张 艳，张昊鹏，闫士秋

（山东省调水工程运行维护中心，山东 济南 250100）

1 研究背景

随着工业互联网、工业4.0和“中国制造2025”等战略的提出，推动了工业生产模式的变革、产业的组织创新和结构升级，使得传统行业的基础设施能够进行远程的智能化控制和操作，高度融合IT技术的工业控制系统得到迅速而广泛的应用。工业控制系统设计之初主要是为了完成各种实时控制功能，安全防护方面的问题没有考虑或考虑不足，这无疑给关键基础设施的控制系统带来巨大的安全风险和隐患。高速发展的科学技术为泵站自动化的业务集成提供了良好条件，泵站工控系统朝着测量、控制、调度优化、运行管理的一体化方向发展，集成了大量的PLC、HMI、I/O及通信等工控技术。但目前泵站工控系统网络安全防护明显滞后于系统的建设速度，泵站工控系统缺乏自身的安全性设计。

2 泵站工控网络安全现状分析

通过对泵站工控系统网络安全的调研与梳理，泵站工控系统网络安全主要存在以下几个方面问题。

2.1 网络通信层面

（1）安全域架构设计缺失。整体架构设计当初考虑更多的是上层网络与生产系统网络通信可用性问题，在管理网与生产网之间没有进行安全隔离与控制，导致生产系统和生产数据存在未经授权的访问、病毒感染、拒绝式服务攻击等安全风险，容易造成生产核心数据的泄露或被恶意篡改。工控系统内部不同控制区域之间缺乏安全防御机制，容易造成某一区域遭受到攻击，很快扩散到整个工控系统。

（2）控制指令数据通信明文传输。目前工控系统没有针对数据传输的加密机制，管理网与生产网、上位机与 PLC 之间的通信采用明文数据传输，易被攻击者窃听、解析和重放攻击。

（3）工控安全审计机制缺失。工控系统内部缺乏流量数据的实时监控，同时对于日常运维人员操作行为没有进行安全审计管理，对于系统内部出现的异常流量、异常操作甚至人为原因造成的生产业务异常事件无法溯源，无法查明事件发生根本原因，最终难以对异常事件进行定性分析。

2.2 设备层面

（1）PLC设备存在漏洞。目前泵站工控系统使用的PLC大多是 Siemens、AB或GE等品牌，依据ICS-CERT统计的工业控制系统公开新增漏洞所涉及的工业控制系统厂商占比中， Siemens设备占比28%（排名第一），同时这些新增漏洞按照可能引起的攻击威胁分类的统计及占比分析结果中，可引起业务中断的拒绝服务类漏洞占比33%（排名第一），利用这些漏洞可以窃取生产计划、工艺流程等敏感信息，甚至获得工控系统的控制权，干扰、破坏工控系统的正常运行。

（2）工程师站、操作员站和业务服务器缺乏安全防护机制。工程师站、操作员站和业务服务器大多为 Windows或linux 系统，出于系统稳定性考虑，没有安装补丁或进行系统升级，杀毒软件也无法及时更新，导致病毒查杀效果无法得到保证。缺乏进程监控、移动存储设备监控、远程维护监控、恶意代码防范等措施。

（3）主机系统和应用系统身份认证机制不完善。工程师站、操作员站和业务服务器的身份认证机制没有充分的安全性评估和验证，大量中控室操作员站及监控终端都采用公用账号（甚至是系统默认账号），且系统操作界面长期处于开放状态，导致进出中控室的所有人员都可以对其进行操作，可能存在被无关人员访问操作员站进行未授权操作的安全风险。

3 泵站工控网络安全防护策略

通过对泵站工控系统网络安全现状及脆弱性分析，针对泵站工控系统特点，应从区域隔离、访问控制、主机安全防护、网络审计与入侵检测、安全集中管控等几个方面开展泵站工控网络安全防护技术研究及网络安全防护建设。图1为泵站工控系统网络安全防护技术解决方案原理图。

图1 泵站工控系统网络安全防护技术解决方案原理图

3.1 区域隔离

在泵站核心交换机与上级调度中心之间部署工业网闸。工业网闸可动态管理连接端口，支持opc、modbus协议解析，可进行读拦截、写拦截、读写拦截。支持modbus协议元素级别控制，并应内置IDS入侵检测引擎，可有效保护网络免受频繁攻击。能自动分析内网的访问请求，对可疑数据包采取拒绝连接的方式防御攻击。并具备完善的SAT功能，服务器可通过SAT功能将特定服务虚拟映射到隔离网闸的不可信端口上，通过隔离网闸的不可信端虚拟端口对外提供访问服务，使访问者仅能访问虚拟端口而无法直接访问服务器，从而防止服务器遭到攻击。

3.2 访问控制

在泵站中心核心交换机与现场设备层交换机之间部署工业防火墙。工业防火墙应支持对多种工控协议的深度解析，并进行指令级的访问控制，例如报文格式检查、功能码控制、寄存器控制，连接状态控制等。可采用会话状态检测、包过滤机制进行网络访问控制，阻止各类非授权访问和误操作行为。内置的数据自学习引擎通过深度解析工控协议、分析工业控制行为过程，自动建立基于工控协议的操作行为和规则的工控安全检测模型，以此作为白名单防护的基线，并可通过自定义规则进行强化，保护合法操作，过滤高危行为。

3.3 入侵检测

在泵站中心核心交换机上部署工控入侵检测设备。工控入侵检测设备应基于状态检测机制对会话进行分析，跟踪会话从建立、维持到中止的全过程。IPS特征库中应包含特有的攻击或应用检测，支持溢出类攻击、暴力破解类攻击、后门类攻击、CGI类攻击、SQL注入类攻击、跨站脚本类攻击、扫描类攻击、跨站请求伪造攻击、分布式拒绝服务攻击等多种攻击检测。支持报文格式检查、功能码控制、动态端口识别、寄存器控制，连接状态控制等的检测，可有效防御工控协议和工控厂家的漏洞。

3.4 安全审计

在泵站接入交换机上部署工控安全审计设备。工控安全审计用于实时工控网络监测，对协议、流量等元素进行统计分析，实时显示网络的状态。实时检测工控网络中的攻击行为，利用内置的工控威胁库，根据已知的威胁特征建立检测规则，实时对网络中的入侵进行告警。通过深度解析工控协议、分析工控过程行为，自动学习基于工控协议的操作行为和规则，建立安全检测模型。通过自定义规则或白名单规则，检测业务流量中不合规的工控行为，对不合规行为进行实时的告警和响应。对安全事件进行审计，及时追溯安全事件的轨迹。

3.5 主机安全防护

在泵站工控系统中的操作员站、工程师站、数据库等服务器上部署主机安全防护卫士。具备主机加固、白名单可信防护、恶意代码拦截、系统数据访问控制、外设管控等多种安全能力。禁止白名单以外的可执行文件、脚本运行。严格限制网络入栈请求，防范开放过多的端口后因系统级漏洞带来安全隐患，保护操作系统不受SYN Flood攻击。设置受保护的文件或目录，仅允许对受保护的文件或受保护目录内的文件的读取操作，禁止对其进行修改或删除等。非白名单进程运行、USB设备接入拔出、访问控制、防火墙、管理员操作等均产生安全事件并记录，事件记录加密存储，不可删除、不可篡改。

3.6 日志审计

在泵站中心核心交换机上部署日志审计系统。具有强大的日志综合审计功能，为不同层级的用户提供多视角、多层次的审计视图。具有全局监视仪表板，可监测不同类型设备、不同安全区域的日志流曲线，以及网络整体运行态势和告警信息等。具有视图统计功能，可根据统计策略，从多个维度进行安全事件统计分析。

3.7 集中管理

在泵站中心核心交换机上部署集中管理平台。支持工业防火墙、工控安全审计系统、主机卫士等工控安全产品的接入管理。平台具备完整的安全策略管理，能对被管理的安全设备进行集中的安全策略收集和配置。IP与MAC绑定增加现有网络内安全等级，使未授权机器将无法对本系统进行操作。通过深度解析工控协议、分析工控过程行为，自动学习基于工控协议的操作行为和规则，建立安全检测模型。对安全事件进行审计，及时追溯安全事件的轨迹，对用户的操作行为进行细粒度审计，方便还原操作的真相。实时监控系统中安全设备、工控设备、网络设备的状态、安全事件、系统事件、日志等信息。

4 结语

通过对泵站工控系统网络安全现状及安全防护技术的研究，构建了以安全可控为目标、监控审计为特征、持续安全运营为一体的泵站工控系统新一代主动防御体系，提高了泵站工控系统整体安全性。以工控协议的深度解析技术的应用为支撑，采用基于构建可信主机系统、可信的网络环境和白名单机制的安全防护技术，设计构建安全防护体系，使安全防护更具有基于行为的主动防御能力。