郭 江，陳服軍，張志華

（中國水利水電科學研究院 天津水利電力機電研究所，天津 301900）

1 引言

工業(yè)控制系統(tǒng)廣泛用于電力、水利、污水處理、石油化工、冶金、汽車、航空航天、交通、通訊等諸多現代工業(yè)領域，眾多關系到國計民生的關鍵基礎設施，如水力發(fā)電、城市給排水等都依靠工業(yè)控制系統(tǒng)來實現生產過程自動化。隨著兩化（信息化與工業(yè)化）融合的推進，管理網絡與生產網絡的互聯，使工控系統(tǒng)由原來相對封閉、穩(wěn)定的環(huán)境變得更加開放、多變，工控系統(tǒng)的漏洞在互聯網中暴露無遺，由于工控網絡與傳統(tǒng)的互聯網有本質的不同，傳統(tǒng)的互聯網安全技術并不能保障工控網絡安全，近年來工業(yè)控制系統(tǒng)的安全事件屢有發(fā)生（圖1為近年來發(fā)生的工控網絡安全事件趨勢圖），2012年全球工控網絡安全事件為197件，并且呈逐年遞增的趨勢，到2015年工控網絡安全事件已上升至295件［1］，而且遭受攻擊的目標多為國家重要基礎設施或重要行業(yè)領域工業(yè)控制網絡，安全事件影響越來越大，甚至逐步威脅到國家安全。國家基礎設施的工控網絡一旦受到攻擊，將給社會穩(wěn)定和經濟健康發(fā)展造成不可估量的影響，如鋼廠異常停機、石化工廠蠕蟲泛濫等，給企業(yè)造成巨大的經濟損失［2］。特別是2015年烏克蘭電網事件，造成烏克蘭140萬名居民家中停電，為我國基礎設施安全敲響了警鐘，因此，國家關鍵基礎設施的工控網絡安全問題應該引起重點關注。

圖1 工控網絡安全事件趨勢

水利工程是國家基礎設施的重要組成部分，水利工程工控系統(tǒng)網絡安全問題也逐漸引起重視，水利部下發(fā)《2017年水利信息化工作要點》，印發(fā)《水利網絡安全頂層設計》，遵照《中華人民共和國網絡安全法》，結合水利網絡安全現狀，提出了統(tǒng)一水利網絡安全策略、落實組織管理和監(jiān)督檢查兩大保障，提升水利網絡安全監(jiān)測預警、縱深防御和應急響應三大能力的網絡安全總體框架，并明確了相應的設計架構和主要內容，提出了保障措施。中國水利水電科學研究院天津機電所從2015年初開始進行水利工控網絡安全方面的研究工作，對國內外工控網絡安全動態(tài)、政策法規(guī)、防護技術等進行了詳細的了解和研究，并調研了國內多個水電站、泵站等水利工程，充分了解水利工程工控系統(tǒng)網絡安全現狀，并建立了工控網絡安全實驗室，能夠對水利工控系統(tǒng)進行漏洞挖掘和威脅檢測，開展水利工控系統(tǒng)網絡安全攻防研究，提供水利工控系統(tǒng)網絡安全防護技術解決方案。

2 水利工控系統(tǒng)網絡安全現狀

2.1 典型工程工控系統(tǒng)測試分析2015年12月，中國水利水電科學研究院天津機電所對天津市薊州區(qū)某供水管理所和某水電站重要工控設備進行漏洞挖掘和安全檢測，主要檢測的設備包括供水管理所加壓泵房中的PLC、計算機監(jiān)控中心上位機PC及軟件和水電站閘門控制系統(tǒng)中的PLC和調速器MSDSC-11微機控制器。測試通過漏洞挖掘檢測設備和被測設備點對點直連方式進行連接（連接方式如圖2所示），漏洞檢測平臺置于被測設備和測試終端之間，測試終端通過預設的IP地址進入漏洞檢測平臺操作界面，漏洞檢測平臺和控制器通訊端口連接，測試數據在檢測平臺和被測設備之間交互。采用端口掃描、已知漏洞測試、Modbus TCP協(xié)議模糊分析、其他協(xié)議的模糊測試、風暴測試等方法進行測試。

圖2 漏洞檢測設備和被測設備連接方式

對供水管理所工控系統(tǒng)測試中共發(fā)現15個漏洞，其中包含6個危急漏洞、9個高危漏洞，整體危險等級為危急。在對PLC測試中發(fā)現，發(fā)送畸形ARP和畸形IP報文可以導致被測設備失去響應甚至崩潰，該漏洞很容易被利用進行ARP欺騙竊取信息和攻擊，導致PLC崩潰［3］。PLC一旦受到攻擊崩潰將無法監(jiān)測到各水井源的電流、電壓、功率、壓力、流量、液位等運行信息，更無法采取相應措施進行控制和處理異常情況，整個供水系統(tǒng)將遭到破壞，無法進行正常供水；在對上位機PC及組態(tài)軟件測試中發(fā)現，組態(tài)軟件所在PC開放了眾多端口，開放的端口容易被掃描和利用進行設備登陸、控制、發(fā)起攻擊等。同時發(fā)現組態(tài)軟件和PC相關危急和高危漏洞，攻擊者利用漏洞非常容易進行控制和執(zhí)行相關操作。這些漏洞將會導致系統(tǒng)中上位機及監(jiān)控組態(tài)軟件遭到破壞或被控制，從而控制水源井控制系統(tǒng)中所有PLC設備，篡改采集的信息、隨意下發(fā)控制指令，破壞供水系統(tǒng)。

在對某水電站工控系統(tǒng)的PLC測試中，由于現場條件不允許進行網口測試，只進行串口檢測，發(fā)現發(fā)送相關畸形Modbus RTU報文容易導致被測設備產生崩潰。同時協(xié)議未進行加密認證，容易被攻擊、進行信息竊取和偽造，另外還發(fā)現存在內存非法讀寫相關漏洞，攻擊者可以輕易控制PLC。這些漏洞會導致水電站中閘門系統(tǒng)信息被竊取和遭到破壞以及崩潰。閘門系統(tǒng)一旦遭到破壞無法起到水位的調節(jié)和洪水期間泄洪等重要作用。調速器微機控制器MSDSC-11在測試中，由于現場條件不允許進行網口測試，只進行串口檢測，發(fā)現發(fā)送相關畸形Modbus RTU報文容易導致被測設備產生崩潰，同時協(xié)議未進行加密認證容易被攻擊機進行信息竊取和偽造。此漏洞會導致水電站中調速系統(tǒng)遭到破壞甚至崩潰，從而無法起到調節(jié)水輪機轉速、事故情況下緊急停機等作用，直接影響到水電站的發(fā)電系統(tǒng)，致使無法正常發(fā)電。

2.2 水利工控網絡安全特點水利工控系統(tǒng)網絡安全的特點主要表現在以下5個方面：（1）水利工控網絡大多采用IEC61158中提供的20種工業(yè)現場總線標準，如Modbus系列、Profibus系列等，這些都是若干年前設計的，根本沒有考慮安全性問題［4］，黑客通過現場總線這種網絡結構，便很容易獲得控制區(qū)及執(zhí)行器的控制權，進而控制整個水利工控系統(tǒng)。（2）水利工控系統(tǒng)中的控制器等設備大多采用西門子、GE、施耐德等公司產品，這些通用控制器所具有的漏洞極易成為惡意攻擊的突破口［5］。（3）水利工控系統(tǒng)的軟件升級困難。水利工控系統(tǒng)網絡以穩(wěn)定性為基礎，如果頻繁升級補丁軟件，將給系統(tǒng)的穩(wěn)定性帶來嚴重威脅，如果升級失敗或出錯，將造成整個工控系統(tǒng)的不可用，給用戶帶來巨大的損失；（4）控制病毒的手段缺乏。水利工控系統(tǒng)中很多控制設備單元都是相對封閉的系統(tǒng)，無法通過病毒軟件進行病毒清理，同時缺少控制病毒在工控系統(tǒng)網絡中傳播的手段，工控系統(tǒng)一旦感染病毒將傳播到整個工控網絡；（5）水利工控系統(tǒng)中的設備具有多樣性。水利工控系統(tǒng)中的設備多種多樣，每種設備都具有各自的特點，設備的安全等級參差不齊，給水利工控系統(tǒng)安全防護帶來非常大的困難［6］。

3 水利工控系統(tǒng)網絡安全存在的主要問題

3.1 從技術層面上考慮水利工控系統(tǒng)網絡安全存在的主要問題表現在以下5個方面：（1）網絡結構上存在的安全問題。水利工控系統(tǒng)網絡內部雖然采取了一些安全隔離或者訪問認證的措施增加網絡安全，如橫向隔離、縱向加密等措施，但仍缺乏全面有效的網絡邊界防護、訪問加密認證等安全防護措施。有些水利工控生產控制網和管理網直接連接，只采用傳統(tǒng)的防火墻進行邊界防護，生產控制網和管理網在同一網段內，管理網直接訪問生產控制網等［7］。（2）設備本體存在的安全問題。水利工控系統(tǒng)中的工控機、PLC、移動介質、交換機等大多采用國外品牌，這些設備存在大量漏洞未修復或未及時修復，并且缺乏必要的有效措施進行防護，這些漏洞大多為拒絕服務、遠傳代碼執(zhí)行和緩沖區(qū)溢出等，這些漏洞如果被黑客利用，將引起設備故障或非法操作［8］。（3）行為審計方面存在的安全問題?，F有的水利工控系統(tǒng)大多缺乏必要的技術手段對工控網絡進行監(jiān)測和審計；未部署監(jiān)測審計設備，不能及時監(jiān)測工控網絡中的異常流量；未對工控系統(tǒng)賬戶進行定期審計，并且缺乏對違規(guī)操作、越權訪問等行為的監(jiān)測審計。（4）維護嚴重依賴系統(tǒng)集成商。有的雖然開放遠程維護端口，但缺乏監(jiān)測審計，對系統(tǒng)集成商沒有進行嚴格的管控，事故發(fā)生后不能有效的對關鍵操作行為進行溯源和定位。（5）自主可控方面存在的安全問題。水利工控系統(tǒng)普遍缺乏自主可控的設備對工控網絡安全進行防護，工控網絡的大部分工控設備及服務由國外主導，無法實現自主可控。還無法在工控設備的應用層、內核層、硬件層等的設計和生產過程中加入自主可控的可信軟硬件，建立系統(tǒng)的主動免疫機制，提高對惡意代碼攻擊的防護能力［9］。

3.2 從管理層面上考慮水利工控系統(tǒng)網絡安全存在的主要問題主要表現在以下3個方面：（1）管理機制不健全，生產管理部門注重工控系統(tǒng)的功能性而忽略行為安全性，普遍缺乏完善的風險評估、運行維護、安全審計、突發(fā)事件的應急處理方案等，現場運行人員安全意識薄弱，很少進行專業(yè)培訓，違規(guī)操作現象經常發(fā)生。（2）維護行為嚴重依賴系統(tǒng)集成商，對其行為沒有進行有效監(jiān)管，甚至出現系統(tǒng)集成商私自對設備進行遠程維護而沒有通知生產管理部門的現象，造成生產運行異常。（3）缺乏行業(yè)標準，水利工程主管部門沒有出臺相應的法律法規(guī)和政策標準，使生產管理部門在進行監(jiān)督管理和執(zhí)法檢查時缺乏相應的政策和法律依據。

4 水利工控系統(tǒng)網絡安全問題的原因

從水利工控系統(tǒng)網絡安全現狀和網絡安全存在的主要問題看出，水利工控系統(tǒng)網絡安全風險主要表現在：網絡邊界防護安全問題、主機、服務器安全問題、流量行為安全問題、管理和運維安全問題等4個方面。

4.1 網絡邊界防護安全問題（1）除了橫向隔離和縱向加密裝置外，其他防護措施不足；（2）在生產控制大區(qū)之間雖然部屬了傳統(tǒng)防火墻，但無法識別專有工控協(xié)議，不能提供明確的允許/拒絕訪問的能力。

4.2 主機、服務器安全問題（1）采用傳統(tǒng)網絡防病毒軟件（部分主機甚至無法安裝殺毒軟件），無法及時更新惡意代碼庫，且容易誤殺控制程序；（2）主機和服務器采用通用的操作系統(tǒng)，其漏洞直接影響系統(tǒng)的安全運行；（3）無法對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后不具有恢復能力；（4）缺乏有效的技術措施切斷病毒和木馬的傳播與破壞路徑，如非法進程的運行、非法網絡端口的打開與服務、非法USB設備的接入等［10］。

4.3 流量行為安全問題（1）缺乏對非授權設備私自聯到內部網絡的行為進行檢查、定位和阻斷的能力；（2）無法有效的檢測到網絡攻擊行為，并對攻擊源IP、攻擊類型等信息進行記錄；（3）無法在網絡邊界處對惡意代碼進行檢測和告警，更新惡意代碼庫不及時；（4）缺乏有效的安全審計功能。

4.4 管理和運維安全問題（1）未設立專門的信息安全崗位，信息安全管理和維護由業(yè)務部門按照自己的理解進行管理和維護，同時信息安全制度不完善。（2）在日常運行維護過程中普遍存在諸如介質未采用有效的手段進行管理和防護，容易造成病毒入侵和敏感信息泄露的風險。（3）存在賬號共享、弱口令、未定期更改密碼的問題，例如信號系統(tǒng)的用戶權限普遍缺乏定期回顧檢查，容易造成越權、權限濫用導致的安全事故。（4）安全防護應急預案存在事故預想不全面、內容不完整、相關要求缺乏可操作性等問題，缺少演練、培訓和更新的相關內容，無法在真正的事故中及時響應和恢復系統(tǒng)［11］。

5 水利工控系統(tǒng)網絡安全防護對策

水利工控系統(tǒng)網絡安全與傳統(tǒng)的互聯網安全具有本質區(qū)別，甄別水利工控系統(tǒng)網絡存在的安全風險與安全隱患，實施相應的安全保障策略是確保水利工控系統(tǒng)網絡安全的有效手段。水利工控系統(tǒng)網絡安全防護需要覆蓋控制系統(tǒng)整個生命周期，具備自動學習、自動適應，自動生成防御策略的工業(yè)等級的全網安全監(jiān)控的保護系統(tǒng)；要具有全面覆蓋西門子、施耐德等全球主流廠商設備的安全數據庫（包括設備漏洞庫、網絡模型庫、設備風險統(tǒng)計）；同時，必須向基礎設施企業(yè)提供漏洞挖掘、滲透攻擊、安全策略、技術培訓的全方位安全服務［12］。以水電站工控系統(tǒng)網絡安全防護為例，從以下5個環(huán)節(jié)簡要介紹水利工控系統(tǒng)網絡安全防護技術解決方案，圖3為水電廠工控系統(tǒng)網絡安全防護技術解決方案原理圖。水電廠的網絡結構采用分層分布開放式運行方式設計，整個系統(tǒng)分為主控層、通訊層和現地層3個層級。主控層采用以太網通訊結構，設置操作員站、工程師站、數據服務器、通訊工作站、打印機等。通信層采用通信管理機、交換機等實現規(guī)約轉換和設備通信，網絡結構為雙環(huán)網冗余結構?，F地層主要包括機組LCU、公用LCU、閘門LCU等現地控制單元。

5.1 關鍵節(jié)點防護在水電廠的現地層機組LCU、公用LCU、閘門LCU等現地控制單元與通信層環(huán)網之間部署智能保護終端，通過智能保護終端對工控系統(tǒng)現地層的關鍵LCU進行安全防護，利用已公開漏洞的攻擊行為和流量信息進行有效識別和攔截。允許從受信的上位機發(fā)送的合規(guī)操作流量通過，基于動態(tài)學習和自適應的防護策略，達到對關鍵LCU、RTU的防護效果。

5.2 邊界隔離防護在水電廠生產控制大區(qū)與生產非控制大區(qū)之間部署智能工業(yè)防火墻，通過智能工業(yè)防火墻抵御來自外界偽基站接入滲透控制系統(tǒng)的風險。能夠對控制源身份的合法性進行有效判斷，對非法IP發(fā)送的數據包能夠有效甄別和攔截，為控制系統(tǒng)網絡邊界提供全天候實時動態(tài)安全防護。

5.3 上位機防護在水電廠主控層的工程師站、操作員站、OPC服務器以及SIS接口機上部署工控衛(wèi)士，通過應用程序、網絡、USB移動存儲的白名單策略，防止用戶的違規(guī)操作和誤操作，阻止不明程序、移動存儲介質和網絡通信的濫用，有效提高工控網絡的綜合“免疫”能力。

圖3 水電廠工控系統(tǒng)網絡安全防護技術解決方案原理

5.4 網絡安全監(jiān)測審計在水電廠生產控制大區(qū)通信層環(huán)網、LCU子網旁路部署監(jiān)測審計平臺，對網絡通信流量進行有效監(jiān)視和威脅檢測。對向工控網進行的生產數據非法收集、惡意攻擊、數據篡改、違規(guī)操作進行告警和審計，為網絡安全管理人員提供線索依據和事件還原功能，對違規(guī)操縱和網絡攻擊行為可實時告警。

5.5 集中安全監(jiān)管安全監(jiān)管平臺對部署在整個工控系統(tǒng)的安全設備實現統(tǒng)一化安全監(jiān)管和運維。實時收集現場安全設備信息、分析威脅情報信息，基于安全分析模型，實現全局的態(tài)勢安全預警與策略動態(tài)響應，實時發(fā)送現場的安全告警信息。

6 結論

（1）現階段我國水利工控系統(tǒng)網絡安全在技術方面和管理方面都存在較多問題。在技術方面主要存在網絡結構安全、設備本體安全、行為審計安全、維護嚴重依賴系統(tǒng)集成商、缺乏自主可控防護手段等主要問題；在管理方面主要存在管理機制不健全、無法對系統(tǒng)集成商進行有效的監(jiān)管、缺乏相應的政策和法律依據等問題［13］。

（2）引起此類問題的主要原因是在技術方面缺乏全面有效的網絡邊界防護、訪問加密認證等安全防護措施；未部署監(jiān)測審計設備，不能及時監(jiān)測工控網絡中的流量異常；設備存在大量漏洞未修復或未及時修復，并且缺乏必要的有效措施進行防護；大量采用國外品牌設備等。在管理方面安全制度不完善，安全防護應急預案存在事故預想不全面、內容不完整等。

（3）針對水利工控系統(tǒng)網絡安全存在的問題，應采取以下防護手段或措施：通過智能保護終端對工控系統(tǒng)現地層的關鍵LCU進行安全防護，對非法操作進行有效攔截；在網絡邊界部署智能工業(yè)防火墻，抵御來自外界偽基站接入滲透控制系統(tǒng)的風險；在主控層的工程師站、操作員站、OPC服務器以及SIS接口機上部署工控衛(wèi)士，防止誤操作和違規(guī)操作；對網絡通信流量進行有效監(jiān)視和威脅檢測，對違規(guī)操縱和網絡攻擊行為實時告警；最后通過安全監(jiān)管平臺，對部署在整個工控系統(tǒng)的安全設備實現統(tǒng)一化安全監(jiān)管和運維。