沈輝焱 朱 軍 郭思遠(yuǎn)

（1.連云港杰瑞電子有限公司 連云港 222006）（2.中船重工信息科技有限公司 連云港 222006）

（3.內(nèi)蒙古工業(yè)大學(xué)理學(xué)院 呼和浩特 010000）

1 引言

隨著科技的發(fā)展，船舶自動(dòng)化和信息化的程度不斷提高。船舶工控系統(tǒng)在自動(dòng)化的推動(dòng)下變的更加的智能。更多的新型船舶利用自動(dòng)化技術(shù)將監(jiān)控船舶輪機(jī)系統(tǒng)，智能化駕駛艙以及船舶管理信息系統(tǒng)等多個(gè)船舶系統(tǒng)統(tǒng)一管理，向船舶信息集成化船舶綜合平臺(tái)管理系統(tǒng)方向發(fā)展。隨之，船舶計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全問題業(yè)越來越突出。船舶目前安裝使用的管理信息系統(tǒng)大數(shù)是兩層架構(gòu)，其中包括高級(jí)船員的辦公計(jì)算機(jī)，稱為客戶端，另外還有服務(wù)器，利用局域網(wǎng)對(duì)船舶進(jìn)行信息管理［1］；現(xiàn)有的船舶信息管理系統(tǒng)采用電子郵件的形式與岸基的船舶管理信息系統(tǒng)來進(jìn)行數(shù)據(jù)的交換，從而達(dá)到船舶岸邊信息數(shù)據(jù)實(shí)時(shí)同步的目的。由于船舶沒有及時(shí)更新補(bǔ)丁，病毒肆虐，通常會(huì)導(dǎo)致岸上船舶信息管理系統(tǒng)的數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、船員的辦公計(jì)算機(jī)、船舶管理信息系統(tǒng)數(shù)據(jù)庫服務(wù)器之間溝通受阻［2］。因此，本文通過船舶工控系統(tǒng)的網(wǎng)絡(luò)安全控制技術(shù)來進(jìn)行測試驗(yàn)證，并對(duì)整個(gè)的安全策略以及安全管理框架進(jìn)行了新的研發(fā)，確保船舶工控網(wǎng)絡(luò)系統(tǒng)安全可靠的運(yùn)行，滿足船舶管理信息系統(tǒng)正常運(yùn)行、業(yè)務(wù)運(yùn)營和日常管理的需要，實(shí)現(xiàn)了船舶網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性，確保網(wǎng)絡(luò)服務(wù)的持續(xù)性。進(jìn)一步防范對(duì)船舶系統(tǒng)的非法訪問及非授權(quán)等問題。從根本上杜絕了有意識(shí)或者無意識(shí)的入侵攻擊，保證了船舶的信息互通的完整、安全、及時(shí)性，實(shí)現(xiàn)船舶網(wǎng)絡(luò)系統(tǒng)的快速恢復(fù)，確保船舶工控網(wǎng)絡(luò)的安全運(yùn)行和有效管理。

圖1 船舶制造總體架構(gòu)

2 船舶工控安全現(xiàn)狀及安全分析

近年來，針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊事件逐年增加，顯示出工業(yè)控制系統(tǒng)在安全防護(hù)方面的嚴(yán)重不足，并且工控系統(tǒng)入侵事件出現(xiàn)在能源、水利、交通等行業(yè)。船舶行業(yè)在眾多的行業(yè)中發(fā)展緩慢，而且工藝過程復(fù)雜，在船舶生產(chǎn)建造過程涉及鋼材分類加工處理、結(jié)構(gòu)件分段制造、結(jié)構(gòu)焊接裝配、結(jié)構(gòu)檢驗(yàn)、涂裝、系泊試驗(yàn)等多種流程和工藝，各道流程工藝均需要專門的工作場所，并且位置分散，工作人員眾多［3］。因此要采用信息化手段進(jìn)行提高效率，比如采用數(shù)控機(jī)床、工控信息采集、檢測工業(yè)設(shè)備、工控焊接設(shè)備、工控吊裝設(shè)備、工控試驗(yàn)等工控系統(tǒng)［4］。

隨著智能化的不斷提高，病毒或者惡意代碼的代入時(shí)有發(fā)生，船舶工控系統(tǒng)面臨嚴(yán)峻的安全挑戰(zhàn)，綜合行業(yè)需求及安全隱患因素，船舶工控系統(tǒng)面臨的安全主要考慮以下幾個(gè)方面。如下，高精類數(shù)控設(shè)備通過使用U盤傳輸或一旦連入管理網(wǎng)，可能會(huì)被傳染病毒或惡意代碼［5］；在遠(yuǎn)程維護(hù)高精類機(jī)床設(shè)備時(shí)可能會(huì)有相關(guān)生產(chǎn)數(shù)據(jù)的信息泄密［6］；未對(duì)工業(yè)控制網(wǎng)絡(luò)區(qū)域間進(jìn)行隔離、惡意代碼監(jiān)測、異常監(jiān)測、訪問控制等一系列的防護(hù)措施［7］；未對(duì)操作站主機(jī)及服務(wù)器端進(jìn)行安全配；對(duì)人員的操作未進(jìn)行審計(jì)記錄；未統(tǒng)一對(duì)設(shè)備及日志進(jìn)行統(tǒng)一管理以及相關(guān)人員進(jìn)行過體系化的工業(yè)控制系統(tǒng)安全培訓(xùn)和安全意識(shí)培養(yǎng)；未針對(duì)相關(guān)現(xiàn)場設(shè)備及操作站的安全配置進(jìn)行統(tǒng)一的配置制度要求，使得相關(guān)設(shè)備安全配置較弱［8～11］。

3 船舶制造系統(tǒng)架構(gòu)及防護(hù)體系架構(gòu)

隨著國家對(duì)船舶行業(yè)的重視程度越來越高，很多船舶企業(yè)在船舶制造、船舶智能方面取得了很大進(jìn)展，體系架構(gòu)也越來越完善。因此，在現(xiàn)有的體系架構(gòu)中如何考慮安全防范問題，成為了目前關(guān)注的焦點(diǎn)［12］。圖1為船舶制造行業(yè)經(jīng)典體系架構(gòu)。

從船舶制造總體架構(gòu)來看，分成三個(gè)部分：現(xiàn)場層、控制層以及管理層?，F(xiàn)場層對(duì)生產(chǎn)設(shè)施的現(xiàn)場設(shè)備的各項(xiàng)信息做數(shù)據(jù)搜集，其中主要包括：現(xiàn)場所有的傳感器設(shè)備以及執(zhí)行器中的輸入輸出數(shù)據(jù)。控制層主要包含了檢測和控制在整個(gè)船舶運(yùn)行過程中的系統(tǒng)。主要包括操作員站，工程師站、上位機(jī)下位機(jī)等，對(duì)一些異常數(shù)據(jù)進(jìn)行及時(shí)的處理和反饋，從現(xiàn)場層實(shí)時(shí)收集的數(shù)據(jù)，在控制層進(jìn)行數(shù)據(jù)的對(duì)比分析與正常數(shù)據(jù)相比較最終實(shí)現(xiàn)監(jiān)測控制的功能。通常采用控制算法，將數(shù)據(jù)輸入到相關(guān)的控制執(zhí)行器進(jìn)行相關(guān)的動(dòng)作執(zhí)行，控制層和現(xiàn)場層通過數(shù)據(jù)與控制系統(tǒng)構(gòu)成一個(gè)閉環(huán)的反饋系統(tǒng)，實(shí)現(xiàn)控制層面的連續(xù)控制、順序控制、批量控制和離散控制等。管理層主要是對(duì)整個(gè)船舶工作的生產(chǎn)調(diào)度，并做詳細(xì)的生產(chǎn)流程規(guī)劃，保證船舶的可靠性、現(xiàn)場層的數(shù)據(jù)監(jiān)測數(shù)量是否增加以及控制系統(tǒng)的優(yōu)化。

根據(jù)目前智能化船舶制造總體架構(gòu)，結(jié)合工控系統(tǒng)安全防護(hù)思路，制定船舶制造安全防護(hù)體系，實(shí)現(xiàn)船舶安全生產(chǎn)，防護(hù)體系架構(gòu)圖如圖2所示。

從邊界控制、內(nèi)部監(jiān)測兩個(gè)層面。邊緣主要包括一線傳感器、網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作站等。監(jiān)測層面包括對(duì)一線數(shù)據(jù)準(zhǔn)確性的檢測以及各設(shè)備數(shù)據(jù)的監(jiān)控和報(bào)警。把各類信息進(jìn)行分類管理并提供查詢功能，對(duì)各部分的報(bào)警信息進(jìn)行統(tǒng)一管理分析，并做相關(guān)性數(shù)據(jù)分析以及對(duì)整個(gè)系統(tǒng)的安全風(fēng)險(xiǎn)的趨勢做進(jìn)一步的分析。如圖3所示。

圖2 船舶工控系統(tǒng)防護(hù)體系架構(gòu)

圖3 船舶工控系統(tǒng)防護(hù)手段

4 實(shí)驗(yàn)平臺(tái)搭建及關(guān)鍵系統(tǒng)

4.1 船舶工控安全仿真平臺(tái)搭建

建設(shè)面向船舶行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)仿真實(shí)驗(yàn)平臺(tái)是以船舶行業(yè)工業(yè)控制系統(tǒng)安全測試為核心目標(biāo)建立一套工業(yè)控制系統(tǒng)網(wǎng)絡(luò)測試床，要搭建的系統(tǒng)級(jí)測試環(huán)境是一套半實(shí)物仿真測試床，采用真實(shí)的工控設(shè)備來建設(shè)船舶行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的現(xiàn)場設(shè)備層，系統(tǒng)的信息層則采用仿真軟件來實(shí)現(xiàn)，仿真平臺(tái)搭建如圖4所示。

根據(jù)“邊界控制，內(nèi)部監(jiān)測”的防護(hù)思路。采用統(tǒng)一管理的方式，把現(xiàn)場的數(shù)據(jù)采集設(shè)備、工業(yè)控制設(shè)備、網(wǎng)絡(luò)服務(wù)器設(shè)備等集中管理。利用網(wǎng)絡(luò)審計(jì)的方法對(duì)所有采集到的數(shù)據(jù)信息進(jìn)行加工處理，并做數(shù)據(jù)準(zhǔn)確性分析，在此基礎(chǔ)上，把數(shù)據(jù)進(jìn)行分類別管理，以便更加便捷地發(fā)現(xiàn)數(shù)據(jù)異常。如圖5所示。

4.2 針對(duì)工控系統(tǒng)上位機(jī)操作系統(tǒng)漏洞入侵防護(hù)

掃描漏洞針對(duì)出現(xiàn)漏洞的數(shù)據(jù)庫，利用掃描的方式對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全性進(jìn)行監(jiān)測，提出利用漏洞檢測滲透攻擊行為的一種方法［12］。一般分為以下幾個(gè)步驟：對(duì)給定的目標(biāo)范圍進(jìn)行存活判斷，生成存活主機(jī)列表。對(duì)存活主機(jī)列表中的主機(jī)并發(fā)開啟主機(jī)掃描模塊。主機(jī)掃描模塊對(duì)目標(biāo)IP進(jìn)行端口掃描和服務(wù)判定。主機(jī)掃描模塊根據(jù)用戶指定的模板并發(fā)調(diào)度掃描插件。掃描插件依據(jù)自己的規(guī)則判定目標(biāo)是否存在對(duì)應(yīng)的漏洞，并把獲取到的漏洞信息和Profile信息寫入掃描結(jié)果數(shù)據(jù)庫。插件有依賴關(guān)系，只有滿足必要條件時(shí)插件才會(huì)被真正調(diào)度。例如：模板中指定了掃描IIS漏洞的插件，但目標(biāo)主機(jī)上沒有運(yùn)行IIS時(shí)這些插件都不會(huì)被調(diào)度。到達(dá)設(shè)定的超時(shí)時(shí)間后還沒有結(jié)束的插件會(huì)被系統(tǒng)強(qiáng)制終止。到達(dá)設(shè)定的Socket超時(shí)時(shí)間后還沒有反饋的操作會(huì)被系統(tǒng)強(qiáng)制返回。進(jìn)度信息中，任務(wù)調(diào)度模塊依據(jù)已完成插件或主機(jī)所用的平均時(shí)間來估算剩余時(shí)間。任務(wù)結(jié)束后，智能分析模塊被調(diào)度，分析模塊對(duì)收集到的Profile信息進(jìn)行分析，以此對(duì)漏洞信息進(jìn)行驗(yàn)證，自動(dòng)消除誤報(bào)和識(shí)別漏報(bào)。

圖4 船舶工控安全仿真平臺(tái)搭建思路

圖5 工控網(wǎng)絡(luò)安全測試簡易網(wǎng)絡(luò)拓?fù)鋱D

通過windows開啟的服務(wù)漏洞，主機(jī)存活發(fā)現(xiàn)、端口發(fā)現(xiàn)、系統(tǒng)和服務(wù)識(shí)別等，RSAS會(huì)根據(jù)識(shí)別的系統(tǒng)與服務(wù)信息調(diào)用RSAS內(nèi)置或用戶外掛的口令字典，對(duì)目標(biāo)系統(tǒng)進(jìn)行口令猜測，口令猜測成功后將啟動(dòng)漏洞掃描，進(jìn)行滲透測試提權(quán)，并遠(yuǎn)程控制上位機(jī)，對(duì)遠(yuǎn)程PLC更改指令進(jìn)行啟停、賦值等操作包括更改控制邏輯等。

通過工控漏洞掃描操作站漏洞，設(shè)備使用經(jīng)過授權(quán)的用戶名密碼遠(yuǎn)程登錄到目標(biāo)主機(jī)，執(zhí)行特定的命令，收集目標(biāo)主機(jī)的版本、配置、服務(wù)等信息，通過和漏洞庫對(duì)比分析，發(fā)現(xiàn)目標(biāo)主機(jī)是否存在漏洞，發(fā)現(xiàn)漏洞及時(shí)封堵；工控異常監(jiān)測發(fā)現(xiàn)未知連接、報(bào)警；工業(yè)防火墻進(jìn)行防護(hù)。

4.3 針對(duì)工控系統(tǒng)工控協(xié)議進(jìn)行的入侵防護(hù)

針對(duì)目前常見的協(xié)議（如TCP、UDP、HTTP、HTTPS、ICMP、FTP、TELNET、Modbus協(xié)議、RS-232通訊協(xié)議、RS-485通訊協(xié)議、HART通訊協(xié)議、MPI通信、串口通信、視頻協(xié)議、數(shù)據(jù)庫等），對(duì)工業(yè)網(wǎng)絡(luò)協(xié)議的內(nèi)容以及數(shù)據(jù)來進(jìn)行全面的檢測。例如，Modbus協(xié)議規(guī)則可以針對(duì)Modbus協(xié)議的設(shè)備地址、寄存器類型、寄存器范圍和讀寫屬性等進(jìn)行檢查，能有效地防范各種非法的操作和數(shù)據(jù)進(jìn)入現(xiàn)場控制網(wǎng)絡(luò)，最大限度地保護(hù)控制系統(tǒng)的安全。利用S7協(xié)議封裝遠(yuǎn)程停機(jī)指令攻擊包。

智能協(xié)議識(shí)別采用被動(dòng)檢測的方式從網(wǎng)絡(luò)中采集數(shù)據(jù)包，并進(jìn)行數(shù)據(jù)包的解析，智能地與系統(tǒng)內(nèi)置的協(xié)議特征、設(shè)備對(duì)象等進(jìn)行匹配，生成可供參考的網(wǎng)絡(luò)交互信息列表，幫助用戶以最快捷的方式了解和掌握網(wǎng)絡(luò)中的業(yè)務(wù)通信。

用戶可以在測試模式下使用策略管理的輔助配置功能生成輔助規(guī)則，將網(wǎng)絡(luò)交互信息與實(shí)際業(yè)務(wù)進(jìn)行比對(duì)，給每一個(gè)網(wǎng)絡(luò)交互過程配置適當(dāng)?shù)姆雷o(hù)規(guī)則，從而準(zhǔn)確、快捷地完成防護(hù)規(guī)則的部署。利用基于Snort的工控網(wǎng)絡(luò)數(shù)據(jù)異常檢測，對(duì)工控網(wǎng)絡(luò)數(shù)據(jù)異常檢測進(jìn)行實(shí)際試驗(yàn)測試。測試流程如圖6所示。

圖6 Snort數(shù)據(jù)處理流程圖

Modbus TCP協(xié)議是基于TCP協(xié)議的針對(duì)以太網(wǎng)傳輸?shù)膮f(xié)議，其中物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層都是基于TCP協(xié)議的，Modhus協(xié)議只體現(xiàn)在應(yīng)用層。整個(gè)的工作流程，如圖7所示，首先接收端拆封TCP數(shù)據(jù)包，得到原始的Modbus幀；其次，利用Modbus協(xié)議的規(guī)則來進(jìn)行解析工作；最后，把解析好的數(shù)據(jù)包再次封裝到TCP協(xié)議中，并傳輸?shù)桨l(fā)送端。

圖7 Modbus/TCP數(shù)據(jù)幀

各種工控系統(tǒng)中的網(wǎng)絡(luò)安全事件表明，功能碼的亂用，將會(huì)導(dǎo)致Modbus TCP應(yīng)用層數(shù)據(jù)出現(xiàn)問題的可能性更大。針對(duì)Modbus TCP應(yīng)用層的網(wǎng)絡(luò)安全監(jiān)測顯得至關(guān)重要。因此，本文提出針對(duì)應(yīng)用層在通信中的數(shù)據(jù)流進(jìn)行實(shí)時(shí)檢測，并對(duì)檢測結(jié)果做進(jìn)一步的分析。當(dāng)發(fā)現(xiàn)數(shù)據(jù)異常的時(shí)候，立刻采用警告的方式進(jìn)行報(bào)警處理，并記錄此次異常行為，為下次遇到同樣的數(shù)據(jù)異常做網(wǎng)絡(luò)的自動(dòng)篩選。利用Mobus TCP功能碼的詳細(xì)分析，根據(jù)異常行為的不同對(duì)簡單的異常行為進(jìn)行描述。

Snort規(guī)則有兩部分構(gòu)成分別是：規(guī)則頭和規(guī)則體。其中規(guī)則頭主要是指：匹配規(guī)則以后的工作，比如：alert、log、pass、activate、dynamic。其中匹配需要的條件很多，情況下我們會(huì)匹配協(xié)議的類型、源地址、目的地址等。另一方面，規(guī)則體包括關(guān)鍵字和內(nèi)容兩個(gè)部分，我們利用關(guān)鍵字進(jìn)行快速的查詢工作。

當(dāng)網(wǎng)絡(luò)中讀取存儲(chǔ)系統(tǒng)中的內(nèi)容的時(shí)候顯示異常。我們將首先啟動(dòng)簡單的檢測規(guī)則來檢測MBAP報(bào)文頭中03功能碼是否存在，存在則進(jìn)行警報(bào)，信息以文字的形式通知所有的網(wǎng)絡(luò)管理層。此時(shí)，系統(tǒng)將啟動(dòng)網(wǎng)絡(luò)入侵檢測模式，首先系統(tǒng)會(huì)先進(jìn)行配置文件的獲取工作，根據(jù)不同的配置文件進(jìn)行不同的檢測方式的選擇。根據(jù)不同的規(guī)則進(jìn)行不同層面的數(shù)據(jù)處理。

第一步，檢驗(yàn)數(shù)據(jù)協(xié)議，不同的協(xié)議進(jìn)入不同的規(guī)則樹節(jié)點(diǎn)；第二步，在節(jié)點(diǎn)中檢驗(yàn)源地址以及目的地址是否準(zhǔn)確；第三步，檢查其運(yùn)行規(guī)則是否準(zhǔn)確。最后，利用模式匹配函數(shù)進(jìn)行數(shù)據(jù)比對(duì)，當(dāng)遇到數(shù)據(jù)匹配不準(zhǔn)確的時(shí)候，啟動(dòng)報(bào)警裝置，并向網(wǎng)絡(luò)管理層做文字輸出提醒。

5 結(jié)語

本文主要針對(duì)工業(yè)控制系統(tǒng)做了整體的分析和研究。目前國內(nèi)，工控系統(tǒng)的網(wǎng)絡(luò)安全測試的研究仍處于初級(jí)階段。本文分析了典型的工控安全架構(gòu)，對(duì)協(xié)議Modbus TCP面臨的安全威脅問題分析并采用Snort檢測規(guī)則類對(duì)Modbus TCP協(xié)議的典型異常行為進(jìn)行測試驗(yàn)證，為船舶有效信息迅速完成檢測提供了依據(jù)。在未來的研究中，可將該測試驗(yàn)證的方法進(jìn)一步擴(kuò)展到其他工控協(xié)議中，從而構(gòu)建一套完整的測試系統(tǒng)。

著眼于船舶行業(yè)現(xiàn)代工控系統(tǒng)所面臨的安全風(fēng)險(xiǎn)，應(yīng)依托《工業(yè)控制系統(tǒng)安全防護(hù)指南》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)（等保2.0）》對(duì)工業(yè)信息設(shè)施的物理安全，網(wǎng)絡(luò)安全，主機(jī)安全，應(yīng)用安全，數(shù)據(jù)安全及備份容災(zāi)等多方面進(jìn)行統(tǒng)一規(guī)劃，規(guī)范工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，安全建設(shè)，安全測評(píng)，安全事件響應(yīng)，安全運(yùn)維。

面對(duì)如此嚴(yán)峻的船舶網(wǎng)絡(luò)安全問題，可以從兩個(gè)方面進(jìn)行。一方面，可以建立船舶工業(yè)控制系統(tǒng)的信息安全標(biāo)準(zhǔn)，為船舶安全運(yùn)維保駕護(hù)航；另一方面，引導(dǎo)工業(yè)互聯(lián)網(wǎng)安全解決方案提供商為船舶應(yīng)用企業(yè)提供更優(yōu)秀的產(chǎn)品和解決方案。