摘要：當(dāng)前工控網(wǎng)絡(luò)安全審計(jì)產(chǎn)品的總體技術(shù)實(shí)施思路基本側(cè)重于指令級(jí)審計(jì)、參數(shù)閾值級(jí)審計(jì)、工控協(xié)議審計(jì)、環(huán)境級(jí)審計(jì)、行為級(jí)審計(jì)等方面，這種傳統(tǒng)的思路應(yīng)用于不同的實(shí)際工業(yè)環(huán)境下時(shí)顯示出一些不足之處。具體表現(xiàn)在不同的行業(yè)都有各自不同于其它行業(yè)的獨(dú)特工藝，脫離不同行業(yè)的控制工藝以及實(shí)際工業(yè)流程的傳
統(tǒng)審計(jì)顯得深度不夠，其實(shí)際的審計(jì)效果也很難真實(shí)、精準(zhǔn)地滿(mǎn)足用戶(hù)需求。
　　基于工業(yè)流程分析的工控安全審計(jì)的技術(shù)實(shí)現(xiàn)的核心是將基于控制工藝的控制業(yè)務(wù)流程融入安全審計(jì)產(chǎn)品的技術(shù)策略中，在具體的技術(shù)實(shí)現(xiàn)上需要將重點(diǎn)的工藝控制要求進(jìn)行梳理和匯總，提供給工控網(wǎng)絡(luò)安全審計(jì)產(chǎn)品的設(shè)計(jì)人員，設(shè)計(jì)人員結(jié)合匯總的工藝要求和對(duì)協(xié)議的深度解析，定制化的進(jìn)行工控網(wǎng)絡(luò)安全審計(jì)產(chǎn)品攻擊告警規(guī)則庫(kù)的更新，制定與實(shí)際應(yīng)用環(huán)境的控制工藝深度融合的定制化的規(guī)則庫(kù)。

1　工控安全現(xiàn)狀

現(xiàn)代工業(yè)控制企業(yè)的控制系統(tǒng)不僅包括生產(chǎn)和控制系統(tǒng)，同時(shí)還包括市場(chǎng)分析、財(cái)務(wù)計(jì)劃、生產(chǎn)管理及質(zhì)量控制等信息管理系統(tǒng)，信息化和工業(yè)化的兩化融合已經(jīng)成為大勢(shì)所趨，這意味著工業(yè)控制系統(tǒng)越來(lái)越走向開(kāi)放和互聯(lián)，現(xiàn)階段生產(chǎn)控制系統(tǒng)與管理信息系統(tǒng)的互聯(lián)已經(jīng)成為ICS的基本架構(gòu)，工業(yè)控制系統(tǒng)與外界完全隔離幾乎成為不可能。另外，維護(hù)用的移動(dòng)設(shè)備或移動(dòng)電腦也打破了系統(tǒng)與外界的隔離，打開(kāi)了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之門(mén)。另外，根據(jù)監(jiān)測(cè)統(tǒng)計(jì)數(shù)據(jù)發(fā)現(xiàn)，截止到2017年11月，全球范圍內(nèi)暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)及設(shè)備數(shù)量已超過(guò)10萬(wàn)個(gè)，相比2016年年底上升43%。

自2010年以來(lái)，工業(yè)信息安全事件呈現(xiàn)逐年上升的趨勢(shì)，特別是2015年以來(lái)，每年發(fā)生的安全事件數(shù)量接近300起；關(guān)鍵制造、通信、能源、供水和市政設(shè)施是安全事件發(fā)生較多的前五個(gè)行業(yè)。

與上述嚴(yán)峻的安全形勢(shì)相對(duì)應(yīng)的，由于黑客大會(huì)、白帽社區(qū)、開(kāi)源社區(qū)的出現(xiàn)，獲得工控系統(tǒng)的攻擊方法越來(lái)越容易，大量工控系統(tǒng)軟硬件設(shè)備的安全漏洞及利用方法可通過(guò)公開(kāi)或半公開(kāi)的渠道獲得，這些都極大地降低了針對(duì)工控網(wǎng)絡(luò)攻擊的難度。

2　工控安全審計(jì)產(chǎn)品簡(jiǎn)介

2.1　工控安全審計(jì)產(chǎn)品的必要性

工控安全審計(jì)系統(tǒng)，是通過(guò)對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中實(shí)際通信流量進(jìn)行采集，并基于對(duì)工業(yè)控制協(xié)議（如OPC Classic、Modbus TCP、IEC60870-5-104、DNP3、S7等）的通信報(bào)文進(jìn)行深度解析，通過(guò)實(shí)時(shí)動(dòng)態(tài)分析、數(shù)據(jù)流監(jiān)控、網(wǎng)絡(luò)行為審計(jì)等技術(shù)，快速識(shí)別工業(yè)控制網(wǎng)絡(luò)中存在的異常行為，實(shí)現(xiàn)實(shí)時(shí)檢測(cè)針對(duì)工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶(hù)誤操作、用戶(hù)違規(guī)操作、非法設(shè)備接入以及蠕蟲(chóng)、病毒等惡意軟件的傳播的行為并實(shí)時(shí)報(bào)警，同時(shí)詳實(shí)記錄一切網(wǎng)絡(luò)通信行為，包括指令級(jí)的工業(yè)控制協(xié)議通信記錄，為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅(jiān)實(shí)的基礎(chǔ)。鑒于上述原因，工控安全審計(jì)產(chǎn)品已經(jīng)成為現(xiàn)階段工業(yè)控制系統(tǒng)信息安全防護(hù)的一個(gè)非常重要的組成部分。

工控安全審計(jì)產(chǎn)品專(zhuān)門(mén)針對(duì)工業(yè)控制網(wǎng)絡(luò)的信息安全進(jìn)行審計(jì)。它采用旁路部署，對(duì)工業(yè)生產(chǎn)過(guò)程“零風(fēng)險(xiǎn)”。如圖1所示。

圖1 工控安全審計(jì)產(chǎn)品

2.2　工控安全審計(jì)產(chǎn)品基本功能匯總

工控安全審計(jì)產(chǎn)品實(shí)現(xiàn)的基本功能，可以匯總為以下基本的核心功能：

（1）網(wǎng)絡(luò)實(shí)時(shí)流量審計(jì)：不間斷地采集并實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)流量，發(fā)現(xiàn)異常時(shí)實(shí)時(shí)告警（可監(jiān)測(cè)網(wǎng)絡(luò)風(fēng)暴、ARP攻擊等網(wǎng)絡(luò)事件）。

（2）異常數(shù)據(jù)告警：基于對(duì)工控協(xié)議的深度數(shù)據(jù)包解析，通過(guò)自學(xué)習(xí)算法建立正常通信行為基線(xiàn)，然后對(duì)工控網(wǎng)絡(luò)中實(shí)際采集的工控協(xié)議數(shù)據(jù)包的解析結(jié)果與正常行為基線(xiàn)進(jìn)行比較，當(dāng)實(shí)際行為偏離正常行為基線(xiàn)時(shí)實(shí)施報(bào)警。

（3）通信行為追溯：對(duì)獲取的網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行全方位的記錄，并支持對(duì)記錄進(jìn)行回溯，支持生成
所有網(wǎng)絡(luò)行為的審計(jì)日志記錄，為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供詳實(shí)的依據(jù)。

3　工控安全審計(jì)的技術(shù)實(shí)現(xiàn)

基于對(duì)現(xiàn)階段大多數(shù)的工控安全審計(jì)產(chǎn)品功能實(shí)現(xiàn)的實(shí)際調(diào)研，匯總現(xiàn)階段相關(guān)產(chǎn)品的主要技術(shù)實(shí)現(xiàn)如下：

3.1　指令級(jí)審計(jì)

針對(duì)工控協(xié)議中核心的功能指令進(jìn)行指令級(jí)審計(jì)，審計(jì)內(nèi)容包括：非法指令碼審計(jì)，與可能的攻擊有關(guān)聯(lián)關(guān)系的指令碼審計(jì)，與特定行為事件有關(guān)聯(lián)關(guān)系的指令碼審計(jì)，基于頻數(shù)統(tǒng)計(jì)分析的異常指令碼審計(jì)等指令級(jí)審計(jì)。

3.2　參數(shù)閾值級(jí)審計(jì)

針對(duì)工控協(xié)議中數(shù)據(jù)字段區(qū)的實(shí)現(xiàn)讀或?qū)懝δ苤噶畹臄?shù)據(jù)值進(jìn)行參數(shù)閾值級(jí)審計(jì)，審計(jì)內(nèi)容包括：數(shù)據(jù)值是否超過(guò)設(shè)定的上限值或下限值審計(jì)，數(shù)據(jù)值是否偏離歷史均值超過(guò)設(shè)定的最大偏差范圍的審計(jì)等參數(shù)閾值級(jí)審計(jì)。

3.3　工控協(xié)議審計(jì)

審計(jì)通信協(xié)議違規(guī)端口，畸形協(xié)議報(bào)文審計(jì)（包括不符合協(xié)議規(guī)約規(guī)定格式的工業(yè)控制協(xié)議報(bào)文、異常的控制命令、異常的控制點(diǎn)位、異常的控制值等），協(xié)議攜帶數(shù)據(jù)異常審計(jì)（包括整體報(bào)文數(shù)據(jù)攜帶異常和數(shù)據(jù)區(qū)數(shù)據(jù)攜帶異常）等基于工控協(xié)議的審計(jì)。

3.4　環(huán)境級(jí)審計(jì)

IP無(wú)流量事件審計(jì)，工控網(wǎng)絡(luò)內(nèi)工控協(xié)議流量分析審計(jì)，出現(xiàn)未知設(shè)備審計(jì)，原有存活設(shè)備丟失審計(jì)，IP地址和MAC地址綁定變化審計(jì)，設(shè)備之間的訪(fǎng)問(wèn)關(guān)系變更審計(jì)，基于五元組的異常審計(jì)，基于時(shí)間段流量閾值審計(jì)，發(fā)現(xiàn)郵箱服務(wù)（識(shí)別郵箱服務(wù)器），發(fā)現(xiàn)FTP訪(fǎng)問(wèn)（識(shí)別FTP服務(wù)器），發(fā)現(xiàn)Telnet訪(fǎng)問(wèn)，發(fā)現(xiàn)Http訪(fǎng)問(wèn)（源IP、MAC地址，目的URL）等環(huán)境相關(guān)的變更審計(jì)。

3.5　行為級(jí)審計(jì)

關(guān)鍵行為事件審計(jì)，包括數(shù)據(jù)采集行為，組態(tài)變更行為、應(yīng)用程序下載、控制指令下發(fā)行為，負(fù)載變更行為等行為級(jí)事件審計(jì)。

4　基于業(yè)務(wù)審計(jì)的工控安全審計(jì)的必要性

在冶金行業(yè)，一座高爐會(huì)配置多座熱風(fēng)爐交替進(jìn)行燃燒和送風(fēng)控制。當(dāng)一座熱風(fēng)爐送風(fēng)一段時(shí)間后，輸出的熱風(fēng)溫度滿(mǎn)足不了高爐所需的風(fēng)溫時(shí)，需要進(jìn)行熱風(fēng)爐換爐操作，將另外一座已經(jīng)燃燒好的熱風(fēng)爐投入送風(fēng)狀態(tài)，而后再將原送風(fēng)的熱風(fēng)爐轉(zhuǎn)為燃燒作業(yè)，燃燒好后改為燜爐狀態(tài)等待下一次換爐操作，因此熱風(fēng)爐有燃燒、燜爐、送風(fēng)3種工作狀態(tài)。假設(shè)一座高爐配置了三座熱風(fēng)爐，那么一般情況下采用 “兩燒
一送”的工作方式。如圖2所示。

圖2 熱風(fēng)爐

在高爐熱風(fēng)爐控制過(guò)程中，熱風(fēng)爐換爐控制和熱風(fēng)爐燃燒控制是兩個(gè)重要的控制過(guò)程，其中換爐控制主要包含燃燒轉(zhuǎn)送風(fēng)和送風(fēng)轉(zhuǎn)燃燒兩個(gè)不同的控制階段，這兩個(gè)換爐階段的具體控制工藝要求是：

燃燒轉(zhuǎn)送風(fēng)：關(guān)煤氣調(diào)節(jié)閥→關(guān)煤氣閥→關(guān)助燃空氣調(diào)節(jié)閥→關(guān)燃燒閥→關(guān)助燃閥→開(kāi)支管放散閥及蒸汽閥→關(guān)煙道閥→開(kāi)冷風(fēng)旁通閥（充壓）待爐內(nèi)壓力充滿(mǎn)后→開(kāi)熱風(fēng)閥→開(kāi)冷風(fēng)閥→關(guān)冷風(fēng)旁通閥。

送風(fēng)轉(zhuǎn)燃燒：關(guān)冷風(fēng)閥→關(guān)熱風(fēng)閥→開(kāi)廢氣閥，待放凈廢氣后→開(kāi)煙道閥→關(guān)廢氣閥→關(guān)支管放散閥及蒸汽閥→開(kāi)助燃空氣閥→開(kāi)燃燒閥→開(kāi)煤氣閥→開(kāi)助燃空氣調(diào)節(jié)閥→調(diào)節(jié)煤氣與空氣配比。

熱風(fēng)爐燃燒控制方面主要的控制工藝要求是在燃燒控制初期應(yīng)盡量加大煤氣量和空氣量，實(shí)現(xiàn)快速燒爐，使?fàn)t頂溫度盡快達(dá)到規(guī)定值，爐頂溫度達(dá)到規(guī)定值后應(yīng)加大空氣量來(lái)保持爐頂溫不在上升，使?fàn)t子中、下部溫度上升，擴(kuò)大蓄熱量，滿(mǎn)足高爐的需要。

（1）孤立的指令正常，但組合起來(lái)構(gòu)成行為異常

高爐熱風(fēng)爐控制中的換爐控制會(huì)涉及到多個(gè)閥門(mén)的控制，所有這些閥門(mén)必須要按照規(guī)定的順序動(dòng)作，孤立地來(lái)看，關(guān)閉燃燒閥和打開(kāi)送風(fēng)閥均是正常的操作，但是如果它們之間的動(dòng)作的先后順序發(fā)生改變時(shí)，其結(jié)果就完全不同。在燃燒轉(zhuǎn)送風(fēng)控制階段，如果出現(xiàn)在各燃燒閥沒(méi)有全關(guān)的情況下就開(kāi)啟與送風(fēng)相關(guān)的閥門(mén)，那么對(duì)熱風(fēng)爐的控制將會(huì)是危險(xiǎn)的。現(xiàn)階段的安全審計(jì)產(chǎn)品在進(jìn)行安全審計(jì)時(shí)沒(méi)有將上述工藝業(yè)務(wù)流程中有關(guān)相關(guān)閥門(mén)的動(dòng)作順序的因素考慮進(jìn)去。如果能將上述的工藝要求融合進(jìn)審計(jì)規(guī)則的制定，進(jìn)行相關(guān)性建模，將很好地避免業(yè)務(wù)危險(xiǎn)情形發(fā)生時(shí)的漏報(bào)。

（2）孤立的數(shù)值正常，但組合起來(lái)構(gòu)成的行為異常

在熱風(fēng)爐換爐時(shí)，由于沖壓不當(dāng)或換爐操作失誤等多種原因可能造成風(fēng)壓波動(dòng)，但是風(fēng)壓波動(dòng)范圍必須小于5kPa，一旦出現(xiàn)風(fēng)壓波動(dòng)超過(guò)范圍的情形，會(huì)對(duì)熱風(fēng)爐控制產(chǎn)生較嚴(yán)重的影響。常規(guī)的安全審計(jì)產(chǎn)品，只要風(fēng)壓的絕對(duì)值不超過(guò)風(fēng)壓設(shè)定的上限值或下限值，均會(huì)視為正常而不會(huì)告警輸出。如果孤立地看數(shù)值正常的參數(shù)的數(shù)值變化率并沒(méi)有超過(guò)工藝規(guī)定的數(shù)值，但是該情形發(fā)生在特定的控制階段時(shí)，對(duì)熱風(fēng)爐控制會(huì)產(chǎn)生較嚴(yán)重的影響。如果將工藝業(yè)務(wù)流程中有關(guān)這種涉及正常數(shù)據(jù)的特定組合違背控制工藝要求的因素考慮進(jìn)去的話(huà)，那么實(shí)際中真的發(fā)生了上面描述的情形時(shí)審計(jì)系統(tǒng)就會(huì)告警，避免出現(xiàn)嚴(yán)重的漏報(bào)。

（3）關(guān)鍵工藝參數(shù)設(shè)置違反工藝要求

高爐熱風(fēng)爐控制中，在燒爐階段的控制原則是：在燒爐初期應(yīng)盡量加大煤氣量和空氣量，實(shí)現(xiàn)快速燒爐，使?fàn)t頂溫度盡快達(dá)到規(guī)定值，爐頂溫度達(dá)到規(guī)定值后，應(yīng)加大空氣量來(lái)保持爐頂溫度不再上升，使?fàn)t子中、下部溫度上升，擴(kuò)大蓄熱量，滿(mǎn)足高爐的需要。如果在爐頂溫度已經(jīng)達(dá)到規(guī)定值的情況下依然嘗試提高爐頂溫度的行為，對(duì)于熱風(fēng)爐的控制而言是危險(xiǎn)的，是需要審計(jì)系統(tǒng)告警提示的。但是常規(guī)的基于工控協(xié)議解析的審計(jì)系統(tǒng)只會(huì)單純地判斷設(shè)定值是否超限，因?yàn)樗鼪](méi)有考慮相關(guān)的工藝信息，也就不知道要判斷兩個(gè)合理的設(shè)定值在特定的工藝環(huán)境下是否合理，因而會(huì)出現(xiàn)漏報(bào)。

5　基于業(yè)務(wù)審計(jì)的工控安全審計(jì)具體技術(shù)實(shí)現(xiàn)設(shè)想

基于業(yè)務(wù)審計(jì)的工控安全審計(jì)的技術(shù)實(shí)現(xiàn)的核心是分析業(yè)務(wù)流程，圍繞業(yè)務(wù)安全來(lái)強(qiáng)化審計(jì)產(chǎn)品的監(jiān)測(cè)核心點(diǎn)和核心指標(biāo)。設(shè)計(jì)人員結(jié)合匯總的工藝要求和對(duì)協(xié)議的深度解析，定制化地進(jìn)行工控網(wǎng)絡(luò)安全審計(jì)產(chǎn)品攻擊告警規(guī)則庫(kù)的更新，制定與實(shí)際應(yīng)用環(huán)境的控制工藝深度融合的定制化的規(guī)則庫(kù)，具體實(shí)現(xiàn)步驟可簡(jiǎn)單概括為以下幾個(gè)步驟：

5.1　實(shí)現(xiàn)變量地址到工藝變量表述的轉(zhuǎn)換

工控安全審計(jì)產(chǎn)品必須輸出與現(xiàn)場(chǎng)實(shí)際工藝深度融合的告警信息，而要實(shí)現(xiàn)這個(gè)目標(biāo)，首要的基本前提是必須將從采集的工控網(wǎng)絡(luò)真實(shí)數(shù)據(jù)包中直接解析到的變量地址翻譯成實(shí)際控制工藝中對(duì)應(yīng)的工藝變量表述后使用到審計(jì)產(chǎn)品的告警信息中，例如：將保持寄存器地址400001翻譯成1#熱風(fēng)爐爐溫，寄存器00001翻譯成1#熱風(fēng)爐燃燒閥關(guān)閉命令，應(yīng)用于告警信息中。

5.2　梳理工控業(yè)務(wù)流程并匯總關(guān)鍵工藝控制要求

現(xiàn)場(chǎng)的工藝專(zhuān)家提供支持和配合，由工藝專(zhuān)家將重點(diǎn)的工藝控制要求進(jìn)行梳理和匯總，由工控網(wǎng)絡(luò)安全審計(jì)產(chǎn)品的設(shè)計(jì)人員結(jié)合實(shí)現(xiàn)方式選擇工藝控制流程監(jiān)控核心點(diǎn)和核心指標(biāo)。

5.3　生成告警規(guī)則庫(kù)

安全審計(jì)產(chǎn)品的設(shè)計(jì)人員依據(jù)步驟5.2匯總的工藝控制要求，定制化的編制工控網(wǎng)絡(luò)安全審計(jì)產(chǎn)品攻擊告警規(guī)則庫(kù)。同時(shí)設(shè)計(jì)人員可以以操作界面的形式提供在線(xiàn)的根據(jù)工藝要求變更的靈活的添加和刪除告警規(guī)則庫(kù)的功能。

參考文獻(xiàn)：

[1] 北京網(wǎng)藤科技有限公司. 網(wǎng)藤工控安全審計(jì)系統(tǒng)產(chǎn)品白皮書(shū)[Z].

[2] 肖建榮. 工業(yè)控制系統(tǒng)信息安全[M]. 2015.

摘自《工業(yè)控制系統(tǒng)信息安全專(zhuān)刊（第五輯）》