★昆仑数智科技有限责任公司邓田，董黎芳，徐轶，王宏岩

摘要：基于油气田工业控制系统现场RTU/PLC与上级控制层之间通讯存在的网络安全问题，本项目进行了集设备接入认证、数据传输加/解密和抗攻击防护于一体的安全防护技术的研究与分析，研发了一套工业控制系统一体化防护系统，并在油气典型场站得到了成功的应用，实现了数据加密可信传输、设备接入认证与指令级防护。

关键词：工业控制系统；一体化防护；加/解密技术；接入认证技术；深度包检测技术

工业控制系统是DCS、PLC、SCADA等多种类型控制系统的总称^[1]，属于重要的关键信息基础设施。早期工业控制系统在架构搭建、通讯协议等方面均未考虑网络安全设计。两化融合、数字化转型等业务的发展和推动，带来了工业控制系统的网络安全问题，国家、行业、企业等相继加大了工业控制系统的网络安全投入^[2]。2017年6月1日实施的《中华人民共和国网络安全法》规定了关键信息基础设施的运行安全，2019年12月1日实施的“等保2.0”更是将工业控制系统安全纳入了新型应用安全扩展要求。而石油石化作为关键信息基础设施的重要组成部分^[3]，其网络安全直接关系到国家能源战略安全。

1 油气田工业控制系统存在的安全问题

油气田工业控制系统主要由油气井现场数据采集和实时监控，以及矿区的SCADA调度中心组成。油、气井口和一些无人值守的阀室、站，其特点是温度要求范围大、环境比较恶劣，常使用RTU/PLC系统^[4]；到了矿区往往要求多系统集成，常建设一个SCADA调度中心，用于辖区内各工业控制系统实时数据的接入。

在油气田工业控制系统架构中，SCADA调度中心普遍通过Modbus/TCP协议对现场的RTU/PLC等进行数据采集与指令控制，存在数据传输过程无接入认证、无权限控制问题，且数据采用明文传输，只需借助简单技术手段，即可实现入侵与数据截获篡改，存在严峻的安全风险^[5]。

（1）缺少接入认证：终端无需认证即可接入系统，在网内形成数据通道。

（2）数据明文传输：实时生产与控制状态数据在未加密的情况下传输可被轻易截取。

（3）缺少权限控制：无任何控制手段，数据、指令可被轻易复制和篡改，可实现对控制中心入侵或对现场控制器进行非法读写控制，极易导致生产安全事故。

因此加固油气田工业控制系统的安全性变得极为必要。

2 油气田工业控制系统一体化安全防护技术分析

鉴于油气田工业控制系统存在的安全问题，我们研究了集设备接入认证、数据传输加/解密和抗攻击防护于一体的安全防护技术，实现了油气田场站到SCADA调度中心生产数据的安全可信传输。其关键技术包括以下几个方面：

（1）数据传输加密/解密技术：评估适用于场站到调度中心建设模式的加/解密的算法，在确保数据通信实时性、可靠性的前提下实现数据加密传输。

（2）设备接入认证技术：通过对数字签名、验签技术的研究，实现生产网内接入设备的鉴别与认证。

（3）数据解析与防护技术：通过对工业网络报文的深度解析，梳理业务指令以及业务数据的内容，建立合法行为模型，采用“黑+白”名单双重防护机制，拒绝不可信的访问与控制，实现指令级的安全防护。

2.1 数据传输加/解密技术

工业通信网络中存在着严重的数据安全隐患，容易遭受到破坏数据完整性的攻击，如错误数据注入攻击、重放攻击等，而数据加密作为一种保护数据完整性和机密性的手段，可以有效地阻止上述攻击^[6]。出于工控协议数据加解密的安全性以及性能的考虑，可以采用非对称加密和对称加密混合型方式。其中非对称算法可以实现密钥的协商过程，为数据传输提供公钥；对称算法可以实现数据加/解密传输。

对称加密算法：通过比较DES、3DES、AES三种加密算法，如表1所示，从安全性以及性能上考虑，选择AES加密算法采用128位密钥长度。

表1 对称加密算法比较表

非对称加密算法：通过比较RSA、DSA、ECC三种加密算法，如表2所示，选择ECC加密算法^[7]，其性能更好、安全性更高、抗攻击性强、计算量小、处理速度快、带宽要求低。当对长消息进行加解密时，三类密码系统有相同的带宽要求，但应用于短消息时ECC带宽要求却低得多。对于油气田使用3G无线传输的场站，低带宽的现状使ECC在无线网络领域具有广泛的应用前景，密钥强度选择160位。

表2 非对称加密算法比较表

以图1为例，数据传输加解密过程如下：

图1 数据传输加解密过程示意

（1）当上位机需要发送数据查询/命令请求时，加/解密平台与加/解密终端首先通过TCP三次握手建立连接，然后加/解密终端与加/解密平台通过非对称加密的方式，协商后续数据通信的对称加密密钥；

（2）当数据加密密钥协商完成，加/解密平台通过该密钥对数据请求进行加密，然后发送到加/解密终端，加/解密终端收到加密后的请求，将其解密，然后以明文形式发送到现场RTU设备；

（3）现场RTU设备处理完上位机经过解密后的明文请求后，以明文形式将应答结果发送到加/解密终端；

（4）加/解密终端通过协商后的对称密钥对数据进行加密，然后将加密后的应答数据传送到加/解密平台；

（5）最后加/解密平台将加密后的应答报文解密，并发送到上位机系统中。

2.2 接入认证技术

目前工业控制系统缺乏统一的接入认证技术，即使某一个产品制造商会针对其所属的工控设备加入接入认证技术，但是现场同一套控制系统中多家品牌、多个型号的组合现象非常普遍，所以从根本上来说也不能解决接入认证的问题。因此可以考虑研发单独地接入认证系统，其由接入认证设备和接入认证平台组成，在不影响工业控制系统实时性、通讯稳定性的基础上，可以实现以下两个方面的认证：

（1）认证平台与认证终端的认证：对设备的认证信息在两端进行预制，预制的认证信息采用系统本身的加密通道与数字签名技术进行安全传输，认证终端必须通过认证平台认证成功后，才能开启后续数据通道。

（2）认证终端与后端接入设备的认证：认证终端部署于RTU/PLC系统数据出口端，其防护范围内的RTU/PLC控制器、摄像机等IP网络元件，通过在设备中进行MAC与IP地址绑定和设置黑/白名单，实现接入认证，避免非法设备接入。

2.3 数据解析与防护技术

工业控制系统的安全防护技术更多的是基于各大主流工业控制协议，因此可采用DPI深度包解析技术，形成协议识别与匹配技术方案，并建立防护模型。

（1）DPI深度包检测技术研究^[9]

通过对网络通讯的原始数据包捕获，DPI技术可实现对应用层数据的应用协议识别、数据包内容检测与深度解码，它基于应用数据的“特征值”、应用层协议与行为模式三种方式进行数据检测。

（2）协议识别与匹配技术

当数据流到达应用层后，基于源地址、源端口、目的地址、目的端口、传输层协议进行网络会话管理，并根据协议特征库对每个会话进行协议识别，流程如图2所示。

图2 协议识别流程

采用“特征字”识别技术与应用层网关识别技术相结合的方式进行传输协议识别，在完成识别后，业务数据的处理采用DPI深度包解析的技术进行处理与匹配，如图3所示。

图3 DPI解析匹配流程

（3）防护模型

防护模型采用自适应的方式，其基于硬件CPU的资源占用情况，自动调整执行的进程数量，可有效降低数据处理过程中的数据同步工作所占的开销。数据流通过时，首先查询已有行为模型，如果匹配，直接进入后续输出队列（正常通信、告警、拦截等）；若不匹配，将通过应用协议分析、综合数据流量分析等方式建立其行为模型。防护模型流程如图4所示。

图4 防护模型流程示意图

3 油气田工业控制系统一体化防护系统应用场景

基于以上的技术研究，我们在实际的科研项目上研发了一体化安全系统，其分别由一体化防护平台和一体化防护终端组成，可实现数据加密可信传输、设备接入认证与指令级防护。油气田工业控制系统一体化安全防护系统如图5所示。

（1）一体化防护终端：部署于场站工业控制系统网络出口（如RTU、PLC等），对接入场站工业控制系统网络的设备进行认证与防护，同时对与调度中心进行通讯的生产数据进行加/解密，以保障工业控制系统的本质安全。

（2）一体化防护平台：部署于SCADA调度中心，通过ACL协议将拟实施的有线或无线场站数据传输至该服务器，可以进行数据加/解密、报文/密文输出与防护系统配置管理。该方式可实现指定场站的数据处理，不影响其他场站的数据传输与控制，有效降低现场试验安全风险。

图5 油气田工业控制系统一体化安全防护系统部署图

通过部署一体化防护系统，可以加固井站与上级控制层（中心站、RCC等）之间数据传输与指令下达的安全性，从而提升系统整体安全性：

（1）井站与上级控制系统所有数据、控制指令加密可信传输；

（2）生产网内接入设备的鉴别与认证；

（3）部署防护策略，实现权限控制与指令级防护。

4 总结与展望

基于一体化防护技术研发的产品已经在油气典型场站中得到了成功的应用，实践证明了一体化防护技术可广泛应用于油气田行业工业控制系统，并具有数据加密、解析、防护等功能，可有效消除数据传输泄密安全隐患，防止非法攻击。

然而在当前工业互联网新形势下，安全问题越来越重要，攻击手段的多样化对工业控制系统的安全防护技术提出了更高要求，因此需要更多的实践才能更好地去迭代促进技术的成熟，需要更多的业务场景去证明解决方案的可行性与优势。

作者简介：

邓  田（1979-），男，重庆人，工程师，学士，现就职于昆仑数智科技有限责任公司，研究方向为油气领域工业控制系统安全、物联网安全等。

参考文献：

[1] GB/T 30976.1-2014, 工业控制系统信息安全第一部分评估规范[S].

[2] 康荣保, 张晓, 杜艳霞. 工业控制系统信息安全防护技术研究[J]. 通信技术, 2018 (8) : 1965 - 1971.

[3] 中央网络安全和信息化领导小组办公室, 网络安全协调局. 国家网络安全检查操作指南[Z]. 2016 : (6).

[4] 岳妍瑛, 王彬. 油田工业控制系统信息安全浅析[J]. 自动化博览, 2013 (3) : 38 - 42.

[5] 闻宏强, 李富勇, 等. Modbus/TCP协议安全性分析与防护技术探讨[J]. 物联网技术, 2018 (11) : 34 - 35.

[6] 梁耀, 冯冬芹, 等. 加密传输在工业控制系统安全中的可行性研究[N]. 自动化学报, 2018 (3) : 434 - 442.

[7] 梁玉英. 基于Java语言的ECC加密技术研究[J]. 电脑与电信, 2018 (37) : 7 - 9.

[8] 吕迪, 贾志洋. 常用数据加密技术的对比研究[J]. 网络安全技术与应用, 2014 : (2).

[9] 张静, 周佐. 防火墙深度包检测技术研究及算法改进[J]. 自动化与仪器仪表, 2018 (3) : 46 - 50.

 摘自《自动化博览》2023年3月刊