摘要工業(yè)控制系統(tǒng)是國家基礎(chǔ)設(shè)施的重要組成部分,廣泛應(yīng)用于能源、制造、交通、軍工等行業(yè),是關(guān)乎國計民生的重要資源.工控協(xié)議是控制系統(tǒng)實現(xiàn)實時數(shù)據(jù)交換、數(shù)據(jù)采集、參數(shù)配置、狀態(tài)監(jiān)控、異常診斷、命令發(fā)布和執(zhí)行等眾多功能有機聯(lián)動的重要紐帶,其安全問題與工控系統(tǒng)的可靠穩(wěn)定運行密切相關(guān).深度剖析工控協(xié)議安全是理解工控系統(tǒng)安全威脅的一個重要角度,能夠?qū)�工業(yè)控制系統(tǒng)的安全防護(hù)和保障提供指導(dǎo).作者通過整理學(xué)術(shù)界與工業(yè)界對工控協(xié)議安全的研究工作,例如研究論、標(biāo)準(zhǔn)指南、攻擊事件等,系統(tǒng)化地分析和總結(jié)了工控協(xié)議所面臨的安全問題.首先對工控網(wǎng)絡(luò)架構(gòu)、工控協(xié)議作用、協(xié)議的分類以及和傳統(tǒng)協(xié)議的比較等進(jìn)行詳細(xì)闡述,然后從協(xié)議設(shè)計、實現(xiàn)和應(yīng)用的角度深入分析了工控協(xié)議面臨的攻擊威脅和協(xié)議防護(hù)方案,最后討論了未來工控協(xié)議安全研究趨勢.

　　關(guān)鍵詞工控協(xié)議安全;工業(yè)控制系統(tǒng);協(xié)議設(shè)計和實現(xiàn)安全;協(xié)議攻擊威脅;協(xié)議安全方案

　　根據(jù)美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)給出的定義[1],工業(yè)控制系統(tǒng)(industrialcontrolsystem,ICS)是一個涵蓋了多種類型的控制系統(tǒng)通用術(shù)語,包括監(jiān)控和數(shù)據(jù)采集(supervisorycontrolanddataacquisition,SCADA)系統(tǒng)、集散控制系統(tǒng)(distributedcontrolsystems,DCS),以及其他控制系統(tǒng),如可編程邏輯控制器(programmablelogiccontrollers,PLC),常用于工業(yè)領(lǐng)域和關(guān)鍵基礎(chǔ)設(shè)施的控制系統(tǒng)中.工業(yè)控制系統(tǒng)是國家基礎(chǔ)設(shè)施的重要組成部分,廣泛應(yīng)用于能源、制造、交通、軍工等行業(yè),是關(guān)乎國計民生的重要資源.

　　工控協(xié)議是控制系統(tǒng)實現(xiàn)實時數(shù)據(jù)交換、數(shù)據(jù)采集、參數(shù)配置、狀態(tài)監(jiān)控、異常診斷、命令發(fā)布和執(zhí)行等眾多功能有機聯(lián)動的重要紐帶.早期工業(yè)控制系統(tǒng)運行在物理隔離的環(huán)境下,獨立于傳統(tǒng)互聯(lián)網(wǎng).因此相關(guān)設(shè)計與操作人員很少考慮到網(wǎng)絡(luò)攻擊的可能,且普遍存在僥幸心理[2].這導(dǎo)致大量協(xié)議在設(shè)計方面缺乏認(rèn)證、加密等安全機制;在實現(xiàn)方面也對異常的協(xié)議數(shù)據(jù)考慮不充分,容易留有安全隱患.在“工業(yè)4.0”的時代背景下,工業(yè)控制系統(tǒng)越來越多地采用標(biāo)準(zhǔn)化解決方案.然而,這打破了工控系統(tǒng)原有的專用性和封閉性,使其面臨更廣泛的攻擊威脅.

　　事實上,近些年針對工控系統(tǒng)的攻擊事件頻發(fā),文獻(xiàn)回顧了歷史上發(fā)生過的重大安全事件,并指出隨著形勢的發(fā)展,面向以工業(yè)互聯(lián)網(wǎng)為基礎(chǔ)的關(guān)鍵基礎(chǔ)設(shè)施的威脅越來越嚴(yán)峻.其中,攻擊者充分理解相關(guān)的工控協(xié)議諸多細(xì)節(jié),并利用協(xié)議在設(shè)計、實現(xiàn)或應(yīng)用方面的脆弱點,是順利實施攻擊事件的一個重要因素.如2010年,“Stuxnet”病毒劫持了S7協(xié)議實現(xiàn)代碼的關(guān)鍵函數(shù),通過精確地篡改和偽造S7協(xié)議報文,成功攻擊了伊朗核電站,導(dǎo)致伊朗核計劃推遲數(shù)年[4].

　　2017年,根據(jù)安全廠商ESET發(fā)布的消息,“Industroyer”病毒成功利用4種電力工控協(xié)議(IEC60870G5G101,IEC60870G5G104,IEC61850GMMS,OPCDA),通過控制變電站中的斷路器,攻擊烏克蘭電力系統(tǒng),造成大規(guī)模停電事件[5].同年,根據(jù)FireEye公司發(fā)布的消息[6],針對施耐德安全儀表系統(tǒng)的惡意軟件“TRITON”,利用私有協(xié)議TriStation進(jìn)行的攻擊可造成工業(yè)過程無法工作.綜上所述,深度剖析ICS的協(xié)議安全是理解工控系統(tǒng)安全威脅的一個重要角度,將對工業(yè)控制系統(tǒng)的安全防護(hù)提供參考和指導(dǎo).本文通過調(diào)研和整理學(xué)術(shù)界、工業(yè)界對工控協(xié)議的安全研究工作,包括學(xué)術(shù)研究論文、標(biāo)準(zhǔn)指南、攻擊事件等,從協(xié)議的角度幫助理解工業(yè)控制系統(tǒng)的安全性.

　　1工控協(xié)議背景

　　工控協(xié)議實現(xiàn)了ICS各層設(shè)備組件之間的連接和通信交互,并與各設(shè)備組件共同形成了工業(yè)控制網(wǎng)絡(luò).從工業(yè)控制系統(tǒng)的業(yè)務(wù)分層看,一個典型的工控系統(tǒng)涉及3類網(wǎng)絡(luò):企業(yè)辦公網(wǎng)絡(luò)(簡稱辦公網(wǎng)絡(luò))、過程控制與監(jiān)控網(wǎng)絡(luò)(簡稱監(jiān)控網(wǎng)絡(luò))以及現(xiàn)場控制網(wǎng)絡(luò)[7].由現(xiàn)場設(shè)備層、控制層和管理層構(gòu)成[8].根據(jù)傳輸信息的功能不同,各層的工控協(xié)議通信的實時性要求也不同,如在現(xiàn)場設(shè)備層,要求實時通信;而在管理層,則允許非實時通信.實際上,管理層的企業(yè)辦公網(wǎng)使用的協(xié)議與傳統(tǒng)互聯(lián)網(wǎng)協(xié)議一致(如HTTP,HTTPS,POP3等),此類協(xié)議已有很多分析和討論,此處不再贅敘.本文討論的工控協(xié)議是指應(yīng)用于控制層和現(xiàn)場設(shè)備層的通信協(xié).

　　1.1協(xié)議功能

　　基于工控協(xié)議的通信,工業(yè)控制系統(tǒng)實現(xiàn)了網(wǎng)絡(luò)空間物理空間(cyberGphysical)內(nèi)各組件之間的交互.協(xié)議在不同場景中傳輸相似功能的內(nèi)容,可大致分為3類[9].

　　1)控制信息(controlmessage)控制信息在控制器和現(xiàn)場設(shè)備之間傳輸,并且是控制器中控制回路的輸入和輸出.因此,它具有很高的實時性和確定性要求.

　　2)診斷信息(diagnosticsmessage)診斷信息用來描述系統(tǒng)當(dāng)前狀態(tài),例如通過傳感器獲得的溫度、濕度、電流、電壓值等信息.這些信息用于監(jiān)測廠站的健康狀態(tài).通常情況下,控制系統(tǒng)傳輸診斷信息的數(shù)據(jù)量大.相比于實時性和確定性,診斷信息的傳輸更強調(diào)速度.

　　3)安全信息(safetymessage)安全信息用于控制一些關(guān)鍵功能,如安全關(guān)閉設(shè)備并控制保護(hù)電路的運行.傳統(tǒng)上,制造單元的安全聯(lián)鎖裝置使用可靠的安全繼電器進(jìn)行硬接線,以確保單元內(nèi)部有操作員的情況下機器無法運行.但這種接線不容易重新配置,且出現(xiàn)問題時進(jìn)行故障排查非常困難.通過傳輸?shù)陌踩�信�?可以更便捷地在各個組件之間協(xié)調(diào),極大地提高了系統(tǒng)的重新配置和故障排除能力.

　　1.2協(xié)議分類

　　根據(jù)使用的通信技術(shù),工控協(xié)議分為4類[8](如圖2所示):傳統(tǒng)控制網(wǎng)絡(luò)、現(xiàn)場總線網(wǎng)絡(luò)、工業(yè)以太網(wǎng)和工業(yè)無線網(wǎng)絡(luò).當(dāng)前廣泛應(yīng)用的是工業(yè)以太網(wǎng)和現(xiàn)場總線網(wǎng)絡(luò),相比于早期的計算機集成控制網(wǎng)絡(luò),存在的優(yōu)點是:減少了用于通信的物理纜線,從而減少潛在故障點(如線路接頭松動);提高了通信系統(tǒng)的可維護(hù)性和擴展性(如向系統(tǒng)擴展添加新的設(shè)備).

　　這些優(yōu)點使得我們能更方便地構(gòu)建復(fù)雜的大型控制系統(tǒng).相對于有線網(wǎng)絡(luò),工業(yè)無線網(wǎng)有更大優(yōu)勢,例如進(jìn)一步減少所需的線纜數(shù)量,能更靈活地配置傳感器的位置等.所以,James等人[9]認(rèn)為工業(yè)無線網(wǎng)技術(shù)是工控網(wǎng)絡(luò)的未來,但需要解決安全、可靠、實時傳輸?shù)葐栴}[9G10].

　　1.3與傳統(tǒng)協(xié)議比較

　　相比傳統(tǒng)的互聯(lián)網(wǎng)協(xié)議,工控協(xié)議傳輸?shù)臄?shù)據(jù)對物理世界有直接的控制和影響.因此,工業(yè)控制系統(tǒng)的通信則被稱為控制網(wǎng)絡(luò),而傳統(tǒng)互聯(lián)網(wǎng)一般被稱為數(shù)據(jù)網(wǎng)絡(luò).結(jié)合文獻(xiàn)[1,9G10],我們總結(jié)了3個方面的區(qū)別:

　　1)通信場景工控協(xié)議廣泛應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域,如電力、化工、制造、軍工、樓宇、交通等.其運行的環(huán)境經(jīng)常遇到如潮濕、灰塵、高溫等不利的情況.工控協(xié)議傳輸?shù)臄?shù)據(jù)能直接影響物理世界,如機械臂運動、控制斷路器開合、電機啟動、反應(yīng)液的水位等.通信故障對物理世界可能有嚴(yán)重的影響,如造成生產(chǎn)損失、環(huán)境毀壞,甚至危及生命. 傳統(tǒng)互聯(lián)網(wǎng)協(xié)議如HTTP,HTTPS,POP3等主要應(yīng)用于數(shù)據(jù)分享和傳輸,運行在清潔和溫度受控的環(huán)境下.數(shù)據(jù)的產(chǎn)生和使用一般需要人的參與,如社交、搜索、郵件、新聞資訊、電子商務(wù)等.通信故障影響相對較小,可能給生活帶來不便,但大部分都可通過其他方式進(jìn)行彌補和解決.

　　2)通信要求工控協(xié)議可直接影響物理世界,它的實時性要求相對較高.如運動控制的響應(yīng)時間要求的范圍在250μs~1ms,過程控制的響應(yīng)時間要求的范圍在1~10ms[10].除此之外,對于控制現(xiàn)場設(shè)備的工控協(xié)議一般還要求傳輸延遲是穩(wěn)定的,即要求通信延遲的抖動小.因為抖動可能造成系統(tǒng)震蕩,產(chǎn)生負(fù)面影響.同時,工控系統(tǒng)一般還要求周期性的采樣系統(tǒng)的狀態(tài)信息,在這種情況下,設(shè)備是長時間“在線”的,數(shù)據(jù)的交互也是持續(xù)的.傳統(tǒng)互聯(lián)網(wǎng)協(xié)議如HTTP,HTTPS,POP3等則對時延要求較低,大部分情況下,幾百毫秒甚至幾秒時間都是可接受的.同時,這些協(xié)議一般不要求長時間在線.

　　3)通信過程工控系統(tǒng)融合了IT領(lǐng)域和OT領(lǐng)域的技術(shù),在通信網(wǎng)絡(luò)上,這種融合是分層的.現(xiàn)實中的工控網(wǎng)絡(luò)一般會分多層,比如普渡模型[11]將工控網(wǎng)絡(luò)分為6層.同時,作用于OT領(lǐng)域的工控協(xié)議,其傳輸?shù)臄?shù)據(jù)包通常較小,尤其在低層次的控制回路中,僅傳輸單個測量值或數(shù)字值,通常只有幾個字節(jié).報文傳輸?shù)目煽啃灾饕�依賴于報文中的完整性字段如CRC字段、冗余報文機制如GOOSE,SV協(xié)議等.傳統(tǒng)互聯(lián)網(wǎng)協(xié)議層次較為簡單,一般分為局域網(wǎng)和廣域網(wǎng).單次傳輸?shù)臄?shù)據(jù)量有幾千個字節(jié)或更多的數(shù)據(jù),數(shù)據(jù)包大小至少為64B.同時,傳統(tǒng)的互聯(lián)網(wǎng)協(xié)議,其傳輸可靠性一般由TCP協(xié)議提供.雖然TCP協(xié)議存在校驗字段,但由于遠(yuǎn)距離傳輸,容易出現(xiàn)丟包的情況,所以它還依賴確認(rèn)應(yīng)答機制、超時重傳機制等保障數(shù)據(jù)的可靠交互.

　　2工控協(xié)議安全威脅

　　根據(jù)文獻(xiàn)[12G13],安全威脅是指可能造成信息丟失或功能失效等情況發(fā)生的事件.一般而言,安全威脅主要有2類[14]:1)蓄意攻擊.如工業(yè)間諜、恐怖組織活動等,可能帶來經(jīng)濟(jì)、政治和軍事等方面的益處;也可能是炫耀技術(shù)能力或?qū)嵤﹫髲?fù)等.2)無意事件.它可能源于安全事故、設(shè)備故障、疏忽大意和自然災(zāi)害等因素.隨著通信技術(shù)的發(fā)展和進(jìn)步,如高性能硬件的推出和新的保障機制的提出,系統(tǒng)運行的可靠性得到顯著改善,這使得無意事件帶來安全威脅的影響逐漸減小.相對地,隨著工業(yè)控制系統(tǒng)的信息化水平提高,越來越多的設(shè)備和系統(tǒng)直接或間接地接入互聯(lián)網(wǎng),這打破了工控系統(tǒng)原有的封閉性和隔離性,加劇了其面臨的蓄意攻擊安全威脅.因此,我們更關(guān)注工控協(xié)議蓄意攻擊相關(guān)的安全威脅,具體地,本節(jié)將從工控協(xié)議的脆弱性、攻擊模式和攻擊影響3個角度來討論工控協(xié)議的安全威脅.

　　2.1工控協(xié)議脆弱性

　　根據(jù)IETFRFC4949[15]標(biāo)準(zhǔn),任何一個系統(tǒng)都可能存在3種類型的脆弱點:設(shè)計上的、實現(xiàn)上的和操作管理方面的脆弱點.如協(xié)議設(shè)計上可能存在認(rèn)證繞過∕缺失、完整性缺失、信息明文傳輸?shù)热毕?協(xié)議實現(xiàn)上的脆弱點主要包括協(xié)議處理模塊中的堆棧溢出、命令注入、空指針引用等漏洞.操作管理方面的脆弱性與協(xié)議自身的關(guān)系較弱,可通過分級隔離、人員管理等方式解決.因此,工控協(xié)議的脆弱性研究更關(guān)注協(xié)議設(shè)計和協(xié)議實現(xiàn)2方面.

　　1)協(xié)議設(shè)計中存在的脆弱性

　　工控協(xié)議設(shè)計之初更關(guān)注功能的完備和運行時的性能保障,對安全機制考慮較少.表1總結(jié)了15種典型工控協(xié)議的設(shè)計缺陷,涵蓋了4種典型工控場景,包括過程自動化、智能樓宇、電力系統(tǒng)、智能儀表,涉及當(dāng)前主流廠商如施耐德、西門子、羅克韋爾等.顯然,工控協(xié)議設(shè)計在認(rèn)證、授權(quán)、加密和完整性等方面普遍存在缺陷和不足.這些設(shè)計缺陷和不足可進(jìn)一步分為3類.

　　①協(xié)議設(shè)計缺乏安全機制.進(jìn)行協(xié)議設(shè)計時未考慮安全機制,如Modbus,DNP3協(xié)議等.廣泛應(yīng)用于電力自動化行業(yè)的MMS[33]協(xié)議標(biāo)準(zhǔn)在“SecurityConsiders”章節(jié)明確指出,MMS協(xié)議高級別的安全設(shè)計不在標(biāo)準(zhǔn)的考慮范圍內(nèi).②協(xié)議對安全機制描述不具體,導(dǎo)致編程人員無法實現(xiàn)定義“模糊”的安全機制.如GOOSE協(xié)議報文結(jié)構(gòu)設(shè)計中定義了一個security字段,該字段用來作為報文的數(shù)字簽名,對通信過程傳輸?shù)膱笪奶峁┱J(rèn)證和完整性保障.同時該字段被“ANYOPTIONAL”修飾,表明該字段是一個可選字段,可以不出現(xiàn)在報文中.鑒于工控場景的高實時性要求以及協(xié)議標(biāo)準(zhǔn)缺乏對該安全字段的詳細(xì)定義,大部分廠商都沒有實現(xiàn)該安全字段.③協(xié)議安全機制設(shè)計存在缺陷.如BACNet協(xié)議、OPCGUA協(xié)議、ANSIC12.

　　22協(xié)議等,它們提供安全機制,但未經(jīng)充分檢查和驗證,存在潛在的攻擊方式.發(fā)現(xiàn)“安全協(xié)議”的設(shè)計缺陷主要有2種方法,即基于攻擊測試[19]來檢測和通過形式化方法[22]進(jìn)行檢查.

　　2)協(xié)議實現(xiàn)中存在的脆弱性在實現(xiàn)方面,編程人員容易默認(rèn)“隔離”的工控通信環(huán)境是可信的,處理協(xié)議通信數(shù)據(jù)時未充分考慮畸形報文,導(dǎo)致程序可能產(chǎn)生漏洞,如內(nèi)存溢出漏洞、非法內(nèi)存訪問漏洞等.CVE,CNVD,ICSGCERT等平臺的漏洞信息顯示,工控協(xié)議在實現(xiàn)上存在多種類型的漏洞,表2列舉了CNVD中部分常見的工控協(xié)議實現(xiàn)漏洞.同時,有些工控協(xié)議雖然設(shè)計了加密、認(rèn)證等安全機制.但這些安全機制在實現(xiàn)時,由于錯誤的配置或簡化的實現(xiàn),使得這些安全機制存在被繞過的可能.

　　例如西門子公司最新版本的S7CommPlus私有協(xié)議在會話階段提供加密、認(rèn)證等安全機制,但Biham等人[16]通過對該協(xié)議進(jìn)行分析發(fā)現(xiàn)該協(xié)議存在安全缺陷:協(xié)議認(rèn)證過程中所有同型號工控設(shè)備采用相同的密鑰.一旦成功逆向破解一款工控設(shè)備使用的密鑰,相同版本固件所有工控設(shè)備的通信都將變得不安全.施耐德電氣公司設(shè)計的UMAS協(xié)議,在管理控制ModiconM221控制器時提供密碼認(rèn)證安全機制.但SushmaKalle等人[34]發(fā)現(xiàn)該安全機制的實現(xiàn)存在重大缺陷,編程人員將安全保障至關(guān)重要的Hash密鑰存儲在一個固定的地址,一旦攻擊者發(fā)送數(shù)據(jù)重寫該固定地址即可將該Hash密鑰覆蓋,從而繞過認(rèn)證機制,最終能夠繞過授權(quán)執(zhí)行任意操作.

　　2.2攻擊模式

　　根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究院的報告[1],工控系統(tǒng)和任意信息系統(tǒng)一樣,都有3個安全目標(biāo):可用性、完整性和機密性.相對傳統(tǒng)的IT信息系統(tǒng),工控系統(tǒng)的故障將直接影響物理世界,可能造成極其嚴(yán)重的后果,例如造成生產(chǎn)中斷、環(huán)境毀壞,甚至危及人身安全.因此,工控協(xié)議對可用性和完整性要求更高.分析通信協(xié)議攻擊模式,主要考慮3方面。

　　3工控協(xié)議安全方案研究

　　工業(yè)控制系統(tǒng)在關(guān)鍵基礎(chǔ)設(shè)施中具有定制化和專用性的特征.因此,IEC62443標(biāo)準(zhǔn)給出了針對工業(yè)控制系統(tǒng)的信息安全的定義:“①保護(hù)系統(tǒng)所采取的措施;②由建立和維護(hù)保護(hù)系統(tǒng)的措施所得到的系統(tǒng)狀態(tài);③能夠免于對系統(tǒng)資源的非授權(quán)訪問或意外的變更、破壞或者損失;④基于計算機系統(tǒng)的能力,能夠保證非授權(quán)人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù),也無法訪問系統(tǒng)功能,保證授權(quán)人員和系統(tǒng)不被阻止;⑤防止對工業(yè)控制系統(tǒng)的非法或有害入侵,或者干擾其正確和計劃的操作”.從協(xié)議的角度看,維護(hù)工控系統(tǒng)的安全狀態(tài)需采取必要的措施,主要包括:協(xié)議安全設(shè)計改進(jìn)、協(xié)議安全實現(xiàn)測試、協(xié)議安全應(yīng)用指南.

　　4總結(jié)和展望

　　本文從通信協(xié)議的角度分析了工業(yè)控制系統(tǒng)面臨的安全威脅和對應(yīng)的策略.首先從工控網(wǎng)絡(luò)架構(gòu)、工控協(xié)議作用、分類以及和傳統(tǒng)協(xié)議的比較等進(jìn)行詳細(xì)闡述,然后從協(xié)議設(shè)計、實現(xiàn)和應(yīng)用的角度深入分析了協(xié)議攻擊威脅和協(xié)議防護(hù)方案.結(jié)合工控協(xié)議的特點,我們有3方面展望:

　　1)設(shè)計上,工控協(xié)議普遍存在安全問題,除了早期安全不受重視.客觀上,還因工控設(shè)備的計算資源有限,難以部署重量級的安全機制如安全算法、防火墻、監(jiān)控程序等.同時,工業(yè)控制過程對系統(tǒng)的可用性要求更高,例如需滿足實時響應(yīng)、保持長期在線等,而一般的安全改進(jìn)方案除了帶來性能上的損耗,還可能帶來新的安全問題.所以難以直接應(yīng)用傳統(tǒng)的安全方案.而已有研究大多聚焦于降低資源開銷,鮮有驗證其方案的可靠性.因此,研究人員需要提出一種可靠的輕量級安全通信機制,這種安全機制需要滿足2個要求:①受限的資源.該安全機制需要嚴(yán)格控制計算資源的使用,如盡可能降低對設(shè)備電量和內(nèi)存的消耗,同時,還要盡可能減小對性能的影響.②可驗證的安全.該安全機制不會帶來新的安全問題,在某些重要屬性上是安全可驗證的.

　　2)實現(xiàn)上,工控協(xié)議程序涉及專用、異構(gòu)多樣的嵌入式設(shè)備.不同于通用的測試程序?qū)ο?很多工控協(xié)議程序難以被提取、分析和監(jiān)控運行.因此,基于路徑覆蓋反饋的高效模糊測試方案難以直接應(yīng)用.針對工控設(shè)備中的協(xié)議程序,已有研究聚焦于分析獲得協(xié)議知識,然后進(jìn)行黑盒測試,其有效性受限于無法獲得運行時的反饋.因此,研究人員需針對工控設(shè)備提出一種有效的程序運行監(jiān)控的反饋機制.可從2個角度進(jìn)行考慮:①該監(jiān)控機制不對程序直接進(jìn)行分析和插裝,而從其他角度間接推斷程序運行狀態(tài),例如從返回報文、運行能耗開銷、設(shè)備I∕O監(jiān)控等角度;②解決嵌入式工控協(xié)議程序提取困難的挑戰(zhàn),然后遷移該程序到其他易控環(huán)境進(jìn)行模擬仿真執(zhí)行,從而方便測試時監(jiān)控和運行時反饋.

　　3)應(yīng)用上,保障工控協(xié)議的通信安全需結(jié)合已發(fā)布的標(biāo)準(zhǔn)和指南,然后部署配套的安全方案,例如部署入侵檢測系統(tǒng)、防火墻等.部署具體安全方案時,研究人員需結(jié)合具體的控制場景提出一種更加有效的風(fēng)險評估模型,以準(zhǔn)確定位安全威脅和安全需求,從而選擇并配置合適的安全方案.同時,考慮到工控系統(tǒng)的高可用性需求(例如有的方案需采集實時數(shù)據(jù),而該過程可能會影響系統(tǒng)的可用性),研究人員還需要提出一種更加有效的評估方法來驗證具體方案的可靠性,以防引入新的隱患.

　　參考文獻(xiàn)

　　[1]StoufferK,FalcoJ,ScarfoneK.Guidetoindustrialcontrolsystems(ICS)security[J].NISTSpecialPublication,2015,800(82):10115

　　[2]ZhangYuqing,ZhouWei,PengAnni.SurveyofInternetofthingssecurity[J].JournalofComputerResearchandDevelopment,2017,54(10):21302143(inChinese)(張玉清,周威,彭安妮.物聯(lián)網(wǎng)安全綜述[J].計算機研究與發(fā)展,2017,54(10):21302143)

　　[3]HemsleyKE,FisherE.Historyofindustrialcontrolsystemcyberincidents[R∕OL].IdahoFallsofUnitedStates:IdahoNationalLab,2018[2021G12G25].https:∕∕www.osti.gov∕servlets∕purl∕1505628∕

　　[4]FalliereN,MurchuLO,ChienE.W32.stuxnetdossier[J].SymantecSecurityResponse,2011,5(6):129

　　[5]CherepanovA.WIN32∕INDUSTROYER:Anewthreatforindustrialcontrolsystems[R∕OL].SanDiego,CA:ESET,2017.[2021G12G25].https:∕∕www.welivesecurity.com∕wpGcontent∕uploads∕2017∕06∕Win32_Industroyer.pdf

　　[6]DiPintoA,DragoniY,CarcanoA.TRITON:ThefirstICScyberattackonsafetyinstrumentsystems[C]∕∕ProcofBlackHat.SanFrancisco,CA:BlackHat,2018:126

　　[7]LaiYingxu,LiuZenghui,CaiXiaotian,etal.Researchonintrusiondetectionofindustrialcontrolsystem[J].JournalonCommunication,2017,38(2):143156(inChinese)(賴英旭,劉增輝,蔡曉田,等.工業(yè)控制系統(tǒng)入侵檢測研究綜述[J].通信學(xué)報,2017,38(2):143156)

　　作者：方棟梁劉圃卓秦川宋站威孫玉硯石志強孫利民