倪 旻，范 菁，李晨光，吴元凯，李 鸿

(1.云南民族大学 电气信息工程学院，云南 昆明 650504；2.云南民族大学 云南省高校信息与通信安全灾备重点实验室， 云南 昆明 650504；3.云南民族大学 云南省高校无线传感器网络重点实验室，云南 昆明 650504)

工业控制系统(industrial control system，ICS)由监测控制和数据采集系统(SCADA)、可编程逻辑控制器(PLC)、人机界面(HMI)、传感器等组成.这些组件通过现场总线或基于IP的协议相互连接.在制造业中，自动化确保了满足生产需求的能力.此外，ICS还应用于电力、汽车生产、石油和天然气基础设施、造纸厂、采矿工业和私营企业制造系统等领域.

传统的工业控制系统仅仅基于机械或电子技术设备和封闭系统.近年来，提出了“工业互联网”计划和“中国制造2025”战略，使得我国工业智能化建设步入新的台阶，工业和关键基础设施互联互通的需求不断增强.2010年，震网病毒(Stuxnet)袭击了伊朗核电站的核浓缩离心机，它主要针对西门子公司的SCADA系统SIMATICWinCC进行攻击.它是第一个针对工业基础设施的恶意代码[1].2019年3月委内瑞拉电网工业控制系统遭攻击导致大规模停电，2019年12月美国加州IT服务商Synoptek遭勒索软件Sodinokibi攻击，2020年1月巴林国家石油公司Bapco遭到疑似伊朗黑客组织的数据擦除恶意软件Dustman攻击.这些安全事故将造成相当大的资产损失、人员伤亡以及失去对工业关键基础设施的支持.本文介绍了工业控制系统安全独特性，并分析了工业控制系统的安全威胁、安全性能，下一步深入探讨ICS的信息安全防护技术，最后阐述ICS信息安全防护技术的研究展望.

1 工业控制系统与IT系统的区别

虽然工业控制系统越来越多地使用现成的商业软件，但与IT系统相比，它们有着根本的区别.工业控制系统与IT系统的比较如表1所示.

1) 从系统特性来看，工业控制系统属于信息物理融合系统，而IT系统通常属于信息系统.

2) 从安全理念来看，工业控制系统与物理世界紧密联系，它的首要目标是保障系统的稳定运行，就是遵循可用性、完整性、保密性原则；而IT系统遵循保密性、完整性、可用性原则，首要目标是保证信息的机密性.

3) 从防护对象来看，工业控制系统既包含服务器、计算机等信息基础设施，又包含生产设备、控制系统等，且设备种类多、差异大、通用性低，即使是同一型号的设备，在不同行业、不同场景，也有不同的配置方式和不同的零件[2]；而IT系统主要保护计算机、网络设施等，每个设备根据统一标准制造出来，应用规范化零件.

4) 从性能要求来看，工业控制系统的可用性和实时性较高，在工业通信时延上应保持在较低水平，使生产系统能够连续运行 7 d×24 h；而IT系统实时性较低，可忍受可用性缺陷，可承受高时延和延迟抖动以及重新启动系统.

5) 从系统运行来看，工业控制系统兼容性差[3]，软硬件升级困难，使用专用工具进行系统升级，升级前必须进行全面的测试，用的是专用通信协议和私有协议，如Modbus、OPC、等，生命周期通常是15—20年；而IT系统兼容性好，软硬件升级频繁，生命周期通常在3—5年.

表1 工业控制系统与IT系统对比

2 工业控制系统的安全威胁

ICS面临的安全威胁会使ICS陷入崩溃，而导致ICS资产损失的根源，由此分成了5个类别，如图1所示.

文献[4]指出在现场仪表网络和本地控制网络中针对PLC等工控组件的攻击主要可以归纳为勒索软件、PLC蠕虫、跳板机等几种形式.赖英旭等[5]提出造成ICS威胁根源有4个方面：工业网络运行环境复杂，工业网络流量具有冲击特性，传统解决方案无法移植，硬件设计先天不足.ICS-CERT、陈星、贾卓生[6]与文献[7]统计具有主观恶意威胁如下：蝇蛆网络运行者、犯罪团伙、恐怖分子、黑客、国外的智能服务、内部人员、钓鱼客与 Spammers、竞争对手产业间谍与不满的顾客.文献[8]指出了工业控制系统的威胁因素，其因素包括①受信任的雇员，承包商，供应商或客户；②上有不适当行为的受信任的雇员，承包商，供应商或客户；③前职雇员，承包商，供应商或客户；④非法外部人员或组织；⑤自然因素.

3 工业控制系统的安全性能

在动态系统的环境下，稳定性是一个基本的要求.对比于传统的工业控制系统，由于来自环境的不确定性、物理建模误差和软件运行、不理想的网络诱发现象、和攻击与干扰的挑战，尤其是在理论层面工业控制系统的性能分析还处于初级阶段.

作为最有用的属性之一，鲁棒性是指在异常和危险情况下系统生存的能力.工业控制系统安全性显示了管理恶意行为或意外事件的能力.

值得指出的是，鲁棒性和安全性的要求通常是预先确定的，系统是在攻击发生之前进行离线设计.因此，针对所有可能的攻击都是不切实际的.这样自然产生了一种新的需求，称为弹性力，指的是遭受敌对攻击后的在线恢复能力.

根据工业控制系统实时性的要求，检测处理数据的速度以及建立模型的速度关系到能否快速响应攻击的能力，实时性指标包括训练时间、检测时间等.可靠性是指系统在规定条件下，规定时间内完成规定功能的能力，可靠性指标包括准确率、漏报率、误报率等；

图1 工业控制系统面临的安全威胁

4 工业控制系统信息安全防护技术

随着ICS安全形势的日益严峻，国内外安全机构和企业针对工业控制系统提出了一系列的安全解决方案，包括工业防火墙、入侵检测、态势感知、安全审计等防护技术.

4.1 工业防火墙

工业防火墙是基于内置的工业通信协议保护模式，实现端口保护、数据包深度检查、协议识别和分析(其结构如图2所示)，它的功能模块主要由数据包采集和控制模块、访问控制模块、过滤和报警模块组成.工业防火墙与普通防火墙最大的区别是加装了工业协议深度过滤模块.该技术具有在线修改配置的功能，可以对配置的防火墙策略进行实时修改，不影响工业实时通讯，避免停电、重启等[9].工业防火墙的吞吐量测试不应仅停留在流量大小的测试[10]，而更应考虑细节，这样才能进一步增强工业控制系统的可靠性.此外，工业防火墙要保证工业应用场景的低延迟率，该变量体现了稳定性.

图2 工业防火墙结构图

4.1.1 工业防火墙的研究进展

工业防火墙作为工业控制网络的安全卫士，控制着网络之间的通信，防止未经授权的用户访问内部重要的信息资源.学者们已经对工业防火墙的设计进行了不同层次的理论研究.

潘峰[11]就支持向量机(support vector machines，SVM)的内核参数以及特征选择均会影响分类准确性的问题，提出了一种基于改进的粒子群优化算法和SVM相结合的白名单自学习算法，正常数据类的准确率最大程度提高了20%，识别异常数据的准确率最大程度提高了22% .

该文献就粒子群优化算法效率低且收敛速度不快的问题，将其中的加速系数c1，c2和线性权重参数w进行了改进，以此找寻SVM中的c,g参数，方法如下：

(7)

(8)

式中wmin为最小惯性权重值，wmax为最大惯性权重值，itermax最大迭代数，iteri为当前迭代次数，ctmax为迭代终值.

徐毅凯[12]研究了工业状态防火墙的工作原理，并提出了动态阈值检测算法和SYN Cookie防御技术作为其内置检测与防御引擎，实现针对SYN Flood攻击的状态检测防火墙的设计.在智能变电站中搭建了相应的实验测试平台，改善了网络传输性能，提高了吞吐量.

雷艳晴等[13]针对传统工业防火墙规则的人工配置困难和管理繁复的问题，利用改进的BP神经网络对防火墙的日志文件进行深度分析，学习出正常数据流的通讯模式，根据提取的数据包特征信息，推理相应防火墙规则策略，自动生成新的防火墙规则.

Shang等[14]基于工业控制网络的“有限状态”和“有限行为”，将“白名单”策略应用于工业防火墙，利用深度包检测技术构建防火墙.在Linux平台上对该方法可行性的良好测试结果表明，工业防火墙能够更好地分析网络流量，合理拦截非法流量.

所以从上述文献的分析中可以发现，针对安全性、可靠性和稳定性，我们可以利用工业防火墙来解决工业控制系统的安全问题.

4.1.2 工业防火墙的优缺点分析

工业防火墙技术目前普遍采用自学习方法，生成新的防火墙规则，提高工业防火墙的自学习能力；运用白名单策略，可以有效降低防火墙的负荷；同时为了提高拦截的效率，也实现了分散部署集中管控，基于应用层上数据包的深度检查和协议分析.但是不足之处在于很难通过真实世界中的白名单来确定是否仅在内部网络中传输了经过身份验证的流量，同时防火墙规则提取未包括工控协议应用层数据的值及合理取值范围等参数，以及关联规则等，这是后面进一步的研究内容.

4.2 入侵检测

入侵检测(intrusion detection，ID)是对入侵行为的发觉，并对此做出反应的过程[15].在ICS信息安全架构中，入侵检测位于防护线之后，作为第二道防线，可以及时发现入侵和破坏，以弥补静态防护技术的不足，减少工业控制系统安全事件造成的损失.

4.2.1 入侵检测的研究进展

入侵检测是工业过程自动化安全防护的基础，它的质量直接影响到工业过程自动化的安全性和效率.入侵检测的主要目的是通过检测入侵、有害攻击和恶意节点来保护工业控制网络的可用性、机密性和完整性.

根据已有的文献总结，工控入侵检测可以分为以下类别，如表2所示.赖英旭，刘增辉等[5]将变种攻击检测分为误用入侵检测技术和异常入侵检测技术，误用入侵检测技术优点是检测正确率高，缺点是变种攻击行为的检测能力有限，异常入侵检测技术优点是可以检测变种大的攻击，缺点是会产生误报率.尚文利，安攀峰等[18]详细说明了基于主机的入侵检测是从系统主机获取检测数据，通过对审计记录、日志文件等进行监控分析，检测异常行为；基于网络的入侵检测是对传输的网络数据包进行分析检测，通过对数据包中的相关的特征信息进行提取分析，实时监控和拦截来自网络的异常攻击行为.

表2 工控入侵检测的分类

近年来，许多学者提出了一些新型的入侵检测方法.Wang等[19]提出一个改进的动态免疫算法(IDIA)，由用于移位变异方法的改进反向选择算法(iNSA)和用于随机分组策略的改进动态克隆选择算法(iDCS)组成，前者用于产生检测器，后者用于更新检测器，经过实验发现IDIA能够较准确地检测非自样本，并具有较高的识别精度.

该文献为了评估入侵检测的性能，定义了几个度量指标，即a、l、e，其中a代表准确率，l代表漏报率，e代表误报率.通常，定义4个变量来测试检测性能，分别是FN(未正确识别异常数据的数目)、FP(错误识别正常数据的数目)、TP(正确识别的异常数据数目)、TN(正确识别的正常数据数目).

(3)

(4)

(5)

陈万志等[20]为了改善未知通信异常行为的检测能力，提出了结合白名单过滤和神经网络无监督学习算法的入侵检测方法(AMPSO-BP)，应用在管理网络与工业网络服务器间的路由器上，该算法的检测率和误报率均优于白名单-PSO-BP方法.

张瑞等[21]针对工控网络数据具有高维性和非线性等特点，应用Fisher分值和核主成分分析法对工控网络数据进行预处理，对于支持向量机的参数辨识以及标准粒子群算法易陷入局部最优的问题，利用自适应变异粒子群(SVPSO)算法进行支持向量机的参数寻优，从而建立了工业控制系统入侵检测模型.下一步将采用深度学习的方法优化数据特征，挖掘其中有效信息，同时提高分类精度.

赵国新等[22]提出混合自适应量子粒子群(HAQPSO)优化算法对输入权值和隐含层结点的阈值进行参数寻优.在量子粒子群优化算法的基础上，加入差分策略和Levy飞行策略，采用自适应改变的控制方法控制收缩-扩张系数，有效避免算法的早熟，增强算法全局寻优能力，解决了极限学习机(ELM)随机给定输入权值和隐含层结点的阈值，导致泛化能力和精度不理想的问题.

从以上文献可以得出，入侵检测技术满足了工业控制系统的实时性、可靠性、安全性.

4.2.2 入侵检测的优缺点分析

在工业控制系统中智能化的入侵检测技术普遍提高了系统的检测率，降低了误报率、漏报率，加快了检测速度.运用的AMPSO-BP方法在缺少样本条件下，缺乏稳定性以及检测的时效性[20]；建立基于SVPSO的工控入侵检测模型在挖掘其中有效信息时缺乏说服力，因此需优化数据特征，同时提高分类精度是其下一步需要思考的工作.此外，目前普遍存在数据不平衡的情况，往往导致少数类入侵样本的检测效果较差，目前在工业控制系统的领域中，是有待解决的问题.

4.3 态势感知

态势感知是由Endsley[23]定义，在一定时间和空间范围内对环境中元素的感知，对其现状的理解，以及对其在未来状态的预测.将其分为3个级别.

第1级:对环境中元素的感知.实现态势感知的第一步是感知环境中相关元素的条件、特征和动态.

第2级:对现状的理解.对不连贯的第1级元素的综合，以形成对环境和特定对象、事件或格式塔模式意义的整体理解.

第3级:未来状态的投射.综合要素的特征和动态以及对形势的理解(一级和二级态势感知)，以提供环境要素未来行动的预测，以支持决策.

态势感知作为1种帮助主动网络防御的技术，特别是在面对有针对性的攻击时，近年来吸引了安全研究社区相当大的兴趣.工业控制网络安全的态势感知(ICNSSA)是工控系统入侵检测后工业控制系统信息安全防护的另一个研究热点.

4.3.1 态势感知的研究进展

态势感知在工业控制网络中的应用即结合实时获取的工控系统安全态势信息以预测在一定条件下网络环境中的安全发展趋势，不仅有助于预测风险和提高工控系统的稳定性与安全性，还可以提高敌人袭击后的在线恢复能力，对基础资源的保护有着切实的意义.岳巍[24]将ICNSSA分为3个阶段，如图3所示：

图3 ICNSSA模型

在ICNSSA模型预测的3个阶段中，完整的工控安全态势信息获取阶段需要主动获取特定的特征信息.对工控态势信息的理解则是基于获取的特征信息，提取相关的脆弱性信息(例如工控设备、协议)，为下一阶段的态势信息预测做准备.工控安全态势预测基于对工控态势理解的数据分析，对相关设备或协议的安全等级、攻击手段变化趋势或来源等进行预测分析.

敖建松等[25]提出一种针对工业控制系统的态势理解算法，以FCM算法对系统正常运行状态空间进行建模，通过ARIMA预测出未来部分时刻的状态数据信息作为修正，再根据滑动窗口做融合处理，数据仿真实验证明，该方法为安全管理人员提供可靠的决策依据，提高工业控制系统的弹性力.

陆耿虹等[26]提出了基于粒子滤波输入估计的态势理解算法，在建模的过程中提出了态势指标M={MR,FR}，它包含了2个元素，表示在进行粒子滤波状态估计时出现的错误率和漏检率.

(6)

(7)

其中，I为误测特征个数，S为测得特征个数，C为正确测得的危险态势特征个数，W为期望得到的危险态势特征个数.

综上所述，针对弹性力、安全性、稳定性，应当使用工控安全态势感知技术对工业控制系统进行防护.

4.3.2 态势感知的优缺点分析

运用在工业控制系统领域的态势感知技术能有效地利用数据源中的信息对系统内存在的危险态势进行感知[26]，可以很好的反映出系统实时的安全状况，为安全管理人员提供可靠的决策依据，并且通过降低数据维度，实现了时间复杂度的降低.但是不足的地方在于工控系统态势感知研究领域目前尚处于起步阶段，在态势感知的工控独特要求及针对性方法设计方面还有待完善.

4.4 安全审计

安全审计是基于第三方审核员来检查数据完整性和监控异常数据的1种方法.工业控制安全审计和传统信息安全审计技术举措，通常都直接选择监听模式，实时地安全监测和审计工业控制系统，相对而言工业控制系统的安全审计覆盖面会比传统的信息系统来的更加广泛，涉及到更多的工业控制设备、协议、网络和系统漏洞信息.加上多个历史和实时数据库的应用，审计取证的工作也会显得更加复杂[27].所以运用安全审计技术提升工控系统在异常情况下的生存能力是很有效的.

4.4.1 安全审计的研究进展

安全审计技术是实现工业控制网络安全的基础技术，是工业防火墙和入侵检测之后的第3道防线，有效的保障工业控制系统网络安全.系统主要功能一般包括工业控制网络行为审计、工业控制网络流量审计、确保审计进程被保护、未知设备接入记录、丰富的报表功能.

陈庄等[28]针对ICS的数据特点以及协议特点设计了一款ICS信息安全审计系统，该审计系统主要由数据采集模块、内容检测模块、异常行为判断模块、行为处理模块、审计响应模块等组成.崔传金[29]提出了分层分布式网络部署方案，并构建了针对IP协议分布式工业网络行为审计系统模型，首先从工业网络结构入手，分析工业网络的各种安全问题和行为，最后设计了基于这些内容的工业网络综合行为审计系统，包括网络行为数据收集和预处理、审计分析、审计数据库和审计响应等模块.

以上可以观察出，为了满足工业控制系统的鲁棒性、实时性，需采取安全审计技术来解决工业控制系统的安全问题.

4.4.2 安全审计的优缺点分析

就目前所研究的安全审计技术而言，设计的ICS信息安全审计系统能够提供十分丰富的审计报告；构建的基于IP协议分布式工业网络行为审计系统模型能够实现工业网络设备的IP化，全面采集到行为数据发送到审计中心，但是复杂的审计算法影响了处理速度，需要更高的网络吞吐量，未来加速对审计系统的处理，减少对网络吞吐量和服务器数量依赖也是今后研究的重点[29].

5 工业控制系统信息安全防护技术研究探索展望

对未来工控系统信息安全防护技术的研究发展方向主要集中在4个方面：

1) 在当前的工业控制系统中，大多数采用的防护方法都存在很大的1个问题：它们都是采用离线方式进行的，即训练数据和测试数据都是给出来的.但是真实的应用往往不是这样的：数据往往是一点一点源源不断送来的，最初，只有训练数据，随后测试数据要一点一点输送过来.所以在线学习可以达到相应的要求，将在线学习算法与工控系统防护技术同时应用是未来的发展趋势；

2) 目前由于工控系统的数据杂乱无章，会存在选取的训练数据异常数据和正常数据比例失衡的状况.随着机器学习和深度学习领域的发展，出现了崭新的研究方向迁移学习，该研究方向的突出点在于迁移学习能够利用少量标注数据训练出准确率较高的模型[30].当前，迁移学习与工控系统防护技术相结合的研究刚刚起步，此研究方向具有可期的研究前景且蕴含着巨大的潜在效益；

3) 研究智能化的工控系统信息安全防护技术，提高实时检测异常行为的能力.攻击和防护始终是相辅相成的，建立工控防护系统不可能一劳永逸地解决安全防护问题，工控系统信息安全防护技术需要能够不断更新.研究自适应和自学习方式的工控系统信息安全防护技术，根据工控系统检测环境和信息变化实时自主调整系统结构，增强检测性能；

4) 当前工控系统信息安全防护技术的应用已将理论研究与工程技术相结合，但是仍不够全面.研究如何将理论成果更多的应用于实际工程，开发能够真实测试工程环境对提高工业控制系统的安全防护能力非常重要.

6 结语

随着两化深度融合的推进，工业控制系统信息安全面临新的问题，吸引了全球人们的目光.首先将工业控制系统的安全威胁分为了5大类：环境和安全威胁、内部无意威胁、内部有意威胁、外部攻击、第三方人员；随后详细论述了工业控制系统信息安全的防护技术，包括工业防火墙、入侵检测、态势感知、安全审计，并列出了每个技术中的优缺点，以及下一步需要改进的地方.本综述综合分析了工业控制系统信息安全防护技术的研究进展，并对未来工控系统信息安全防护技术发展的趋势与有待研究的不足之处进行了对比阐述.