为，及时对偏离日常行为的用户操作指令进行实时监控，同时知晓其隐藏的潜在威胁。基于大数据的信息挖掘技术能够知晓大量新的网站攻击特性，对攻击源头及时溯源，对威胁到数据资产、硬件资产、人员资产、软件资产以及其他支撑或服务于业务系统的资产。对于APT高持续威胁性攻击，其也有一定的适用性，通过对企业进行全流量镜像，对受到攻击后的后验信息进行定期历史关联性分析，及时溯源并定位攻击源。

2.2.3基于AI的数据安全处理技术

AI技术对于数据、代码的分析具有高效、快捷、准确的特点，在提高处理速率的同时关注网络流量中的无数信息与编码漏洞，并对大量伪装成可执行文件、PDF等可疑文档进行侦测，对其在短时间内进行快速关联分析，发现异常文档、编码、报文及流量。在运维方面，AI技术能够将搜集到的外部威胁情报信息及相关运维日志等数据源进行综合处理并分析。

2.3 工控安全风险评估

工控系统风险评估的范围大致包含如下三个大的方面：物理安全、技术安全和管理安全，其中每部分又可以划分为许多小的方面。目前，评估方法主要有定性分析法、定量分析、模糊综合评判法、层次分析法、贝叶斯网络分类法等，评估工具有问卷调查表、检查列表、人员访谈、漏洞扫描、漏洞挖掘、工控审计、渗透测试等。由于工控系统的敏感性和时效性都要求比较高，因此技术性的评估设备在使用过程中，需要做好充分的风险识别和处置预案工作。

3 结论

本文基于多维视角，针对工业控制系统信息安全体系，分别从“基（工业控制系统基础现状）、标（工业控制系统制度标准）、攻（工业控制系统威胁攻击）、防（工业控制系统入侵防范）、评（工业控制系统风险评估）”五个方面的内容进行了深入分析与研究，列举目前工业控制系统网络信息安全发展现状趋势以及主要攻击手段，以及防范措施应该如何应对，希望能够为正在从事工业控制信息安全的研究单位或者学者提供一些实例参考。

[1]Jay LEE. Trends of Big Data Analytics and Cyber-Physical Systems in Industrial 4.0 Systems[A]. Nanjing University of Science and Technology （PRC）、Virginia Polytechnic Institute and State University （USA）、Purdue University （USA）、Chemnitz University of Technology （Germany）、Tokyo Institute of Technology （Japan）、City University of Hong Kong （HK， PRC）.PROCEEDINGS OF THE 5TH INTERNATIONAL CONFERENCE ON MECHANICAL ENGINEERING AND MECHANICS[C].Nanjing University of Science and Technology （PRC）、Virginia Polytechnic Institute and State University （USA）、Purdue University （USA）、Chemnitz University of Technology （Germany）、Tokyo Institute of Technology （Japan）、City University of Hong Kong （HK，PRC），2014：5.

[2]Andrew Chaves，Mason Rice，Stephen Dunlap，John Pecarina. Improving the cyber resilience of industrial control systems[J]. International Journal of Critical Infrastructure Protection，2017，17.

[3]H.M. Leith，John W. Piper. Identification and application of security measures for petrochemical industrial control systems[J]. Journal of Loss Prevention in the Process Industries，2013，26（6）.

[4]Wei Kang，Xinguo Xu，Lin Li，Zhiqi Fang. Building Safety Mechanism in Industrial Control System Based on Essential Safety[M].Springer International Publishing：2014-06-15.

[5]Shun Kondo，Hiroto Sakashita，Souta Sato，Takashi Hamaguchi，Yoshihiro Hashimoto. An application of STAMP to safety and cyber security for ICS[M].Elsevier Inc.：2018-08-09.

[6]Department of Homeland Security.National Infrastructure Protection Plan[R].Washington DC，USA：Department of Homeland Security，2009.

[7]Energy Sector Control Systems Working Group（ESCSWG）.Roadmap to Achieve Energy Delivery Systems Cybersecurity[R].Washington DC，USA： Office of Electricity Delivery & Energy Reliability，2011.

[8]工业控制系统信息安全行动计划（2018—2020年）[N].中国电子报，2018-01-09（002）.

[9]Andrew Chaves，Mason Rice，Stephen Dunlap，John Pecarina. Improving the cyber resilience of industrial control systems[J]. International Journal of Critical Infrastructure Protection，2017，17.

[10]刘煜堃，诸葛建伟，吴一雄.新型工业控制系统勒索蠕虫威胁与防御[J].计算机应用，2018，38（06）：1608-1613.

[11]XIAO C.Novel malware xcodeghost modifies xcode’infects appleios apps and hits app store [EB/OL]. [2017-10-16].https：//researchcenter.paloaltonetworks.com/2015/09/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store/.

[12]Kehe Wu，Yi Li，Fei Chen，Long Chen. A method for describing industrial control system network attack using object Petri net[J]. IEEJ Transactions on Electrical and Electronic EngIneering，2016，11（2）.

[13]布宁，刘玉岭，连一峰，黄亮.一种基于UML的网络安全体系建模分析方法[J].计算机研究与发展，2014，51（07）：1578-1593.