煙草工業(yè)控制系統(tǒng)信息安全檢測(cè)技術(shù)研究

（廈門煙草工業(yè)有限責(zé)任公司 福建 361028）

煙草行業(yè)作為國(guó)家重要稅收來(lái)源的支柱產(chǎn)業(yè)之一，行業(yè)內(nèi)工、商業(yè)企業(yè)的生產(chǎn)系統(tǒng)中大量使用工業(yè)自動(dòng)化控制系統(tǒng)。在工業(yè)化與信息化融合的大趨勢(shì)下，行業(yè)中的工業(yè)控制網(wǎng)絡(luò)與管理網(wǎng)絡(luò)的互聯(lián)互通是必然趨勢(shì)，導(dǎo)致目前煙草行業(yè)的工業(yè)控制系統(tǒng)安全危險(xiǎn)等級(jí)和入侵威脅方式不斷增加。

為保障工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行，除自動(dòng)化設(shè)備提供商在自動(dòng)化設(shè)備自身安全性設(shè)計(jì)方面需加強(qiáng)外，應(yīng)用必要的專用安全檢測(cè)、安全防護(hù)措施對(duì)整個(gè)系統(tǒng)進(jìn)行安全加固也是必不可少的。目前，安全入侵檢測(cè)方法是一種非常重要的安全檢測(cè)技術(shù)，通過(guò)對(duì)煙草通信系統(tǒng)行為實(shí)時(shí)監(jiān)視、定位、分析，以分析出異常的攻擊行為操作，并在對(duì)方的攻擊行為前進(jìn)行攔截、等操作[1]。

本文首先對(duì)目前煙草行業(yè)典型工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備類型、業(yè)務(wù)特點(diǎn)等情況進(jìn)行總結(jié)、歸納，對(duì)系統(tǒng)所可能產(chǎn)生的安全風(fēng)險(xiǎn)進(jìn)行分析。對(duì)煙草系統(tǒng)入侵檢測(cè)技術(shù)原理進(jìn)行了研究，結(jié)合煙草行業(yè)工業(yè)控制系統(tǒng)的特殊性進(jìn)行了適用性分析。最后對(duì)適用于煙草行業(yè)工業(yè)控制系統(tǒng)的入侵檢測(cè)技術(shù)進(jìn)行展望。

1 煙草工業(yè)控制系統(tǒng)網(wǎng)絡(luò)

卷煙生產(chǎn)企業(yè)是煙草行業(yè)典型的工業(yè)企業(yè)，其中制絲車間是對(duì)煙葉原料進(jìn)行加工的重要車間，具有煙草行業(yè)的明顯行業(yè)特色，卷煙生產(chǎn)中的香煙卷包等工作均需要以制絲車間生產(chǎn)的煙絲為原料，制絲車間內(nèi)工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行是整個(gè)卷煙廠生產(chǎn)任務(wù)達(dá)成的重要保障。

過(guò)程監(jiān)控層一般包含工程師站、操作員站、監(jiān)控站等設(shè)備，由交換機(jī)組成過(guò)程監(jiān)控層網(wǎng)絡(luò)，網(wǎng)絡(luò)結(jié)構(gòu)多為星型，其中工程師站、操作員站、監(jiān)控站、I/O服務(wù)器通常為基于通用操作系統(tǒng)（如Windows 7、Windows XP、Windows Server 2005 等）裝有專用工業(yè)組態(tài)軟件（如：Win CC、InTouch、iFix 等）的計(jì)算機(jī)或服務(wù)器；現(xiàn)場(chǎng)控制層主要包含現(xiàn)場(chǎng)控制設(shè)備，如PLC（Programmable Logic Controller），由工業(yè)專用交換機(jī)連接現(xiàn)場(chǎng)控制設(shè)備組成工業(yè)環(huán)網(wǎng)；現(xiàn)場(chǎng)設(shè)備層翻箱機(jī)、烘干機(jī)等機(jī)械設(shè)備由專用電纜或電線接入PLC，如圖1。

圖1 煙草典型工業(yè)控制網(wǎng)絡(luò)結(jié)構(gòu)圖

通訊網(wǎng)絡(luò)是制絲集控系統(tǒng)的主要基礎(chǔ)設(shè)施，過(guò)程監(jiān)控層與MES系統(tǒng)、現(xiàn)場(chǎng)控制層設(shè)備通訊所涉及的主要網(wǎng)絡(luò)協(xié)議如圖2所示。除普通計(jì)算機(jī)網(wǎng)絡(luò)中所普遍使用的通訊協(xié)議外，在制絲集控系統(tǒng)中有工業(yè)協(xié)議的應(yīng)用。其中過(guò)程監(jiān)控層設(shè)備與MES系統(tǒng)間通訊使用OPC（OLE for Process Control）協(xié)議[2]；過(guò)程監(jiān)控層I/O服務(wù)器與現(xiàn)場(chǎng)控制設(shè)備通訊使用S7、Modbus/TCP、Ethernet/IP等工業(yè)協(xié)議，其中S7協(xié)議為業(yè)界常用的西門子協(xié)議，用于西門子的設(shè)備進(jìn)行交換數(shù)據(jù)，Modbus TCP 以一種比較簡(jiǎn)單的方式將Modbus 幀嵌入TCP 幀中[3]。Ethernet/IP是采用了傳統(tǒng)通用工業(yè)協(xié)議(Common Industrial Protocol，CIP)，通過(guò)這協(xié)議共同構(gòu)成Ethernet/IP協(xié)議族結(jié)構(gòu)[4]。

2 煙草行業(yè)典型工業(yè)控制系統(tǒng)安全性研究

2.1 網(wǎng)絡(luò)結(jié)構(gòu)風(fēng)險(xiǎn)

如圖1中所示典型煙草工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，在管理協(xié)同層和生產(chǎn)執(zhí)行層設(shè)備往往可以訪問(wèn)互聯(lián)網(wǎng)，因此管理網(wǎng)的安全性相對(duì)較低，管理網(wǎng)中設(shè)備直接面臨來(lái)自互聯(lián)網(wǎng)的種種安全威脅。隨著工業(yè)控制系統(tǒng)的集成化越來(lái)越高，典型煙草生產(chǎn)系統(tǒng)各個(gè)子系統(tǒng)的互聯(lián)程度大大提高，在生產(chǎn)網(wǎng)和管理網(wǎng)之間網(wǎng)絡(luò)互通，由于日常運(yùn)維工作的需求，往往在管理網(wǎng)中部分設(shè)備可訪問(wèn)生產(chǎn)網(wǎng)中的操作站、工程師站或現(xiàn)場(chǎng)控制層工業(yè)交換機(jī)等設(shè)備。

2.2 主機(jī)風(fēng)險(xiǎn)

由于工業(yè)控制系統(tǒng)的特殊性，導(dǎo)致過(guò)程監(jiān)控層設(shè)備不能及時(shí)進(jìn)行系統(tǒng)更新而漏洞重重，因此在大多數(shù)煙草工業(yè)控制系統(tǒng)中，微軟歷年來(lái)被爆出的遠(yuǎn)程代碼執(zhí)行、認(rèn)證繞過(guò)等多個(gè)類型的高危漏洞都能被很輕易地掃描到。

2.3 應(yīng)用及控制設(shè)備風(fēng)險(xiǎn)

由于國(guó)內(nèi)工業(yè)自動(dòng)化起步較晚，到目前為止自動(dòng)化技術(shù)水平與國(guó)際領(lǐng)先的自動(dòng)化供應(yīng)商仍然存在較大差距，而煙草工業(yè)生產(chǎn)對(duì)于自動(dòng)化設(shè)備要求較高，目前煙草行業(yè)內(nèi)自動(dòng)化設(shè)備市場(chǎng)份額主要被Siemens、Rockwell和GE 等國(guó)外公司所占據(jù)，因此煙草工業(yè)控制系統(tǒng)中所使用的組態(tài)軟件主要是WinCC和iFix 等。

圖2 層級(jí)間通訊協(xié)議圖

2.4 協(xié)議風(fēng)險(xiǎn)

在工業(yè)控制系統(tǒng)中，所使用的工業(yè)通訊協(xié)議是其區(qū)別于普通信息系統(tǒng)的主要因素之一。目前工業(yè)控制系統(tǒng)中所使用的工業(yè)協(xié)議在設(shè)計(jì)之初主要考慮協(xié)議傳輸?shù)膶?shí)時(shí)性、可用性等符合工業(yè)需求，但是往往在安全性方面考慮不足，存在著信息泄露或指令被篡改等風(fēng)險(xiǎn)。在煙草工業(yè)控制系統(tǒng)中所普遍使用的OPC、Modbus、Ethernet/IP均存在著一些典型安全問(wèn)題。

2.4.1 OPC協(xié)議

（1）授權(quán)服務(wù)滯后

傳統(tǒng)的系統(tǒng)受限于維護(hù)窗口等諸多因素，不安全的授權(quán)機(jī)制使用頻繁。在多個(gè)系統(tǒng)里面，會(huì)使用系統(tǒng)默認(rèn)的Windows2000 LanMan(LM)管理方法，管理方法與其他過(guò)時(shí)的授權(quán)機(jī)制由于脆弱易受攻擊。

（2）RPC 漏洞。

同時(shí)OPC 使用RPC的原因，易受所有RPC相關(guān)產(chǎn)生漏洞的影響，最后導(dǎo)致攻擊底層RPC 漏洞被導(dǎo)致非法執(zhí)行代碼利用。

（3）端口與服務(wù)敞開(kāi)。

OPC 支持包括NetBEUI、在Ipx協(xié)議上進(jìn)行的面向連接服務(wù)的復(fù)雜的NetBIOS和HTTP 互聯(lián)網(wǎng)服務(wù)。

（4）OPC服務(wù)器完整性。

攻擊者創(chuàng)建一個(gè)假非法的OPC服務(wù)器，并通過(guò)這個(gè)服務(wù)器進(jìn)行各種服務(wù)的干擾，最后通過(guò)總線監(jiān)聽(tīng)竊取相關(guān)信息或重要的話注入惡意代碼。

多種威脅方式可以通過(guò)監(jiān)控OPC網(wǎng)絡(luò)或OPC服務(wù)器的可疑行為分析，如從OPC服務(wù)器發(fā)起的使用端口與服務(wù)進(jìn)行攻擊；通過(guò)分析發(fā)現(xiàn)已經(jīng)出現(xiàn)的已知OPC(包括底層OLE RPC 與DCOM)攻擊；分析來(lái)自不同層面的未知OPC服務(wù)器的OPC服務(wù)；由于成功授權(quán)OPC服務(wù)器上由未知或未授權(quán)用戶。

2.4.2 Modbus協(xié)議

（1）認(rèn)證機(jī)制缺失

在網(wǎng)絡(luò)連接方面，采用TCP協(xié)議?？梢栽诖_定目標(biāo)IP地址情況下，通過(guò)502端口發(fā)起并建立通信連接。如果所采取的應(yīng)用數(shù)據(jù)單元攜帶功能碼可由Modbus設(shè)備支持的，系統(tǒng)可以建立合法的可靠的MODBUS 會(huì)話。

（2）權(quán)限區(qū)分缺乏保護(hù)

對(duì)于任何設(shè)備，如果該設(shè)備能連接到目標(biāo)Modbus設(shè)備上，該設(shè)備就可以執(zhí)行所有Modbus設(shè)備所具有各項(xiàng)功能。

（3）數(shù)據(jù)明文傳輸容易破解

Modbus協(xié)議封裝采用ADU方式，同時(shí)輸也是同樣的ADU，在網(wǎng)絡(luò)上采用以明文形式進(jìn)行數(shù)據(jù)傳輸，最后通過(guò)抓包或者其他方式的技術(shù)獲取并解析出里面的原始數(shù)據(jù)。

因此在現(xiàn)有條件的基礎(chǔ)上對(duì)Modbus協(xié)議以上三點(diǎn)缺點(diǎn)進(jìn)行安全加固工作很有必要。

2.5 工業(yè)控制系統(tǒng)安全檢測(cè)技術(shù)分析

在當(dāng)前工業(yè)控制系統(tǒng)安全領(lǐng)域中，工業(yè)控制系統(tǒng)安全檢測(cè)方法是工業(yè)控制系統(tǒng)項(xiàng)目安全建設(shè)工作重要組成部分?？梢葬槍?duì)煙草行業(yè)工業(yè)控制系統(tǒng)的典型問(wèn)題，通過(guò)對(duì)工業(yè)控制系統(tǒng)中所出現(xiàn)的入侵行為、異常動(dòng)作或違法指令的實(shí)時(shí)檢測(cè)，是保障工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行的重要一環(huán)。安全檢測(cè)方法是一種通過(guò)收集和分析被保護(hù)系統(tǒng)信息，發(fā)現(xiàn)安全威脅的技術(shù)較為重要。它的作用是對(duì)現(xiàn)有的網(wǎng)絡(luò)和計(jì)算機(jī)業(yè)務(wù)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)各種入侵行為或企圖，給出入侵警報(bào)[5]。

2.5.1 現(xiàn)有工業(yè)控制系統(tǒng)安全檢測(cè)方法

（1）基于協(xié)議解析的工業(yè)控制系統(tǒng)安全檢測(cè)

由工業(yè)協(xié)議安全性分析過(guò)程中可見(jiàn)，在OPC、Modbus/TCP、Ethernet/IP等協(xié)議中所存在的安全隱患（包括數(shù)據(jù)明文傳輸、缺乏認(rèn)證機(jī)制等），從入侵者對(duì)協(xié)議安全漏洞的利用角度，只需要對(duì)某些重要節(jié)點(diǎn)的傳輸數(shù)據(jù)進(jìn)行竊聽(tīng)，在協(xié)議中獲取重要的組態(tài)軟件或工控網(wǎng)絡(luò)設(shè)備的登錄口令、密碼等重要信息；進(jìn)行最終的攻擊也需要對(duì)工業(yè)通訊協(xié)議中所承載的工業(yè)控制指令所在字段根據(jù)入侵目的進(jìn)行精確篡改，偽裝成合法身份對(duì)工業(yè)控制設(shè)備下發(fā)錯(cuò)誤指令，從而達(dá)到最終入侵目的。根據(jù)協(xié)議所公開(kāi)規(guī)范和業(yè)務(wù)存在的邏輯，對(duì)所發(fā)送的報(bào)文里面參數(shù)的取值范圍構(gòu)造相應(yīng)的基于協(xié)議格式的內(nèi)容模型，依靠模型所構(gòu)造出的協(xié)議規(guī)范模型從白名單中可識(shí)別出異常功能碼和入侵行為[6]如圖3所示。

圖3 通用Modbus 框架

（2）基于流量分析的工業(yè)控制系統(tǒng)安全檢測(cè)

在傳統(tǒng)信息安全領(lǐng)域，很多攻擊行為或惡意代碼傳播過(guò)程在網(wǎng)絡(luò)流量這一維度觀察都具有顯著特征，而由于工業(yè)控制系統(tǒng)中過(guò)程監(jiān)控層設(shè)備與傳統(tǒng)信息系統(tǒng)中設(shè)備類型、操作系統(tǒng)等具有很高相似度，對(duì)于傳統(tǒng)信息安全領(lǐng)域的一些典型入侵行為也同樣可能出現(xiàn)，因此基于流量分析也被引入工業(yè)控制系統(tǒng)安全檢測(cè)方法。

在工業(yè)控制系統(tǒng)安全檢測(cè)方法中，典型的基于入侵行為特征庫(kù)的匹配方法也得到廣泛應(yīng)用。在入侵者在對(duì)工業(yè)控制系統(tǒng)進(jìn)行攻擊時(shí)，利用某些已被曝出的高危漏洞、病毒作出特定攻擊動(dòng)作，這些攻擊動(dòng)作具有一定特征的行為序列特性，帶有特征的行為序列特性就可以抽象出一定特征模型。

2.5.2 煙草工控系統(tǒng)安全檢測(cè)的適用性分析

對(duì)于傳統(tǒng)煙草工業(yè)系統(tǒng)入侵檢測(cè)方法的典型判斷指標(biāo)有檢測(cè)率、漏報(bào)率、誤報(bào)率，檢測(cè)率表示對(duì)系統(tǒng)行為正確檢測(cè)的性能分析，可以表示安全檢測(cè)的整體性能[7]。漏報(bào)率是分析異常數(shù)據(jù)判斷為正常行為的概率。誤報(bào)率是把正常數(shù)據(jù)分析判斷為異常數(shù)據(jù)分析的概率。

在工業(yè)控制系統(tǒng)安全檢測(cè)方法中，基于協(xié)議解析的方法需要對(duì)監(jiān)測(cè)到的通訊數(shù)據(jù)進(jìn)行深度了解，一方面進(jìn)行協(xié)議格式等檢查確保通訊數(shù)據(jù)本質(zhì)差錯(cuò)[8]；另一方面識(shí)別當(dāng)前數(shù)據(jù)所攜帶的控制指令，并且與正常情況中的指令通過(guò)多方面多維度的對(duì)比來(lái)進(jìn)行異常指令識(shí)別[9]。但在煙草行業(yè)典型工業(yè)控制系統(tǒng)中，即使按照中等規(guī)模的生產(chǎn)企業(yè)來(lái)測(cè)算，需要檢測(cè)的生產(chǎn)指令無(wú)論對(duì)于專業(yè)人員還是對(duì)檢測(cè)設(shè)備都可以算是海量的，從中分辨出指令的正常與否在原理上雖然可行，誤報(bào)率會(huì)比較低，但在實(shí)際情況操作中可能需要耗費(fèi)很大工作量，并且檢測(cè)率和漏報(bào)率都是不得不面對(duì)的困難。

通過(guò)對(duì)目前幾種安全檢測(cè)方法的分析可見(jiàn)，利用單一的某一種檢測(cè)方法在實(shí)際進(jìn)行煙草行業(yè)典型工業(yè)控制系統(tǒng)中入侵或異常行為的檢測(cè)時(shí)，均存在較為明顯的缺陷或不適用性。目前對(duì)于煙草行業(yè)典型工業(yè)控制系統(tǒng)安全檢測(cè)方法需要進(jìn)一步改進(jìn)。首先從安全檢測(cè)方法的選擇上，應(yīng)盡可能結(jié)合多種檢測(cè)方法；另外，在某單一檢測(cè)方法的使用上，仍需通過(guò)算法的完善、改進(jìn)或更替來(lái)加強(qiáng)檢測(cè)水平。無(wú)論從安全檢測(cè)設(shè)備的處理能力和邏輯體系的建立都困難重重，但目前在其他領(lǐng)域的人工智能、機(jī)器學(xué)習(xí)等方面的技術(shù)研究、應(yīng)用都在飛速發(fā)展，對(duì)于工業(yè)控制系統(tǒng)中安全檢測(cè)方法中數(shù)據(jù)處理提供了一定的借鑒價(jià)值，針對(duì)工業(yè)控制系統(tǒng)中數(shù)據(jù)的多維度、非線性帶來(lái)的困難提供良好的解決思路，但從實(shí)際應(yīng)用的角度仍需綜合成本等因素來(lái)綜合考慮。

3 結(jié)束語(yǔ)

目前主流工業(yè)控制系統(tǒng)安全檢測(cè)方法進(jìn)行了介紹，對(duì)基于協(xié)議解析、流量分析、特征庫(kù)匹配的工業(yè)控制系統(tǒng)安全檢測(cè)方法原理以及檢測(cè)效果進(jìn)行剖析。最后結(jié)合煙草行業(yè)典型工業(yè)控制系統(tǒng)特點(diǎn)對(duì)幾種安全檢測(cè)方法在實(shí)際場(chǎng)景中的適用性全面分析，并結(jié)合實(shí)際經(jīng)驗(yàn)基礎(chǔ)技術(shù)展望。通過(guò)本文對(duì)于控制系統(tǒng)信息安全檢測(cè)技術(shù)的行為分析研究，針對(duì)工業(yè)控制系統(tǒng)信息安全從業(yè)人員能使用工業(yè)控制系統(tǒng)信息安全檢測(cè)技術(shù)，對(duì)增強(qiáng)工業(yè)控制系統(tǒng)安全保護(hù)能力具有重要意義。