国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

1　引言

隨著計算機和網絡新技術（工業物聯網、工業互聯網、云平臺等）的快速發展，以及兩化融合和智能制造的不斷推進，工業控制系統廣泛采用了通用開放的工業協議、通用的硬件平臺技術和通用軟件組件，并且越來越多地以各種方式與公共網絡連接，病毒、木馬等信息安全威脅正從傳統的計算機系統向工業控制系統延伸。

近年來，工控系統信息安全事件時有發生，針對工業控制系統的定向攻擊也日益增多，從震網、火焰、毒區病毒到黑色力量，網絡攻擊更加隱蔽、復雜多樣和規?；W絡化協同。面對日益復雜的縱深滲透、動態協同的規?；?、網絡化攻擊，僅依靠傳統防火墻和IT信息安全技術體系已無法有效應對，亟需設計工業控制系統自內而外的綜合性深度防護技術體系，突破信息物理空間深度融合場景下的工控安全防護難題，從工業控制系統內在機理上實現工業控制系統的深度安全。

針對工控領域的網絡安全問題，國內外專家進行了一系列研究工作。美國能源部發表了提升SCADA網絡信息安全性的21個步驟，用于指導SCADA系統的網絡安全防護^[1]；美國國土安全部整理了工業領域推薦的旨在防范物理攻擊和網絡攻擊的控制系統安全程序^[2]；該部門還提出了面向控制系統網絡和多層信息架構的縱深防御策略，解決多種網絡集成所帶來的安全風險^[3]；Kilman等人則建立了SCADA系統的安全策略框架，涵蓋風險管理程序、數據安全等諸多層面^[4]。

本文在現有研究的基礎之上，結合工業控制領域多年的設計應用經驗，對網絡化控制系統當前所面臨的典型安全威脅進行了匯總分析，并提出了網絡化控制系統深度安全體系架構，能夠保障全生命周期的安全性、可靠性和可用性。

2　網絡化控制系統脆弱性分析

網絡化控制系統典型模型如圖1所示。被控對象是化工廠或核電站等現場裝備，控制站從變送器采集數據，執行控制程序，并輸出到閥門對被控對象進行控制；工程師站負責組態、下裝和發布；操作站負責HMI操控；接口站負責異構系統及MES通信接口。

圖1 網絡化控制系統典型模型

網絡化控制系統的關鍵部件是控制單元（嵌入式平臺）、工業網絡（工業協議）和監控平臺（組態/監控軟件），核心功能是控制功能和監視功能。由于流程工業應用環境往往高溫、高壓、易燃、易爆，控制和監視功能都要求連續而不可間斷，可用性達到99.999%。誤動、拒動和不可監視都會導致嚴重后果，造成非計劃停產、減產或裝置損壞，甚至人身傷亡和環境破壞。

隨著工業互聯網、工業物聯網、云計算、邊緣智能等新技術在工業領域的廣泛應用以及兩化融合、互聯網+和智能制造的推進，網絡化控制系統呈現開放、互聯和智能發展趨勢，具體表現為：

·越來越開放的網絡（兩化融合、智能制造、互聯網+）；

·開放的種類繁多的工控協議（Modbus等）和互聯網接口（遠程維護、遠程診斷等）；

·通用化的軟硬件架構和平臺技術（Windows、PC、TCP/IP、OPC）；

·靈活應用的移動設備（移動監控、移動巡檢、人員定位等）；

·上下工藝多裝置多總線的互聯互通需求（網絡化控制系統成為工廠的數據中心）。

面對網絡化、信息化和智能化的新形勢，工業控制系統傳統物理封閉的安全措施已無法保證，特別是大量已運行多年的工業控制系統在網絡化、信息化改造后，將面臨較大的安全風險。網絡化控制系統脆弱性如表1所示。

表1 網絡化控制系統脆弱性

3　網絡化控制系統典型安全威脅

針對網絡化控制系統的攻擊往往是針對特定目標（特定工藝或特定設備）的特定模式定向攻擊，并且融合網絡技術、工控技術和生產工藝技術，攻擊模型復雜，技術綜合。無論Stuxnet病毒^[5]、Havex病毒^[6]，還是BlackEnergy^[7]，都是蓄謀已久，深入工業控制系統內在機理，非常隱蔽，綜合傳統網絡攻擊手段和圍繞工控系統脆弱性進行弱點攻擊的方法，采取由外而內、層層滲透的攻擊手段，最終挾持控制了工業控制系統，使其執行錯誤的動作但毫無察覺或不可恢復?；驹砣缦拢?/p>

（1）態勢感知：綜合多種方法和手段，選擇攻擊目標，并收集目標信息，常見方法有：

·針對工業領域上市公司或特定目標進行網絡掃描，從門戶網站或信息系統網絡入口進行滲透；

·采用SHADON、ZOOMEYE等工控系統專項掃描工具，通過工控系統的特征碼、特定端口或網絡接口描述從網絡上搜索查找攻擊目標^[8]；

·采用社會工程學或間諜等其他手段搜索目標信息。

（2）網絡攻擊：利用操作系統和防火墻的漏洞或后面，通過網絡滲透（遠程訪問接口、OPC通信接口、無線網絡接口、企業門戶接口等）、擺渡（U盤、移動設備等）、社交工具（郵件等）等手段，攻擊并控制工業控制系統的工作站或接口設備。

（3）工控系統定向攻擊：針對工控系統架構的脆弱性，進行最后的致命一擊，挾持控制工業控制系統，執行錯誤的動作且不被察覺。主要攻擊方法有：

·工業網絡攻擊方法：堵塞或中斷網絡、工業協議已知漏洞攻擊、工業協議fuzzing攻擊、工業協議大量數據包攻擊、偽造控制指令攻擊、偽裝實時數據攻擊^[9]；

·監控平臺攻擊方法：木馬攻擊、KillDisk攻擊、竊取關鍵工藝或數據、通信DLL中間人攻擊、篡改組態等關鍵數據、挾持組態/監控軟件攻擊（發送錯誤指令、顯示錯誤數據等）^[10]；

·控制單位攻擊方法：嵌入式平臺已知漏洞攻擊、超級后門攻擊、固件升級或配置接口攻擊。

從攻擊鏈分析，網絡化控制系統典型威脅如表2所示，典型威脅模型如圖2所示。

表2 典型的安全威脅

圖2 典型威脅模型

4　網絡化控制系統安全防護設計

由于工業控制系統固有的特性和局限性（確定的功能、強實時和連續控制需求、專有的平臺和技術、受攻擊后嚴重的后果、嵌入式平臺受限的性能等），網絡化控制系統安全防護設計有別于IT信息安全，采取不同的工作原理和安全策略。網絡化控制系統安全防護的核心是內建安全，圍繞工業控制系統的脆弱性，通過控制內核自主可控、嵌入式平臺可信增強、容錯架構和系統自愈等關鍵技術，構建網絡化控制系統深度安全體系架構，保障全生命周期的安全性、可靠性、可用性。

網絡化控制系統防護設計核心目標是信息安全、功能安全和操作安全一體化，實現高可用性、完整性和機密性。基于IEC61508和IEC62443國際標準，以及工業控制系統典型失效模式，從硬件隨機失效（器件失效、電應力、環境應力、EMC、軟失效和通信典型故障燈）、系統失效（軟件、嵌入式、硬件和FPGA等部件開發過程的失效）和網絡攻擊（病毒、黑客等惡意攻擊）三個方面進行系統性分析，采取FMEA分析、安全開發流程以及安全防護技術措施等綜合內建安全設計方法和技術體系，實現網絡、主機、應用和數據全方位的安全。

4.1　分層分域安全網絡架構

針對大型工程項目規?；W絡、規?；l實時數據的應用需求，依托IEC62443-1-1、IEC62443-3-1和IEC62443-3-3，設計分層分域安全網絡架構，應用層次化分布式網絡模型、多路徑優化選擇的容錯網絡技術、完善的網絡監控和診斷體系、全面充分的網絡通訊驗證等關鍵技術，實現操作物理分區和控制物理分區，安全分區之間管道支持安全隔離。并結合大型工程項目實踐，應用大規模組網技術，包括 “總分結構”網絡結構技術、VLAN安全隔離技術、全網診斷技術等，解決大規模網絡情況下的組網問題、安全問題以及數據交互瓶頸問題，并通過網絡設備選型和認證，提升網絡的可靠性、實時性和安全性，達到單域4萬點、支持60操作域/60控制域的大規模應用能力，滿足超大規模的工程項目需求。

網絡化控制系統適用于大規模組網應用的安全網絡架構核心設計如下所示：

·控制網絡采用自主可控工業以太網技術，保證高可靠性；

·控制網絡采用扁平式網絡結構以及1對多的通信方式，保證通信的可靠性；

·采用堅固的系統和網絡通訊設備，外配產品需經過嚴格的認證測試；

·控制網絡采用全冗余設計（通訊接口、網絡設備、網絡供電），并且網絡1:1同步冗余，無切換時間，A/B控制網絡隔離；

·控制網絡采用分層分域設計，支持多路徑容錯通信，保證裝置通訊網絡的獨立性，又確保裝置間數據的共享以及一體化管理；

·提供統一的網絡健康視圖，直觀顯示整體網絡、網絡節點狀態、專家診斷、及時預警；

·DCS、PLC、SIS支持網絡一體化，保證統一聯網和互聯互通，以及統一的安全策略。

4.2　控制內核自主可信

病毒運行依賴黑客對于嵌入式操作系統的了解，對控制器也是如此。無運行環境、無進入機會是解決問題的關鍵。不基于通用系統，病毒就無運行環境，協議、接口私有、受限，黑客就無進入機會。因此，網絡化控制系統應采用自主研發協議棧、控制算法、硬件平臺、BIOS以及確定性微操作系統，保證控制內核的自身安全性。

控制內核自主可控可以杜絕針對通用協議/操作系統/開源代碼的已知漏洞所展開的攻擊。同時采取功能最小的原則，只定義必要的功能，減少開發代碼，減少漏洞存在的可能性。

在自主可控基礎上，采用可信增強技術，通過靜態/動態程序、數據的完整性檢查和監護技術，以及可信鏈的層層推進，保證控制器、組態軟件、監控平臺的可信增強，提升控制系統核心部件的內在免疫能力。

4.3　通信端口動態防護

網絡化控制系統采取基于黑通道的安全通信設計和通信端口動態防護，實現各種通信故障情況下，安全通信不受影響或導向安全，保證實時確定性安全通信。

典型通信故障模型如下所示：

·數據損壞；

·報文重復；

·報文錯序；

·報文丟失；

·延遲超時；

·報文插入；

·報文偽裝；

·錯誤尋址；

·交換機FIFO錯誤；

·報文滯緩。

通信端口采取工業協議的深度包檢測技術、通信和控制功能隔離技術、基于網絡行為和控制行為白名單技術等動態防護技術，實現在接收到各種異常數據幀或廣播風暴等巨量數據沖擊的情況下控制功能能正常運行、正常操控。

4.4　控制系統入侵容忍與系統自愈

網絡化控制系統應支持全系統冗余、數據備份與恢復、故障隔離等技術，實現全面的診斷與報警、入侵容忍和系統自愈。保證控制系統實時診斷與恢復。包括如下核心技術：

·采取全冗余設計，包括電源、工程師站、服務器、操作站、控制網、控制器、I/O總線、I/O模塊等，實現單一故障不影響工業控制系統正常運行，并通過實時對比診斷，快速檢測并定位安全問題；

·組態、歷史/實時數據庫、控制器參數等關鍵數據備份和動態重構技術，實現副本數據與運行數據的實時對比校驗和快速恢復。

4.5　數據安全監護和防篡改

覆蓋操作層、網絡層、控制層、現場總線/無線層的數據安全監護和防護設計，實現用戶組態工業加密與防篡改、歷史/實時數據庫實時工業加密與防篡改、組態軟件/監控軟件關鍵EXE、DLL防篡改、進程守護技術，保證數據的完整性和機密，并基于國密實現通信加密和關鍵數據加密，如下所示：

·SM2：非對稱加解密算法，用于身份認證、建立可信信道等握手類通信；

·SM4：對稱加解密算法，用于實時數據和操作指令等數據類通信；

·SM3：哈希算法，用于組態等文件類通信時的特征碼計算。

4.6　基于控制模型的控制網絡實時診斷與異常檢測

網絡化控制系統實現工控冗余網絡在線診斷和流量監控，網絡設備和控制節點實時狀態監控，建立控制網絡特征模型和操作站、控制站、工程師站、交換機、時鐘同步設備等特征模型（網絡流量、負載變化、通信行為）并統一展示，支持網絡風險和入侵行為實時監控（基于網絡攻擊模型）。網絡化控制系統構建網絡通信和操作指令可信模型（實時通信、操控指令、組態管理、事件管理等），實時監控和審計操控行為，以及異常檢測與報警（非法節點、異常數據包、非法操作指令）。

5　網絡化控制系統安全認證方法

目前，國際上工業控制系統縱深防御的方法和技術體系已逐步成熟，并正在大規模應用。但是工業控制系統產品自身安全設計、開發和認證體系以及全生命周期管理的研究尚在標準制定階段，正在逐步開展?，F有成熟的工業控制系統產品安全認證體系有： Achilles通信健壯性認證和ISASecure安全認證。

5.1　Achilles通信健壯性認證

Achilles通信健壯性認證是加拿大沃泰網絡安全公司提供的第三方獨立工業控制系統通信健壯性認證，已成為工控領域事實上的通信健壯性評測行業標準，得到全球主要自動化產品供應商和全球工業企業巨頭的認可。

Achilles通信健壯性認證的核心內容是：異常數據包攻擊和大流量數據包沖擊下，保證控制功能不受影響（監控DO和AO輸出）。該認證共分為兩個等級：

·Level1（預備級）：該等級測試和監視了受測設備基于Ethernet、ARP、IP、ICMP、TCP和UDP的數據包的詳細執行過程，用于驗證是否滿足OSI2－4層定義的可靠性和穩定性等級要求。

·Level2（正式級）：該等級是Level1認證的擴展認證，采用了更多的測試和更多通訊成功/失敗要求。Level2通過進一步產生更多測試值、檢測協議狀態、使用更高頻率的Dos攻擊測試每一種通訊協議。

5.2　ISASecure安全認證

ISASecure安全認證是ISA安全兼容協會（ISA Security Compliance Institute, ISCI）推動的針對工業控制系統的專項安全認證，與IEC62443標準呼應。ISCI成立于2007年，致力于為工業控制系統的網絡安全提供保障。ISCI推行ISASecure認證項目，旨在幫助工業控制系統設備供應商和運營單位識別網絡安全產品及實踐。ISASecure認證規范由工業控制系統運營單位、行業協會、用戶、學術界、政府和監管機構合作共同審核。

ISASecure認證目前已推出EDSA、SDLA、SSA三項，正在籌建ASA認證。其中EDSA認證針對嵌入式設備，SDLA針對工業控制系統開發流程，ASA認證針對工業應用軟件，SSA針對工業控制系統整體。SSA認證之前必須所有部件通過EDSA認證，并部署了必要的縱深防御措施。具體情況如表3所示。

表3 ISASecure認證類別

ISASecure EDSA認證是ISCI組織推出的第一個安全認證，側重于工業控制系統嵌入式設備的安全性認證。EDSA認證根據IEC62443-4-1安全開發流程要求和IEC62443-4-2安全技術措施要求，綜合考慮了工業控制系統的特性以及信息安全保證的通用方法，提供了統一的工業控制系統嵌入式組件內建安全的評估和認證方法，解決了工業控制系統內建安全評估和認證的難題，有助于工控安全認證方法的統一和推廣應用。2016年7月1日EDSA認證升級為2.0.0版本。

EDSA認證提供三個級別：Level1、Level2和Level3，其中Level3級別最高。認證包括三部分內容：軟件開發安全評估（SDSA）、通信健壯性測試與漏洞檢測、安全功能評估。其中通信健壯性測試無論認證等級都必須達到Achilles Level2或同等能力。

EDSA認證要求如圖4所示。

圖4 EDSA認證要求

EDSA認證內容主要包括：

（1）軟件開發安全評估

軟件開發安全評估主要認證軟件安全開發流程，覆蓋需求、設計、實現和測試各個環節，與SDLA認證采取相同的標準和認證程序，但認證要求略有不同。

（2）安全測試

基于黑盒的安全測試包括通訊健壯性測試和漏洞檢測測試，綜合了工業控制系統的特殊要求和IT信息安全認證的通用方法。

（3）安全功能評估

安全功能評估包括訪問控制、使用控制等7個維度，采用設計文檔審查和第三方獨立測試驗證相結合的方式開展。由EDSA認證等級確定安全功能的要求。

6　總結與展望

本文分析了網絡化控制系統的發展趨勢和脆弱性，并結合目前針對工業控制系統的典型攻擊模式，建立安全威脅模型。在此基礎上，提出了網絡化控制系統基于內建安全的安全防護設計方法，包括分層分域安全網絡架構、控制內核自主可信、入侵容忍和系統自愈、數據安全監護以及網絡在線監測等，逐步建立內建安全技術體系，以及安全認證方法，實現功能安全、信息安全和操作安全一體化目標。

ISASecure EDSA認證是國際上第一個真正針對工業控制系統內建安全的綜合性認證體系，具有較強的參考價值和指導作用。然而，由于EDSA認證必須開放設計機制、開發過程文檔甚至代碼，而且資料會被備份至認證方國家，存在較大的安全隱患。因此，ISASecure EDSA認證在國內推廣依然是個難題，必須先解決資料泄漏的后顧之憂。

★基金項目：國家重點研發計劃網絡空間安全專項經費資助（裝備研制與安全測評，課題編號：2016YFB0800205）

參考文獻：

[1] Washington. D.C.: U.S. Department of Energy Office of Energy Assurance. 21 steps to improve cyber security of SCADA networks[EB/OL]. https://energy.gov/sites/prod/files/oeprod/DocumentsandMedia/21_Steps_-_SCADA.pdf, 2002/2017-08-14.

[2] U.S. Department of Homeland Security. Catalog of control systems security: Recommendations for standards developers[Z]. 2011.

[3] M. F. David Kuipers. Control systems cyber security: Defense in depth strategies[J]. U.S. Department of Homeland Security, Tech. Rep, May 2006.

[4] D. Kilman, J. Stamp. Framework for SCADA security policy[EB/OL]. https://www.energy.gov/sites/prod/files/ Framework%20for%20SCADA%20Security%20Policy.pdf, 2005/2017-08-14.

[5] Kushner D. The real story of stuxnet[J]. ieee Spectrum, 2013, 50 ( 3 ) : 48 - 53.

[6] Guo Y, Cheng C, Xin X, et al. OPC Communication Protection Method Based on Access Control and Anomaly Traffic Detection[C]. Internet of Things (iThings) and IEEE Green Computing and Communications (GreenCom) and IEEE Cyber, Physical and Social Computing (CPSCom) and IEEE Smart Data (SmartData), 2016 IEEE International Conference on. IEEE, 2016: 732 - 737.

[7] Khan R, Maynard P, McLaughlin K, et al. Threat Analysis of BlackEnergy Malware for Synchrophasor based Real-time Control and Monitoring in Smart Grid[A]. ICS-CSR, 2016.

[8] Li X, Wang Y, Shi F, et al. Crawler for Nodes in the Internet of Things[J]. ZTE Communications, 2015, 3: 009.

[9] Green B, Frey S A F, Rashid A, et al. Testbed diversity as a fundamental principle for effective ICS security research[J]. SERECIN, 2016.

作者簡介：

陸衛軍（1977-），男，浙江杭州人，高級工程師，學士，現就職于浙江中控技術股份有限公司，研究方向是控制系統新技術研究。

黃文君（1972-），男，浙江紹興人，研究員，碩士，現就職于浙江中控技術股份有限公司，研究方向是控制系統及工業軟件研究。

章　維（1981-），男，浙江寧波人，高級工程師，碩士，現就職于浙江中控技術股份有限公司，研究方向是工業通訊及工控安全。

陳銀桃（1984-），女，浙江溫州人，工程師，碩士，現就職于浙江中控技術股份有限公司，研究方向是工業通訊。

摘自《自動化博覽》2019年2月刊