1、引言

工业控制系统已广泛应用于钢铁冶金、石油炼化、有色加工、建材、化工、食品加工等[1-7]所有工业生产流程，工业控制系统是企业生产的灵魂和大脑，对于企业安全生产、稳定运行和品质管控具有重要意义。与其他生产流程相比，有色冶金普遍存在生产规模小、产链流程长、工业控制系统杂的问题，同时，各生产系统因建设时期不同，工业控制系统在体系架构、软硬件配置方面具有明显差异。随着近几年来工业网络安全事件不断曝光，工业网络安全得到相关部委和企业的极大关注[2,8,9]。但现有工业网络在网络威胁出现之前就已经建设完成，并没有内置的外部安全控制措施，更没有部署相关的防护设备[8-11]。

2、企业网络安全现状

工业控制网络是工业控制系统间高效协同工作的前提和基础，是用具有数字通信能力并能大量分散在生产现场的测量控制仪表作为网络节点而构成的。工业网络中通讯协议具有公开性，对于通信协议的要求高[8,10,12]，其主要目的是实现现场设备相关信息快速交互，达到人机高效协同、管控快速调度，但对工业网络是否安全却没有过多地考虑。

2.1企业生产网络基本结构

工业自动化和信息化技术已广泛深入企业生产流程，如图1所示是企业信息化建设工业生产网络的典型应用，其网络根据实际功能划分为工控网、生产网和管理网三层结构。数采网关通过Modbus RTU/Modbus TCP、OPC等多种通讯协议对工控侧生产数据进行采集，经协议变换转发后，接入企业MES系统。企业根据实际生产需求对MES平台的相应的模块进行功能化扩展和人机界面组态，最终以Web形式在企业管理网络内发布，受多种因素制约，有色企业MES系统建设期间很少涉及到工业网络的安全管控问题，仅仅在管理网和生产网的边界，为阻止管理网病毒向工控网侵入，多数企业在生产网与管理网之间增加防毒墙进行粗粒度策略管控。

图1 企业生产网络基本结构

2.2工控网络典型结构

有色金属生产企业的工业控制系统普遍存在着新老交替、品牌众多，通讯接口复杂多样的情况。图2(a）、（b）、（c）是有色企业生产现场三种典型的工业控制系统网络结构。2(a）是在工控网络结构相对经典、存续时间最长的一种拓扑网络，这种网络结构的特点是工业控制器通过工控HMI平台配置的协议类型由现场总线与控制室操作站/工程师站进行数据通讯，该操作站/工程师站则由工业交换机与其他操作站互连。2(b）工控网络是较为常见的结构，也是大多数工控厂商推广的工控网络互联方式。其特点是操作站和工控系统控制器通过交换机直接建立通讯连接，可以避免或降低2(a）中因服务器异常所导致的问题。有色金属流程长，为降低工业控制系统复杂度，往往在不同工序设置相应的控制系统，如图2(c）所示。

图2 工业控制系统网络基本结构

2.3工控网络存在的问题

工控网络的主要目的是将生产流程主要检测参数、执行机构与工业控制系统及生产决策操作人员之间信息即时交互，达到人、机、物的高效协同控制，但由于工控网络存在更新迭代慢、通讯协议繁多、通讯多数采用通用明文协议、传输实时性高的特征，其网络结构及其复杂度比管理网络和公用网络相对复杂，传统管理策略很难在工控网络中实施。从系统综合防护的视角考虑，现有工控网络主要存在如下问题。

2.3.1系统缺少必要的防护策略

有色企业所构建的生产网设计的理念是采用封闭独立，与互联网物理隔离的方式运行，因此不存在APT(Advanced Persistent Threat）和人为蓄意攻击的风险。如图1所示，为防范管理网络的病毒扩散和非法访问，仅仅在企业生产网与管理网的边界部署了企业级防火墙和防毒墙，对生产网和工控网层级则无任何防护措施。这就造成一旦厂级MES系统的Web发布、存储、IO节点服务器中的任何一台受到攻击或病毒感染就会向整个厂级系统扩散，轻则消耗系统资源、工控操作站无法启动，重则导致工控系统无法正常运行，乃至生产系统停产。

2.3.2工控流量和操作行为缺乏感知

工控系统操作站之间、操作站与控制器之间的数据信息交换和工控系统自身的工艺操作参数调整及状态响应、MES系统IO端采集请求等正常交互均是工控系统厂商的上位HMI(Human-Machine Interface）组态软件与下位编程软件对应的通用/私有通讯协议通过工控系统工业交换机实现的，但由于操作站日常维护操作管理不合规所导致的恶意程序、木马及特定工控病毒在工控局域网内传播、控制器运行过程中存在的异常请求或响应，这些行为均是以交换机特定端口数据流量的波动变化形式得以呈现。

2.3.3工控网络和生产网络边界不清晰

企业生产网络与工控网络主要是通过数采网关终端桥接方式实现数据信息及相关业务的即时交互，如图2所示，部署在企业网络中数采设备采用Modbus TCP/RTU、OPC等通讯协议，将工控网络中生产流程主要关键参数及决策信息推送至生产网层级的MES系统，由优化决策或生产调度模块对推送信息进行综合分析处理，其结果再经过数采网关终端下达到各对应工控系统，实现生产管理的整体协调决策。

3、工控安全防护及态势感知体系设计

受有色行业生产组织的影响，有色企业生产流程往往比较复杂，不同工序之间的工控系统多数存在数据业务交互通讯的问题，同时，同一生产流程中不同通讯协议、通讯接口及新老工控系统共存已成为常态。针对有色行业工控系统基本无防护、运行状态无监测、异常无告警的现状。本文结合实际工控系统结构，提出一种基于工控网络安全防护标准下的复杂工控系统网络全状态防护和态势感知架构体系，其结构如图3所示，其基本实现架构是在企业集团级生产网层级部署态势感知平台及其对应管控系统，采用“纵向到底、横向到边”的工控防护理念，通过工业隔离网闸或工业防火墙实现生产侧和工控侧网络逻辑隔离，两侧数据业务交互需要经过安全防护策略的管控过滤；生产流程内区域内工控系统间的数据信息通讯则要由工业防火墙配置并进行审核。

3.1主机卫士管理

主机卫士多数运行于操作系统驱动层，在技术方案层面主要是对操作系统、应用类工控软件进行全面深度的安全监测，精确识别各类可执行程序，并以此建立应用程序特征白名单，对关键目录和注册表进行防护，通过对关键应用目录和业务添加保护，有效识别并阻止非法读取非授权文件、删除或篡改文件、欺骗等异常操作行为。从设备管理角度出发，主机卫士支持对工控系统的各类外设及USB设备进行安全管理，可通过集团级管控平台制定外设安全策略，提供USB移动存储授权、防范非授权设备接入，支持可读、可写、禁止使用等多种力度安全策略，实现数据安全保护，防止病毒非法传播和数据泄露。

图3 有色流程工控安全与态势感知体系架构

3.2工控协议解析审核

态势感知系统依托现有流程的工控和生产网络软硬件资源，在不改变当前网络通过将工控交换机多个端口流量镜像导入到部署在接入层工业交换机的工业审计终端，采用基于目标主机的网络流量检测引擎，结合工业协议分析、协议类型模式匹配、阈值统计和工控设备访问流量异常监测等综合手段，可以对主流工控通讯协议（OPC、Modbus、S7、IEC104、DNP3、CIP、MMS、Profinet等）的深度解析，对数据包完整性、功能码、地址范围、值范围、变化趋势等多个层次、多个维度的综合分析，及时发现异常通讯行为。

3.3操作行为管控

态势感知系统入侵检测终端内置操作行为规则库，根据来自网络流量镜像数据包探测包括PLC、DCS、DTU等控制设备的拒绝服务攻击、缓冲区溢出攻击等典型漏洞行为和异常访问请求，可有效检测针对工业控制系统的缓冲区溢出、端口扫描、DDo S、注入攻击等多类异常操作行为。

针对工控系统运行过程中监测，对异常流量、违规操作、误操作、非法指令等异常行为进行实时审计与监测，对安全事件详情进行记录和报文留存，实现事前预警、事中监控和事后追溯。

3.4多维度态势感知

以生产网接入层网络交换设备为依托，在工控层和生产层边界构建多维度的工控安全态势感知平台，通过态势感知平台终端设备提供的PLC/DCS、网络、多源、主机、远程等5种不同类型的探针全面系统地提取工控资产、网络流量、设备及操作告警日志、设备运行状态、安全漏洞等相关的安全数据信息，在工控态势感知平台综合处理、分析后，运用关联分析、用户资产画像、业务安全基线、安全模型分析和威胁情报等安全技术，从工控设备、主机、应用和业务等多个维度基于复杂尺度下工控资产视角呈现网络的风险、脆弱性等安全信息，为工控安全和生产系统决策提供全方位的安全联动、态势评估和动态感知能力。

4、现场测试与验证

换热站是某有色冶炼企业冶金炉窑进行热交换冷却的重要工序，如图4所示包括1套罗克韦尔logix5000+Factory Talk8.0 PLC和1套霍尼韦尔C300DCS系统，分别管理老虎口、选矿、能源、检测、银硒、顶吹炉、闪速炉、酸水等换热站，站点温度、压力、流量等检测仪表和阀门、换热泵等执行机构通过硬接点或总线接入站点控制器（PLC/DCS），不同控制器通过光纤接入现有集控操作中心，两集控操作中心工控系统通过工业以太网形成业务互联。

换热站已部署用于接入生产网络的交换机（Access Layer Switch），为有效隔离生产网和工控系统，规范工业网络数据通讯业务和访问安全，本测试例在接入交换机下侧部署工业隔离网闸（Industrial Net-gap Translator），对数据通讯（OPC）、工控主机安全防护（主机卫士）和信息采集（主机探针）、工控资产管理等业务进行策略管控，如表1所示。主机外设应用情况、CPU和内存占用动态信息及控制操作行为则通过主机探针以定周期扫描的形式发送到态势感知平台。对换热站运行的操作站和工业控制器之间捕捉并监测到的19851条网络通讯流量数据包行为分析结果如表1所示，分别给出了每次通讯的发送及接收到的数据包数量、网络流量及其通过流量包深度解析获得应用类型、相关通讯协议和事件类型，根据网络流量的源地址和目标地址走向和对应数据参数可知，流量主要来自于工业控制器和操作员站之间，如网络流量记录2、3、4、5、19851等，部分来自操作站之间因C/S(Client/Server）服务产生的流量。数据流量在工控网络内的持续时间主要取决于流量数据包大小及网络状态，一般讲，数据包越大，在网络内的持续时间越长，其流量主要包括工艺操作行为和工控安全防护数据信息上传推送。

图4 典型热电系统部署案例

表1 工控网络流量行为监测信息

态势感知平台通过工控网络内主机卫士终端推送的信息可以得到当前网络区域内主机及其统计病毒威胁类型和数量，如表2所示。即便测试前工控系统操作站未接入生产网络，处于独立运行状态，但三种典型的蠕虫病毒已通过其他方式在工控网络内广泛传播，这种主机卫士追踪到的各操作站存在的常见病毒虽不会对系统造成严重的影响，病毒数量之多在一定程度上消耗操作站的系统软硬件资源。

表2 生产区域工控网络典型病毒特征

如表3所示，部署在换热站操作站的态势感知平台工控探针主机组件定期对所有工控网络内的在线操作站操作系统和工控应用软件进行扫描，列举已开放端口并进行集中化监测，对通过异常端口的访问进行平台报警推送。其中OP98/OP100/OP90为工控操作站，操作站均开放了作为与态势感知平台同步通讯的443端口。IP网络地址为192.168.0.150的设备可以看出是工业控制器，从其占用的通讯端口看，采用的协议是S7comm、profinetptcp和modbus。

表3 操作站开放端口列表

远程探针通过syslog日志对工业隔离网闸、工业防火墙等防护装置的报警和管控信息依据日志先后顺序记录情况如表4所示。通过对表4中统计的远程探针7天内捕获的近15000条信息可以看出，工业防火墙通过黑白名单和工业通讯协议过滤机制，对未知地址及相关通讯端口的访问进行有效管控。

表4 syslog日志报警及管控信息表

5、结论

工控系统的安全防护和态势感知是近年来新兴课题，本文中提出的基于工业防护设备和工控探针的监测策略可以实现大多数工控系统的整体安全态势感知，鉴于现有工控系统的典型特征和基础网络架构，在确保系统安全稳定运行的前提下，实现全方位感知尚需解决如下问题：

(1）有色企业生产流程工控系统资产新旧交错，对控制器与操作主机总线型通讯及部署早期操作系统版本（NT4.0/win95/win98）的工控系统，则需要进行必要的适应性升级改造；

(2）工控操作行为审计多数是建立在工控流量分析的基础上，实施网络流量镜像，尤其是多端口流量镜像条件下，可能会对工控数据交互造成不同程度的延迟，甚至出现传输数据或操作行为指令的丢失。

参考文献:

[1]刘蔚棣,郭乔进,产院东,等.工业控制系统安全发展综述[J].信息化研究,2021,47(01):1-9+24.

[2]张剑.工业控制系统网络安全[D].成都:电子科技大学出版社,2017.

[3]包晓东.水泥厂工控及网络安全防护建设探讨[J].四川水泥,2021(06):17-18.

[4]晋成龙,桂宗能,王媛媛.水利工程工控系统网络安全及防护系统设计[J].2021(第九届)中国水利信息化技术论坛,中国山东济南,2021.5.27:194-201.

[5]方丽,严儒彬.污水处理系统安全防护[J].电子质量,2021(05);67-70.

[6]常季成,贾政,姜路.油田工控系统网络安全现状及发展趋势[J].仪器仪表标准化与计量,2021(02):21-22+25.

[7]夏侯振宇,杨华.钢铁企业工业信息安全风险分析和防护对策探讨[J].江西科学,2021,39(02):374-380.

[8]权晓鹏.智能矿井工控网络安全防护系统研究实践[J].煤,2021,30(4):76-78.

[9]孙天宁,邹春明,严益鑫.工业控制系统信息安全分析[J].自动化博览,2021,38(1):57-61.

[10]刘睿,洪晟,李伟,等.面向工控系统的入侵检测系统综述[J].信息技术与网络安全,2021,40(3):1-7+13.

[11]张大松,姜洪潮,吴云峰.火电工控系统网络安全防护方案设计[J].信息技术与网络安全,2020,39(3):17-22.

[12]许艾,刘刚,徐延明,等.基于国密体系工控协议安全应用与研究[J].自动化博览,工业控制系统信息安全专刊,99-103.

基金资助:金昌市科学技术局工业流程视觉智能分析关键技术应用研究(项目编号2023Gy005)资助;

文章来源:刘军,张海峰.有色流程工业控制系统安全防护及态势感知系统设计与实现[J].网络安全技术与应用,2024,(12):119-122.