1　工业控制系统的脆弱性

    由于工业控制系统正向复杂化、IT化和通用化趋势发展，基于PC+Windows的工业控制网络面临安全挑战，这些年不仅国外发生了一些安全事件，同时国内也暴露出了一系列的工业控制系统信息安全的问题。比如2010年齐鲁石化、2011年大庆石化炼油厂，某装置控制系统分别感染Conficker病毒，都造成控制系统服务器与控制器通讯不同程度的中断。

    ICS-CERT安全报告指出“近三年针对工业控制系统的安全事件呈明显上升趋势，仅2013年度，针对关键基础设施的攻击报告已达到257起。”主要集中在能源、关键制造业、交通、通信、水利、核能等领域，而能源行业的安全事故则超过了一半。如图1所示。

图1 近三年各领域发生工业控制系统的安全事件比例

    我们认为，归根结底就是工业控制系统的漏洞问题，截止到2013年12月底，公开的工业控制系统漏洞数总体仍呈增长趋势。2010年6月出现的Stuxnet病毒，是世界上首个专门针对工业控制系统编写的席卷全球工业界破坏性病毒，它同时利用7个最新漏洞进行攻击。这7个漏洞中，有5个是针对windows系统，2个是针对西门子SIMATIC WinCC系统。

    工业控制系统的漏洞主要包括5个方面，如下：

    （1）通信协议漏洞

    两化融合和物联网的发展使得TCP/IP协议等通用协议越来越广泛地应用在工业控制网络中，随之而来的通信协议漏洞问题也日益突出。

    （2）操作系统漏洞

    目前大多数工业控制系统的工程师站/操作站/HMI都是Windows平台的，通常现场工程师在系统开启后不会对windows平台安全任何补丁，埋下了安全隐患。

    （3）应用软件漏洞

    由于应用软件多种多样，很难形成统一的防护规范以应对安全问题，另外当应用软件面向网络应用时，就必须开放其应用端口，是重要的攻击途径。

    （4）安全策略和管理流程漏洞

    追求可用性而牺牲安全性，是很多工业控制系统存在的普遍现象，缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来一定的威胁。

    （5）杀毒软件漏洞

    为了保证工控应用软件的可用性，许多工控系统操作站通常不会安装杀毒软件，即使安装了杀毒软件，病毒库也不会定期更新。

    2　工业控制系统的安全需求

表1给出了工控系统与传统IT系统的不同。

    表1所示的这些不同，导致了工控安全与传统IT安全的差异，传统IT安全更注重机密性，其次是完整性，之后是可用性，但是工控系统的安全，则是可用性排在第一位，接下来是完整性，最后才是机密性。所以，传统网络安全技术不适于应用到工业控制系统。

    美国国土安全部下属的ICS-CERT（工业控制系统应急响应小组）及CSSP（控制系统安全项目）通过对工业控制系统软件的缺陷性分析发现，工业控制系统软件的安全脆弱性问题主要涉及错误输入验证、密码管理、越权访问、不适当的认证、系统配置等方面。

典型工控系统的安全问题，如图2所示。

    3　工业控制系统的安全测试技术趋势

    3.1　工业控制系统的特点

   （1）封闭性：SCADA、ICS系统的设计之初安全机制不完善；

   （2）多样性：多种数据接口（如RJ45、RS485、RS232等）,协议规约实现多样；

   （3）复杂性：专用的通信协议或规约（如OPC、Modbus、DNP3、 Profibus等）；

   （4）不可改变性：工控系统程序升级困难。

    传统IT安全测试技术不适合工业控制系统，所以急需针对工业控制系统的安全测试技术。针对SCADA、ICS系统自身脆弱性（漏洞）和通信规约的安全性，研究工业控制系统的安全测试技术，分析工业控制系统中已知的与未知的安全威胁，指导其对安全威胁进行有效的防御。

    3.2　工控系统安全测试技术已成为重要的发展方向

    3.2.1　美国能源部SCADA测试平台计划（2008-2013）

    美国能源部自2008年就开始了搭建SCADA测试平台计划（2008-2013），通过联合其下属Idaho等6个国家实验室的技术力量，提供各种工业控制系统的真实测试环境，实现对石油、电力等行业控制系统的安全测评。

    美国能源部SCADA测试平台计划中主要包括4个典型测试平台，如下。

    （1）SCADA/控制系统测试平台；

    （2）信息安全测试平台；

    （3）电网测试平台；

    （4）无线技术测试平台。

图3所示是一个SCADA/控制系统测试平台实例。

    3.2.2　欧洲SCADA安全测试平台

    欧洲也搭建了SCADA安全测试平台，主要特点如下：

    （1）采用现场系统的渗透测试，建立风险分析方法，测试、评估SCADA系统的安全性；

    （2）对于Computer Emergency Response Team (CERT)发布的SCADA安全信息能够快速处理，以保护世界各地的运行系统；

    （3）具有高度重构，与其它SCADA系统安全、远距离通信连接，构建先进的分布式测试环境。

    3.2.3　学术界工控系统安全测试技术研究

    国外学者致力于搭建SCADA系统真实测试环境，模拟攻击行为，通过仿真和建模分析SCADA系统的安全性。

    国际知名工业安全测试公司相关产品和解决方案如下：

    （1）加拿大 Wurldtech的Achilles 测试工具采用漏洞扫描和模糊测试的方法，测试工控系统中设备和软件的安全问题；

    （2）加拿大的ICS Sandbox测试平台采用渗透测试的方法，通过模拟真实的网络攻击，测试SCADA系统中关键基础设施的脆弱性；

    （3）芬兰科诺康Codenomicon Defensics工控健壮性/安全性测试平台，采用基于主动性安全漏洞挖掘的健壮性评估与管理方案，与ISASecure合作，遵循IEC 62443标准。

    3.3　工控系统安全测试的关键技术

    （1）构建工控系统漏洞库

    由于通信协议的特殊性，传统漏洞库并不适应于工业控制系统安全测试领域，需要构建工控系统专有漏洞库。如图4所示。

图4 漏洞数据库

    （2）基于工业漏洞库的漏洞扫描技术，如图5所示。依靠漏洞扫描引擎、检测规则的自动匹配，通过工控系统漏洞库，扫描系统中的关键设备，检测系统的脆弱性；

    支持Modbus、DNP3、Profinet等工业通信协议漏洞；

    支持ICMP Ping扫描、端口扫描等传统扫描技术。

图5 基于工业漏洞库的漏洞扫描技术

    （3）面向工业控制协议的Fuzzing测试，如图6所示。

图6 面向工业控制协议的Fuzzing测试

    运用模糊测试的原理，设计变异测试用例并构造变异报文，检查工控协议实现的缺陷。

    构建完整、可扩展的动态随机分析测试框架，监控测试目标，管理测试结果，并支持多目标（如文件、网络协议等等）、多种协议（如Modbus TCP、DNP3等不同类型的协议）、多线程（加速测试进度）

    （4）工业病毒行为特征提取与攻击模拟技术，如图7所示。

    数据挖掘智能认知工业病毒攻击行为，实现工业病毒行为判定，提取工业病毒行为特征；

    根据网络流量情况、具体协议内容、交互模式以及主机或设备行为，检测工控环境特种木马等复杂攻击。

    4　工业控制系统的安全防护技术趋势

    保证工业控制系统安全稳定运行，工业控制系统的安全防护必须达到以下三个目标，如表2所示。

    4.1　工业控制系统防火墙技术

    防火墙是基于访问控制技术，它可以保障不同安全区域之间进行安全通信，通过设置访问控制规则，管理和控制出入不同安全区域的信息流，保障资源在合法范围内得以有效使用和管理。

    目前传统的IT防火墙都是根据“白名单”或者“黑名单”的方式进行规则设置，而工业防火墙大都是根据“白名单”设置规则。对于“白名单”，可以设置允许规则，也就是说只有符合该规则的数据流才能通过，其它的任何数据流都可以被看做攻击而过滤掉，这样就保障了资源的合法使用；而对于“黑名单”，可以设置禁止规则，禁止不合法的客户端对资源的访问。

    工业控制系统防火墙技术可以实现区域管控，划分控制系统安全区域，对安全区域实现隔离保护，保护合法用户访问网络资源；

    同时，可以对控制协议进行深度解析，可以解析Modbus、DNP3等应用层异常数据流量，并对OPC端口进行动态追踪，对关键寄存器和操作进行保护。

    工业控制系统防火墙技术目前存在一个问题，就是规则粒度问题（Modbus规则设置为例）。防火墙的规则设置应该能够支持到具体数据字段的匹配，但是规则深度越深带来防火墙的效率问题。

    4.2　工业控制系统入侵检测技术

    工业控制系统入侵检测技术是面向控制系统通信协议，根据控制异常行为模式库，对控制系统网络或主机进行异常监测：

    （1）监视、分析控制终端行为活动；

    （2）审计控制系统的配置和弱点；

    （3）识别已知进攻模式；

    （4）异常活动的统计分析。

    目前工业控制系统入侵检测技术主要包括两个方面，第一个就是基于特征的入侵检测，第二个是基于异常的入侵检测，目前这种方式大多数处于理论研究阶段。如图8所示。

图8 两个主要的工业控制系统入侵检测技术

    目前工业控制系统入侵检测技术的主要问题是，工业控制系统以可用性为先，入侵检测技术的漏报和误报将难以商业化应用。

    摘自《自动化博览》2014年9月