1　工業(yè)控制系統的脆弱性

    由于工業(yè)控制系統正向復雜化、IT化和通用化趨勢發(fā)展，基于PC+Windows的工業(yè)控制網(wǎng)絡(luò )面臨安全挑戰，這些年不僅國外發(fā)生了一些安全事件，同時(shí)國內也暴露出了一系列的工業(yè)控制系統信息安全的問(wèn)題。比如2010年齊魯石化、2011年大慶石化煉油廠(chǎng)，某裝置控制系統分別感染Conficker病毒，都造成控制系統服務(wù)器與控制器通訊不同程度的中斷。

    ICS-CERT安全報告指出“近三年針對工業(yè)控制系統的安全事件呈明顯上升趨勢，僅2013年度，針對關(guān)鍵基礎設施的攻擊報告已達到257起。”主要集中在能源、關(guān)鍵制造業(yè)、交通、通信、水利、核能等領(lǐng)域，而能源行業(yè)的安全事故則超過(guò)了一半。如圖1所示。

圖1 近三年各領(lǐng)域發(fā)生工業(yè)控制系統的安全事件比例

    我們認為，歸根結底就是工業(yè)控制系統的漏洞問(wèn)題，截止到2013年12月底，公開(kāi)的工業(yè)控制系統漏洞數總體仍呈增長(cháng)趨勢。2010年6月出現的Stuxnet病毒，是世界上首個(gè)專(zhuān)門(mén)針對工業(yè)控制系統編寫(xiě)的席卷全球工業(yè)界破壞性病毒，它同時(shí)利用7個(gè)最新漏洞進(jìn)行攻擊。這7個(gè)漏洞中，有5個(gè)是針對windows系統，2個(gè)是針對西門(mén)子SIMATIC WinCC系統。

    工業(yè)控制系統的漏洞主要包括5個(gè)方面，如下：

    （1）通信協(xié)議漏洞

    兩化融合和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議等通用協(xié)議越來(lái)越廣泛地應用在工業(yè)控制網(wǎng)絡(luò )中，隨之而來(lái)的通信協(xié)議漏洞問(wèn)題也日益突出。

    （2）操作系統漏洞

    目前大多數工業(yè)控制系統的工程師站/操作站/HMI都是Windows平臺的，通?，F場(chǎng)工程師在系統開(kāi)啟后不會(huì )對windows平臺安全任何補丁，埋下了安全隱患。

    （3）應用軟件漏洞

    由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問(wèn)題，另外當應用軟件面向網(wǎng)絡(luò )應用時(shí)，就必須開(kāi)放其應用端口，是重要的攻擊途徑。

    （4）安全策略和管理流程漏洞

    追求可用性而犧牲安全性，是很多工業(yè)控制系統存在的普遍現象，缺乏完整有效的安全策略與管理流程也給工業(yè)控制系統信息安全帶來(lái)一定的威脅。

    （5）殺毒軟件漏洞

    為了保證工控應用軟件的可用性，許多工控系統操作站通常不會(huì )安裝殺毒軟件，即使安裝了殺毒軟件，病毒庫也不會(huì )定期更新。

    2　工業(yè)控制系統的安全需求

表1給出了工控系統與傳統IT系統的不同。

    表1所示的這些不同，導致了工控安全與傳統IT安全的差異，傳統IT安全更注重機密性，其次是完整性，之后是可用性，但是工控系統的安全，則是可用性排在第一位，接下來(lái)是完整性，最后才是機密性。所以，傳統網(wǎng)絡(luò )安全技術(shù)不適于應用到工業(yè)控制系統。

    美國國土安全部下屬的ICS-CERT（工業(yè)控制系統應急響應小組）及CSSP（控制系統安全項目）通過(guò)對工業(yè)控制系統軟件的缺陷性分析發(fā)現，工業(yè)控制系統軟件的安全脆弱性問(wèn)題主要涉及錯誤輸入驗證、密碼管理、越權訪(fǎng)問(wèn)、不適當的認證、系統配置等方面。

典型工控系統的安全問(wèn)題，如圖2所示。

    3　工業(yè)控制系統的安全測試技術(shù)趨勢

    3.1　工業(yè)控制系統的特點(diǎn)

   （1）封閉性：SCADA、ICS系統的設計之初安全機制不完善；

   （2）多樣性：多種數據接口（如RJ45、RS485、RS232等）,協(xié)議規約實(shí)現多樣；

   （3）復雜性：專(zhuān)用的通信協(xié)議或規約（如OPC、Modbus、DNP3、 Profibus等）；

   （4）不可改變性：工控系統程序升級困難。

    傳統IT安全測試技術(shù)不適合工業(yè)控制系統，所以急需針對工業(yè)控制系統的安全測試技術(shù)。針對SCADA、ICS系統自身脆弱性（漏洞）和通信規約的安全性，研究工業(yè)控制系統的安全測試技術(shù)，分析工業(yè)控制系統中已知的與未知的安全威脅，指導其對安全威脅進(jìn)行有效的防御。

    3.2　工控系統安全測試技術(shù)已成為重要的發(fā)展方向

    3.2.1　美國能源部SCADA測試平臺計劃（2008-2013）

    美國能源部自2008年就開(kāi)始了搭建SCADA測試平臺計劃（2008-2013），通過(guò)聯(lián)合其下屬I(mǎi)daho等6個(gè)國家實(shí)驗室的技術(shù)力量，提供各種工業(yè)控制系統的真實(shí)測試環(huán)境，實(shí)現對石油、電力等行業(yè)控制系統的安全測評。

    美國能源部SCADA測試平臺計劃中主要包括4個(gè)典型測試平臺，如下。

    （1）SCADA/控制系統測試平臺；

    （2）信息安全測試平臺；

    （3）電網(wǎng)測試平臺；

    （4）無(wú)線(xiàn)技術(shù)測試平臺。

圖3所示是一個(gè)SCADA/控制系統測試平臺實(shí)例。

    3.2.2　歐洲SCADA安全測試平臺

    歐洲也搭建了SCADA安全測試平臺，主要特點(diǎn)如下：

    （1）采用現場(chǎng)系統的滲透測試，建立風(fēng)險分析方法，測試、評估SCADA系統的安全性；

    （2）對于Computer Emergency Response Team (CERT)發(fā)布的SCADA安全信息能夠快速處理，以保護世界各地的運行系統；

    （3）具有高度重構，與其它SCADA系統安全、遠距離通信連接，構建先進(jìn)的分布式測試環(huán)境。

    3.2.3　學(xué)術(shù)界工控系統安全測試技術(shù)研究

    國外學(xué)者致力于搭建SCADA系統真實(shí)測試環(huán)境，模擬攻擊行為，通過(guò)仿真和建模分析SCADA系統的安全性。

    國際知名工業(yè)安全測試公司相關(guān)產(chǎn)品和解決方案如下：

    （1）加拿大 Wurldtech的Achilles 測試工具采用漏洞掃描和模糊測試的方法，測試工控系統中設備和軟件的安全問(wèn)題；

    （2）加拿大的ICS Sandbox測試平臺采用滲透測試的方法，通過(guò)模擬真實(shí)的網(wǎng)絡(luò )攻擊，測試SCADA系統中關(guān)鍵基礎設施的脆弱性；

    （3）芬蘭科諾康Codenomicon Defensics工控健壯性/安全性測試平臺，采用基于主動(dòng)性安全漏洞挖掘的健壯性評估與管理方案，與ISASecure合作，遵循IEC 62443標準。

    3.3　工控系統安全測試的關(guān)鍵技術(shù)

    （1）構建工控系統漏洞庫

    由于通信協(xié)議的特殊性，傳統漏洞庫并不適應于工業(yè)控制系統安全測試領(lǐng)域，需要構建工控系統專(zhuān)有漏洞庫。如圖4所示。

圖4 漏洞數據庫

    （2）基于工業(yè)漏洞庫的漏洞掃描技術(shù)，如圖5所示。依靠漏洞掃描引擎、檢測規則的自動(dòng)匹配，通過(guò)工控系統漏洞庫，掃描系統中的關(guān)鍵設備，檢測系統的脆弱性；

    支持Modbus、DNP3、Profinet等工業(yè)通信協(xié)議漏洞；

    支持ICMP Ping掃描、端口掃描等傳統掃描技術(shù)。

圖5 基于工業(yè)漏洞庫的漏洞掃描技術(shù)

    （3）面向工業(yè)控制協(xié)議的Fuzzing測試，如圖6所示。

圖6 面向工業(yè)控制協(xié)議的Fuzzing測試

    運用模糊測試的原理，設計變異測試用例并構造變異報文，檢查工控協(xié)議實(shí)現的缺陷。

    構建完整、可擴展的動(dòng)態(tài)隨機分析測試框架，監控測試目標，管理測試結果，并支持多目標（如文件、網(wǎng)絡(luò )協(xié)議等等）、多種協(xié)議（如Modbus TCP、DNP3等不同類(lèi)型的協(xié)議）、多線(xiàn)程（加速測試進(jìn)度）

    （4）工業(yè)病毒行為特征提取與攻擊模擬技術(shù)，如圖7所示。

    數據挖掘智能認知工業(yè)病毒攻擊行為，實(shí)現工業(yè)病毒行為判定，提取工業(yè)病毒行為特征；

    根據網(wǎng)絡(luò )流量情況、具體協(xié)議內容、交互模式以及主機或設備行為，檢測工控環(huán)境特種木馬等復雜攻擊。

    4　工業(yè)控制系統的安全防護技術(shù)趨勢

    保證工業(yè)控制系統安全穩定運行，工業(yè)控制系統的安全防護必須達到以下三個(gè)目標，如表2所示。

    4.1　工業(yè)控制系統防火墻技術(shù)

    防火墻是基于訪(fǎng)問(wèn)控制技術(shù)，它可以保障不同安全區域之間進(jìn)行安全通信，通過(guò)設置訪(fǎng)問(wèn)控制規則，管理和控制出入不同安全區域的信息流，保障資源在合法范圍內得以有效使用和管理。

    目前傳統的IT防火墻都是根據“白名單”或者“黑名單”的方式進(jìn)行規則設置，而工業(yè)防火墻大都是根據“白名單”設置規則。對于“白名單”，可以設置允許規則，也就是說(shuō)只有符合該規則的數據流才能通過(guò)，其它的任何數據流都可以被看做攻擊而過(guò)濾掉，這樣就保障了資源的合法使用；而對于“黑名單”，可以設置禁止規則，禁止不合法的客戶(hù)端對資源的訪(fǎng)問(wèn)。

    工業(yè)控制系統防火墻技術(shù)可以實(shí)現區域管控，劃分控制系統安全區域，對安全區域實(shí)現隔離保護，保護合法用戶(hù)訪(fǎng)問(wèn)網(wǎng)絡(luò )資源；

    同時(shí)，可以對控制協(xié)議進(jìn)行深度解析，可以解析Modbus、DNP3等應用層異常數據流量，并對OPC端口進(jìn)行動(dòng)態(tài)追蹤，對關(guān)鍵寄存器和操作進(jìn)行保護。

    工業(yè)控制系統防火墻技術(shù)目前存在一個(gè)問(wèn)題，就是規則粒度問(wèn)題（Modbus規則設置為例）。防火墻的規則設置應該能夠支持到具體數據字段的匹配，但是規則深度越深帶來(lái)防火墻的效率問(wèn)題。

    4.2　工業(yè)控制系統入侵檢測技術(shù)

    工業(yè)控制系統入侵檢測技術(shù)是面向控制系統通信協(xié)議，根據控制異常行為模式庫，對控制系統網(wǎng)絡(luò )或主機進(jìn)行異常監測：

    （1）監視、分析控制終端行為活動(dòng)；

    （2）審計控制系統的配置和弱點(diǎn)；

    （3）識別已知進(jìn)攻模式；

    （4）異?；顒?dòng)的統計分析。

    目前工業(yè)控制系統入侵檢測技術(shù)主要包括兩個(gè)方面，第一個(gè)就是基于特征的入侵檢測，第二個(gè)是基于異常的入侵檢測，目前這種方式大多數處于理論研究階段。如圖8所示。

圖8 兩個(gè)主要的工業(yè)控制系統入侵檢測技術(shù)

    目前工業(yè)控制系統入侵檢測技術(shù)的主要問(wèn)題是，工業(yè)控制系統以可用性為先，入侵檢測技術(shù)的漏報和誤報將難以商業(yè)化應用。

    摘自《自動(dòng)化博覽》2014年9月