能源工业的控制系统安全技术

工控系统安全是当今信息安全领域的战略高地，随着国家层面的网络对抗日益加剧，工业控制系统因其巨大的政治、经济影响已成为各种势力攻击破坏和实施网络战的首选目标，同时互联网技术与工控系统的深度融合引发了工控系统安全的重大挑战^[22]。工控系统安全防护多数依赖系统隔离和网络分区分域管理，这些传统的安全防御方法无法抵御“震网”病毒、“火焰”病毒、Black-Energy等靶向攻击。

1.工控系统安全现状

我国工业控制系统的进口设备存有漏洞后门的问题严重，硬件漏洞修复成本高、难度大，我国关键基础设施工控系统的安全隐患无法根除；受国外工控系统“一站到底”式控制模式的制约，工控系统的安全检测、监测、控制与防范等难以深入；我国工业控制系统的自主研制与国产化应用起步较晚，自主可控的工控系统高端产品国产化率较低；工控系统重大共性关键安全技术尚需突破，适应我国工控安全需要的安全标准和技术体系等相对滞后。

2.拟解决的关键技术问题

（1）工控系统攻击模型与安全防护体系构建问题

工控系统的多样性和个性化安全问题突出，单一检测防护技术手段难以抵抗专业化的高级威胁攻击，需要针对工控系统特征和攻击机理，建立工控专用协议深度分析模型、自适应敌手攻击模型、纵深防御模型，形成一套完整的工控深度攻防技术体系。

（2）工控系统安全漏洞挖掘与利用问题

针对工控系统中的控制器硬件、组态软件等核心部件漏洞修复难、修复成本高等问题，从分析工控系统运行机制及漏洞触发机理入手，解决基于不同硬件体系的工控软件行为特征提取与判定的问题。漏洞挖掘研究主要包括漏洞安全属性建模及推理、工控专用协议漏洞分析、漏洞触发模式及运行属性检测、漏洞逼近测试及导向触发理论等技术问题。漏洞利用研究主要针对不同功能、不同类型工控部件所存在的漏洞，采用基于各类典型漏洞行为模式分析、作用机理分析和攻击测试样例设计等方法，解决工控系统漏洞深度利用的问题。

（3）工控系统深度安全技术测试验证问题

工业控制系统安全防护技术的健壮性离不开高度仿真的攻击测试及验证，需要构建适用于电厂DCS、PLC控制系统、电网调度控制系统等典型工控系统的安全技术验证试验环境，解决工控系统的攻防场景和高仿攻防模拟问题，以及研究攻防效果评估、攻防场景分析、漏洞危害性验证和安全技术有效性评估问题。

（4）工控系统组件动态防护问题

工控系统实施纵深防御和边界防护，需要解决安全域划分的区域防护、上位机防护以及PLC和现场总线控制回路防护等多重防护问题。研究高速现场总线技术、安全网络技术、安全内存管理技术等，解决多重纵深防御机制影响工控系统性能的技术难题。当工控系统攻击发生时，提高系统冗余性，动态重构系统，保证控制系统功能正常运行，利用控制系统的主-备冗余和关键工控应用所特有的异构安全保护系统，有效发现攻击发生前探测活动并及时预警定位，利用工控系统异构冗余的特点，解决在工控系统发生大规模灾难性攻击前遏制和清除攻击行为的安全问题。

（5）工控系统主动防御问题

依据国际和我国工控系统研发、设计、运行特征及安全防护方面的标准和法规要求，采用安全工程思想，分析工控系统高危等级威胁的攻击特征，利用DCS的动态重构机制，切换至系统备份以恢复安全状态，解决系统面临安全威胁时的主动防御和系统恢复问题。非法设备接入所引发的恶意软件攻击是工控系统的主要威胁之一，需要在评估安全审计监控技术可行性的基础上，解决工控系统非法信息控制流和数据流的监控和预警问题，特别需要解决控制所需的、具备高抗压能力的安全配置数据制定和动态调整问题。

3.关键技术研究方向

（1）工控系统攻击模型与安全防护体系研究

1）针对工业控制器回路攻击、组态数据篡改等安全威胁，研究涵盖协议安全分析、自适应敌手攻击、纵深防御效果评估的工控系统攻击模型。

2）以传统的分区隔离纵深防御技术为基础，采用动态防护和主动防御方法相结合，研究以动态的对抗性安全理念为核心工控系统自适应防御体系，并进一步基于威胁情报的攻击路径和系统攻防态势，研究自适应的调整防御资源实施安全响应和恢复方法。(www.xing528.com)

3）突破控制器安全启动、固件/软件证明、系统内核加固、白名单管控、网络动态监控等核心关键技术，研制基于硬件密码模块的可信工控终端防护系统、基于设备ID的海量终端身份鉴别和安全通道加密系统。

（2）工控系统安全漏洞挖掘与利用技术研究

1）研究基于解剖分析和非侵入/半侵入检测分析等技术手段的工控系统硬件逆向分析方法，挖掘工控系统硬件与芯片的漏洞。研究基于非侵入式测试、半侵入式测试、模拟与数字量混合的测试数据生成等技术，基于电路分析、算法分析、逻辑仿真等手段的硬件逆向综合分析方法，挖掘硬件或芯片设计中隐藏的缺陷或漏洞。

2）研究基于动态靶向分析的软件漏洞挖掘与分析方法，发掘工控系统软件漏洞。基于机器学习理论研究工控系统行为模式和异常捕获方法。利用污点传播和符号执行等软件漏洞分析方法，结合符号执行与路径约束求解技术，提高漏洞分析效率。研发工控软件漏洞挖掘平台，具备分析、挖掘和检测工控核心部件漏洞的能力，并利用该平台挖掘工控软件漏洞40个以上。

3）针对在典型工业装置、主流工控系统等核心部件上挖掘出的漏洞，研究相应的利用方法，创建漏洞利用样本，建立漏洞测试样例集。并以此为基础研发工控系统漏洞利用工具集，涵盖篡改组态数据、伪造控制指令、实时欺骗、获取超级权限等漏洞类型测试样例。

（3）工控系统深度安全技术测试验证方法研究

1）研究并构建工控系统典型装置的测试验证平台，支持电力DCS、PLC控制系统、电网调度控制系统等典型工控系统的模拟仿真。构建典型的工控系统漏洞挖掘、检测、评估、攻防实验等工控系统深度安全技术测试验证环境，可针对国内外主流工控系统及协议等开展漏洞挖掘、攻防演练、验证评估等科学实验。

2）研究工控系统攻击效果和安全防御量化评估方法，研究工控系统的攻防技术并评估其漏洞威胁，测试验证漏洞利用方法的有效性、实用性和隐蔽性。突破多层次的模糊测试、形式化分析和模拟仿真等技术，构建攻击测试用例集，针对防护组件/工具开展工控系统攻防对抗测试，评估其安全风险。在工控系统安全防御量化评估方法的基础上，建立电力工控产品测评认证、产品供应链备案、漏洞预警通报、应急响应等安全保障机制。

（4）工控系统组件动态防护技术研究

1）研究涵盖工控系统监控层、网络层和现场控制层的动态防护方法，包括面向国产CPU的基础控制和安全保护组件，工控系统二维度（基于内容和行为）白名单防护、现场总线实时监控、工控环境身份鉴别和防篡改等共性关键技术。

2）采用双机/总线/网络冗余等研究动态重构和异构冗余的安全保护技术，对以PLC/控制器-现场总线-传感器和执行器构成的控制回路，进行故障模式影响分析，研究异构的安全保护系统，对异构冗余的多路输入信息展开关联分析并捕捉可疑行为，实施主动防御和动态防护。

3）研制自主可控的国产CPU协同控制组件、工控网络协议过滤与保护组件、安全工业以太网交换机等组件，以及工业防火墙、网络行为旁路实时监测与审计等产品，实现工控网络的动态深层防护。

（5）工控系统主动防御技术研究与应用

1）研究基于序列保护、多重身份、单一合法数据源、信息验证等的边界数据隔离技术，以漏洞攻防作为设计基准，采用边界数据隔离手段提升控制器防护能力。

2）研究针对IO逻辑控制、数据交叉校验、状态信息传输等实施监控和高危攻击应急响应，一旦出现异常则启动应急保护机制，将安全威胁彻底隔离。

3）研究工控系统安全配置基线方法和上位机主动防御方法，研制的动态防护组件实现工控系统运行环境可信检查和实时监控。