【背景簡介】北京網藤科技有限公司（簡稱“網藤科技”）是一家以工業控制網絡安全為核心，專注于智能工業網絡安全解決方案的高科技創新企業。網藤科技深耕于石化、電力、冶金、軌道交通、煙草、測評中心等國家重點行業，以持續創新驅動引領行業未來，以業界領先自主研發團隊和行業頂級專家團隊為核心的研發體系不斷完善產品線。以客戶需求為導向，提供覆蓋設備檢測、安全服務、威脅管理、安全數據庫、智能保護、監測審計的自主、可控、安全的全生命周期解決方案。

筆者現為網藤科技“藤”安全實驗室研究員，主要負責工控協議DPI，以及工控安全策略研究，在工業控制領域有較深厚的理論基礎和較豐富的實踐經驗。

一、 工控安全現狀

1. 工業控制系統安全現狀

現代工業控制企業不僅包括生產控制系統，同時還包括生產管理和質量控制等的信息管理系統，控制系統和信息系統的兩化融合已經成為大勢所趨，生產控制系統與管理信息系統的互聯已經成為ICS的基本架構，據監測統計數據顯示，截止到2017年11月，全球范圍內直接暴露在互聯網上的工業控制系統數量已超過10萬個，相比2016年上升了43%。

據卡巴斯基發布的關于ICS系統威脅的報告顯示，其研究的約188019套ICS中，91.1%存在漏洞，超過87%的系統具有中等或以上安全漏洞，7%的系統具有嚴重安全漏洞。國家信息安全漏洞庫(CNNVD)公布的2017年全年漏洞數量為14,748個，2016年全年的漏洞總數為8,753個，年增長率至少上升70%。而CNNVD自正式統計漏洞數量以來，從2010年至2016年，增長率最高才為20%。另外，美國國家漏洞庫(NVD)以及公共漏洞披露平臺(CVE)公布的漏洞數量統計數據如下表示：

由于黑客大會、白帽社區、開源社區的出現，可以越來越容易地獲得工控系統的攻擊方法，同時大量的工控系統的安全漏洞及利用方法也都可通過公開或半公開的渠道獲得，這些都極大的降低了針對工控系統進行網絡攻擊的難度。

2. 工業控制系統的安全漏洞分析

工業控制系統在設計之初，由于資源受限，非面向互聯網等原因，為保證實時性和可用性，工業控制系統各層普遍缺乏安全性設計，具體表現在以下幾個方面：

 （1）工控協議通信沒有加密，所有通信報文明碼傳輸，沒有認證機制；

 （2）關鍵主機操作系統基于windows平臺，而windows平臺本身就存在大量的安全漏洞，但是工業控制系統為了穩定運行，通常不打補丁。殺毒軟件在工控系統上使用之前必須經過嚴格的離線檢測，所以為了控制系統的可用性，很多現場的關鍵主機也通常不裝殺毒軟件，導致大量的工控主機運行在無殺毒軟件，不打補丁的環境下，極大的增加了安全風險；

 （3）工控系統設計上追求可用性而犧牲安全性，普遍缺乏完整的安全策略和管理流程，給安全帶來極大隱患；

 （4）缺乏對工業控制系統的安全審計，事故分析困難。

二、 工控安全審計產品簡介

1. 工控安全審計產品的必要性

工控安全審計系統是通過對工業控制系統網絡中實際通信流量進行采集，并基于對工業控制協議（如OPC Classic、Modbus TCP、IEC 60870-5-104、DNP3、S7等）的通信報文進行深度解析，通過實時動態分析、數據流監控、網絡行為審計等技術，快速識別工業控制網絡中存在的異常行為，實現實時檢測針對工業協議的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播的行為并實時報警，同時詳實記錄一切網絡通信行為，包括指令級的工業控制協議通信記錄，為工業控制系統的安全事故調查提供堅實的基礎。工控安全審計產品已經成為現階段工業控制系統信息安全防護的一個非常重要的組成部分。

工控安全審計產品專門針對工業控制網絡的信息安全進行審計。它采用旁路部署，對工業生產過程“零風險”。

2. 工控安全審計產品基本功能匯總

工控安全審計產品實現的核心功能包括：

（1）網絡實時流量審計：不間斷地采集并實時監測網絡數據流量，發現異常、實時告警（可監測網絡風暴，ARP攻擊等網絡事件）。

（2）異常數據告警：基于對工控協議的深度數據包解析，通過自學習算法建立正常通信行為基線，然后對工控網絡中實際采集的工控協議數據包的解析結果與正常行為基線進行比較，當實際行為偏離正常行為基線時實施報警。

（3）通信行為追溯：對獲取的網絡通信數據包進行全方位的記錄，并支持對記錄進行回溯，支持生成所有網絡行為的審計日志記錄，為工業控制系統的安全事故調查提供詳實的依據。

三、 工控安全審計的技術實現

1. 當前工控安全審計產品技術實現的現狀

基于對現階段大多數工控安全審計產品的實際調研，匯總現階段相關產品的主要技術實現如下：

（1）指令級審計

針對工控協議中核心的功能指令進行指令級審計，審計內容包括：非法指令碼審計，與可能的攻擊有關聯關系的指令碼審計，與特定行為事件有關聯關系的指令碼審計，基于頻數統計分析的異常指令碼審計等等指令級審計。

（2）參數閾值級審計

針對工控協議中數據字段區的實現讀或寫功能指令的數據值進行參數閾值級審計，審計內容包括：數據值是否超過設定的上限值或下限值審計，數據值是否偏離歷史均值超過設定的最大偏差范圍的審計等等參數閾值級審計。

（3）工控協議審計

審計通信協議違規端口，畸形協議報文審計（包括不符合協議規約規定格式的工業控制協議報文，異常的控制命令，異常的控制點位，異常的控制值等等），協議攜帶數據異常審計（包括整體報文數據攜帶異常和數據區數據攜帶異常）等等基于工控協議的審計。

（4）環境級審計

IP無流量事件審計，工控網絡內工控協議流量分析審計，出現未知設備審計，原有存活設備丟失審計，IP地址和MAC地址綁定變化審計，設備之間的訪問關系變更審計，基于五元組的異常審計，基于時間段流量閾值審計，發現郵箱服務（識別郵箱服務器），發現FTP訪問（識別FTP服務器），發現Telnet訪問，發現Http訪問（源IP、MAC地址，目的URL）等等環境相關的變更審計。

（5）行為級審計

關鍵行為事件審計，包括數據采集行為，組態變更行為、應用程序下載、控制指令下發行為，負載變更行為等等行為級事件審計。

2. 當前工控安全審計產品技術實現的不足之處

上述列舉的審計技術是目前工控網絡安全審計產品的一個總體技術實施思路。這種傳統的思路應用于不同的實際工業環境下時顯示出一些不足之處。具體表現在不同的行業都有各自不同于其它行業的獨特工藝，冶金行業和石油石化行業在控制工藝上就會有很大的差別。現有的安全審計的審計深度最多只能達到行為級，而且完全基于對工控協議的深度解析，沒有考慮到不同工藝應用環境，也就是說如果現場實際使用的工控協議是相同的情況下，在冶金行業使用的安全審計產品和在石油石化行業使用的其實是同一個產品，這顯然與實際上兩個行業很大的工藝差異是明顯不符的，其實際的審計效果也很難真實的精準的滿足用戶的需求。

不同的行業都有各自不同于其它行業的獨特工藝，而基于這些獨特控制工藝的控制業務流程也同樣具有獨特性，某一種數據特征或行為特征對某一個行業工藝來說是可以允許的，但對于另外一個行業工藝而言，它很可能是有害的，甚至是危險的。如何讓安全審計產品在進行安全審計過程中能區別對待這兩種不同的業務流程應用環境，在該告警的時候告警，在不該告警的時候不告警，有效減少漏報和誤報的發生，這就要求工控安全審計產品在技術實現上需要考慮到基于控制工藝的控制業務流程因素，否則勢必會造成控制業務流程差異很大的兩個應用環境下使用相同的安全審計技術手段，其實際效果可想而知。

鑒于上述列舉的常規工控網絡安全審計產品在實際工業行業應用中的不足之處，我們提出了基于業務審計的工控安全審計的思路。

四、 基于業務審計的工控安全審計的必要性

在冶金行業，一座高爐會配置多座熱風爐交替進行燃燒和送風控制。當一座熱風爐送風一段時間后，輸出的熱風溫度滿足不了高爐所需的風溫時，需要進行熱風爐換爐操作，將另外一座已經燃燒好的熱風爐投入送風狀態，而后再將原送風的熱風爐轉為燃燒作業，燃燒好后改為燜爐狀態等待下一次換爐操作，因此熱風爐有燃燒、燜爐、送風這3種工作狀態。假設一座高爐配置了三座熱風爐，那么一般情況下采用 “兩燒一送”的工作方式。

在高爐熱風爐控制過程中，熱風爐換爐控制和熱風爐燃燒控制是兩個重要的控制過程，其中換爐控制主要包含燃燒轉送風和送風轉燃燒兩個不同的控制階段，這兩個換爐階段的具體控制工藝要求是：

① 燃燒轉送風：關煤氣調節閥→關煤氣閥→關助燃空氣調節閥→關燃燒閥→關助燃閥→開支管放散閥及蒸汽閥→關煙道閥→開冷風旁通閥（充壓）待爐內壓力充滿后→開熱風閥→開冷風閥→關冷風旁通閥；

② 送風轉燃燒：關冷風閥→關熱風閥→開廢氣閥，待放凈廢氣后→開煙道閥→關廢氣閥→關支管放散閥及蒸汽閥→開助燃空氣閥→開燃燒閥→開煤氣閥→開助燃空氣調節閥→調節煤氣與空氣配比。

熱風爐燃燒控制方面，主要的控制工藝要求是在燃燒控制初期應盡量加大煤氣量和空氣量，實現快速燒爐，使爐頂溫度盡快達到規定值，爐頂溫度達到規定值后應加大空氣量來保持爐頂溫不在上升，使爐子中、下部溫度上升，擴大蓄熱量，滿足高爐的需要。

下面就以高爐熱風爐控制中的這兩個典型控制過程作為假想的場景簡要說明基于業務審計的工控安全審計的必要性：

1. 孤立的指令正常，但組合起來構成行為異常

高爐熱風爐控制中的換爐控制會涉及到多個閥門的控制，所有這些閥門必須要按照規定的順序動作，孤立地來看，關閉燃燒閥和打開送風閥均是正常的操作，但是如果它們之間的動作的先后順序發生改變時，其結果就完全不同了，以燃燒轉送風為例，該階段的控制工藝要求是：關煤氣調節閥→關煤氣閥→關助燃空氣調節閥→關燃燒閥→關助燃閥→開支管放散閥及蒸汽閥→關煙道閥→開冷風旁通閥（充壓）待爐內壓力充滿后→開熱風閥→開冷風閥→關冷風旁通閥。在燃燒轉送風控制階段，如果出現在各燃燒閥沒有全關的情況下就開啟與送風相關的閥門，那么對熱風爐的控制將會是危險的，從實際工藝要求的角度，上述情況一旦發生，審計系統是應該有告警輸出的。而現階段的安全審計產品在進行安全審計時沒有將上述工藝業務流程中相關閥門動作順序的因素考慮進去，如果實際中真的發生了上面描述的情形時審計系統將不會告警，出現嚴重的漏報，如果能將上述的工藝要求融合進審計規則的制定，同時對網絡中采集的真實數據包做解析，將結果進行過濾和排序，發現動作的順序異常即告警，這樣當上面描述的危險情形發生時就不會出現這種漏報。

2. 孤立的數值正常，但組合起來構成的行為異常

同樣以高爐熱風爐的換爐控制為例，在熱風爐換爐時，由于沖壓不當或換爐操作失誤等多種原因可能造成風壓波動，但是風壓波動范圍必須小于5Kpa，一旦出現風壓波動超過范圍的情形，會對熱風爐控制產生較嚴重的影響，從實際業務的角度，上述情況一旦發生，審計系統是應該有告警輸出的。但是對于常規的安全審計產品，只要風壓的絕對值不超過風壓設定的上限值或下限值，無論實際發生什么，均會視為正常而不會告警輸出，但實際情況是，如果孤立地看數值正常的參數的數值變化率超過工藝規定的數值，同時該情形發生在特定的控制階段時，對熱風爐控制會產生較嚴重的影響，它的出現就很可能預示著一種惡意的攻擊行為，是需要告警輸出的，如果沒有告警即為漏報。而如果將工藝業務流程中有關這種涉及正常數據的特定組合違背控制工藝要求的因素考慮進去的話，那么實際中真的發生了上面描述的情形時審計系統就會告警，避免出現嚴重的漏報。

3. 關鍵工藝參數設置違反工藝要求

同樣是高爐熱風爐控制，在燒爐階段的控制原則是：在燒爐初期應盡量加大煤氣量和空氣量，實現快速燒爐，使爐頂溫度盡快達到規定值，爐頂溫度達到規定值后，應加大空氣量來保持爐頂溫度不再上升，使爐子中、下部溫度上升，擴大蓄熱量，滿足高爐的需要。如果在爐頂溫度已經達到規定值的情況下依然嘗試提高爐頂溫度的行為，對于熱風爐的控制而言是危險的，是需要審計系統告警提示的。但是常規的基于工控協議解析的審計系統只會單純的判斷設定值是否超限，因為它沒有考慮相關的工藝信息，也就不知道要判斷兩個合理的設定值在特定的工藝環境下是否合理，因而會出現漏報。

4. 缺乏專門針對控制業務流程的更加有效的告警信息

常規的工控安全審計產品基于工控協議解析發現網絡異常后的告警信息，往往只是反映其非常浮于表面的信息提示，無法讓操作人員非常直觀和直接的了解到告警所表達的實質的信息，只有將工藝業務流程信息融入到安全審計產品的審計規則中，審計產品才有可能生成以實際符合控制工藝的語言進行告警信息的輸出。以上面的熱風爐換爐控制的實例為例，常規的單純基于協議解析（假設為Modbus協議）的安全審計產品提供的告警信息很可能會是【1、寄存器000001被寫入數值1】、【2、寄存器000002被寫入數值1】，該告警信息的可觀性顯然較低，如果融入相關的工藝業務流程信息后，同樣的情形下，提供的報警信息將會是【熱風爐換爐過程中先打開了送風閥，后關閉了燃燒閥，屬于違規操作】，該告警信息的可觀性顯然高了許多，而且緊緊貼合現場實際的控制業務流程，具體操作人員對告警信息的了解會非常清晰，也會是現場操作人員非常希望看到的告警信息。

五、 基于業務審計的工控安全審計的具體技術實現設想

基于業務審計的工控安全審計的技術實現的核心是將基于控制工藝的控制業務流程融入安全審計產品的技術策略中，在具體的技術實現上需要將重點的工藝控制要求進行梳理和匯總，提供給工控網絡安全審計產品的設計人員，設計人員結合匯總的工藝要求和對協議的深度解析，定制化的進行工控網絡安全審計產品攻擊告警規則庫的更新，制定與實際應用環境的控制工藝深度融合的定制化的規則庫，具體的實現步驟可簡單的概括為以下幾個步驟：

1. 實現變量地址到工藝變量表述的轉換

工控安全審計產品必須輸出與現場實際工藝深度融合的告警信息，而要實現這個目標，首要的基本前提是必須將采集的工控網絡真實數據包直接解析的變量地址翻譯成實際控制工藝中對應的工藝變量表述后使用到審計產品的告警信息中，例如：將保持寄存器地址 400001 翻譯成為1#熱風爐爐溫，寄存器 00001 翻譯成 1#熱風爐燃燒閥關閉命令，應用于告警信息中。實現的方法可以是將軟件編程中的變量申明表導出成一個Excel文件，工控安全審計產品將解析到的變量地址與Excel文件進行檢索查詢，獲得該變量地址在本項目配置中的變量描述，在后期的告警信息生成的過程中使用該變量描述替代所有對應于變量地址的位置，實現變量地址與工藝變量表述之間的轉換。

2. 梳理工控業務流程并匯總關鍵工藝控制要求

實現該步驟功能有三種具體的實現方法：① 現場的工藝專家提供支持和配合，由工藝專家將重點的工藝控制要求進行梳理和匯總，提交給工控網絡安全審計產品的設計人員；② 現場人員盡可能詳細地提供現場的相關工藝設計文檔，由審計產品設計人員進行梳理和匯總；③ 完全由審計產品設計人員自己根據通用的業務工藝梳理和匯總。就最終實現結果的有效性和準確性而言，方法①是最佳的實現方法，但該方法需要現場積極配合，實際實施具有一定的不確定性；方法②和③對審計產品設計人員會提出很高的要求，他必須熟悉現場生產的通用控制工藝，同時還要清楚實際工藝現場的特殊性，準確性會因不同人而產生不同程度的偏差，但該類方法對現場配合度的要求很低。

3. 生成告警規則庫

安全審計產品的設計人員依據步驟2匯總的工藝控制要求，定制化的編制工控網絡安全審計產品攻擊告警規則庫。同時設計人員可以以操作界面的形式提供在線的根據工藝要求變更的靈活的添加和刪除告警規則庫的功能。