1　水利工控系統網(wǎng)絡(luò )安全現狀分析

水利工程工業(yè)控制系統廣泛用于水文測報、水資源監測、水土保持監測、水網(wǎng)調度、水庫大壩（閘門(mén)）監控、水力發(fā)電監控、泵站供排水監控、水質(zhì)監測等各個(gè)方面，是水利工程基礎設施的重要組成部分?；谒た叵到y自身的特點(diǎn)，如在工控系統設計開(kāi)發(fā)初期并未將系統防護、數據保密等安全指標納入其中；在工控網(wǎng)絡(luò )中大量使用TCP/IP技術(shù)，而且工控網(wǎng)絡(luò )與企業(yè)網(wǎng)絡(luò )連接，防護措施薄弱，導致攻擊者很容易通過(guò)企業(yè)網(wǎng)絡(luò )間接入侵工控系統。其網(wǎng)絡(luò )安全現狀主要表現在以下幾個(gè)方面：

（1）工控系統多采用IEC61158中提供的20種工業(yè)現場(chǎng)總線(xiàn)標準，如Modbus系列、PROFIBUS系列等，控制器多采用西門(mén)子、GE、施耐德電氣等公司產(chǎn)品，不法者很容易通過(guò)這些通訊協(xié)議及通用控制器存在的漏洞，獲得控制區及執行器的控制權，進(jìn)而破壞整個(gè)系統^[1]。

（2）水利工控系統軟件升級困難，工控系統網(wǎng)絡(luò )以穩定性為基礎，頻繁升級補丁軟件，給系統的穩定性帶來(lái)嚴重威脅，升級失敗或出錯將造成整個(gè)系統的不可用，給生產(chǎn)帶來(lái)巨大的損失。

（3）病毒控制手段缺乏，水利工控系統網(wǎng)絡(luò )中很多控制設備單元都是封閉的系統，無(wú)法通過(guò)病毒軟件進(jìn)行病毒清理，同時(shí)缺少病毒在控制網(wǎng)絡(luò )中傳播的控制手段，一旦感染病毒將傳播到整個(gè)工控網(wǎng)絡(luò )，給生產(chǎn)帶來(lái)嚴重影響。

（4）設備的多樣性，水利工控系統網(wǎng)絡(luò )的設備多種多樣，每種設備都具有各自的特點(diǎn)，設備的安全等級參差不齊，給工控系統網(wǎng)絡(luò )安全防護帶來(lái)很大困難。

2001年澳大利亞昆士蘭Maroochy污水處理廠(chǎng)，由于內部工程師的多次網(wǎng)絡(luò )入侵，該廠(chǎng)發(fā)生了46次不明原因的控制設備功能異常事件，導致數百萬(wàn)公升的污水進(jìn)入了該地區的供水系統。2007年攻擊者入侵加拿大的一個(gè)水利SCADA控制系統，通過(guò)安裝惡意軟件破壞了用于薩克拉門(mén)托河河水調度的控制計算機系統。2011年黑客通過(guò)入侵SCADA控制系統，使美國伊利諾伊州城市供水系統的供水泵遭到破壞。水利工控系統遭受入侵的途徑以透過(guò)企業(yè)廣域網(wǎng)及商用網(wǎng)絡(luò )方式為主，利用IED、PLC、RTU、控制器、通信處理機等通用設備的漏洞植入惡意代碼，進(jìn)行破壞活動(dòng)，對水利工程造成巨大的損失^[2]。

2　水利工控系統網(wǎng)絡(luò )安全漏洞分析

2.1　漏洞類(lèi)型

（1）通信協(xié)議漏洞。兩化融合（企業(yè)信息網(wǎng)與工業(yè)控制網(wǎng)絡(luò )）和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來(lái)越廣泛地應用在工控系統中，隨之而來(lái)的通信協(xié)議漏洞問(wèn)題也日益突出。例如，OPCClassic協(xié)議（OPC DA, OPC HAD 和OPC A&E）基于微軟的DCOM協(xié)議，DCOM協(xié)議是在網(wǎng)絡(luò )安全問(wèn)題被廣泛認識之前設計的，極易受到攻擊，并且OPC通訊采用不固定的端口號，導致目前幾乎無(wú)法使用傳統的IT 防火墻來(lái)確保其安全性^[3]。

（2）操作系統漏洞。目前大多數工控系統的工程師站/操作站的操作系統都是Windows平臺的，為保證過(guò)程控制系統的相對獨立性，同時(shí)考慮到系統的穩定運行，通?，F場(chǎng)工程師在系統開(kāi)車(chē)后不會(huì )對Windows平臺安裝任何補丁，但是存在的問(wèn)題是，不安裝補丁系統就存在被攻擊的可能，從而埋下安全隱患。

（3）安全策略和管理流程漏洞。追求可用性而犧牲安全，是很多工控系統存在的普遍現象，缺乏完整有效的安全策略與管理流程也給工控系統網(wǎng)絡(luò )安全帶來(lái)了一定的威脅。例如工控系統中移動(dòng)存儲介質(zhì)的濫用和不嚴格的訪(fǎng)問(wèn)控制策略。

（4）工業(yè)病毒防護漏洞。為了保證工控應用軟件的可用性，許多水利工控系統操作站通常不會(huì )安裝殺毒軟件。即使安裝了殺毒軟件，在使用過(guò)程中也有很大的局限性，原因在于病毒庫需要不定期的經(jīng)常更新，這一要求尤其不適合于工控環(huán)境。

（5）應用軟件漏洞。由于應用軟件多種多樣，很難形成統一的防護規范以應對安全問(wèn)題；另外當應用軟件面向網(wǎng)絡(luò )應用時(shí)，就必須開(kāi)放其應用端口。因此常規的IT防火墻等安全設備很難保障其安全性。

（6）多網(wǎng)絡(luò )端口接入。在多個(gè)網(wǎng)絡(luò )事件中，事由都源于對多個(gè)網(wǎng)絡(luò )端口接入點(diǎn)疏于防護，包括USB鑰匙、維修連接、筆記本電腦等。

（7）疏漏的網(wǎng)絡(luò )分割設計。實(shí)際應用中的許多控制網(wǎng)絡(luò )都是“敞開(kāi)的”，不同的子系統之間都沒(méi)有有效的隔離，尤其是基于OPC、Modbus等通訊的工控網(wǎng)絡(luò )，從而造成安全故障通過(guò)網(wǎng)絡(luò )迅速蔓延。

2.2　常見(jiàn)漏洞分析

水利工程生產(chǎn)運行過(guò)程使用多種工控系統，如控制泵房和水閘的PLC系統、遠程監控的SCADA系統、廠(chǎng)用電變電站綜合自動(dòng)化系統、農村水電廠(chǎng)控制水輪發(fā)電機組的PLC系統和集控系統等。

（1）PLC安全漏洞。在水利工程使用的自動(dòng)化控制系統中，使用臺套數最多的是PLC系統。系統多由國外供貨，主要包括西門(mén)子（Siemens）、施耐德電氣（Schneider）、通用電氣（GE）、歐姆龍、三菱電機自動(dòng)化等。如在小浪底、萬(wàn)家寨水利樞紐使用的施耐德電氣產(chǎn)品，這些廠(chǎng)商也是全球PLC領(lǐng)域的主要供貨商，各PLC產(chǎn)品中均存在一些安全漏洞。如圖1所示，是西門(mén)子、施耐德電氣、通用電氣三個(gè)供貨商在2011～2013年公安部網(wǎng)絡(luò )安全執法檢查時(shí)，PLC漏洞暴露情況。

圖1 PLC漏洞暴露情況

PLC的漏洞主要為拒絕服務(wù)漏洞、遠程代碼執行漏洞、用戶(hù)訪(fǎng)問(wèn)權限漏洞、信息泄漏漏洞四類(lèi)。拒絕服務(wù)漏洞，如西門(mén)子Simatic S7-1200拒絕服務(wù)漏洞，施耐德電氣M340 PLC模塊拒絕服務(wù)漏洞等；遠程代碼執行漏洞，如西門(mén)子Simatic S7-1500存在未明跨站請求偽造漏洞，施耐德電氣多個(gè)產(chǎn)品跨站請求偽造漏洞等；用戶(hù)訪(fǎng)問(wèn)權限漏洞，如西門(mén)子Simatic S7 PLC系統密碼泄漏漏洞，施耐德電氣多個(gè)產(chǎn)品不正確驗證漏洞等。信息泄漏漏洞，如西門(mén)子Simatic S7-1200信息泄漏漏洞、S7-1500不充分熵漏洞等。這些漏洞都可以被利用，造成運行中斷、非法操作、信息泄漏等后果。

（2）SCADA安全漏洞。水利工程還大量使用基于有線(xiàn)或無(wú)線(xiàn)通信的集控/SCADA系統，這類(lèi)系統在遠程通信、監控主機等環(huán)節也存在諸多安全漏洞，如Modbus/TCP身份認證缺失漏洞、OPC的遠程過(guò)程調用漏洞、動(dòng)態(tài)端口防護困難，KingView 6.53.2010.18018中存在的基于堆緩沖區溢出的任意代碼攻擊和拒絕服務(wù)漏洞。

3　水利工控系統網(wǎng)絡(luò )安全風(fēng)險分析

3.1　網(wǎng)絡(luò )邊界防護安全問(wèn)題

除了橫向隔離和縱向加密裝置外，其他防護措施不足，個(gè)別單位在生產(chǎn)控制大區之間部屬了傳統防火墻，但無(wú)法識別專(zhuān)有的工控協(xié)議，不能提供明確的允許/拒絕訪(fǎng)問(wèn)的能力^[4]。

3.2　主機、服務(wù)器安全問(wèn)題

采用傳統網(wǎng)絡(luò )防病毒軟件（部分主機甚至無(wú)法安裝殺毒軟件），無(wú)法及時(shí)更新惡意代碼庫，且容易誤殺控制程序；主機和服務(wù)器采用通用的操作系統，操作系統的漏洞直接影響系統的安全運行；無(wú)法對重要程序的完整性進(jìn)行檢測，并在檢測到完整性受到破壞后不具有恢復能力；缺乏有效的技術(shù)措施切斷病毒和木馬的傳播與破壞路徑，如非法進(jìn)程的運行、非法網(wǎng)絡(luò )端口的打開(kāi)與服務(wù)、非法USB設備的接入等。

3.3　流量行為安全問(wèn)題

缺乏對非授權設備私自聯(lián)到內部網(wǎng)絡(luò )的行為進(jìn)行檢查、定位和阻斷的能力；無(wú)法有效地檢測到網(wǎng)絡(luò )攻擊行為，并對攻擊源IP、攻擊類(lèi)型等信息進(jìn)行記錄；無(wú)法在網(wǎng)絡(luò )邊界處對惡意代碼進(jìn)行檢測和告警，更新惡意代碼庫不及時(shí)；缺乏有效的安全審計功能；

3.4　管理和運維安全問(wèn)題

未設立專(zhuān)門(mén)的信息安全崗位，信息安全的管理和維護由業(yè)務(wù)部門(mén)按照自己的理解進(jìn)行管理和維護，同時(shí)信息安全制度不完善。在日常運行維護過(guò)程中普遍存在諸如介質(zhì)未采用有效的手段進(jìn)行管理和防護，容易造成病毒入侵和敏感信息泄露的風(fēng)險。安全防護應急預案存在事故預想不全面、內容不完整、相關(guān)要求缺乏可操作性等問(wèn)題，缺少演練、培訓等，無(wú)法在真正的事故中及時(shí)響應和恢復系統^[5]。

4　水利工控系統網(wǎng)絡(luò )安全防護工作思考

4.1　防護理念

根據當前國內外工控網(wǎng)絡(luò )安全領(lǐng)域的發(fā)展形勢，采用如圖2所示的“三位一體”的工控安全防護策略，以“風(fēng)險評估、安全防護、應急響應”為核心，搭建全生命周期的水利工控系統網(wǎng)絡(luò )體安全防護體系，為水利企業(yè)工控系統網(wǎng)絡(luò )安全保駕護航。

（1）風(fēng)險評估。通過(guò)風(fēng)險評估了解水利工控資產(chǎn)所面臨的威脅狀況、漏洞情況，合規要求和嚴重程度；全面掌握水利工控系統安全狀況，為加強風(fēng)險管理、安全防護建設提供重要的依據^[6]。

圖2 水利工控系統安全防護策略

（2）安全防護。根據業(yè)務(wù)及工藝要求合理劃分網(wǎng)絡(luò )區域和層次，明確網(wǎng)絡(luò )邊界，設定合理的訪(fǎng)問(wèn)規則；實(shí)時(shí)監控工控主機的進(jìn)程狀態(tài)，全方位地保護主機的資源使用，禁止非法進(jìn)程的運行；對網(wǎng)絡(luò )流量、網(wǎng)絡(luò )數據、事件進(jìn)行實(shí)時(shí)監控、實(shí)時(shí)告警；采用黑名單入侵防御和白名單主動(dòng)防御，對異常數據和行為進(jìn)行阻斷或告警。

（3）應急響應。建立健全工控安全應急工作責任制 ，抓好水利工控系統安全風(fēng)險監測工作 ，制定水利工控系統安全事件應急預案，落實(shí)人財物保障措施，定期組織應急演練，在工控網(wǎng)絡(luò )安全事件發(fā)生時(shí)使損失最小。

4.2　防護工作

（1）工作流程（如圖3所示）。

圖3 工作流程

通過(guò)風(fēng)險評估找出水利工程工業(yè)控制系統在網(wǎng)絡(luò )架構、設備本體和網(wǎng)絡(luò )監測審計等方面存在的安全風(fēng)險；結合水利工控系統網(wǎng)絡(luò )結構，制定水利工控系統網(wǎng)絡(luò )安全防護方案，部署相關(guān)的網(wǎng)絡(luò )安全設備；構建水利工控系統全生命周期的安全運維體系。

（2）風(fēng)險評估。對水利工控系統進(jìn)行風(fēng)險評估、漏洞分析、安全性分析，以便正確、及時(shí)地了解工控系統的安全現狀。根據風(fēng)險評估的情況，列出不符合安全要求的環(huán)節，明晰該環(huán)節的風(fēng)險，為現階段操作維護及后期整改工作提供依據。具體要對水利生產(chǎn)系統中操作系統、應用軟件、網(wǎng)絡(luò )結構、防病毒方案等關(guān)系到網(wǎng)絡(luò )安全的各方面安全風(fēng)險、安全隱患進(jìn)行探測識別；對水利生產(chǎn)系統的操作流程、安全管理制度、應急機制進(jìn)行安全評估，并提供可行性建議^[7]。

（3）防護方案及設備部署。以水庫大壩安全監測監控系統網(wǎng)絡(luò )安全防護為例，防護方案及設備部署如圖4所示。

圖4 水庫大壩安全監測監控系統網(wǎng)絡(luò )安全防護方案及設備部署

上位機防護，在主控層的工程師站、操作員站、OPC服務(wù)器等部署工控衛士，通過(guò)應用程序、網(wǎng)絡(luò )、USB移動(dòng)存儲的白名單策略，防止用戶(hù)的違規操作和誤操作，阻止不明程序、移動(dòng)存儲介質(zhì)和網(wǎng)絡(luò )通信的濫用，有效提高系統網(wǎng)絡(luò )的綜合“免疫”能力。

關(guān)鍵節點(diǎn)防護，通過(guò)智能保護終端對于水庫大壩安全監測監控系統現場(chǎng)控制層的RTU進(jìn)行安全防護，對于利用RTU已公開(kāi)漏洞的攻擊行為和流量信息進(jìn)行有效識別和攔截，允許從受信的上位機發(fā)送的合規操作流量通過(guò)，基于動(dòng)態(tài)學(xué)習和自適應的防護策略，達到對RTU的防護效果。

網(wǎng)絡(luò )監測審計，在水庫大壩安全監測監控系統的監控層、通信層、現地層旁路部署監測審計平臺，對網(wǎng)絡(luò )通信流量進(jìn)行有效監視和威脅檢測，對于向內網(wǎng)進(jìn)行的生產(chǎn)數據非法收集、惡意攻擊、數據篡改、違規操作進(jìn)行告警和審計，為網(wǎng)絡(luò )安全管理人員提供線(xiàn)索依據和事件還原功能，對于違規操縱和網(wǎng)絡(luò )攻擊行為可實(shí)時(shí)告警。

集中安全監管，部署在水庫大壩安全監測監控系統的網(wǎng)絡(luò )安全設備通過(guò)安全監管平臺實(shí)現統一化安全監管和運維，監管平臺可以實(shí)時(shí)收集現場(chǎng)安全設備采集分析的威脅情報信息，基于安全分析模型，實(shí)現全局的態(tài)勢安全預警與策略動(dòng)態(tài)自適應，幫助運管人員實(shí)時(shí)發(fā)現現場(chǎng)的安全告警信息，并有助于及時(shí)實(shí)現安全防護響應。

（4）安全運維

建立安全運維監控中心，基于關(guān)鍵業(yè)務(wù)點(diǎn)面向業(yè)務(wù)系統可用性和業(yè)務(wù)連續性進(jìn)行合理的布控和監測，以關(guān)鍵績(jì)效指標指導和考核工控系統運行質(zhì)量和運維管理工作的實(shí)施和執行，并對各類(lèi)事件做出快速、準確的定位和展現，綜合展現控制系統中發(fā)生的預警和告警事件，幫助運維管理人員快速定位、排查問(wèn)題所在。

5　結論與建議

工控網(wǎng)絡(luò )安全防護需要覆蓋控制系統整個(gè)生命周期的解決方案。包括針對工控設備特點(diǎn)的，覆蓋主要工控協(xié)議和豐富檢測方法并支持未知協(xié)議的檢測工具；具備自動(dòng)學(xué)習、自動(dòng)適應，自動(dòng)生成防御策略的工業(yè)等級的全網(wǎng)安全監控的保護系統；全面覆蓋西門(mén)子、施耐德電氣等全球主流廠(chǎng)商設備的安全數據庫（包括設備漏洞庫、網(wǎng)絡(luò )模型庫、設備風(fēng)險統計）。同時(shí)，必須向基礎設施企業(yè)提供漏洞挖掘、滲透攻擊、安全策略、技術(shù)培訓的全方位安全服務(wù)。

（1）開(kāi)展水利工控系統網(wǎng)絡(luò )安全風(fēng)險評估工作

采用人工分析與專(zhuān)業(yè)檢測工具相結合的方式進(jìn)行，對系統中的威脅、資產(chǎn)、流量等進(jìn)行分析，清晰定義各體網(wǎng)絡(luò )的安全風(fēng)險；采用專(zhuān)業(yè)漏洞挖掘檢測工具，對水利工程工控系統中的PLC、工業(yè)防火墻、網(wǎng)關(guān)等進(jìn)行全面的漏洞挖掘檢測，發(fā)現漏洞和缺陷；驗證Web門(mén)戶(hù)網(wǎng)站安全防護措施有效性和抵御攻擊的能力；檢測關(guān)鍵業(yè)務(wù)系統、重要辦公終端存在的安全風(fēng)險；對管理機構設置、管理制度制定、系統的運行維護管理制度，以及人員安全意識和安全知識培訓情況等進(jìn)行安全管理檢查。

（2）開(kāi)展水利工控系統網(wǎng)絡(luò )安全培訓工作

通過(guò)技術(shù)培訓提升水利工業(yè)控制系統安全保障水平，強化工作人員對工控網(wǎng)絡(luò )安全系統性認識，加強技術(shù)人員專(zhuān)業(yè)能力和專(zhuān)業(yè)知識，提高水利工控系統抵御網(wǎng)絡(luò )安全事件的能力，降低網(wǎng)絡(luò )安全風(fēng)險。

（3）開(kāi)展制定水利工控系統網(wǎng)絡(luò )安全標準工作

根據水利工程工業(yè)控制系統特點(diǎn)，制定水利工控系統網(wǎng)絡(luò )安全檢測規程、水利工程工業(yè)控制系統安全風(fēng)險評估規程、水利工程工業(yè)控制系統安全防護規定等相關(guān)標準規范，指導水利工控系統網(wǎng)絡(luò )安全建設及安全運維。

★基金項目：水利部技術(shù)推介項目（SF-PX-201810）。

參考文獻：

[1] 郭嫻, 互聯(lián)網(wǎng)+時(shí)代下工業(yè)控制系統網(wǎng)絡(luò )安全[J]. 自動(dòng)化博覽, 2015, ( 7 ) : 64 - 65.

[2] 張志華, 郭江, 秦繼偉. 水電站控制系統網(wǎng)絡(luò )安全現狀及安全對策[J]. 水電站機電技術(shù), 2017, 40, ( 5 ) : 64 - 67.

[3] 郭江, 張志華, 張志民. 水利工業(yè)控制系統網(wǎng)絡(luò )安全問(wèn)題初探[A]. 中國水利學(xué)會(huì )泵及泵站專(zhuān)業(yè)委員會(huì )-2015年學(xué)術(shù)年會(huì )論文集[C]. 2015 : 100 - 104.

[4] 王孝良, 崔保紅, 李思其. 關(guān)于工控系統信息安全的思考與建議[J]. 信息網(wǎng)絡(luò )安全, 2012, ( 8 ) : 36 - 37.

[5] 劉威, 李冬, 孫波. 工業(yè)控制系統安全分析[J]. 信息網(wǎng)絡(luò )安全, 2012, ( 8 ) : 41 - 43.

[6] 熊琦, 彭勇, 戴忠華. 工控系統信息安全風(fēng)險評估初探[J]. 中國信息安全, 2012, ( 3 ) : 57 - 59.

[7] 郭江, 張志華. 水電廠(chǎng)控制系統網(wǎng)絡(luò )安全風(fēng)險評估概述[J]. 水電站機電技術(shù), 2018, 41, ( 2 ) : 68 - 70.

作者簡(jiǎn)介

郭　江（1965-），男，天津人，教授級高工，碩士，現任中國水利水電科學(xué)研究院天津機電所副所長(cháng)、總工，《水電站機電技術(shù)》雜志社社長(cháng)，水利部機電研究所工控網(wǎng)絡(luò )安全測評中心主任，從事水利水電基礎自動(dòng)化和工控系統網(wǎng)絡(luò )安全研究工作。

張志華（1979-），男，天津人，高級工程師，碩士，現任中國水利水電科學(xué)研究所天津機電所工控網(wǎng)絡(luò )安全測評中心副主任，從事水利工控系統網(wǎng)絡(luò )安全研究、評估、檢測及整體解決方案設計等工作。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》