工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)發(fā)展研究

一、前言

隨著工業(yè)化和信息化的深度融合，工業(yè)控制系統(tǒng)逐漸由傳統(tǒng)的封閉隔離轉(zhuǎn)為開(kāi)放互聯(lián)，并與第五代移動(dòng)通信（5G）、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等技術(shù)相結(jié)合，有效提升了工業(yè)企業(yè)的生產(chǎn)效率和靈活性。然而，開(kāi)放互聯(lián)場(chǎng)景使工業(yè)控制系統(tǒng)的安全問(wèn)題進(jìn)一步凸顯，增加了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，尤其是在相對(duì)封閉環(huán)境下的傳統(tǒng)工業(yè)控制系統(tǒng)。以高級(jí)可持續(xù)威脅（APT）攻擊為代表的網(wǎng)絡(luò)未知威脅日益增多，呈現(xiàn)出國(guó)家間博弈與較量進(jìn)一步增強(qiáng)的趨勢(shì)。工業(yè)控制系統(tǒng)作為與工業(yè)生產(chǎn)直接相關(guān)的關(guān)鍵信息基礎(chǔ)設(shè)施已成為APT攻擊的主要目標(biāo)，面臨的攻擊威脅呈現(xiàn)持續(xù)性、針對(duì)性、潛伏性、隱蔽性、未知性等特點(diǎn)，直接影響工業(yè)生產(chǎn)過(guò)程，范圍覆蓋軍工、民用等多個(gè)工業(yè)領(lǐng)域，亟需加強(qiáng)工業(yè)控制系統(tǒng)安全防護(hù)水平。工業(yè)控制系統(tǒng)直接關(guān)系工業(yè)生產(chǎn)且優(yōu)先保障可用性，涵蓋網(wǎng)絡(luò)空間、物理空間，場(chǎng)景復(fù)雜，受到世界主要國(guó)家普遍重視。美國(guó)、歐洲等國(guó)家和地區(qū)在工業(yè)控制系統(tǒng)安全防護(hù)的戰(zhàn)略部署和政策規(guī)劃方面起步較早，具有一定的優(yōu)勢(shì)。美國(guó)制定了一系列政策、標(biāo)準(zhǔn)以加強(qiáng)工業(yè)控制系統(tǒng)的安全，如出臺(tái)《關(guān)鍵基礎(chǔ)設(shè)施信息安全法案》（2001年），將能源等工業(yè)關(guān)鍵基礎(chǔ)設(shè)施列為重要保護(hù)對(duì)象；美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布《工業(yè)控制系統(tǒng)安全指南》（NISTSP800-82，2011年），為工業(yè)控制系統(tǒng)的安全保障提供指導(dǎo)；設(shè)立專(zhuān)門(mén)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組和多個(gè)國(guó)家實(shí)驗(yàn)室負(fù)責(zé)工業(yè)控制系統(tǒng)的安全保障和研究工作。德國(guó)對(duì)工業(yè)安全也非常重視，推出了“數(shù)字化戰(zhàn)略2025”（2016年），明確了工業(yè)控制系統(tǒng)安全的重要性，提出了一系列促進(jìn)相關(guān)技術(shù)研發(fā)和標(biāo)準(zhǔn)制定的措施。歐洲網(wǎng)絡(luò)安全局發(fā)布《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全白皮書(shū)》（2013年），為工業(yè)企業(yè)實(shí)施安全防御措施提供指導(dǎo)。我國(guó)歷來(lái)重視網(wǎng)絡(luò)安全問(wèn)題，堅(jiān)持底線思維，著力防范化解重大風(fēng)險(xiǎn)，針對(duì)工業(yè)控制系統(tǒng)的安全威脅，建立有效的工業(yè)控制系統(tǒng)安全防護(hù)體系和方法以有效應(yīng)對(duì)和化解工業(yè)控制系統(tǒng)重大安全風(fēng)險(xiǎn)、保障國(guó)家網(wǎng)絡(luò)空間安全。我國(guó)工業(yè)控制系統(tǒng)安全的研究與管理雖然起步晚但發(fā)展較快。2011年，工業(yè)和信息化部發(fā)布《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，明確了工業(yè)控制系統(tǒng)安全管理的相關(guān)要求。2019年，我國(guó)實(shí)施《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239—2019，簡(jiǎn)稱(chēng)為等保2.0），將工業(yè)控制系統(tǒng)安全納入等級(jí)保護(hù)體系?！笆奈濉币?guī)劃綱要提出，維護(hù)水利、電力、供水、油氣、交通、通信、網(wǎng)絡(luò)、金融等重要基礎(chǔ)設(shè)施安全，工業(yè)控制系統(tǒng)作為重要關(guān)鍵信息基礎(chǔ)設(shè)施成為未來(lái)安全防護(hù)重點(diǎn)。2022年，我國(guó)發(fā)布《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（GB/T39204—2022），規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施在識(shí)別分析、安全防護(hù)、檢測(cè)評(píng)估等方面的安全控制措施；作為我國(guó)首個(gè)正式發(fā)布的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)標(biāo)準(zhǔn)，為關(guān)鍵信息基礎(chǔ)設(shè)施更好開(kāi)展安全保護(hù)工作提供了操作指引。在工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)及體系研究方面，目前已提出了可編程邏輯控制器（PLC）程序安全分析、工業(yè)行為異常檢測(cè)、工業(yè)控制協(xié)議安全分析等方法，但主流方法仍沿用傳統(tǒng)安全防護(hù)技術(shù)提出了面向工業(yè)控制系統(tǒng)的主機(jī)防護(hù)、防火墻、入侵檢測(cè)、蜜罐、可信計(jì)算等技術(shù)，建立了以縱深防護(hù)、主動(dòng)防護(hù)為代表的安全防護(hù)體系?，F(xiàn)有工業(yè)控制系統(tǒng)安全防護(hù)面臨兩方面挑戰(zhàn)：一方面，現(xiàn)有安全防護(hù)體系難以全面應(yīng)對(duì)隱蔽未知的APT攻擊，另一方面，對(duì)針對(duì)物理空間以及跨信息域和物理域的攻擊難以適用，無(wú)法直接用于解決工業(yè)控制系統(tǒng)安全問(wèn)題。文章在剖析工業(yè)控制系統(tǒng)基本構(gòu)成和面臨的安全防護(hù)挑戰(zhàn)基礎(chǔ)上，梳理工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)的發(fā)展現(xiàn)狀，厘清工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)的重點(diǎn)任務(wù)及關(guān)鍵技術(shù)，探索新的安全防護(hù)體系、方法及未來(lái)發(fā)展路線，以期為提升工業(yè)控制系統(tǒng)安全防護(hù)能力提供參考。二、工業(yè)控制系統(tǒng)的基本構(gòu)成與面臨的安全防護(hù)挑戰(zhàn)

（一）工業(yè)控制系統(tǒng)的基本構(gòu)成工業(yè)控制系統(tǒng)抽象模型多采用層次架構(gòu)，包括普渡模型、IEC62264-1標(biāo)準(zhǔn)層次結(jié)構(gòu)模型等。我國(guó)等保2.0標(biāo)準(zhǔn)中的工業(yè)控制系統(tǒng)相關(guān)等級(jí)保護(hù)要求參考了IEC62264-1層次結(jié)構(gòu)模型。以該模型為例，工業(yè)控制系統(tǒng)自上而下可分為5層（見(jiàn)圖1）：企業(yè)資源層、生產(chǎn)管理層、過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層。企業(yè)資源層可為企業(yè)提供決策運(yùn)行手段；生產(chǎn)管理層可對(duì)生產(chǎn)過(guò)程進(jìn)行管理；過(guò)程監(jiān)控層主要對(duì)生產(chǎn)過(guò)程數(shù)據(jù)進(jìn)行采集與監(jiān)控，并利用人機(jī)界面（HMI）系統(tǒng)實(shí)現(xiàn)人機(jī)交互；現(xiàn)場(chǎng)控制層通過(guò)PLC、分布式控制系統(tǒng)（DCS）、遠(yuǎn)程終端單元（RTU）等控制設(shè)備對(duì)現(xiàn)場(chǎng)的傳感設(shè)備、執(zhí)行設(shè)備進(jìn)行采集和控制；現(xiàn)場(chǎng)設(shè)備層主要涉及各類(lèi)過(guò)程傳感設(shè)備與執(zhí)行設(shè)備單元，對(duì)生產(chǎn)過(guò)程進(jìn)行感知與操作。IEC62264-1層次模型是一種通用的層次模型，盡管電力、冶金、石化等領(lǐng)域的實(shí)際工業(yè)控制網(wǎng)絡(luò)架構(gòu)與其存在一定的差異，如某些層次可能需要扁平化，但該模型仍能覆蓋大部分工業(yè)控制場(chǎng)景，具有很高的參考價(jià)值。圖1IEC62264-1工業(yè)控制系統(tǒng)層次模型以生產(chǎn)管理層分界，企業(yè)資源層、生產(chǎn)管理層多采用信息領(lǐng)域相關(guān)的通用技術(shù)，其他層多采用工業(yè)控制系統(tǒng)特有技術(shù)。針對(duì)工業(yè)控制系統(tǒng)企業(yè)資源層和生產(chǎn)管理層的攻擊與傳統(tǒng)針對(duì)信息系統(tǒng)的網(wǎng)絡(luò)攻擊類(lèi)似，因此，工業(yè)控制系統(tǒng)安全可主要關(guān)注現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、過(guò)程監(jiān)控層等，而面向這3層的網(wǎng)絡(luò)攻擊通常會(huì)給控制設(shè)備、工業(yè)現(xiàn)場(chǎng)帶來(lái)嚴(yán)重危害。區(qū)別于傳統(tǒng)信息網(wǎng)絡(luò)，工業(yè)控制系統(tǒng)的特殊性主要表現(xiàn)在：①

信息化與自動(dòng)化融合。工業(yè)控制系統(tǒng)融合了信息系統(tǒng)和自動(dòng)化系統(tǒng)，既需要信息系統(tǒng)提供智能化采集、監(jiān)測(cè)、管理和決策，也需要自動(dòng)化系統(tǒng)實(shí)現(xiàn)對(duì)現(xiàn)場(chǎng)工業(yè)設(shè)備的自動(dòng)高效控制。②

空間互通。工業(yè)控制系統(tǒng)的作用域涵蓋網(wǎng)絡(luò)空間和物理空間，網(wǎng)絡(luò)空間的決策可影響物理空間的動(dòng)作，物理空間狀態(tài)反過(guò)來(lái)也會(huì)影響網(wǎng)絡(luò)空間的決策。③

可用優(yōu)先。工業(yè)控制系統(tǒng)在設(shè)計(jì)之初與外部網(wǎng)絡(luò)隔離，未考慮安全問(wèn)題，與工業(yè)現(xiàn)場(chǎng)生產(chǎn)關(guān)系緊密，設(shè)備分散且要求全時(shí)段不間斷運(yùn)行，不易通過(guò)停產(chǎn)升級(jí)以解決安全問(wèn)題。因此，針對(duì)工業(yè)控制系統(tǒng)的攻擊呈現(xiàn)跨越網(wǎng)絡(luò)空間和物理空間的特點(diǎn)，與傳統(tǒng)網(wǎng)絡(luò)攻擊技術(shù)存在較大差異，亟需對(duì)安全防護(hù)技術(shù)進(jìn)行優(yōu)化。（二）工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)面臨的挑戰(zhàn)現(xiàn)有工業(yè)控制系統(tǒng)安全防護(hù)體系在應(yīng)對(duì)網(wǎng)絡(luò)攻擊時(shí)呈現(xiàn)出以下特點(diǎn)。①

網(wǎng)絡(luò)攻防技術(shù)的不對(duì)稱(chēng)性。網(wǎng)絡(luò)攻擊技術(shù)只需突破工業(yè)控制系統(tǒng)的某個(gè)點(diǎn)，網(wǎng)絡(luò)防護(hù)技術(shù)則需要兼顧整個(gè)工業(yè)控制系統(tǒng)，防守方天然處于不利地位。此外，威脅情報(bào)不對(duì)稱(chēng)進(jìn)一步加劇了技術(shù)水平的不對(duì)稱(chēng)。我國(guó)關(guān)鍵工業(yè)控制設(shè)備大多源自國(guó)外供應(yīng)商，易被惡意植入后門(mén)、木馬，只能以“黑盒”方式研究工業(yè)控制系統(tǒng)的安全問(wèn)題，在攻防對(duì)抗中不占優(yōu)勢(shì)；同時(shí)，不同工業(yè)控制設(shè)備廠商之間存在技術(shù)壁壘，攻防技術(shù)難以通用。②

攻防過(guò)程的強(qiáng)對(duì)抗性。針對(duì)工業(yè)控制系統(tǒng)的攻擊呈現(xiàn)有組織、集團(tuán)化特點(diǎn)，攻擊組織往往掌握目標(biāo)系統(tǒng)的多個(gè)零日（0day）漏洞、系統(tǒng)/設(shè)備后門(mén)甚至能夠偽造合法憑證，攻擊過(guò)程較為隱蔽、攻擊手段多樣、對(duì)抗能力較強(qiáng)，致使我國(guó)的工業(yè)控制系統(tǒng)安全防護(hù)疲于應(yīng)對(duì)。③

安全防護(hù)的緊耦合性。工業(yè)控制系統(tǒng)所采用的縱深防護(hù)、主動(dòng)防護(hù)等措施多以強(qiáng)關(guān)聯(lián)、緊耦合的方式進(jìn)行設(shè)計(jì)、研發(fā)和部署，是一種“自衛(wèi)模式”，確保了工業(yè)控制系統(tǒng)可以通過(guò)自身安全能力建設(shè)應(yīng)對(duì)威脅，但這種防護(hù)模式在工業(yè)控制場(chǎng)景中會(huì)對(duì)工業(yè)控制系統(tǒng)產(chǎn)生一定程度的侵入式影響，對(duì)未知攻擊難以快速響應(yīng)。④

安全更新的高延遲性。工業(yè)控制設(shè)備和系統(tǒng)要求全時(shí)段運(yùn)行，同時(shí)，我國(guó)存在大量缺乏維護(hù)的老舊工業(yè)控制設(shè)備，為確保系統(tǒng)穩(wěn)定運(yùn)行，不能輕易對(duì)此類(lèi)設(shè)備進(jìn)行改動(dòng)，以免影響生產(chǎn)。這類(lèi)工業(yè)控制系統(tǒng)在遇到安全問(wèn)題時(shí)，往往無(wú)法立即停機(jī)更新，更新相對(duì)滯后。工業(yè)控制系統(tǒng)安全防護(hù)的上述特點(diǎn)使得工業(yè)控制系統(tǒng)在攻防對(duì)抗中面臨“摸不透”和“控不住”兩方面的挑戰(zhàn)。1?.工業(yè)控制系統(tǒng)面臨“摸不透”困境當(dāng)前，我國(guó)工業(yè)領(lǐng)域的核心設(shè)備、固件、軟件、協(xié)議等被國(guó)外供應(yīng)商垂直壟斷。在關(guān)鍵工業(yè)控制設(shè)備PLC方面，西門(mén)子股份公司生產(chǎn)的PLC在大、中型PLC市場(chǎng)上具有較強(qiáng)的競(jìng)爭(zhēng)優(yōu)勢(shì)，約占我國(guó)PLC市場(chǎng)規(guī)模的44%；羅克韋爾自動(dòng)化有限公司在大型PLC產(chǎn)品市場(chǎng)中具有絕對(duì)優(yōu)勢(shì)。由于工業(yè)場(chǎng)景復(fù)雜多樣、需求不一，不同場(chǎng)景下適用的設(shè)備和通信協(xié)議各不相同很難形成統(tǒng)一規(guī)范，面臨中央處理器（CPU）專(zhuān)用、操作系統(tǒng)閉源、協(xié)議碎片化等問(wèn)題，這種封閉性、排他性使我國(guó)在某些核心領(lǐng)域很難有所突破。同時(shí)，國(guó)外供應(yīng)商為維持各自的市場(chǎng)和技術(shù)優(yōu)勢(shì)，建立了覆蓋硬件、固件、軟件、協(xié)議的完整垂直生態(tài)系統(tǒng)，采用獨(dú)立、排他且不公開(kāi)的標(biāo)準(zhǔn)和協(xié)議，致使其他廠商的產(chǎn)品很難融入。例如，在工業(yè)領(lǐng)域中，僅通信協(xié)議就存在多種不同的標(biāo)準(zhǔn)協(xié)議，如RS-232、RS-485、CAN、Modbus、PROFINET、ModbusTCP、UMAS、S7comm、S7comm-Plus、PPI、DNP3、OmronFINS、Melsec等。以上現(xiàn)狀致使我國(guó)工業(yè)控制領(lǐng)域的核心技術(shù)、核心設(shè)備長(zhǎng)期依賴(lài)進(jìn)口，關(guān)鍵技術(shù)被“卡脖子”，易受技術(shù)封鎖和制裁，產(chǎn)業(yè)安全受制于人。“摸不透”困境也嚴(yán)重影響了工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全。我國(guó)企業(yè)大量的專(zhuān)用軟/硬件工業(yè)控制設(shè)備（系統(tǒng)）長(zhǎng)期被國(guó)外壟斷，相關(guān)設(shè)計(jì)方案、運(yùn)行機(jī)理、源碼、測(cè)試方案、設(shè)備維護(hù)數(shù)據(jù)等不對(duì)外公開(kāi)，導(dǎo)致安全分析只能采用“黑盒”操作，很難摸透相關(guān)設(shè)備（系統(tǒng)）的內(nèi)部機(jī)理，存在較大的安全隱患，不易發(fā)現(xiàn)可能存在的漏洞和后門(mén)；而國(guó)外供應(yīng)商則完全掌握設(shè)備（系統(tǒng)）及設(shè)備漏洞，甚至可以預(yù)設(shè)后門(mén)監(jiān)測(cè)通信數(shù)據(jù)或?qū)嵤┕?。在攻防?duì)抗中，對(duì)安全防護(hù)對(duì)象“摸不透”致使大量未知威脅難以被發(fā)現(xiàn)，甚至可能掉入對(duì)方設(shè)置的“漏洞陷阱”。2?.工業(yè)控制系統(tǒng)面臨“控不住”難題從攻防對(duì)抗角度來(lái)看，我國(guó)工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)缺乏突破性進(jìn)展和創(chuàng)新性技術(shù)。當(dāng)前，針對(duì)工業(yè)控制系統(tǒng)的攻擊手段、規(guī)模、對(duì)象等均體現(xiàn)出鮮明的組織化、規(guī)模性和指向性特點(diǎn)，現(xiàn)有工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)難以有效應(yīng)對(duì)，面臨“控不住”問(wèn)題；針對(duì)工業(yè)控制系統(tǒng)的攻擊隱蔽性強(qiáng)、威脅大，攻擊方法難以預(yù)測(cè)，導(dǎo)致工業(yè)控制系統(tǒng)面臨“未知的未知”網(wǎng)絡(luò)攻擊。同時(shí)，工業(yè)控制系統(tǒng)設(shè)備更新?lián)Q代慢，存在大量老舊設(shè)備，依靠系統(tǒng)自身內(nèi)在的安全能力難以應(yīng)對(duì)未知安全威脅?，F(xiàn)有的內(nèi)生安全、主動(dòng)防護(hù)、縱深防護(hù)等“自衛(wèi)模式”安全防護(hù)體系深入到工業(yè)控制系統(tǒng)內(nèi)部，已為工業(yè)控制系統(tǒng)逐步建立起內(nèi)在的安全防護(hù)能力，在一定程度上緩解了我國(guó)工業(yè)控制安全防護(hù)的迫切需求。然而，“自衛(wèi)模式”安全防護(hù)體系從工業(yè)控制系統(tǒng)內(nèi)部構(gòu)建安全能力會(huì)采取一定的侵入式安全措施，影響工業(yè)生產(chǎn)，同時(shí)針對(duì)威脅的防護(hù)能力需要一定時(shí)間逐步建立，無(wú)法快速反應(yīng)。因此，亟需在不影響工業(yè)控制系統(tǒng)原有架構(gòu)的基礎(chǔ)上，在工業(yè)控制系統(tǒng)外部形成防護(hù)能力，以“護(hù)衛(wèi)模式”安全防護(hù)體系彌補(bǔ)現(xiàn)有“自衛(wèi)模式”體系的不足。工業(yè)控制系統(tǒng)直接關(guān)聯(lián)工業(yè)現(xiàn)場(chǎng)，很難直接在工業(yè)控制系統(tǒng)上實(shí)施安全測(cè)試、攻防演練、技術(shù)驗(yàn)證，較多依賴(lài)工業(yè)控制靶場(chǎng)復(fù)現(xiàn)以還原工業(yè)場(chǎng)景。因此，缺乏可用靶場(chǎng)平臺(tái)成為制約工業(yè)控制系統(tǒng)安全防護(hù)發(fā)展的重要因素之一。目前，我國(guó)工業(yè)控制網(wǎng)絡(luò)靶場(chǎng)的建設(shè)、管理、運(yùn)營(yíng)缺乏頂層規(guī)劃，存在重復(fù)建設(shè)、資源分散難以共享等問(wèn)題，未能充分挖掘和發(fā)揮其潛力，服務(wù)于工業(yè)控制系統(tǒng)安全防護(hù)。三、工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)的發(fā)展現(xiàn)狀

工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)與攻擊技術(shù)的發(fā)展緊密相關(guān)，二者在對(duì)抗中螺旋上升。在介紹典型工業(yè)控制系統(tǒng)攻擊技術(shù)的基礎(chǔ)上，梳理工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)的發(fā)展現(xiàn)狀。（一）工業(yè)控制系統(tǒng)攻擊技術(shù)針對(duì)工業(yè)控制系統(tǒng)的攻擊多為高隱蔽、未知類(lèi)攻擊，極易給工業(yè)現(xiàn)場(chǎng)的正常運(yùn)行帶來(lái)嚴(yán)重破壞。工業(yè)控制系統(tǒng)攻擊主要集中在過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層、現(xiàn)場(chǎng)設(shè)備層。按照層次順序，工業(yè)控制系統(tǒng)攻擊可分為上位機(jī)攻擊、工業(yè)控制協(xié)議攻擊、控制邏輯攻擊、虛假數(shù)據(jù)注入攻擊等，主要通過(guò)非法地址訪問(wèn)、非法控制命令下發(fā)、惡意控制邏輯注入、數(shù)據(jù)篡改等手段達(dá)到竊取數(shù)據(jù)，實(shí)現(xiàn)控制和損害工業(yè)生產(chǎn)的目的。1?.上位機(jī)攻擊上位機(jī)與工業(yè)控制設(shè)備（如PLC、DCS）連接，通過(guò)控制設(shè)備采集工業(yè)現(xiàn)場(chǎng)數(shù)據(jù)，并根據(jù)工業(yè)現(xiàn)場(chǎng)情況下發(fā)控制命令或控制邏輯。一般上位機(jī)攻擊過(guò)程如圖2所示。由于工業(yè)控制系統(tǒng)處于內(nèi)網(wǎng)，攻擊者通過(guò)社工、滲透等手段進(jìn)入內(nèi)網(wǎng)，利用已知或0day漏洞對(duì)上位機(jī)發(fā)起攻擊，實(shí)現(xiàn)對(duì)上位機(jī)的非法控制。一旦上位機(jī)被控制，攻擊者可直接向工業(yè)控制設(shè)備發(fā)送控制命令或注入惡意控制邏輯，從而控制或破壞工業(yè)生產(chǎn)過(guò)程。同時(shí)，為達(dá)到隱蔽效果，攻擊者還可能篡改或采集工業(yè)現(xiàn)場(chǎng)數(shù)據(jù)，使管理者誤以為工業(yè)現(xiàn)場(chǎng)運(yùn)行正常。典型的上位機(jī)攻擊有震網(wǎng)攻擊、黑色能量病毒攻擊、Triton攻擊等。圖2上位機(jī)攻擊2?.工業(yè)控制協(xié)議攻擊工業(yè)控制協(xié)議（規(guī)約）是工業(yè)控制系統(tǒng)內(nèi)部數(shù)據(jù)或控制命令傳輸?shù)臉?biāo)準(zhǔn)，上位機(jī)、控制設(shè)備按照協(xié)議規(guī)范來(lái)交換信息。工業(yè)控制協(xié)議多為工業(yè)控制設(shè)備廠商的私有協(xié)議且缺乏安全考慮，大量工業(yè)控制協(xié)議缺少有效認(rèn)證、加密等安全機(jī)制。工業(yè)控制協(xié)議攻擊首先進(jìn)行協(xié)議逆向以獲取協(xié)議格式及語(yǔ)義，結(jié)合漏洞挖掘方法進(jìn)一步發(fā)現(xiàn)工業(yè)控制協(xié)議的安全漏洞，如缺乏寫(xiě)保護(hù)、明文發(fā)送密碼、小密鑰空間和單向認(rèn)證等。攻擊者構(gòu)造惡意客戶(hù)端，利用協(xié)議漏洞繞過(guò)PLC安全校驗(yàn)并與PLC建立連接，從而獲取PLC控制權(quán)。攻擊者也可實(shí)施中間人攻擊（見(jiàn)圖3），通過(guò)劫持上位機(jī)與PLC間的通信，偽裝為上位機(jī)、PLC分別與對(duì)方建立連接，向PLC下達(dá)非法命令或攻擊負(fù)載，并使用篡改或偽造的協(xié)議響應(yīng)報(bào)文隱藏攻擊。已有研究對(duì)S7comm-plus、IEC60870-5-104、Modbus等工業(yè)控制協(xié)議進(jìn)行了安全分析并驗(yàn)證了重放、中間人等攻擊。圖3工業(yè)控制協(xié)議的中間人攻擊3?.控制邏輯攻擊控制邏輯指PLC、DCS等工業(yè)控制設(shè)備上運(yùn)行的控制程序，由工程師編寫(xiě)、編譯后下載至工業(yè)控制設(shè)備，以工業(yè)運(yùn)行數(shù)據(jù)作為控制程序輸入，按照一定控制邏輯輸出控制動(dòng)作并下發(fā)給工業(yè)現(xiàn)場(chǎng)執(zhí)行設(shè)備，進(jìn)而確保工業(yè)生產(chǎn)的穩(wěn)定運(yùn)行?？刂七壿嫻粢话阃ㄟ^(guò)向工業(yè)控制設(shè)備植入惡意的控制邏輯程序或程序段以篡改其控制過(guò)程，典型的如震網(wǎng)病毒、邏輯炸彈、時(shí)間中斷控制邏輯攻擊等。部分惡意控制邏輯具備內(nèi)網(wǎng)傳播功能，采用類(lèi)似病毒的傳播方式，通過(guò)控制設(shè)備通信模塊在內(nèi)網(wǎng)傳播惡意邏輯程序，如借助惡意控制邏輯構(gòu)造的非法網(wǎng)關(guān)、PLC蠕蟲(chóng)病毒等。此外，還有一些攻擊方法針對(duì)控制邏輯程序本身展開(kāi)逆向分析和建模研究，通過(guò)對(duì)控制邏輯的分析找到更多針對(duì)工業(yè)現(xiàn)場(chǎng)的攻擊策略，以增強(qiáng)攻擊效果、提高攻擊隱蔽性，如控制流攻擊、過(guò)程感知攻擊等。4?.虛假數(shù)據(jù)注入攻擊虛假數(shù)據(jù)注入攻擊通過(guò)篡改工業(yè)傳感器數(shù)據(jù)，欺騙上位機(jī)或PLC設(shè)備以影響工業(yè)控制決策。如圖4所示，一旦傳感器被攻擊者攻陷，攻擊者即可利用傳感器向工業(yè)控制系統(tǒng)注入虛假工業(yè)現(xiàn)場(chǎng)數(shù)據(jù)。PLC、上位機(jī)均以采集數(shù)據(jù)作為輸入，基于控制邏輯或狀態(tài)估計(jì)算法進(jìn)行現(xiàn)場(chǎng)控制或決策。若部分工業(yè)現(xiàn)場(chǎng)數(shù)據(jù)被攻擊者注入了虛假值，將帶來(lái)PLC或上位機(jī)的控制、決策錯(cuò)誤，直接影響工業(yè)生產(chǎn)。虛假數(shù)據(jù)注入攻擊效果與攻擊者掌握的工業(yè)控制系統(tǒng)拓?fù)浼爸匾獢?shù)據(jù)相關(guān)。按照攻擊者掌握的工業(yè)控制系統(tǒng)信息數(shù)量，虛假數(shù)據(jù)注入攻擊可分為全局?jǐn)?shù)據(jù)注入攻擊、局部數(shù)據(jù)注入攻擊和盲數(shù)據(jù)注入攻擊。圖4虛假數(shù)據(jù)注入攻擊綜上所述，工業(yè)控制系統(tǒng)攻擊技術(shù)多以控制或破壞工業(yè)生產(chǎn)過(guò)程為目的，結(jié)合滲透攻擊、隱藏攻擊等手段，相關(guān)攻擊更具有隱蔽性和威脅性。對(duì)工業(yè)控制系統(tǒng)攻擊的前提是需要掌握大量背景知識(shí)和安全情報(bào)，如網(wǎng)絡(luò)拓?fù)?、工業(yè)控制協(xié)議、已知漏洞、0day漏洞、隱藏后門(mén)、控制流程等。當(dāng)前，我國(guó)的工業(yè)控制生態(tài)相對(duì)封閉、受?chē)?guó)外垂直壟斷等不利因素制約了攻擊威懾能力、發(fā)現(xiàn)潛在攻擊威脅能力的提升。

（二）工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)從已公開(kāi)的攻擊技術(shù)來(lái)看，針對(duì)工業(yè)控制系統(tǒng)的攻擊技術(shù)研究已經(jīng)深入工業(yè)控制系統(tǒng)內(nèi)部，依靠單一技術(shù)層面“一對(duì)一”攻防對(duì)抗無(wú)法應(yīng)對(duì)層出不窮的攻擊手段，尤其是攻擊組織仍可能掌握大量未公開(kāi)的攻擊手段。因此，工業(yè)控制系統(tǒng)安全防護(hù)的重點(diǎn)在于構(gòu)建合適的安全防護(hù)體系，綜合運(yùn)用各類(lèi)防護(hù)技術(shù)，實(shí)現(xiàn)整體防護(hù)效果。1?.工業(yè)控制系統(tǒng)安全防護(hù)關(guān)鍵技術(shù)工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)沿用并改進(jìn)了已有的主機(jī)防護(hù)、防火墻、入侵檢測(cè)、蜜罐等傳統(tǒng)技術(shù)。工業(yè)控制上位機(jī)安全防護(hù)的重點(diǎn)是對(duì)工業(yè)控制組態(tài)軟件、編程軟件的安全運(yùn)行監(jiān)測(cè)。工業(yè)控制系統(tǒng)在運(yùn)用傳統(tǒng)防火墻技術(shù)的基礎(chǔ)上加入“白名單”、工業(yè)控制協(xié)議深度包解析等技術(shù)，對(duì)工業(yè)控制專(zhuān)有流量進(jìn)行解析和過(guò)濾；入侵檢測(cè)主要采用傳統(tǒng)或智能化方法展開(kāi)基于工業(yè)控制流量、協(xié)議、運(yùn)行狀態(tài)的攻擊檢測(cè)；工業(yè)控制蜜罐技術(shù)主要用于工業(yè)控制系統(tǒng)的威脅誘捕，其誘捕效果依賴(lài)蜜罐的交互程度，因此，研究重點(diǎn)關(guān)注對(duì)工業(yè)控制協(xié)議、工業(yè)控制邏輯、工業(yè)現(xiàn)場(chǎng)的高逼真仿真以構(gòu)建高交互工業(yè)控制蜜罐。針對(duì)工業(yè)控制系統(tǒng)特有設(shè)備、軟件和場(chǎng)景（如PLC程序、工業(yè)現(xiàn)場(chǎng)），已提出了新的工業(yè)控制安全防護(hù)方法，如工業(yè)控制系統(tǒng)攻擊圖構(gòu)建、工業(yè)控制系統(tǒng)態(tài)勢(shì)感知、PLC程序安全分析、工業(yè)行為異常檢測(cè)、工業(yè)控制漏洞挖掘（協(xié)議、軟件及固件）等。此外，基于物理系統(tǒng)高保真模型的攻擊預(yù)測(cè)方法，可以通過(guò)軟件仿真模糊測(cè)試，自動(dòng)發(fā)現(xiàn)導(dǎo)致物理系統(tǒng)不安全狀態(tài)的攻擊行為。針對(duì)工業(yè)控制系統(tǒng)自身的安全缺陷改進(jìn)，在協(xié)議層面，提出了多種安全工業(yè)控制協(xié)議，如S7comm-Plus、CIPSecurity等；在設(shè)備層面，研究重點(diǎn)是將可信計(jì)算技術(shù)與工業(yè)控制設(shè)備結(jié)合，構(gòu)建安全可信的運(yùn)行環(huán)境。2?.工業(yè)控制系統(tǒng)安全防護(hù)體系工業(yè)控制系統(tǒng)安全防護(hù)體系的發(fā)展態(tài)勢(shì)是從單純的邊界防護(hù)、被動(dòng)防護(hù)轉(zhuǎn)變成縱深防護(hù)、主動(dòng)防護(hù)等多種防護(hù)體系相結(jié)合。工業(yè)控制系統(tǒng)邊界防護(hù)的重點(diǎn)是網(wǎng)絡(luò)邊界隔離，利用防火墻、安全網(wǎng)關(guān)、網(wǎng)絡(luò)隔離等設(shè)備進(jìn)行區(qū)域隔離，如電力系統(tǒng)安全防護(hù)將邊界防護(hù)作為其防護(hù)體系重要部分，實(shí)行“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的安全防護(hù)策略。工業(yè)控制系統(tǒng)邊界防護(hù)的存在的主要問(wèn)題是盲目信任邊界防護(hù)的效果，很難發(fā)現(xiàn)以APT為代表的高級(jí)可持續(xù)攻擊。工業(yè)控制系統(tǒng)的縱深防護(hù)體系采用多樣化、多層次、縱深的安全措施來(lái)保障網(wǎng)絡(luò)安全。在網(wǎng)絡(luò)架構(gòu)方面，結(jié)合邊界防護(hù)進(jìn)行縱向分層、橫向分區(qū)，根據(jù)區(qū)域/層次在業(yè)務(wù)、安全需求的不同，采用不同的安全防護(hù)方法；在防護(hù)對(duì)象方面，根據(jù)設(shè)備、主機(jī)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等防護(hù)對(duì)象的不同，逐層采用差別化的安全防護(hù)方法；在防護(hù)能力方面，采用保護(hù)?檢測(cè)?響應(yīng)?恢復(fù)（PDRR）、識(shí)別?保護(hù)?檢測(cè)?響應(yīng)?恢復(fù)（IPDRR）等安全防護(hù)模型，運(yùn)用識(shí)別、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)等安全能力在不同威脅階段應(yīng)對(duì)網(wǎng)絡(luò)攻擊。根據(jù)防護(hù)方式的不同，工業(yè)控制系統(tǒng)防護(hù)體系可以分為被動(dòng)防護(hù)和主動(dòng)防護(hù)。被動(dòng)防護(hù)指工業(yè)控制系統(tǒng)在遭受網(wǎng)絡(luò)攻擊后，通過(guò)采取防護(hù)措施加以應(yīng)對(duì)的防護(hù)體系，如防火墻、入侵檢測(cè)、惡意代碼掃描等。主動(dòng)防護(hù)則是在攻擊實(shí)施前，通過(guò)威脅誘捕、可信度量、擬態(tài)防護(hù)等主動(dòng)防護(hù)技術(shù)，提前發(fā)現(xiàn)安全威脅，并轉(zhuǎn)移、消除潛在威脅。主動(dòng)防護(hù)通常與縱深防護(hù)結(jié)合，可以構(gòu)建多樣化的安全防護(hù)體系。目前，工業(yè)控制系統(tǒng)安全防護(hù)體系正由被動(dòng)防護(hù)向主動(dòng)防護(hù)與被動(dòng)防護(hù)相結(jié)合的方向發(fā)展。四、工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)的重點(diǎn)任務(wù)及攻關(guān)路徑（一）工業(yè)控制系統(tǒng)安全防護(hù)的重點(diǎn)任務(wù)1?.確保自主安全可控目前，我國(guó)工業(yè)控制系統(tǒng)的相關(guān)軟硬件具有較大的國(guó)產(chǎn)化空間。以PLC設(shè)備為例，國(guó)內(nèi)市場(chǎng)主要由西門(mén)子、三菱、歐姆龍、羅克韋爾和施耐德等國(guó)外品牌主導(dǎo)，實(shí)現(xiàn)工業(yè)控制系統(tǒng)的自主安全可控成為亟需。針對(duì)工業(yè)控制設(shè)備不可控引發(fā)的“摸不透”困境，可從解決不可控問(wèn)題本身和應(yīng)對(duì)不可控引發(fā)的安全風(fēng)險(xiǎn)兩方面展開(kāi)研究。①工業(yè)領(lǐng)域現(xiàn)有的“煙囪式”縱向壟斷現(xiàn)狀使我國(guó)工業(yè)控制系統(tǒng)軟/硬件核心技術(shù)依賴(lài)進(jìn)口，生態(tài)垂直壟斷，安全問(wèn)題受制于人。因此，可借鑒計(jì)算機(jī)系統(tǒng)橫向打通的發(fā)展歷程，在CPU、操作系統(tǒng)、工業(yè)控制協(xié)議、工業(yè)軟件等層面建立工業(yè)控制系統(tǒng)橫向生態(tài)模式（見(jiàn)圖5），從而創(chuàng)造工業(yè)控制領(lǐng)域快速發(fā)展機(jī)遇，從根本上解決“摸不透”問(wèn)題。②建立底線思維和解決方案，針對(duì)非自主可控的工業(yè)設(shè)備，在關(guān)鍵設(shè)備受控于人且“不得不用”的情況下，探索非自主可控場(chǎng)景下的應(yīng)對(duì)方法，如在進(jìn)口設(shè)備端口串聯(lián)“限制器”（如審計(jì)盒子、網(wǎng)絡(luò)靶場(chǎng)等），實(shí)時(shí)監(jiān)測(cè)取證、訪問(wèn)控制進(jìn)口設(shè)備的“不法”行為。圖5橫向打通工業(yè)控制系統(tǒng)生態(tài)2?.構(gòu)建新型工業(yè)控制系統(tǒng)安全防護(hù)體系我國(guó)工業(yè)控制系統(tǒng)安全防護(hù)體系多借鑒IPDRR安全防護(hù)模型，從工業(yè)控制系統(tǒng)內(nèi)部建立防護(hù)能力，屬于自衛(wèi)防護(hù)模式，缺乏與工業(yè)控制系統(tǒng)的深度融合，缺乏有效手段應(yīng)對(duì)未知攻擊，從而引發(fā)“控不住”問(wèn)題。針對(duì)“控不住”困境，可從深化現(xiàn)有“自衛(wèi)模式”和推動(dòng)新型“護(hù)衛(wèi)模式”安全防護(hù)體系兩方面展開(kāi)研究。深化現(xiàn)有“自衛(wèi)模式”安全防護(hù)體系。工業(yè)控制系統(tǒng)安全是信息安全和功能安全的融合，因此，“自衛(wèi)模式”安全防護(hù)體系應(yīng)將這兩方面的安全因素考慮進(jìn)去，研究黑客、有組織犯罪等人為因素對(duì)工業(yè)控制系統(tǒng)產(chǎn)生的信息安全威脅；還應(yīng)考慮工業(yè)控制系統(tǒng)的功能結(jié)構(gòu)和運(yùn)行特點(diǎn)，分析因現(xiàn)場(chǎng)設(shè)備、工藝過(guò)程破環(huán)導(dǎo)致的功能安全問(wèn)題以及功能安全威脅和信息安全威脅結(jié)合產(chǎn)生的安全問(wèn)題，從控制網(wǎng)絡(luò)、控制系統(tǒng)、控制過(guò)程等方面進(jìn)行防護(hù)，從工業(yè)控制系統(tǒng)全生命周期角度研究信息域和功能域融合的安全問(wèn)題。在“自衛(wèi)模式”基礎(chǔ)上，探索構(gòu)建“護(hù)衛(wèi)模式”安全防護(hù)體系。目前，研究人員已構(gòu)建了“盾立方”護(hù)衛(wèi)模式安全防護(hù)體系，并在工業(yè)控制場(chǎng)景中應(yīng)用，有效提升了工業(yè)控制系統(tǒng)的防護(hù)能力。因此，在此基礎(chǔ)上，今后可構(gòu)建覆蓋工業(yè)控制系統(tǒng)和物聯(lián)網(wǎng)的“四蜜”威脅感知體系，建立全流程的威脅感知，實(shí)現(xiàn)非侵入、全流程威脅探測(cè)；開(kāi)展跨域的關(guān)聯(lián)研判，通過(guò)信息域內(nèi)部的跨域關(guān)聯(lián)、信息域和功能域的外部跨域關(guān)聯(lián)，從信息安全和功能安全融合角度研究全域攻擊研判；探索功能安全和信息安全（雙安）沖突消解的“邊端網(wǎng)疆”立體管控方法，挖掘功能安全基線，結(jié)合功能安全風(fēng)險(xiǎn)評(píng)估和人在回路等機(jī)制建立雙安融合的立體管控能力。此外，面向工業(yè)控制安全技術(shù)驗(yàn)證、攻防演練，新型工業(yè)控制網(wǎng)絡(luò)靶場(chǎng)也是工業(yè)控制安全發(fā)展重要發(fā)展方向之一。探索工業(yè)控制網(wǎng)絡(luò)靶場(chǎng)與數(shù)字孿生等新技術(shù)相結(jié)合，利用數(shù)字孿生技術(shù)構(gòu)建可復(fù)制、高逼真度的網(wǎng)絡(luò)靶場(chǎng)。（二）我國(guó)工業(yè)控制系統(tǒng)安全防護(hù)關(guān)鍵技術(shù)攻關(guān)路徑1?.自主可控安全關(guān)鍵技術(shù)的攻關(guān)路徑建議行業(yè)主管部門(mén)加強(qiáng)頂層規(guī)劃，制定工業(yè)領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施自主可控發(fā)展規(guī)劃，加強(qiáng)在戰(zhàn)略規(guī)劃、標(biāo)準(zhǔn)規(guī)范制定、關(guān)鍵技術(shù)突破、平臺(tái)構(gòu)建、示范應(yīng)用推廣等方面的政策激勵(lì)和資源引導(dǎo)。積極構(gòu)建可橫向打通的工業(yè)控制系統(tǒng)生態(tài)體系，聚合科研院所、企業(yè)、高校等資源，建立長(zhǎng)期穩(wěn)定的溝通和合作機(jī)制，優(yōu)化科研考核機(jī)制，確保自主可控工業(yè)控制系統(tǒng)生態(tài)研制過(guò)程中的智力支持和物質(zhì)保障。針對(duì)工業(yè)控制設(shè)備的不可控風(fēng)險(xiǎn)，推動(dòng)自主可控的開(kāi)源RISC-V智控芯片與工業(yè)制造領(lǐng)域相結(jié)合，推動(dòng)自主安全的工業(yè)操作系統(tǒng)（固件）、工業(yè)控制協(xié)議以及工業(yè)軟件研究，促進(jìn)自主安全的橫向工業(yè)控制系統(tǒng)生態(tài)建設(shè)。研究工業(yè)控制系統(tǒng)的安全性測(cè)試與評(píng)估技術(shù)，實(shí)現(xiàn)工控系統(tǒng)級(jí)安全性的科學(xué)準(zhǔn)確量化評(píng)估。探索非自主可控工業(yè)控制設(shè)備的底線安全確保機(jī)制，推進(jìn)進(jìn)口設(shè)備行為全流程監(jiān)測(cè)和訪問(wèn)控制技術(shù)，鼓勵(lì)為進(jìn)口設(shè)備配備“限制器”，確保進(jìn)口設(shè)備行為全流程可監(jiān)測(cè)、可控制，并逐步形成制度規(guī)范。注重從多方面、多渠道對(duì)非自主可控的工業(yè)控制設(shè)備進(jìn)行安全分析，提升設(shè)備掌控