1　引言

随着计算机和网络新技术（工业物联网、工业互联网、云平台等）的快速发展，以及两化融合和智能制造的不断推进，工业控制系统广泛采用了通用开放的工业协议、通用的硬件平台技术和通用软件组件，并且越来越多地以各种方式与公共网络连接，病毒、木马等信息安全威胁正从传统的计算机系统向工业控制系统延伸。

近年来，工控系统信息安全事件时有发生，针对工业控制系统的定向攻击也日益增多，从震网、火焰、毒区病毒到黑色力量，网络攻击更加隐蔽、复杂多样和规模化网络化协同。面对日益复杂的纵深渗透、动态协同的规模化、网络化攻击，仅依靠传统防火墙和IT信息安全技术体系已无法有效应对，亟需设计工业控制系统自内而外的综合性深度防护技术体系，突破信息物理空间深度融合场景下的工控安全防护难题，从工业控制系统内在机理上实现工业控制系统的深度安全。

针对工控领域的网络安全问题，国内外专家进行了一系列研究工作。美国能源部发表了提升SCADA网络信息安全性的21个步骤，用于指导SCADA系统的网络安全防护^[1]；美国国土安全部整理了工业领域推荐的旨在防范物理攻击和网络攻击的控制系统安全程序^[2]；该部门还提出了面向控制系统网络和多层信息架构的纵深防御策略，解决多种网络集成所带来的安全风险^[3]；Kilman等人则建立了SCADA系统的安全策略框架，涵盖风险管理程序、数据安全等诸多层面^[4]。

本文在现有研究的基础之上，结合工业控制领域多年的设计应用经验，对网络化控制系统当前所面临的典型安全威胁进行了汇总分析，并提出了网络化控制系统深度安全体系架构，能够保障全生命周期的安全性、可靠性和可用性。

2　网络化控制系统脆弱性分析

网络化控制系统典型模型如图1所示。被控对象是化工厂或核电站等现场装备，控制站从变送器采集数据，执行控制程序，并输出到阀门对被控对象进行控制；工程师站负责组态、下装和发布；操作站负责HMI操控；接口站负责异构系统及MES通信接口。

图1 网络化控制系统典型模型

网络化控制系统的关键部件是控制单元（嵌入式平台）、工业网络（工业协议）和监控平台（组态/监控软件），核心功能是控制功能和监视功能。由于流程工业应用环境往往高温、高压、易燃、易爆，控制和监视功能都要求连续而不可间断，可用性达到99.999%。误动、拒动和不可监视都会导致严重后果，造成非计划停产、减产或装置损坏，甚至人身伤亡和环境破坏。

随着工业互联网、工业物联网、云计算、边缘智能等新技术在工业领域的广泛应用以及两化融合、互联网+和智能制造的推进，网络化控制系统呈现开放、互联和智能发展趋势，具体表现为：

·越来越开放的网络（两化融合、智能制造、互联网+）；

·开放的种类繁多的工控协议（Modbus等）和互联网接口（远程维护、远程诊断等）；

·通用化的软硬件架构和平台技术（Windows、PC、TCP/IP、OPC）；

·灵活应用的移动设备（移动监控、移动巡检、人员定位等）；

·上下工艺多装置多总线的互联互通需求（网络化控制系统成为工厂的数据中心）。

面对网络化、信息化和智能化的新形势，工业控制系统传统物理封闭的安全措施已无法保证，特别是大量已运行多年的工业控制系统在网络化、信息化改造后，将面临较大的安全风险。网络化控制系统脆弱性如表1所示。

表1 网络化控制系统脆弱性

3　网络化控制系统典型安全威胁

针对网络化控制系统的攻击往往是针对特定目标（特定工艺或特定设备）的特定模式定向攻击，并且融合网络技术、工控技术和生产工艺技术，攻击模型复杂，技术综合。无论Stuxnet病毒^[5]、Havex病毒^[6]，还是BlackEnergy^[7]，都是蓄谋已久，深入工业控制系统内在机理，非常隐蔽，综合传统网络攻击手段和围绕工控系统脆弱性进行弱点攻击的方法，采取由外而内、层层渗透的攻击手段，最终挟持控制了工业控制系统，使其执行错误的动作但毫无察觉或不可恢复。基本原理如下：

（1）态势感知：综合多种方法和手段，选择攻击目标，并收集目标信息，常见方法有：

·针对工业领域上市公司或特定目标进行网络扫描，从门户网站或信息系统网络入口进行渗透；

·采用SHADON、ZOOMEYE等工控系统专项扫描工具，通过工控系统的特征码、特定端口或网络接口描述从网络上搜索查找攻击目标^[8]；

·采用社会工程学或间谍等其他手段搜索目标信息。

（2）网络攻击：利用操作系统和防火墙的漏洞或后面，通过网络渗透（远程访问接口、OPC通信接口、无线网络接口、企业门户接口等）、摆渡（U盘、移动设备等）、社交工具（邮件等）等手段，攻击并控制工业控制系统的工作站或接口设备。

（3）工控系统定向攻击：针对工控系统架构的脆弱性，进行最后的致命一击，挟持控制工业控制系统，执行错误的动作且不被察觉。主要攻击方法有：

·工业网络攻击方法：堵塞或中断网络、工业协议已知漏洞攻击、工业协议fuzzing攻击、工业协议大量数据包攻击、伪造控制指令攻击、伪装实时数据攻击^[9]；

·监控平台攻击方法：木马攻击、KillDisk攻击、窃取关键工艺或数据、通信DLL中间人攻击、篡改组态等关键数据、挟持组态/监控软件攻击（发送错误指令、显示错误数据等）^[10]；

·控制单位攻击方法：嵌入式平台已知漏洞攻击、超级后门攻击、固件升级或配置接口攻击。

从攻击链分析，网络化控制系统典型威胁如表2所示，典型威胁模型如图2所示。

表2 典型的安全威胁

图2 典型威胁模型

4　网络化控制系统安全防护设计

由于工业控制系统固有的特性和局限性（确定的功能、强实时和连续控制需求、专有的平台和技术、受攻击后严重的后果、嵌入式平台受限的性能等），网络化控制系统安全防护设计有别于IT信息安全，采取不同的工作原理和安全策略。网络化控制系统安全防护的核心是内建安全，围绕工业控制系统的脆弱性，通过控制内核自主可控、嵌入式平台可信增强、容错架构和系统自愈等关键技术，构建网络化控制系统深度安全体系架构，保障全生命周期的安全性、可靠性、可用性。

网络化控制系统防护设计核心目标是信息安全、功能安全和操作安全一体化，实现高可用性、完整性和机密性。基于IEC61508和IEC62443国际标准，以及工业控制系统典型失效模式，从硬件随机失效（器件失效、电应力、环境应力、EMC、软失效和通信典型故障灯）、系统失效（软件、嵌入式、硬件和FPGA等部件开发过程的失效）和网络攻击（病毒、黑客等恶意攻击）三个方面进行系统性分析，采取FMEA分析、安全开发流程以及安全防护技术措施等综合内建安全设计方法和技术体系，实现网络、主机、应用和数据全方位的安全。

4.1　分层分域安全网络架构

针对大型工程项目规模化网络、规模化并发实时数据的应用需求，依托IEC62443-1-1、IEC62443-3-1和IEC62443-3-3，设计分层分域安全网络架构，应用层次化分布式网络模型、多路径优化选择的容错网络技术、完善的网络监控和诊断体系、全面充分的网络通讯验证等关键技术，实现操作物理分区和控制物理分区，安全分区之间管道支持安全隔离。并结合大型工程项目实践，应用大规模组网技术，包括 “总分结构”网络结构技术、VLAN安全隔离技术、全网诊断技术等，解决大规模网络情况下的组网问题、安全问题以及数据交互瓶颈问题，并通过网络设备选型和认证，提升网络的可靠性、实时性和安全性，达到单域4万点、支持60操作域/60控制域的大规模应用能力，满足超大规模的工程项目需求。

网络化控制系统适用于大规模组网应用的安全网络架构核心设计如下所示：

·控制网络采用自主可控工业以太网技术，保证高可靠性；

·控制网络采用扁平式网络结构以及1对多的通信方式，保证通信的可靠性；

·采用坚固的系统和网络通讯设备，外配产品需经过严格的认证测试；

·控制网络采用全冗余设计（通讯接口、网络设备、网络供电），并且网络1:1同步冗余，无切换时间，A/B控制网络隔离；

·控制网络采用分层分域设计，支持多路径容错通信，保证装置通讯网络的独立性，又确保装置间数据的共享以及一体化管理；

·提供统一的网络健康视图，直观显示整体网络、网络节点状态、专家诊断、及时预警；

·DCS、PLC、SIS支持网络一体化，保证统一联网和互联互通，以及统一的安全策略。

4.2　控制内核自主可信

病毒运行依赖黑客对于嵌入式操作系统的了解，对控制器也是如此。无运行环境、无进入机会是解决问题的关键。不基于通用系统，病毒就无运行环境，协议、接口私有、受限，黑客就无进入机会。因此，网络化控制系统应采用自主研发协议栈、控制算法、硬件平台、BIOS以及确定性微操作系统，保证控制内核的自身安全性。

控制内核自主可控可以杜绝针对通用协议/操作系统/开源代码的已知漏洞所展开的攻击。同时采取功能最小的原则，只定义必要的功能，减少开发代码，减少漏洞存在的可能性。

在自主可控基础上，采用可信增强技术，通过静态/动态程序、数据的完整性检查和监护技术，以及可信链的层层推进，保证控制器、组态软件、监控平台的可信增强，提升控制系统核心部件的内在免疫能力。

4.3　通信端口动态防护

网络化控制系统采取基于黑通道的安全通信设计和通信端口动态防护，实现各种通信故障情况下，安全通信不受影响或导向安全，保证实时确定性安全通信。

典型通信故障模型如下所示：

·数据损坏；

·报文重复；

·报文错序；

·报文丢失；

·延迟超时；

·报文插入；

·报文伪装；

·错误寻址；

·交换机FIFO错误；

·报文滞缓。

通信端口采取工业协议的深度包检测技术、通信和控制功能隔离技术、基于网络行为和控制行为白名单技术等动态防护技术，实现在接收到各种异常数据帧或广播风暴等巨量数据冲击的情况下控制功能能正常运行、正常操控。

4.4　控制系统入侵容忍与系统自愈

网络化控制系统应支持全系统冗余、数据备份与恢复、故障隔离等技术，实现全面的诊断与报警、入侵容忍和系统自愈。保证控制系统实时诊断与恢复。包括如下核心技术：

·采取全冗余设计，包括电源、工程师站、服务器、操作站、控制网、控制器、I/O总线、I/O模块等，实现单一故障不影响工业控制系统正常运行，并通过实时对比诊断，快速检测并定位安全问题；

·组态、历史/实时数据库、控制器参数等关键数据备份和动态重构技术，实现副本数据与运行数据的实时对比校验和快速恢复。

4.5　数据安全监护和防篡改

覆盖操作层、网络层、控制层、现场总线/无线层的数据安全监护和防护设计，实现用户组态工业加密与防篡改、历史/实时数据库实时工业加密与防篡改、组态软件/监控软件关键EXE、DLL防篡改、进程守护技术，保证数据的完整性和机密，并基于国密实现通信加密和关键数据加密，如下所示：

·SM2：非对称加解密算法，用于身份认证、建立可信信道等握手类通信；

·SM4：对称加解密算法，用于实时数据和操作指令等数据类通信；

·SM3：哈希算法，用于组态等文件类通信时的特征码计算。

4.6　基于控制模型的控制网络实时诊断与异常检测

网络化控制系统实现工控冗余网络在线诊断和流量监控，网络设备和控制节点实时状态监控，建立控制网络特征模型和操作站、控制站、工程师站、交换机、时钟同步设备等特征模型（网络流量、负载变化、通信行为）并统一展示，支持网络风险和入侵行为实时监控（基于网络攻击模型）。网络化控制系统构建网络通信和操作指令可信模型（实时通信、操控指令、组态管理、事件管理等），实时监控和审计操控行为，以及异常检测与报警（非法节点、异常数据包、非法操作指令）。

5　网络化控制系统安全认证方法

目前，国际上工业控制系统纵深防御的方法和技术体系已逐步成熟，并正在大规模应用。但是工业控制系统产品自身安全设计、开发和认证体系以及全生命周期管理的研究尚在标准制定阶段，正在逐步开展。现有成熟的工业控制系统产品安全认证体系有： Achilles通信健壮性认证和ISASecure安全认证。

5.1　Achilles通信健壮性认证

Achilles通信健壮性认证是加拿大沃泰网络安全公司提供的第三方独立工业控制系统通信健壮性认证，已成为工控领域事实上的通信健壮性评测行业标准，得到全球主要自动化产品供应商和全球工业企业巨头的认可。

Achilles通信健壮性认证的核心内容是：异常数据包攻击和大流量数据包冲击下，保证控制功能不受影响（监控DO和AO输出）。该认证共分为两个等级：

·Level1（预备级）：该等级测试和监视了受测设备基于Ethernet、ARP、IP、ICMP、TCP和UDP的数据包的详细执行过程，用于验证是否满足OSI2－4层定义的可靠性和稳定性等级要求。

·Level2（正式级）：该等级是Level1认证的扩展认证，采用了更多的测试和更多通讯成功/失败要求。Level2通过进一步产生更多测试值、检测协议状态、使用更高频率的Dos攻击测试每一种通讯协议。

5.2　ISASecure安全认证

ISASecure安全认证是ISA安全兼容协会（ISA Security Compliance Institute, ISCI）推动的针对工业控制系统的专项安全认证，与IEC62443标准呼应。ISCI成立于2007年，致力于为工业控制系统的网络安全提供保障。ISCI推行ISASecure认证项目，旨在帮助工业控制系统设备供应商和运营单位识别网络安全产品及实践。ISASecure认证规范由工业控制系统运营单位、行业协会、用户、学术界、政府和监管机构合作共同审核。

ISASecure认证目前已推出EDSA、SDLA、SSA三项，正在筹建ASA认证。其中EDSA认证针对嵌入式设备，SDLA针对工业控制系统开发流程，ASA认证针对工业应用软件，SSA针对工业控制系统整体。SSA认证之前必须所有部件通过EDSA认证，并部署了必要的纵深防御措施。具体情况如表3所示。

表3 ISASecure认证类别

ISASecure EDSA认证是ISCI组织推出的第一个安全认证，侧重于工业控制系统嵌入式设备的安全性认证。EDSA认证根据IEC62443-4-1安全开发流程要求和IEC62443-4-2安全技术措施要求，综合考虑了工业控制系统的特性以及信息安全保证的通用方法，提供了统一的工业控制系统嵌入式组件内建安全的评估和认证方法，解决了工业控制系统内建安全评估和认证的难题，有助于工控安全认证方法的统一和推广应用。2016年7月1日EDSA认证升级为2.0.0版本。

EDSA认证提供三个级别：Level1、Level2和Level3，其中Level3级别最高。认证包括三部分内容：软件开发安全评估（SDSA）、通信健壮性测试与漏洞检测、安全功能评估。其中通信健壮性测试无论认证等级都必须达到Achilles Level2或同等能力。

EDSA认证要求如图4所示。

图4 EDSA认证要求

EDSA认证内容主要包括：

（1）软件开发安全评估

软件开发安全评估主要认证软件安全开发流程，覆盖需求、设计、实现和测试各个环节，与SDLA认证采取相同的标准和认证程序，但认证要求略有不同。

（2）安全测试

基于黑盒的安全测试包括通讯健壮性测试和漏洞检测测试，综合了工业控制系统的特殊要求和IT信息安全认证的通用方法。

（3）安全功能评估

安全功能评估包括访问控制、使用控制等7个维度，采用设计文档审查和第三方独立测试验证相结合的方式开展。由EDSA认证等级确定安全功能的要求。

6　总结与展望

本文分析了网络化控制系统的发展趋势和脆弱性，并结合目前针对工业控制系统的典型攻击模式，建立安全威胁模型。在此基础上，提出了网络化控制系统基于内建安全的安全防护设计方法，包括分层分域安全网络架构、控制内核自主可信、入侵容忍和系统自愈、数据安全监护以及网络在线监测等，逐步建立内建安全技术体系，以及安全认证方法，实现功能安全、信息安全和操作安全一体化目标。

ISASecure EDSA认证是国际上第一个真正针对工业控制系统内建安全的综合性认证体系，具有较强的参考价值和指导作用。然而，由于EDSA认证必须开放设计机制、开发过程文档甚至代码，而且资料会被备份至认证方国家，存在较大的安全隐患。因此，ISASecure EDSA认证在国内推广依然是个难题，必须先解决资料泄漏的后顾之忧。

★基金项目：国家重点研发计划网络空间安全专项经费资助（装备研制与安全测评，课题编号：2016YFB0800205）

参考文献：

[1] Washington. D.C.: U.S. Department of Energy Office of Energy Assurance. 21 steps to improve cyber security of SCADA networks[EB/OL]. https://energy.gov/sites/prod/files/oeprod/DocumentsandMedia/21_Steps_-_SCADA.pdf, 2002/2017-08-14.

[2] U.S. Department of Homeland Security. Catalog of control systems security: Recommendations for standards developers[Z]. 2011.

[3] M. F. David Kuipers. Control systems cyber security: Defense in depth strategies[J]. U.S. Department of Homeland Security, Tech. Rep, May 2006.

[4] D. Kilman, J. Stamp. Framework for SCADA security policy[EB/OL]. https://www.energy.gov/sites/prod/files/ Framework%20for%20SCADA%20Security%20Policy.pdf, 2005/2017-08-14.

[5] Kushner D. The real story of stuxnet[J]. ieee Spectrum, 2013, 50 ( 3 ) : 48 - 53.

[6] Guo Y, Cheng C, Xin X, et al. OPC Communication Protection Method Based on Access Control and Anomaly Traffic Detection[C]. Internet of Things (iThings) and IEEE Green Computing and Communications (GreenCom) and IEEE Cyber, Physical and Social Computing (CPSCom) and IEEE Smart Data (SmartData), 2016 IEEE International Conference on. IEEE, 2016: 732 - 737.

[7] Khan R, Maynard P, McLaughlin K, et al. Threat Analysis of BlackEnergy Malware for Synchrophasor based Real-time Control and Monitoring in Smart Grid[A]. ICS-CSR, 2016.

[8] Li X, Wang Y, Shi F, et al. Crawler for Nodes in the Internet of Things[J]. ZTE Communications, 2015, 3: 009.

[9] Green B, Frey S A F, Rashid A, et al. Testbed diversity as a fundamental principle for effective ICS security research[J]. SERECIN, 2016.

作者简介：

陆卫军（1977-），男，浙江杭州人，高级工程师，学士，现就职于浙江中控技术股份有限公司，研究方向是控制系统新技术研究。

黄文君（1972-），男，浙江绍兴人，研究员，硕士，现就职于浙江中控技术股份有限公司，研究方向是控制系统及工业软件研究。

章　维（1981-），男，浙江宁波人，高级工程师，硕士，现就职于浙江中控技术股份有限公司，研究方向是工业通讯及工控安全。

陈银桃（1984-），女，浙江温州人，工程师，硕士，现就职于浙江中控技术股份有限公司，研究方向是工业通讯。

摘自《自动化博览》2019年2月刊