摘要：當前工控網(wǎng)絡(luò )安全審計產(chǎn)品的總體技術(shù)實(shí)施思路基本側重于指令級審計、參數閾值級審計、工控協(xié)議審計、環(huán)境級審計、行為級審計等方面，這種傳統的思路應用于不同的實(shí)際工業(yè)環(huán)境下時(shí)顯示出一些不足之處。具體表現在不同的行業(yè)都有各自不同于其它行業(yè)的獨特工藝，脫離不同行業(yè)的控制工藝以及實(shí)際工業(yè)流程的傳
統審計顯得深度不夠，其實(shí)際的審計效果也很難真實(shí)、精準地滿(mǎn)足用戶(hù)需求。
　　基于工業(yè)流程分析的工控安全審計的技術(shù)實(shí)現的核心是將基于控制工藝的控制業(yè)務(wù)流程融入安全審計產(chǎn)品的技術(shù)策略中，在具體的技術(shù)實(shí)現上需要將重點(diǎn)的工藝控制要求進(jìn)行梳理和匯總，提供給工控網(wǎng)絡(luò )安全審計產(chǎn)品的設計人員，設計人員結合匯總的工藝要求和對協(xié)議的深度解析，定制化的進(jìn)行工控網(wǎng)絡(luò )安全審計產(chǎn)品攻擊告警規則庫的更新，制定與實(shí)際應用環(huán)境的控制工藝深度融合的定制化的規則庫。

1　工控安全現狀

現代工業(yè)控制企業(yè)的控制系統不僅包括生產(chǎn)和控制系統，同時(shí)還包括市場(chǎng)分析、財務(wù)計劃、生產(chǎn)管理及質(zhì)量控制等信息管理系統，信息化和工業(yè)化的兩化融合已經(jīng)成為大勢所趨，這意味著(zhù)工業(yè)控制系統越來(lái)越走向開(kāi)放和互聯(lián)，現階段生產(chǎn)控制系統與管理信息系統的互聯(lián)已經(jīng)成為ICS的基本架構，工業(yè)控制系統與外界完全隔離幾乎成為不可能。另外，維護用的移動(dòng)設備或移動(dòng)電腦也打破了系統與外界的隔離，打開(kāi)了網(wǎng)絡(luò )安全風(fēng)險之門(mén)。另外，根據監測統計數據發(fā)現，截止到2017年11月，全球范圍內暴露在互聯(lián)網(wǎng)上的工控系統及設備數量已超過(guò)10萬(wàn)個(gè)，相比2016年年底上升43%。

自2010年以來(lái)，工業(yè)信息安全事件呈現逐年上升的趨勢，特別是2015年以來(lái)，每年發(fā)生的安全事件數量接近300起；關(guān)鍵制造、通信、能源、供水和市政設施是安全事件發(fā)生較多的前五個(gè)行業(yè)。

與上述嚴峻的安全形勢相對應的，由于黑客大會(huì )、白帽社區、開(kāi)源社區的出現，獲得工控系統的攻擊方法越來(lái)越容易，大量工控系統軟硬件設備的安全漏洞及利用方法可通過(guò)公開(kāi)或半公開(kāi)的渠道獲得，這些都極大地降低了針對工控網(wǎng)絡(luò )攻擊的難度。

2　工控安全審計產(chǎn)品簡(jiǎn)介

2.1　工控安全審計產(chǎn)品的必要性

工控安全審計系統，是通過(guò)對工業(yè)控制系統網(wǎng)絡(luò )中實(shí)際通信流量進(jìn)行采集，并基于對工業(yè)控制協(xié)議（如OPC Classic、Modbus TCP、IEC60870-5-104、DNP3、S7等）的通信報文進(jìn)行深度解析，通過(guò)實(shí)時(shí)動(dòng)態(tài)分析、數據流監控、網(wǎng)絡(luò )行為審計等技術(shù)，快速識別工業(yè)控制網(wǎng)絡(luò )中存在的異常行為，實(shí)現實(shí)時(shí)檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò )攻擊、用戶(hù)誤操作、用戶(hù)違規操作、非法設備接入以及蠕蟲(chóng)、病毒等惡意軟件的傳播的行為并實(shí)時(shí)報警，同時(shí)詳實(shí)記錄一切網(wǎng)絡(luò )通信行為，包括指令級的工業(yè)控制協(xié)議通信記錄，為工業(yè)控制系統的安全事故調查提供堅實(shí)的基礎。鑒于上述原因，工控安全審計產(chǎn)品已經(jīng)成為現階段工業(yè)控制系統信息安全防護的一個(gè)非常重要的組成部分。

工控安全審計產(chǎn)品專(zhuān)門(mén)針對工業(yè)控制網(wǎng)絡(luò )的信息安全進(jìn)行審計。它采用旁路部署，對工業(yè)生產(chǎn)過(guò)程“零風(fēng)險”。如圖1所示。

圖1 工控安全審計產(chǎn)品

2.2　工控安全審計產(chǎn)品基本功能匯總

工控安全審計產(chǎn)品實(shí)現的基本功能，可以匯總為以下基本的核心功能：

（1）網(wǎng)絡(luò )實(shí)時(shí)流量審計：不間斷地采集并實(shí)時(shí)監測網(wǎng)絡(luò )數據流量，發(fā)現異常時(shí)實(shí)時(shí)告警（可監測網(wǎng)絡(luò )風(fēng)暴、ARP攻擊等網(wǎng)絡(luò )事件）。

（2）異常數據告警：基于對工控協(xié)議的深度數據包解析，通過(guò)自學(xué)習算法建立正常通信行為基線(xiàn)，然后對工控網(wǎng)絡(luò )中實(shí)際采集的工控協(xié)議數據包的解析結果與正常行為基線(xiàn)進(jìn)行比較，當實(shí)際行為偏離正常行為基線(xiàn)時(shí)實(shí)施報警。

（3）通信行為追溯：對獲取的網(wǎng)絡(luò )通信數據包進(jìn)行全方位的記錄，并支持對記錄進(jìn)行回溯，支持生成
所有網(wǎng)絡(luò )行為的審計日志記錄，為工業(yè)控制系統的安全事故調查提供詳實(shí)的依據。

3　工控安全審計的技術(shù)實(shí)現

基于對現階段大多數的工控安全審計產(chǎn)品功能實(shí)現的實(shí)際調研，匯總現階段相關(guān)產(chǎn)品的主要技術(shù)實(shí)現如下：

3.1　指令級審計

針對工控協(xié)議中核心的功能指令進(jìn)行指令級審計，審計內容包括：非法指令碼審計，與可能的攻擊有關(guān)聯(lián)關(guān)系的指令碼審計，與特定行為事件有關(guān)聯(lián)關(guān)系的指令碼審計，基于頻數統計分析的異常指令碼審計等指令級審計。

3.2　參數閾值級審計

針對工控協(xié)議中數據字段區的實(shí)現讀或寫(xiě)功能指令的數據值進(jìn)行參數閾值級審計，審計內容包括：數據值是否超過(guò)設定的上限值或下限值審計，數據值是否偏離歷史均值超過(guò)設定的最大偏差范圍的審計等參數閾值級審計。

3.3　工控協(xié)議審計

審計通信協(xié)議違規端口，畸形協(xié)議報文審計（包括不符合協(xié)議規約規定格式的工業(yè)控制協(xié)議報文、異常的控制命令、異常的控制點(diǎn)位、異常的控制值等），協(xié)議攜帶數據異常審計（包括整體報文數據攜帶異常和數據區數據攜帶異常）等基于工控協(xié)議的審計。

3.4　環(huán)境級審計

IP無(wú)流量事件審計，工控網(wǎng)絡(luò )內工控協(xié)議流量分析審計，出現未知設備審計，原有存活設備丟失審計，IP地址和MAC地址綁定變化審計，設備之間的訪(fǎng)問(wèn)關(guān)系變更審計，基于五元組的異常審計，基于時(shí)間段流量閾值審計，發(fā)現郵箱服務(wù)（識別郵箱服務(wù)器），發(fā)現FTP訪(fǎng)問(wèn)（識別FTP服務(wù)器），發(fā)現Telnet訪(fǎng)問(wèn)，發(fā)現Http訪(fǎng)問(wèn)（源IP、MAC地址，目的URL）等環(huán)境相關(guān)的變更審計。

3.5　行為級審計

關(guān)鍵行為事件審計，包括數據采集行為，組態(tài)變更行為、應用程序下載、控制指令下發(fā)行為，負載變更行為等行為級事件審計。

4　基于業(yè)務(wù)審計的工控安全審計的必要性

在冶金行業(yè)，一座高爐會(huì )配置多座熱風(fēng)爐交替進(jìn)行燃燒和送風(fēng)控制。當一座熱風(fēng)爐送風(fēng)一段時(shí)間后，輸出的熱風(fēng)溫度滿(mǎn)足不了高爐所需的風(fēng)溫時(shí)，需要進(jìn)行熱風(fēng)爐換爐操作，將另外一座已經(jīng)燃燒好的熱風(fēng)爐投入送風(fēng)狀態(tài)，而后再將原送風(fēng)的熱風(fēng)爐轉為燃燒作業(yè)，燃燒好后改為燜爐狀態(tài)等待下一次換爐操作，因此熱風(fēng)爐有燃燒、燜爐、送風(fēng)3種工作狀態(tài)。假設一座高爐配置了三座熱風(fēng)爐，那么一般情況下采用 “兩燒
一送”的工作方式。如圖2所示。

圖2 熱風(fēng)爐

在高爐熱風(fēng)爐控制過(guò)程中，熱風(fēng)爐換爐控制和熱風(fēng)爐燃燒控制是兩個(gè)重要的控制過(guò)程，其中換爐控制主要包含燃燒轉送風(fēng)和送風(fēng)轉燃燒兩個(gè)不同的控制階段，這兩個(gè)換爐階段的具體控制工藝要求是：

燃燒轉送風(fēng)：關(guān)煤氣調節閥→關(guān)煤氣閥→關(guān)助燃空氣調節閥→關(guān)燃燒閥→關(guān)助燃閥→開(kāi)支管放散閥及蒸汽閥→關(guān)煙道閥→開(kāi)冷風(fēng)旁通閥（充壓）待爐內壓力充滿(mǎn)后→開(kāi)熱風(fēng)閥→開(kāi)冷風(fēng)閥→關(guān)冷風(fēng)旁通閥。

送風(fēng)轉燃燒：關(guān)冷風(fēng)閥→關(guān)熱風(fēng)閥→開(kāi)廢氣閥，待放凈廢氣后→開(kāi)煙道閥→關(guān)廢氣閥→關(guān)支管放散閥及蒸汽閥→開(kāi)助燃空氣閥→開(kāi)燃燒閥→開(kāi)煤氣閥→開(kāi)助燃空氣調節閥→調節煤氣與空氣配比。

熱風(fēng)爐燃燒控制方面主要的控制工藝要求是在燃燒控制初期應盡量加大煤氣量和空氣量，實(shí)現快速燒爐，使爐頂溫度盡快達到規定值，爐頂溫度達到規定值后應加大空氣量來(lái)保持爐頂溫不在上升，使爐子中、下部溫度上升，擴大蓄熱量，滿(mǎn)足高爐的需要。

（1）孤立的指令正常，但組合起來(lái)構成行為異常

高爐熱風(fēng)爐控制中的換爐控制會(huì )涉及到多個(gè)閥門(mén)的控制，所有這些閥門(mén)必須要按照規定的順序動(dòng)作，孤立地來(lái)看，關(guān)閉燃燒閥和打開(kāi)送風(fēng)閥均是正常的操作，但是如果它們之間的動(dòng)作的先后順序發(fā)生改變時(shí)，其結果就完全不同。在燃燒轉送風(fēng)控制階段，如果出現在各燃燒閥沒(méi)有全關(guān)的情況下就開(kāi)啟與送風(fēng)相關(guān)的閥門(mén)，那么對熱風(fēng)爐的控制將會(huì )是危險的?，F階段的安全審計產(chǎn)品在進(jìn)行安全審計時(shí)沒(méi)有將上述工藝業(yè)務(wù)流程中有關(guān)相關(guān)閥門(mén)的動(dòng)作順序的因素考慮進(jìn)去。如果能將上述的工藝要求融合進(jìn)審計規則的制定，進(jìn)行相關(guān)性建模，將很好地避免業(yè)務(wù)危險情形發(fā)生時(shí)的漏報。

（2）孤立的數值正常，但組合起來(lái)構成的行為異常

在熱風(fēng)爐換爐時(shí)，由于沖壓不當或換爐操作失誤等多種原因可能造成風(fēng)壓波動(dòng)，但是風(fēng)壓波動(dòng)范圍必須小于5kPa，一旦出現風(fēng)壓波動(dòng)超過(guò)范圍的情形，會(huì )對熱風(fēng)爐控制產(chǎn)生較嚴重的影響。常規的安全審計產(chǎn)品，只要風(fēng)壓的絕對值不超過(guò)風(fēng)壓設定的上限值或下限值，均會(huì )視為正常而不會(huì )告警輸出。如果孤立地看數值正常的參數的數值變化率并沒(méi)有超過(guò)工藝規定的數值，但是該情形發(fā)生在特定的控制階段時(shí)，對熱風(fēng)爐控制會(huì )產(chǎn)生較嚴重的影響。如果將工藝業(yè)務(wù)流程中有關(guān)這種涉及正常數據的特定組合違背控制工藝要求的因素考慮進(jìn)去的話(huà)，那么實(shí)際中真的發(fā)生了上面描述的情形時(shí)審計系統就會(huì )告警，避免出現嚴重的漏報。

（3）關(guān)鍵工藝參數設置違反工藝要求

高爐熱風(fēng)爐控制中，在燒爐階段的控制原則是：在燒爐初期應盡量加大煤氣量和空氣量，實(shí)現快速燒爐，使爐頂溫度盡快達到規定值，爐頂溫度達到規定值后，應加大空氣量來(lái)保持爐頂溫度不再上升，使爐子中、下部溫度上升，擴大蓄熱量，滿(mǎn)足高爐的需要。如果在爐頂溫度已經(jīng)達到規定值的情況下依然嘗試提高爐頂溫度的行為，對于熱風(fēng)爐的控制而言是危險的，是需要審計系統告警提示的。但是常規的基于工控協(xié)議解析的審計系統只會(huì )單純地判斷設定值是否超限，因為它沒(méi)有考慮相關(guān)的工藝信息，也就不知道要判斷兩個(gè)合理的設定值在特定的工藝環(huán)境下是否合理，因而會(huì )出現漏報。

5　基于業(yè)務(wù)審計的工控安全審計具體技術(shù)實(shí)現設想

基于業(yè)務(wù)審計的工控安全審計的技術(shù)實(shí)現的核心是分析業(yè)務(wù)流程，圍繞業(yè)務(wù)安全來(lái)強化審計產(chǎn)品的監測核心點(diǎn)和核心指標。設計人員結合匯總的工藝要求和對協(xié)議的深度解析，定制化地進(jìn)行工控網(wǎng)絡(luò )安全審計產(chǎn)品攻擊告警規則庫的更新，制定與實(shí)際應用環(huán)境的控制工藝深度融合的定制化的規則庫，具體實(shí)現步驟可簡(jiǎn)單概括為以下幾個(gè)步驟：

5.1　實(shí)現變量地址到工藝變量表述的轉換

工控安全審計產(chǎn)品必須輸出與現場(chǎng)實(shí)際工藝深度融合的告警信息，而要實(shí)現這個(gè)目標，首要的基本前提是必須將從采集的工控網(wǎng)絡(luò )真實(shí)數據包中直接解析到的變量地址翻譯成實(shí)際控制工藝中對應的工藝變量表述后使用到審計產(chǎn)品的告警信息中，例如：將保持寄存器地址400001翻譯成1#熱風(fēng)爐爐溫，寄存器00001翻譯成1#熱風(fēng)爐燃燒閥關(guān)閉命令，應用于告警信息中。

5.2　梳理工控業(yè)務(wù)流程并匯總關(guān)鍵工藝控制要求

現場(chǎng)的工藝專(zhuān)家提供支持和配合，由工藝專(zhuān)家將重點(diǎn)的工藝控制要求進(jìn)行梳理和匯總，由工控網(wǎng)絡(luò )安全審計產(chǎn)品的設計人員結合實(shí)現方式選擇工藝控制流程監控核心點(diǎn)和核心指標。

5.3　生成告警規則庫

安全審計產(chǎn)品的設計人員依據步驟5.2匯總的工藝控制要求，定制化的編制工控網(wǎng)絡(luò )安全審計產(chǎn)品攻擊告警規則庫。同時(shí)設計人員可以以操作界面的形式提供在線(xiàn)的根據工藝要求變更的靈活的添加和刪除告警規則庫的功能。

參考文獻：

[1] 北京網(wǎng)藤科技有限公司. 網(wǎng)藤工控安全審計系統產(chǎn)品白皮書(shū)[Z].

[2] 肖建榮. 工業(yè)控制系統信息安全[M]. 2015.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》