工控网络安全检测与防护体系研究*

张宏斌，王晓磊，赵云龙

(1.中国电子信息产业集团有限公司第六研究所，北京 100083； 2.国家工业信息安全发展研究中心，北京 100040)

0 引言

当前工控系统在军工、电力、石油、轨道等行业大规模使用，呈现快速发展的态势，超过80%的涉及国计民生的关键生产活动需要依靠工业信息化来实现自动化[1]，工控系统已经成为国家关键信息基础设施的重要组成部分。然而随着网络信息技术在工业领域的大规模应用，尤其是工业互联网、云计算、大数据、人工智能等新技术的实施，越来越多的工控网络安全问题暴露出来，也成为网络攻击的重点目标。

近年来不断爆发的如2015年“乌克兰电网攻击”、2016年“Mirai病毒”、2017年“WannaCry勒索病毒”，2019年“委内瑞拉大停电”等事件表明，工控网络安全事件仍然层出不穷，攻击范围有不断扩大的趋势。面对严峻的网络安全形势，传统的网络安全防护已经无法有效应对目的更加明确、手段更加多样、能力不断增强的网络攻击。本文针对当前工控网络所面临的问题，提出一种工控网络安全监测技术与框架，并分析研究工控网络的整体安全防护体系，为有效应对动态变化威胁、隐蔽性未知攻击、工控安全综合风险提供参考。

1 工控网络面临的主要问题

1.1 开放互联需求增强，关键系统安全有待提升

在工业互联网产业发展趋势下，工业终端设备从封闭逐步走向开放，尤其是云计算、大数据等新技术的应用，打破传统物理隔离常规，增加了工业处理流程的开放性和不确定性，网络安全风险进一步集中和放大。

国内关键信息基础设施采用的国内外工控系统和产品都可能存在已知或未知的后门、漏洞和缺陷，同时一些关键系统、高端装备仍然依赖于国外产品，重大故障的维护都有厂商参与，有些留有远程访问端口，有可能来带一定的安全隐患[2]。总之，当前工控核心设备产品、关键系统自身安全性有待提升，以有效应对开放互联背景下的高强度网络威胁。

1.2 安全防护能力差，无法有效应对隐蔽性攻击

当前工控网络安全防护主要有两种情况：一是大量工控设备、系统处于“裸奔”状态，无统一安全防护方案。多数基础软件、智能化设备安全可靠程度低，部分设备更新换代慢、处理能力有限，在设计之初没有进行安全方面的预置，同时安全防护手段采用默认配置的方式仍然普遍存在；二是工控网络安全防护手段有限，能力不足。工控网络部署安全防护设备大多还是基于传统网络安全防护模式，安全防护能力有限，如防火墙基于IP、端口进行拦截，缺乏对内容进行深度的分析，入侵检测基于攻击特征检测、误报率高，容易被绕过，安全网关基于IP、URL等黑名单进行控制，无法检测未知内容；杀毒软件基于代码指纹进行检测，缺乏动态行为深度分析，无法识别未知恶意代码[3]。总之，工控网络缺乏有效的安全防护体系，无法应对隐蔽性攻击。

1.3 应急处置能力弱，安全管理制度有待提高

工控安全主要是指工控网络和系统的运行安全，防范来自内部或外部的网络攻击，而要保证工控系统的整体安全，则必须要制定相应的防护策略、落实相关的安全管理规范，以有效避免或应对网络攻击带来的危害。然而，当前我国制造企业工控网络系统防护与管理在安全防护策略、安全架构与设计、生产制造全流程管理、安全审计与灾难备份、安全培训等方面相对脆弱，多数单位网络安全事件应急预案未建立或不完善，态势监测预警机制不健全，网络安全应急处置能力较弱，安全管理制度有待提高[4]。

2工控网络安全监测

针对工控网络所面临的主要问题，需要研究工控网络安全检测技术与方法，以发现内嵌网络安全威胁和有效应对隐蔽性攻击，确保工控网络各层基础设备、数据资源的安全。同时要构建工控协议解析库，完善安全事件特征库，丰富网络攻击知识库，对多环境、多业务流量进行深度分析、识别、发现、追踪、评估，形成工控网络监测体系，有效提升工控网络安全技术监管能力[5]。

2.1 工控网络安全监测相关技术

工控网络安全监测技术主要包括工控协议精准解析与分析技术、异常行为与关键事件检测技术、攻击知识库构建与自动学习技术、攻击数据溯源取证技术等。

(1)工控协议精准解析与分析技术

由于工控协议大都为私有协议，要实现网络安全监测与分析，工控协议的精准解析是基础。通过系统分析工控协议，提取协议关键字段等，形成协议特征库，构建工控协议字典，覆盖Siemens S7、Modbus、IEC104、Fins、Ethernet/IP等主流工控协议，从而支持对相关工控设备、流量的精准识别。

(2)异常行为与关键事件检测技术

为解决工控网络内部操作不正规问题，有效避免生产事故，需研究工控异常行为与关键事件监测技术，支持对TCP/IP协议、工控指令、网络会话等异常行为进行检测，实现对用户误操作、用户违规操作(如PLC下装、组态变更、指令变更、程序异常退出)、越权访问等关键事件进行实时监控。

(3)攻击知识库构建及自动学习技术

为了对流量数据进行有效识别，需要建立攻击知识库，包括漏洞库、威胁情报库、恶意行为库、协议识别规则库、安全规则库、危害等级评价库等，通过构建并依据知识库对流量进行监测，统计分析网络行为，构建网络关系拓扑，展示用户、应用、资源等分布情况，利用知识库庞大的规则体系识别高频网络攻击、网络扫描探测、控件漏洞攻击、Web应用攻击等。

根据工控网络安全的特点建立机器学习引擎，基于现有知识库，在海量数据中自动学习提取新的规则与特征，并不断将新的知识填充到知识库中，指导提高攻击检测的深度与广度。

(4)攻击数据溯源取证技术

当发生网络攻击后，需要对流量数据进行过滤提取和精细关联分析，确定流量的来源、应用类型、传输目的，存储记录关键数据特征，包括时间、源地址、源端口、目的端口等信息。利用攻击知识库数据，一是发现追踪内部网络攻击情况，定位事件故障，溯源攻击发起位置与过程；二是精确分析外部网络攻击行为，进行分析溯源。通过攻击溯源取证技术，丰富网络安全攻击库，制定调整相应的保护策略，确保工控生产、调度、管理等网络和底层基础设备的安全。

2.2 工控网络安全监测防护部署

工控网络一般进行分区管理，主要包括企业管理区和生产调度区，如图1所示。企业管理区内分外网和内网两部分，外网应当设立安全控制策略，进行边界数据包过滤、恶意代码防范、非法外联和入侵行为探测，加强网络边界的审计和防护；内网管理应当设立安全管控中心，对内网的系统(例如OA系统、邮件系统、门户网站等)进行统一认证、安全存储、漏洞检测、病毒查杀等。生产调度区主要包括生产管理层、过程控制层、现场控制层、设备层。生产管理层负责生产任务的数据管理、计划安排、设计存储等；过程控制层、现场控制层是对现场设备进行过程控制和实时控制。生产调度区各层都应做好对应的漏洞检测、入侵检测、病毒防护，保护好相关工控数据流，防止网络攻击行为的发生，以及对反常行为进行预警报告。

图1 工控安全监测防护部署示意图

为保证工控网络系统正常生产、稳定运行，工控网络各分区间应部署网络隔离装置，以保证分区的交互安全，同时部署增加工控网络安全监测系统，以对整体网络行为进行全生命周期监测、存储和分析，形成网络安全实时态势感知，以有效应对隐蔽性威胁。工控网络安全监测系统有工控探针和互联网探针，一般将工控探针分布式部署于生产调度区各层汇聚交换机上，通过镜像流量实现对各层链路利用率、业务分部情况、服务带宽占用等进行监测，通过构建攻击知识库实现对工控网络恶意行为的诱捕、存储、分析，对不正当行为进行关键工控事件检测，最后由工控安全监测评估系统汇总、分析后给出监测报告；将互联网探针部署在互联网出入口，对来自外部区域的探测、攻击行为进行监测和分析，必要时进行反制[6]。

3 工控网安全防护体系思考

3.1 防护原则与目标

(1)防护原则

工控网络安全防护坚持分级领导、落实责任；坚持同步规划、同步建设、同步使用；坚持业务稳定、持续运行；坚持分区管理、重点保护；坚持安全监测、及时上报；坚持谁主管谁负责、谁运行谁负责，充分发挥各方力量维护工控网络安全。

(2)防护建设目标

工控网络安全防护建设目标应该是建立一个深度安全防护体系，保障工控网络全生命周期安全可控，在技术上可以实现对工控协议指纹识别和无损探测，感知工控网络中设备并形成网络拓扑，能够对各层网络流量进行监测和预警，及时发现、追踪工控网络中存在的安全威胁，集中呈现整个工控网络安全态势，提升网络安全事件预警与处置能力；在管理上从监测预警、应急响应、安全防护、监督检查等方面建立对应的安全管理机制，保证工控网络安全相关制度、要求、责任落实到位。

3.2 防护体系框架研究

工控网络安全防护应涵盖网络系统规划、建设、运行、维护四个过程，从本质安全、技术防护、标准规范、管理制度、运行管控五个方面进行综合考虑。建立综合的网络安全防护体系，持续作用于整个工控网络的安全防护生命周期中，在维护运行效率和安全生产间找到平衡点，保障企业安全高效的开展生产活动[7-8]。

在技术防护上要从应用、主机、控制器、网络等层面考虑采用访问控制、加密、安全审计等手段，建立纵深技术防护机制，在纵向上保证分层监测、安全隔离；在横向上保证分区管控、重点防护。在标准规范上要从基础、技术体制、测试评估和管理等方面建立相应标准，为工控网络安全规划、建设、管理、运维、质量、评估、测试、服务等方面提供统一、科学的标准规范[9]。

在管理制度上应当从治理、管理、执行、监督检查等方面来考虑，政府方面要建立完善网络安全组织管理体系，明确相关政策与制度，定期组织网络安全培训、应急演练、监督检查等，企业要设立专门的网络安全管理机构，并明确各部门的网络安全职责与责任人，保证网络安全相关要求执行到底，同时要建立完善的制度体系，从安全组织、安全策略、生产管理、供应链管理等方面考虑，实现工控资产可见、可管、可控，不断规范企业各项工作流程，保障生产制造活动有序进行。在运行管控上，要注重过程安全，以预防、监测、响应为主线，建立整个工控网络运行管理和防护体系，做到网络安全威胁的提前预警，网络攻击流量的监测追踪，网络安全事件的及时决策与响应，保障运行管理通畅，形成综合安全态势，保证整个工控网络安全综合可控。

工控网络安全防护体系需要关注本质安全，应保证关键系统、核心芯片、专用软件、处理器、数据库等基础产品安全可靠，在基础软硬件的供应链层面，在满足建设要求的条件下，主动选择安全可靠程度更高的产品，夯实防护体系基础。

工控网络安全防护体系如图2所示。

图2 工控网络安全防护体系框架

4 结论

工控网络攻击具有严组织、高隐蔽、强持续的特点，而且技术手段层出不穷，尤其是国家关键信息基础设施的工控网络和系统，一旦出现问题，会对国家安全和经济社会发展带来巨大威胁。本文分析了工控网络安全面临的问题，提出工控网络安全监测的相关技术和防护部署模式，并对整个网络安全防护体系进行思考，希望将安全防护注入整个工控网络设计、建设、运行、维护的全生命周期里，制定严格的标准规范，保障生产制造活动高效率、高安全、高可靠。