日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

★昆侖數(shù)智科技有限責(zé)任公司鄧田，董黎芳，徐軼，王宏巖

摘要：基于油氣田工業(yè)控制系統(tǒng)現(xiàn)場RTU/PLC與上級控制層之間通訊存在的網(wǎng)絡(luò)安全問題，本項目進行了集設(shè)備接入認(rèn)證、數(shù)據(jù)傳輸加/解密和抗攻擊防護于一體的安全防護技術(shù)的研究與分析，研發(fā)了一套工業(yè)控制系統(tǒng)一體化防護系統(tǒng)，并在油氣典型場站得到了成功的應(yīng)用，實現(xiàn)了數(shù)據(jù)加密可信傳輸、設(shè)備接入認(rèn)證與指令級防護。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；一體化防護；加/解密技術(shù)；接入認(rèn)證技術(shù)；深度包檢測技術(shù)

工業(yè)控制系統(tǒng)是DCS、PLC、SCADA等多種類型控制系統(tǒng)的總稱^[1]，屬于重要的關(guān)鍵信息基礎(chǔ)設(shè)施。早期工業(yè)控制系統(tǒng)在架構(gòu)搭建、通訊協(xié)議等方面均未考慮網(wǎng)絡(luò)安全設(shè)計。兩化融合、數(shù)字化轉(zhuǎn)型等業(yè)務(wù)的發(fā)展和推動，帶來了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題，國家、行業(yè)、企業(yè)等相繼加大了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全投入^[2]。2017年6月1日實施的《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全，2019年12月1日實施的“等保2.0”更是將工業(yè)控制系統(tǒng)安全納入了新型應(yīng)用安全擴展要求。而石油石化作為關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分^[3]，其網(wǎng)絡(luò)安全直接關(guān)系到國家能源戰(zhàn)略安全。

1 油氣田工業(yè)控制系統(tǒng)存在的安全問題

油氣田工業(yè)控制系統(tǒng)主要由油氣井現(xiàn)場數(shù)據(jù)采集和實時監(jiān)控，以及礦區(qū)的SCADA調(diào)度中心組成。油、氣井口和一些無人值守的閥室、站，其特點是溫度要求范圍大、環(huán)境比較惡劣，常使用RTU/PLC系統(tǒng)^[4]；到了礦區(qū)往往要求多系統(tǒng)集成，常建設(shè)一個SCADA調(diào)度中心，用于轄區(qū)內(nèi)各工業(yè)控制系統(tǒng)實時數(shù)據(jù)的接入。

在油氣田工業(yè)控制系統(tǒng)架構(gòu)中，SCADA調(diào)度中心普遍通過Modbus/TCP協(xié)議對現(xiàn)場的RTU/PLC等進行數(shù)據(jù)采集與指令控制，存在數(shù)據(jù)傳輸過程無接入認(rèn)證、無權(quán)限控制問題，且數(shù)據(jù)采用明文傳輸，只需借助簡單技術(shù)手段，即可實現(xiàn)入侵與數(shù)據(jù)截獲篡改，存在嚴(yán)峻的安全風(fēng)險^[5]。

（1）缺少接入認(rèn)證：終端無需認(rèn)證即可接入系統(tǒng)，在網(wǎng)內(nèi)形成數(shù)據(jù)通道。

（2）數(shù)據(jù)明文傳輸：實時生產(chǎn)與控制狀態(tài)數(shù)據(jù)在未加密的情況下傳輸可被輕易截取。

（3）缺少權(quán)限控制：無任何控制手段，數(shù)據(jù)、指令可被輕易復(fù)制和篡改，可實現(xiàn)對控制中心入侵或?qū)ΜF(xiàn)場控制器進行非法讀寫控制，極易導(dǎo)致生產(chǎn)安全事故。

因此加固油氣田工業(yè)控制系統(tǒng)的安全性變得極為必要。

2 油氣田工業(yè)控制系統(tǒng)一體化安全防護技術(shù)分析

鑒于油氣田工業(yè)控制系統(tǒng)存在的安全問題，我們研究了集設(shè)備接入認(rèn)證、數(shù)據(jù)傳輸加/解密和抗攻擊防護于一體的安全防護技術(shù)，實現(xiàn)了油氣田場站到SCADA調(diào)度中心生產(chǎn)數(shù)據(jù)的安全可信傳輸。其關(guān)鍵技術(shù)包括以下幾個方面：

（1）數(shù)據(jù)傳輸加密/解密技術(shù)：評估適用于場站到調(diào)度中心建設(shè)模式的加/解密的算法，在確保數(shù)據(jù)通信實時性、可靠性的前提下實現(xiàn)數(shù)據(jù)加密傳輸。

（2）設(shè)備接入認(rèn)證技術(shù)：通過對數(shù)字簽名、驗簽技術(shù)的研究，實現(xiàn)生產(chǎn)網(wǎng)內(nèi)接入設(shè)備的鑒別與認(rèn)證。

（3）數(shù)據(jù)解析與防護技術(shù)：通過對工業(yè)網(wǎng)絡(luò)報文的深度解析，梳理業(yè)務(wù)指令以及業(yè)務(wù)數(shù)據(jù)的內(nèi)容，建立合法行為模型，采用“黑+白”名單雙重防護機制，拒絕不可信的訪問與控制，實現(xiàn)指令級的安全防護。

2.1 數(shù)據(jù)傳輸加/解密技術(shù)

工業(yè)通信網(wǎng)絡(luò)中存在著嚴(yán)重的數(shù)據(jù)安全隱患，容易遭受到破壞數(shù)據(jù)完整性的攻擊，如錯誤數(shù)據(jù)注入攻擊、重放攻擊等，而數(shù)據(jù)加密作為一種保護數(shù)據(jù)完整性和機密性的手段，可以有效地阻止上述攻擊^[6]。出于工控協(xié)議數(shù)據(jù)加解密的安全性以及性能的考慮，可以采用非對稱加密和對稱加密混合型方式。其中非對稱算法可以實現(xiàn)密鑰的協(xié)商過程，為數(shù)據(jù)傳輸提供公鑰；對稱算法可以實現(xiàn)數(shù)據(jù)加/解密傳輸。

對稱加密算法：通過比較DES、3DES、AES三種加密算法，如表1所示，從安全性以及性能上考慮，選擇AES加密算法采用128位密鑰長度。

表1 對稱加密算法比較表

非對稱加密算法：通過比較RSA、DSA、ECC三種加密算法，如表2所示，選擇ECC加密算法^[7]，其性能更好、安全性更高、抗攻擊性強、計算量小、處理速度快、帶寬要求低。當(dāng)對長消息進行加解密時，三類密碼系統(tǒng)有相同的帶寬要求，但應(yīng)用于短消息時ECC帶寬要求卻低得多。對于油氣田使用3G無線傳輸?shù)膱稣?，低帶寬的現(xiàn)狀使ECC在無線網(wǎng)絡(luò)領(lǐng)域具有廣泛的應(yīng)用前景，密鑰強度選擇160位。

表2 非對稱加密算法比較表

以圖1為例，數(shù)據(jù)傳輸加解密過程如下：

圖1 數(shù)據(jù)傳輸加解密過程示意

（1）當(dāng)上位機需要發(fā)送數(shù)據(jù)查詢/命令請求時，加/解密平臺與加/解密終端首先通過TCP三次握手建立連接，然后加/解密終端與加/解密平臺通過非對稱加密的方式，協(xié)商后續(xù)數(shù)據(jù)通信的對稱加密密鑰；

（2）當(dāng)數(shù)據(jù)加密密鑰協(xié)商完成，加/解密平臺通過該密鑰對數(shù)據(jù)請求進行加密，然后發(fā)送到加/解密終端，加/解密終端收到加密后的請求，將其解密，然后以明文形式發(fā)送到現(xiàn)場RTU設(shè)備；

（3）現(xiàn)場RTU設(shè)備處理完上位機經(jīng)過解密后的明文請求后，以明文形式將應(yīng)答結(jié)果發(fā)送到加/解密終端；

（4）加/解密終端通過協(xié)商后的對稱密鑰對數(shù)據(jù)進行加密，然后將加密后的應(yīng)答數(shù)據(jù)傳送到加/解密平臺；

（5）最后加/解密平臺將加密后的應(yīng)答報文解密，并發(fā)送到上位機系統(tǒng)中。

2.2 接入認(rèn)證技術(shù)

目前工業(yè)控制系統(tǒng)缺乏統(tǒng)一的接入認(rèn)證技術(shù)，即使某一個產(chǎn)品制造商會針對其所屬的工控設(shè)備加入接入認(rèn)證技術(shù)，但是現(xiàn)場同一套控制系統(tǒng)中多家品牌、多個型號的組合現(xiàn)象非常普遍，所以從根本上來說也不能解決接入認(rèn)證的問題。因此可以考慮研發(fā)單獨地接入認(rèn)證系統(tǒng)，其由接入認(rèn)證設(shè)備和接入認(rèn)證平臺組成，在不影響工業(yè)控制系統(tǒng)實時性、通訊穩(wěn)定性的基礎(chǔ)上，可以實現(xiàn)以下兩個方面的認(rèn)證：

（1）認(rèn)證平臺與認(rèn)證終端的認(rèn)證：對設(shè)備的認(rèn)證信息在兩端進行預(yù)制，預(yù)制的認(rèn)證信息采用系統(tǒng)本身的加密通道與數(shù)字簽名技術(shù)進行安全傳輸，認(rèn)證終端必須通過認(rèn)證平臺認(rèn)證成功后，才能開啟后續(xù)數(shù)據(jù)通道。

（2）認(rèn)證終端與后端接入設(shè)備的認(rèn)證：認(rèn)證終端部署于RTU/PLC系統(tǒng)數(shù)據(jù)出口端，其防護范圍內(nèi)的RTU/PLC控制器、攝像機等IP網(wǎng)絡(luò)元件，通過在設(shè)備中進行MAC與IP地址綁定和設(shè)置黑/白名單，實現(xiàn)接入認(rèn)證，避免非法設(shè)備接入。

2.3 數(shù)據(jù)解析與防護技術(shù)

工業(yè)控制系統(tǒng)的安全防護技術(shù)更多的是基于各大主流工業(yè)控制協(xié)議，因此可采用DPI深度包解析技術(shù)，形成協(xié)議識別與匹配技術(shù)方案，并建立防護模型。

（1）DPI深度包檢測技術(shù)研究^[9]

通過對網(wǎng)絡(luò)通訊的原始數(shù)據(jù)包捕獲，DPI技術(shù)可實現(xiàn)對應(yīng)用層數(shù)據(jù)的應(yīng)用協(xié)議識別、數(shù)據(jù)包內(nèi)容檢測與深度解碼，它基于應(yīng)用數(shù)據(jù)的“特征值”、應(yīng)用層協(xié)議與行為模式三種方式進行數(shù)據(jù)檢測。

（2）協(xié)議識別與匹配技術(shù)

當(dāng)數(shù)據(jù)流到達應(yīng)用層后，基于源地址、源端口、目的地址、目的端口、傳輸層協(xié)議進行網(wǎng)絡(luò)會話管理，并根據(jù)協(xié)議特征庫對每個會話進行協(xié)議識別，流程如圖2所示。

圖2 協(xié)議識別流程

采用“特征字”識別技術(shù)與應(yīng)用層網(wǎng)關(guān)識別技術(shù)相結(jié)合的方式進行傳輸協(xié)議識別，在完成識別后，業(yè)務(wù)數(shù)據(jù)的處理采用DPI深度包解析的技術(shù)進行處理與匹配，如圖3所示。

圖3 DPI解析匹配流程

（3）防護模型

防護模型采用自適應(yīng)的方式，其基于硬件CPU的資源占用情況，自動調(diào)整執(zhí)行的進程數(shù)量，可有效降低數(shù)據(jù)處理過程中的數(shù)據(jù)同步工作所占的開銷。數(shù)據(jù)流通過時，首先查詢已有行為模型，如果匹配，直接進入后續(xù)輸出隊列（正常通信、告警、攔截等）；若不匹配，將通過應(yīng)用協(xié)議分析、綜合數(shù)據(jù)流量分析等方式建立其行為模型。防護模型流程如圖4所示。

圖4 防護模型流程示意圖

3 油氣田工業(yè)控制系統(tǒng)一體化防護系統(tǒng)應(yīng)用場景

基于以上的技術(shù)研究，我們在實際的科研項目上研發(fā)了一體化安全系統(tǒng)，其分別由一體化防護平臺和一體化防護終端組成，可實現(xiàn)數(shù)據(jù)加密可信傳輸、設(shè)備接入認(rèn)證與指令級防護。油氣田工業(yè)控制系統(tǒng)一體化安全防護系統(tǒng)如圖5所示。

（1）一體化防護終端：部署于場站工業(yè)控制系統(tǒng)網(wǎng)絡(luò)出口（如RTU、PLC等），對接入場站工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的設(shè)備進行認(rèn)證與防護，同時對與調(diào)度中心進行通訊的生產(chǎn)數(shù)據(jù)進行加/解密，以保障工業(yè)控制系統(tǒng)的本質(zhì)安全。

（2）一體化防護平臺：部署于SCADA調(diào)度中心，通過ACL協(xié)議將擬實施的有線或無線場站數(shù)據(jù)傳輸至該服務(wù)器，可以進行數(shù)據(jù)加/解密、報文/密文輸出與防護系統(tǒng)配置管理。該方式可實現(xiàn)指定場站的數(shù)據(jù)處理，不影響其他場站的數(shù)據(jù)傳輸與控制，有效降低現(xiàn)場試驗安全風(fēng)險。

圖5 油氣田工業(yè)控制系統(tǒng)一體化安全防護系統(tǒng)部署圖

通過部署一體化防護系統(tǒng)，可以加固井站與上級控制層（中心站、RCC等）之間數(shù)據(jù)傳輸與指令下達的安全性，從而提升系統(tǒng)整體安全性：

（1）井站與上級控制系統(tǒng)所有數(shù)據(jù)、控制指令加密可信傳輸；

（2）生產(chǎn)網(wǎng)內(nèi)接入設(shè)備的鑒別與認(rèn)證；

（3）部署防護策略，實現(xiàn)權(quán)限控制與指令級防護。

4 總結(jié)與展望

基于一體化防護技術(shù)研發(fā)的產(chǎn)品已經(jīng)在油氣典型場站中得到了成功的應(yīng)用，實踐證明了一體化防護技術(shù)可廣泛應(yīng)用于油氣田行業(yè)工業(yè)控制系統(tǒng)，并具有數(shù)據(jù)加密、解析、防護等功能，可有效消除數(shù)據(jù)傳輸泄密安全隱患，防止非法攻擊。

然而在當(dāng)前工業(yè)互聯(lián)網(wǎng)新形勢下，安全問題越來越重要，攻擊手段的多樣化對工業(yè)控制系統(tǒng)的安全防護技術(shù)提出了更高要求，因此需要更多的實踐才能更好地去迭代促進技術(shù)的成熟，需要更多的業(yè)務(wù)場景去證明解決方案的可行性與優(yōu)勢。

作者簡介：

鄧  田（1979-），男，重慶人，工程師，學(xué)士，現(xiàn)就職于昆侖數(shù)智科技有限責(zé)任公司，研究方向為油氣領(lǐng)域工業(yè)控制系統(tǒng)安全、物聯(lián)網(wǎng)安全等。

參考文獻：

[1] GB/T 30976.1-2014, 工業(yè)控制系統(tǒng)信息安全第一部分評估規(guī)范[S].

[2] 康榮保, 張曉, 杜艷霞. 工業(yè)控制系統(tǒng)信息安全防護技術(shù)研究[J]. 通信技術(shù), 2018 (8) : 1965 - 1971.

[3] 中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室, 網(wǎng)絡(luò)安全協(xié)調(diào)局. 國家網(wǎng)絡(luò)安全檢查操作指南[Z]. 2016 : (6).

[4] 岳妍瑛, 王彬. 油田工業(yè)控制系統(tǒng)信息安全淺析[J]. 自動化博覽, 2013 (3) : 38 - 42.

[5] 聞宏強, 李富勇, 等. Modbus/TCP協(xié)議安全性分析與防護技術(shù)探討[J]. 物聯(lián)網(wǎng)技術(shù), 2018 (11) : 34 - 35.

[6] 梁耀, 馮冬芹, 等. 加密傳輸在工業(yè)控制系統(tǒng)安全中的可行性研究[N]. 自動化學(xué)報, 2018 (3) : 434 - 442.

[7] 梁玉英. 基于Java語言的ECC加密技術(shù)研究[J]. 電腦與電信, 2018 (37) : 7 - 9.

[8] 呂迪, 賈志洋. 常用數(shù)據(jù)加密技術(shù)的對比研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2014 : (2).

[9] 張靜, 周佐. 防火墻深度包檢測技術(shù)研究及算法改進[J]. 自動化與儀器儀表, 2018 (3) : 46 - 50.

 摘自《自動化博覽》2023年3月刊