摘要：当前工控网络安全审计产品的总体技术实施思路基本侧重于指令级审计、参数阈值级审计、工控协议审计、环境级审计、行为级审计等方面，这种传统的思路应用于不同的实际工业环境下时显示出一些不足之处。具体表现在不同的行业都有各自不同于其它行业的独特工艺，脱离不同行业的控制工艺以及实际工业流程的传
统审计显得深度不够，其实际的审计效果也很难真实、精准地满足用户需求。
　　基于工业流程分析的工控安全审计的技术实现的核心是将基于控制工艺的控制业务流程融入安全审计产品的技术策略中，在具体的技术实现上需要将重点的工艺控制要求进行梳理和汇总，提供给工控网络安全审计产品的设计人员，设计人员结合汇总的工艺要求和对协议的深度解析，定制化的进行工控网络安全审计产品攻击告警规则库的更新，制定与实际应用环境的控制工艺深度融合的定制化的规则库。

1　工控安全现状

现代工业控制企业的控制系统不仅包括生产和控制系统，同时还包括市场分析、财务计划、生产管理及质量控制等信息管理系统，信息化和工业化的两化融合已经成为大势所趋，这意味着工业控制系统越来越走向开放和互联，现阶段生产控制系统与管理信息系统的互联已经成为ICS的基本架构，工业控制系统与外界完全隔离几乎成为不可能。另外，维护用的移动设备或移动电脑也打破了系统与外界的隔离，打开了网络安全风险之门。另外，根据监测统计数据发现，截止到2017年11月，全球范围内暴露在互联网上的工控系统及设备数量已超过10万个，相比2016年年底上升43%。

自2010年以来，工业信息安全事件呈现逐年上升的趋势，特别是2015年以来，每年发生的安全事件数量接近300起；关键制造、通信、能源、供水和市政设施是安全事件发生较多的前五个行业。

与上述严峻的安全形势相对应的，由于黑客大会、白帽社区、开源社区的出现，获得工控系统的攻击方法越来越容易，大量工控系统软硬件设备的安全漏洞及利用方法可通过公开或半公开的渠道获得，这些都极大地降低了针对工控网络攻击的难度。

2　工控安全审计产品简介

2.1　工控安全审计产品的必要性

工控安全审计系统，是通过对工业控制系统网络中实际通信流量进行采集，并基于对工业控制协议（如OPC Classic、Modbus TCP、IEC60870-5-104、DNP3、S7等）的通信报文进行深度解析，通过实时动态分析、数据流监控、网络行为审计等技术，快速识别工业控制网络中存在的异常行为，实现实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播的行为并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。鉴于上述原因，工控安全审计产品已经成为现阶段工业控制系统信息安全防护的一个非常重要的组成部分。

工控安全审计产品专门针对工业控制网络的信息安全进行审计。它采用旁路部署，对工业生产过程“零风险”。如图1所示。

图1 工控安全审计产品

2.2　工控安全审计产品基本功能汇总

工控安全审计产品实现的基本功能，可以汇总为以下基本的核心功能：

（1）网络实时流量审计：不间断地采集并实时监测网络数据流量，发现异常时实时告警（可监测网络风暴、ARP攻击等网络事件）。

（2）异常数据告警：基于对工控协议的深度数据包解析，通过自学习算法建立正常通信行为基线，然后对工控网络中实际采集的工控协议数据包的解析结果与正常行为基线进行比较，当实际行为偏离正常行为基线时实施报警。

（3）通信行为追溯：对获取的网络通信数据包进行全方位的记录，并支持对记录进行回溯，支持生成
所有网络行为的审计日志记录，为工业控制系统的安全事故调查提供详实的依据。

3　工控安全审计的技术实现

基于对现阶段大多数的工控安全审计产品功能实现的实际调研，汇总现阶段相关产品的主要技术实现如下：

3.1　指令级审计

针对工控协议中核心的功能指令进行指令级审计，审计内容包括：非法指令码审计，与可能的攻击有关联关系的指令码审计，与特定行为事件有关联关系的指令码审计，基于频数统计分析的异常指令码审计等指令级审计。

3.2　参数阈值级审计

针对工控协议中数据字段区的实现读或写功能指令的数据值进行参数阈值级审计，审计内容包括：数据值是否超过设定的上限值或下限值审计，数据值是否偏离历史均值超过设定的最大偏差范围的审计等参数阈值级审计。

3.3　工控协议审计

审计通信协议违规端口，畸形协议报文审计（包括不符合协议规约规定格式的工业控制协议报文、异常的控制命令、异常的控制点位、异常的控制值等），协议携带数据异常审计（包括整体报文数据携带异常和数据区数据携带异常）等基于工控协议的审计。

3.4　环境级审计

IP无流量事件审计，工控网络内工控协议流量分析审计，出现未知设备审计，原有存活设备丢失审计，IP地址和MAC地址绑定变化审计，设备之间的访问关系变更审计，基于五元组的异常审计，基于时间段流量阈值审计，发现邮箱服务（识别邮箱服务器），发现FTP访问（识别FTP服务器），发现Telnet访问，发现Http访问（源IP、MAC地址，目的URL）等环境相关的变更审计。

3.5　行为级审计

关键行为事件审计，包括数据采集行为，组态变更行为、应用程序下载、控制指令下发行为，负载变更行为等行为级事件审计。

4　基于业务审计的工控安全审计的必要性

在冶金行业，一座高炉会配置多座热风炉交替进行燃烧和送风控制。当一座热风炉送风一段时间后，输出的热风温度满足不了高炉所需的风温时，需要进行热风炉换炉操作，将另外一座已经燃烧好的热风炉投入送风状态，而后再将原送风的热风炉转为燃烧作业，燃烧好后改为焖炉状态等待下一次换炉操作，因此热风炉有燃烧、焖炉、送风3种工作状态。假设一座高炉配置了三座热风炉，那么一般情况下采用 “两烧
一送”的工作方式。如图2所示。

图2 热风炉

在高炉热风炉控制过程中，热风炉换炉控制和热风炉燃烧控制是两个重要的控制过程，其中换炉控制主要包含燃烧转送风和送风转燃烧两个不同的控制阶段，这两个换炉阶段的具体控制工艺要求是：

燃烧转送风：关煤气调节阀→关煤气阀→关助燃空气调节阀→关燃烧阀→关助燃阀→开支管放散阀及蒸汽阀→关烟道阀→开冷风旁通阀（充压）待炉内压力充满后→开热风阀→开冷风阀→关冷风旁通阀。

送风转燃烧：关冷风阀→关热风阀→开废气阀，待放净废气后→开烟道阀→关废气阀→关支管放散阀及蒸汽阀→开助燃空气阀→开燃烧阀→开煤气阀→开助燃空气调节阀→调节煤气与空气配比。

热风炉燃烧控制方面主要的控制工艺要求是在燃烧控制初期应尽量加大煤气量和空气量，实现快速烧炉，使炉顶温度尽快达到规定值，炉顶温度达到规定值后应加大空气量来保持炉顶温不在上升，使炉子中、下部温度上升，扩大蓄热量，满足高炉的需要。

（1）孤立的指令正常，但组合起来构成行为异常

高炉热风炉控制中的换炉控制会涉及到多个阀门的控制，所有这些阀门必须要按照规定的顺序动作，孤立地来看，关闭燃烧阀和打开送风阀均是正常的操作，但是如果它们之间的动作的先后顺序发生改变时，其结果就完全不同。在燃烧转送风控制阶段，如果出现在各燃烧阀没有全关的情况下就开启与送风相关的阀门，那么对热风炉的控制将会是危险的。现阶段的安全审计产品在进行安全审计时没有将上述工艺业务流程中有关相关阀门的动作顺序的因素考虑进去。如果能将上述的工艺要求融合进审计规则的制定，进行相关性建模，将很好地避免业务危险情形发生时的漏报。

（2）孤立的数值正常，但组合起来构成的行为异常

在热风炉换炉时，由于冲压不当或换炉操作失误等多种原因可能造成风压波动，但是风压波动范围必须小于5kPa，一旦出现风压波动超过范围的情形，会对热风炉控制产生较严重的影响。常规的安全审计产品，只要风压的绝对值不超过风压设定的上限值或下限值，均会视为正常而不会告警输出。如果孤立地看数值正常的参数的数值变化率并没有超过工艺规定的数值，但是该情形发生在特定的控制阶段时，对热风炉控制会产生较严重的影响。如果将工艺业务流程中有关这种涉及正常数据的特定组合违背控制工艺要求的因素考虑进去的话，那么实际中真的发生了上面描述的情形时审计系统就会告警，避免出现严重的漏报。

（3）关键工艺参数设置违反工艺要求

高炉热风炉控制中，在烧炉阶段的控制原则是：在烧炉初期应尽量加大煤气量和空气量，实现快速烧炉，使炉顶温度尽快达到规定值，炉顶温度达到规定值后，应加大空气量来保持炉顶温度不再上升，使炉子中、下部温度上升，扩大蓄热量，满足高炉的需要。如果在炉顶温度已经达到规定值的情况下依然尝试提高炉顶温度的行为，对于热风炉的控制而言是危险的，是需要审计系统告警提示的。但是常规的基于工控协议解析的审计系统只会单纯地判断设定值是否超限，因为它没有考虑相关的工艺信息，也就不知道要判断两个合理的设定值在特定的工艺环境下是否合理，因而会出现漏报。

5　基于业务审计的工控安全审计具体技术实现设想

基于业务审计的工控安全审计的技术实现的核心是分析业务流程，围绕业务安全来强化审计产品的监测核心点和核心指标。设计人员结合汇总的工艺要求和对协议的深度解析，定制化地进行工控网络安全审计产品攻击告警规则库的更新，制定与实际应用环境的控制工艺深度融合的定制化的规则库，具体实现步骤可简单概括为以下几个步骤：

5.1　实现变量地址到工艺变量表述的转换

工控安全审计产品必须输出与现场实际工艺深度融合的告警信息，而要实现这个目标，首要的基本前提是必须将从采集的工控网络真实数据包中直接解析到的变量地址翻译成实际控制工艺中对应的工艺变量表述后使用到审计产品的告警信息中，例如：将保持寄存器地址400001翻译成1#热风炉炉温，寄存器00001翻译成1#热风炉燃烧阀关闭命令，应用于告警信息中。

5.2　梳理工控业务流程并汇总关键工艺控制要求

现场的工艺专家提供支持和配合，由工艺专家将重点的工艺控制要求进行梳理和汇总，由工控网络安全审计产品的设计人员结合实现方式选择工艺控制流程监控核心点和核心指标。

5.3　生成告警规则库

安全审计产品的设计人员依据步骤5.2汇总的工艺控制要求，定制化的编制工控网络安全审计产品攻击告警规则库。同时设计人员可以以操作界面的形式提供在线的根据工艺要求变更的灵活的添加和删除告警规则库的功能。

参考文献：

[1] 北京网藤科技有限公司. 网藤工控安全审计系统产品白皮书[Z].

[2] 肖建荣. 工业控制系统信息安全[M]. 2015.

摘自《工业控制系统信息安全专刊（第五辑）》