★昆侖數智科技有限責任公司鄧田，董黎芳，徐軼，王宏巖

摘要：基于油氣田工業(yè)控制系統現場(chǎng)RTU/PLC與上級控制層之間通訊存在的網(wǎng)絡(luò )安全問(wèn)題，本項目進(jìn)行了集設備接入認證、數據傳輸加/解密和抗攻擊防護于一體的安全防護技術(shù)的研究與分析，研發(fā)了一套工業(yè)控制系統一體化防護系統，并在油氣典型場(chǎng)站得到了成功的應用，實(shí)現了數據加密可信傳輸、設備接入認證與指令級防護。

關(guān)鍵詞：工業(yè)控制系統；一體化防護；加/解密技術(shù)；接入認證技術(shù)；深度包檢測技術(shù)

工業(yè)控制系統是DCS、PLC、SCADA等多種類(lèi)型控制系統的總稱(chēng)^[1]，屬于重要的關(guān)鍵信息基礎設施。早期工業(yè)控制系統在架構搭建、通訊協(xié)議等方面均未考慮網(wǎng)絡(luò )安全設計。兩化融合、數字化轉型等業(yè)務(wù)的發(fā)展和推動(dòng)，帶來(lái)了工業(yè)控制系統的網(wǎng)絡(luò )安全問(wèn)題，國家、行業(yè)、企業(yè)等相繼加大了工業(yè)控制系統的網(wǎng)絡(luò )安全投入^[2]。2017年6月1日實(shí)施的《中華人民共和國網(wǎng)絡(luò )安全法》規定了關(guān)鍵信息基礎設施的運行安全，2019年12月1日實(shí)施的“等保2.0”更是將工業(yè)控制系統安全納入了新型應用安全擴展要求。而石油石化作為關(guān)鍵信息基礎設施的重要組成部分^[3]，其網(wǎng)絡(luò )安全直接關(guān)系到國家能源戰略安全。

1 油氣田工業(yè)控制系統存在的安全問(wèn)題

油氣田工業(yè)控制系統主要由油氣井現場(chǎng)數據采集和實(shí)時(shí)監控，以及礦區的SCADA調度中心組成。油、氣井口和一些無(wú)人值守的閥室、站，其特點(diǎn)是溫度要求范圍大、環(huán)境比較惡劣，常使用RTU/PLC系統^[4]；到了礦區往往要求多系統集成，常建設一個(gè)SCADA調度中心，用于轄區內各工業(yè)控制系統實(shí)時(shí)數據的接入。

在油氣田工業(yè)控制系統架構中，SCADA調度中心普遍通過(guò)Modbus/TCP協(xié)議對現場(chǎng)的RTU/PLC等進(jìn)行數據采集與指令控制，存在數據傳輸過(guò)程無(wú)接入認證、無(wú)權限控制問(wèn)題，且數據采用明文傳輸，只需借助簡(jiǎn)單技術(shù)手段，即可實(shí)現入侵與數據截獲篡改，存在嚴峻的安全風(fēng)險^[5]。

（1）缺少接入認證：終端無(wú)需認證即可接入系統，在網(wǎng)內形成數據通道。

（2）數據明文傳輸：實(shí)時(shí)生產(chǎn)與控制狀態(tài)數據在未加密的情況下傳輸可被輕易截取。

（3）缺少權限控制：無(wú)任何控制手段，數據、指令可被輕易復制和篡改，可實(shí)現對控制中心入侵或對現場(chǎng)控制器進(jìn)行非法讀寫(xiě)控制，極易導致生產(chǎn)安全事故。

因此加固油氣田工業(yè)控制系統的安全性變得極為必要。

2 油氣田工業(yè)控制系統一體化安全防護技術(shù)分析

鑒于油氣田工業(yè)控制系統存在的安全問(wèn)題，我們研究了集設備接入認證、數據傳輸加/解密和抗攻擊防護于一體的安全防護技術(shù)，實(shí)現了油氣田場(chǎng)站到SCADA調度中心生產(chǎn)數據的安全可信傳輸。其關(guān)鍵技術(shù)包括以下幾個(gè)方面：

（1）數據傳輸加密/解密技術(shù)：評估適用于場(chǎng)站到調度中心建設模式的加/解密的算法，在確保數據通信實(shí)時(shí)性、可靠性的前提下實(shí)現數據加密傳輸。

（2）設備接入認證技術(shù)：通過(guò)對數字簽名、驗簽技術(shù)的研究，實(shí)現生產(chǎn)網(wǎng)內接入設備的鑒別與認證。

（3）數據解析與防護技術(shù)：通過(guò)對工業(yè)網(wǎng)絡(luò )報文的深度解析，梳理業(yè)務(wù)指令以及業(yè)務(wù)數據的內容，建立合法行為模型，采用“黑+白”名單雙重防護機制，拒絕不可信的訪(fǎng)問(wèn)與控制，實(shí)現指令級的安全防護。

2.1 數據傳輸加/解密技術(shù)

工業(yè)通信網(wǎng)絡(luò )中存在著(zhù)嚴重的數據安全隱患，容易遭受到破壞數據完整性的攻擊，如錯誤數據注入攻擊、重放攻擊等，而數據加密作為一種保護數據完整性和機密性的手段，可以有效地阻止上述攻擊^[6]。出于工控協(xié)議數據加解密的安全性以及性能的考慮，可以采用非對稱(chēng)加密和對稱(chēng)加密混合型方式。其中非對稱(chēng)算法可以實(shí)現密鑰的協(xié)商過(guò)程，為數據傳輸提供公鑰；對稱(chēng)算法可以實(shí)現數據加/解密傳輸。

對稱(chēng)加密算法：通過(guò)比較DES、3DES、AES三種加密算法，如表1所示，從安全性以及性能上考慮，選擇AES加密算法采用128位密鑰長(cháng)度。

表1 對稱(chēng)加密算法比較表

非對稱(chēng)加密算法：通過(guò)比較RSA、DSA、ECC三種加密算法，如表2所示，選擇ECC加密算法^[7]，其性能更好、安全性更高、抗攻擊性強、計算量小、處理速度快、帶寬要求低。當對長(cháng)消息進(jìn)行加解密時(shí)，三類(lèi)密碼系統有相同的帶寬要求，但應用于短消息時(shí)ECC帶寬要求卻低得多。對于油氣田使用3G無(wú)線(xiàn)傳輸的場(chǎng)站，低帶寬的現狀使ECC在無(wú)線(xiàn)網(wǎng)絡(luò )領(lǐng)域具有廣泛的應用前景，密鑰強度選擇160位。

表2 非對稱(chēng)加密算法比較表

以圖1為例，數據傳輸加解密過(guò)程如下：

圖1 數據傳輸加解密過(guò)程示意

（1）當上位機需要發(fā)送數據查詢(xún)/命令請求時(shí)，加/解密平臺與加/解密終端首先通過(guò)TCP三次握手建立連接，然后加/解密終端與加/解密平臺通過(guò)非對稱(chēng)加密的方式，協(xié)商后續數據通信的對稱(chēng)加密密鑰；

（2）當數據加密密鑰協(xié)商完成，加/解密平臺通過(guò)該密鑰對數據請求進(jìn)行加密，然后發(fā)送到加/解密終端，加/解密終端收到加密后的請求，將其解密，然后以明文形式發(fā)送到現場(chǎng)RTU設備；

（3）現場(chǎng)RTU設備處理完上位機經(jīng)過(guò)解密后的明文請求后，以明文形式將應答結果發(fā)送到加/解密終端；

（4）加/解密終端通過(guò)協(xié)商后的對稱(chēng)密鑰對數據進(jìn)行加密，然后將加密后的應答數據傳送到加/解密平臺；

（5）最后加/解密平臺將加密后的應答報文解密，并發(fā)送到上位機系統中。

2.2 接入認證技術(shù)

目前工業(yè)控制系統缺乏統一的接入認證技術(shù)，即使某一個(gè)產(chǎn)品制造商會(huì )針對其所屬的工控設備加入接入認證技術(shù)，但是現場(chǎng)同一套控制系統中多家品牌、多個(gè)型號的組合現象非常普遍，所以從根本上來(lái)說(shuō)也不能解決接入認證的問(wèn)題。因此可以考慮研發(fā)單獨地接入認證系統，其由接入認證設備和接入認證平臺組成，在不影響工業(yè)控制系統實(shí)時(shí)性、通訊穩定性的基礎上，可以實(shí)現以下兩個(gè)方面的認證：

（1）認證平臺與認證終端的認證：對設備的認證信息在兩端進(jìn)行預制，預制的認證信息采用系統本身的加密通道與數字簽名技術(shù)進(jìn)行安全傳輸，認證終端必須通過(guò)認證平臺認證成功后，才能開(kāi)啟后續數據通道。

（2）認證終端與后端接入設備的認證：認證終端部署于RTU/PLC系統數據出口端，其防護范圍內的RTU/PLC控制器、攝像機等IP網(wǎng)絡(luò )元件，通過(guò)在設備中進(jìn)行MAC與IP地址綁定和設置黑/白名單，實(shí)現接入認證，避免非法設備接入。

2.3 數據解析與防護技術(shù)

工業(yè)控制系統的安全防護技術(shù)更多的是基于各大主流工業(yè)控制協(xié)議，因此可采用DPI深度包解析技術(shù)，形成協(xié)議識別與匹配技術(shù)方案，并建立防護模型。

（1）DPI深度包檢測技術(shù)研究^[9]

通過(guò)對網(wǎng)絡(luò )通訊的原始數據包捕獲，DPI技術(shù)可實(shí)現對應用層數據的應用協(xié)議識別、數據包內容檢測與深度解碼，它基于應用數據的“特征值”、應用層協(xié)議與行為模式三種方式進(jìn)行數據檢測。

（2）協(xié)議識別與匹配技術(shù)

當數據流到達應用層后，基于源地址、源端口、目的地址、目的端口、傳輸層協(xié)議進(jìn)行網(wǎng)絡(luò )會(huì )話(huà)管理，并根據協(xié)議特征庫對每個(gè)會(huì )話(huà)進(jìn)行協(xié)議識別，流程如圖2所示。

圖2 協(xié)議識別流程

采用“特征字”識別技術(shù)與應用層網(wǎng)關(guān)識別技術(shù)相結合的方式進(jìn)行傳輸協(xié)議識別，在完成識別后，業(yè)務(wù)數據的處理采用DPI深度包解析的技術(shù)進(jìn)行處理與匹配，如圖3所示。

圖3 DPI解析匹配流程

（3）防護模型

防護模型采用自適應的方式，其基于硬件CPU的資源占用情況，自動(dòng)調整執行的進(jìn)程數量，可有效降低數據處理過(guò)程中的數據同步工作所占的開(kāi)銷(xiāo)。數據流通過(guò)時(shí)，首先查詢(xún)已有行為模型，如果匹配，直接進(jìn)入后續輸出隊列（正常通信、告警、攔截等）；若不匹配，將通過(guò)應用協(xié)議分析、綜合數據流量分析等方式建立其行為模型。防護模型流程如圖4所示。

圖4 防護模型流程示意圖

3 油氣田工業(yè)控制系統一體化防護系統應用場(chǎng)景

基于以上的技術(shù)研究，我們在實(shí)際的科研項目上研發(fā)了一體化安全系統，其分別由一體化防護平臺和一體化防護終端組成，可實(shí)現數據加密可信傳輸、設備接入認證與指令級防護。油氣田工業(yè)控制系統一體化安全防護系統如圖5所示。

（1）一體化防護終端：部署于場(chǎng)站工業(yè)控制系統網(wǎng)絡(luò )出口（如RTU、PLC等），對接入場(chǎng)站工業(yè)控制系統網(wǎng)絡(luò )的設備進(jìn)行認證與防護，同時(shí)對與調度中心進(jìn)行通訊的生產(chǎn)數據進(jìn)行加/解密，以保障工業(yè)控制系統的本質(zhì)安全。

（2）一體化防護平臺：部署于SCADA調度中心，通過(guò)ACL協(xié)議將擬實(shí)施的有線(xiàn)或無(wú)線(xiàn)場(chǎng)站數據傳輸至該服務(wù)器，可以進(jìn)行數據加/解密、報文/密文輸出與防護系統配置管理。該方式可實(shí)現指定場(chǎng)站的數據處理，不影響其他場(chǎng)站的數據傳輸與控制，有效降低現場(chǎng)試驗安全風(fēng)險。

圖5 油氣田工業(yè)控制系統一體化安全防護系統部署圖

通過(guò)部署一體化防護系統，可以加固井站與上級控制層（中心站、RCC等）之間數據傳輸與指令下達的安全性，從而提升系統整體安全性：

（1）井站與上級控制系統所有數據、控制指令加密可信傳輸；

（2）生產(chǎn)網(wǎng)內接入設備的鑒別與認證；

（3）部署防護策略，實(shí)現權限控制與指令級防護。

4 總結與展望

基于一體化防護技術(shù)研發(fā)的產(chǎn)品已經(jīng)在油氣典型場(chǎng)站中得到了成功的應用，實(shí)踐證明了一體化防護技術(shù)可廣泛應用于油氣田行業(yè)工業(yè)控制系統，并具有數據加密、解析、防護等功能，可有效消除數據傳輸泄密安全隱患，防止非法攻擊。

然而在當前工業(yè)互聯(lián)網(wǎng)新形勢下，安全問(wèn)題越來(lái)越重要，攻擊手段的多樣化對工業(yè)控制系統的安全防護技術(shù)提出了更高要求，因此需要更多的實(shí)踐才能更好地去迭代促進(jìn)技術(shù)的成熟，需要更多的業(yè)務(wù)場(chǎng)景去證明解決方案的可行性與優(yōu)勢。

作者簡(jiǎn)介：

鄧  田（1979-），男，重慶人，工程師，學(xué)士，現就職于昆侖數智科技有限責任公司，研究方向為油氣領(lǐng)域工業(yè)控制系統安全、物聯(lián)網(wǎng)安全等。

參考文獻：

[1] GB/T 30976.1-2014, 工業(yè)控制系統信息安全第一部分評估規范[S].

[2] 康榮保, 張曉, 杜艷霞. 工業(yè)控制系統信息安全防護技術(shù)研究[J]. 通信技術(shù), 2018 (8) : 1965 - 1971.

[3] 中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組辦公室, 網(wǎng)絡(luò )安全協(xié)調局. 國家網(wǎng)絡(luò )安全檢查操作指南[Z]. 2016 : (6).

[4] 岳妍瑛, 王彬. 油田工業(yè)控制系統信息安全淺析[J]. 自動(dòng)化博覽, 2013 (3) : 38 - 42.

[5] 聞宏強, 李富勇, 等. Modbus/TCP協(xié)議安全性分析與防護技術(shù)探討[J]. 物聯(lián)網(wǎng)技術(shù), 2018 (11) : 34 - 35.

[6] 梁耀, 馮冬芹, 等. 加密傳輸在工業(yè)控制系統安全中的可行性研究[N]. 自動(dòng)化學(xué)報, 2018 (3) : 434 - 442.

[7] 梁玉英. 基于Java語(yǔ)言的ECC加密技術(shù)研究[J]. 電腦與電信, 2018 (37) : 7 - 9.

[8] 呂迪, 賈志洋. 常用數據加密技術(shù)的對比研究[J]. 網(wǎng)絡(luò )安全技術(shù)與應用, 2014 : (2).

[9] 張靜, 周佐. 防火墻深度包檢測技術(shù)研究及算法改進(jìn)[J]. 自動(dòng)化與儀器儀表, 2018 (3) : 46 - 50.

 摘自《自動(dòng)化博覽》2023年3月刊