摘要：當前工控網(wǎng)絡安全審計產(chǎn)品的總體技術實施思路基本側重于指令級審計、參數(shù)閾值級審計、工控協(xié)議審計、環(huán)境級審計、行為級審計等方面，這種傳統(tǒng)的思路應用于不同的實際工業(yè)環(huán)境下時顯示出一些不足之處。具體表現(xiàn)在不同的行業(yè)都有各自不同于其它行業(yè)的獨特工藝，脫離不同行業(yè)的控制工藝以及實際工業(yè)流程的傳
統(tǒng)審計顯得深度不夠，其實際的審計效果也很難真實、精準地滿足用戶需求。
　　基于工業(yè)流程分析的工控安全審計的技術實現(xiàn)的核心是將基于控制工藝的控制業(yè)務流程融入安全審計產(chǎn)品的技術策略中，在具體的技術實現(xiàn)上需要將重點的工藝控制要求進行梳理和匯總，提供給工控網(wǎng)絡安全審計產(chǎn)品的設計人員，設計人員結合匯總的工藝要求和對協(xié)議的深度解析，定制化的進行工控網(wǎng)絡安全審計產(chǎn)品攻擊告警規(guī)則庫的更新，制定與實際應用環(huán)境的控制工藝深度融合的定制化的規(guī)則庫。

1　工控安全現(xiàn)狀

現(xiàn)代工業(yè)控制企業(yè)的控制系統(tǒng)不僅包括生產(chǎn)和控制系統(tǒng)，同時還包括市場分析、財務計劃、生產(chǎn)管理及質量控制等信息管理系統(tǒng)，信息化和工業(yè)化的兩化融合已經(jīng)成為大勢所趨，這意味著工業(yè)控制系統(tǒng)越來越走向開放和互聯(lián)，現(xiàn)階段生產(chǎn)控制系統(tǒng)與管理信息系統(tǒng)的互聯(lián)已經(jīng)成為ICS的基本架構，工業(yè)控制系統(tǒng)與外界完全隔離幾乎成為不可能。另外，維護用的移動設備或移動電腦也打破了系統(tǒng)與外界的隔離，打開了網(wǎng)絡安全風險之門。另外，根據(jù)監(jiān)測統(tǒng)計數(shù)據(jù)發(fā)現(xiàn)，截止到2017年11月，全球范圍內暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)及設備數(shù)量已超過10萬個，相比2016年年底上升43%。

自2010年以來，工業(yè)信息安全事件呈現(xiàn)逐年上升的趨勢，特別是2015年以來，每年發(fā)生的安全事件數(shù)量接近300起；關鍵制造、通信、能源、供水和市政設施是安全事件發(fā)生較多的前五個行業(yè)。

與上述嚴峻的安全形勢相對應的，由于黑客大會、白帽社區(qū)、開源社區(qū)的出現(xiàn)，獲得工控系統(tǒng)的攻擊方法越來越容易，大量工控系統(tǒng)軟硬件設備的安全漏洞及利用方法可通過公開或半公開的渠道獲得，這些都極大地降低了針對工控網(wǎng)絡攻擊的難度。

2　工控安全審計產(chǎn)品簡介

2.1　工控安全審計產(chǎn)品的必要性

工控安全審計系統(tǒng)，是通過對工業(yè)控制系統(tǒng)網(wǎng)絡中實際通信流量進行采集，并基于對工業(yè)控制協(xié)議（如OPC Classic、Modbus TCP、IEC60870-5-104、DNP3、S7等）的通信報文進行深度解析，通過實時動態(tài)分析、數(shù)據(jù)流監(jiān)控、網(wǎng)絡行為審計等技術，快速識別工業(yè)控制網(wǎng)絡中存在的異常行為，實現(xiàn)實時檢測針對工業(yè)協(xié)議的網(wǎng)絡攻擊、用戶誤操作、用戶違規(guī)操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播的行為并實時報警，同時詳實記錄一切網(wǎng)絡通信行為，包括指令級的工業(yè)控制協(xié)議通信記錄，為工業(yè)控制系統(tǒng)的安全事故調查提供堅實的基礎。鑒于上述原因，工控安全審計產(chǎn)品已經(jīng)成為現(xiàn)階段工業(yè)控制系統(tǒng)信息安全防護的一個非常重要的組成部分。

工控安全審計產(chǎn)品專門針對工業(yè)控制網(wǎng)絡的信息安全進行審計。它采用旁路部署，對工業(yè)生產(chǎn)過程“零風險”。如圖1所示。

圖1 工控安全審計產(chǎn)品

2.2　工控安全審計產(chǎn)品基本功能匯總

工控安全審計產(chǎn)品實現(xiàn)的基本功能，可以匯總為以下基本的核心功能：

（1）網(wǎng)絡實時流量審計：不間斷地采集并實時監(jiān)測網(wǎng)絡數(shù)據(jù)流量，發(fā)現(xiàn)異常時實時告警（可監(jiān)測網(wǎng)絡風暴、ARP攻擊等網(wǎng)絡事件）。

（2）異常數(shù)據(jù)告警：基于對工控協(xié)議的深度數(shù)據(jù)包解析，通過自學習算法建立正常通信行為基線，然后對工控網(wǎng)絡中實際采集的工控協(xié)議數(shù)據(jù)包的解析結果與正常行為基線進行比較，當實際行為偏離正常行為基線時實施報警。

（3）通信行為追溯：對獲取的網(wǎng)絡通信數(shù)據(jù)包進行全方位的記錄，并支持對記錄進行回溯，支持生成
所有網(wǎng)絡行為的審計日志記錄，為工業(yè)控制系統(tǒng)的安全事故調查提供詳實的依據(jù)。

3　工控安全審計的技術實現(xiàn)

基于對現(xiàn)階段大多數(shù)的工控安全審計產(chǎn)品功能實現(xiàn)的實際調研，匯總現(xiàn)階段相關產(chǎn)品的主要技術實現(xiàn)如下：

3.1　指令級審計

針對工控協(xié)議中核心的功能指令進行指令級審計，審計內容包括：非法指令碼審計，與可能的攻擊有關聯(lián)關系的指令碼審計，與特定行為事件有關聯(lián)關系的指令碼審計，基于頻數(shù)統(tǒng)計分析的異常指令碼審計等指令級審計。

3.2　參數(shù)閾值級審計

針對工控協(xié)議中數(shù)據(jù)字段區(qū)的實現(xiàn)讀或寫功能指令的數(shù)據(jù)值進行參數(shù)閾值級審計，審計內容包括：數(shù)據(jù)值是否超過設定的上限值或下限值審計，數(shù)據(jù)值是否偏離歷史均值超過設定的最大偏差范圍的審計等參數(shù)閾值級審計。

3.3　工控協(xié)議審計

審計通信協(xié)議違規(guī)端口，畸形協(xié)議報文審計（包括不符合協(xié)議規(guī)約規(guī)定格式的工業(yè)控制協(xié)議報文、異常的控制命令、異常的控制點位、異常的控制值等），協(xié)議攜帶數(shù)據(jù)異常審計（包括整體報文數(shù)據(jù)攜帶異常和數(shù)據(jù)區(qū)數(shù)據(jù)攜帶異常）等基于工控協(xié)議的審計。

3.4　環(huán)境級審計

IP無流量事件審計，工控網(wǎng)絡內工控協(xié)議流量分析審計，出現(xiàn)未知設備審計，原有存活設備丟失審計，IP地址和MAC地址綁定變化審計，設備之間的訪問關系變更審計，基于五元組的異常審計，基于時間段流量閾值審計，發(fā)現(xiàn)郵箱服務（識別郵箱服務器），發(fā)現(xiàn)FTP訪問（識別FTP服務器），發(fā)現(xiàn)Telnet訪問，發(fā)現(xiàn)Http訪問（源IP、MAC地址，目的URL）等環(huán)境相關的變更審計。

3.5　行為級審計

關鍵行為事件審計，包括數(shù)據(jù)采集行為，組態(tài)變更行為、應用程序下載、控制指令下發(fā)行為，負載變更行為等行為級事件審計。

4　基于業(yè)務審計的工控安全審計的必要性

在冶金行業(yè)，一座高爐會配置多座熱風爐交替進行燃燒和送風控制。當一座熱風爐送風一段時間后，輸出的熱風溫度滿足不了高爐所需的風溫時，需要進行熱風爐換爐操作，將另外一座已經(jīng)燃燒好的熱風爐投入送風狀態(tài)，而后再將原送風的熱風爐轉為燃燒作業(yè)，燃燒好后改為燜爐狀態(tài)等待下一次換爐操作，因此熱風爐有燃燒、燜爐、送風3種工作狀態(tài)。假設一座高爐配置了三座熱風爐，那么一般情況下采用 “兩燒
一送”的工作方式。如圖2所示。

圖2 熱風爐

在高爐熱風爐控制過程中，熱風爐換爐控制和熱風爐燃燒控制是兩個重要的控制過程，其中換爐控制主要包含燃燒轉送風和送風轉燃燒兩個不同的控制階段，這兩個換爐階段的具體控制工藝要求是：

燃燒轉送風：關煤氣調節(jié)閥→關煤氣閥→關助燃空氣調節(jié)閥→關燃燒閥→關助燃閥→開支管放散閥及蒸汽閥→關煙道閥→開冷風旁通閥（充壓）待爐內壓力充滿后→開熱風閥→開冷風閥→關冷風旁通閥。

送風轉燃燒：關冷風閥→關熱風閥→開廢氣閥，待放凈廢氣后→開煙道閥→關廢氣閥→關支管放散閥及蒸汽閥→開助燃空氣閥→開燃燒閥→開煤氣閥→開助燃空氣調節(jié)閥→調節(jié)煤氣與空氣配比。

熱風爐燃燒控制方面主要的控制工藝要求是在燃燒控制初期應盡量加大煤氣量和空氣量，實現(xiàn)快速燒爐，使爐頂溫度盡快達到規(guī)定值，爐頂溫度達到規(guī)定值后應加大空氣量來保持爐頂溫不在上升，使爐子中、下部溫度上升，擴大蓄熱量，滿足高爐的需要。

（1）孤立的指令正常，但組合起來構成行為異常

高爐熱風爐控制中的換爐控制會涉及到多個閥門的控制，所有這些閥門必須要按照規(guī)定的順序動作，孤立地來看，關閉燃燒閥和打開送風閥均是正常的操作，但是如果它們之間的動作的先后順序發(fā)生改變時，其結果就完全不同。在燃燒轉送風控制階段，如果出現(xiàn)在各燃燒閥沒有全關的情況下就開啟與送風相關的閥門，那么對熱風爐的控制將會是危險的?，F(xiàn)階段的安全審計產(chǎn)品在進行安全審計時沒有將上述工藝業(yè)務流程中有關相關閥門的動作順序的因素考慮進去。如果能將上述的工藝要求融合進審計規(guī)則的制定，進行相關性建模，將很好地避免業(yè)務危險情形發(fā)生時的漏報。

（2）孤立的數(shù)值正常，但組合起來構成的行為異常

在熱風爐換爐時，由于沖壓不當或換爐操作失誤等多種原因可能造成風壓波動，但是風壓波動范圍必須小于5kPa，一旦出現(xiàn)風壓波動超過范圍的情形，會對熱風爐控制產(chǎn)生較嚴重的影響。常規(guī)的安全審計產(chǎn)品，只要風壓的絕對值不超過風壓設定的上限值或下限值，均會視為正常而不會告警輸出。如果孤立地看數(shù)值正常的參數(shù)的數(shù)值變化率并沒有超過工藝規(guī)定的數(shù)值，但是該情形發(fā)生在特定的控制階段時，對熱風爐控制會產(chǎn)生較嚴重的影響。如果將工藝業(yè)務流程中有關這種涉及正常數(shù)據(jù)的特定組合違背控制工藝要求的因素考慮進去的話，那么實際中真的發(fā)生了上面描述的情形時審計系統(tǒng)就會告警，避免出現(xiàn)嚴重的漏報。

（3）關鍵工藝參數(shù)設置違反工藝要求

高爐熱風爐控制中，在燒爐階段的控制原則是：在燒爐初期應盡量加大煤氣量和空氣量，實現(xiàn)快速燒爐，使爐頂溫度盡快達到規(guī)定值，爐頂溫度達到規(guī)定值后，應加大空氣量來保持爐頂溫度不再上升，使爐子中、下部溫度上升，擴大蓄熱量，滿足高爐的需要。如果在爐頂溫度已經(jīng)達到規(guī)定值的情況下依然嘗試提高爐頂溫度的行為，對于熱風爐的控制而言是危險的，是需要審計系統(tǒng)告警提示的。但是常規(guī)的基于工控協(xié)議解析的審計系統(tǒng)只會單純地判斷設定值是否超限，因為它沒有考慮相關的工藝信息，也就不知道要判斷兩個合理的設定值在特定的工藝環(huán)境下是否合理，因而會出現(xiàn)漏報。

5　基于業(yè)務審計的工控安全審計具體技術實現(xiàn)設想

基于業(yè)務審計的工控安全審計的技術實現(xiàn)的核心是分析業(yè)務流程，圍繞業(yè)務安全來強化審計產(chǎn)品的監(jiān)測核心點和核心指標。設計人員結合匯總的工藝要求和對協(xié)議的深度解析，定制化地進行工控網(wǎng)絡安全審計產(chǎn)品攻擊告警規(guī)則庫的更新，制定與實際應用環(huán)境的控制工藝深度融合的定制化的規(guī)則庫，具體實現(xiàn)步驟可簡單概括為以下幾個步驟：

5.1　實現(xiàn)變量地址到工藝變量表述的轉換

工控安全審計產(chǎn)品必須輸出與現(xiàn)場實際工藝深度融合的告警信息，而要實現(xiàn)這個目標，首要的基本前提是必須將從采集的工控網(wǎng)絡真實數(shù)據(jù)包中直接解析到的變量地址翻譯成實際控制工藝中對應的工藝變量表述后使用到審計產(chǎn)品的告警信息中，例如：將保持寄存器地址400001翻譯成1#熱風爐爐溫，寄存器00001翻譯成1#熱風爐燃燒閥關閉命令，應用于告警信息中。

5.2　梳理工控業(yè)務流程并匯總關鍵工藝控制要求

現(xiàn)場的工藝專家提供支持和配合，由工藝專家將重點的工藝控制要求進行梳理和匯總，由工控網(wǎng)絡安全審計產(chǎn)品的設計人員結合實現(xiàn)方式選擇工藝控制流程監(jiān)控核心點和核心指標。

5.3　生成告警規(guī)則庫

安全審計產(chǎn)品的設計人員依據(jù)步驟5.2匯總的工藝控制要求，定制化的編制工控網(wǎng)絡安全審計產(chǎn)品攻擊告警規(guī)則庫。同時設計人員可以以操作界面的形式提供在線的根據(jù)工藝要求變更的靈活的添加和刪除告警規(guī)則庫的功能。

參考文獻：

[1] 北京網(wǎng)藤科技有限公司. 網(wǎng)藤工控安全審計系統(tǒng)產(chǎn)品白皮書[Z].

[2] 肖建榮. 工業(yè)控制系統(tǒng)信息安全[M]. 2015.

摘自《工業(yè)控制系統(tǒng)信息安全專刊（第五輯）》